Sexta-feira, 9h14. O DPO de uma operadora de saúde abre o e-mail e encontra um ofício da ANPD: apresentação de Relatórios de Impacto à Proteção de Dados Pessoais em até 15 dias úteis, para quatro sistemas de tratamento de dados de paciente.
A operação já tinha RIPDs. Feitos em 2022, a partir de um template baixado na internet, revisados por uma estagiária, guardados numa pasta do SharePoint que ninguém abria desde então.
O DPO abre os quatro arquivos. E encontra: descrição genérica do tratamento, a mesma frase copiada nos quatro documentos. Análise de hipótese legal em uma linha (“base legal: consentimento”). Riscos classificados como “baixo” sem nenhuma metodologia declarada. Medidas de mitigação listadas como “firewall, antivírus, política de senha”.
O documento existe. Não resiste a 30 minutos de leitura técnica. Está longe de ser um RIPD modelo prático, o tipo de documento que aguenta pergunta de fiscal.
Esse cenário se repete em 2026. O RIPD virou item de checklist em boa parte das empresas brasileiras: elaborado uma vez, arquivado, esquecido. A ANPD passou a fiscalizar de forma mais ativa a partir de 2024. Em 13 de dezembro de 2024, instaurou processo contra 20 empresas de grande porte por ausência de encarregado ou canal de atendimento inadequado (esse episódio está detalhado em como decidir entre DPO interno e DPOaaS). O passo seguinte natural de qualquer ciclo de fiscalização é verificar os instrumentos de prestação de contas: o RIPD é o principal deles.
O que a ANPD efetivamente cobra em fiscalização rigorosa é bem diferente do que se encontra em template genérico de internet. O FAQ ANPD “Perguntas e Respostas sobre o RIPD”, publicado em 6 de abril de 2023, a Resolução CD/ANPD nº 2/2022 e o template federal do PPSI dão, hoje, o conjunto de referência disponível, mesmo sem regulamentação específica final. Quem não conhece esse conjunto monta um RIPD frágil sem perceber. Para o contexto geral das obrigações da LGPD que sustentam o RIPD, veja o panorama da LGPD na prática para empresas brasileiras.
Este artigo é o modelo prático de RIPD que falta: o que é obrigatório, o que é recomendável, os 4 gatilhos que disparam a obrigação, a estrutura de 8 seções que a ANPD verifica, os 4 perfis que precisam participar e os 6 erros que invalidam o documento na prática. Ao final, você sabe se o RIPD da sua empresa resiste ou se está montando uma defesa que cai no primeiro empurrão.
O que é (e o que não é) um RIPD
O art. 5º, XVII da LGPD define o RIPD como a documentação do controlador que descreve os processos de tratamento capazes de gerar risco às liberdades civis e aos direitos fundamentais dos titulares, junto com as medidas de mitigação desse risco. Três palavras carregam mais peso que as outras nessa definição: documentação, controlador, risco. RIPD não é registro, não é declaração, não é certificado. É documentação de risco para defesa em fiscalização.
O que RIPD é
- Instrumento de accountability: princípio da responsabilização e prestação de contas (art. 6º, X da LGPD). O controlador demonstra que pensou sobre os riscos antes de tratar.
- Análise de risco específica do tratamento descrito, não genérica para a empresa toda.
- Documento vivo. A ANPD recomenda revisão contínua sempre que houver fato novo: alteração nas operações, novo fator de risco, agravamento de risco anterior ou nova regulamentação.
- Atribuição do controlador: quem decide sobre finalidade e meios do tratamento. Operador (processor) não elabora RIPD; controlador elabora.
- Instrumento de defesa em fiscalização. Demonstra que o controlador identificou riscos, ponderou e tomou medidas adequadas.
O que RIPD não é
- Não é o ROPA (Registro das Operações de Tratamento, art. 37 da LGPD). ROPA é inventário; RIPD é análise de risco. ROPA lista todos os tratamentos; RIPD aprofunda os de alto risco.
- Não é a Política ou o Aviso de Privacidade. Esses são instrumentos de transparência para o titular; RIPD é instrumento de governança interna e prestação de contas para a ANPD.
