1. Introdução
A LGPD - Lei Geral de Proteção de Dados Pessoais, lei Federal 13.709/18, representa um marco regulatório fundamental no cenário brasileiro, estabelecendo um novo paradigma para a proteção da privacidade e dos dados pessoais. Sua aplicação transcende o setor privado, impactando, de forma significativa, a esfera pública.
Nesse contexto, o RIPD - Relatório de Impacto à Proteção de Dados emerge como uma ferramenta essencial de governança. O RIPD visa não apenas identificar e mitigar riscos relacionados ao tratamento de dados pessoais, mas também demonstrar a conformidade do agente de tratamento com as normas de proteção de dados, garantindo a salvaguarda dos direitos dos titulares.
Este artigo busca analisar a relevância e as particularidades do RIPD, com ênfase para as particularidades do Poder Público, em especial da Prefeitura da cidade do Rio de Janeiro, explorando as hipóteses de sua elaboração, os aspectos relacionados à sua divulgação, os elementos mínimos que o compõem e sua contribuição para a efetiva governança em privacidade.
2. Hipóteses em que a LGPD estabelece a necessidade de se elaborar o RIPD
A LGPD não apresenta um rol exaustivo ou taxativo de situações que exigem a elaboração do RIPD. Contudo, seu texto e as interpretações que já foram divulgadas até aqui pela ANPD - Autoridade Nacional de Proteção de Dados permitem identificar diversas hipóteses que indicam a necessidade desse instrumento, especialmente no setor público.
2.1. Tratamentos ligados à segurança pública
O art. 4º, § 3º, da LGPD estabelece que "as operações de tratamento de dados pessoais realizadas por autoridades públicas para o atendimento de sua finalidade pública, com o objetivo de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, desde que observados os princípios da proteção de dados pessoais e os direitos do titular, não serão regidas por esta lei". Embora haja essa dispensa geral, a ANPD, por meio de sua atuação e regulamentações, tem sinalizado que, mesmo nesses contextos, a análise de impacto pode ser fundamental.
A complexidade e o potencial de risco envolvidos no tratamento de dados para fins de segurança pública, que frequentemente envolvem dados sensíveis e vigilância em larga escala, demandam uma avaliação prévia e sistemática dos riscos. A elaboração do RIPD, nesse cenário, funciona como um mecanismo de responsabilização, prestação de contas e transparência, assegurando que os princípios da LGPD, como os da a necessidade, da adequação e da proporcionalidade, sejam observados, mesmo quando a aplicação integral da lei é mitigada.
2.2. Por solicitação da ANPD para agentes de tratamento do Poder Público
O art. 32 da LGPD confere à ANPD a prerrogativa de solicitar a elaboração de RIPD a agentes de tratamento do Poder Público, mesmo que não se enquadrem nas demais hipóteses legais. A norma dispõe que "a autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, nos termos de regulamentação, quando o tratamento de dados pessoais puder gerar riscos às liberdades civis e aos direitos fundamentais". Esta disposição confere à ANPD um poder de supervisão e fiscalização, permitindo que a Autoridade atue proativamente na identificação de tratamentos de dados que, em sua avaliação, representem um risco significativo aos titulares. Para o setor público, essa prerrogativa é particularmente relevante, dada a amplitude e a sensibilidade dos dados frequentemente tratados por órgãos governamentais.
2.3. Quando a hipótese legal para o tratamento de dados for o legítimo interesse
O legítimo interesse, previsto no art. 7º, inciso IX, da LGPD, é uma das bases legais para o tratamento de dados pessoais. No entanto, sua aplicação no setor público é restrita e condicionada a finalidades específicas, conforme o art. 23 da lei. O art. 10, § 3º, da LGPD estabelece que "a autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais quando o tratamento tiver como fundamento o legítimo interesse do controlador, nos termos de regulamentação". Embora o legítimo interesse seja menos comum como base legal para o tratamento de dados por órgãos públicos, quando utilizado, a necessidade de um RIPD torna-se crucial para demonstrar a legitimidade e a proporcionalidade do tratamento, bem como a avaliação dos interesses e direitos do titular.
