ROPA na LGPD? Conheça os Registros das Atividades de Tratamento
A LGPD - Lei Geral de Proteção de Dados trouxe consigo várias siglas e termos específicos. Muitos deles importados de outros países e legislações. Um deles é o ROPA (Record Of Processing Activities), adaptado no Brasil para Registros das Atividades de Tratamento. Um documento essencial para qualquer DPO, Encarregado de Dados.
Se você trabalha na área ou está em processo de adequação da sua empresa, esse artigo foi feito para te ajudar a entender melhor esse documento.
O ROPA (Record Of Processing Activities), nada mais é do que um documento que organiza as provas oficiais da empresa sobre:
- Como é feita a coleta de dados, seus processos e atividades;
- O que é feito com o dado, se há algum tratamento ou compartilhamento;
- Como o dado é excluído, se for o caso.
Ou seja, as perguntas e respostas essenciais em caso de consulta da ANPD - Autoridade Nacional de Proteção de Dados, à sua empresa. Abaixo falaremos melhor de cada um destes pontos.
Vale destacar que todos os documentos e processos mapeados pelo Encarregado de Dados da empresa são "vivos", em constante atualização e mudança. Um processo novo criado no departamento X pode alterar o ROPA, a Política de Privacidade e tantos outros controles.
Assim, independente do tamanho da sua empresa, os documentos devem sempre refletir a realidade e serem constantemente atualizados.
Pode ser que empresas menores não sintam tanto a necessidade ou complexidade de manter esse "Mapeamento dos fluxos" atualizados, afinal tudo é menor e com menos pessoas envolvidas. Agora, para uma empresa maior, já existem softwares que ajudam nesse controle de maneira mais automatizada, como a LGPDNOW, por exemplo.
ROPA (Record Of Processing Activities), traduzido pelo mercado brasileiro para Registros das Atividades de Tratamento, é um documento oficial das empresas, gerado por um sistema ou não, que registra todos os fluxos, processamentos e atividades envolvendo dados pessoais.
Nele, lista-se principalmente todas as finalidades e razões pela qual a empresa precisa daquele(s) dado para sua operação, embasamento jurídico (Base Legal), critérios de segurança, período de armazenamento/retenção do dado.
A resposta fácil é: depende.
O Data Mapping ou Inventário de Dados funciona como um mapa visual do fluxo de dados pessoais dentro do Agente de Tratamento, trazendo muito mais do que o ROPA, como mapas de sistema e transferências internacionais, parâmetros de adequação à ISO, NIST entre outros.
Já o ROPA foca nas atividades onde haja tratamento de dados. Ou seja, em uma empresa mais estruturada, pode acontecer de um Data Mapping conter alguns ROPAs como parte dele.
De qualquer maneira, o registro das atividades é parte essencial de ambos os documentos. A ótica e metodologia aplicada em cada um pode ser o seu diferencial.
De acordo com a ICO (Information Commissioner’s Office) um ROPA deve ter no mínimo:
- Nome e dados de contato de sua organização, seja ela um controlador ou um operador (e onde aplicável, o controlador conjunto, seu representante e o DPO);
- Os objetivos do processamento;
- Uma descrição das categorias de indivíduos e dos dados pessoais;
- As categorias de destinatários dos dados pessoais;
- Os detalhes das transferências para países terceiros, incluindo um registro das salvaguardas do mecanismo de transferência em vigor;
- Os horários de retenção / armazenamento;
- Uma descrição das medidas de segurança técnica e organizacional em vigor.
- Se você tem um registro interno de todas as atividades de processamento realizadas por qualquer processador em nome de sua organização.
### Perguntas que o ROPA deverá responder:
- Você já considerou a eficácia de suas medidas de responsabilização?
- O pessoal diria que você tem processos eficazes para manter o registro atualizado, preciso e garantir que os dados sejam minimizados?
- O pessoal poderia explicar suas responsabilidades e como as executam na prática?
