Se você está em processo de adequar sua empresa à Lei Geral de Proteção de Dados, ou ingressar nessa área de privacidade e se tornar um DPO/Encarregado de Dados, precisa conhecer as terminologias que envolvem esse tema.
Uma delas é a sigla ROPA (Record Of Processing Activities), que significa Registros das Atividades de Tratamento. Ou seja, são provas de como é feita a coleta de dados, o que é feito com essas informações e como é feita a exclusão, se ocorre.
Essas informações são extremamente úteis caso haja a necessidade de responder à ANPD, que é a Autoridade Nacional de Proteção de Dados.
Mesmo para empresas menores, esses registros podem ser feitos com poucos recursos. Mas, para empresas e negócios maiores, uma automação do trabalho faz mais sentido, pois esse é um documento vivo, pois os registros precisam de atenção constante conforme o negócio da empresa evolui e as mudanças no tratamento dos dados pessoais acontecem.
O que é o ROPA?
O ROPA é um documento, gerado por um sistema ou não, onde você registra todas as atividades de processamento de dados pessoais. Toda finalidade, todo motivo pelo qual você precisa processar um dado pessoal, critérios de segurança, embasamento jurídico, período de retenção, entre outros critérios estão no ROPA.
É a mesma coisa que Data Mapping?
Não necessariamente, pois o mapeamento envolve um ecossistema um pouco maior consistindo em uma série de ROPAs, um mapa visual do fluxo de dados pessoais, mapas de sistemas e transferências internacionais, adequação de normas ISO, NIST, mecanismos para geração de um AIPD/DPIA (RIPD – Relatório de Impacto à Proteção de Dados) entre outros diversos meios de mapear o tratamento de dados.
O ROPA é da atividade de tratamento, o Data Mapping é do agente de tratamento. Em resumo, fazer todo um Data Mapping pode envolver muito mais do que o ROPA, mas o registro é a base essencial para existir um mapeamento de dados bem feito.
Como deve ser um ROPA?
De acordo com a ICO (Information Commissioner’s Office) um ROPA deve ter no mínimo:
- Dados de contato e informações dos agentes de tratamento e entidades envolvidas (controladores, operadores, sub operadores, DPO, etc)
- As finalidades do processamento, ou seja, qual o propósito a ser atingido com esse processamento de dados pessoais?
- Descrição das categorias e tipos de dados pessoais que são necessários para atingir a finalidade
- Detalhes sobre a transferência internacional de dados e medidas e salvaguardas para a proteção dos dados pessoais
- Prazo de retenção e demais informações relacionadas a data de expurgo ou anonimização
- Descrição das medidas técnicas e organizacionais para a proteção de dados
Ao comparar com as recomendações técnicas do Governo Federal tem-se uma estrutura muito parecida, veja abaixo:
- Atores envolvidos (agentes de tratamento e o encarregado);
- Finalidade (o que a instituição faz com o dado pessoal);
- Hipótese (arts. 7º e 11 da LGPD) e Previsão legal;
- Dados pessoais tratados pela instituição e Categoria dos titulares dos dados pessoais;
- Tempo de retenção dos dados pessoais;
- Instituições com as quais os dados pessoais são compartilhados;
- Transferência internacional de dados (art. 33 LGPD);
- Medidas de segurança atualmente adotadas
Essa semelhança entre ICO e o GOV.BR nos dá um direcionamento sobre o que a ANPD pode definir como padrão e boas práticas.
Como fazer um ROPA?
Se você está começando e quer experimentar ou mesmo se o seu negócio é pequeno demais que justifique um controle mais simples, utilize planilhas. O próprio Gov.br tem excelentes modelos prontos com exemplos para ajudar.
Contudo, os negócios maiores, digitais e dinâmicos precisam de uma plataforma de gerenciamento de privacidade que torne o trabalho mais fácil. Esse tipo de ferramenta gera alertas e consegue automatizar fluxos, caso contrário a empresa não terá um mapeamento bem feito e atualizado, ou precisará de um time só para isso.
Alguns links abaixo que podem ajudar:
- Modelo de ROPA da ICO
- Guias Operacionais do Gov.br
- Modelo da CNIL – Autoridade da França
- Guias operacionais da AEPD (Autoridade da Espanha) (página 31)
- Plataforma Privacy Tools – Use o teste grátis
Os modelos acima podem ajudar, mas você mesmo pode construir o seu próprio ROPA de acordo com o contexto do negócio. O importante é garantir que existe uma clareza sobre a finalidade de tratamento do dado pessoal que possa justificar a sua utilização para o negócio.
Somente o fato de fazer esse exercício obriga a empresa a repensar a real necessidade de determinados tipos de dados pessoais e ao final do ROPA a própria empresa conclui que ela não precisa de alguns dados mas que apenas fazia a coleta imaginando um enriquecimento de banco de dados para uma suposta futura finalidade.
Comece seu processo de adequação
Utilizar boas ferramentas é essencial para conhecer os dados pessoais que são tratados pela sua empresa, seu ciclo de vida e o que pode representar um risco em termos de proteção de dados e privacidade.
Nesse sentido, as funcionalidades da Privacy Tools são grandes aliadas no processo de compliance, pois automatizam a gestão da privacidade e a gestão dos dados.
Fazendo um cadastro, é possível realizar um teste gratuito da plataforma para conhecer na prática ferramentas como o Data Mapping e a Auditoria em Blockchain para levar a proteção de dados a um próximo nível na sua organização.