RIPD em Fintechs: quando sua startup é obrigada a elaborar

Por que o RIPD voltou ao centro das discussões em 2025 e 2026

Uma startup de crédito pessoal usa modelo de scoring automatizado para aprovar ou rejeitar clientes. Trata CPF, renda, histórico de pagamentos e, em alguns casos, dados biométricos para validação de identidade. Internamente, ninguém questiona se isso exige um Relatório de Impacto à Proteção de Dados Pessoais — o RIPD. A pergunta sequer foi feita.

Essa omissão tem se tornado um problema concreto. A ANPD incluiu o RIPD como prioridade normativa na Agenda Regulatória 2025-2026 e no Mapa de Temas Prioritários 2026-2027. Dados financeiros, biométricos e decisões automatizadas estão explicitamente listados como focos de fiscalização. O momento de estruturar esse documento é anterior a qualquer notificação da autoridade.

Qual é a base normativa do RIPD

O RIPD tem fundamento direto no art. 38 da Lei nº 13.709/2018 (LGPD). O dispositivo autoriza a ANPD a determinar ao controlador a elaboração do relatório, especialmente quando o tratamento envolver dados pessoais sensíveis. O art. 10, § 3º, da mesma lei exige o RIPD como condição para uso da base legal de interesse legítimo.

O conteúdo mínimo está definido no próprio art. 38: descrição dos tipos de dados tratados, metodologia de tratamento e de segurança da informação, e análise das medidas de mitigação de riscos adotadas pelo controlador. A ANPD recomenda que o documento seja suficientemente detalhado para que a própria autoridade e o controlador tenham compreensão ampla do tratamento e dos riscos associados.

Há ainda uma hipótese proativa: o controlador deve elaborar o RIPD de forma preventiva sempre que o tratamento puder gerar alto risco às liberdades civis e aos direitos fundamentais dos titulares — independentemente de qualquer determinação da ANPD.

Quando o tratamento de uma fintech se enquadra como alto risco

A Resolução CD/ANPD nº 2/2022, ao regulamentar a LGPD para agentes de tratamento de pequeno porte, definiu os critérios de alto risco que servem de parâmetro geral. O enquadramento exige a combinação cumulativa de ao menos um critério geral com ao menos um critério específico.

Critérios gerais:

• Tratamento de dados pessoais em larga escala (considerando volume de titulares, duração, frequência e extensão geográfica).
• Tratamento que possa afetar significativamente interesses e direitos fundamentais dos titulares.

Critérios específicos:

• Uso de tecnologias emergentes ou inovadoras.
• Decisões tomadas unicamente com base em tratamento automatizado, inclusive para definir perfil de crédito ou aspectos da personalidade do titular.
• Utilização de dados pessoais sensíveis ou de dados de crianças, adolescentes e idosos.

A combinação mais comum em fintechs é imediata: uma startup de crédito que usa modelo de machine learning para aprovação automática de empréstimos trata dados em escala crescente (critério geral) e toma decisões unicamente com base em tratamento automatizado com perfil de crédito (critério específico). O enquadramento de alto risco é praticamente automático — e a obrigação de RIPD acompanha esse enquadramento.

A armadilha da Resolução nº 2/2022: a dispensa que não se aplica

Muitas startups se amparam na Resolução CD/ANPD nº 2/2022 para concluir que, como “agentes de tratamento de pequeno porte”, estariam dispensadas de obrigações mais rígidas. Essa leitura é parcialmente correta, mas contém uma armadilha relevante.

A própria Resolução nº 2/2022 exclui expressamente do regime simplificado os agentes que realizem tratamento de alto risco. Ou seja: a dispensa de indicação formal de encarregado (DPO) e outras flexibilizações não se aplicam se a startup se enquadrar nos critérios de alto risco descritos no art. 4º da mesma resolução. Fintechs que tratam dados de crédito de forma automatizada ou utilizam biometria dificilmente escapam desse enquadramento.