- Não é declaração de conformidade. Não certifica que o tratamento está conforme; analisa se os riscos foram identificados e mitigados.
- Não é o DPIA do GDPR transposto. A referência metodológica é análoga (GDPR Art. 35 + ISO/IEC 29134:2020), mas o RIPD tem requisitos próprios da LGPD e do contexto regulatório brasileiro.
- Não é um documento de uma vez. Tratamento que muda exige RIPD atualizado; o original perde validade se a operação mudou de forma relevante.
A confusão mais comum: muitas empresas chamam de RIPD um documento que é, na prática, uma combinação de ROPA com checklist de conformidade. Falta a análise de risco. Sem risco identificado, justificado e ponderado com metodologia explícita, o documento não funciona como RIPD em fiscalização, independentemente do nome do arquivo. Para entender como o RIPD se encaixa no conjunto de obrigações da lei, veja o panorama da LGPD na prática para empresas brasileiras.
Quando o RIPD se torna obrigatório: os 4 gatilhos que valem em 2026
Sem regulamentação específica da ANPD ainda publicada, a obrigatoriedade do RIPD em 2026 se apoia em quatro fontes: determinação direta da ANPD, tratamento com base em interesse legítimo, hipóteses do Poder Público e tratamento de alto risco. Há ainda uma quinta situação, não obrigatória mas fortemente recomendável, em que a ausência de RIPD deixa a empresa em posição frágil diante de qualquer questionamento.
Gatilho 1 · Determinação direta da ANPD (art. 38)
A autoridade pode determinar ao controlador, a qualquer momento, a elaboração de RIPD para qualquer operação de tratamento, inclusive sigilosa, observados os segredos comercial e industrial. O ofício chega, o prazo é dado (tipicamente entre 15 e 30 dias úteis), e o RIPD precisa estar pronto ou em condição de ser finalizado em poucos dias. Empresa sem nada estruturado falha antes de começar.
Gatilho 2 · Tratamento com base em interesse legítimo (art. 10, §3º)
Quando o controlador usa interesse legítimo (art. 7º, IX) como base legal, o art. 10 §2º já exige a documentação de um teste de balanceamento entre o interesse do controlador e os direitos fundamentais do titular — o LIA (Legitimate Interest Assessment). O RIPD para tratamento por interesse legítimo é, na prática, a formalização desse teste obrigatório: não é uma resposta a eventual solicitação da ANPD, mas uma condição de uso válido da base legal. A ANPD pode ainda solicitar o RIPD para verificar esse balanceamento (art. 10 §3º), mas empresa séria já tem o documento antes de ser questionada. Marketing, prevenção a fraude e perfilamento são setores onde essa base aparece com frequência. A análise de hipótese legal correspondente cobre as 10 bases legais do art. 7º e as 8 do art. 11 para dado sensível — tema de um satélite dedicado do cluster LGPD na prática em produção.
Gatilho 3 · Agentes do Poder Público (art. 32)
Para entidades públicas, a ANPD pode determinar RIPD com a particularidade de possível publicação no Diário Oficial ou no portal da entidade. Vincula-se também ao art. 4º, §3º da LGPD: hipóteses de segurança pública, defesa nacional e investigação criminal, com regramento próprio.
Gatilho 4 · Tratamento de alto risco (art. 38 + Resolução CD/ANPD 2/2022)
É aqui que a maior parte das empresas privadas se posiciona. A referência operacional para RIPD de alto risco é o critério do Art. 4º da Resolução CD/ANPD nº 2, de 27 de janeiro de 2022. Um cuidado: essa resolução foi editada originalmente para Agentes de Tratamento de Pequeno Porte, mas seus critérios de alto risco vêm sendo adotados na prática como parâmetro amplo, não como regra universal formal.
Alto risco se configura pela combinação cumulativa de pelo menos um critério geral com pelo menos um critério específico.
Critérios gerais (basta um):
- Tratamento em larga escala.
