Record of Processing Activities (ROPA): Obrigação Legal

O Record of Processing Activities (ROPA) deixou de ser apenas uma boa prática e se tornou obrigação legal para organizações que tratam dados pessoais no Brasil e no mundo.

O que é o ROPA e por que ele importa na conformidade com a LGPD

O Record of Processing Activities, conhecido pela sigla ROPA, é o documento que registra de forma estruturada todas as operações de tratamento de dados pessoais realizadas por uma organização. Quando analisamos a Lei Geral de Proteção de Dados (Lei 13.709/2018), verificamos que o artigo 37 estabelece de maneira clara a obrigação de que o controlador e o operador mantenham registro das operações de tratamento de dados pessoais que realizarem. Essa exigência não é facultativa, não depende do porte da empresa e não se limita a determinados setores econômicos.

Na prática, o ROPA funciona como um mapa detalhado do ciclo de vida dos dados pessoais dentro da organização. Ele descreve quais dados são coletados, para quais finalidades, com quem são compartilhados, por quanto tempo são armazenados e quais medidas de segurança são adotadas para protegê-los. Sem esse documento, a organização opera às cegas em relação ao seu próprio ecossistema de dados, o que representa um risco jurídico considerável.

Do ponto de vista regulatório, a Autoridade Nacional de Proteção de Dados (ANPD) pode solicitar o ROPA a qualquer momento, especialmente durante investigações decorrentes de incidentes de segurança ou reclamações de titulares. Organizações que não conseguem apresentar esse registro demonstram, de forma objetiva, ausência de governança em proteção de dados, o que pode agravar sanções administrativas e fundamentar ações judiciais por parte dos titulares afetados.

Elementos essenciais do ROPA e como estruturá-lo corretamente

Quando conduzimos processos de due diligence de dados para nossos clientes, identificamos que muitas organizações possuem registros incompletos ou desatualizados, o que equivale, na prática, a não possuir registro algum. Um ROPA eficaz precisa conter, no mínimo, os seguintes elementos: a identificação do controlador e do encarregado (DPO), as categorias de titulares cujos dados são tratados, as categorias de dados pessoais envolvidos (incluindo a distinção entre dados pessoais comuns e dados sensíveis), as finalidades específicas de cada operação de tratamento, as bases legais utilizadas para fundamentar cada tratamento, os destinatários com quem os dados são compartilhados (incluindo transferências internacionais), os prazos de retenção estabelecidos e as medidas técnicas e administrativas de segurança implementadas.

A estruturação do ROPA deve seguir uma lógica que facilite tanto a consulta interna quanto a apresentação à ANPD. Recomendamos organizar o documento por processos de negócio ou por departamentos, detalhando cada fluxo de dados do momento da coleta até a eliminação. Essa abordagem permite que a organização identifique com precisão onde existem lacunas de conformidade, tratamentos sem base legal adequada ou compartilhamentos desnecessários que aumentam a superfície de risco.

É fundamental que o ROPA não seja tratado como um documento estático. Toda vez que a organização implementa um novo processo que envolve dados pessoais, altera uma finalidade de tratamento ou modifica seus parceiros comerciais, o registro precisa ser atualizado. Estabelecer uma rotina periódica de revisão (trimestral ou semestral, conforme a complexidade das operações) é uma medida indispensável para manter a conformidade de forma contínua.

O ROPA não é apenas um documento burocrático, é a espinha dorsal de qualquer programa de governança em proteção de dados e o primeiro item que a ANPD solicita em uma fiscalização.

O ROPA no contexto da due diligence de dados

Em operações de fusão, aquisição, investimento ou parceria estratégica, a due diligence de dados tornou-se uma etapa crítica. Quando avaliamos a maturidade de proteção de dados de uma organização-alvo, o ROPA é o primeiro documento que solicitamos, justamente porque ele revela, de forma consolidada, o grau de governança e os riscos associados ao tratamento de dados pessoais.

Uma organização que apresenta um ROPA completo, atualizado e coerente com suas operações reais transmite segurança jurídica aos investidores e parceiros. Por outro lado, a ausência desse documento ou a apresentação de um registro superficial levanta alertas significativos: pode indicar que a organização desconhece seus próprios fluxos de dados, que não realizou o mapeamento exigido pela legislação ou que trata dados pessoais sem fundamentação legal adequada.

