Home
ROPA na LGPD? Conheça os Registros das Atividades de Tratamento

ROPA na LGPD? Conheça os Registros das Atividades de Tratamento

1 mês atrás
João Bruno Soares
7 minutos

A LGPD - Lei Geral de Proteção de Dados trouxe consigo várias siglas e termos específicos. Muitos deles importados de outros países e legislações. Um deles é o ROPA (Record Of Processing Activities), adaptado no Brasil para Registros das Atividades de Tratamento. Um documento essencial para qualquer DPO, Encarregado de Dados.

Se você trabalha na área ou está em processo de adequação da sua empresa, esse artigo foi feito para te ajudar a entender melhor esse documento.

O ROPA (Record Of Processing Activities), nada mais é do que um documento que organiza as provas oficiais da empresa sobre:

  • Como é feita a coleta de dados, seus processos e atividades;
  • O que é feito com o dado, se há algum tratamento ou compartilhamento;
  • Como o dado é excluído, se for o caso.

Ou seja, as perguntas e respostas essenciais em caso de consulta da ANPD - Autoridade Nacional de Proteção de Dados, à sua empresa. Abaixo falaremos melhor de cada um destes pontos.

Vale destacar que todos os documentos e processos mapeados pelo Encarregado de Dados da empresa são "vivos", em constante atualização e mudança. Um processo novo criado no departamento X pode alterar o ROPA, a Política de Privacidade e tantos outros controles.

Assim, independente do tamanho da sua empresa, os documentos devem sempre refletir a realidade e serem constantemente atualizados.

Pode ser que empresas menores não sintam tanto a necessidade ou complexidade de manter esse "Mapeamento dos fluxos" atualizados, afinal tudo é menor e com menos pessoas envolvidas. Agora, para uma empresa maior, já existem softwares que ajudam nesse controle de maneira mais automatizada, como a LGPDNOW, por exemplo.

O que é o ROPA?

ROPA (Record Of Processing Activities), traduzido pelo mercado brasileiro para Registros das Atividades de Tratamento, é um documento oficial das empresas, gerado por um sistema ou não, que registra todos os fluxos, processamentos e atividades envolvendo dados pessoais.

Nele, lista-se principalmente todas as finalidades e razões pela qual a empresa precisa daquele(s) dado para sua operação, embasamento jurídico (Base Legal), critérios de segurança, período de armazenamento/retenção do dado.

ROPA é a mesma coisa que Data Mapping?

A resposta fácil é: depende.

O Data Mapping ou Inventário de Dados funciona como um mapa visual do fluxo de dados pessoais dentro do Agente de Tratamento, trazendo muito mais do que o ROPA, como mapas de sistema e transferências internacionais, parâmetros de adequação à ISO, NIST entre outros.

Já o ROPA foca nas atividades onde haja tratamento de dados. Ou seja, em uma empresa mais estruturada, pode acontecer de um Data Mapping conter alguns ROPAs como parte dele.

De qualquer maneira, o registro das atividades é parte essencial de ambos os documentos. A ótica e metodologia aplicada em cada um pode ser o seu diferencial.

Como deve ser um ROPA?

De acordo com a ICO (Information Commissioner’s Office) um ROPA deve ter no mínimo:

  • Nome e dados de contato de sua organização, seja ela um controlador ou um operador (e onde aplicável, o controlador conjunto, seu representante e o DPO);
  • Os objetivos do processamento;
  • Uma descrição das categorias de indivíduos e dos dados pessoais;
  • As categorias de destinatários dos dados pessoais;
  • Os detalhes das transferências para países terceiros, incluindo um registro das salvaguardas do mecanismo de transferência em vigor;
  • Os horários de retenção / armazenamento;
  • Uma descrição das medidas de segurança técnica e organizacional em vigor.
  • Se você tem um registro interno de todas as atividades de processamento realizadas por qualquer processador em nome de sua organização.

### Perguntas que o ROPA deverá responder:

  • Você já considerou a eficácia de suas medidas de responsabilização?
  • O pessoal diria que você tem processos eficazes para manter o registro atualizado, preciso e garantir que os dados sejam minimizados?
  • O pessoal poderia explicar suas responsabilidades e como as executam na prática?