- Tratamento que possa afetar significativamente interesses e direitos fundamentais dos titulares. Exemplos práticos de quais direitos são afetados por tipo de sistema: sistema de crédito automatizado → dignidade humana e acesso a moradia/consumo; sistema de triagem de RH → direito ao trabalho; vigilância biométrica → intimidade e liberdade de locomoção; sistema clínico → integridade física. Identificar o direito afetado é o primeiro passo para avaliar a gravidade do impacto na Seção 8.
Critérios específicos (basta um):
- Uso de tecnologias emergentes ou inovadoras — inclui qualquer sistema de IA (aprendizado de máquina, modelos preditivos, NLP, visão computacional), mesmo sem produzir decisão com efeitos jurídicos. Sistema de recomendação, análise preditiva de comportamento e classificação automática de conteúdo já atingem esse critério. Atenção à distinção: este critério é independente do critério de “decisões automatizadas com efeitos jurídicos” listado abaixo — os dois podem caracterizar alto risco separadamente ou em conjunto; não confundir os dois. Empresas que já usam IA em produção deveriam ter isso mapeado antes do RIPD; veja como estruturar esse inventário em auditoria interna de sistemas de IA. O marco legal de IA e o PL 2338 propõem uma Avaliação de Impacto Algorítmico com lógica análoga ao RIPD.
- Vigilância sistemática em larga escala: monitoramento de área pública, tracking de comportamento. Operações de atendimento com IA que registram e analisam conversas em volume, como as descritas em automação de atendimento via WhatsApp e LGPD, entram frequentemente nesse critério.
- Decisões automatizadas com efeitos jurídicos ou similarmente significativos: crédito, RH, segurança. Para esse critério, o RIPD deve documentar como o sistema garante o direito à revisão humana previsto no art. 20 da LGPD — o mecanismo que permite ao titular solicitar que uma decisão automatizada que o afete seja revisada por pessoa natural. Ausência de mecanismo técnico de revisão humana é risco residual alto que deve aparecer explicitamente na Seção 8, com prazo para implementação como medida de mitigação. Atenção a um padrão emergente em 2026: sistemas de IA generativa produzem recomendações de diagnóstico, sugestão de contrato e filtragem de conteúdo que colaboradores aceitam sem revisão crítica — configurando decisão automatizada de facto mesmo sem ser rotulada como tal. O RIPD deve documentar esse risco se o sistema de IA generativa influenciar decisões que produzem efeitos sobre pessoas. Atenção a um padrão emergente em 2026: sistemas de IA generativa produzem recomendações de diagnóstico, sugestão de proposta e filtragem de conteúdo que colaboradores aceitam sem revisão crítica — configurando decisão automatizada de facto mesmo sem ser rotulada assim. O RIPD deve documentar esse risco se o sistema de IA generativa influenciar decisões sobre pessoas.
- Tratamento de dados pessoais sensíveis (art. 5º, II: origem racial, convicção religiosa, opinião política, saúde, vida sexual, dado genético, biométrico).
- Tratamento de dados de crianças, adolescentes ou idosos. Para dados de crianças (até 12 anos) e adolescentes, há proteção qualificada adicional: o art. 14 da LGPD exige consentimento específico e destacado de ao menos um dos pais ou responsável legal, e a Regulamentação CD/ANPD 01/2021 estabelece requisitos específicos para esse tratamento. O RIPD para esse tipo de dado deve documentar como o consentimento parental é obtido e verificado — e qual o mecanismo para garantir que o consentimento veio de um adulto responsável, não da própria criança.
- Transferência internacional de dados para países sem grau adequado de proteção.
- Combinação ou cruzamento de bases de dados em escala.
Empresa que processa dados sensíveis em larga escala, usa IA para decisão automatizada com efeito sobre o titular, faz vigilância sistemática ou transfere dados para fora do Brasil em escala está em zona de alto risco e deveria ter RIPD documentado. Não esperar a ANPD pedir.
