O que é RIPD e quando ele é obrigatório segundo a LGPD

Entenda quando sua empresa precisa elaborar o Relatório de Impacto à Proteção de Dados Pessoais

Com a consolidação da ANPD como Agência Nacional de Proteção de Dados, a fiscalização da Lei Geral de Proteção de Dados (LGPD) vai se tornar mais ativa e técnica.E um dos principais documentos que a ANPD pode exigir das empresas é o RIPD — Relatório de Impacto à Proteção de Dados Pessoais.

Mas afinal, o que é o RIPD, quando ele é obrigatório e como elaborar esse relatório de forma correta?

O que é o RIPD

Segundo o artigo 5º, inciso XVII, da LGPD, o RIPD é a documentação do controlador que descreve os processos de tratamento de dados pessoais que podem gerar alto risco aos direitos e liberdades dos titulares, indicando medidas de mitigação, salvaguardas e controles adotados pela organização.

Em outras palavras, é um documento técnico de governança, que mostra como a empresa identifica e controla riscos de privacidade — o equivalente ao RIPD europeu (DPIA) previsto no GDPR.

O RIPD é prova de conformidade: mostra que a empresa cumpre o princípio da responsabilização e prestação de contas (art. 6º, X) da LGPD.

Quem deve elaborar o RIPD

O controlador é o agente de tratamento responsável pela elaboração do RIPD (art. 38 da LGPD).Porém, a prática ideal é que o DPO (Encarregado) participe ativamente do processo, junto com as áreas jurídica, de TI, segurança e compliance.

O relatório deve ser aprovado internamente e revisado sempre que houver mudanças significativas nos tratamentos ou nos riscos.

Quando o RIPD é obrigatório

A ANPD recomenda elaborar o RIPD em todo contexto em que o tratamento possa gerar alto risco aos direitos dos titulares.

Além disso, a LGPD prevê situações específicas em que ele pode ser exigido formalmente pela Agência:

Casos previstos na LGPD:

• Art. 4º, §3º: tratamento para fins de segurança pública, defesa nacional, segurança do Estado ou investigação penal;

• Art. 10, §3º: quando o tratamento se baseia em interesse legítimo;

• Art. 32: agentes públicos que realizem tratamento de dados;

• Art. 38: controladores em geral, especialmente quando tratam dados pessoais sensíveis.

Na prática, também deve ser elaborado sempre que o tratamento envolver:

• Grande volume de titulares (“larga escala”);

• Dados sensíveis (saúde, biometria, origem racial, crença, etc.);

• Decisões automatizadas que afetem direitos;

• Monitoramento, rastreamento ou uso de tecnologias inovadoras;

• Dados de crianças, adolescentes ou idosos.

Esses critérios são definidos pela Resolução nº 2/2022 da ANPD e são a base para o conceito de “tratamento de alto risco”.

Quando elaborar o RIPD

O ideal é que o RIPD seja elaborado antes do início do tratamento de dados, ainda na fase de planejamento de novos processos ou sistemas.Assim, a empresa pode avaliar riscos preventivamente e definir as salvaguardas adequadas antes que o dado seja usado.

Caso isso não seja possível, o relatório deve ser produzido assim que o tratamento de alto risco for identificado ou sempre que solicitado pela ANPD.

O que deve conter um RIPD

De acordo com a ANPD, o relatório deve conter, no mínimo:

1. Descrição dos tipos de dados pessoais coletados e tratados;

2. Metodologia de tratamento e medidas de segurança aplicadas;

3. Análise das salvaguardas e mecanismos de mitigação de risco;

4. Critérios de necessidade e proporcionalidade;

5. Riscos identificados e planos de ação corretiva.

Além disso, recomenda-se incluir:

• Identificação dos agentes de tratamento e do DPO;

• Finalidade e base legal de cada operação;

• Categorias de titulares e volume de dados;

• Prazo de retenção e política de descarte;

• Avaliação de riscos e níveis de probabilidade e impacto (matriz de risco);

• Aprovação formal pelos responsáveis.

Referência oficial: RIPD – Agência Nacional de Proteção de Dados (ANPD)

O que fazer após elaborar o RIPD

Depois de elaborado, o controlador deve:

• Implementar as medidas de mitigação propostas;

• Registrar e acompanhar as ações de adequação;

• Revisar periodicamente o relatório, especialmente quando houver novos riscos, tecnologias ou mudanças legais;

• Manter o documento disponível para apresentação à ANPD, se solicitado.

A divulgação pública do RIPD não é obrigatória, mas pode ser uma boa prática de transparência e governança.

Como o DPONOTE e a MainSafe podem ajudar

DPONOTE: módulo automatizado para elaboração de RIPD.

MainSafe Consultoria: elaboração e revisão completa de RIPDs, auditorias e relatórios exigidos pela ANPD.

Treinamentos e formação profissional:

• Formação completa de DPO com certificação EXIN internacional;

• Treinamentos corporativos sobre LGPD e segurança da informação para colaboradores.

Veja o passo a passo para criação de uma RIPD no DPONOTE

Quer estruturar um rascunho de RIPD com apoio de IA?

Se você precisa organizar as informações de um tratamento de dados, avaliar riscos, aplicar uma matriz de risco e estruturar medidas de mitigação antes da validação profissional, conheça o Agente RIPD LGPD.

O Agente RIPD LGPD é um assistente de inteligência artificial criado para apoiar a elaboração, revisão e organização de rascunhos de Relatório de Impacto à Proteção de Dados Pessoais.

Ele pode ajudar a partir de um RoPA já existente, de uma descrição de tratamento, de um projeto novo ou de uma atividade ainda em planejamento, conduzindo perguntas sobre dados pessoais, dados sensíveis, titulares, bases legais, sistemas, fornecedores, riscos, impactos, medidas por risco e risco residual.

Importante: o agente é um apoio metodológico e operacional. Ele não substitui advogado, DPO, encarregado, consultor, auditor ou validação profissional.

Acesse o Agente RIPD LGPD - Clique aqui