Procedimento de Elaboração de RIPD
Código: PROC-RIPD-001 Versão: 1.0 Vigência: 01 de dezembro de 2025
1. Objetivo
Estabelecer o processo para elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), conforme Art. 38 da LGPD, garantindo avaliação adequada dos riscos e definição de medidas de mitigação para tratamentos de alto risco.
2. Definições
| Termo | Definição |
|---|---|
| RIPD | Relatório de Impacto à Proteção de Dados Pessoais - documentação que contém descrição dos processos de tratamento e avaliação de riscos |
| DPIA | Data Protection Impact Assessment - termo equivalente em inglês |
| Tratamento de Alto Risco | Operação de tratamento que possa gerar riscos às liberdades civis e aos direitos fundamentais dos titulares |
| Risco | Potencial de dano aos titulares decorrente do tratamento |
3. Quando é Obrigatório
3.1 Situações que Exigem RIPD
Conforme Art. 38 da LGPD e orientações da ANPD:
| Situação | Obrigatório | Justificativa |
|---|---|---|
| Tratamento de dados sensíveis em larga escala | Sim | Art. 5º, II + Art. 38 |
| Dados de crianças e adolescentes | Sim | Art. 14 + Art. 38 |
| Decisões automatizadas com efeito legal | Sim | Art. 20 + Art. 38 |
| Monitoramento sistemático de indivíduos | Sim | Risco inerente |
| Novas tecnologias (IA, biometria, etc.) | Sim | Risco elevado |
| Tratamento em larga escala | Avaliação | Depende do contexto |
| Transferência internacional para país sem adequação | Sim | Art. 33 |
| Determinação da ANPD | Sim | Art. 38 |
3.2 Triggers para Elaboração
┌─────────────────────────────────────────────────────────────────┐
│ AVALIAÇÃO INICIAL (PIA) │
│ │
│ ┌─ Dados sensíveis? │
│ ├─ Dados de menores? │
│ ├─ Decisões automatizadas? │
│ ├─ Monitoramento sistemático? │
│ ├─ Novas tecnologias? │
│ ├─ Grande volume de titulares? │
│ └─ Transferência internacional? │
│ │
│ ▼ ▼ │
│ 2+ critérios OU 0-1 critérios │
│ 1 crítico não críticos │
│ │ │ │
│ ▼ ▼ │
│ ┌──────────────┐ ┌──────────────┐ │
│ │ RIPD │ │ Checklist │ │
│ │ OBRIGATÓRIO │ │ PbD │ │
│ └──────────────┘ └──────────────┘ │
└─────────────────────────────────────────────────────────────────┘
4. Conteúdo Mínimo do RIPD
4.1 Estrutura Obrigatória (Art. 38, Parágrafo Único)
- Descrição dos tipos de dados coletados
- Metodologia utilizada para coleta
- Metodologia para garantia da segurança
- Análise do controlador com relação a medidas de salvaguarda
- Mecanismos de mitigação de risco
4.2 Estrutura Recomendada Completa
| Seção | Conteúdo |
|---|---|
| 1. Identificação | Projeto, responsável, data, versão |
| 2. Necessidade e Proporcionalidade | Por que o tratamento é necessário |
| 3. Descrição do Tratamento | Dados, finalidade, base legal, fluxo |
| 4. Consulta às Partes Interessadas | Titulares, áreas envolvidas |
| 5. Avaliação de Riscos | Identificação, probabilidade, impacto |
| 6. Medidas de Mitigação | Controles implementados |
| 7. Parecer do DPO | Avaliação e recomendações |
| 8. Aprovação | Assinaturas dos responsáveis |
| 9. Plano de Revisão | Periodicidade e gatilhos |
5. Metodologia de Avaliação de Riscos
5.1 Identificação de Riscos
Categorias de Risco:
| Categoria | Exemplos |
|---|---|
| Confidencialidade | Acesso não autorizado, vazamento |
| Integridade | Alteração indevida, corrupção |
| Disponibilidade | Perda de acesso, indisponibilidade |
| Direitos do Titular | Discriminação, perfilamento abusivo |
| Conformidade | Violação legal, sanções |
5.2 Avaliação de Probabilidade
| Nível | Descrição | Critérios |
|---|---|---|
| 1 - Rara | Improvável de ocorrer | Menos de 5% de chance |
| 2 - Baixa | Pode ocorrer ocasionalmente | 5-25% de chance |
| 3 - Média | Provável de ocorrer | 25-50% de chance |
| 4 - Alta | Muito provável | 50-75% de chance |
| 5 - Muito Alta | Quase certo | Mais de 75% de chance |
5.3 Avaliação de Impacto
| Nível | Descrição | Critérios |
|---|---|---|
| 1 - Insignificante | Impacto mínimo | Inconveniente menor, sem dano real |
