Como deve ser o Registro de Atividades de Tratamento de Dados Pessoais (ROPA) para agentes de tratamento de pequeno porte?
A Nota Técnica n.º 33/2022, publicada pela Autoridade Nacional de Proteção de Dados (ANPD), traz uma proposta de modelo de Registro das Atividades de Tratamento de Dados Pessoais (ROPA) para agentes de tratamento de pequeno porte, sejam controladores ou operadores.
O modelo proposto está em consulta pública até 4 de dezembro de 2022 e o modelo definitivo deve ser publicado apenas em 2023.
A elaboração desse registro é mandatória pela Lei Geral de Proteção de Dados Pessoais (LGPD) para todos os agentes de tratamento, conforme seu artigo 37. Contudo, entre as diversas exceções e isenções garantidas aos agentes de tratamento de pequeno porte, está a elaboração de um registro simplificado, como prevê a Resolução CD/ANPD n.º 2/2021.
Esse registro estruturado é fundamental para a compreensão de todos os fluxos de dados pessoais, uma vez que é construído a partir do mapeamento de todas as atividades de tratamento realizadas pelas organizações, assim como para operacionalizar a gestão dos dados pelos agentes de tratamento, seja diante de solicitações de titulares ou de autoridades competentes ou mesmo na hipótese de incidente de segurança da informação. Além de ser reflexo do princípio da prestação de contas (accountability) presente em diversas legislações de proteção de dados ao redor do mundo – inclusive na LGPD.
Em sua nota técnica, a ANPD declarou que, como a LGPD não define os requisitos mínimos para esse registro, o modelo publicado será não-vinculante. Adotá-lo será uma boa prática, isto é, a sua implementação não será obrigatória, podendo ser inclusive livremente modificado pelos agentes.
O modelo proposto pela ANPD considera como as informações mínimas a serem mapeadas e registradas:
- Tipos de dados pessoais tratados.
- Lista dos dados pessoais tratados.
- Lista dos dados pessoais sensíveis tratados.
- Categorias de titulares envolvidos no tratamento.
- Finalidade do tratamento.
- Base legal para o tratamento.
- Fonte dos dados pessoais.
- Compartilhamento de dados pessoais, se for o caso, indicando o nome do agente de tratamento que receber os dados.
- Lista da organizações que realizam o tratamento de dados em nome do controlador, se aplicável.
- Período de retenção dos dados.
- Informações acerca do descarte dos dados.
- Medidas de segurança adotadas para a proteção dos dados.
- Países terceiros ou organizações internacionais para os quais os dados pessoais são transferidos.
- Salvaguardas para transferências internacionais, se aplicável.
O modelo proposto pela ANPD permanece sob consulta pública. No entanto, é recomendável que os agentes, sobretudo aqueles que não se enquadrem na definição de pequeno porte, já revejam os seus registros ou mesmo iniciem os seus mapeamentos considerando pelo menos o indicado acima. Além disso, não é aconselhável que eventuais modificações ao modelo proposto não considerem o mínimo sugerido pela ANPD, conforme detalhado acima, seja por agentes de pequeno, médio ou grande porte.