Boas práticas para um bom ROPA.

Ainda, de acordo com a ICO (Information Commissioner’s Office) O ROPA também inclui, ou faz links para, a documentação que cobre:

  • Informações necessárias para os avisos de privacidade, tais como a base legal para o processamento e a fonte dos dados pessoais;
  • Registros de consentimento;
  • Contratos do controlador-processador;
  • A localização dos dados pessoais;
  • Relatórios da DPIA;
  • Registros de violações de dados pessoais;
  • Informações necessárias para o processamento de dados de categoria especial ou dados de condenações penais e infrações nos termos da Lei de Proteção de Dados de 2018 (DPA 2018); e
  • Documentos de política de retenção e exclusão.

Questionamento para a criação do seu ROPA:

  • Você já considerou a eficácia de suas medidas de responsabilização?
  • O pessoal entende como acessar outros documentos relevantes vinculados ao ROPA?
  • É fácil para o pessoal acessar a documentação relevante da ROPA?
  • O pessoal poderia explicar este processo e como ele impacta a sua função?

Como fazer um ROPA para LGPD?

Um bom exemplo para quem está começando, ou tem uma empresa menor é utilizar planilhas para esse controle e organização.

Além disso, no site do gov.br existem diversos guias e templates para te ajudar na adequação à LGPD.

Para empresas maiores que precisam estruturar melhor esses processos uma plataforma de gerenciamento da privacidade e mapeamento de dados pode ajudar muito!

Por isso indicamos que você marque com o pessoal da LGPDNOW para uma conversa, sem compromisso, e ver como eles podem te ajudar no desenvolvimento do seu ROPA para LGPD.

Pois, templates e modelos importados de outras empresas ajuda muito. Mas, é essencial que você consiga traduzir exatamente a realidade da sua empresa com clareza e objetividade.

Todas as vezes que nos deparamos com a complexidade de justificar e embasar um a coleta de um dado, re-pensarmos a sua real necessidade. Afinal, devemos sempre prezar pela privacidade ao longo de todos os processos, como nos ensina o Privacy by Design

Como a AdOpt pode te ajudar no ROPA?

Conforme as recomendações da ICO listadas acima a Plataforma para LGPD da AdOpt te ajuda a mapear e organizar:

  • Banner de Cookies dentro dos padrões da ICO, LGPD, GDPR, CCPA.
  • Registros de todos os consentimentos por escrito; (organizado por usuário com data, hora e detalhes de cada consentimento.)
  • API de Integração com suas demais plataformas para enriquecer os dados coletados com as informações de consentimento registradas.
  • Entre outros, a depender do tamanho da sua empresa.

Estamos aqui para te ajudar!

Então, neste link a nossa agenda aberta para discutirmos os seus desafios de adequação do seu negócio.

Tags

Encarregado de Dados
DPO
GDPR
Mapeamento de Dados
Controlador e Operador
ROPA

Artigos relacionados

Adopt post

Multas na LGPD – Quais são, valores e prazos de adequação

Quais multas são previstas na LGPD? Qual é a multa máxima que uma empresa pode receber? Todas as empresas podem ser multadas? Essas e outras respostas pra você!

Adopt post

10 processos do marketing que você deve repensar na LGPD!

Entenda quais são os processos do seu marketing (que envolvem dados pessoais) que devem ser repensados por conta da LGPD.

Adopt post

Entenda o que são as Bases Legais da LGPD

A LGPD nos trás 10 Bases Legais, ou seja, 10 motivos que legitimam uso dos dados pessoais enquadrando os mais variados motivos e hipóteses para o uso dos dados, de maneira legal!

Adopt post

Boas práticas na categorização de tags.

Chegou a hora de falarmos sobre uma das tarefas de maior impacto - tanto para a empresa, como para o visitante dos seus sites

Adopt post

As diferenças entre Operador e Controlador dos Dados - LGPD

Dois aspectos da LGPD que vão apontam até onde vai a sua responsabilidade. Falamos das diferenças entre Operador e Controlador na LGPD.

