Relatório de Impacto à Proteção de Dados (RIPD) Brasil

O Relatório de Impacto à Proteção de Dados (RIPD) é o documento empresarial firmado no Brasil com base na LGPD Art. 38 (Lei 13.709/2018).

A LGPD foi sancionada em 14 de agosto de 2018 e entrou em vigor em setembro de 2020, com as sanções administrativas da Autoridade Nacional de Proteção de Dados (ANPD) operacionais a partir de agosto de 2021. A ANPD, criada pelo Decreto 10.474/2020 e estruturada como autarquia de natureza especial vinculada à Presidência da República, publicou o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado (2021) e o Guia de Boas Práticas — RIPD (2022), que detalham os requisitos mínimos do relatório e a metodologia recomendada para avaliação de riscos.

O Art. 38 da LGPD determina que a ANPD pode solicitar ao controlador relatório de impacto à proteção de dados pessoais, especialmente quando o tratamento tiver como fundamento legal o legítimo interesse (Art. 7º, inciso IX, e Art. 10 da LGPD). O §2º do Art. 38 estabelece que o relatório deverá conter a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações, e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados. O descumprimento da obrigação de elaborar o RIPD quando solicitado pela ANPD pode resultar nas sanções do Art. 52 da LGPD, incluindo multa de até R$ 50 milhões por infração.

Além do Art. 38, o RIPD está relacionado com o Art. 46 da LGPD (medidas de segurança técnicas e administrativas), o Art. 47 (comunicação da política de segurança e boas práticas de proteção de dados aos operadores), o Art. 48 (comunicação de incidentes de segurança à ANPD e ao titular), e o Art. 50 (programa de governança em privacidade). A Resolução CD/ANPD nº 2/2022, que regula a aplicação da LGPD aos agentes de pequeno porte — microempresas (ME), empresas de pequeno porte (EPP) e microempreendedores individuais (MEI) — também faz referência ao RIPD como instrumento de demonstração de conformidade, ainda que em formato simplificado.

No contexto regulatório internacional, o RIPD equivale ao DPIA exigido pelo Art. 35 do Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR — Regulamento UE 2016/679), do qual a LGPD foi amplamente inspirada. Organizações que operam tanto no Brasil quanto na União Europeia podem aproveitar a estrutura do DPIA para elaborar o RIPD, respeitando as especificidades da legislação brasileira e as orientações da ANPD. O Guia de RIPD da ANPD (2022) é compatível com as diretrizes do Comitê Europeu para Proteção de Dados (EDPB — Guidelines 09/2022 on DPIA). A norma ABNT NBR ISO/IEC 27701:2019, extensão da ABNT NBR ISO/IEC 27001, complementa o RIPD ao estabelecer o framework de gestão de privacidade da informação.

O forms-legal.com disponibiliza este modelo de RIPD como instrumento de conformidade com a LGPD no Brasil.

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) no Brasil é necessário em situações específicas previstas na LGPD e nas orientações da ANPD, especialmente quando o tratamento de dados pessoais pode gerar riscos elevados aos direitos e liberdades dos titulares.

O RIPD é obrigatório ou fortemente recomendado nas seguintes situações:

— Tratamento com base no legítimo interesse (Art. 7º, inciso IX, e Art. 10 da LGPD): quando o controlador fundamenta o tratamento no legítimo interesse, a ANPD pode exigir o RIPD para verificar se os interesses do controlador prevalecem sobre os direitos do titular, especialmente em operações de tratamento que possam causar impacto significativo aos titulares;

— Tratamento de dados pessoais sensíveis em larga escala: dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico (Art. 11 da LGPD) exigem atenção redobrada e elaboração de RIPD;

— Monitoramento sistemático de titulares: atividades que envolvem rastreamento sistemático de localização, comportamento online, ou vigilância por câmeras em espaços públicos;

— Decisões automatizadas com efeitos jurídicos ou significativos: tratamento automatizado de dados para elaboração de perfil (profiling), scoring de crédito, recrutamento automatizado, avaliação de solvabilidade, ou qualquer decisão que produza efeitos jurídicos sobre o titular (Art. 20 da LGPD);

— Compartilhamento de dados com operadores estrangeiros: transferência internacional de dados pessoais para países sem nível adequado de proteção reconhecido pela ANPD (Art. 33 da LGPD), sem cláusulas contratuais padrão ou normas corporativas globais aprovadas;

— Novos produtos, serviços ou tecnologias: lançamento de aplicativos, plataformas digitais, programas de fidelidade, sistemas de reconhecimento facial ou biométrico, ou qualquer nova tecnologia que implique tratamento de dados pessoais em escala;

— Auditoria regulatória da ANPD: quando a ANPD solicita o RIPD no exercício de seu poder fiscalizatório, com base no Art. 38 da LGPD. O não fornecimento do RIPD pode configurar descumprimento da LGPD e sujeitar o controlador a sanções administrativas do Art. 52, incluindo advertência, multa de até R$ 50 milhões por infração, e publicização da infração;

— Programa de governança em privacidade (Art. 50 da LGPD): organizações que implementam programa de governança devem incluir o RIPD como instrumento regular de demonstração de conformidade perante a ANPD e parceiros comerciais.

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) no Brasil, conforme o Art. 38 da LGPD e o Guia de Boas Práticas da ANPD (2022), deve contemplar os elementos essenciais a seguir.

Identificação do Controlador e do Encarregado (DPO): Razão social, CNPJ, endereço do controlador e dados de contato do Encarregado pelo Tratamento de Dados Pessoais (DPO — Data Protection Officer), cuja indicação é obrigatória nos termos do Art. 41 da LGPD, com publicização de suas informações de contato no sítio eletrônico do controlador. O DPO deve ter participação ativa na elaboração e na aprovação do RIPD, conforme recomendação expressa do Guia RIPD da ANPD (2022).

Descrição da Atividade de Tratamento: Identificação precisa da atividade de tratamento avaliada — nome do processo, sistema ou projeto; finalidade do tratamento (Art. 6º, inciso I, da LGPD); base legal utilizada (Arts. 7º e 11 da LGPD); categorias de dados pessoais tratados (comuns e/ou sensíveis conforme Art. 5º, inciso II); categorias de titulares; volume estimado de titulares afetados; e ciclo de vida do dado (coleta, armazenamento, uso, compartilhamento, eliminação).

Necessidade e Proporcionalidade: Avaliação da adequação (o tratamento é compatível com a finalidade declarada?), necessidade (os dados coletados são os mínimos necessários — princípio da minimização do Art. 6º, inciso III, da LGPD?) e proporcionalidade (os benefícios do tratamento superam os riscos e impactos negativos sobre os titulares?). Esse teste de proporcionalidade é obrigatório nos termos do §2º do Art. 38 da LGPD e do Art. 10, §2º (legítimo interesse).

Avaliação de Riscos: Identificação sistemática das ameaças ao tratamento de dados pessoais — acesso não autorizado, vazamento, alteração, destruição, perda, e uso indevido. Para cada risco identificado, deve-se avaliar a probabilidade de ocorrência (alta, média ou baixa) e o impacto potencial sobre os titulares (grave, moderado ou leve), gerando uma matriz de risco. O Guia RIPD da ANPD recomenda o uso de métodos estruturados como EBIOS Risk Manager (metodologia francesa da ANSSI) ou ISO/IEC 27005 para análise de riscos.