Ainda, de acordo com a ICO (Information Commissioner’s Office) O ROPA também inclui, ou faz links para, a documentação que cobre:
- Informações necessárias para os avisos de privacidade, tais como a base legal para o processamento e a fonte dos dados pessoais;
- Registros de consentimento;
- Contratos do controlador-processador;
- A localização dos dados pessoais;
- Relatórios da DPIA;
- Registros de violações de dados pessoais;
- Informações necessárias para o processamento de dados de categoria especial ou dados de condenações penais e infrações nos termos da Lei de Proteção de Dados de 2018 (DPA 2018); e
- Documentos de política de retenção e exclusão.
- Você já considerou a eficácia de suas medidas de responsabilização?
- O pessoal entende como acessar outros documentos relevantes vinculados ao ROPA?
- É fácil para o pessoal acessar a documentação relevante da ROPA?
- O pessoal poderia explicar este processo e como ele impacta a sua função?
Um bom exemplo para quem está começando, ou tem uma empresa menor é utilizar planilhas para esse controle e organização.
Além disso, no site do gov.br existem diversos guias e templates para te ajudar na adequação à LGPD.
Para empresas maiores que precisam estruturar melhor esses processos uma plataforma de gerenciamento da privacidade e mapeamento de dados pode ajudar muito!
Por isso indicamos que você marque com o pessoal da LGPDNOW para uma conversa, sem compromisso, e ver como eles podem te ajudar no desenvolvimento do seu ROPA para LGPD.
Pois, templates e modelos importados de outras empresas ajuda muito. Mas, é essencial que você consiga traduzir exatamente a realidade da sua empresa com clareza e objetividade.
Todas as vezes que nos deparamos com a complexidade de justificar e embasar um a coleta de um dado, re-pensarmos a sua real necessidade. Afinal, devemos sempre prezar pela privacidade ao longo de todos os processos, como nos ensina o Privacy by Design
Conforme as recomendações da ICO listadas acima a Plataforma para LGPD da AdOpt te ajuda a mapear e organizar:
- Banner de Cookies dentro dos padrões da ICO, LGPD, GDPR, CCPA.
- Registros de todos os consentimentos por escrito; (organizado por usuário com data, hora e detalhes de cada consentimento.)
- API de Integração com suas demais plataformas para enriquecer os dados coletados com as informações de consentimento registradas.
- Entre outros, a depender do tamanho da sua empresa.
Estamos aqui para te ajudar!
Então, neste link a nossa agenda aberta para discutirmos os seus desafios de adequação do seu negócio.
Tags
Artigos relacionados
Multas na LGPD – Quais são, valores e prazos de adequação
Quais multas são previstas na LGPD? Qual é a multa máxima que uma empresa pode receber? Todas as empresas podem ser multadas? Essas e outras respostas pra você!
10 processos do marketing que você deve repensar na LGPD!
Entenda quais são os processos do seu marketing (que envolvem dados pessoais) que devem ser repensados por conta da LGPD.
Entenda o que são as Bases Legais da LGPD
A LGPD nos trás 10 Bases Legais, ou seja, 10 motivos que legitimam uso dos dados pessoais enquadrando os mais variados motivos e hipóteses para o uso dos dados, de maneira legal!
Boas práticas na categorização de tags.
Chegou a hora de falarmos sobre uma das tarefas de maior impacto - tanto para a empresa, como para o visitante dos seus sites
As diferenças entre Operador e Controlador dos Dados - LGPD
Dois aspectos da LGPD que vão apontam até onde vai a sua responsabilidade. Falamos das diferenças entre Operador e Controlador na LGPD.
Como funciona um aviso de cookies da LGPD?
Aqui um passo a passo detalhado, para você entender à fundo o funcionamento do aviso de cookies da AdOpt. Desde o primeiro acesso...
Tudo sobre a Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados – LGPD: o que é, por que ela existe, como funciona, a quem se aplica, multas, adequação, seus princípios e muito mais...
Data Mapping e Inventário de Dados – O Colete Salva Vidas do DPO
Com o Mapeamento ou Inventário de Dados entendemos à fundo as 5 etapas que todo e dado passa por dentro da sua empresa!
O que é uma política de privacidade?
As conversas sobre política de privacidade começaram a pipocar desde o ano passado. Apesar de parecer coincidência, não é!
O que é Privacy by Design?
