RIPD na LGPD: o que é, quando é obrigatório e como fazer

O RIPD é o documento mais mal explicado da LGPD: metade da internet diz que toda empresa precisa de um, a outra metade jura que é coisa de multinacional. As duas estão erradas, e o erro custa caro nos dois sentidos. Fazer um relatório sem necessidade consome semanas de trabalho; não ter um quando a ANPD pede vira problema sério.

Se você está montando a documentação da sua empresa, é natural travar nessa sigla. O RIPD (Relatório de Impacto à Proteção de Dados Pessoais) é um dos documentos previstos na Lei Geral de Proteção de Dados, mas a própria lei não traz uma lista fechada de quem é obrigado a elaborá-lo. É exatamente essa lacuna que gera tanta confusão.

Neste guia, você vai entender o que é o RIPD na LGPD, em quais situações ele se torna exigível, e como elaborar o seu em 8 passos baseados no modelo oficial do governo. No final, uma tabela mostra se a sua empresa precisa ou não do relatório. Tudo em linguagem de empresário, sem juridiquês.

O que é o RIPD na LGPD?

O RIPD (Relatório de Impacto à Proteção de Dados Pessoais) é o documento que descreve os tratamentos de dados capazes de gerar riscos às liberdades civis e aos direitos fundamentais dos titulares, junto com as medidas e salvaguardas adotadas para reduzir esses riscos. A definição está no artigo 5º, inciso XVII, da Lei 13.709/2018.

Traduzindo: o RIPD é um estudo de risco documentado sobre os usos de dados mais delicados da sua empresa.

Ele responde a três perguntas. O que pode dar errado? Qual o impacto para as pessoas se der errado? E o que a empresa faz para evitar?

Um detalhe importante: o RIPD é documentação do controlador, a empresa que decide como e por que os dados são tratados. Se você ainda tem dúvida sobre esse papel, nosso guia de controlador e operador na LGPD explica quem responde pelo quê.

Também vale separar dois documentos que se confundem. O registro de tratamento (ou ROPA) lista todas as operações com dados da empresa, do cadastro de clientes à folha de pagamento. O relatório de impacto aprofunda apenas as operações de maior risco. O registro é o inventário completo; o RIPD é a lupa sobre os pontos críticos.

O que diz o artigo 38 da LGPD

A base legal do RIPD está no artigo 38 da Lei 13.709/2018. Ele diz que a ANPD, a Autoridade Nacional de Proteção de Dados, pode determinar ao controlador que elabore o relatório de impacto, inclusive sobre dados sensíveis, respeitados os segredos comercial e industrial.

O parágrafo único do mesmo artigo define o conteúdo mínimo do documento:

Conteúdo mínimo do RIPD (art. 38, parágrafo único):
1. Descrição dos tipos de dados coletados;
2. Metodologia utilizada para a coleta e para a garantia da segurança das informações;
3. Análise do controlador sobre as medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Outros trechos da lei também citam o relatório. O artigo 10, parágrafo 3º, permite que a ANPD solicite o documento quando o tratamento se apoia em legítimo interesse. O artigo 32 autoriza a autoridade a pedir a publicação de relatórios de impacto a órgãos públicos. Por isso a internet está cheia de RIPDs de tribunais e autarquias em PDF: eles são publicados por transparência.

Um ponto de honestidade que quase ninguém conta: a regulamentação específica do RIPD ainda está na agenda regulatória da ANPD. Até junho de 2026, não havia resolução final publicada detalhando hipóteses e formato. Enquanto isso, valem a lei e o guia oficial do governo, que vamos usar como base no passo a passo.

Quando o RIPD é obrigatório?

A LGPD não traz uma lista fechada de situações em que o RIPD é obrigatório. Na prática, o relatório de impacto se torna exigível quando a ANPD determina ou solicita, e é fortemente recomendado quando a empresa realiza tratamento de alto risco. Quem espera o pedido chegar para começar costuma se arrepender do prazo.