Medidas Técnicas de Segurança: Descrição das salvaguardas tecnológicas adotadas conforme o Art. 46 da LGPD e as normas ABNT NBR ISO/IEC 27001 (gestão de segurança da informação) e ABNT NBR ISO/IEC 27701 (gestão de privacidade da informação) — como criptografia em trânsito (TLS 1.3) e em repouso (AES-256), controle de acesso por função (RBAC), autenticação multifator (MFA), anonimização ou pseudonimização dos dados, e monitoramento de incidentes (SIEM). A certificação ISO 27701 por organismo acreditado pelo INMETRO é reconhecida pela ANPD como indicador de conformidade.

Medidas Administrativas e Organizacionais: Políticas internas de proteção de dados aprovadas pela alta administração, treinamento periódico de colaboradores com acesso a dados pessoais, gestão de fornecedores e operadores (contratos DPA nos termos do Art. 39 da LGPD), plano de resposta a incidentes de segurança alinhado à Resolução CD/ANPD nº 4/2023, programa de conscientização, e auditoria regular de conformidade.

Riscos Residuais e Aprovação: Após a aplicação das medidas de mitigação, identificação dos riscos residuais aceitos pela organização, com justificativa documentada e assinatura da alta administração e do DPO. O RIPD deve ser versionado e revisado anualmente ou sempre que houver mudança significativa na atividade de tratamento avaliada.

O forms-legal.com disponibiliza este modelo de RIPD como ponto de partida — a elaboração final exige análise técnica por especialistas em privacidade e proteção de dados, preferencialmente com certificação CIPM (Certified Information Privacy Manager) ou equivalente, e revisão jurídica por advogado membro da OAB com expertise em LGPD.

Para elaborar o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) conforme exigido pelo Art. 38 da LGPD e as diretrizes da ANPD, siga os passos abaixo.

Passo 1 — Identifique o escopo: determine qual atividade de tratamento será avaliada. O RIPD deve ser elaborado por atividade de tratamento, não por toda a organização de uma vez. Comece pelas atividades de maior risco — tratamento de dados sensíveis, decisões automatizadas, tratamento em larga escala, ou que exijam o legítimo interesse como base legal.

Passo 2 — Reúna a equipe multidisciplinar: o RIPD não é um documento exclusivamente jurídico. Envolva o DPO (Encarregado), a área de TI/segurança da informação, o jurídico, a área de negócios responsável pelo processo e, quando necessário, consultoria externa especializada em privacidade.

Passo 3 — Descreva o fluxo de dados: mapeie o ciclo completo — de onde os dados são coletados, como são armazenados, quem tem acesso, com quem são compartilhados, por quanto tempo são retidos, e como são eliminados. Utilize o Registro de Atividades de Tratamento (Art. 37 da LGPD) como base de informações.

Passo 4 — Realize a análise de necessidade e proporcionalidade: para cada categoria de dado coletado, questione se a coleta é estritamente necessária para a finalidade declarada. Aplique o princípio da minimização de dados (Art. 6º, inciso III, da LGPD) — colete apenas o mínimo necessário.

Passo 5 — Construa a matriz de riscos: liste as ameaças potenciais (vazamento de dados, acesso não autorizado, uso indevido, engenharia social), avalie probabilidade e impacto de cada uma, calcule o nível de risco bruto, aplique as medidas de mitigação já existentes, e registre o risco residual.

Passo 6 — Documente as medidas de segurança: liste todas as salvaguardas técnicas (criptografia AES-256, TLS 1.3, controle de acesso, logs de auditoria, backup, testes de penetração) e administrativas (políticas, treinamentos, gestão de incidentes, DPIAs periódicas) já implementadas.

Passo 7 — Obtenha aprovação e versione: o RIPD deve ser aprovado e assinado pela alta administração e pelo DPO. Registre a versão, a data de elaboração, e a data prevista de revisão (tipicamente anual ou quando houver mudança significativa na atividade de tratamento).

O RIPD deve ser mantido em arquivo pelo controlador e disponibilizado à ANPD quando solicitado. Não é necessário publicar o RIPD, mas recomenda-se manter registro de controle de versões.

