LGPD: Você sabe o que ROPA e RIPD significam e quando prepará-los?

LGPD: ROPA e RIPD

A Lei Geral de Proteção de Dados (LGPD) impõe uma série de princípios para que o tratamento de dados seja realizado de forma legítima e lícita. Exemplos de tratamentos cobertos pela LGPD são:

      • Coleta
      • Acesso e Visualização
      • Armazenamento (incluindo backups)
      • Compartilhamento
      • Exclusão, e outros.

Independente do porte da sua empresa, várias dessas atividades ocorrem em diferentes processos internos e, é apenas conhecendo o “ciclo de vida” desses dados – fases da coleta até a respectiva eliminação -, que se estará preparado para implementar medidas corretivas e de mitigação de riscos.

Ora, se você acompanha nosso canal, provavelmente já compreende a importância de realizar um mapeamento de dados na sua empresa, da forma mais granular possível.

Já deve saber também, que acreditamos que uma adequação à LGPD começa nos processos de negócio e não na tecnologia. A tecnologia irá atuar como um facilitador do processo de conformidade e será usada como ferramenta. Importante lembrar que a LGPD também não diferencia o tratamento em papel do digital. Então, vamos compreender alguns termos como ROPA e RIPD nos parágrafos a seguir.

 

ROPA: o Registro das Atividades de Tratamento na LGPD

Uma vez identificados os processos de sua organização, deve-se produzir o ROPA (Record of Processing Activities), ou seja, o Registro das Atividades de Tratamento. No ROPA será documentado como os dados são coletados, armazenados, as operações realizadas, os terceiros envolvidos no tratamento, como e por que os dados serão utilizados (e suas bases legais), formas de exclusão, medidas técnicas e organizacionais implementadas, e outros – indicando também as evidências que deverão ser produzidas em relação àquilo que for mencionado. Tal material, além de facilitar futuras revisões e mitigação de riscos, auxiliará na tarefa de prestação de contas (princípio previsto no art. 6º, inciso X, da LGPD) face eventual requerimento do titular de dados ou requisição oficial – administrativa, como, por exemplo, da autoridade de controle nacional (a ANPD), ou judicial.

A depender do porte da sua empresa, o registro das atividades de tratamento de dados pode ser custoso e complexo. Nesses casos, recomenda-se a automatização desta atividade por meio do uso de ferramentas disponíveis no mercado, como, por exemplo, pela DPO Helper (instrumento de mapeamento de tratamento de dados e gestão tanto de documentos, quanto de requisições de titulares de dados).

Compreendido o ROPA, pergunta-se: e o RIPD, do que se trata?

RIPD: Relatório de Impacto à Proteção de Dados na LGPD

O RIPD será necessário sempre que o tratamento de dados pessoais puder expor a risco liberdades civis e direitos fundamentais (art. 5º, inciso XVII, da LGPD) ou, quando o fundamento para essa atividade for o interesse legítimo (art. 10 da LGPD).

Nesse documento, de responsabilidade do controlador, serão detalhadas as operações com dados pessoais, as medidas, salvaguardas e mecanismos de mitigação de riscos adotadas (art. 5º, inciso XVII, da LGPD). Assim como o ROPA, trata-se de instrumento que atende aos princípios da transparência, segurança, prevenção e prestação de contas (art. 6º, incisos VI, VII, VIII e X, da LGPD).

Pela LGPD, o RIPD deverá ser gerado apenas para os tratamentos que puderem criar riscos para o titular a risco (e não TODOS os processos) e conter, no mínimo, “a descrição dos tipos de dados coletados, a metodologia utilizada para coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mitigação de riscos adotados” (art. 38, parágrafo único, da LGPD). Os objetivos mais claros na elaboração do RIPD são:

        • Garantir de que os processos de tratamento estejam alinhados à necessidade e  sejam proporcionais em relação aos objetivos pretendidos (e comunicados). Deve-se avaliar aqui também se o conjunto de dados tratados é efetivamente o mínimo necessário para a execução da atividade. Caso haja meios mais simples, que envolvam menor necessidade de dados pessoais, é responsabilidade da empresa aplicar os ajustes necessários.
        • Garantir de que houve uma avaliação detalhada sobre as medidas técnicas e organizacionais que irão proteger estes dados pessoais tratados durante todo seu ciclo de vida na organização.

Importante lembrar que em caso de fiscalização, a ANPD poderá solicitar o RIPD às empresas, mesmo sobre processos que não haviam sido avaliados anteriormente. É ideal que seja gerado antes da implementação de um novo tratamento – ou sua atualização – justamente para que os riscos aos titulares sejam devidamente avaliados e as correções no processo, efetuadas.

Sendo documentação obrigatória, a autoridade disponibilizou no site do Governo Digital modelos para apoiar a realização do Relatório.

Veja também: A ANPD, divulgou em sua página oficial, um “FAQ” com 15 perguntas e respostas sobre o RIPD.

Nós também podemos ajudá-lo com todas as documentações pertinentes, seja por consultoria, seja pela automatização do processo, pelo DPO Helper.

RIPD e ROPA: Responsabilidade do DPO

Como podemos ver, o RIPD e o ROPA serão documentos produzidos (e mantidos) pelo DPO de sua organização. Mas tenha em mente de que estes materiais são produzidos com base em informações providas por áreas de negócio e equipes técnicas envolvidas.

Para que a documentação seja utilizável é necessário que ela reflita 100% a realidade do(s) tratamento(s): sejam completas e estejam atualizadas.

Portanto, transparência entre as partes será fundamental. Tanto entre áreas internas como entre empresas e titulares afetados por seus processos. E lembre-se, o foco é no titular!

Precisa de ajuda para se adequar à Lei Geral de Proteção de Dados?

Se você ainda não começou seu processo de adequação à LGPD, se busca um DPO externo (terceirizado) ou se precisa de um suporte à execução do seu DPO interno, entre em contato conosco!

Possuímos planos extremamente flexíveis e customizáveis para atender as necessidades de sua PME.

Consulte nossas opções de DPO-as-a-Service, de treinamentos customizados e de Centro de Serviços Compartilhado para a LGPD.

Suportamos sua empresa na jornada de conformidade!

Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.

CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO PARA A LGPD