2.4. Quando forem utilizados dados pessoais sensíveis
O tratamento de dados pessoais sensíveis, definidos pelo art. 5º, inciso II, da LGPD, como aqueles relacionados à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, possui um regime de proteção mais rigoroso.
O art. 38 da LGPD estabelece que "a ANPD poderá solicitar RIPD quando o tratamento de dados pessoais sensíveis puder gerar riscos às liberdades civis e aos direitos fundamentais". A sensibilidade desses dados implica um maior potencial de dano aos titulares em caso de uso indevido ou vazamento, tornando a elaboração do RIPD uma medida preventiva e mitigadora de riscos essencial, especialmente no setor público, onde frequentemente há o tratamento de grandes volumes de dados sensíveis (e.g., saúde, assistência social).
2.5. Alto risco à garantia dos princípios gerais de proteção de dados pessoais
O art. 5º, inciso XVII, da LGPD define RIPD como a "documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco". Embora não seja uma hipótese de elaboração em si, esta definição sublinha o propósito principal do RIPD: identificar e gerenciar riscos significativos.
A ANPD, por meio de seus guias e regulamentos, tem reiterado que qualquer tratamento de dados pessoais que apresente alto risco aos direitos e liberdades dos titulares, independentemente da base legal ou do tipo de dado (sensível ou não), deve ser precedido por um RIPD. No setor público, isso se aplica a projetos que envolvam novas tecnologias, uso de inteligência artificial, interconexão de bases de dados ou qualquer operação que possa ter um impacto substancial na privacidade dos cidadãos.
Ressalte-se que a ANPD apresentou seu entendimento acerca do que seria “alto risco”, como é possível observar na conceituação trazida no art. 4° da resolução CD/ANPD 2, de 27/1/22.
3. Divulgação do RIPD por determinação da ANPD
A publicidade é um princípio fundamental da Administração Pública, e a LGPD, em seu art. 31, reforça a transparência na atuação dos agentes de tratamento, especialmente os públicos. O art. 31 da LGPD estabelece que "a Autoridade Nacional poderá, quando o tratamento de dados pessoais puder gerar riscos às liberdades civis e aos direitos fundamentais, determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, observados o segredo comercial e industrial".
A questão da divulgação do RIPD no setor público é objeto de reflexões e cautelas.
Neste contexto, uma opção a se considerar é a divulgação integral do relatório, sendo essencial para garantir a transparência e a responsabilização do poder público. Essa visão pressupõe que o público tem o direito de saber como seus dados são tratados e quais riscos estão sendo mitigados. Contudo, essa perspectiva é temperada pela necessidade de proteger segredos comerciais e industriais, além de informações estratégicas ou de segurança que poderiam ser comprometidas pela divulgação completa.
Não obstante, há outra alternativa, pela qual, seria possível considerar a divulgação de um resumo do RIPD, como sendo uma solução mais equilibrada, permitindo a transparência sem expor informações sensíveis. Nesses casos, o resumo deve ser claro, conciso e conter informações essenciais que permitam ao titular e à sociedade compreender o tratamento de dados e os riscos associados.
A ANPD tem se posicionado a favor da divulgação, embora com a ressalva da proteção de informações confidenciais, buscando um equilíbrio entre transparência e a salvaguarda de interesses legítimos. A decisão sobre a forma de divulgação (integral ou resumo) deve ser tomada caso a caso, considerando a natureza dos dados e os riscos envolvidos.
Em qualquer hipótese, destaca Mauricio Tamer que "a elaboração do RIPD, que é responsabilidade do controlador de dados pessoais, serve para descrever os processos de tratamento de dados pessoais que podem gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD, às liberdades civis e aos direitos fundamentais do titular de dados. O documento deverá conter também medidas de proteção e mecanismos que possam diminuir riscos à proteção dos direitos dos titulares." (1) TAMER, Maurício. LGPD : comentada artigo por artigo : interpretação e aplicação da lei. 4. ed. São Paulo : Rideel, 2025.
4. A importância do RIPD na governança em privacidade e proteção de dados pessoais
O RIPD não é um documento isolado, mas uma peça central na estrutura de governança em privacidade e proteção de dados pessoais. Sua elaboração é um processo contínuo que demonstra a preocupação do controlador com a conformidade e a responsabilização, conforme preconizado pelo art. 50 da LGPD.