Existem três cenários que você precisa conhecer.

1. Quando a ANPD determina ou solicita

É a hipótese direta do artigo 38. A ANPD pode exigir o relatório em uma fiscalização, em uma investigação de incidente ou na análise de uma denúncia. Há ainda o caso do legítimo interesse: se essa é a base legal de algum tratamento seu, a autoridade pode pedir o relatório de impacto correspondente a qualquer momento.

2. Quando o tratamento é de alto risco

A Resolução CD/ANPD nº 2/2022 trouxe critérios objetivos para identificar tratamento de alto risco. Ele acontece quando a operação atende a pelo menos um critério geral e um critério específico.

Critérios gerais:

• Tratamento em larga escala (muitos titulares, grande volume, longa duração ou ampla extensão geográfica)
• Tratamento que pode afetar significativamente interesses e direitos dos titulares

Critérios específicos:

• Uso de tecnologias emergentes ou inovadoras
• Vigilância ou controle de zonas acessíveis ao público
• Decisões tomadas unicamente por tratamento automatizado, inclusive para definir perfis
• Uso de dados sensíveis ou dados de crianças, adolescentes e idosos

Para empresas de pequeno porte, esse enquadramento tem um efeito extra. Quem faz tratamento de alto risco perde as flexibilizações da Resolução 2/2022, como o registro simplificado e os prazos em dobro. Nesse cenário, manter um RIPD deixa de ser luxo e passa a ser o sinal de governança que a fiscalização espera encontrar.

3. Quando o mercado ou o contrato exige

Órgãos públicos publicam seus relatórios por força do artigo 32. O efeito cascata: editais de licitação e clientes corporativos cada vez mais pedem o documento de seus fornecedores. Se a sua empresa vende para governo ou para grandes empresas, prepare-se para essa pergunta no questionário de conformidade.

Quer saber em qual cenário a sua operação se encaixa antes de investir tempo no documento? A tabela a seguir resolve as dúvidas mais comuns em um minuto de leitura.

Minha empresa precisa de RIPD? Tabela de decisão

A tabela abaixo orienta os casos mais comuns. Ela não substitui a análise da sua operação concreta, mas resolve 90% das dúvidas que chegam até nós.

Repare na última linha. O RIPD é um documento de exceção, não de rotina. Para a maioria das operações simples, o esforço certo está no mapeamento e no registro de tratamento, não em relatórios de impacto para tudo.

Um exemplo ilustrativo do lado "não precisa": Marcos tem uma consultoria financeira com 4 funcionários e atende 30 empresas clientes. Os dados que trata são nome, e-mail e telefone de contatos comerciais. Nada sensível, nada de criança, nenhuma decisão automatizada.

Em vez de gastar duas semanas em um RIPD que ninguém exigiu, ele manteve o inventário de dados atualizado. Quando um cliente grande mandou o questionário de conformidade, o inventário respondeu tudo.

RIPD e DPIA: qual a diferença?

Se você pesquisou o tema, já cruzou com a sigla DPIA (Data Protection Impact Assessment). É o instituto equivalente do GDPR, a lei europeia de proteção de dados, previsto no artigo 35 daquela norma.

A diferença central está no gatilho. No GDPR, o DPIA é obrigatório sempre que o tratamento tende a gerar alto risco, com hipóteses listadas na própria lei. Na LGPD, o RIPD não tem gatilho automático: a obrigação nasce da determinação da ANPD, e o alto risco funciona como forte recomendação enquanto a regulamentação específica não sai.

Na prática, a estrutura dos dois documentos é quase idêntica: descrição do tratamento, análise de necessidade, avaliação de riscos e medidas de mitigação. Se a sua empresa atende clientes europeus e já fez um DPIA, boa notícia: a maior parte do trabalho serve de base para o relatório brasileiro.

Como fazer um RIPD em 8 passos

Chegou a parte prática. O roteiro abaixo segue a estrutura do guia e template oficial de RIPD do governo federal, traduzida para a realidade de uma empresa privada de pequeno porte.

