Olá, Marcia. Como vai?
Mais uma contribuição excelente e cirúrgica sobre a dinâmica de fiscalização da LGPD! Você explicou com maestria o papel da ANPD e como a dosimetria das penas funciona para punir de forma proporcional, incentivando a adoção de uma postura preventiva por parte das empresas.
Como o título do seu tópico menciona o ROPA, vamos conectar o seu texto diretamente a essa ferramenta. O preenchimento do ROPA é justamente uma das principais evidências de que a organização possui a cultura preventiva e a governança que você citou, servindo como uma "defesa" primordial em um processo de fiscalização da ANPD.
O que é o ROPA e qual a sua importância?
ROPA é a sigla para Record of Processing Activities, que na nossa legislação foi traduzido como Registro das Operações de Tratamento de Dados Pessoais (previsto no artigo 37 da LGPD). Ele funciona como um inventário ou um mapa detalhado de como os dados pessoais circulam dentro da empresa.
Quando a ANPD inicia uma fiscalização ou o Encarregado pelo Tratamento de Dados Pessoais (DPO) precisa responder a um incidente, o ROPA é o primeiro documento exigido para demonstrar conformidade.
Boas práticas para o preenchimento do ROPA
Para preencher o ROPA de forma eficiente e agregar valor real à governança da organização, o mapeamento deve responder claramente às seguintes perguntas para cada processo (como o processo de contratação do RH, ou o processo de faturamento no financeiro):
- Quem realiza o tratamento? Identificar o papel da organização (se ela atua como Controladora ou Operadora dos dados naquele fluxo).
- Quais dados são coletados? Listar as categorias de dados (ex: nome, CPF, e-mail) e se há dados pessoais sensíveis (ex: dados de saúde, biometria).
- Para que servem os dados? Indicar a finalidade específica e legítima para a coleta.
- Qual é a Base Legal? Vincular o tratamento a uma das hipóteses previstas na LGPD (ex: consentimento, execução de contrato, cumprimento de obrigação legal ou legítimo interesse).
- Com quem são compartilhados? Identificar fornecedores, parceiros ou sistemas em nuvem que também têm acesso a essas informações.
- Por quanto tempo ficam armazenados? Definir o ciclo de vida do dado e a política de descarte seguro.
O ROPA como mitigador de Sanções
No caso de uma eventual fiscalização onde a ANPD aplicará o regulamento de dosimetria que você mencionou, apresentar um ROPA atualizado e condizente com a realidade prática da empresa pesa positivamente. Isso prova para a autoridade que a organização agiu com boa-fé, conhece os seus fluxos de dados, investiu em governança e tem controle sobre as informações dos titulares, reduzindo significativamente as chances de aplicação de sanções graves como as multas e suspensões.
Parabéns por levantar discussões tão profundas e necessárias sobre a aplicação prática da lei!
Espero que possa ter lhe ajudado!