O resultado prático: a startup pode ser pequena em receita, mas grande em risco de tratamento de dados. E o regime jurídico acompanha o risco, não o porte.

O que o RIPD precisa conter na prática

A ANPD recomenda que o RIPD seja elaborado antes do início do tratamento de dados — o que se alinha ao princípio de Privacy by Design. Quando isso não for possível, o documento deve ser produzido assim que o controlador identificar que suas operações são elegíveis para o relatório.

Para fintechs, um RIPD estruturado precisa endereçar ao menos os seguintes elementos:

1. Identificação dos agentes de tratamento e do encarregado: quem é o controlador, quais operadores estão envolvidos (bureau de crédito, processadora, BaaS) e quem é o encarregado ou o canal de comunicação disponível.
2. Mapeamento das operações: descrição de cada fluxo de dados, desde a coleta até a eliminação, incluindo dados tratados, categoria dos titulares, volume estimado e base legal aplicável.
3. Justificativa de necessidade e proporcionalidade: por que cada dado é necessário para a finalidade declarada e se o tratamento é proporcional ao risco gerado.
4. Identificação e avaliação de riscos: para cada risco identificado, estimativa de probabilidade e impacto potencial sobre os titulares.
5. Medidas de mitigação: controles técnicos e administrativos adotados — criptografia, controle de acesso, pseudonimização — e como eles reduzem os riscos identificados.
6. Transferências internacionais: se dados são armazenados ou processados no exterior, isso deve ser documentado com as salvaguardas aplicáveis.

O relatório não tem formato único obrigatório. A ANPD mantém flexibilidade metodológica enquanto a regulamentação específica do RIPD não é publicada — o que está previsto como prioridade da Fase 1 da Agenda Regulatória 2025-2026.

O que a Agenda Regulatória 2025-2026 muda para quem ainda não tem RIPD

Em dezembro de 2025, a ANPD publicou as Resoluções CD/ANPD nº 30 e nº 31, atualizando o Mapa de Temas Prioritários para 2026-2027 e a Agenda Regulatória 2025-2026. O RIPD está explicitamente listado como tema de regulamentação prioritária na Fase 1 da Agenda — o que significa que norma específica sobre o instrumento deve ser publicada em breve.

O Mapa de Fiscalização prioriza dados biométricos, financeiros e de saúde, além de sistemas de decisão automatizada. São exatamente as operações centrais de fintechs de crédito, pagamentos e open finance. A Resolução nº 30 prevê ao menos 75 atividades de fiscalização no biênio, com 40 ações direcionadas ao eixo de direitos dos titulares, incluindo tratamentos de dados financeiros.

O sinal é claro: quem não tem RIPD estruturado para operações de alto risco está diretamente na linha de ações fiscalizatórias previstas para 2026 e 2027.

Erros comuns que comprometem o RIPD de fintechs

Confundir RIPD com política de privacidade. O aviso de privacidade é um documento voltado ao titular; o RIPD é um instrumento interno de governança voltado ao controlador e à ANPD. São documentos distintos com funções distintas.

Fazer um único RIPD genérico para toda a empresa. A ANPD admite que o controlador pode optar por um RIPD abrangente ou por relatórios por operação de tratamento. Contudo, um documento excessivamente genérico que não descreve adequadamente operações específicas de alto risco não atende ao objetivo do instrumento — e pode ser rejeitado em fiscalização.

Não atualizar o RIPD após mudanças de produto. A Resolução CD/ANPD nº 2/2022 reforça que o relatório deve ser revisto sempre que houver alteração nas operações de tratamento que modifique o nível de risco ou a base legal. Fintechs em crescimento rápido lançam novas funcionalidades com frequência — cada lançamento relevante exige revisão do RIPD existente.

Assumir que ausência de incidente significa conformidade. A ANPD tem deixado claro que a simples ausência dos documentos exigidos — como o RIPD em operações de alto risco — já configura infração, ainda que não tenha ocorrido nenhum vazamento ou incidente de segurança.