A estrutura mínima do RIPD: o modelo prático que a ANPD verifica
O FAQ ANPD “Perguntas e Respostas sobre o RIPD”, publicado em 6 de abril de 2023, lista a estrutura recomendada. Como a ANPD ainda não regulamentou formalmente o tema, o termo correto é “recomendado”, mas em fiscalização funciona como “esperado”. O template do Programa de Privacidade e Segurança da Informação (PPSI), do Ministério da Gestão e Inovação em Serviços Públicos, organiza essa mesma estrutura em formato operacional. As 8 seções abaixo cobrem o que a ANPD efetivamente verifica.
| Seção | O que contém | Princípio |
|---|---|---|
| 1. Identificação dos agentes | Controlador (com CNPJ), encarregado/DPO, operadores envolvidos, outras partes interessadas e pareceres | Quem responde pelo tratamento |
| 2. Justificativa do RIPD | Por que este RIPD foi elaborado (alto risco, solicitação ANPD, gestão de risco, interesse legítimo) | Por que existe este documento |
| 3. Descrição do tratamento | Projeto/processo, sistemas, fluxo do dado da coleta à eliminação, fonte, finalidade | O que efetivamente acontece |
| 4. Dados pessoais tratados | Dados comuns; sensíveis (com tipo); crianças/adolescentes/vulneráveis; quantidade; número de titulares | Sobre o que é o tratamento |
| 5. Compartilhamento e retenção | Compartilhamento interno e externo, transferências internacionais com base legal, retenção com prazos e descarte | Como o dado se move e por quanto tempo |
| 6. Análise de hipótese legal | Justificativa explícita da base legal (art. 7º ou 11) por finalidade do tratamento | Por que é lícito |
| 7. Análise de princípios da LGPD | Aderência aos 10 princípios do art. 6º | Por que é principiologicamente íntegro |
| 8. Riscos identificados e mitigação | Lista de riscos ao titular; metodologia (probabilidade × impacto); nível de risco; medidas e salvaguardas; risco residual | O que pode dar errado e o que está sendo feito |
Três dimensões da Seção 8 frequentemente omitidas:
Art. 18 (direitos dos titulares): o RIPD deve documentar como o sistema suporta o exercício dos direitos do art. 18 — acesso, correção, eliminação, portabilidade, revogação de consentimento, oposição. Sistema que não suporta resposta a esses direitos representa risco operacional relevante que deve aparecer como risco identificado com plano de mitigação e prazo.
Impacto diferencial em grupos vulneráveis: a análise de risco deve avaliar se o tratamento tem impacto desproporcional em subpopulações específicas — população negra e periférica em sistemas de crédito, pessoas com deficiência em sistemas de RH, idosos em sistemas de saúde. Risco com score médio para a população geral pode ser risco severo para grupos vulneráveis. RIPD sem esse recorte diferencial é análise parcial.
Supply chain de IA: quando o sistema usa IA baseada em modelo de terceiros (GPT, Claude, Gemini etc.), o dado pessoal enviado ao modelo pode ser processado em infraestrutura do fornecedor do modelo base — o que configura operador externo e potencialmente transferência internacional. A Seção 5 deve documentar esse fluxo; a Seção 8 deve registrar o risco e as garantias contratuais obtidas.
Estrutura das 8 secoes do RIPD (FAQ ANPD, 06/04/2023) 1 Identificacao dos agentes Controlador (CNPJ), DPO, operadores e partes interessadas 2 Justificativa do RIPD Por que este RIPD foi elaborado (alto risco, solicitacao ANPD, leg. interesse) 3 Descricao do tratamento Projeto, sistemas, fluxo do dado da coleta a eliminacao, fonte, finalidade 4 Dados pessoais tratados Comuns, sensiveis, criancas/idosos, quantidade, numero de titulares 5 Compartilhamento e rete
Nota sobre a Seção 7 (princípios da LGPD): entre os 10 princípios do art. 6º, o princípio de não discriminação (art. 6º, IX) merece atenção explícita para qualquer sistema que toma decisões sobre pessoas. O RIPD deve descrever como o tratamento evita finalidades discriminatórias, ilícitas ou abusivas — e quais mecanismos de monitoramento existem para detectar viés discriminatório que possa surgir ao longo do tempo de uso do sistema.
