LGPD Art. 37: Como criar o ROTDP – Registros das Operações de Tratamento de Dados Pessoais

Com a LGPD em vigor desde setembro de 2020, a necessidade de adequação ganhou uma nova urgência. Mesmo com as sanções administrativas e multas aplicadas pela ANPD iniciando apenas depois de 1º de agosto de 2021, com a lei em vigor titulares de dados pessoais estão cada vez mais cientes de seus novos direitos, o que já se concretizou em situações como um grande número de solicitações no portal ReclameAqui, e até mesmo a menção da lei geral de proteção de dados em diversos processos trabalhistas.

Infelizmente, em muitos casos a jornada rumo a conformidade com a LGPD permanece cheia de dúvidas, especialmente sobre como preparar os artefatos obrigatórios, mencionados nos vários artigos da lei. Um exemplo é o Relatório de Impacto à Proteção de Dados Pessoais – RIPDP, que já mencionamos em um artigo anterior, e que conforme a recém publicada agenda regulatória da ANPD, é tema da fase 1, cujas iniciativas acontecem em até 1 ano. Dessa forma, quem sabe ainda em 2021, ou no máximo no início do próximo ano teremos um posicionamento claro da autoridade nacional sobre o RIPDP.

Outro artefato ainda mais importante são os Registros das Operações de Tratamento de Dados Pessoais, que conforme artigo 37 da LGPD, é uma obrigação tanto para controladores quanto operadores, especialmente quando esse tratamento é baseado no legítimo interesse.

Mas acontece que a lei é, no mínimo, econômica em detalhes sobre esses registros, cuja menção aparece praticamente apenas em um único artigo. Então, para aqueles que seguem com o desafio de adaptar práticas de proteção de dados aos requisitos da LGPD, sobra a tarefa de interpretar a lei e entender o que realmente deve constar nos registros de operações de tratamento de dados pessoais, além de – claro – todo o esforço para compilação deste artefato.

O que são os Registos das Operações de Tratamento de Dados Pessoais – ROTDP

Bem, um primeiro passo que pode soar meio óbvio, mas é extremamente importante, é entender exatamente o que é o ROTDP. Na verdade esses registros não passam de uma compilação estruturada das informações relacionadas às operações de tratamento de dados pessoais. Soa simples? Talvez não, mas com uma abordagem pragmática é possível desvendar exatamente o que precisa ser construído.

Para saber exatamente o que vai nos registos, precisamos ter como alvo dois objetivos básicos, saber quais são as obrigações que controlador e operador devem cumprir, e quais são os direitos dos titulares de dados pessoais que precisam ser respeitados de acordo com a LGPD.

rotdp-lgpd-lei-protecao-dados-01

Tendo esse entendimento como a base para nosso ROTDP, fica mais fácil identificar na LGPD quais são as informações que compõem os registros:
  • Informações que são o conteúdo mínimo disponibilizado ao titular quando este solicita acesso aos seus dados pessoais (Art. 9º, incisos I a V);
  • Informações que precisam ser passadas a ANPD em caso de incidentes/violações de dados pessoais (Art. 48 § 1º, incisos I e II);
  • base legal atribuída ao tratamento de dados pessoais (Art. 7º, 11º e 14º);
  • Informações sobre transferências internacionais de dados pessoais (Capítulo V)
  • descrição da operação de tratamento e o responsável por realizar o registro, para fins de responsabilização (Art. 6º, X)

Com base nos artigos supracitados, podemos entender que as informações mínimas que devemos compilar para o Registos das Operações de Tratamento de Dados Pessoais – ROTDP são:

rotdp-lgpd-lei-protecao-dados-02

É claro, saber o que precisa ser feito é apenas um primeiro passo, na prática, compilar todas essas informações pode ser uma tarefa que consome semanas ou mesmo meses, dependendo do porte da organização e da quantidade e tipos de dados pessoais tratados. Mas aí cabe uma pergunta bem simples: Tirando o fato de que o ROTDP é uma obrigação legal, será que todo esse esforço em sua criação tem algum resultado prático? A resposta é um sonoro sim!

