A Lei Geral de Proteção de Dados já está em vigor no Brasil deste 2020, as penalidades de sua violação vão desde advertências, publicização da infração, multas, até a proibição total do tratamento de dados pessoais pela empresa infratora, o que, para muitas empresas, pode significar o encerramento de suas atividades.
Em um artigo anterior já explicamos sobre os pontos mais importantes de uma adequação à LGPD. O Registro de Operações de Tratamento, é um dos pontos centrais desta adequação, além de ser um documento obrigatório para empresas obrigadas a cumprir a LGPD.
Dessa forma, nesse artigo vamos falar sobre:
- A importância para a prestação de contas na LGPD
- O que é ROPA e quais seus requisitos
- Porque o ROPA traz segurança para sua empresa
- Os riscos de não realizar prestação de contas e de não ter o ROPA
1. A importância para a prestação de contas na LGPD
A prestação de contas ou accountability, em um contexto internacional, é um princípio da LGPD que significa a necessidade de “demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.”
Essa demonstração é importante para a empresa, não só como medida de observância a este princípio, mas também, para diminuir eventuais penalidades, caso venham a ser impostas.
Sabemos que nenhum negócio é livre de riscos, violações a LGPD e incidentes de segurança são mais deles, uma vez que nenhum sistema é totalmente protegido de vulnerabilidades ou pessoas são a prova de falhas. Dessa forma, a fim de diminuir riscos de penalidades que possam fechar, impossibilitar as operações de sua empresa ou danificar seriamente a sua reputação, estabelecer um programa de compliance em proteção de dados, com medidas eficazes e comprovadas é essencial. Segundo a LGPD:
Art 52. §1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:
I - a gravidade e a natureza das infrações e dos direitos pessoais afetados;
II - a boa-fé do infrator;
III - a vantagem auferida ou pretendida pelo infrator;
IV - a condição econômica do infrator;
V - a reincidência;
VI - o grau do dano;
VII - a cooperação do infrator;
VIII - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;
IX - a adoção de política de boas práticas e governança;
X - a pronta adoção de medidas corretivas; e
XI - a proporcionalidade entre a gravidade da falta e a intensidade da sanção
2. O que é o ROPA e quais seus requisitos
O ROPA, da sigla em inglês para Registro de Operações de Tratamento, é o documento onde a empresa irá descrever quais são as atividades de tratamento que realiza, o fluxo do dado até a sua exclusão. É um documento obrigatório, ou seja, a LGPD determina que os agentes de tratamento devem mantê-lo.
Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
A Autoridade Nacional de Proteção de Dados (ANPD) ainda não determinou quais são os pontos que devem estar necessariamente neste documento, mas já anunciou, em sua resolução nº 2, que poderá fornecer um modelo para Agentes de Pequeno Porte, como Startups.
Para evitar descumprir a legislação, e tendo em vista que o ROPA é um documento importante para verificar se as atividades de tratamento de uma empresa estão sendo feitas da forma correta, portanto, parte essencial da prestação de contas, podemos seguir as determinações já estabelecidas pelas Autoridades Europeias, a luz da GDPR. Para a ICO (Autoridade Britânica), o ROPA deve ter no mínimo:
- “o nome e os detalhes de contato da sua organização, seja um controlador ou um operador (e, quando aplicável, o controlador conjunto, seu representante e o DPO);
- as finalidades do processamento;
- uma descrição das categorias de indivíduos e de dados pessoais;
- as categorias de destinatários de dados pessoais;
- detalhes das transferências para países terceiros, incluindo um registro das salvaguardas do mecanismo de transferência em vigor;
- cronogramas de retenção; e
- uma descrição das medidas de segurança técnicas e organizacionais em vigor.”
3. Porque o ROPA traz segurança para sua empresa
Além de ser importante para prestar contas e diminuir riscos de penalidades mais onerosas, por meio da construção de um Registro de Operações de Tratamento, a empresa poderá verificar se realiza qualquer tratamento em desconformidade, encontrando GAPS, e tomando medidas para corrigi-los, o que pode implicar em reestruturações ou a adoção de políticas internas, por exemplo.
Também, aliado a uma análise de riscos de segurança da informação, pode diminuir os impactos e a probabilidade de eventos de risco (vazamentos, por exemplo) se concretizarem, e trazerem uma perda reputacional e financeira para a empresa.
4. Os riscos de não realizar prestação de contas e de não ter o ROPA
Como já falamos anteriormente, prestar contas, principalmente por meio do ROPA, são obrigações da LGPD. Dessa forma, caso não tenha essa documentação, no momento, já pode estar violando a legislação com a possibilidade de aplicação de penalidades.
Contudo, este não é o único risco da falta do ROPA: Um dos Pilares de um programa de adequação a LPGD é a Gestão de Terceiros, ou seja a verificação se os parceiros, fornecedores, ou terceiros que contrata estão, também, adequados a legislação para evitar que violações destes impliquem a empresa. Como o Registro de Operações de Tratamento é um dos elementos primordiais de uma adequação forte, é comumente inquirido em Due Diligences sobre sua existência. Assim, caso não tenha um ROPA, sua empresa pode perder Clientes e Parceiros Importantes e Estratégicos.
Por tudo que já falamos, é imprescindível que tenha um time jurídico especializado para auxiliar no mapeamento das atividades de tratamento da sua empresa, e elaborar, posteriormente, o Registro de Operações de Tratamento, assim como nas demais etapas de um programa de Governança, exigido pela ANPD.
Por Laís Arduini