Pular para o conteúdo
Tutelas — Compliance Educacional

RIPD: Como Fazer o Relatório de Impacto LGPD

Zachariah Zagol · · 7 min de leitura
lgpd ripd relatorio

O RIPD — Relatório de Impacto à Proteção de Dados Pessoais — é um dos documentos mais importantes do programa de compliance de dados. A ANPD pode solicitá-lo a qualquer momento, e empresas que não o possuem ficam em situação vulnerável.

O que é o RIPD

O RIPD é uma avaliação documentada dos riscos que uma atividade de tratamento de dados pessoais representa para os direitos e liberdades dos titulares, acompanhada das medidas adotadas para mitigar esses riscos.

É o equivalente brasileiro ao DPIA (Data Protection Impact Assessment) do GDPR europeu, com adaptações para a realidade da LGPD.

Quando elaborar

A LGPD não define de forma taxativa quando o RIPD é obrigatório, mas estabelece situações em que ele é claramente necessário:

  • Tratamento baseado em legítimo interesse (art. 10, § 3º)
  • Tratamento de dados sensíveis (saúde, biometria, religião, etc.)
  • Tratamento que envolva decisões automatizadas (art. 20)
  • Transferência internacional de dados pessoais
  • Tratamento de dados de crianças e adolescentes
  • Vigilância ou monitoramento em larga escala
  • Qualquer tratamento que represente alto risco para os titulares

Na dúvida, elabore o RIPD. É melhor ter o documento e não precisar apresentá-lo do que ser solicitado pela ANPD e não tê-lo.

Estrutura do RIPD

1. Identificação do controlador e do DPO

Nome, CNPJ, dados de contato da empresa e do Encarregado de Dados responsável pela elaboração do relatório.

2. Descrição do tratamento

Detalhe a atividade de tratamento de forma completa:

  • Quais dados pessoais são tratados
  • De quem são os dados (categorias de titulares)
  • Qual a finalidade do tratamento
  • Qual a base legal aplicável
  • Como os dados são coletados, armazenados e compartilhados
  • Por quanto tempo os dados são retidos
  • Qual o volume de dados e titulares envolvidos

3. Necessidade e proporcionalidade

Avalie se o tratamento é realmente necessário para a finalidade proposta e se os dados coletados são proporcionais. Existe forma menos invasiva de alcançar o mesmo objetivo?

Este é o teste de adequação e necessidade previsto na LGPD. Se você está coletando mais dados do que precisa, o tratamento é desproporcional.

4. Identificação dos riscos

Mapeie os riscos que o tratamento representa para os titulares:

  • Acesso não autorizado a dados pessoais
  • Vazamento ou divulgação indevida
  • Uso dos dados para finalidades diferentes da informada
  • Discriminação baseada em dados pessoais
  • Perdas financeiras para o titular
  • Danos à reputação do titular
  • Perda de autonomia ou controle sobre os próprios dados

Para cada risco, avalie a probabilidade de ocorrência e o impacto potencial.

5. Medidas de mitigação

Para cada risco identificado, descreva as medidas técnicas e organizacionais adotadas para reduzi-lo:

  • Controles de acesso baseados em perfil e necessidade
  • Criptografia em trânsito e em repouso
  • Anonimização ou pseudonimização quando possível
  • Minimização de dados — coletar apenas o necessário
  • Treinamento dos profissionais envolvidos
  • Monitoramento e detecção de incidentes
  • Plano de resposta a incidentes

6. Análise de risco residual

Após aplicar as medidas de mitigação, avalie o risco residual. Se ele ainda for elevado, considere medidas adicionais ou consulte a ANPD antes de prosseguir com o tratamento.

7. Aprovação e revisão

O RIPD deve ser aprovado pela alta gestão e revisado periodicamente — sempre que houver mudanças no tratamento, nos riscos ou na legislação.

Boas práticas

  • Comece pelos tratamentos de maior risco. Não tente fazer o RIPD de todos os processos ao mesmo tempo.
  • Envolva as áreas de negócio. O DPO coordena, mas quem conhece o processo é quem o executa.
  • Seja honesto na avaliação. O RIPD é um documento interno de gestão de riscos. Subestimar riscos não protege — expõe.
  • Use uma matriz de riscos. Classifique probabilidade e impacto em uma escala (baixo, médio, alto, crítico) para facilitar a priorização.
  • Documente o processo decisório. Registre por que determinadas medidas foram adotadas e por que outras foram descartadas.

Conclusão

O RIPD não é burocracia — é gestão de riscos aplicada à proteção de dados. Empresas que elaboram RIPDs consistentes demonstram maturidade e reduzem significativamente sua exposição a sanções da ANPD. Conheca nosso workshop de compliance.

Quer aprender a elaborar RIPDs e outros documentos essenciais da LGPD? O workshop da Tutelas ensina a metodologia completa de compliance de dados, com modelos prontos e exercícios práticos baseados em cenários reais.

Compartilhe este artigo:

LinkedIn WhatsApp

Artigos Relacionados

10/12/2025

Como Implementar a LGPD: Guia Passo a Passo

20/12/2025

DPO: O Que Faz e Como Contratar

15/03/2025

LGPD em 2025: O Que Muda e Como se Preparar

Quer aprender compliance na prática?

Workshop Compliance Inteligente: 9 horas, 675+ documentos, metodologia com IA.

Conhecer o Workshop