A metodologia de análise de risco: onde mora a maioria das falhas
A ANPD não obriga metodologia específica; o FAQ reconhece essa flexibilidade metodológica explicitamente. Na prática, três opções dominam:
- ABNT NBR ISO/IEC 29134:2020: norma técnica brasileira para avaliação de impacto de privacidade, com estrutura de identificação, análise, avaliação, tratamento e revisão de risco. Referência forte para empresa que já segue ISO/IEC 27001 ou 27701.
- ABNT NBR ISO/IEC 27005: gestão de risco de segurança da informação, frequentemente combinada com a 29134. Bom alinhamento com programa de segurança já existente.
- Metodologia proprietária: desde que explícita, consistente, documentada e replicável. Não vale “intuição do DPO”.
Vale também conhecer o software PIA gratuito mantido pela CNIL (autoridade francesa de proteção de dados), referência metodológica internacional disponível em eur-lex.europa.eu e cnil.fr/fr/outil-pia — útil como modelo de estrutura, com adaptação às particularidades do RIPD brasileiro.
Independentemente da metodologia, o RIPD precisa de uma matriz que combine probabilidade × impacto para cada risco identificado. O modelo típico usa escala de 1 a 5 em cada eixo (probabilidade: rara, improvável, possível, provável, quase certa; impacto: desprezível, menor, moderado, maior, severo), com o produto gerando um score de 1 a 25.
| Score | Faixa | Exemplo de risco |
|---|---|---|
| 1 a 4 | Baixo | Dado anonimizado exposto em ambiente de teste isolado |
| 5 a 12 | Médio | Acesso indevido a dado comum em sistema com log de auditoria |
| 13 a 19 | Alto | Dado de saúde exposto por credencial comprometida, com detecção tardia |
| 20 a 25 | Crítico | Dado sensível de larga escala vazado em sistema produtivo sem controle de acesso |
RIPD frágil vs. RIPD que resiste
O RIPD frágil descreve genericamente “risco de vazamento” e responde com “medidas: criptografia”. O RIPD que resiste descreve “risco de vazamento de dado de saúde de paciente por credencial comprometida no Sistema X, probabilidade 3 (possível), impacto 5 (severo), score 15 (alto)” e detalha: MFA aplicada a todos os usuários humanos com cobertura verificada — incluindo ausência de exceções não documentadas para contas de serviço e APIs — em [data]; EDR no servidor que hospeda o dado em [data]; criptografia em repouso em [data]; ciclo de patch management com SLA máximo por criticidade de vulnerabilidade (CVE crítico: 72h; alto: 7 dias), documentado com log de aplicação; segregação de funções para acesso ao dado (quem opera o sistema não tem acesso irrestrito ao banco de dados); plano de resposta a incidente testado em [data, com referência a log imutável armazenado em sistema que impossibilita alteração retroativa]. O segundo é defensável. O primeiro é decoração.
Quem participa: os 4 perfis que elaboram um RIPD que resiste
RIPD elaborado por uma pessoa só costuma ser RIPD frágil. O FAQ ANPD reconhece que o encarregado deveria ser consultado na elaboração, e indica que o controlador pode consultar outros membros da organização, operadores, especialistas e até titulares. Na prática, o RIPD que resiste é elaborado por 4 perfis trabalhando juntos.
Perfil 1 · Área de negócio (process owner)
Quem responde: o gerente ou diretor responsável pela operação que motiva o RIPD, como o head de CX em atendimento, o head de pessoas em RH ou o diretor médico em sistema clínico. Contribuição: descrição precisa do tratamento (Seções 3, 4 e 5). É quem sabe o que o sistema realmente faz. Erro comum: deixar essa pessoa de fora por achar que “isso é coisa de TI ou jurídico”. O resultado é descrição genérica que não bate com a operação real.
Perfil 2 · Jurídico / Privacidade
Quem responde: jurídico interno especializado em proteção de dados ou advogado externo de privacidade; em empresas com DPO interno, ele assume parte desse papel. Contribuição: análise de hipótese legal e de princípios (Seções 6 e 7). Erro comum: tratar a análise de hipótese legal como item de uma linha. Análise séria justifica por que aquela base é a melhor para aquela finalidade específica, e não outra.
