Skip to main content
  • Home
  • Insights
  • Modelo Definitivo de ROPA para Agentes de Pequeno Porte
junho 29 2023

Modelo Definitivo de ROPA para Agentes de Pequeno Porte

Authors:
Baixar PDF
Share

Após consulta pública, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o modelo definitivo de registro de operações de tratamento de dados pessoais (ROPA), a ser adotado por agentes de tratamento de pequeno porte – cf. art. 9º da Resolução ANPD n.º 2/2022.

O ROPA é documento essencial e obrigatório (art. 37 da Lei n.º 13.709/2018 – LGPD) para a conformidade de qualquer agente de tratamento. Ele reflete o mapeamento de todas as atividades de tratamento de dados pessoais realizadas, seja pelos controladores ou pelos operadores. No caso, a ANPD indicou o modelo de ROPA para controladores, em vista da inclusão das bases legais (arts. 7º e 11 da LGPD).

Ainda que relacionado a agentes de tratamento de pequeno porte, ele serve de parâmetro mínimo para qualquer agente de tratamento. Nesse sentido, vale reforçar que o modelo anterior de ROPA colocado em consulta pública possuía mais informações obrigatórias, indicando o que poderia ser adotado pelas demais organizações que não sejam enquadradas como de pequeno porte.

Segundo o template definitivo publicado pela ANPD, é obrigatório que conste no ROPA as seguintes informações:

  • Nome empresarial, CNPJ, endereço e principal atividade da organização.
  • Nome, e-mail e telefone do gestor responsável pelo ROPA (e.g., o(a) encarregado(a)).
  • Data do preenchimento do ROPA e de todas as suas atualizações.
  • Título e finalidade da atividade de tratamento (e.g., coleta de dados pessoais de candidatos a vagas de emprego, com finalidade de avaliar e selecionar os candidatos).
    • Ao tratar das atividades de tratamento, a ANPD deu três exemplos. No caso da seleção de candidatos a ANPD, indicou o consentimento como base legal aplicável. Além desse, a ANPD incluiu o processo de cadastro de clientes para fins de vender produtos e serviços, bem como o registro de empregados para gestão de recursos humanos. Nesses dois casos, a ANPD indicou respectivamente as bases legais do consentimento e cumprimento de obrigação legal ou regulatória. Essas escolhas de bases legais possuem controvérsias e não devem ser tomadas como vinculantes pelos agentes.
  • Categorias de titulares (e.g., crianças e adolescentes, idoso, etc.).
  • Categorias de dados pessoais tratados (e.g., nome, CPF, RG, endereço, etc.).
  • Compartilhamentos com terceiros, indicando o nome dos destinatários dos dados pessoais e a finalidade do compartilhamento.
  • Medidas de segurança (e.g., controle de acesso, backups, pseudonimização, firewall, etc.).
  • Período de armazenamento.
    • Ao dar exemplo desse prazo de retenção, a ANPD indicou que dados de candidatos podem ser mantidos por até um ano. Não é um posicionamento vinculante, mas pode ser um indicativo.

Authors

Serviços e Indústrias Relacionadas

Stay Up To Date With Our Insights

See how we use a multidisciplinary, integrated approach to meet our clients' needs.
Subscribe

Siga-nos

© 2024 Tauil & Chequer Advogados, um escritório brasileiro de advocacia associado ao Mayer Brown. Todos os direitos reservados.

Attorney Advertising. Prior results do not guarantee a similar outcome.