ROPA: Saiba como um Registro das Atividades de Tratamento de Dados pode te ajudar na Adequação à LGPD

Se você está prestes a adequar a sua empresa à LGPD e ainda não sabe o que é um ROPA, nem sabe qual a importância dele para o processo de adequação, então não deixe de ler este texto até o final!

Um dos passos iniciais para que uma empresa faça a adequação à LGPD é a realização do diagnóstico dos riscos de proteção de dados da companhia. A elaboração do ROPA, do inglês “Record of Processing Activities” ou Registro das Atividades de Tratamento, é uma etapa anterior que pode ajudar, e muito, na construção final do seu RIPD.

OBS: Para facilitar o entendimento, seguiremos utilizando a sigla em inglês (ROPA) para nos referirmos ao Registro em questão.

Mas o que é o ROPA?

Como o próprio nome indica, o ROPA nada mais é do que o registro de todas as operações que envolvam dados pessoais, devendo ser realizado por controladores e operadores, especialmente quando a base legal do tratamento for o legítimo interesse. Em outras palavras, o ROPA é o conjunto de provas de como é feita a coleta de dados, por que é feita a coleta, o que é feito com essas informações, quais os critérios de segurança utilizados no armazenamento e como é feita a exclusão, caso ocorra.

Fundamentação Legal no Brasil

Exigidas pelo artigo 37 da LGPD, as informações contidas no ROPA são extremamente úteis, especialmente na hipótese de ser necessária a prestação de informações à Autoridade Nacional de Proteção de Dados (ANPD).

ROPA
ROPA: Registro das Atividades de Tratamento de Dados e adequação à LGPD

Importância e Benefícios

A criação de um Registro das Atividades de Tratamento se mostra importante, em primeiro lugar, para o cumprimento da exigência legal anteriormente mencionada. Em segundo plano, percebe-se a sua relevância para o processo de adequação à LGPD – na medida em que sua elaboração conta com elementos que serão utilizados na produção de outros documentos durante o processo de adequação.

A elaboração do ROPA contribui para a organização interna da sua empresa. Isto ocorre pois, durante o levantamento de informações para a construção do relatório em questão, é possível mapear a totalidade dos dados coletados e tratados em cada processo/setor. Este mapeamento de dados é super importante, sobretudo por permitir que o gestor da área avalie a necessidade e fundamentação das coletas realizadas – ajudando, assim, a tornar o tratamento de dados em sua empresa cada vez mais eficiente e adequado às exigências da LGPD.

Além disso, a elaboração constante de tais documentos contribui, em última instância, com a implementação e consolidação de uma forte cultura interna de gestão de dados na sua empresa. Garantindo, assim, a capacidade de mapear processos de forma precisa e prestar informações em detalhes em casos de auditoria.

ROPA
Então como faço o ROPA da minha empresa/organização?

Então como faço o ROPA da minha empresa/organização?

Recomendações do Governo Federal:

De acordo com o Guia de Elaboração de Inventário de Dados Pessoais editado pelo Governo Federal, um ROPA deve conter, no mínimo:

  1. Identificação do Processo;

A estratégia de inventariar os dados pessoais por processo do negócio visa contemplar processos ou rotinas internas como, por exemplo, processo interno de gestão de pessoas da empresa/organização.

  1. Identificação dos Agentes de Tratamento e do(s) Encarregado(s) de Proteção de Dados;

Esta fase envolve identificar os agentes de tratamento (controlador e operador) e o encarregado de proteção de dados (art. 5º da LGPD), destacando nome, endereço, CEP, telefone e e-mail.

  1. Finalidade do Tratamento dos dados;

Esta fase aborda a identificação de três aspectos fundamentais para respaldar o tratamento dos dados pessoais: a hipótese (arts. 7º e 11) da LGPD, a especificação da finalidade e a previsão legal.

  1. Categorias de Dados Pessoais;

Identificar quais são os dados pessoais tratados pela empresa representa o objetivo central do ROPA. Inventariar os dados pessoais utilizados possibilitará avaliar se todos os dados pessoais usados são realmente necessários e adequados para realização de suas finalidades (LGPD, art. 6º, III).

  1. Categorias de Dados Pessoais Sensíveis;

Realizar o inventário de dados pessoais sensíveis é extremamente importante, visto que o uso indevido desses dados podem resultar em algum tipo de discriminação em relação ao titular dos dados pessoais sensíveis.

  1. Categorias de Titulares de Dados Pessoais;

Além de elencar os dados pessoais tratados, é necessário identificar em relação a esses dados: quais são as categorias (tipos) de titulares a quem pertencem os dados pessoais; e se são tratados dados pessoais de crianças/adolescentes, bem como de outro grupo vulnerável.

  1. Compartilhamento de Dados Pessoais;

Informar com quais instituições/empresas/organizações os dados pessoais são compartilhados e para qual finalidade.