4.1. O que o controlador deve fazer após a elaboração do relatório
Após a elaboração do RIPD, o controlador deve tomar as seguintes medidas:
- Implementar as medidas de mitigação: As recomendações e salvaguardas identificadas no RIPD devem ser efetivamente implementadas para reduzir os riscos.
- Monitorar e revisar: O RIPD não é estático; ele deve ser revisado periodicamente e sempre que houver mudanças significativas no tratamento de dados, como a inclusão de novas tecnologias ou alterações na legislação.
- Comunicação com o encarregado: O relatório deve ser compartilhado com o DPO - Encarregado de Dados, que terá um papel crucial no monitoramento da conformidade e na interface com a ANPD.
- Disponibilização para a ANPD: O RIPD deve estar disponível para ser apresentado à ANPD sempre que solicitado, servindo como prova da conformidade.
- Transparência: Conforme discutido, considerar a divulgação do relatório ou de um resumo para os titulares, garantindo a transparência.
4.2. O controlador deve elaborar um único RIPD ou vários RIPDs?
A decisão de elaborar um único RIPD ou vários depende da complexidade e da diversidade das operações de tratamento de dados. No setor público, que frequentemente lida com uma miríade de sistemas e processos, é mais provável que sejam necessários vários RIPDs.
A prática recomendada, pela própria ANPD no item 8 do seu site, é elaborar um RIPD para cada projeto, sistema ou processo de tratamento de dados que apresente alto risco ou se enquadre nas hipóteses de obrigatoriedade. Isso permite uma análise mais focada e detalhada dos riscos específicos de cada operação, tornando o processo de avaliação e mitigação mais eficiente. Em instituições públicas com múltiplos departamentos ou programas, a criação de RIPDs individuais ou por área temática pode ser a abordagem mais eficaz.
4.3. Na hipótese de compartilhamento de dados pessoais em uma controladoria conjunta, definição sobre quem deve elaborar o RIPD
No cenário de co-controladoria, onde dois ou mais controladores decidem em conjunto sobre as finalidades e os meios de tratamento de dados, a responsabilidade pela elaboração do RIPD deve ser compartilhada. Idealmente, os co-controladores devem definir em um acordo de co-controladoria quem será o responsável principal pela elaboração do RIPD, ou se a tarefa será dividida. Contudo, todos os co-controladores são solidariamente responsáveis pela conformidade com a LGPD. Portanto, o RIPD deve refletir a perspectiva e as responsabilidades de cada um, e a colaboração é fundamental para garantir uma avaliação abrangente dos riscos.
4.4. Como os demais documentos da governança em proteção de dados pessoais contribuem para a elaboração do RIPD
Os demais documentos da governança em proteção de dados pessoais, em cumprimento ao art. 50 da LGPD (que trata das boas práticas e governança), são indispensáveis e complementares para a elaboração do RIPD, tais como mapeamento de dados; políticas de privacidade; termos de uso e avisos de privacidade; contratos com operadores: planos de resposta a incidentes; entre outros. Esses documentos fornecem o contexto e as informações necessárias para a elaboração de um RIPD robusto e eficaz, garantindo que a avaliação de impacto esteja integrada a um sistema de governança mais amplo.
5. Elementos mínimos que devem constar do RIPD
Embora não haja um modelo único e universalmente exigido para o RIPD, a boa prática e as orientações da ANPD sugerem a inclusão de elementos essenciais para que o documento seja completo e útil. A seguir, destacam-se alguns dos elementos mínimos que devem compor um RIPD, com foco nas particularidades do setor público:
5.1. Identificação dos agentes de tratamento e do encarregado
O relatório deve iniciar com a clara identificação do controlador (o órgão público que decide sobre o tratamento dos dados), do operador (se houver, a entidade que realiza o tratamento em nome do controlador) e do DPO - Encarregado de Dados, com seus respectivos dados de contato. Essa identificação é crucial para a responsabilização e para facilitar a comunicação com os titulares e a ANPD.
5.2. Necessidade de elaborar o RIPD
Deve-se explicitar qual a hipótese legal ou regulatória que motivou a elaboração do RIPD (e.g., tratamento de dados sensíveis, solicitação da ANPD, alto risco identificado). Isso demonstra a conformidade proativa do órgão com as determinações da LGPD e das autoridades competentes.