Nos processos de due diligence que conduzimos, verificamos que os passivos relacionados à proteção de dados podem impactar diretamente a valoração de uma empresa. Multas administrativas da ANPD (que podem alcançar 2% do faturamento, limitadas a R$ 50 milhões por infração), ações coletivas de titulares, obrigações de notificação de incidentes e custos de remediação são fatores que precisam ser quantificados. O ROPA é a ferramenta que permite identificar e mensurar esses riscos de forma objetiva.

Além disso, em contratos de compartilhamento de dados entre controladores ou entre controlador e operador, o ROPA de ambas as partes deve ser compatível. Verificamos se as finalidades declaradas são legítimas, se as bases legais são adequadas, se os prazos de retenção são proporcionais e se as medidas de segurança atendem aos padrões exigidos pelo setor. Divergências entre os registros das partes envolvidas podem inviabilizar a operação ou exigir adequações contratuais substanciais.

Consequências jurídicas da ausência ou inadequação do ROPA

A LGPD prevê um rol de sanções administrativas que podem ser aplicadas pela ANPD em caso de descumprimento das obrigações legais, incluindo a manutenção do registro de operações de tratamento. Essas sanções vão desde advertências com prazo para adoção de medidas corretivas até multas pecuniárias, publicização da infração, bloqueio e eliminação dos dados pessoais relacionados à infração.

Além das sanções administrativas, a ausência de um ROPA adequado pode gerar consequências em outras esferas. No âmbito judicial, a falta de documentação sobre as operações de tratamento dificulta significativamente a defesa da organização em ações movidas por titulares de dados. Quando um titular questiona como seus dados foram utilizados, compartilhados ou armazenados, a organização que não possui registro dessas operações encontra-se em posição processual desfavorável.

No contexto regulatório setorial, diversas normas complementares à LGPD exigem documentação específica sobre tratamento de dados. Instituições financeiras supervisionadas pelo Banco Central, operadoras de saúde reguladas pela ANS, empresas de telecomunicações fiscalizadas pela Anatel, todas essas organizações enfrentam exigências adicionais de registro e prestação de contas que se somam às obrigações gerais da LGPD. O ROPA serve como base para atender a todas essas demandas de forma integrada.

Observamos também que, em cenários de transferência internacional de dados, o ROPA assume relevância ainda maior. Organizações que transferem dados pessoais para outros países precisam documentar essas transferências, indicar os mecanismos de proteção utilizados (cláusulas contratuais específicas, normas corporativas globais ou certificações reconhecidas) e demonstrar que o nível de proteção no país destinatário é adequado. Sem o registro dessas operações, a organização fica exposta a questionamentos tanto da ANPD quanto de autoridades estrangeiras de proteção de dados.

Como implementar o ROPA de forma eficiente

A implementação de um ROPA eficaz começa com o mapeamento completo dos fluxos de dados pessoais da organização. Esse processo envolve entrevistas com gestores de cada departamento, análise de sistemas e aplicações que processam dados pessoais, revisão de contratos com terceiros e verificação de políticas internas existentes. É um trabalho que demanda coordenação entre as áreas jurídica, de tecnologia da informação, recursos humanos, marketing, comercial e todas as demais que lidam com dados pessoais.

Recomendamos que o mapeamento seja conduzido de forma estruturada, utilizando questionários padronizados e ferramentas de gestão que permitam consolidar as informações em um formato uniforme. Planilhas podem ser suficientes para organizações de menor porte, enquanto empresas com operações mais complexas podem se beneficiar de plataformas especializadas em gestão de privacidade que automatizam a coleta de informações e a geração de relatórios.

Após o mapeamento inicial, a etapa seguinte consiste em classificar os tratamentos identificados por nível de risco. Tratamentos que envolvem dados sensíveis (informações de saúde, dados biométricos, convicções religiosas, orientação sexual, dados de crianças e adolescentes) exigem atenção redobrada e, em muitos casos, a elaboração de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD), conforme previsto no artigo 38 da LGPD. O ROPA é o ponto de partida para identificar quais tratamentos demandam essa análise aprofundada.

Por fim, é essencial estabelecer responsabilidades claras para a manutenção do ROPA. O encarregado de proteção de dados (DPO) deve supervisionar o processo, mas cada área da organização precisa designar um responsável pela atualização das informações relativas aos seus processos. Essa descentralização controlada garante que o registro permaneça vivo e reflita a realidade operacional da organização, e não apenas uma fotografia do momento em que foi elaborado.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.