Como este tema funciona na sua empresa
RIPD é raro — poucos casos requerem (a menos que haja dados muito sensíveis). Quando obrigatório, DPO externo pode ajudar com template simples. Não há expertise interna.
RIPD aparece regularmente (nova coleta, novo sistema, integração de sensível). Há processo estruturado: gatilhos definidos, responsável designado, revisão por DPO. Templates começam a existir.
RIPD é ferramenta de governance padrão. Banco de templates, expertise interna. Novo projeto que toca dados passa por RIPD automaticamente. Integrado com arquitetura e segurança.
RIPD (Relatório de Impacto à Proteção de Dados Pessoais) é documento que avalia se tratamento de dados pessoais tem risco alto à privacidade e que medidas mitigam esse risco. Equivalente ao DPIA de GDPR. Obrigatório quando processamento é de alto risco (dados sensíveis, automação, monitoramento em larga escala). Para gestores de TI, é ferramenta de governança que força decisões sobre risco antes de implementar.
Quando RIPD é exigível
RIPD não é exigido para todo processamento de dados pessoais, apenas para aqueles de risco alto. Gatilhos típicos segundo LGPD e GDPR:
- Dados sensíveis: Saúde, biometria, dados financeiros, dados de localização
- Processamento automatizado: Decisões tomadas por algoritmo (ex: negação de crédito, recomendação de conteúdo)
- Monitoramento em escala: Tracking de comportamento online, câmeras de vigilância em massa
- Compartilhamento de dados: Dados são vendidos, compartilhados com terceiros, ou combinados de múltiplas fontes
- Impacto legal ou econômico: Decisão de processamento tem efeito significativo em direitos da pessoa
- Dados de menores: Processamento de dados de crianças (< 18 anos) geralmente requer RIPD
Exemplos onde RIPD é necessário:
- Sistema de analytics que coleta comportamento de navegação de usuário
- Integração de RH que expõe dados de saúde de funcionários para cálculo de benefício
- Sistema de CRM que faz scoring de lead para priorizar vendas (automação)
- Compartilhamento de base de usuários com parceiro para marketing
Estrutura de RIPD
RIPD típico inclui seções:
- Descrição do processamento: Que dados são processados? Por quê? Como? Por quanto tempo?
- Necessidade e proporcionalidade: É realmente necessário processar esses dados? Há alternativa menos invasiva?
- Análise de risco: Quais são os riscos à privacidade? Risco de acesso não autorizado? Risco de discriminação? Risco de vazamento?
- Medidas de mitigação: Criptografia? Anonimização? Controle de acesso? Treinamento de pessoal?
- Consultoria com autoridades: Se risco é muito alto, consulta prévia com autoridade de proteção de dados (ANPD no Brasil)
- Conclusão: Processamento pode proceder com medidas descritas, ou precisa ser repensado?
RIPD não é burocracia — é redução de risco. Força empresa a pensar: "Se implementar isso, qual é realmente o risco?". Muitas vezes, resultado é "não devemos implementar assim" ou "precisamos adicionar controles antes"[1].
Processo de elaboração
Passos para fazer RIPD bem feito:
- Identificar gatilho: Novo projeto toca dados? Quais dados? Risco é alto?
- Designar responsáveis: Quem vai elaborar? (Geralmente DPO + time técnico + business owner)
- Mapear fluxo de dados: De onde vêm? Onde são armazenados? Quem tem acesso? Por quanto tempo?
- Identificar riscos: Listar possíveis cenários onde privacidade é violada (vazamento, acesso não autorizado, erro humano)
- Estimar severidade: Se risco ocorre, qual é impacto? Alto (muitos afetados, dados muito sensíveis) ou baixo?
- Definir mitigações: Como reduzir risco? Criptografia? Anonimização? Acesso restrito?
- Revisar e aprovar: DPO, legal, segurança, arquitetura validam antes de projeto prosseguir
- Documentar e guardar: RIPD é evidência para autoridades em caso de auditoria
Usar template simples (3-5 páginas). Se não há DPO, contratar consultoria de privacidade para 1-2 dias. Custo: R$ 2-5k por RIPD. Frequência: 1-2 por ano.
