Neste post vamos dar uma olhada no que isso significa e o que você precisa fazer se quiser manter sua empresa em conformidade com a Lei Geral de Proteção de Dados (LGPD).
LGPD e o Registro de Atividades de Tratamento de Dados Pessoais (ROPA)
Está bem documentado que a finalidade da Lei Geral de Proteção de Dados (LGPD) é regular o uso e a proteção de dados pessoais. As atividades com dados pessoais têm aumentado ao longo dos anos, especialmente com o avanço da tecnologia, com o desenvolvimento de modelos de negócios baseados em informações já conhecidas sobre as pessoas, além de o aumento de comunicações digitais, por e-mail, SMS e mensagens instantâneas, rastreamento por GPS e direcionamento de publicidade na internet.
Se uma empresa realiza atividades que envolvam dados sobre pessoas físicas (clientes, colaboradores, fornecedores ou outros), a LGPD exige que essas empresas tenham um Registro de Atividades de Tratamento de Dados Pessoais (ROPA). Esse procedimento visa permitir a prestação de contas com agentes fiscalizadores e a prestação de esclarecimentos aos titulares de dados pessoais sobre o que é feito com as suas informações.
Se você tem uma empresa ou Startup, precisa estar em conformidade com a LGPD e esse post poderá ser bastante útil. Acompanhe!
O que você verá aqui:
- O que é um Registro de Atividades de Tratamento de Dados Pessoais (ROPA)?
- Qual é a finalidade do ROPA?
- Quais são os elementos que devem ser incluídos no ROPA?
O que é Registro de Atividades de tratamento de Dados (ROPA)?
O Registro de Atividades de Tratamento de Dados, ou ROPA (Record Of Processing Activities), é um registro de todos os processos de tratamento de dados pessoais realizados pelas empresas (desde o recebimento de currículos, até coleta de dados de clientes para envios de mercadorias e outras que se relacionem a pessoas específicas). Em linhas gerais, deve conter informações sobre:
- o controlador dos dados;
- os objetivos e formas do tratamento;
- as informações sobre eventuais compartilhamentos;
- uma base legal definida na LGPD que autorize o tratamento.
Em suma, é um registro de todas as etapas que uma organização realiza para tratar dados pessoais, tais como os motivos pelos quais os dados são coletados e como isso acontece, além de como eles são armazenados e quem tem acesso a eles.
O ROPA foi projetado para ajudar os indivíduos a entenderem como suas informações pessoais são tratadas pelas empresas (controladoras ou operadoras) e se elas estão sendo tratadas legalmente. Deve ser um documento fácil de entender e acessível mediante solicitação justificada, podendo haver a supressão de informações que possam violar segredo de negócio.
Além disso, deve ser atualizado sempre que houver mudanças nas atividades de tratamento ou na conformidade do controlador ou operador de dados com as exigências da LGPD.
Qual a finalidade do Registro de Atividades de Tratamento de Dados Pessoais (ROPA)?
A finalidade de um ROPA é assegurar que as empresas possam demonstrar o cumprimento de suas obrigações legais de tratamento justo e lícito de dados pessoais, de acordo com a LGPD. Ele também ajuda as empresas a identificarem quaisquer problemas de não conformidade e potenciais riscos, permitindo demonstrarem que estão tomando medidas razoáveis para proteger os direitos e liberdades individuais dos titulares cujos dados eles processam.
A finalidade de um ROPA consiste basicamente em dois pontos principais:
- Proporcionar transparência sobre como a empresa processa dados pessoais, dando às pessoas controle sobre suas informações.
- Prestar contas com agentes fiscalizadores, como Autoridade Nacional de Proteção de Dados Pessoais (ANPD), Ministérios Públicos (MPs) e, até mesmo, com titulares insatisfeitos.
Além disso, as empresas conseguem ter uma visão mais clara sobre a forma que coletam e utilizam os dados pessoais, para garantir que cumpram:
- A obrigação de não coletar mais informações do que elas precisam;
- A obrigação de não guardar dados pessoais por mais tempo do que o necessário; e
- A obrigação de identificar quaisquer terceiros com quem compartilham seus dados, assim como os dados de contato desses terceiros.
O que esse registro de atividade deve incluir?
Como já mencionado, o Registro de Atividades de Tratamento de Dados Pessoais tem como objetivo principal ser um documento completo com indicação das atividades de tratamento de dados pessoais da empresa, suas especificidades e as finalidades correspondentes para as quais elas são realizadas.
A fim de atingir estes objetivos, cada ROPA deve incluir:
- O nome e as informações de contato de sua empresa.
- A finalidade das atividades de tratamento de dados de sua empresa.
- Uma descrição de como você trata os dados pessoais, incluindo quem tem acesso a eles e por quanto tempo eles são mantidos.
- Quaisquer contratos ou acordos que você tenha com terceiros que tratem dados pessoais em nome da sua empresa, o que inclui quaisquer termos e condições para esses terceiros, bem como contratos com subcontratados ou empresas terceirizadas.
- Uma descrição de como acontecem as atividades de tratamento relacionadas com suas operações.
Por fim, vale destacar que as empresas devem manter seu ROPA atualizado conforme seu negócio cresce ou conforme suas atividades de tratamento mudam com o tempo.
Conclusão
Com novas regras de proteção de dados, empresas de todos os tipos estão explorando suas opções a fim de cumprir a Lei Geral Brasileira de Proteção de Dados (LGPD). Como a liberdade de informação é um direito no país, as empresas são instruídas a gerenciarem o ROPA (Registro de Atividades de Tratamento de Dados Pessoais), a fim de negarem ou permitirem a disseminação de informações.
Em vista disso, é importante se preocupar em buscar consultoria sempre que necessário. A LGPD prevê diversas regras e sanções em relação à proteção de dados e é importante estar atento a todas elas.
Uma consultoria jurídica adequada pode ajudá-lo a entender melhor a LGPD e seus impactos. Entre em contato conosco para saber mais!