LGPD: Você sabe o que ROPA e RIPD significam e quando prepará-los?
A Lei Geral de Proteção de Dados (LGPD) impõe uma série de princípios para que o tratamento de dados seja realizado de forma legítima e lícita. Exemplos de tratamentos cobertos pela LGPD são:
-
-
- Coleta
- Acesso e Visualização
- Armazenamento (incluindo backups)
- Compartilhamento
- Exclusão, e outros.
-
Independente do porte da sua empresa, várias dessas atividades ocorrem em diferentes processos internos e, é apenas conhecendo o “ciclo de vida” desses dados – fases da coleta até a respectiva eliminação -, que se estará preparado para implementar medidas corretivas e de mitigação de riscos.
Ora, se você acompanha nosso canal, provavelmente já compreende a importância de realizar um mapeamento de dados na sua empresa, da forma mais granular possível.
ROPA: o Registro das Atividades de Tratamento na LGPD
Uma vez identificados os processos de sua organização, deve-se produzir o ROPA (Record of Processing Activities), ou seja, o Registro das Atividades de Tratamento. No ROPA será documentado como os dados são coletados, armazenados, as operações realizadas, os terceiros envolvidos no tratamento, como e por que os dados serão utilizados (e suas bases legais), formas de exclusão, medidas técnicas e organizacionais implementadas, e outros – indicando também as evidências que deverão ser produzidas em relação àquilo que for mencionado. Tal material, além de facilitar futuras revisões e mitigação de riscos, auxiliará na tarefa de prestação de contas (princípio previsto no art. 6º, inciso X, da LGPD) face eventual requerimento do titular de dados ou requisição oficial – administrativa, como, por exemplo, da autoridade de controle nacional (a ANPD), ou judicial.
A depender do porte da sua empresa, o registro das atividades de tratamento de dados pode ser custoso e complexo. Nesses casos, recomenda-se a automatização desta atividade por meio do uso de ferramentas disponíveis no mercado, como, por exemplo, pela DPO Helper (instrumento de mapeamento de tratamento de dados e gestão tanto de documentos, quanto de requisições de titulares de dados).
Compreendido o ROPA, pergunta-se: e o RIPD, do que se trata?
RIPD: Relatório de Impacto à Proteção de Dados na LGPD
O RIPD será necessário sempre que o tratamento de dados pessoais puder expor a risco liberdades civis e direitos fundamentais (art. 5º, inciso XVII, da LGPD) ou, quando o fundamento para essa atividade for o interesse legítimo (art. 10 da LGPD).
Nesse documento, de responsabilidade do controlador, serão detalhadas as operações com dados pessoais, as medidas, salvaguardas e mecanismos de mitigação de riscos adotadas (art. 5º, inciso XVII, da LGPD). Assim como o ROPA, trata-se de instrumento que atende aos princípios da transparência, segurança, prevenção e prestação de contas (art. 6º, incisos VI, VII, VIII e X, da LGPD).
Pela LGPD, o RIPD deverá ser gerado apenas para os tratamentos que puderem o titular a risco (e não TODOS os processos) e conter, no mínimo, “a descrição dos tipos de dados coletados, a metodologia utilizada para coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mitigação de riscos adotados” (art. 38, parágrafo único, da LGPD).
Sendo documentação obrigatória, a autoridade disponibilizou no site do Governo Digital modelos para apoiar a realização do Relatório.
Nós também podemos ajudá-lo, seja por consultoria, seja pela automatização do processo, pelo DPO Helper.
RIPD e ROPA: Responsabilidade do DPO
Para que a documentação seja utilizável, é necessário que ela reflita 100% a realidade e, portanto, transparência entre as partes será fundamental.
Precisa de ajuda para se adequar à Lei Geral de Proteção de Dados?
Se você ainda não começou seu processo de adequação à LGPD, se busca um DPO externo (terceirizado) ou se precisa de um suporte à execução do seu DPO interno, entre em contato conosco!
Possuímos planos extremamente flexíveis e customizáveis para atender as necessidades de sua PME.
Consulte nossas opções de DPO-as-a-Service, de treinamentos customizados e de Centro de Serviços Compartilhado para a LGPD.
Suportamos sua empresa na jornada de conformidade!
Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.
CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO PARA A LGPD
- Consultoria e projetos de adequação
- Treinamento EXIN PDPE
- Adequação de sistemas (sites, aplicações, mobile apps, etc)
- Gestão de Projetos / PMO
- DPO HELPER: Ferramenta online para mapeamento de processos, tratamentos, sistemas e dados
- Ferramenta online para avaliação de conhecimento organizacional sobre a LGPD
- Revisão ou auditoria pontual em projetos / processos