Ignorar o papel do encarregado no processo. Embora a LGPD não imponha forma específica, a ANPD recomenda que o encarregado seja consultado no processo de elaboração do RIPD. Para fintechs que operam com encarregado terceirizado, essa consulta deve ser formalizada e documentada.

RIPD como ativo de governança, não como obrigação pontual

O erro mais estratégico é tratar o RIPD como tarefa de compliance a ser concluída uma única vez. Para fintechs que escalam operações, o relatório é um instrumento vivo de gestão de riscos de privacidade — ele documenta decisões de design de produto, justifica bases legais e demonstra que o controlador avaliou os impactos antes de tratar os dados.

Esse registro tem valor operacional em três frentes: (1) em due diligence de rodadas de investimento, quando investidores institucionais analisam exposição regulatória; (2) em auditorias do Banco Central para autorização de funcionamento como IP ou SCD, onde governança de dados compõe o conjunto de exigências; e (3) na própria defesa administrativa perante a ANPD, onde a existência e a qualidade do RIPD são consideradas na graduação de sanções.

A Agenda Regulatória 2025-2026 sinaliza que a regulamentação específica do RIPD está em elaboração final. Quem estruturar o documento agora, antes da norma específica, parte de posição mais favorável do que quem precisar adaptar toda a operação sob pressão regulatória.

O Log.Law atua em proteção de dados e regulação financeira, com foco em fintechs e startups. Para avaliar um cenário particular, o contato está disponível no site.

Perguntas frequentes sobre RIPD em fintechs

Uma startup em estágio inicial também precisa elaborar o RIPD?

Depende do tipo de tratamento realizado, não do estágio da empresa. Se desde o MVP a startup toma decisões automatizadas com dados de crédito ou usa biometria para autenticação, os critérios de alto risco do art. 4º da Resolução CD/ANPD nº 2/2022 já estão presentes. O porte societário ou o volume de receita não afasta a obrigação quando o tratamento é de alto risco. A ANPD recomenda que o RIPD seja elaborado antes do início do tratamento — o que significa: antes do lançamento do produto.

O RIPD pode ser solicitado pelo Banco Central, além da ANPD?

A LGPD confere à ANPD a competência primária para exigir o RIPD. O Banco Central, por sua vez, possui regulação própria de segurança cibernética e governança de dados (Resolução BCB nº 4.893/2021 para instituições financeiras), que exige documentação de processos de gestão de risco de dados. Na prática, em processos de autorização de funcionamento como IP ou SCD, a ausência de documentação de governança de privacidade — incluindo o RIPD para operações de alto risco — pode comprometer a análise regulatória. Os dois regimes coexistem e se complementam.

Qual é a diferença entre o RIPD e o registro de operações de tratamento (ROPA)?

O ROPA (art. 37 da LGPD) é um inventário de todas as operações de tratamento realizadas pelo controlador — um mapeamento de dados. O RIPD vai além: ele avalia os riscos de operações específicas de alto risco, documenta as medidas de mitigação e justifica a proporcionalidade do tratamento. O ROPA é o ponto de partida; o RIPD é a análise aprofundada de risco aplicada a operações que exigem atenção especial. Ambos são obrigatórios para fintechs que tratam dados em escala ou de forma automatizada.

O RIPD precisa ser publicado ou pode ser mantido internamente?

Como regra geral, o RIPD é um documento interno do controlador — não há obrigação de publicação espontânea para agentes privados. A obrigação de publicar o RIPD está prevista no art. 32 da LGPD especificamente para agentes do Poder Público, mediante determinação da ANPD. Para fintechs privadas, o documento deve estar disponível para apresentação à ANPD sempre que solicitado, e a recusa ou demora em apresentá-lo em processo de fiscalização já foi considerada infração em precedentes da autoridade.