Skip to main content
Mais Lidos
Em Destaque
View All Services
Ver Todas as Indústrias
About Us Overview
  • Home
  • Insights
  • Como deve ser o Registro de Atividades de Tratamento de Dados Pessoais (ROPA) para agentes de tratamento de pequeno porte?
novembro 25 2022

Como deve ser o Registro de Atividades de Tratamento de Dados Pessoais (ROPA) para agentes de tratamento de pequeno porte?

Authors:
Baixar PDF
Share

A Nota Técnica n.º 33/2022, publicada pela Autoridade Nacional de Proteção de Dados (ANPD), traz uma proposta de modelo de Registro das Atividades de Tratamento de Dados Pessoais (ROPA) para agentes de tratamento de pequeno porte, sejam controladores ou operadores.

O modelo proposto está em consulta pública até 4 de dezembro de 2022 e o modelo definitivo deve ser publicado apenas em 2023.

A elaboração desse registro é mandatória pela Lei Geral de Proteção de Dados Pessoais (LGPD) para todos os agentes de tratamento, conforme seu artigo 37. Contudo, entre as diversas exceções e isenções garantidas aos agentes de tratamento de pequeno porte, está a elaboração de um registro simplificado, como prevê a Resolução CD/ANPD n.º 2/2021.

Esse registro estruturado é fundamental para a compreensão de todos os fluxos de dados pessoais, uma vez que é construído a partir do mapeamento de todas as atividades de tratamento realizadas pelas organizações, assim como para operacionalizar a gestão dos dados pelos agentes de tratamento, seja diante de solicitações de titulares ou de autoridades competentes ou mesmo na hipótese de incidente de segurança da informação. Além de ser reflexo do princípio da prestação de contas (accountability) presente em diversas legislações de proteção de dados ao redor do mundo – inclusive na LGPD.

Em sua nota técnica, a ANPD declarou que, como a LGPD não define os requisitos mínimos para esse registro, o modelo publicado será não-vinculante. Adotá-lo será uma boa prática, isto é, a sua implementação não será obrigatória, podendo ser inclusive livremente modificado pelos agentes.

O modelo proposto pela ANPD considera como as informações mínimas a serem mapeadas e registradas:

  • Tipos de dados pessoais tratados.
  • Lista dos dados pessoais tratados.
  • Lista dos dados pessoais sensíveis tratados.
  • Categorias de titulares envolvidos no tratamento.
  • Finalidade do tratamento.
  • Base legal para o tratamento.
  • Fonte dos dados pessoais.
  • Compartilhamento de dados pessoais, se for o caso, indicando o nome do agente de tratamento que receber os dados.
  • Lista da organizações que realizam o tratamento de dados em nome do controlador, se aplicável.
  • Período de retenção dos dados.
  • Informações acerca do descarte dos dados.
  • Medidas de segurança adotadas para a proteção dos dados.
  • Países terceiros ou organizações internacionais para os quais os dados pessoais são transferidos.
  • Salvaguardas para transferências internacionais, se aplicável.

O modelo proposto pela ANPD permanece sob consulta pública. No entanto, é recomendável que os agentes, sobretudo aqueles que não se enquadrem na definição de pequeno porte, já revejam os seus registros ou mesmo iniciem os seus mapeamentos considerando pelo menos o indicado acima. Além disso, não é aconselhável que eventuais modificações ao modelo proposto não considerem o mínimo sugerido pela ANPD, conforme detalhado acima, seja por agentes de pequeno, médio ou grande porte.

Autores

Conteúdo Relacionado

Serviços e Indústrias Relacionadas

Stay Up To Date With Our Insights

See how we use a multidisciplinary, integrated approach to meet our clients' needs.
Subscribe

Follow us

© 2024 Mayer Brown

 

 

Mayer Brown is a global services provider comprising associated legal practices that are separate entities, including Mayer Brown LLP (Illinois, USA), Mayer Brown International LLP (England & Wales), Mayer Brown (a Hong Kong partnership) and Tauil & Chequer Advogados (a Brazilian law partnership) and non-legal service providers, which provide consultancy services (collectively, the “Mayer Brown Practices”). The Mayer Brown Practices are established in various jurisdictions and may be a legal person or a partnership. PK Wong & Nair LLC (“PKWN”) is the constituent Singapore law practice of our licensed joint law venture in Singapore, Mayer Brown PK Wong & Nair Pte. Ltd. Details of the individual Mayer Brown Practices and PKWN can be found in the Legal Notices section of our website.

“Mayer Brown” and the Mayer Brown logo are trademarks of Mayer Brown.

Attorney Advertising. Prior results do not guarantee a similar outcome.