O que é o RIPD e qual a diferença para o mapa de dados?

O mapa de dados (Art. 37 LGPD) é o registro das operações de tratamento — o inventário do que é coletado, para que, por quanto tempo e com quem é compartilhado. O RIPD vai além: avalia os riscos de cada tratamento para os direitos e liberdades dos titulares e define medidas de mitigação. O mapa é o pré-requisito; o RIPD é a análise de risco sobre esse mapa.

Qual o prazo para atualizar o RIPD?

A LGPD não define prazo fixo de revisão, mas a boa prática (recomendada pela ANPD na Resolução CD/ANPD nº 2/2022) é revisar o RIPD sempre que houver mudança significativa no tratamento: novo sistema, novo fornecedor, nova finalidade, incidente de segurança. Para clínicas estáveis, revisão anual é adequada.

Prontuário sem criptografia é risco alto ou crítico no RIPD?

Depende do contexto de acesso. Prontuário armazenado em sistema local sem criptografia, acessível sem autenticação por múltiplos usuários, com dados de saúde sensíveis e sem log de acesso configura risco CRÍTICO: alta probabilidade de acesso não autorizado e alto impacto sobre os direitos dos pacientes.

Análise de Risco LGPD (RIPD): Guia Prático para Clínicas Odontológicas

Atualizado em junho de 2026 · Leitura: 15 min

O Que É o RIPD e o Que Diz o Art. 38 da LGPD

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é o documento que identifica, avalia e define medidas de mitigação para os riscos que o tratamento de dados pode causar aos direitos e liberdades dos titulares.

O Art. 38 da LGPD determina: "A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial."

O parágrafo único complementa: "Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados."

A diferença entre o RIPD e o mapa de dados (Art. 37) é fundamental: o mapa descreve o que acontece com os dados; o RIPD avalia os riscos desse tratamento e documenta as medidas para reduzi-los. O mapa é o pré-requisito; o RIPD é a camada de análise de risco sobre o mapa.

Quando o RIPD É Obrigatório para Clínicas Odontológicas

A obrigatoriedade depende do tipo e escala do tratamento realizado. Com base na Resolução CD/ANPD nº 2/2022 e nos critérios de risco da LGPD, o RIPD é obrigatório quando o tratamento:

Envolve dados sensíveis em larga escala — clínicas com alto volume de pacientes (acima de alguns milhares de prontuários ativos) que processam dados de saúde sistematicamente;
Utiliza decisão automatizada com efeitos sobre o titular — sistemas de triagem automática, scoring de pacientes ou análise automatizada de prontuários;
Compartilha dados com múltiplos terceiros sem controle adequado — integração com convênios, laboratórios e sistemas terceiros sem DPA formalizado;
Usa tecnologias de monitoramento — câmeras com reconhecimento facial na recepção, sistemas biométricos de acesso de pacientes.

Para clínicas pequenas com 1 a 3 dentistas e volume de prontuários abaixo de alguns milhares, o RIPD pode não ser formalmente obrigatório — mas a ANPD pode solicitá-lo a qualquer momento (Art. 38 caput). Mais importante: o processo de elaborar o RIPD identifica vulnerabilidades que, se não corrigidas, expõem a clínica a sanções.

Recomendação prática: toda clínica que trate dados de saúde de pacientes deve elaborar ao menos uma análise de risco simplificada, mesmo que não use formalmente o nome "RIPD". Isso documenta a diligência da clínica — fator atenuante numa eventual investigação da ANPD.

Resolução CD/ANPD nº 2/2022: Critérios da ANPD para Avaliação de Risco

A Resolução CD/ANPD nº 2/2022 (Regulamento de Comunicação de Incidente de Segurança com Dados Pessoais) traz critérios relevantes para avaliação de risco que são igualmente úteis na elaboração do RIPD. A ANPD considera como fatores de risco:

Natureza dos dados: dados de saúde têm peso maior que dados de contato;
Número de titulares afetados: incidente que afeta 10 pacientes é menos grave que um que afeta 10.000;
Facilidade de identificação: dados anonimizados têm risco menor;
Severidade das consequências: dados que podem causar discriminação, dano financeiro ou dano físico ao titular têm peso máximo;
Características especiais dos titulares: crianças, idosos e pessoas em situação vulnerável elevam o risco;
Volume e variedade dos dados: quanto mais dados combinados, maior o risco de reidentificação.

Esses critérios devem guiar a avaliação de cada tratamento no RIPD da clínica.

Metodologia Passo a Passo para o RIPD na Clínica

Passo 1 — Identificar os Tratamentos

Liste cada operação de tratamento documentada no mapa de dados. Para cada uma, especifique: quais dados são coletados, qual a finalidade, quem tem acesso, com quem é compartilhado e por quanto tempo fica armazenado.

Exemplos de tratamentos a mapear em uma clínica odontológica: coleta da ficha de anamnese, elaboração e guarda do prontuário, captura de radiografias e armazenamento digital, envio ao laboratório de prótese, envio ao convênio dental, lembretes de consulta por WhatsApp, uso de fotos em redes sociais, acesso por terceiros (contador, software de gestão).

Passo 2 — Identificar as Ameaças

Para cada tratamento, identifique as ameaças relevantes:

Acesso não autorizado (hacker, funcionário desonesto, visitante com acesso ao computador da recepção)
Perda ou destruição acidental (HD com falha, incêndio sem backup)
Divulgação indevida (e-mail errado, compartilhamento por WhatsApp sem criptografia)
Alteração não autorizada (adulteração de prontuário)
Negação de acesso ao titular (recusa em fornecer cópia do prontuário)

Passo 3 — Avaliar Probabilidade e Impacto

Para cada ameaça, atribua uma nota de 1 a 3 para probabilidade (1 = baixa, 2 = média, 3 = alta) e uma nota de 1 a 3 para impacto sobre os titulares (1 = leve, 2 = moderado, 3 = grave). O risco = probabilidade × impacto.

Passo 4 — Definir Medidas de Mitigação

Para cada risco identificado, defina medida concreta de mitigação, responsável e prazo de implementação.

Passo 5 — Documentar e Revisar

Registre o RIPD em documento formal com data, responsável pela elaboração, resultados da análise e plano de ação. Revise anualmente ou após mudanças significativas no tratamento.

Matriz de Risco: Baixo, Médio, Alto e Crítico

A matriz de risco combina probabilidade e impacto:

Probabilidade × Impacto	Impacto Leve (1)	Impacto Moderado (2)	Impacto Grave (3)
Probabilidade Baixa (1)	Baixo (1)	Baixo (2)	Médio (3)
Probabilidade Média (2)	Baixo (2)	Médio (4)	Alto (6)
Probabilidade Alta (3)	Médio (3)	Alto (6)	Crítico (9)

Baixo (1-2): monitorar, sem ação imediata obrigatória
Médio (3-4): plano de ação com prazo razoável (30-90 dias)
Alto (6): ação prioritária (até 30 dias)
Crítico (9): ação imediata — o tratamento não deve continuar sem medida de mitigação

Riscos Específicos no Contexto Odontológico

Prontuário sem Criptografia em Sistema Local

Ameaça: acesso não autorizado por hacker ou funcionário. Probabilidade: média (sistemas locais sem criptografia são vulneráveis). Impacto: grave (exposição de dados de saúde de centenas de pacientes). Risco: alto (6).

Acesso ao Sistema Sem Autenticação por Usuário

Ameaça: funcionário ou visitante acessa prontuários sem autorização. Probabilidade: alta (login único compartilhado por toda a equipe). Impacto: grave. Risco: crítico (9).

Compartilhamento com Laboratório Sem DPA

Ameaça: dados de pacientes enviados ao laboratório sem contrato de proteção de dados. Probabilidade: alta (prática comum). Impacto: moderado (dados de saúde compartilhados sem controle). Risco: alto (6).