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) no Brasil deve cumprir os seguintes requisitos legais e regulatórios para ter plena validade perante a ANPD.

Base Legal na LGPD: O RIPD é fundamentado no Art. 38 da LGPD (Lei 13.709/2018), que autoriza a ANPD a solicitar ao controlador o relatório. O §2º do Art. 38 define os elementos mínimos obrigatórios — descrição dos tipos de dados coletados, metodologia de coleta e segurança das informações, e análise das medidas de mitigação adotadas. A omissão de qualquer desses elementos pode tornar o RIPD insuficiente para fins regulatórios.

Guia de Boas Práticas da ANPD: O Guia RIPD publicado pela ANPD em 2022 detalha a metodologia recomendada para elaboração do relatório, incluindo a estrutura de avaliação de riscos, as categorias de medidas de segurança e os critérios de proporcionalidade. Embora o Guia seja orientativo (não normativo), a ANPD utilizará seus critérios nas fiscalizações.

Art. 46 da LGPD — Segurança: O controlador deve adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. O RIPD deve demonstrar que essas medidas foram implementadas.

Art. 48 da LGPD — Incidentes: O RIPD deve conter plano de resposta a incidentes que preveja a notificação à ANPD e ao titular no prazo razoável (a ANPD tem definido 2 dias úteis para comunicação de incidentes de alto risco, conforme Resolução CD/ANPD nº 4/2023).

Art. 50 da LGPD — Governança: O RIPD é componente essencial do programa de governança em privacidade que controladores e operadores podem desenvolver. Organizações com programa de governança certificado pela ANPD podem obter condições mais favoráveis na aplicação de sanções administrativas do Art. 52.

Normas ABNT: A ABNT NBR ISO/IEC 27701:2019 (extensão da ISO 27001 para gestão de privacidade) é o principal padrão técnico de referência para as medidas de segurança a serem documentadas no RIPD. A certificação ISO 27701 por organismo acreditado pelo INMETRO é reconhecida pela ANPD como indicador de conformidade.

Os erros mais frequentes na elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD) no Brasil são:

Elaborar um RIPD genérico para toda a organização: O RIPD deve ser elaborado por atividade de tratamento específica, não como documento corporativo genérico. Um RIPD que abrange todas as atividades de tratamento da organização em um único documento geralmente não tem o nível de detalhamento exigido pelo Art. 38 da LGPD e pelo Guia da ANPD, sendo insuficiente para demonstrar conformidade.

Omitir a análise de necessidade e proporcionalidade: Muitos RIPDs descrevem os processos de tratamento sem questionar se a coleta de dados é estritamente necessária (princípio da minimização — Art. 6º, inciso III, da LGPD) ou se os benefícios do tratamento superam os riscos e impactos sobre os titulares. A análise de proporcionalidade é elemento obrigatório do §2º do Art. 38.

Confundir RIPD com Política de Privacidade: O RIPD é um documento interno de avaliação de riscos, não destinado à publicação. A Política de Privacidade (ou Aviso de Privacidade) é o documento público que informa os titulares sobre o tratamento de seus dados (Arts. 9º e 18 da LGPD). Confundir os dois documentos leva a gaps de conformidade em ambos.

Não envolver o DPO (Encarregado) na elaboração: O Art. 41 da LGPD exige que o controlador indique um Encarregado, e o Guia da ANPD recomenda expressamente que o DPO participe ativamente da elaboração e revisão do RIPD. RIPDs elaborados sem participação do DPO frequentemente carecem da análise jurídica e técnica necessária.

Não revisar periodicamente o RIPD: O RIPD deve ser tratado como documento vivo, revisado sempre que houver mudança significativa na atividade de tratamento (nova finalidade, nova tecnologia, novo operador, incidente de segurança) ou periodicamente (recomenda-se revisão anual). RIPDs desatualizados podem demonstrar falta de comprometimento com a conformidade perante a ANPD durante fiscalizações.