LGPD: Você sabe o que ROPA e RIPD significam e quando prepará-los?

ROPA: o Registro das Atividades de Tratamento na LGPD

Uma vez identificados os processos de sua organização, deve-se produzir o ROPA (Record of Processing Activities), ou seja, o Registro das Atividades de Tratamento. No ROPA será documentado como os dados são coletados, armazenados, as operações realizadas, os terceiros envolvidos no tratamento, como e por que os dados serão utilizados (e suas bases legais), formas de exclusão, medidas técnicas e organizacionais implementadas, e outros – indicando também as evidências que deverão ser produzidas em relação àquilo que for mencionado. Tal material, além de facilitar futuras revisões e mitigação de riscos, auxiliará na tarefa de prestação de contas (princípio previsto no art. 6º, inciso X, da LGPD) face eventual requerimento do titular de dados ou requisição oficial – administrativa, como, por exemplo, da autoridade de controle nacional (a ANPD), ou judicial.

A depender do porte da sua empresa, o registro das atividades de tratamento de dados pode ser custoso e complexo. Nesses casos, recomenda-se a automatização desta atividade por meio do uso de ferramentas disponíveis no mercado, como, por exemplo, pela DPO Helper (instrumento de mapeamento de tratamento de dados e gestão tanto de documentos, quanto de requisições de titulares de dados).

Compreendido o ROPA, pergunta-se: e o RIPD, do que se trata?

RIPD: Relatório de Impacto à Proteção de Dados na LGPD

O RIPD será necessário sempre que o tratamento de dados pessoais puder expor a risco liberdades civis e direitos fundamentais (art. 5º, inciso XVII, da LGPD) ou, quando o fundamento para essa atividade for o interesse legítimo (art. 10 da LGPD).

Nesse documento, de responsabilidade do controlador, serão detalhadas as operações com dados pessoais, as medidas, salvaguardas e mecanismos de mitigação de riscos adotadas (art. 5º, inciso XVII, da LGPD). Assim como o ROPA, trata-se de instrumento que atende aos princípios da transparência, segurança, prevenção e prestação de contas (art. 6º, incisos VI, VII, VIII e X, da LGPD).

Pela LGPD, o RIPD deverá ser gerado apenas para os tratamentos que puderem o titular a risco (e não TODOS os processos) e conter, no mínimo, “a descrição dos tipos de dados coletados, a metodologia utilizada para coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mitigação de riscos adotados” (art. 38, parágrafo único, da LGPD).

Sendo documentação obrigatória, a autoridade disponibilizou no site do Governo Digital modelos para apoiar a realização do Relatório.

Nós também podemos ajudá-lo, seja por consultoria, seja pela automatização do processo, pelo DPO Helper.

RIPD e ROPA: Responsabilidade do DPO

Para que a documentação seja utilizável, é necessário que ela reflita 100% a realidade e, portanto, transparência entre as partes será fundamental.

Precisa de ajuda para se adequar à Lei Geral de Proteção de Dados?

Se você ainda não começou seu processo de adequação à LGPD, se busca um DPO externo (terceirizado) ou se precisa de um suporte à execução do seu DPO interno, entre em contato conosco!

Possuímos planos extremamente flexíveis e customizáveis para atender as necessidades de sua PME.

Consulte nossas opções de DPO-as-a-Service, de treinamentos customizados e de Centro de Serviços Compartilhado para a LGPD.