| 2 - Baixo | Impacto limitado | Transtorno temporário, dano leve |
| 3 - Moderado | Impacto significativo | Dano financeiro/moral moderado |
| 4 - Alto | Impacto grave | Dano significativo, difícil recuperação |
| 5 - Crítico | Impacto severo | Dano irreversível, risco à integridade |
5.4 Matriz de Risco
IMPACTO
1 2 3 4 5
┌───┬───┬───┬───┬───┐
5 │ M │ A │ A │ C │ C │
P 4 │ B │ M │ A │ A │ C │
R 3 │ B │ M │ M │ A │ A │
O 2 │ B │ B │ M │ M │ A │
B 1 │ B │ B │ B │ M │ M │
└───┴───┴───┴───┴───┘
B = Baixo (aceitável com monitoramento)
M = Médio (requer medidas de mitigação)
A = Alto (requer medidas urgentes)
C = Crítico (requer redesenho ou cancelamento)
5.5 Critérios de Aceitação
| Nível de Risco | Ação Requerida |
|---|---|
| Baixo | Aceitar com monitoramento |
| Médio | Implementar medidas de mitigação |
| Alto | Medidas obrigatórias antes de prosseguir |
| Crítico | Redesenhar tratamento ou cancelar |
6. Processo de Elaboração
6.1 Fluxo de Trabalho
┌──────────────┐ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐
│ INÍCIO │───►│ DESCRIÇÃO │───►│ AVALIAÇÃO │───►│ MITIGAÇÃO │
│ │ │ │ │ RISCOS │ │ │
└──────────────┘ └──────────────┘ └──────────────┘ └──────────────┘
│
┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │
│ ARQUIVAMENTO │◄───│ APROVAÇÃO │◄───│ PARECER DPO │◄──────────┘
│ │ │ │ │ │
└──────────────┘ └──────────────┘ └──────────────┘
6.2 Etapas Detalhadas
Etapa 1: Início (D+0)
- Identificar necessidade de RIPD
- Designar responsável pela elaboração
- Definir cronograma
- Reunir equipe (negócio, TI, DPO)
Etapa 2: Descrição do Tratamento (D+5)
- Documentar o tratamento detalhadamente
- Mapear fluxo de dados
- Identificar bases legais
- Documentar compartilhamentos
Etapa 3: Avaliação de Riscos (D+10)
- Identificar riscos potenciais
- Avaliar probabilidade e impacto
- Classificar riscos
- Documentar análise
Etapa 4: Medidas de Mitigação (D+15)
- Definir controles para cada risco
- Priorizar implementação
- Atribuir responsáveis
- Definir prazos
Etapa 5: Parecer do DPO (D+18)
- DPO analisa o RIPD
- Emite parecer formal
- Sugere ajustes se necessário
Etapa 6: Aprovação (D+20)
- Apresentar à liderança
- Obter aprovações formais
- Documentar decisão
Etapa 7: Arquivamento
- Armazenar em repositório seguro
- Definir data de revisão
- Comunicar partes interessadas
7. Template de RIPD
7.1 Capa
RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS (RIPD)
Projeto/Tratamento: [NOME]
Versão: [X.X]
Data: [DD/MM/AAAA]
Elaborado por: [NOME]
DPO: [NOME_DPO]
Status: [Rascunho/Em Revisão/Aprovado]
7.2 Seção 1: Identificação
| Campo | Conteúdo |
|---|---|
| Nome do Projeto/Tratamento | |
| Área Responsável | |
| Responsável pela Elaboração | |
| Data de Elaboração | |
| Versão |
7.3 Seção 2: Necessidade e Proporcionalidade
Por que este tratamento é necessário? [Descrever a necessidade de negócio]
Quais os benefícios esperados? [Descrever benefícios para a organização e/ou titulares]
É possível atingir o objetivo com menos dados? [Avaliar alternativas com menor coleta]
O tratamento é proporcional ao objetivo? [Justificar a proporcionalidade]
7.4 Seção 3: Descrição do Tratamento
3.1 Categorias de Dados Coletados:
| Categoria | Dados Específicos | Sensível? |
|---|---|---|
3.2 Categorias de Titulares:
| Categoria | Volume Estimado | Inclui Menores? |
|---|---|---|
3.3 Finalidades do Tratamento:
| Finalidade | Base Legal | Justificativa |
|---|---|---|
3.4 Metodologia de Coleta: [Descrever como os dados são coletados]
3.5 Fluxo de Dados: [Diagrama ou descrição do fluxo]
3.6 Compartilhamentos:
| Destinatário | Dados Compartilhados | Finalidade | Base Legal |
|---|---|---|---|
3.7 Transferência Internacional:
- Não aplicável
- Sim - País: _______ Mecanismo de proteção: _______
3.8 Retenção:
| Dados | Período de Retenção | Justificativa |
|---|---|---|
7.5 Seção 4: Consulta às Partes Interessadas
Titulares consultados?
