Se você está prestes a adequar a sua empresa à LGPD e ainda não sabe o que é um ROPA, nem sabe qual a importância dele para o processo de adequação, então não deixe de ler este texto até o final!
Um dos passos iniciais para que uma empresa faça a adequação à LGPD é a realização do diagnóstico dos riscos de proteção de dados da companhia. A elaboração do ROPA, do inglês “Record of Processing Activities” ou Registro das Atividades de Tratamento, é uma etapa anterior que pode ajudar, e muito, na construção final do seu RIPD.
Mas o que é o ROPA?
Como o próprio nome indica, o ROPA nada mais é do que o registro de todas as operações que envolvam dados pessoais, devendo ser realizado por controladores e operadores, especialmente quando a base legal do tratamento for o legítimo interesse. Em outras palavras, o ROPA é o conjunto de provas de como é feita a coleta de dados, por que é feita a coleta, o que é feito com essas informações, quais os critérios de segurança utilizados no armazenamento e como é feita a exclusão, caso ocorra.
Fundamentação Legal no Brasil
Exigidas pelo artigo 37 da LGPD, as informações contidas no ROPA são extremamente úteis, especialmente na hipótese de ser necessária a prestação de informações à Autoridade Nacional de Proteção de Dados (ANPD).
Importância e Benefícios no processo de adequação à LGPD
A criação de um Registro das Atividades de Tratamento se mostra importante, em primeiro lugar, para o cumprimento da exigência legal anteriormente mencionada. Em segundo plano, percebe-se a sua relevância para o processo de adequação à LGPD – na medida em que sua elaboração conta com elementos que serão utilizados na produção de outros documentos durante o processo de adequação.
A elaboração do ROPA contribui para a organização interna da sua empresa. Isto ocorre pois, durante o levantamento de informações para a construção do relatório em questão, é possível mapear a totalidade dos dados coletados e tratados em cada processo/setor.
O mapeamento de dados é super importante, sobretudo por permitir que o gestor da área avalie a necessidade e fundamentação das coletas realizadas – ajudando, assim, a tornar o tratamento de dados em sua empresa cada vez mais eficiente e adequado às exigências da LGPD.
Além disso, a elaboração constante de tais documentos contribui, em última instância, com a implementação e consolidação de uma forte cultura interna de gestão de dados na sua empresa. Garantindo, assim, a capacidade de mapear processos de forma precisa e prestar informações em detalhes em casos de auditoria.
Como faço o ROPA da minha empresa/organização?
Recomendações do Governo Federal para o Ropa:
De acordo com o Guia de Elaboração de Inventário de Dados Pessoais editado pelo Governo Federal, um ROPA deve conter, no mínimo:
1. Identificação do Processo:
A estratégia de inventariar os dados pessoais por processo do negócio visa contemplar processos ou rotinas internas como, por exemplo, processo interno de gestão de pessoas da empresa/organização.
2. Identificação dos Agentes de Tratamento e do(s) Encarregado(s) de Proteção de Dados:
Esta fase envolve identificar os agentes de tratamento (controlador e operador) e o encarregado de proteção de dados (art. 5º da LGPD), destacando nome, endereço, CEP, telefone e e-mail.
3.Finalidade do Tratamento dos dados:
Esta fase aborda a identificação de três aspectos fundamentais para respaldar o tratamento dos dados pessoais: a hipótese (arts. 7º e 11) da LGPD, a especificação da finalidade e a previsão legal.
4.Categorias de Dados Pessoais:
Identificar quais são os dados pessoais tratados pela empresa representa o objetivo central do ROPA. Inventariar os dados pessoais utilizados possibilitará avaliar se todos os dados pessoais usados são realmente necessários e adequados para realização de suas finalidades (LGPD, art. 6º, III).
5. Categorias de Dados Pessoais Sensíveis:
Realizar o inventário de dados pessoais sensíveis é extremamente importante, visto que o uso indevido desses dados podem resultar em algum tipo de discriminação em relação ao titular dos dados pessoais sensíveis.