5.3. Descrição do tratamento de dados pessoais
Este é o cerne do RIPD. A descrição deve ser detalhada e clara, abrangendo:
- Finalidade do tratamento: Os objetivos específicos do tratamento dos dados, alinhados à finalidade pública do órgão.
- Bases legais: As bases legais da LGPD que justificam cada operação de tratamento (e.g., execução de políticas públicas, cumprimento de obrigação legal, consentimento).
- Categorias de dados pessoais: Quais tipos de dados são coletados (e.g., nome, CPF, endereço, dados de saúde, biometria).
- Categorias de titulares: A quem pertencem os dados (e.g., servidores públicos, cidadãos que utilizam determinado serviço).
- Fluxo de dados: Como os dados são coletados, armazenados, processados, compartilhados e descartados.
- Tempo de retenção: O período pelo qual os dados serão mantidos.
- Sistemas e tecnologias: As ferramentas e plataformas utilizadas no tratamento.
5.4. Partes interessadas consultadas
Indicar quais departamentos internos, órgãos externos, especialistas (e.g., em segurança da informação, ética), ou mesmo representantes dos titulares de dados foram consultados durante o processo de elaboração do RIPD. A participação de diferentes perspectivas enriquece a análise de riscos e a proposição de medidas de mitigação.
5.5. Princípios da LGPD e medidas para garantia dos direitos do titular
O relatório deve demonstrar como os princípios da LGPD (e.g., finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas) estão sendo observados no tratamento. Além disso, deve detalhar as medidas e canais disponibilizados para que os titulares de dados possam exercer seus direitos (e.g., acesso, correção, eliminação, portabilidade).
5.6. Identificação e avaliação de riscos
Esta seção é crucial. Devem ser identificados os riscos potenciais à privacidade e aos direitos fundamentais dos titulares, classificando-os quanto à sua probabilidade (baixa, média, alta) e severidade (baixa, média, alta). Exemplos de riscos incluem vazamento de dados, acesso não autorizado, uso indevido, discriminação, perda de dados, etc. Para cada risco, deve-se descrever o impacto potencial sobre os titulares.
5.7. Medidas para tratar os riscos
Para cada risco identificado, o RIPD deve propor medidas de mitigação claras e concretas, sejam elas técnicas (e.g., criptografia, anonimização, pseudonimização, controle de acesso) ou organizacionais (e.g., treinamento de pessoal, políticas internas, revisão de processos). Deve-se avaliar a eficácia esperada dessas medidas na redução dos riscos.
5.8. Aprovação pelos responsáveis e pelos representantes do controlador e do operador
O RIPD deve ser formalmente aprovado pelas instâncias superiores do órgão público (controlador) e, se houver, pelo operador. Essa aprovação confere legitimidade ao documento e demonstra o comprometimento da alta gestão com a proteção de dados, reforçando a cultura de privacidade na instituição. A assinatura dos responsáveis solidifica o processo de responsabilização.
6. Como é a elaboração do RIPD no âmbito do Programa de Governança em Privacidade e Proteção de Dados Pessoais da Prefeitura da cidade do Rio de Janeiro
6.1. Como funciona o Programa de Governança e quem tem a responsabilidade de elaborar o RIPD na Prefeitura da cidade do Rio de Janeiro
O PGPPDP - Programa de Governança em Privacidade e Proteção dos Dados Pessoais foi estabelecido pelo decreto Rio 54.984, de 21/8/24, consistindo em um planejamento integrado por um conjunto de ações para preservação de dados pessoais e informações pessoais, dividido nos seguintes eixos: compreender o problema; instituir e implementar a Política Municipal de Proteção de Dados Pessoais; gerenciar riscos na proteção de dados; elaborar instrumentos do Programa de Governança em Privacidade e Proteção de Dados Pessoais; e, eixo de capacitar e de sensibilizar.
Neste sentido, o PGPPDP será implementado pelos agentes de tratamento de dados pessoais no âmbito da Administração Pública municipal, sendo que, de acordo com o art. 11, as atribuições e funções típicas de controladores de dados serão exercidas pelos órgãos e entidades municipais.
