Blog Post

Registro das Operações de Tratamento de Dados Pessoais – LGPD e ROPA

Registro das Operações de Tratamento de Dados Pessoais - ROPA

Após a grande repercussão do artigo “A adequação à LGPD começa pelo “ROPA” e DPO!” escrito por Thiago Nielsen, resolvi escrever este novo artigo para tirar algumas dúvidas ainda relacionada a LGPD e ROPA – Registro das Operações de Tratamento de Dados Pessoais.

“Não se gerencia o que não se mede, não se mede o que não se define, não se define o que não se entende, e não há sucesso no que não se gerencia” – William Edwards Deming

Resolvi começar este novo artigo com a celebre frase de William Deming que, para efeito de contextualização, foi proferida quase vinte anos antes da fundação do Project Management Institute (PMI).

Ainda na temática da gestão de projetos, muito falamos hoje das metodologias ágeis. Então, ressalto que estas também trazem a necessidade do gerenciamento, que neste caso deve emanar do grupo através de seu autogerenciamento.

Talvez você deva estar se perguntando, mas porque estou falando de gerenciamento de projetos e não diretamente da adequação à LGPD?

Baseado na tão atual afirmação de Deming, como poderei ter sucesso em uma adequação à LGPD se não entendo claramente: onde estão, para onde vão, como são tratados… os dados pessoais.

Na década de 90, a Pirelli, fabricante mundial de pneus, lançou uma campanha que dizia “Potência não é nada sem controle”. A frase, que é muito boa apresentando uma particularidade dos automóveis, cabe muito bem para a adequação à LGPD.

Como Encarregado pela Proteção de Dados Pessoais (Data Protection OfficerDPO), acompanho empresas recebendo propostas de adequação à LGPD com as mais diversas e fantasiosas metodologias, algumas propondo velocidade e potência inigualáveis!

Novamente, vou recorrer a frase de Deming, para perguntar, se eu se quer conheço o ciclo de vida dos meus dados, como posso medir ou controlar meus dados?

Resumidamente, para o projeto de adequação à LGPD ter sucesso, precisamos implementar um Sistema de Gestão de Privacidade de Dados (SGPD) que permita o devido gerenciamento dos dados pessoais. Para tanto, precisamos poder controlar estes dados e, por princípio, precisamos medi-los e, é claro, entendê-los.

É por isso que a adequação à LGPD precisa partir do entendimento dos dados pessoais, durante todo o ciclo de vida destes dados. E, isto se inicia no Registro de Operações de Tratamento de Dados Pessoais (Record of Processing Activities – ROPA).

Mas o que é o Registro das Operações de Tratamento de Dados PessoaisROPA?

O ROPA é o registro de todas as operações que envolvam dados pessoais.

Trata-se de uma compilação estruturada das informações relacionadas às operações de tratamento de dados pessoais.

LGPD- ROPA

Existe um fundamento Legal para realização do ROPA?

No GDPR (General Data Protection Regulation), o Registro das Operações de Tratamento de Dados PessoaisROPA é mencionado no artigo 30 e é fundamental a sua elaboração.

A LGPD (Lei Geral de Proteção de Dados Pessoais – Lei nº 13.709/2018) foi inspirada na GDPR, e nela encontramos correspondência no artigo 37, onde é especificado que, “o Controlador e o Operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseadas no legítimo interesse”.

Há cerca de duas semanas, Miriam Wimmer, Diretora do Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD), em entrevista ao PhD Fernando Antônio Santiago Jr, comentou sobre o risco da realização da interpretação literal da LGPD, sem entender o contexto internacional que gerou a GDPR. Segundo Miriam, “É desejável que a gente busque guardar coerência com estes paradigmas, muito embora nossa redação possa dar ensejo a outros tipos de interpretação”.

Deste modo, podemos entender como fundamental a elaboração do ROPA, também na LGPD.

Porque devemos criar o ROPA

Como apresentamos na introdução deste artigo, é preciso entender os dados para podermos controlá-los e gerenciá-los.

Através do Registro das Operações de Tratamento de Dados Pessoais – ROPA, podemos, no mínimo, identificar os tipos de dados pessoais tratados e atribuir as bases legais de tratamento.

A existência dos ROPA viabiliza:

  • Adequado atendimento das solicitações dos titulares de dados pessoais (Direitos do Titular);
  • Atender a pelo menos dois princípios da LGPD, a transparência e responsabilização;
  • Entendimento dos riscos envolvidos, possibilitando a aplicação de controles efetivos de segurança; e
  • Adequado atendimento de fiscalizações da ANPD.

O Registro das Operações de Tratamento de Dados Pessoais – ROPA é uma ferramenta básica na Proteção de Dados Pessoais.

Como devemos manter o ROPA

Apesar da LGPD não informar como estes registros devem ser mantidos, seguindo a coerência sugerida por Miriam Wimmer, podemos seguir a GDPR, que determina que os registros devem ser efetuados por escrito e em formato eletrônico.

Portanto, é aconselhável possuir uma via impressa constando, no mínimo, os seguintes controles:

  • Aprovações formais, tanto do gestor responsável pelo processo que está tratando os dados, quanto de um responsável pela empresa e/ou responsável pelo Comitê de Privacidade de Dados Pessoais;
  • Data de início do levantamento do ROPA e data de aprovação final do registro; e
  • Informação da versão que se encontra o registro (versionamento).