Passo 1: mapeie os tratamentos e identifique os de risco

Não existe relatório de impacto sem mapeamento de dados antes. É o mapeamento que mostra quais operações envolvem dados sensíveis, menores de idade, grande volume ou decisões automatizadas. Dessa lista, selecione apenas os tratamentos que cruzam os critérios de alto risco. São eles que entram no RIPD.

Passo 2: identifique os agentes e o encarregado

Abra o documento informando quem é o controlador (a sua empresa), quais operadores participam do tratamento (sistemas, plataformas e prestadores que processam dados por ordem sua) e quem é o encarregado de dados (DPO), com canal de contato. Essa identificação dá nome aos responsáveis e é o primeiro item que qualquer leitor do relatório procura.

Passo 3: descreva o tratamento

Detalhe a operação analisada em quatro dimensões: natureza (o que é feito com os dados), escopo (quais dados, quantos titulares, por quanto tempo), contexto (de onde os dados vêm, quem tem acesso) e finalidade (para que tudo isso serve). Seja específico. "Dados de pacientes para atendimento clínico e faturamento de convênio" diz muito mais que "dados de clientes para prestação de serviços".

Passo 4: justifique necessidade e proporcionalidade

Aqui você demonstra que o tratamento usa apenas os dados necessários para a finalidade declarada e que existe uma base legal correta sustentando a operação. Pergunte-se: dá para alcançar o mesmo resultado com menos dados? Se a resposta for sim, ajuste a operação antes de seguir. RIPD bom muda processos, não só descreve.

Passo 5: identifique e classifique os riscos

Liste o que pode dar errado para o titular: acesso não autorizado, vazamento, uso para finalidade desviada, reidentificação de dados que deveriam estar anonimizados, discriminação por decisão automatizada. Para cada risco, atribua probabilidade e impacto (baixo, médio ou alto). Essa matriz simples prioriza o que merece resposta primeiro.

Passo 6: defina as medidas e salvaguardas

Para cada risco relevante, registre a contramedida correspondente. As mais comuns em pequenas empresas: controle de acesso por perfil, criptografia ou pseudonimização, política de senhas, treinamento da equipe, cláusulas de proteção de dados nos contratos com operadores e um plano de resposta a incidentes. Risco listado sem medida correspondente é bandeira vermelha em qualquer avaliação.

Passo 7: documente, aprove e assine

Consolide tudo no documento final, com data, versão e assinatura de quem aprovou. Sem aprovação formal, o RIPD não demonstra comprometimento da gestão, e é isso que a fiscalização quer ver. Se não quiser partir de uma página em branco, os templates de documentos LGPD do DataSafu incluem um modelo de RIPD com preenchimento guiado, feito para pequenas empresas e alinhado à estrutura do template oficial.

Passo 8: revise periodicamente

O RIPD é um documento vivo. Revise pelo menos uma vez por ano e sempre que a operação mudar: sistema novo, fornecedor novo, finalidade nova ou incidente de segurança. Um relatório de 2023 descrevendo uma operação que mudou três vezes vale pouco mais que nada.

Um caso ilustrativo de como isso funciona: a dra. Renata, dona de uma clínica dermatológica com 12 funcionários, descobriu em um edital de credenciamento de convênio a exigência de "relatório de impacto atualizado". Seguindo esse roteiro, ela partiu do mapeamento que já tinha, focou o RIPD nos prontuários e no sistema de agendamento, e fechou o documento em duas tardes de trabalho. Sem o mapeamento pronto, a mesma tarefa teria levado semanas.