No que tange à elaboração do RIPD, seria possível notar que a confecção deste instrumento está inserida em todos os eixos do aludido programa, tendo em vista a natureza e complexidade deste documento, sendo de responsabilidade dos agentes de tratamento de dados pessoais no âmbito da Administração Pública municipal, conforme art. 6o, VIII do decreto em questão.
Assim, o art. 12 da referida norma, prevê que compete ao controlador de dados, a elaboração e a manutenção atualizada, com o auxílio do operador, dos RIPDs. Em termos operacionais, serão os encarregados de dados setoriais, com o suporte dos Comitê de Privacidade e Proteção de Dados Pessoais, os responsáveis pela confecção interna dos RIPDs.
6.2. Importância das capacitações para orientar encarregados de dados e membros dos Comitês de Privacidade para elaboração do RIPD
A trilha de formação em privacidade e proteção de dados pessoais da Prefeitura da cidade do Rio de Janeiro é estruturada sobre uma metodologia de ensino dual, que distingue claramente entre capacitação e sensibilização. A capacitação foca no desenvolvimento de competências técnicas e práticas por meio de cursos e oficinas, majoritariamente presenciais e com carga horária definida e dividida em níveis introdutório, intermediário e avançado, com o objetivo é fornecer as ferramentas e os conhecimentos específicos para que os agentes públicos possam executar suas tarefas com maior efetividade.
Em contrapartida, a sensibilização visa ampliar a conscientização e promover uma mudança de cultura organizacional em relação à privacidade e proteção de dados, se manifestando em abordagens e em formatos mais flexíveis como palestras, fóruns e reuniões, buscando engajar um público mais amplo e despertar uma percepção mais profunda sobre a importância do tema.
Essa estrutura de ensino se mostrou fundamental para orientação dos encarregados e membros de comitês na elaboração do RIPD - Relatório de Impacto à Proteção de Dados e demais documentos do Programa de Governança em Privacidade e Proteção de Dados Pessoais de forma que não se distancie da Política Carioca de Desenvolvimento de Gestores implementada à todos os agentes públicos municipais.
A capacitação direcionada aos membros de comitê, nos níveis introdutório e intermediário, fornece o conhecimento teórico e as habilidades práticas (os "CHAs" - Conhecimentos, Habilidades e Atitudes) necessários para mapear processos, validar informações e documentar os fluxos de tratamento de dados, que são a base para qualquer RIPD. Já os encarregados de dados adquirem não apenas o domínio técnico aprofundado, mas também as competências de liderança e relacionamento interpessoal para conduzir todo o processo, garantindo que a documentação seja robusta, completa e alinhada às exigências da LGPD e às diretrizes da ANPD.
7. RIPD: Ferramenta indispensável para a garantia dos direitos do titular de dados pessoais pelos órgãos públicos
O RIPD - Relatório de Impacto à Proteção de Dados transcende a mera formalidade burocrática; ele se consolida como uma ferramenta indispensável para a garantia efetiva dos direitos dos titulares de dados pessoais pelos órgãos públicos. Ao exigir uma análise proativa e sistemática dos riscos inerentes às operações de tratamento, o RIPD força os entes governamentais a refletirem sobre as consequências de suas ações no que tange à privacidade dos cidadãos.
A sua elaboração permite que os órgãos e entidades públicos identifiquem, antes mesmo da implementação da política ou serviço, potenciais falhas, vulnerabilidades ou impactos negativos nos direitos fundamentais. Essa prevenção é muito mais eficaz e menos custosa do que a remediação de incidentes de segurança ou violações de dados após sua ocorrência. Além disso, o processo de elaboração do RIPD promove uma cultura interna de privacidade e responsabilidade, incentivando a colaboração entre diferentes áreas do órgão e o engajamento de gestores e servidores.
Ao detalhar as medidas de mitigação e as salvaguardas implementadas, o RIPD se torna um documento de responsabilização, demonstrando à ANPD e à sociedade o compromisso do órgão com a LGPD. A transparência, seja pela divulgação integral ou por meio de resumos, fortalece a confiança dos cidadãos na administração pública, que passa a ser vista como uma entidade que respeita e protege seus dados pessoais.