  1. Medidas de Segurança/Privacidade;

Esta fase envolve identificar as atuais medidas de segurança, técnicas administrativas implementadas e a descrição dos controles que visam assegurar a integridade dos dados pessoais, minimizando os riscos como, por exemplo, o risco de perda ou vazamento de dados. 

  1. Transferência Internacional de Dados Pessoais;

Esta fase do ROPA envolve destacar as organizações internacionais que recebem dados pessoais por meio de qualquer tipo de transferência ou meio de compartilhamento.

  1. Atualizações Periódicas;

O ROPA não termina com a conclusão de sua elaboração. É extremamente necessário que as informações documentadas no registro sempre reflitam a situação atual do tratamento de dados pessoais do serviço/processo de negócio. Ele é um documento “vivo” que é atualizado quando necessário.

Além das informações listadas acima, um ROPA completo pode contar, ainda, com informações sobre: I – A atuação do operador no ciclo de vida do tratamento do dado; II – O fluxo de tratamento de dados pessoais; III – Escopo e natureza dos dados pessoais; IV – Frequência e totalização das categorias de dados pessoais tratados; e, por fim, V – A relação completa dos contratos da empresa a serem avaliados na análise de adequação contratual.

ROPA
ROPA: Registro das Atividades de Tratamento de Dados e adequação à LGPD

Tais informações serão indispensáveis até mesmo na elaboração do Relatório de Impacto à Proteção de Dados.

ROPA: Recomendações da Information Commissioner’s Office (ICO):

De acordo com o Information Commissioner’s Office (ICO), autoridade de proteção de dados do Reino Unido, os requisitos mínimos para um ROPA são:

  1. Identificação e dados de contato dos agentes de tratamento e entidades envolvidas (controladores, operadores, sub operadores, DPO, etc);
  2. Finalidades do processamento;
  3. Descrição das categorias e tipos de dados pessoais que são necessários para atingir a finalidade;
  4. Detalhes sobre a transferência internacional de dados e medidas e salvaguardas para a proteção dos dados pessoais;
  5. Prazo de retenção e demais informações relacionadas a data de expurgo ou anonimização;
  6. Descrição das medidas técnicas e organizacionais para a proteção de dados;

Da leitura dos requisitos podemos perceber que tanto a autoridade britânica quanto a autoridade brasileira possuem requisitos mínimos muito similares para a produção de um ROPA.

ropa lgpd
ROPA: Recomendações da Information Commissioner’s Office (ICO)

É importante ressaltar, no entanto, que o tempo estimado para a elaboração e a dificuldade enfrentada em realizar todo o levantamento de informações necessárias é variável, oscilando bastante de acordo com o nível de maturidade e organização interna da empresa.

Todavia, toda jornada se inicia no primeiro passo e, assim que os primeiros Registros de Atividades de Tratamento estiverem prontos, a sua empresa poderá ter a certeza de estar seguindo o caminho certo!

Referências – ROPA

[1] Mapeamento de Dados – Confira no Blog do BL Consultoria Digital (link)

[2] Guia de Elaboração de Inventário de Dados Pessoais, publicado pelo Governo do Brasil (link)

[3] Recomendações da Autoridade de Proteção de dados do Reino Unido (ICO) para ROPA (link)

Time BL Consultoria Digital – Direito Digital e Análise Regulatória

Este artigo “ROPA: Saiba como um Registro das Atividades de Tratamento de Dados pode te ajudar na adequação da sua empresa à LGPD” foi escrito Por João Pereira. Conheça o BL Consultoria Digital, acesse aqui!

Para Assessoria Jurídica e Adequação às leis de Proteção de Dados (Consultoria LGPD), contate agora os nossos Advogados

Para mais informações ou se tiver dúvidas sobre Direito Digital, em especial acerca dos temas: Proteção de Dados (Consultoria LGPD),  Aspectos Regulatórios e Compliance de novas tecnologias, entre em contato pelo e-mail contato@blconsultoriadigital.com.br  ou fale com um Advogado online agora.

O atributo alt desta imagem está vazio. O nome do arquivo é Agendar-Reuniao-Bl-Consultoria.png
Ficou com dúvidas relativa a ROPA e a Implementação LGPD? Agende uma reunião com nossos advogados.
Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
João Pereira
João Pereira
Graduando em Direito na Universidade Federal da Bahia (UFBA), Diretor de Marketing na ADV Junior Consultoria Jurídica e membro da Clínica de Direitos Humanos (CDH) da UFBA. Atualmente estagia na área de Compliance e Proteção de Dados do BL Consultoria Digital.
João Pereira
João Pereira
Graduando em Direito na Universidade Federal da Bahia (UFBA), Diretor de Marketing na ADV Junior Consultoria Jurídica e membro da Clínica de Direitos Humanos (CDH) da UFBA. Atualmente estagia na área de Compliance e Proteção de Dados do BL Consultoria Digital.

Posts Relacionados

Fale Conosco

Categorias

Assine nossa Newsletter

Confira Mais Conteúdos