K

kompar.ti

Registro das Operações de Tratamento de Dados Pessoais (ROPA)

O desenvolvimento do Registro das Operações de Tratamento de Dados Pessoais (ROPA), ou Registro de Atividades de Tratamento, é uma obrigação fundamental estabelecida pela Lei Geral de Proteção de Dados Pessoais (LGPD).

O ROPA é a documentação que consolida o mapeamento do fluxo de dados e serve como um instrumento essencial para a responsabilização e prestação de contas (accountability), conforme previsto no Art. 6º, X, da LGPD.

A seguir, detalho como o ROPA é desenvolvido, seus elementos principais e o contexto regulatório aplicável.

A equipe elaborando um relatório de mapeamento de dados pessoais

1. Contexto Legal e Obrigatoriedade

O ROPA é uma exigência legal para o controlador e o operador de dados pessoais, que devem manter o registro das operações de tratamento que realizam (Art. 37 da LGPD).

É especialmente relevante e obrigatório manter este registro quando o tratamento estiver baseado na hipótese legal do legítimo interesse (Art. 37 da LGPD, Art. 10, § 2º).

Para os Agentes de Tratamento de Pequeno Porte (ATPP), a Autoridade Nacional de Proteção de Dados (ANPD) permite que essa obrigação seja cumprida de forma simplificada. A ANPD, inclusive, fornece um modelo para o registro simplificado.

O Encarregado pelo Tratamento de Dados Pessoais (DPO) tem, entre suas atividades, a responsabilidade de elaborar o ROPA.

2. Etapas para o Desenvolvimento do ROPA (Mapeamento de Dados)

O ROPA é o produto final de um processo mais amplo conhecido como mapeamento de dados (data mapping ou data flow mapping), que busca entender o ciclo de vida dos dados dentro da organização.

O desenvolvimento geralmente se dá nas seguintes etapas:

  1. Formação da Equipe e Aculturamento: O processo começa com a formação de um Comitê de Privacidade (ou equipe de trabalho) que envolva a alta gestão e gestores de cada setor, sendo esta uma estrutura multidisciplinar e transversal. O DPO deve coordenar o projeto. O treinamento e a conscientização dos colaboradores que lidam com dados pessoais são cruciais para a mudança de cultura e para a transparência no preenchimento do mapa.

  2. Mapeamento de Dados (Inventário): Esta é a etapa de coleta de informações, geralmente realizada por meio de entrevistas e workshops com cada setor. O objetivo é identificar e mapear todos os dados pessoais que a organização trata, gerando um fluxograma dos dados.

  3. Análise e Consolidação: Com o mapeamento, é possível fazer o diagnóstico inicial da realidade do fluxo de tratamento dos dados pessoais, e gerar novas informações e conclusões sobre:

    • Falhas e riscos encontrados (Gap Assessment).

    • Bases legais para o tratamento.

    • Necessidade e critérios de descarte.

  4. Criação do ROPA: O ROPA é o documento formal que registra as informações coletadas no mapeamento. Plataformas específicas ou planilhas podem ser utilizadas para o mapeamento e gestão do ROPA.

  5. Revisão e Manutenção: O ROPA deve ser revisado e atualizado continuamente, em periodicidade definida pela organização (e.g., ajustes semestrais).

3. Conteúdo Essencial do ROPA

O mapeamento e, consequentemente, o ROPA devem ser detalhados para fornecer à ANPD e ao próprio controlador uma compreensão ampla do tratamento de dados pessoais.

As informações que geralmente são inseridas no Registro das Operações de Tratamento de Dados Pessoais (ROPA) incluem:

Categoria de Informação

Detalhamento (O que o ROPA deve conter)

Identificação

Nome, CNPJ, endereço e principal atividade da organização. Nome e contato do gestor responsável e do DPO (Encarregado), se houver.

Atividade e Finalidade

Nome do processo ou atividade de tratamento. Finalidade específica e o motivo da utilização do dado pessoal.

Dados e Titulares

Descrição dos tipos de dados pessoais e dados pessoais sensíveis utilizados. Categoria dos titulares (ex: titulares em geral, clientes, funcionários, crianças, adolescentes, idosos). Origem e forma de coleta do dado.

Base Legal

Indicação da hipótese legal (base legal) que autoriza o tratamento realizado (ex: Consentimento, Cumprimento de Obrigação Legal, Execução de Contrato).

Fluxo e Compartilhamento

O dado pessoal é transferido a terceiros? Se sim, descrever o fluxo de compartilhamento para fora da organização e o nome dos terceiros, com quem os dados foram compartilhados.

Transferência Internacional

Se o dado pessoal é transferido para outros países (país e propósito).

Retenção e Descarte

Local de Armazenamento (meio físico, eletrônico, em nuvem). Período de Retenção ou tempo de guarda dos dados (ex: dados de candidatos serão mantidos por 1 ano).

Segurança

Medidas de segurança técnicas e administrativas adotadas (Art. 46 da LGPD).

Observações

Informações opcionais, como dados de encarregados ou operadores.

4. ROPA, RIPD e LIA

O ROPA é um dos documentos fundamentais de governança, estando intimamente ligado a outros relatórios importantes:

  • Relatório de Impacto à Proteção de Dados Pessoais (RIPD/DPIA): O RIPD é uma documentação mais aprofundada, obrigatória quando o tratamento de dados pessoais pode gerar alto risco aos princípios da LGPD e aos direitos fundamentais dos titulares. O RIPD contém, entre outros elementos, a descrição dos tipos de dados coletados, a metodologia de tratamento e segurança, e a análise de medidas de mitigação de riscos. O ROPA fornece informações base para a elaboração do RIPD.

  • Avaliação de Legítimo Interesse (LIA): O teste de balanceamento da LIA (Legitimate Interest Assessment), necessário para justificar o uso da base legal de legítimo interesse, é um instrumento crucial para demonstrar conformidade. O ROPA, por sua vez, deve registrar o tratamento realizado sob esta base legal.

Detalhes

por

Camila L. Oliveira
em

Compartilhe nas redes:

+ da Kompa: