ROPA: o Registro das Atividades de Tratamento na LGPD

Uma vez identificados os processos de sua organização, deve-se produzir o ROPA (Record of Processing Activities), ou seja, o Registro das Atividades de Tratamento. No ROPA será documentado como os dados são coletados, armazenados, as operações realizadas, os terceiros envolvidos no tratamento, como e por que os dados serão utilizados (e suas bases legais), formas de exclusão, medidas técnicas e organizacionais implementadas, e outros – indicando também as evidências que deverão ser produzidas em relação àquilo que for mencionado. Tal material, além de facilitar futuras revisões e mitigação de riscos, auxiliará na tarefa de prestação de contas (princípio previsto no art. 6º, inciso X, da LGPD) face eventual requerimento do titular de dados ou requisição oficial – administrativa, como, por exemplo, da autoridade de controle nacional (a ANPD), ou judicial.

A depender do porte da sua empresa, o registro das atividades de tratamento de dados pode ser custoso e complexo. Nesses casos, recomenda-se a automatização desta atividade por meio do uso de ferramentas disponíveis no mercado, como, por exemplo, pela DPO Helper (instrumento de mapeamento de tratamento de dados e gestão tanto de documentos, quanto de requisições de titulares de dados).

Compreendido o ROPA, pergunta-se: e o RIPD, do que se trata?

RIPD: Relatório de Impacto à Proteção de Dados na LGPD

O RIPD será necessário sempre que o tratamento de dados pessoais puder expor a risco liberdades civis e direitos fundamentais (art. 5º, inciso XVII, da LGPD) ou, quando o fundamento para essa atividade for o interesse legítimo (art. 10 da LGPD).

Nesse documento, de responsabilidade do controlador, serão detalhadas as operações com dados pessoais, as medidas, salvaguardas e mecanismos de mitigação de riscos adotadas (art. 5º, inciso XVII, da LGPD). Assim como o ROPA, trata-se de instrumento que atende aos princípios da transparência, segurança, prevenção e prestação de contas (art. 6º, incisos VI, VII, VIII e X, da LGPD).

Pela LGPD, o RIPD deverá ser gerado apenas para os tratamentos que puderem criar riscos para o titular a risco (e não TODOS os processos) e conter, no mínimo, “a descrição dos tipos de dados coletados, a metodologia utilizada para coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mitigação de riscos adotados” (art. 38, parágrafo único, da LGPD). Os objetivos mais claros na elaboração do RIPD são:

• • • • Garantir de que os processos de tratamento estejam alinhados à necessidade e  sejam proporcionais em relação aos objetivos pretendidos (e comunicados). Deve-se avaliar aqui também se o conjunto de dados tratados é efetivamente o mínimo necessário para a execução da atividade. Caso haja meios mais simples, que envolvam menor necessidade de dados pessoais, é responsabilidade da empresa aplicar os ajustes necessários.
      • Garantir de que houve uma avaliação detalhada sobre as medidas técnicas e organizacionais que irão proteger estes dados pessoais tratados durante todo seu ciclo de vida na organização.

Importante lembrar que em caso de fiscalização, a ANPD poderá solicitar o RIPD às empresas, mesmo sobre processos que não haviam sido avaliados anteriormente. É ideal que seja gerado antes da implementação de um novo tratamento – ou sua atualização – justamente para que os riscos aos titulares sejam devidamente avaliados e as correções no processo, efetuadas.

Sendo documentação obrigatória, a autoridade disponibilizou no site do Governo Digital modelos para apoiar a realização do Relatório.

Veja também: A ANPD, divulgou em sua página oficial, um “FAQ” com 15 perguntas e respostas sobre o RIPD.

Nós também podemos ajudá-lo com todas as documentações pertinentes, seja por consultoria, seja pela automatização do processo, pelo DPO Helper.

RIPD e ROPA: Responsabilidade do DPO

Como podemos ver, o RIPD e o ROPA serão documentos produzidos (e mantidos) pelo DPO de sua organização. Mas tenha em mente de que estes materiais são produzidos com base em informações providas por áreas de negócio e equipes técnicas envolvidas.

Para que a documentação seja utilizável é necessário que ela reflita 100% a realidade do(s) tratamento(s): sejam completas e estejam atualizadas.

Portanto, transparência entre as partes será fundamental. Tanto entre áreas internas como entre empresas e titulares afetados por seus processos. E lembre-se, o foco é no titular!

Precisa de ajuda para se adequar à Lei Geral de Proteção de Dados?

Se você ainda não começou seu processo de adequação à LGPD, se busca um DPO externo (terceirizado) ou se precisa de um suporte à execução do seu DPO interno, entre em contato conosco!

Possuímos planos extremamente flexíveis e customizáveis para atender as necessidades de sua PME.

Consulte nossas opções de DPO-as-a-Service, de treinamentos customizados e de Centro de Serviços Compartilhado para a LGPD.