Assim como as empresas precisam manter rotinas trabalhistas como registros de ponto, banco de horas e documentos relacionados às relações de emprego – apenas para dar um exemplo – o advento da Lei Geral de Proteção de Dados (LGPD) remete a um documento chamado de “Registro das Operações de Tratamento de Dados Pessoais”.
Também conhecido como ROPA (“Record Of Processing Activities”), esse registro é um instrumento essencial para garantir a conformidade e a segurança no tratamento de informações pessoais.
Com o objetivo de promover a transparência e a responsabilidade no uso desses dados, permite que as empresas documentem suas atividades de processamento, fortalecendo a confiança de seus clientes e colaboradores em relação à proteção das informações.
Nesse artigo iremos apresentar a minuta desenvolvida pela Autoridade Nacional de Proteção de Dados (ANPD) para Agentes de Tratamento de Pequeno Porte, e algumas dicas de como aproveitar ao máximo esses registros para pequenas e médias empresas.
O que são Agentes de Tratamento de Pequeno Porte?
Conforme Resolução nº 2/2022 da ANPD, podem ser considerados Agentes de Tratamento de Pequeno Porte (ATPP) as microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado sem fins lucrativos, pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador.
Não poderão se beneficiar do tratamento jurídico diferenciado os agentes de tratamento de pequeno porte que realizem tratamento de alto risco para os titulares ou pertençam a grupo econômico cuja receita global ultrapasse os limites de faturamento para micro e pequenas empresas, bem como para startups (Lei Complementar nº 123/2006 e Lei Complementar nº 182/2021, respectivamente).
Para os agentes de tratamento de pequeno porte, que geralmente possuem recursos e estruturas limitadas, o registro pode parecer uma tarefa complexa mas, conforme a própria LGPD determina, a ANPD tem fornecido subsídios para a simplificação de algumas obrigações.
A minuta de Registro das Operações de Tratamento da ANPD
A planilha disponibilizada pela ANPD possui basicamente oito campos para preenchimento:
- Informações de Contato;
- Categorias de Titulares;
- Dados Pessoais;
- Processo, Finalidade e Hipótese Legal;
- Compartilhamento;
- Período de Armazenamento;
- Medidas de Segurança;
- Observações.
As ‘informações de contato’ são apenas informações de identificação do agente de tratamento. Elas são particularmente úteis quando há o envio de relatórios à Autoridade ou ao titular.
Já na ‘categoria de titulares’ as opções são: titulares em geral, as crianças e adolescentes, e os idosos. Isso porque a LGPD faz uma distinção sobre as proteções quando ao uso de dados pessoais de acordo com a vulnerabilidade do titular.
Nos ‘dados pessoais’ há a possibilidade de informar o tipo de dado utilizado, como nome, endereço, documento de identificação, e-mail e telefone.
Aqui, sugiro que se faça a distinção entre dados pessoais comuns e dados pessoais sensíveis, como os dados relacionados à saúde (doenças, indicadores de deficiência etc.), filiação sindical e orientação sexual, dentre outros indicados na lei.
Os ‘processos’ representam o conjunto de atividades de tratamento, como cadastro de clientes e contratação de empregados, por exemplo.
É preciso, ainda, identificar a ‘finalidade do tratamento’, ou seja, o que motiva realização desse processo.
Por fim, deve-se identificar qual a ‘hipótese legal’ para o tratamento dentre as estabelecidas entre os artigos 7º e 11 da LGPD, tais como o cumprimento de contrato, de obrigação legal ou o consentimento.
Em ‘compartilhamento’ deve-se informar para quem os dados são transmitidos e qual a sua respectiva finalidade como, por exemplo, o envio de informações para uma agência de marketing ou para um serviço de armazenamento em nuvem.
Em ‘período de armazenamento’ deve-se indicar o tempo de guarda dos dados após o uso comum, ou seja, o tempo de retenção desses dados, juntamente com a fundamentação desse armazenamento.
Sugere-se, adicionalmente, pensar também na anonimização dos dados e no descarte seguro.
Nas ‘medidas de segurança’ a empresa deve listar quais os mecanismos utilizados para a proteção dos dados pessoais tais como Antivírus, firewall, backups etc.
Lembrando que os três pilares da segurança da informação são disponibilidade, integridade e confidencialidade da informação.
O campo ‘observações’ são para informações opcionais. Pode ser utilizado para registrar os contatos de outros Encarregados e Operadores com os quais há o compartilhamento dos dados.
Isso facilita o intercâmbio de informações caso a empresa seja instada a se manifestar.
A adoção dessa formatação pode ser útil para a comunicação com a ANPD mas, particularmente, penso que esse não é o melhor formato para o dia a dia e uso interno, o que pode ser feito com o auxílio de ferramentas especializadas ou mesmo uma planilha comum, mas com outra estrutura.
A organização das informações pessoais como vantagem competitiva
O Registro das Operações de Tratamento de Dados Pessoais é uma obrigação legal que deve ser levada a sério por agentes de tratamento de pequeno porte.
Além de garantir a conformidade com a LGPD, a adoção de boas práticas de proteção de dados também pode proporcionar vantagens competitivas, como a conquista da confiança dos clientes e a valorização da reputação da empresa.
Embora o processo de registro possa exigir esforço inicial, os benefícios a longo prazo são significativos.
Ao proteger a privacidade e a segurança dos dados pessoais, sua empresa estará em conformidade com a lei, evitando penalidades e possíveis danos à sua reputação.
Além disso, o registro das operações de tratamento de dados permitirá uma melhor compreensão das práticas internas, identificando possíveis brechas de segurança e oportunidades de melhoria.
Apesar das exigências da LGPD possam parecer desafiadoras para agentes de tratamento de pequeno porte, a implementação correta dessas medidas contribui para uma cultura de privacidade e proteção de dados no ambiente empresarial.
Além disso, ao demonstrar comprometimento com a segurança e a transparência, sua empresa estará em vantagem ao conquistar a confiança dos clientes e se destacar no mercado.
Portanto, não subestime a importância do Registro das Operações de Tratamento de Dados Pessoais. Busque orientação jurídica especializada, aproveite os recursos disponíveis e integre a proteção de dados em suas práticas diárias.
Ao adotar uma postura responsável em relação ao tratamento de informações pessoais, sua empresa estará preparada para enfrentar os desafios da era digital e construir relações duradouras com seus clientes, pautadas pela confiança e pelo respeito à privacidade.
Confira a planilha da ANPD, disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/modelo_de_ropa_para_atpp-3.xlsx
Artigo esclarecedor! Já vou colocar em prática e divulgar para os meus clientes!