Modelo Definitivo de ROPA para Agentes de Pequeno Porte
Após consulta pública, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o modelo definitivo de registro de operações de tratamento de dados pessoais (ROPA), a ser adotado por agentes de tratamento de pequeno porte – cf. art. 9º da Resolução ANPD n.º 2/2022.
O ROPA é documento essencial e obrigatório (art. 37 da Lei n.º 13.709/2018 – LGPD) para a conformidade de qualquer agente de tratamento. Ele reflete o mapeamento de todas as atividades de tratamento de dados pessoais realizadas, seja pelos controladores ou pelos operadores. No caso, a ANPD indicou o modelo de ROPA para controladores, em vista da inclusão das bases legais (arts. 7º e 11 da LGPD).
Ainda que relacionado a agentes de tratamento de pequeno porte, ele serve de parâmetro mínimo para qualquer agente de tratamento. Nesse sentido, vale reforçar que o modelo anterior de ROPA colocado em consulta pública possuía mais informações obrigatórias, indicando o que poderia ser adotado pelas demais organizações que não sejam enquadradas como de pequeno porte.
Segundo o template definitivo publicado pela ANPD, é obrigatório que conste no ROPA as seguintes informações:
- Nome empresarial, CNPJ, endereço e principal atividade da organização.
- Nome, e-mail e telefone do gestor responsável pelo ROPA (e.g., o(a) encarregado(a)).
- Data do preenchimento do ROPA e de todas as suas atualizações.
- Título e finalidade da atividade de tratamento (e.g., coleta de dados pessoais de candidatos a vagas de emprego, com finalidade de avaliar e selecionar os candidatos).
- Ao tratar das atividades de tratamento, a ANPD deu três exemplos. No caso da seleção de candidatos a ANPD, indicou o consentimento como base legal aplicável. Além desse, a ANPD incluiu o processo de cadastro de clientes para fins de vender produtos e serviços, bem como o registro de empregados para gestão de recursos humanos. Nesses dois casos, a ANPD indicou respectivamente as bases legais do consentimento e cumprimento de obrigação legal ou regulatória. Essas escolhas de bases legais possuem controvérsias e não devem ser tomadas como vinculantes pelos agentes.
- Categorias de titulares (e.g., crianças e adolescentes, idoso, etc.).
- Categorias de dados pessoais tratados (e.g., nome, CPF, RG, endereço, etc.).
- Compartilhamentos com terceiros, indicando o nome dos destinatários dos dados pessoais e a finalidade do compartilhamento.
- Medidas de segurança (e.g., controle de acesso, backups, pseudonimização, firewall, etc.).
- Período de armazenamento.
- Ao dar exemplo desse prazo de retenção, a ANPD indicou que dados de candidatos podem ser mantidos por até um ano. Não é um posicionamento vinculante, mas pode ser um indicativo.