Adopt post

Como funciona um aviso de cookies da LGPD?

Aqui um passo a passo detalhado, para você entender à fundo o funcionamento do aviso de cookies da AdOpt. Desde o primeiro acesso...

Adopt post

Tudo sobre a Lei Geral de Proteção de Dados (LGPD)

Lei Geral de Proteção de Dados – LGPD: o que é, por que ela existe, como funciona, a quem se aplica, multas, adequação, seus princípios e muito mais...

Adopt post

Data Mapping e Inventário de Dados – O Colete Salva Vidas do DPO

Com o Mapeamento ou Inventário de Dados entendemos à fundo as 5 etapas que todo e dado passa por dentro da sua empresa!

Adopt post

O que é uma política de privacidade?

As conversas sobre política de privacidade começaram a pipocar desde o ano passado. Apesar de parecer coincidência, não é!

Adopt post

O que é Privacy by Design?

Entenda o que é é Privacy by Design, sua origem e relação com a LGPD, refinando seu olhar sobre as legislações de privacidade!

Adopt post

Qual a política de privacidade ideal para a sua empresa?

Será que existe uma Política de Privacidade à prova de falhas? Já te respondo prontamente: Não. E, vou te ajudar e entender o porquê!

Adopt post

O que é uma CMP (Plataforma de Gestão de Consentimento)?

O que é uma CMP? CMP é a sigla para “Consent Management Platform”. Em português, plataforma de gestão de consentimento.

Adopt post

As Responsabilidades do Encarregado de Dados - DPO na LGPD

Conheça as responsabilidades de uma das profissões mais quentes do momento, a carreira do “Data Protection Officer” – DPO ou “Encarregado de Proteção de Dados”, uma consequência direta da LGPD.

Adopt post

Entenda o significado da LGPD para a sua empresa

Certamente você já deve ter visto aquelas previsões alarmistas de multas e sanções que a LGPD trouxe consigo, certo? Mas, qual o significado, faz sentido mesmo?

Adopt post

GDPR, LGPD e CCPA: o que são essas leis, semelhanças e diferenças

A LGPD, a GDPR e a CCPA são regulações de privacidade de dados neste artigo falamos das suas semelhanças e diferenças, para a sua aplicação.

Adopt post

Até quando podemos ignorar a LGPD?

A LGPD está em vigor. Apesar disso, não são poucas as empresas que estão a ignorando, mas isso é possível? Até quando podemos ignorar a LGPD?

Adopt post

LGPD: Uma oportunidade para agências de marketing digital!

Você já parou para pensar que a sua agência de marketing pode encontrar na LGPD uma grande oportunidade de negócios? Pois é, diferentemente do que muitos pensam ela traz mudanças que podem acelerar na busca dos serviços dessas empresas.

Adopt post

Terceirizar o DPO (DPOaaS), ou encarregado de dados da empresa é uma boa?

O encarregado de dados, ou DPO (_Data Protection Officer_ em inglês) é um cargo novo que surgiu, no Brasil, junto à Lei Geral de Proteção de Dados. Embora já existisse em outras legislações internacionais, como na GDPR da União Europeia, aqui ele ainda é uma novidade que se impõe desde 2020. Com ele também surge a possibilidade de terceirização, o DPOaaS (DPO as a Service).

Adopt post

Encarregado de Dados e LGPD, um trabalho solitário ou em equipe?

Como lidar com uma profissão que sequer existia até alguns anos atrás e cuja presença se faz obrigatória, hoje, nas empresas? Essa é justamente a pergunta que se apresenta quando pensamos na figura do Encarregado de Dados ou DPO.

Adopt post

5 indícios que o seu site precisa de uma estratégia de consentimentos para LGPD

Como o seu site lida com a LGPD? Quais são as estratégias que ele usa para cumprir a Lei Geral de Proteção de Dados? Já pensou em usar um aviso de cookies mas não sabe se seu site tem cookies ou se é o suficiente? Caso você não saiba responder a essas questões, cuidado! Sua página pode estar exposta a multas e outras sanções.