Agendar Demo
Agendar Demo
Guias de normas

LGPD · Art. 38 da LGPD

Relatório de impacto quando fazer e o que documentar.

O RIPD analisa riscos de tratamentos que podem afetar titulares — entenda quando a lei exige, o que incluir e como manter o documento vivo.

Ver texto oficial

RIPD. 6 minutos de leitura.

Fatos-chave

Base legal

Arts. 5º XVII e 38 da Lei 13.709/2018

Objetivo

Documentar riscos à privacidade e medidas de mitigação

Responsável

Controlador, com participação do encarregado (DPO)

Fiscalização

ANPD pode solicitar RIPD a qualquer momento

O que é o RIPD

O Relatório de Impacto à Proteção de Dados (RIPD) — equivalente ao DPIA/AIPD em outros países — documenta os riscos que um tratamento de dados pessoais pode gerar aos titulares. Descreve o tratamento, avalia necessidade e proporcionalidade, identifica riscos e registra medidas de mitigação. Não é formulário burocrático: é prova de que a organização pensou antes de tratar dados sensíveis ou em larga escala.

Pontos-chave

  • Ferramenta de accountability — demonstra conformidade com princípios da LGPD
  • Deve ser revisado quando o tratamento ou o contexto de risco mudar
  • Complementa o inventário de dados — aprofunda análise onde o risco é maior

Quando elaborar um RIPD

Nem todo tratamento exige RIPD. A LGPD e orientações da ANPD indicam hipóteses como tratamento de dados sensíveis em escala relevante, monitoramento sistemático, decisões automatizadas com efeitos significativos, dados de crianças e tratamentos que possam expor titulares a risco elevado. Na dúvida, fazer RIPD proporcional costuma ser mais seguro do que assumir risco sem documentação.

Pontos-chave

  • Novos produtos, funcionalidades ou finalidades de tratamento
  • Uso de biometria, saúde, localização ou perfilamento
  • Compartilhamento com terceiros ou transferência internacional relevante
  • Quando a ANPD ou política interna exigir avaliação prévia

O que incluir no relatório

Um RIPD sólido descreve o tratamento, base legal, necessidade, riscos aos titulares (confidencialidade, integridade, disponibilidade), medidas existentes e plano de mitigação. Deve registrar consulta ao DPO, envolvimento de áreas técnicas quando necessário e conclusão sobre aceitação residual de risco — com aprovação documentada.

Pontos-chave

  • Descrição clara do fluxo de dados e finalidade
  • Avaliação de riscos e probabilidade/impacto para titulares
  • Medidas técnicas e organizacionais — criptografia, acesso, retenção
  • Plano de ação, responsáveis e data de revisão

ANPD, revisão e versionamento

A ANPD pode requisitar RIPD a qualquer tempo. Relatórios desatualizados — produto mudou, fornecedor novo, incidente ocorreu — perdem valor em fiscalização. Versionar revisões, vincular ao inventário e manter histórico de aprovações evita refazer análise do zero a cada auditoria ou due diligence.

Pontos-chave

  • Mantenha RIPD alinhado ao inventário de tratamentos
  • Reavalie após incidentes de segurança ou mudanças regulatórias
  • DPO valida; alta direção pode precisar aprovar riscos residuais elevados

Da norma à operação

Como estruturar RIPD na prática

Relatório de impacto eficiente parte do inventário — estes passos evitam documento genérico que não sobrevive à ANPD.

Cruze inventário com critérios de risco

Identifique tratamentos que exigem RIPD antes de lançar produto ou integração — não depois do go-live.

Use estrutura consistente

Modelo padronizado acelera elaboração e facilita comparar riscos entre áreas e projetos.

Vincule medidas a plano de ação

Cada risco relevante com mitigação, responsável e prazo — RIPD sem ação vira papel morto.

Versione e revise

Registre mudanças, aprovações e data da próxima reavaliação. DPO assina validação.

Ver módulo LGPD na Sincera

Normas relacionadas

Continue por aqui

LGPDFundamentos da Lei Geral de Proteção de Dados.Ler guia
DPOPapel do encarregado na elaboração e validação do RIPD.Ler guia
Módulo LGPDInventário e documentação de privacidade na Sincera.Ler guia

Perguntas frequentes

Dúvidas comuns sobre RIPD

Não. Apenas tratamentos com risco elevado aos titulares ou em hipóteses previstas na LGPD e orientações da ANPD.
Elaboração envolve controlador e áreas relevantes; DPO participa e valida. Aprovação final depende da governança de risco da empresa.
A plataforma apoia rascunho com base no inventário e modelos. DPO e áreas técnicas validam — relatório exige julgamento humano.
Não. Política informa titulares; RIPD é documento interno de análise de risco para tratamentos específicos.

Precisa de RIPD sem reinventar a roda a cada projeto?

Inventário, modelos de impacto e trilha de aprovação na mesma plataforma — validado pelo DPO.

Conhecer módulo LGPD