A Importância do Registro das Operações de Tratamento de Dados Pessoais - ROPA (Record of Processing Activities)

A Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei nº 13.709/2018, entrou em vigor e trouxe a necessidade de diversas mudanças no que tange ao tratamento de dados pessoais e à privacidade dos titulares de dados pessoais.

Além do primordial Data Mapping (mapeamento de dados), elaborar o ROPA (Record of Processing Activities), mencionado no artigo 30 do GDPR (General Data Protection Regulation) é fundamental. O ROPA, nada mais é do que o registro de todas as operações, mencionado na LGPD, que envolvam dados pessoais. Registro esse, mencionado do artigo 37 da Lei nº 13.709/2018, devendo ser realizado por controladores e operadores, especialmente quando a base legal do tratamento for o legítimo interesse.

E a pergunta do momento é: como elaborar e para que serve o referido registro? A LGPD solicitar que o registro seja feito, mas não dá diretrizes nem exemplos de como fazê-lo. Fato é, que logo que estiver em atividade, a ANPD (Autoridade Nacional de Proteção de Dados) poderá realizar fiscalizações e solicitar o registro das operações e, as organizações devem estar preparadas para apresentar um relatório completo e atualizado.

Enquanto o data mapping faz um “raio x” da empresa, o registro de operações de dados pessoais demonstra como as operações são realizadas, demonstrando passo a passo, desde a coleta do dado até sua exclusão. Quando se tratar de registro de operações, é necessário identificar o controlador/operador e o responsável pelo preenchimento do relatório, demonstrar como os dados são coletados, com qual finalidade, qual a base legal utilizada, a forma e a duração do tratamento, quais os titulares de dados pessoais envolvidos, o período de retenção e descarte dos dados pessoais, o compartilhamento com terceiros, informar sobre transferência internacional (quando houver), os documentos de segurança relacionados às operações, dentre outros campos.

Ainda, a criação do registro de operações de tratamento de dados pessoais é justificada por alguns pontos, como: identificar os tipos de dados pessoais tratados, atribuição de bases legais de tratamento, para atendimento correto das solicitações dos titulares de dados pessoais, para demonstrar conformidade, para cumprimento de princípios da Lei (transparência, responsabilização), para aplicação dos controles corretos de segurança, para fins de fiscalização pela ANPD e etc.

Importante salientar que, além de cumprir a LGPD, ter um registro de operações dos dados pessoais detalhado coopera para a manutenção da regularidade dos fluxos e processos, e para a melhor aderência de todos os documentos relacionados à privacidade e proteção de dados pessoais.

Diante do exposto, fica claro que para cumprir o que dispõe LGPD, as empresas precisarão tomar diversas medidas, no entanto, realizar um mapeamento de dados pessoais completo, bem como um registro de operações detalhado auxiliará não somente para atingir o tão sonhado estado de compliance com a Lei, mas também, para evitar prejuízos financeiros e sanções administrativas e judiciais.

#dpo

#lgpd