Se você está em processo de adequar sua empresa à Lei Geral de Proteção de Dados, ou ingressar nessa área de privacidade e se tornar um DPO/Encarregado de Dados, precisa conhecer as terminologias que envolvem esse tema.
Uma delas é a sigla ROPA (Record of Processing Activities), que significa Registros das Atividades de Tratamento. Ou seja, são provas de como é feita a coleta de dados, o que é feito com essas informações e como é feita a exclusão, se ocorre.
Essas informações são extremamente úteis caso haja a necessidade de responder à ANPD, que é a Autoridade Nacional de Proteção de Dados.
Mesmo para empresas menores, esses registros podem ser feitos com poucos recursos. Mas, para empresas e negócios maiores, uma automação do trabalho faz mais sentido, pois esse é um documento vivo, pois os registros precisam de atenção constante conforme o negócio da empresa evolui e as mudanças no tratamento dos dados pessoais acontecem.
O que é o ROPA?
O ROPA é um documento, gerado por um sistema ou não, onde você registra todas as atividades de processamento de dados pessoais. Toda finalidade, todo motivo pelo qual você precisa processar um dado pessoal, critérios de segurança, embasamento jurídico, período de retenção, entre outros critérios estão no ROPA.
Como deve ser um ROPA?
De acordo com a ICO (Information Commissioner’s Office) um ROPA deve ter no mínimo:
- Dados de contato e informações dos agentes de tratamento e entidades envolvidas (controladores, operadores, sub operadores, DPO, etc.);
• As finalidades do processamento, ou seja, qual o propósito a ser atingido com esse processamento de dados pessoais?;
• Descrição das categorias e tipos de dados pessoais que são necessários para atingir a finalidade;
• Detalhes sobre a transferência internacional de dados e medidas e salvaguardas para a proteção dos dados pessoais;
• Prazo de retenção e demais informações relacionadas a data de expurgo ou anonimização;
• Descrição das medidas técnicas e organizacionais para a proteção de dados.
Ao comparar com as recomendações técnicas do Governo Federal tem-se uma estrutura muito parecida, veja abaixo:
- Atores envolvidos (agentes de tratamento e o encarregado);
• Finalidade (o que a instituição faz com o dado pessoal);
• Hipótese (artigos 7º e 11 da LGPD) e Previsão legal;
• Dados pessoais tratados pela instituição e Categoria dos titulares dos dados pessoais;
• Tempo de retenção dos dados pessoais;
• Instituições com as quais os dados pessoais são compartilhados;
• Transferência internacional de dados (art. 33 LGPD);
• Medidas de segurança atualmente adotadas
Essa semelhança entre ICO e o GOV.BR nos dá um direcionamento sobre o que a ANPD pode definir como padrão e boas práticas.
Como fazer um ROPA?
Se você está começando e quer experimentar ou mesmo se o seu negócio é pequeno demais que justifique um controle mais simples, utilize planilhas. O próprio Gov.br tem excelentes modelos prontos com exemplos para ajudar. Contudo, os negócios maiores, digitais e dinâmicos precisam de uma plataforma de gerenciamento de privacidade que torne o trabalho mais fácil. Esse tipo de ferramenta gera alertas e consegue automatizar fluxos, caso contrário a empresa não terá um mapeamento bem-feito e atualizado, ou precisará de um time só para isso.
O importante é garantir que existe uma clareza sobre a finalidade de tratamento do dado pessoal que possa justificar a sua utilização para o negócio.
Somente o fato de fazer esse exercício obriga a empresa a repensar a real necessidade de determinados tipos de dados pessoais e ao final do ROPA a própria empresa conclui que ela não precisa de alguns dados, mas que apenas fazia a coleta imaginando um enriquecimento de banco de dados para uma suposta futura finalidade.
Comece seu processo de adequação
Utilizar boas ferramentas é essencial para conhecer os dados pessoais que são tratados pela sua empresa, seu ciclo de vida e o que pode representar um risco em termos de proteção de dados e privacidade.
A JCMF Consultoria que está pronta a lhe auxiliar na implantação e gestão dos temas de LGPD.