Radiografias e Imagens no HD Externo Sem Criptografia

Ameaça: perda ou roubo do HD. Probabilidade: média. Impacto: grave (exposição de imagens de saúde identificáveis). Risco: alto (6).

Retenção Indefinida de Dados Desnecessários

Ameaça: dados de ex-pacientes sem finalidade mantidos por tempo indeterminado. Probabilidade: alta (prática comum sem política de retenção). Impacto: moderado. Risco: alto (6).

WhatsApp da Clínica como Canal de Envio de Prontuários

Ameaça: envio de laudo, receita ou resultado por canal não seguro, encaminhamento errado. Probabilidade: alta (prática comum). Impacto: grave (divulgação de dado de saúde a terceiro). Risco: crítico (9).

Medidas de Mitigação Práticas para Clínicas

Para Risco de Acesso Não Autorizado ao Sistema

Criar login individual por funcionário no software de prontuário
Definir perfis de acesso (recepção vê apenas agenda; dentista acessa prontuário; admin acessa tudo)
Habilitar log de acesso — quem acessou qual prontuário e quando
Bloquear o computador automaticamente após 5 minutos de inatividade

Para Risco de Perda de Dados

Backup automático diário em nuvem criptografada (Google Drive, OneDrive com criptografia)
Testar a restauração do backup mensalmente
Não depender de HD externo único sem replicação

Para Compartilhamento com Laboratório

Formalizar DPA (contrato de proteção de dados) com o laboratório
Usar canal seguro para envio de arquivos (plataforma de transferência criptografada, não WhatsApp)
Informar o paciente sobre o compartilhamento e colher consentimento

Para Retenção Indefinida

Definir política de retenção: prontuário por 10 anos (CFO), dados de marketing até revogação do consentimento
Implementar rotina de exclusão de dados fora do prazo (anualmente)
Documentar a exclusão realizada

Para WhatsApp como Canal de Dados Clínicos

Usar plataforma de comunicação segura para envio de laudos e resultados
Se WhatsApp for inevitável, usar apenas para comunicações administrativas (lembretes), nunca para dados clínicos
Treinamento da equipe sobre o que pode e o que não pode ser enviado por mensageria

FAQ — RIPD e Análise de Risco LGPD

Toda clínica odontológica precisa fazer o RIPD?

Depende do volume e tipo de tratamento. Para clínicas que processam dados de saúde em larga escala ou com sistemas automatizados, o RIPD é obrigatório. Para clínicas menores, é altamente recomendável. A ANPD pode solicitar a qualquer momento.

Qual a diferença entre RIPD e mapa de dados?

O mapa descreve o que acontece com os dados (Art. 37). O RIPD avalia os riscos desse tratamento e define medidas de mitigação (Art. 38). O mapa é o pré-requisito; o RIPD é a análise de risco sobre ele.

A ANPD pode pedir o RIPD numa fiscalização?

Sim. O Art. 38 caput autoriza a ANPD a requisitar o RIPD. Ele também serve como elemento de defesa num PAS, demonstrando que a clínica adotou medidas preventivas.

Prontuário sem criptografia é risco crítico?

Depende do contexto. Sem criptografia, sem autenticação por usuário e com acesso amplo é risco crítico (9). Com autenticação individual e log de acesso, o risco cai para alto ou médio.

Com que frequência revisar o RIPD?

Anualmente para clínicas estáveis. Imediatamente após mudança significativa: novo sistema, novo fornecedor, nova finalidade de tratamento, ou incidente de segurança.

Mapeie os Riscos da Sua Clínica em Minutos

O Consentimento LGPD inclui módulo de análise de risco automático: cadastre seus fluxos de tratamento e o sistema identifica riscos conforme a matriz ANPD, sugere medidas de mitigação e gera relatório de conformidade com evidência de diligência preventiva.

Planos a partir de R$ 79,90/mês. 15 dias grátis, sem cartão de crédito.

Analisar riscos da minha clínica — 15 dias grátis