§ III · LGPD · Art. 38 + Res. 18/2024

DPIA / RIPD: quando a ANPD pode exigir.

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD, conhecido internacionalmente como DPIA) é exigido pela LGPD · Art. 38 sempre que o tratamento oferecer alto risco aos direitos dos titulares. A Res. CD/ANPD 18/2024 regulamentou critérios objetivos de alto risco e estrutura mínima do documento.

Quando o DPIA é obrigatório.

Res. CD/ANPD 18/2024 identifica critérios de alto risco. Tratamento é de alto risco quando combina 2 ou mais dos seguintes:

  • Larga escala (milhares de titulares · toda a base)
  • Dados sensíveis (Art. 5º II · saúde, biometria, orientação sexual, convicção, etc)
  • Avaliação sistemática (scoring de crédito, perfilização de marketing comportamental)
  • Decisões automatizadas com efeitos legais ou significativos (Art. 20)
  • Tecnologia inovadora (IA generativa, reconhecimento facial, análise preditiva)
  • Combinação de bases (cruzamento que amplifique risco)
  • Titulares vulneráveis (crianças Art. 14, idosos, pessoas com deficiência)
  • Impedimento de direitos (tratamento que dificulte exercício de direitos do Art. 18)

Estrutura mínima · Res. 18/2024.

  1. Descrição do tratamento · fluxo de dados · atores envolvidos
  2. Finalidade e base legal (Art. 7º ou Art. 11)
  3. Necessidade e proporcionalidade da coleta (princípios Art. 6º III e VIII)
  4. Identificação de riscos · probabilidade × gravidade · impacto nos titulares
  5. Medidas mitigadoras técnicas e administrativas (criptografia, pseudonimização, auditoria)
  6. Consulta ao DPO e/ou titulares representativos quando aplicável
  7. Decisão final do controlador · prosseguir, modificar ou cancelar
  8. Revisão periódica (anual ou quando mudança material)

DPIA basic vs complex.

Basic (2-4 páginas)

SaaS B2B processando contato comercial + analytics. Baixo risco. Descrição + bases legais + medidas técnicas padrão. Template curto, revisão anual.

Complex (8-20 páginas)

Fintech com scoring automatizado de crédito. Alto risco. DPIA completo com matriz de risco probabilidade × gravidade, consulta ao DPO, trilha auditável hash-assinada.

Com consulta ANPD

Quando risco residual após mitigação permanece alto, Art. 38 § 2º permite consulta prévia à ANPD. Resposta em ~90 dias · serve de escudo legal.

Perguntas que estão no ar

DPIA na prática.

DPIA é o mesmo que RIPD?
Sim. RIPD (Relatório de Impacto à Proteção de Dados) é o termo LGPD pra DPIA (Data Protection Impact Assessment) do GDPR. Res. CD/ANPD 18/2024 consolida a grafia portuguesa.
Preciso enviar o DPIA pra ANPD automaticamente?
Não. DPIA fica arquivado internamente. A ANPD pode solicitar durante fiscalização. Publicar o DPIA (ou versão pública) é boa prática mas não obrigatória.
Quanto tempo leva fazer um DPIA?
Basic: 4-8 horas. Complex: 40-80 horas. Depende do volume de processamentos · uma empresa com 20 finalidades distintas precisa de DPIA por finalidade.
Preciso refazer o DPIA todo ano?
Não. A revisão é obrigatória quando há mudança material (nova base legal, novo fornecedor, nova finalidade) ou a cada 2-3 anos como boa prática.
Quem assina o DPIA?
O controlador (ou DPO em nome dele). O DPO consulta mas a responsabilidade é do controlador. Res. 18/2024 pede decisão expressa.
Scanner LGPD-BR substitui o DPIA?
Não. Scanner detecta findings técnicos (exposição de PII, cookies sem consentimento). DPIA é documento legal estruturado com análise jurídica. São complementares · a Indícia alimenta dados técnicos pro DPIA.
§ Leituras relacionadas

Clusters relacionados.

§ CLUSTER ROPA Art. 37 6 atributos mínimos · insumo pra DPIA. § CLUSTER Bases legais 10 bases Art. 7º + 5 sensíveis Art. 11. § CLUSTER DPO · Art. 41 Encarregado consulta obrigatória no DPIA.