- Sim - Como: _______
- Não - Justificativa: _______
Áreas envolvidas:
| Área | Responsável | Data da Consulta |
|---|---|---|
7.6 Seção 5: Avaliação de Riscos
| ID | Risco | Categoria | Probabilidade | Impacto | Nível | Medida de Mitigação |
|---|---|---|---|---|---|---|
| R1 | ||||||
| R2 |
7.7 Seção 6: Medidas de Mitigação
| ID Risco | Medida | Responsável | Prazo | Status |
|---|---|---|---|---|
Medidas Técnicas:
- Criptografia em repouso
- Criptografia em trânsito
- Controle de acesso (RBAC)
- Logs de auditoria
- Anonimização/Pseudonimização
- Outras: _______
Medidas Organizacionais:
- Política de privacidade atualizada
- Treinamento de colaboradores
- Acordo de confidencialidade
- DPA com terceiros
- Outras: _______
7.8 Seção 7: Parecer do DPO
Data do Parecer: [DATA]
Análise: [Avaliação do DPO sobre o tratamento e os riscos]
Recomendações: [Recomendações adicionais, se houver]
Parecer Final:
- Favorável - Tratamento pode prosseguir
- Favorável com condições - Implementar medidas antes de iniciar
- Desfavorável - Tratamento não deve prosseguir
Assinatura DPO: _______________________
7.9 Seção 8: Aprovação
| Função | Nome | Assinatura | Data |
|---|---|---|---|
| Responsável pelo Tratamento | |||
| DPO | |||
| Diretor/Gestor |
7.10 Seção 9: Plano de Revisão
Próxima Revisão Programada: [DATA]
Gatilhos para Revisão Extraordinária:
- Mudança significativa no tratamento
- Novo incidente de segurança
- Mudança regulatória
- Solicitação da ANPD
8. Aprovação e Revisão
8.1 Níveis de Aprovação
| Nível de Risco Residual | Aprovadores |
|---|---|
| Baixo | DPO |
| Médio | DPO + Gestor da Área |
| Alto | DPO + Gestor + Diretor |
| Crítico | Não aprovar / Escalar para diretoria |
8.2 Periodicidade de Revisão
| Nível de Risco | Frequência |
|---|---|
| Baixo | A cada 2 anos |
| Médio | Anual |
| Alto | Semestral |
9. Quando Comunicar à ANPD
9.1 Situações para Comunicação
- Solicitação formal da ANPD
- Risco residual alto sem possibilidade de mitigação
- Tratamento de dados sensíveis em larga escala
- Conforme regulamentação específica
9.2 Processo de Comunicação
- DPO prepara documentação
- Submete via canal oficial da ANPD
- Aguarda manifestação
- Implementa orientações recebidas
10. Arquivamento
10.1 Documentos a Arquivar
- RIPD completo assinado
- Evidências de consultas realizadas
- Parecer do DPO
- Registro de aprovações
- Versões anteriores (se houver revisões)
10.2 Retenção
- Período: Enquanto o tratamento estiver ativo + 5 anos
- Local: https://lgpd.ischolar.app
- Acesso: DPO, responsável pelo tratamento, auditoria
11. Responsabilidades
| Função | Responsabilidades |
|---|---|
| Responsável pelo Tratamento | Solicitar RIPD, fornecer informações, aprovar |
| DPO | Orientar, revisar, emitir parecer, aprovar |
| TI | Informar sobre aspectos técnicos, propor controles |
| Jurídico | Apoiar análise de base legal e conformidade |
| Segurança | Avaliar riscos técnicos, propor medidas |
12. Ferramentas
| Ferramenta | Uso |
|---|---|
| https://lgpd.ischolar.app | Template do RIPD e armazenamento |
| ClickUp | Gestão de tarefas e acompanhamento |
| Diagramas Mermaid/Draw.io | Diagramas de fluxo de dados |
Aprovação
| Função | Nome | Data |
|---|---|---|
| DPO / Diretor de Tecnologia | Pedro Henrique Rosa Barbosa | 15/12/2025 |
Histórico
| Versão | Data | Alteração |
|---|---|---|
| 1.0 | 15/12/2025 | Versão inicial |
Anexos
- Anexo A: Template de RIPD Completo
- Anexo B: Catálogo de Riscos Comuns
- Anexo C: Catálogo de Medidas de Mitigação
- Anexo D: Checklist de Revisão de RIPD
- Anexo E: Modelo de Parecer do DPO