Conversar WhatsApp
LGPD · LGPD · 6 min de leitura

RIPD: o documento que a ANPD pode pedir amanhã (e você não tem)

A maioria das empresas descobre que precisava ter feito um RIPD depois que a ANPD bate à porta pedindo um. Se sua empresa usa biometria, constrói perfil de comportamento de cliente ou monitora funcionários em escala, o documento é esperado pela Autoridade. E "esperado" vale tanto quanto obrigatório.

RIPD: o documento que a ANPD pode pedir amanhã (e você não tem)
Leonardo Ribeiro
Escrito por
Leonardo Ribeiro
Sócio · Ribeiro Sociedade de Advogados
Publicado em

Boa parte das empresas que deveriam ter um RIPD não tem. Pior: nem sabem que precisam. O Relatório de Impacto à Proteção de Dados Pessoais é definido no art. 5º, inciso XVII da LGPD, e a ANPD pode requisitá-lo a qualquer momento com base no art. 38. Sem prazo mínimo de carência. Sem limiar de porte de empresa.

A confusão começa porque a lei não criou uma lista fechada do tipo "quem faz X é obrigado a ter RIPD". Ela criou uma obrigação flutuante: tratamento com alto potencial de risco a direitos e liberdades fundamentais exige relatório de impacto. Isso significa que a empresa precisa fazer a própria análise, documentar e manter atualizado. Se a ANPD pedir e você não tiver, o processo já começa em desvantagem.

O que o art. 38 realmente diz

O art. 38 dá à ANPD poder de requisitar o RIPD quando quiser, "em especial quando se tratar de dados sensíveis ou quando houver legítimo interesse como base legal". Esses dois gatilhos já cobrem uma parcela enorme das operações de empresas de médio porte que trabalham com RH, saúde, marketing ou segurança.

O conteúdo mínimo está no parágrafo único do mesmo artigo: descrição dos tipos de dados tratados, metodologia de coleta e segurança, análise dos riscos e as medidas de mitigação adotadas. A ANPD pode definir requisitos complementares por regulamentação específica. Por enquanto, o padrão do GDPR europeu serve como referência técnica razoável, e é o que a maioria dos auditores usa na prática.

Nossa leitura: qualquer empresa que trate dados sensíveis ou que opere com tratamento em escala já deveria ter pelo menos um RIPD básico documentado. Não como proteção jurídica formal. Como demonstração de que a empresa sabe o que está fazendo com os dados dos outros.

Os casos que quase sempre pedem RIPD

A ANPD não publicou lista taxativa, mas a prática regulatória deixa claro quais atividades estão no radar:

  • Biometria: digital, reconhecimento facial, voz. Dado sensível pelo art. 5º, inciso II. Ponto biométrico, acesso por face em academia ou condomínio. RIPD esperado.
  • Perfil de comportamento: cruzamento de histórico de compras, navegação, geolocalização ou interações pra classificar ou prever comportamento. E-commerce, fintech, apps com segmentação dinâmica.
  • Vigilância em escala: câmeras com armazenamento centralizado, monitoramento sistemático de funcionários (e-mail corporativo, log de sistemas, GPS de frota).
  • Decisões automatizadas: concessão de crédito, aprovação de cadastro, scoring sem revisão humana. O art. 20 trata o direito à revisão nesse contexto, e o RIPD complementa a documentação.
  • Dados de saúde: prontuário eletrônico, apps com dado clínico, planos de saúde empresariais com acesso do RH aos dados dos colaboradores.
  • Dados de crianças: qualquer plataforma que, mesmo indiretamente, capte dados de menores de 18 anos.

Se sua empresa se enquadra em mais de um item, não é um único RIPD que você precisa. São vários, um por atividade com perfil de risco diferente.

A estrutura do documento na prática

Um RIPD funcional tem seis blocos. Não precisa de 40 páginas. De 8 a 12 páginas bem preenchidas cumpre a função. O que não pode é ser genérico: "a empresa adota medidas de segurança adequadas" não é mitigação de risco, é ruído.

