Pular para o conteúdo

ROPA: Como um Registro das Atividades de Tratamento de Dados pode te ajudar na Adequação à LGPD

Se você está prestes a adequar a sua empresa à LGPD e ainda não sabe o que é um ROPA, nem sabe qual a importância dele para o processo de adequação, então não deixe de ler este texto até o final!

Um dos passos iniciais para que uma empresa faça a adequação à LGPD é a realização do diagnóstico dos riscos de proteção de dados da companhia. A elaboração do ROPA, do inglês “Record of Processing Activities” ou Registro das Atividades de Tratamento, é uma etapa anterior que pode ajudar, e muito, na construção final do seu RIPD.

Mas o que é o ROPA?

Como o próprio nome indica, o ROPA nada mais é do que o registro de todas as operações que envolvam dados pessoais, devendo ser realizado por controladores e operadores, especialmente quando a base legal do tratamento for o legítimo interesse. Em outras palavras, o ROPA é o conjunto de provas de como é feita a coleta de dados, por que é feita a coleta, o que é feito com essas informações, quais os critérios de segurança utilizados no armazenamento e como é feita a exclusão, caso ocorra.

Fundamentação Legal no Brasil

Exigidas pelo artigo 37 da LGPD, as informações contidas no ROPA são extremamente úteis, especialmente na hipótese de ser necessária a prestação de informações à Autoridade Nacional de Proteção de Dados (ANPD).

ROPA
ROPA: Registro das Atividades de Tratamento de Dados e adequação à LGPD

Importância e Benefícios no processo de adequação à LGPD

A criação de um Registro das Atividades de Tratamento se mostra importante, em primeiro lugar, para o cumprimento da exigência legal anteriormente mencionada. Em segundo plano, percebe-se a sua relevância para o processo de adequação à LGPD – na medida em que sua elaboração conta com elementos que serão utilizados na produção de outros documentos durante o processo de adequação.

A elaboração do ROPA contribui para a organização interna da sua empresa. Isto ocorre pois, durante o levantamento de informações para a construção do relatório em questão, é possível mapear a totalidade dos dados coletados e tratados em cada processo/setor.

O mapeamento de dados é super importante, sobretudo por permitir que o gestor da área avalie a necessidade e fundamentação das coletas realizadas – ajudando, assim, a tornar o tratamento de dados em sua empresa cada vez mais eficiente e adequado às exigências da LGPD.

Além disso, a elaboração constante de tais documentos contribui, em última instância, com a implementação e consolidação de uma forte cultura interna de gestão de dados na sua empresa. Garantindo, assim, a capacidade de mapear processos de forma precisa e prestar informações em detalhes em casos de auditoria.

Como faço o ROPA da minha empresa/organização?

Recomendações do Governo Federal para o Ropa:

De acordo com o Guia de Elaboração de Inventário de Dados Pessoais editado pelo Governo Federal, um ROPA deve conter, no mínimo:

ROPA
Então como faço o ROPA da minha empresa/organização?

1. Identificação do Processo:

A estratégia de inventariar os dados pessoais por processo do negócio visa contemplar processos ou rotinas internas como, por exemplo, processo interno de gestão de pessoas da empresa/organização.

2. Identificação dos Agentes de Tratamento e do(s) Encarregado(s) de Proteção de Dados:

Esta fase envolve identificar os agentes de tratamento (controlador e operador) e o encarregado de proteção de dados (art. 5º da LGPD), destacando nome, endereço, CEP, telefone e e-mail.

3.Finalidade do Tratamento dos dados:

Esta fase aborda a identificação de três aspectos fundamentais para respaldar o tratamento dos dados pessoais: a hipótese (arts. 7º e 11) da LGPD, a especificação da finalidade e a previsão legal.

4.Categorias de Dados Pessoais:

Identificar quais são os dados pessoais tratados pela empresa representa o objetivo central do ROPA. Inventariar os dados pessoais utilizados possibilitará avaliar se todos os dados pessoais usados são realmente necessários e adequados para realização de suas finalidades (LGPD, art. 6º, III).

5. Categorias de Dados Pessoais Sensíveis:

Realizar o inventário de dados pessoais sensíveis é extremamente importante, visto que o uso indevido desses dados podem resultar em algum tipo de discriminação em relação ao titular dos dados pessoais sensíveis.

6. Categorias de Titulares de Dados Pessoais:

Além de elencar os dados pessoais tratados, é necessário identificar em relação a esses dados: quais são as categorias (tipos) de titulares a quem pertencem os dados pessoais; e se são tratados dados pessoais de crianças/adolescentes, bem como de outro grupo vulnerável.