Erros comuns ao elaborar o relatório de impacto

Depois de ver dezenas de relatórios, os mesmos problemas se repetem. Evite estes seis:

• Copiar um RIPD público e trocar o logotipo. Os PDFs de órgãos públicos que você encontra no Google descrevem a operação deles, não a sua. Documento genérico cria falsa sensação de conformidade.
• Confundir RIPD com registro de tratamento. O registro cobre tudo; o relatório aprofunda o que é de risco. Entregar um pelo outro mostra que a empresa não entendeu a lógica.
• Fazer RIPD para todos os tratamentos. Relatório de impacto da lista de e-mails do churrasco da firma é desperdício de energia que ninguém pediu.
• Listar riscos sem medidas. Identificar o problema e não dizer o que faz a respeito é confissão por escrito.
• Tratar como documento de gaveta. Sem revisão periódica, o relatório envelhece junto com a operação.
• Deixar só com o jurídico. Quem conhece os riscos reais é quem opera o dia a dia: atendimento, TI, RH. Envolva essas pessoas.

O custo de ignorar o tema já apareceu na prática. Na primeira multa aplicada pela ANPD, em julho de 2023, a microempresa Telekall Infoservice também levou advertência por não conseguir comprovar que não realizava tratamento de alto risco. O ônus de demonstrar o nível de risco é de quem trata os dados, e é exatamente essa demonstração que um relatório bem feito entrega.

Perguntas frequentes sobre o RIPD na LGPD

O que significa RIPD?

RIPD é a sigla de Relatório de Impacto à Proteção de Dados Pessoais. É o documento do controlador que descreve os tratamentos capazes de gerar riscos aos titulares e as medidas adotadas para mitigá-los, conforme o artigo 5º, XVII, da LGPD.

Quando a ANPD pode solicitar o relatório de impacto?

A qualquer momento, com base no artigo 38, especialmente em fiscalizações e apurações de incidentes. Quando o tratamento se apoia em legítimo interesse, o artigo 10, parágrafo 3º, dá à autoridade o poder específico de pedir o documento. A página oficial da ANPD sobre o RIPD reúne as orientações vigentes.

RIPD é obrigatório para pequenas empresas?

Não existe exigência automática por porte. Porém, se a pequena empresa realiza tratamento de alto risco, como dados de saúde em escala ou dados de crianças, ela perde as flexibilizações da Resolução CD/ANPD nº 2/2022 e o relatório passa a ser fortemente recomendado.

Qual a diferença entre RIPD e DPIA?

DPIA é o relatório do GDPR europeu, obrigatório sempre que o tratamento tende a gerar alto risco. RIPD é a versão brasileira, exigível mediante determinação da ANPD. A estrutura dos documentos é praticamente a mesma, o que muda é o gatilho da obrigação.

Quem elabora e assina o RIPD?

A responsabilidade é do controlador. Na prática, o encarregado de dados (DPO) costuma coordenar a elaboração, com participação das áreas que operam o tratamento, e a direção da empresa aprova e assina.

Existe modelo de RIPD para seguir?

Sim. O governo federal publica um guia com template oficial, pensado para órgãos públicos mas útil como referência de estrutura. Para uma versão adaptada à realidade de pequenas empresas, com preenchimento guiado, o DataSafu oferece o modelo dentro dos templates da plataforma.

RIPD sem mistério: o caminho resumido

O RIPD na LGPD deixa de assustar quando você entende as três verdades do documento. Ele é um estudo de risco do controlador, não um formulário burocrático. Ele não é obrigatório para todo mundo, mas se torna exigível quando a ANPD pede e esperado quando há tratamento de alto risco. E ele depende de um mapeamento de dados bem feito, porque ninguém analisa risco de operação que não conhece.

Comece de trás para frente: mapeie seus tratamentos, verifique na tabela deste guia se algum cruza os critérios de alto risco e, só então, elabore o relatório seguindo os 8 passos. Se a resposta for "não preciso", documente o porquê e siga cuidando do registro de tratamento.

Quer esse caminho com orientação embutida? Faça o diagnóstico da sua empresa no DataSafu. Em poucos minutos, você descobre seu nível de risco na LGPD, vê se o RIPD entra na sua lista de pendências e recebe os próximos passos na ordem certa, sem consultoria cara e sem juridiquês.