LGPD para PMEs

RIPD (Relatório de Impacto à Proteção de Dados): quando fazer e como estruturar

O RIPD é o documento-chave da LGPD para operações de alto risco. Veja quando é obrigatório, o que deve conter e como estruturar para passar em auditoria da ANPD.

M
MHSLGPD
21 de abril de 2026 · 4 min de leitura

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) — também chamado DPIA, do inglês Data Protection Impact Assessment — é um dos documentos mais subestimados da LGPD. Para algumas operações, ele é obrigatório. Para outras, é a melhor forma de demonstrar que você fez a "lição de casa" e reduz drasticamente o risco em caso de fiscalização.

O que é o RIPD?

O Art. 38 da LGPD prevê que a ANPD pode requerer ao controlador relatório que demonstre os "riscos às liberdades civis e aos direitos fundamentais" do tratamento. Esse documento estruturado é o RIPD — um inventário detalhado de uma atividade específica de tratamento, com análise de risco e medidas de mitigação.

Quando é obrigatório?

A LGPD não traz uma lista explícita, mas a ANPD e práticas internacionais (GDPR Art. 35) apontam cenários de alto risco que exigem RIPD:

  • Tratamento de dados sensíveis em larga escala (saúde, biometria, opinião política);
  • Monitoramento sistemático e em larga escala de área de acesso público (câmeras com reconhecimento facial, por exemplo);
  • Decisões automatizadas com efeito jurídico ou similarmente significativo (scoring de crédito automático, decisões de RH);
  • Tratamento de dados de crianças e adolescentes;
  • Combinações inéditas de dados pessoais;
  • Transferências internacionais para países sem nível adequado de proteção;
  • Novas tecnologias com impactos imprevistos (IA generativa, IoT, blockchain).

Estrutura mínima de um RIPD

Um RIPD bem estruturado tem 8 seções:

1. Descrição da atividade

Que processo de negócio está sendo analisado? Quem são os agentes envolvidos (controlador, operadores, subprocessadores)?

2. Finalidades e bases legais

Por que esses dados são tratados? Qual a base legal do Art. 7º (ou Art. 11 para sensíveis) que respalda?

3. Categorias de dados e titulares

Quais dados são coletados (CPF, e-mail, localização, biometria)? Quem são os titulares afetados (clientes, funcionários, leads)?

4. Ciclo de vida do dado

Como o dado entra? Onde é armazenado? Por quanto tempo é retido? Como é descartado?

5. Análise de necessidade e proporcionalidade

O tratamento é estritamente necessário para a finalidade? Há alternativa menos invasiva (anonimização, pseudonimização)?

6. Riscos identificados

Liste cada risco com:

  • Descrição (ex.: "acesso indevido por funcionário não autorizado");
  • Probabilidade (baixa, média, alta);
  • Impacto (baixo, médio, alto);
  • Severidade resultante.

7. Medidas de mitigação

Para cada risco identificado, descreva os controles técnicos (criptografia, MFA, logs) e organizacionais (treinamento, políticas, contratos) que reduzem a probabilidade ou impacto.

8. Conclusão e aprovação

Avaliação final: o risco residual é aceitável? Quem aprova (DPO, alta direção)? Quando será revisado?

Quem elabora?

O DPO conduz, mas o RIPD não é um trabalho isolado. Envolve:

  • Líder do projeto/produto (descrição funcional);
  • Time de TI/Segurança (análise técnica);
  • Jurídico/Compliance (bases legais);
  • DPO (avaliação de risco e aprovação).

Quando revisar?

  • Anualmente, por padrão;
  • Sempre que houver mudança significativa no tratamento (nova finalidade, novo fornecedor, novo dado);
  • Após incidente de segurança;
  • Quando a ANPD publicar nova regulamentação relevante.

Erros comuns em RIPDs

  • Genérico demais: "tratamos dados de clientes para fins comerciais" não é descrição — é poesia. Seja específico;
  • Sem análise de risco: só descrever o tratamento não basta. Risco precisa ser identificado, mensurado e mitigado;
  • Sem registro de revisão: RIPD de 2020 sem atualização é mais perigoso que não ter RIPD;
  • Sem aprovação formal: documento não assinado pelo DPO/alta direção não tem força documental.

Como o mhslgpd ajuda

Nossa plataforma inclui um módulo de RIPD com 5 templates pré-configurados (RH/Recrutamento, E-commerce, Saúde, Marketing, Educação) e uma matriz visual de risco. Você importa o template, customiza para sua operação e tem o documento pronto para auditoria em horas — não semanas.

Conclusão

RIPD é prova de governança. Em caso de fiscalização, a ANPD pergunta: "documento que comprova a análise de risco dessa operação". Quem tem, mostra. Quem não tem, justifica. E quem não justifica, paga. Não espere a notificação para começar — mapeie as operações de alto risco e elabore seus RIPDs agora.

M
MHSLGPD
Equipe de especialistas em LGPD e privacidade de dados, com foco em ajudar empresas brasileiras a se adequarem à legislação de proteção de dados pessoais.

Leia também

Política de Privacidade: o que sua empresa precisa ter para estar conforme LGPD
A Política de Privacidade não é firula jurídica — é o documento que comprova transparência exigida pelo Art. 9º da LGPD. Veja o que incluir e os erros que viram multa.
MHSLGPD · 5 de maio de 2026
O que é a LGPD? Guia completo para empresas brasileiras
A Lei Geral de Proteção de Dados (Lei 13.709/18) mudou como empresas tratam dados pessoais no Brasil. Entenda os principais conceitos, obrigações e como começar a adequação.
MHSLGPD · 10 de fevereiro de 2026