Perfil 3 · TI / Segurança da Informação
Quem responde: CISO, head de segurança ou arquiteto de TI. Contribuição: identificação de riscos técnicos (Seção 8), descrição de controles existentes, propostas de mitigação, frequentemente em conjunto com uma estratégia de arquitetura Zero Trust, quando a empresa segue esse caminho. Erro comum: listar como medida só “firewall e antivírus”, sem versão, configuração, data de implementação, log de funcionamento imutável (armazenado de forma que impossibilite alteração retroativa — log que o próprio time de TI pode apagar ou modificar não tem valor probatório em fiscalização) e responsável nomeado. A medida vira nome, não controle verificável.
Perfil 4 · Encarregado / DPO
Quem responde: encarregado designado nos termos do art. 41 da LGPD e da Resolução CD/ANPD 18/2024. Contribuição: supervisão da elaboração, validação da análise de risco, articulação com as outras partes interessadas. O FAQ ANPD é explícito: “é desejável que o encarregado seja consultado na elaboração e na análise das conclusões do RIPD”. Se sua empresa ainda não decidiu o modelo de encarregado, veja como decidir entre DPO interno e DPOaaS antes de atribuir essa responsabilidade. Erro comum: o DPO assumir a elaboração inteira sozinho. O resultado é um documento juridicamente bem escrito, mas com descrição técnica fraca e descolada da operação real.
O FAQ ANPD (pergunta 13) reconhece que pode haver opiniões divergentes entre esses 4 perfis durante a elaboração, e que registrar essas divergências, com a justificativa da opção adotada, é boa prática. Empresa que documenta o processo de deliberação tem uma peça adicional de defesa: mostra que a decisão foi ponderada, não automática.
Os 6 erros que invalidam um RIPD na prática
Os 6 erros abaixo têm raiz comum: o RIPD foi tratado como tarefa de compliance (“montar e arquivar”), não como instrumento de gestão de risco.
- Template genérico sem contextualização. RIPD baixado da internet, preenchido com descrição genérica do setor, sem sistema, processo ou dado real identificado, é decoração. A descrição precisa nomear sistema, processo, fluxo de dado e integrações.
- Análise de risco sem metodologia explícita. “Riscos: vazamento, acesso indevido, perda de dado” listados sem probabilidade, impacto ou score é lista de palavras, não análise. Exige metodologia declarada (ISO 29134, ISO 27005 ou proprietária), aplicada caso a caso, com ponderação documentada. A CNIL disponibiliza software PIA gratuito (cnil.fr/fr/outil-pia) como referência metodológica internacional; o PPSI/MGI oferece modelo de matriz compatível com a ISO 29134.
- Medidas de mitigação como nome, não como controle. “Medidas: firewall, antivírus, MFA, política de senha” são nomes de coisas, não controles. Controle verificável tem versão, configuração, data de implementação, log de funcionamento e responsável. Em fiscalização, a ANPD pede comprovação operacional: “está implantado” precisa vir com evidência. O caso do ataque de ransomware às Lojas Renner é um exemplo público de controle não testado sob pressão real.
- Base legal genérica. “Base legal: consentimento” sem justificar por que consentimento, e não execução de contrato, interesse legítimo ou obrigação legal, é fraco. Análise séria explica por que aquela base é adequada para aquela finalidade específica, e por que as demais não se aplicam ou são piores.
- RIPD único para a empresa toda. RIPD é por tratamento ou por agrupamento de tratamentos com riscos similares, não por empresa. O FAQ ANPD (pergunta 8) reconhece flexibilidade para RIPD único cobrindo operações com riscos correlatos, mas operações com riscos distintos exigem análises distintas.
- RIPD elaborado uma vez e abandonado. RIPD não é certificado; é documento vivo. Boa prática em 2026: revisão anual programada mais revisão extraordinária por gatilho (mudança no tratamento, novo risco, agravamento de risco, nova regulamentação). RIPD de 2022 ainda vigente em 2026 sem revisão é sinal de programa de privacidade descontinuado.
Empresa madura usa o RIPD como insumo de decisão: quais tratamentos manter, quais mitigar, quais não fazer. Empresa imatura entrega um documento que nunca mais é lido. Em fiscalização, a ANPD sabe distinguir os dois.