  • Descrição do tratamento: o que é coletado, de quem, com qual finalidade, por quanto tempo fica armazenado e quem tem acesso.
  • Base legal: qual dos incisos do art. 7º (ou art. 11, para dado sensível) autoriza esse tratamento. Uma base por atividade, não uma lista genérica.
  • Mapeamento de risco: lista os riscos possíveis, como vazamento, acesso indevido, discriminação algorítmica. Cada risco com probabilidade e impacto: alto, médio ou baixo.
  • Medidas de mitigação: o que a empresa já faz pra reduzir cada risco. Criptografia, controle de acesso por função, política de retenção com prazo definido, treinamento documentado.
  • Risco residual: o que permanece mesmo após as medidas. Se for alto, precisa justificar por que o tratamento ainda é necessário e proporcionalmente justificável.
  • Responsáveis e revisão: nome do controlador, DPO envolvido, data de elaboração e data prevista de revisão.

Quem assina e quem precisa entender o que está assinando

A LGPD não exige firma reconhecida nem assinatura digital certificada. O que importa é que fique claro quem é o controlador responsável pelo tratamento, quem conduziu a análise e qual é o encarregado (DPO) da empresa, conforme art. 41.

O DPO não assina como quem aprova o tratamento. Ele participa da elaboração e atesta que o relatório seguiu metodologia adequada. A responsabilidade final é do controlador. Se o RIPD for produzido por consultoria externa, esses terceiros ajudam a construir, mas o documento é da empresa.

Falando sério: o RIPD assinado só pelo DPO externo, sem envolvimento real do responsável interno, é o primeiro argumento que a ANPD derruba numa investigação. O controlador precisa demonstrar que leu, entendeu e validou o conteúdo. Documento existente, mas incompreendido por quem assinou, é pior do que documento inexistente.

Com que frequência revisar

A LGPD não fixou prazo de revisão do RIPD. Nossa referência prática é revisão a cada 24 meses como baseline, com revisão imediata nas seguintes situações:

  • Mudança de sistema ou tecnologia que altere como os dados são coletados ou processados.
  • Novo fornecedor ou operador com acesso aos dados cobertos pelo relatório.
  • Expansão significativa do volume de dados ou do número de titulares afetados.
  • Incidente de segurança relacionado ao tratamento descrito no RIPD.
  • Troca de base legal, como deixar de usar consentimento e passar a usar legítimo interesse.

Um RIPD de 2022 cobrindo um sistema que hoje tem o dobro de usuários e quatro integrações novas é armadilha. Demonstra que a empresa sabia do risco, documentou e depois parou de acompanhar. A ANPD trata isso como agravante, não como atenuante.

O que acontece quando a ANPD pede e você não tem

A ausência de RIPD entra na análise do art. 52 como fator agravante, especificamente nos critérios de "ausência de adoção de medidas de segurança" e "inexistência de mecanismo de controle e de mitigação de risco". Esses dois itens pesam no cálculo da multa, que pode chegar a 2% do faturamento bruto no Brasil no último exercício, limitada a R$ 50 milhões por infração.

Na prática, o que a ANPD tem feito é enviar ofício requisitando o RIPD com prazo de 15 a 30 dias pra resposta. Empresa que não tem o documento pronto começa a produzir às pressas, e RIPD feito sob pressão tende a ser inconsistente com a operação real. Isso cria exposição adicional durante a análise da Autoridade.

O que fazer nas próximas 2 semanas

Primeiro: mapeie as atividades de tratamento da empresa e identifique quais estão nos casos de alto risco listados acima. Biometria, câmera com armazenamento, perfil de comportamento, dado de saúde. Uma lista de atividades num documento de texto já é um começo concreto.

Segundo: reúna o responsável pelo setor que opera os dados, o DPO e o jurídico. O RIPD precisa de informação técnica (como o dado é processado, onde fica, quem acessa) e de análise jurídica (base legal, direitos dos titulares, riscos legais). Sem os dois lados, o documento não fecha.

Terceiro: defina o ciclo de revisão agora. Bota no calendário com 30 dias de antecedência do vencimento. RIPD que existe mas nunca é revisado vira prova contra a empresa, não a favor.

Precisa de orientação?

Fale com um advogado da RSA.

Diagnóstico objetivo em até 24h úteis.

WhatsApp direto Formulário de contato
Continue lendo sobre LGPD

Artigos relacionados

LGPD para SaaS: o bug de multi-tenant que vira incidente
LGPD
LGPD para SaaS: o bug de multi-tenant que vira incidente
 LGPD em M&A: a dívida de dados que o comprador herda
LGPD
LGPD em M&A: a dívida de dados que o comprador herda
 Seu RH coleta dado sensível todo dia. A maioria sem base legal.
LGPD
Seu RH coleta dado sensível todo dia. A maioria sem base legal.
Ver todos os artigos de LGPD →