É importante ressaltar que o Registro das Operações de Tratamento de Dados PessoaisROPA deve ser devidamente armazenado. De forma a garantir a Confidencialidade, Integridade e Disponibilidade do documento.

O formato eletrônico é importantíssimo para gestão, já que oferece maior dinamismo nas atividades cotidianas. Porém, vale ressaltar a necessidade de estes também serem armazenados resguardando a devida Confidencialidade, Integridade e Disponibilidade previstas nos principais frameworks de Segurança da Informação.

Tão importante quanto gerar o ROPA é mantê-lo atualizado.

Para sucesso da gestão documental, recomendo que a atividade seja formalmente documentada e implementada segundo uma normatização interna composta por políticas e procedimentos que determine entre outros pontos: papeis e responsabilidades, prazos de revisão e tarefas a serem realizadas.

Não custa relembrar que para o sucesso tanto da realização inicial do ROPA, quanto das suas revisões, os treinamentos periódicos sobre o tema são essenciais.

LGPD e ROPA

Informações que devem conter no ROPA

As recomendações técnicas do Governo Federal tem a seguinte estrutura:

  • Atores envolvidos (agentes de tratamento e o encarregado);
  • Finalidade (o que a instituição faz com o dado pessoal);
  • Hipótese (arts. 7º e 11 da LGPD) e Previsão legal;
  • Dados pessoais tratados pela instituição e Categoria dos titulares dos dados pessoais;
  • Tempo de retenção dos dados pessoais;
  • Instituições com as quais os dados pessoais são compartilhados;
  • Transferência internacional de dados (art. 33 LGPD); e
  • Medidas de segurança atualmente adotadas

Para se ter um direcionamento sobre o que a ANPD pode definir como padrão e boas práticas, sugiro buscar as semelhança entre ICO (Information Commissioner’s Office) e o GOV.BR.
Como poderão verificar, ambas possuem uma estrutura bem parecida.

Informações complementares que podem conter no ROPA

Já, como DPO, sugiro o enriquecimento dos registros com informações que podem auxiliar o DPO em suas tarefas, bem como auxiliar a empresa no atendimento das requisições e solicitações que está sujeita.

Neste contexto, algumas informações que considero úteis são: Detalhes do operador; Informações sobre segurança da Informação; Informações sobre legítimo; Informações sobre decisão automatizada; Informações sobre Consentimento; Localização dos dados pessoais; Informações sobre a análise de risco do tratamento; Informações sobre o relatório de Impacto à Proteção de Dados Pessoais (RIPD); e, Incidentes conhecidos de violação de Dados Pessoais.

Registro das Operações de Tratamento de Dados Pessoais - ROPA

Como obter sucesso com o Registro das Operações de Tratamento de Dados PessoaisROPA

Ainda com relação ao Registro das Operações de Tratamento de Dados Pessoais – ROPA, como sempre faço questão de explicar profundamente em meus trabalhos, tanto como DPO, como nos assessments de adequação das empresas à LGPD e GDPR, alguns pontos importantes são:

  • Equipe responsável pela condução da elaboração do Registro das Operações de Tratamento de Dados Pessoais – ROPA composta por profissionais com conhecimentos multidisciplinares;
  • Equipe responsável pela condução da elaboração do ROPA composta por profissionais com conhecimentos comprovados em trabalhos variados de consultoria, possibilitando um aprofundamento nos processos de tratamento de dados, com base nos conhecimentos de outros trabalhos e comparações com processos de outras empresas;
  • Equipe responsável pela condução da elaboração do ROPA composta por profissionais com conhecimentos comprovados em Privacidade de Dados (LGPD e/ou GDPR);
  • Profundo envolvimento dos responsáveis pelos processos de tratamento de dados;
  • Sempre que possível, envolvimento de profissionais operacionais das equipes que tratam os dados, pois esses trazem detalhes muitas vezes desconhecidos pelo responsável final pelo processo;
  • Condução das entrevistas realizada por profissionais com vivência em empresas de consultoria, pois eles trazem em sua expertise, diferentes métodos, ferramentas e recursos de extração de informações dos entrevistados; e
  • Por último, mas, na minha opinião, um dos maiores diferenciais: acompanhamento do trabalho de elaboração do Registro das Operações de Tratamento de Dados PessoaisROPA pelo DPO, seja ele da própria empresa ou um DPO terceirizado, guiando para que todo o trabalho seja realizado tendo em vista as utilizações práticas e obrigatórias deste importante documento.

mm

Sobre Edson Costa

É CEO e Fundador da EC Consulting, graduado em Engenharia Eletrônica pela Fundação Armando Alvares Penteado – FAAP, especialista em Governança, Risco e Compliance (GRC), Gestão e Tecnologia em Segurança da Informação (DM Business School e Faculdade Impacta de Tecnologia), certificado Data Protection Officer (DPO) pela EXIN, instrutor certificado pela EXIN ISFS, PDPE, PDPF e PDPP, Membro ANPPD® e parceiro do Studio Estratégia para execução de serviços de implementação de Segurança da Informação e Proteção de Dados (GDPR e LGPD). Instrutor oficial da EXIN para certificação de profissionais como DPO. DPO (Terceirizado) de importantes e conceituadas empresas de pequeno, médio e grande porte.

One thought on “Registro das Operações de Tratamento de Dados Pessoais – LGPD e ROPA

Deixe seu comentário