6. Categorias de Titulares de Dados Pessoais:
Além de elencar os dados pessoais tratados, é necessário identificar em relação a esses dados: quais são as categorias (tipos) de titulares a quem pertencem os dados pessoais; e se são tratados dados pessoais de crianças/adolescentes, bem como de outro grupo vulnerável.
7. Compartilhamento de Dados Pessoais:
Informar com quais instituições/empresas/organizações os dados pessoais são compartilhados e para qual finalidade.
8. Medidas de Segurança/Privacidade:
Esta fase envolve identificar as atuais medidas de segurança, técnicas administrativas implementadas e a descrição dos controles que visam assegurar a integridade dos dados pessoais, minimizando os riscos como, por exemplo, o risco de perda ou vazamento de dados.
9.Transferência Internacional de Dados Pessoais:
Esta fase do ROPA envolve destacar as organizações internacionais que recebem dados pessoais por meio de qualquer tipo de transferência ou meio de compartilhamento.
10. Atualizações Periódicas:
O ROPA não termina com a conclusão de sua elaboração. É extremamente necessário que as informações documentadas no registro sempre reflitam a situação atual do tratamento de dados pessoais do serviço/processo de negócio. Ele é um documento “vivo” que é atualizado quando necessário.
Além das informações listadas acima, um ROPA completo pode contar, ainda, com informações sobre:
I – A atuação do operador no ciclo de vida do tratamento do dado;
II – O fluxo de tratamento de dados pessoais;
III – Escopo e natureza dos dados pessoais;
IV – Frequência e totalização das categorias de dados pessoais tratados; e
V – A relação completa dos contratos da empresa a serem avaliados na análise de adequação contratual.
Tais informações serão indispensáveis até mesmo na elaboração do Relatório de Impacto à Proteção de Dados.
ROPA: Recomendações da Information Commissioner’s Office (ICO):
De acordo com o Information Commissioner’s Office (ICO), autoridade de proteção de dados do Reino Unido, os requisitos mínimos para um ROPA são:
1. Identificação e dados de contato dos agentes de tratamento e entidades envolvidas (controladores, operadores, sub operadores, DPO, etc);
2. Finalidades do processamento;
3. Descrição das categorias e tipos de dados pessoais que são necessários para atingir a finalidade;
4. Detalhes sobre a transferência internacional de dados e medidas e salvaguardas para a proteção dos dados pessoais;
5. Prazo de retenção e demais informações relacionadas a data de expurgo ou anonimização;
6. Descrição das medidas técnicas e organizacionais para a proteção de dados;
Da leitura dos requisitos podemos perceber que tanto a autoridade britânica quanto a autoridade brasileira possuem requisitos mínimos muito similares para a produção de um ROPA.
É importante ressaltar, no entanto, que o tempo estimado para a elaboração e a dificuldade enfrentada em realizar todo o levantamento de informações necessárias é variável, oscilando bastante de acordo com o nível de maturidade e organização interna da empresa.
Todavia, toda jornada se inicia no primeiro passo e, assim que os primeiros Registros de Atividades de Tratamento estiverem prontos, a sua empresa poderá ter a certeza de estar seguindo o caminho certo!
Entenda como a ANPD irá realizar a Dosimetria para aplicação de multas pecuniárias em casos de violação à LGPD
Confira o texto completo sobre a Norma de Dosimetria da ANPD para aplicação de sanções administrativas previstas na LGPD.
Evite multas, adeque sua empresa aos requisitos da LGPD!
Referências – ROPA
[1] Mapeamento de Dados – Confira no Blog do BL Consultoria Digital (link)
[2] Guia de Elaboração de Inventário de Dados Pessoais, publicado pelo Governo do Brasil (link)
[3] Recomendações da Autoridade de Proteção de dados do Reino Unido (ICO) para ROPA (link)
Este artigo “ROPA: Saiba como um Registro das Atividades de Tratamento de Dados pode te ajudar na adequação da sua empresa à LGPD” foi escrito Por João Pereira. Conheça o BL Consultoria Digital, acesse aqui!