Template interno de 5-10 páginas. DPO dedica 10-20h por RIPD. Processo é estruturado: requisição ? elaboração ? revisão (2-3 semanas). Guardar banco de RIPDs passados para referência. Frequência: 4-6 por ano.
Template detalhado, ferramenta de RIPD integrada em ALM (Application Lifecycle Management). DPO dedica 20-40h por RIPD. Processo é automatizado: gatilho é detectado, workflow de aprovação é disparado. Frequência: 10-20 por ano. Custo: software + salários.
Diferença entre RIPD e DPIA
RIPD é termo usado em LGPD (Lei Geral de Proteção de Dados — Brasil). DPIA (Data Protection Impact Assessment) é termo usado em GDPR (Europa). São essencialmente o mesmo documento, com pequenas diferenças regionais de requisitos. Se empresa opera em múltiplos países, fazer um RIPD/DPIA que satisfaz ambas as regiões.
Quando consulta com autoridade é necessária
Se RIPD identifica risco muito alto que não consegue ser mitigado adequadamente, GDPR e LGPD exigem "consulta prévia" com autoridade de proteção de dados:
- Processamento de dados genéticos em escala
- Monitoramento de comportamento online de menores
- Decisão automatizada com efeito legal (ex: negação de acesso a serviço público)
Consulta prévia é formalidade que atrasa projeto, mas é requisito legal. Planejamento deve considerar esse tempo.
Sinais de que você precisa fazer RIPD
Se você se reconhece em dois ou mais cenários abaixo, projeto provavelmente requer RIPD.
- Novo sistema coleta dados de saúde, biometria ou localização
- Projeto integra dados de múltiplas fontes para criar perfil de usuário
- Sistema usa algoritmo para tomar decisão que afeta direitos do usuário
- Dados são compartilhados com terceiros ou vendidos
- Projeto inclui monitoramento de usuários em escala
- Projeto está em setor regulado (saúde, financeiro, educação)
- Usuários do sistema são menores de idade
Caminhos para implementar RIPD
Viável se há DPO ou pessoa com expertise em privacidade.
- Perfil necessário: DPO, consultor de privacidade, ou analista de compliance
- Tempo estimado: 2-4 semanas por RIPD, com template após primeira execução
- Faz sentido quando: Empresa faz múltiplos RIPDs por ano
Recomendado para primeira RIPD ou quando risco é alto.
- Tipo de fornecedor: Consultoria de privacidade, DPO as a service
- Vantagem: Expertise, aceleração, confiança regulatória
- Custo: R$ 2-10k por RIPD dependendo de complexidade
Precisa estruturar processo de RIPD?
Se sua empresa não tem processo formal para RIPD ou não sabe quando é necessário, o oHub conecta você gratuitamente a consultores de privacidade e DPOs. Em menos de 3 minutos, descreva seu desafio.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
O que é RIPD e quando é exigido?
Relatório de Impacto à Proteção de Dados Pessoais. Exigido quando processamento de dados é de risco alto (dados sensíveis, automação, monitoramento em larga escala). Objetivo: avaliar risco e definir mitigações antes de implementar.
Qual é a diferença entre RIPD e DPIA?
RIPD é termo LGPD (Brasil), DPIA é termo GDPR (Europa). São documentos equivalentes. Empresa que opera em múltiplas regiões faz um documento que satisfaz ambos.
Como fazer um RIPD na prática?
Mapear fluxo de dados. Identificar riscos. Estimar severidade. Definir mitigações. Documentar. Revisar com DPO, legal, segurança. Guardar para auditoria.
Quais dados exigem RIPD?
Dados sensíveis (saúde, biometria, financeiros), processamento automatizado, monitoramento em escala, compartilhamento com terceiros, dados de menores.
Quanto tempo leva para elaborar um RIPD?
Com template e expertise: 1-2 semanas. Sem template e com consultoria: 2-4 semanas. Primeira RIPD leva mais tempo (criação de template).
O RIPD precisa ser validado por alguém?
Sim, por DPO ou especialista em privacidade. Se risco é muito alto, pode requerer "consulta prévia" com autoridade de proteção de dados (ANPD no Brasil).