O caminho operacional: da lacuna regulatória ao RIPD que resiste
Nenhum dos elementos acima é complicado isoladamente. O que torna o RIPD difícil de fazer bem é a quantidade de peças que precisam encaixar ao mesmo tempo: 4 gatilhos de obrigatoriedade (determinação da ANPD, interesse legítimo, Poder Público, alto risco pela Resolução 2/2022), 8 seções na estrutura recomendada pela ANPD, 4 perfis que precisam participar e 6 erros capazes de derrubar tudo isso em fiscalização.
O caminho operacional tem seis passos:
(1) partir do ROPA (art. 37 da LGPD) como inventário completo de tratamentos ativos, e aplicar sobre ele os critérios do Art. 4º da Resolução 2/2022 para identificar quais são de alto risco — o ROPA é o insumo que alimenta o RIPD, não um documento paralelo; empresa sem ROPA atualizado não sabe quais tratamentos precisam de RIPD;
(2) escolher metodologia de análise de risco (ISO 29134, ISO 27005 ou proprietária);
(3) montar a equipe com os 4 perfis;
(4) elaborar o RIPD por tratamento ou grupo de tratamentos correlatos;
(5) documentar as opiniões divergentes surgidas na elaboração, incluindo o resultado da análise de impacto diferencial em grupos vulneráveis (raça, deficiência, gênero, faixa etária) para cada risco identificado na Seção 8;
(6) estabelecer ciclo de revisão anual mais revisão extraordinária por gatilho.
Um ponto prático frequentemente ignorado: o RIPD pode conter informações sobre vulnerabilidades técnicas internas e estratégias de mitigação não implementadas. Ao elaborar o RIPD, considere separar o conteúdo em versão completa (para uso interno e fiscalização ANPD, que tem confidencialidade limitada pelo art. 38) e sumário executivo (para comunicação interna ampla), evitando que o documento de defesa se transforme em mapa de riscos para terceiros não autorizados. A ANPD ainda finaliza a regulamentação específica do RIPD; o tema segue entre as prioridades da Agenda Regulatória 2025-2026 (Resolução CD/ANPD 23/2024, atualizada pela Resolução CD/ANPD 31/2025, de 22 de dezembro de 2025), com “modelo, gatilhos, fluxo de aprovação e reavaliação periódica” ainda por vir. Empresa que espera essa regulamentação para começar vai chegar atrasada quando a fiscalização bater à porta. O FAQ ANPD de abril de 2023, a Resolução CD/ANPD 2/2022, o template federal do PPSI e as boas práticas internacionais (ISO 29134, GDPR Art. 35) já dão o arcabouço suficiente para montar o RIPD agora, e revisar quando a regulamentação específica sair. Para o panorama completo das obrigações que se conectam ao RIPD, veja o guia operacional de LGPD na prática da Mabex.
Fontes: LGPD — Lei nº 13.709/2018 (arts. 5º XVII, 6º X, 10 §3º, 32, 38) · Resolução CD/ANPD nº 2, de 27/01/2022 (critérios de alto risco, art. 4º) · FAQ ANPD “Perguntas e Respostas sobre o RIPD” (06/04/2023) · Resolução CD/ANPD nº 18/2024 (encarregado de dados) · Resolução CD/ANPD nº 23/2024 (Agenda Regulatória 2025-2026) · Resolução CD/ANPD nº 31/2025, de 22/12/2025 (atualização da Agenda) · Template RIPD — Programa de Privacidade e Segurança da Informação (PPSI/MGI) · EU AI Act — Regulamento UE 2024/1689 (referência para AIA/RIPD) · GDPR Art. 35 (DPIA — equivalente europeu do RIPD) · ABNT NBR ISO/IEC 29134:2020 (avaliação de impacto de privacidade) · ABNT NBR ISO/IEC 27005 (gestão de risco de segurança da informação) · CNIL, software PIA gratuito (referência metodológica internacional) · ANPD — Guia de Definições dos Agentes de Tratamento e do Encarregado v2.0 (abril/2022)