Em suma, o RIPD no setor público não é apenas um requisito legal, mas um pilar da governança em privacidade, essencial para a construção de um ambiente digital mais seguro, ético e respeitosos dos direitos individuais dos cidadãos.
8. Conclusão
A implementação da LGPD representa um desafio e uma oportunidade para o setor público brasileiro. Nesse cenário, o RIPD - Relatório de Impacto à Proteção de Dados emerge como um instrumento de governança de fundamental importância. Ao exigir uma avaliação prévia e sistemática dos riscos associados ao tratamento de dados pessoais, o RIPD permite que os órgãos públicos atuem de forma proativa na identificação e mitigação de vulnerabilidades, garantindo a proteção dos direitos e liberdades fundamentais dos titulares.
As diversas hipóteses de elaboração do RIPD, seja por tipo de tratamento (e.g., dados sensíveis, segurança pública), por base legal (legítimo interesse) ou por solicitação da ANPD, reforçam a abrangência e a flexibilidade dessa ferramenta. A discussão sobre a sua divulgação, seja na íntegra ou por resumo, demonstra o compromisso com a transparência, um pilar da administração pública.
A consideração de elementos mínimos no RIPD, com as particularidades inerentes ao setor público, assegura que o documento seja abrangente e relevante para o contexto governamental. Mais do que um mero requisito documental, o RIPD se integra à governança em privacidade, fornecendo insumos para a implementação de medidas de segurança, a tomada de decisões informadas e a responsabilização dos agentes de tratamento.
______________________
BRASIL. Autoridade Nacional de Poroteção de Dados Pessoais. RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022. Disponível em: https://www.gov.br/anpd/pt-br/acesso-a-informacao/institucional/atos-normativos/regulamentacoes_anpd/resolucao-cd-anpd-no-2-de-27-de-janeiro-de-2022. Acesso em 23 jul. 2025.
BRASIL. Autoridade Nacional de Poroteção de Dados Pessoais. Perguntas e Respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais?. Disponível em: https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/relatorio-de-impacto-a-protecao-de-dados-pessoais-ripd#p8 . Acesso em 23 jul. 2025.
TAMER, Maurício. LGPD : comentada artigo por artigo : interpretação e aplicação da lei. 4ª. ed. São Paulo : Rideel, 2025.
LOTTA, Gabriela. FERNANDEZ, Michelle. MAGRI, Giordano. PIMENTA, Denise Nacif. A linha de frente em tempos de crise [recurso eletrônico]: a atuação dos burocratas de nível de rua na pandemia da Covid-19 no Brasil. Rio de Janeiro: EdUERJ, 2024.
VARGAS, A. C. G.; GUIMARÃES, B. G.; DA SILVA, I. DE J. Plano de capacitação da Prefeitura Municipal de Niterói. Disponível em: https://egg.seplag.niteroi.rj.gov.br/wp-content/uploads/2022/05/plano-de-capacitacao.pdf.
DE JANEIRO, E. F. DO E. DO R. Plano Anual de Capacitação e Treinamento. Disponível em: https://portal.fazenda.rj.gov.br/efaz/wp-content/uploads/sites/27/2023/09/PACT-2023.pdf.
DO NASCIMENTO, B. et al. Política Carioca de Desenvolvimento de Gestores. Disponível em: https://fjg.prefeitura.rio/politica-carioca-de-desenvolvimento-de-gestores-2/.
DO MEIO AMBIENTE, M. Sensibilização e Capacitação dos Servidores. Disponível em: https://antigo.mma.gov.br/informma/item/528-eixos-tem%C3%A1ticos-sensibiliza%C3%A7%C3%A3o-e-capacita%C3%A7%C3%A3o-dos-servidores.html.
ESCOLA NACIONAL DE ADMINISTRAÇÃO PÚBLICA (BRASIL). Competências transversais de um setor público de alto desempenho. Disponível em: http://repositorio.enap.gov.br/handle/1/5663.
ESCOLA NACIONAL DE ADMINISTRAÇÃO PÚBLICA (BRASIL). Elaboração de Planos de Capacitação. Disponível em: https://repositorio.enap.gov.br/bitstream/1/2383/1/Apostila%26CE_EPC_rev_final_24-11-15.pdf.