Para fins de conformidade, é fundamental que cada empresa tenha conhecimento de todos os fluxos que envolvam dados pessoais, ou seja, o famoso ROPA (Record Of Processing Activities). O ROPA é mencionado no artigo 30 do GDPR (General Data Protection Regulation), sendo essencial a sua elaboração. Na LGPD – Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) – encontramos correspondência, no artigo 37, devendo ser elaborado por controladores e operadores.
Dispõe o artigo 37 da LGPD: “O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse”.
Essa ciência é importante, não apenas para cumprir o que dispõe a legislação vigente, mas também para facilitar a adoção de medidas de segurança, bem como fortalecer a transparência com os titulares de dados pessoais e os parceiros de negócios.
O que deve constar no ROPA?
O ROPA pode ser gerado de forma manual ou via sistema, detalhando o ciclo de vida dos dados pessoais, demonstrando vulnerabilidades, impactos à privacidade e organizando a estrutura de privacidade da organização.
Segundo a ICO (Information Commissioner’s Office), são requisitos mínimos do ROPA:
- O nome e os detalhes de contato da sua organização, seja ela um controlador ou um processador (e, quando aplicável, o controlador conjunto, seu representante e o DPO);
- As finalidades do processamento;
- Uma descrição das categorias de indivíduos e de dados pessoais;
- As categorias de destinatários de dados pessoais;
- Detalhes das transferências para países terceiros, incluindo um registro das salvaguardas do mecanismo de transferência em vigor;
- Cronogramas de retenção; e
- Uma descrição das medidas de segurança técnicas e organizacionais em vigor.
Esse documento trará informações importantes, como por exemplo, quais os tipos de dados pessoais tratados, quais as bases legais utilizadas, quais as medidas de segurança adotadas, dentre outras. Aqui, será indicado qual fluxo, por exemplo, precisará de um LIA (Legitimate Interests Assessment) ou um RIPD (Relatório de Impacto à Proteção de Dados Pessoais), ou quando será necessário elaborar um termo de consentimento.
Importância do ROPA
Não nos enganemos: é um documento trabalhoso, detalhado e que não é feito de um dia para o outro. Todavia, caro DPO, ter um ROPA bem estruturado e atualizado facilitará muito a sua vida (e a da empresa, obviamente)!
Mas mais do que o descrito acima, esse relatório dará o direcionamento sobre o tamanho do impacto da privacidade dentro da empresa e como a mudança de mindset é necessária. Elaborar um ROPA não é tarefa simples. No entanto, após a finalização, o DPO terá a visão geral da relação processos e dados pessoais, e conseguirá avaliar as melhores possibilidades no que tange à escolha de ferramentas, às aplicações de legislações e aos métodos de segurança da informação.
Ter esse raio-x de todos os fluxos, que envolvem dados pessoais dentro da empresa, servirá não somente para prevenir incidentes, mas para considerar a aplicação de privacy by design quando da criação de novos produtos e prestação de novos serviços.
Gestão da privacidade
Atuar com privacidade é um exercício forte de raciocínio, compreensão de diversos cenários e bom senso. Tudo isso aliado à aplicação das legislações vigentes e entendimento do panorama de cada organização. A gestão da privacidade precisa ser enxergada em todo o seu contexto, e não apenas na elaboração de documentos e relatórios, de forma individualizada e apenas para cumprir “o que a lei pede” e, para isso, o ROPA é um grande aliado.
Ainda, é imprescindível revisá-lo, pelo menos, anualmente, pois dentro desse período podem ocorrer muitas mudanças na empresa, surgindo novos fluxos ou deixando de existir alguns deles.
Fato é que não há uma receita de bolo para trabalhar com privacidade. No entanto, quanto maior a minúcia e a cautela, melhor será o tempo de resposta em casos de incidentes e a assertividade para resolver qualquer demanda relacionada à privacidade e proteção de dados pessoais.
Leia outros artigos da autora:
O que esperar da ANPD como autarquia e em relação à aplicação de sanções administrativas?
O papel da avaliação de terceiros como forma de aculturação de privacidade
Implementação de ações de privacidade: ter comunicação é fundamental
O efeito positivo (e necessário) da organização das atividades do DPO
Como apoiar a adesão ao programa de privacidade?
O mal compreendido consentimento
A utilização de war room nos incidentes com dados pessoais
O auxílio das métricas para o melhor funcionamento do programa de privacidade
O contrato entre Controlador e Operador como forma de boa prática na preservação da privacidade
Mariana Sbaite Gonçalves: Líder do Núcleo de DPO do PG Advogados. Graduada em Direito pela Universidade Católica de Santos – UNISANTOS. MBA em SGI – Sistema de Gestão Integrada (Segurança do Trabalho – OHSAS 18001/Qualidade – I.S.O. 9001/Meio Ambiente – I.S.O. 14001 e Responsabilidade Social). MBA em Data Protection Officer (DPO) – IESB. Pós-Graduada em Direito e Processo do Trabalho (Damásio De Jesus). Pós-Graduada em Advocacia Empresarial (PUC/MINAS).
Pós-Graduada em Direito da Proteção e Uso de Dados (PUC/MINAS). LLM em Proteção e Dados: LGPD e GDPR (FMP e Faculdade de Direito da Universidade de Lisboa). Mestranda em Science in Legal Studies, pela Ambra Univertisity (Orlando/FL). DPO (Data Protection Officer) certificada pela EXIN. Information Security Officer (I.S.O.) certificada pela EXIN. Articulista do Encarregado.org. Coautora do artigo: The ISO 27000 Family and its Applicability in LGPD Adaptation Projects for Small and Medium- Sized Enterprises publicado pela Associação Internacional ISACA (Information Systems Audit e Control Association). Coautora do livro: LGPD e Cartórios – Implementação e Questões Práticas. Coautora do livro: “Mulheres na Tecnologia”. Membro da ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados) e da ANADD (Associação Nacional da Advogadas (os) de Direito Digital).