Entenda o que é é Privacy by Design, sua origem e relação com a LGPD, refinando seu olhar sobre as legislações de privacidade!
Qual a política de privacidade ideal para a sua empresa?
Será que existe uma Política de Privacidade à prova de falhas? Já te respondo prontamente: Não. E, vou te ajudar e entender o porquê!
O que é uma CMP (Plataforma de Gestão de Consentimento)?
O que é uma CMP? CMP é a sigla para “Consent Management Platform”. Em português, plataforma de gestão de consentimento.
As Responsabilidades do Encarregado de Dados - DPO na LGPD
Conheça as responsabilidades de uma das profissões mais quentes do momento, a carreira do “Data Protection Officer” – DPO ou “Encarregado de Proteção de Dados”, uma consequência direta da LGPD.
Entenda o significado da LGPD para a sua empresa
Certamente você já deve ter visto aquelas previsões alarmistas de multas e sanções que a LGPD trouxe consigo, certo? Mas, qual o significado, faz sentido mesmo?
GDPR, LGPD e CCPA: o que são essas leis, semelhanças e diferenças
A LGPD, a GDPR e a CCPA são regulações de privacidade de dados neste artigo falamos das suas semelhanças e diferenças, para a sua aplicação.
Qual a diferença entre cookies, local e session storage?
Apesar dos cookies serem mais conhecidos, qual a principal diferença entre cookies e session e local storage? Por que escolher um ao outro? Esse artigo vai te ajudar com essas dúvidas!
Conheça as principais diferenças entre a LGPD e a GDPR e o impacto dos cookies de internet.
LGPD e GDPR abarcam populações imensas em seus territórios, consequentemente reverberam para além de suas fronteiras. Contudo, embora ambas tenham o objetivo de proteger os direitos dos indivíduos em relação ao processamento de seus dados pessoais, existem algumas diferenças importantes entre elas.
Guia de implementação do Google Consent Mode, do básico ao avançado.
O Google Consent Mode (GCM) nada mais é do que uma maneira de você integrar o consentimento que você coleta, dos seus visitantes, às tecnologias do Google. Deste jeito, ao receber essa informação de consentimento, a coleta somente poderá acontecer com a autorização, cumprindo assim com a legislação e tendo uma prova direta de _compliance_ como defesa tanto para você quanto para o Google.
Até quando podemos ignorar a LGPD?
A LGPD está em vigor. Apesar disso, não são poucas as empresas que estão a ignorando, mas isso é possível? Até quando podemos ignorar a LGPD?
LGPD: Uma oportunidade para agências de marketing digital!
Você já parou para pensar que a sua agência de marketing pode encontrar na LGPD uma grande oportunidade de negócios? Pois é, diferentemente do que muitos pensam ela traz mudanças que podem acelerar na busca dos serviços dessas empresas.
Terceirizar o DPO (DPOaaS), ou encarregado de dados da empresa é uma boa?
O encarregado de dados, ou DPO (_Data Protection Officer_ em inglês) é um cargo novo que surgiu, no Brasil, junto à Lei Geral de Proteção de Dados. Embora já existisse em outras legislações internacionais, como na GDPR da União Europeia, aqui ele ainda é uma novidade que se impõe desde 2020. Com ele também surge a possibilidade de terceirização, o DPOaaS (DPO as a Service).
Encarregado de Dados e LGPD, um trabalho solitário ou em equipe?
Como lidar com uma profissão que sequer existia até alguns anos atrás e cuja presença se faz obrigatória, hoje, nas empresas? Essa é justamente a pergunta que se apresenta quando pensamos na figura do Encarregado de Dados ou DPO.
5 indícios que o seu site precisa de uma estratégia de consentimentos para LGPD
Como o seu site lida com a LGPD? Quais são as estratégias que ele usa para cumprir a Lei Geral de Proteção de Dados? Já pensou em usar um aviso de cookies mas não sabe se seu site tem cookies ou se é o suficiente? Caso você não saiba responder a essas questões, cuidado! Sua página pode estar exposta a multas e outras sanções.
AdOpt
Recursos
Termos Legais
© GO ADOPT, LLC desde 2020 • Feito por pessoas que amam
🍪