7. Compartilhamento de Dados Pessoais:

Informar com quais instituições/empresas/organizações os dados pessoais são compartilhados e para qual finalidade.

8. Medidas de Segurança/Privacidade:

Esta fase envolve identificar as atuais medidas de segurança, técnicas administrativas implementadas e a descrição dos controles que visam assegurar a integridade dos dados pessoais, minimizando os riscos como, por exemplo, o risco de perda ou vazamento de dados. 

9.Transferência Internacional de Dados Pessoais:

Esta fase do ROPA envolve destacar as organizações internacionais que recebem dados pessoais por meio de qualquer tipo de transferência ou meio de compartilhamento.

10. Atualizações Periódicas:

O ROPA não termina com a conclusão de sua elaboração. É extremamente necessário que as informações documentadas no registro sempre reflitam a situação atual do tratamento de dados pessoais do serviço/processo de negócio. Ele é um documento “vivo” que é atualizado quando necessário.

Além das informações listadas acima, um ROPA completo pode contar, ainda, com informações sobre:

I – A atuação do operador no ciclo de vida do tratamento do dado;

II – O fluxo de tratamento de dados pessoais;

III – Escopo e natureza dos dados pessoais;

IV – Frequência e totalização das categorias de dados pessoais tratados; e

V – A relação completa dos contratos da empresa a serem avaliados na análise de adequação contratual.

Tais informações serão indispensáveis até mesmo na elaboração do Relatório de Impacto à Proteção de Dados.

ROPA: Recomendações da Information Commissioner’s Office (ICO):

De acordo com o Information Commissioner’s Office (ICO), autoridade de proteção de dados do Reino Unido, os requisitos mínimos para um ROPA são:

1. Identificação e dados de contato dos agentes de tratamento e entidades envolvidas (controladores, operadores, sub operadores, DPO, etc);

2. Finalidades do processamento;

3. Descrição das categorias e tipos de dados pessoais que são necessários para atingir a finalidade;

4. Detalhes sobre a transferência internacional de dados e medidas e salvaguardas para a proteção dos dados pessoais;

5. Prazo de retenção e demais informações relacionadas a data de expurgo ou anonimização;

6. Descrição das medidas técnicas e organizacionais para a proteção de dados;

ropa lgpd
ROPA: Recomendações da Information Commissioner’s Office (ICO)

Da leitura dos requisitos podemos perceber que tanto a autoridade britânica quanto a autoridade brasileira possuem requisitos mínimos muito similares para a produção de um ROPA.

É importante ressaltar, no entanto, que o tempo estimado para a elaboração e a dificuldade enfrentada em realizar todo o levantamento de informações necessárias é variável, oscilando bastante de acordo com o nível de maturidade e organização interna da empresa.

Todavia, toda jornada se inicia no primeiro passo e, assim que os primeiros Registros de Atividades de Tratamento estiverem prontos, a sua empresa poderá ter a certeza de estar seguindo o caminho certo!

Entenda como a ANPD irá realizar a Dosimetria para aplicação de multas pecuniárias em casos de violação à LGPD

Confira o texto completo sobre a Norma de Dosimetria da ANPD para aplicação de sanções administrativas previstas na LGPD.

Evite multas, adeque sua empresa aos requisitos da LGPD!

Ficou com dúvidas relativa a ROPA e a Implementação LGPD? Agende uma reunião com nossos advogados.

Referências – ROPA

[1] Mapeamento de Dados – Confira no Blog do BL Consultoria Digital (link)

[2] Guia de Elaboração de Inventário de Dados Pessoais, publicado pelo Governo do Brasil (link)

[3] Recomendações da Autoridade de Proteção de dados do Reino Unido (ICO) para ROPA (link)

Este artigo “ROPA: Saiba como um Registro das Atividades de Tratamento de Dados pode te ajudar na adequação da sua empresa à LGPD” foi escrito Por João Pereira. Conheça o BL Consultoria Digital, acesse aqui!

João Pereira
João Pereira
Graduando em Direito na Universidade Federal da Bahia (UFBA) e membro da Clínica de Direitos Humanos (CDH) da UFBA. Atualmente é estagiário na área de Compliance e Proteção de Dados do BL Consultoria Digital.

Posts Relacionados

Fale Conosco

    Categorias

    Assine nossa Newsletter

    Open chat
    Olá, tudo bem? Como podemos te ajudar?
    Olá! Como podemos ajudar?