A importância e uso prático dos Registos das Operações de Tratamento de Dados Pessoais – ROTDP

Deixando de lado a existência do artigo 37 da LGPD, que torna o ROTDP obrigatório para controladores e operadores, existem diversos benefícios bastante práticos em manter registros das operações de tratamento de dados pessoais.

Um primeiro ponto é bastante simples: Não é possível proteger aquilo que você sequer conhece. Então se o ROTDP concentra todas as informações mais relevantes sobre a forma que sua organização trata dados pessoais, é óbvio que na prática ele vai te ajudar a encontrar situações que podem gerar uma violação de dados pessoais como, por exemplo, ausência de definições de bases legais ou mesmo tratamentos que sequer são comunicados apropriadamente ao titular.

É claro, ser transparente e atribuir apropriadamente responsabilidades facilita a prestação de contas, tanto aos titulares (com base em seus direitos previstos em lei) quanto para a própria ANPD.

Uma vez construído, o ROTDP se torna uma ferramenta essencial para atender as solicitações de titulares, como, por exemplo, confirmar a existência do tratamento dos seus dados pessoais e até facilitar o acesso a essas informações.

A verdade é que se formos enumerar todos os benefícios práticos do Registos das Operações de Tratamento de Dados Pessoais seria necessário um artigo exclusivamente sobre isso, mas não tenho dúvidas, muito mais do que um simples artefato exigido pela LGPD, o ROTDP pode ser considerado o melhor amigo do Encarregado pelo Operações de Tratamento de Dados Pessoais / DPO.

rotdp-lgpd-lei-protecao-dados-03

Mas e na prática? Como construir o Registos das Operações de Tratamento de Dados Pessoais – ROTDP?

E vamos a uma dura realidade: Levantar todas as informações para o ROTDP não é uma atividade exatamente simples!

Na maioria dos casos literalmente todas as áreas da empresa que realizam tratamento de dados pessoais precisam ser envolvidas, e dificilmente as informações necessárias para o ROTDP estão centralizadas, pelo contrário, dados pessoais tem a chata mania de estar por aí, espalhados estruturados ou não estruturados. E claro, existe também o detalhe de que a operação da empresa não pode parar por conta da elaboração do ROTDP.

Então qual a melhor forma de garantir que Registros de Operações de Tratamento de dados pessoais sejam elaborados corretamente? Bem, parta de um princípio fundamental: Conheça os Dados Pessoais tratados pela sua organização!

Isso pode ser feito através de muitas abordagens, sendo a mais comum o mapeamento de dados pessoais, que é um processo que pode ser feito de forma manual ou apoiado por soluções para facilitar a descoberta de informações.

Quando feito corretamente, um mapeamento de dados pessoais te ajuda a responder perguntas essenciais, por exemplo, Que tipo de dados pessoais são coletados pela organização? Como e de onde estes dados são coletados? Por que os dados pessoais são tratados? Quem tem acesso aos dado pessoais? Quais mecanismos de segurança são aplicados? As respostas são uma peça fundamental na elaboração do ROTDP.

rotdp-lgpd-lei-protecao-dados-04

Claro, é preciso lembrar que mapeamento de dados pessoais não é sinônimo de registro das operações de dados pessoais, mas dependendo da forma que você estruture seu mapeamento, é bem provável que boa parte do trabalho já esteja concluída.

Protegendo dados pessoais na prática:

E que tal sermos um pouco pragmáticos na nossa abordagem a proteção de dados pessoais? Gosto sempre de ressaltar que, mesmo que os requisitos da LGPD sejam deixados de lado, adotar uma abordagem proativa, onde a proteção de dados pessoais faz parte dos processos da organização desde a concepção e por padrão, é – sem sombra de dúvidas – a estratégia mais inteligente e econômica.

Indo muito além da “simples” conformidade com a Lei Geral de Proteção de Dados Pessoais, essa abordagem permite o tratamento precoce de riscos, que quando são identificados em um estágio inicial, além de serem mais simples de resolver, não causam impacto nos cofres ou reputação da organização.

Criar artefatos como o Registos das Operações de Tratamento de Dados Pessoais é uma atividade que não fica limitada ao seu time do projeto de adequação a LGPD (caso esse exista). Dada sua natureza, o ROTDP exige o envolvimento de múltiplas áreas, funcionando também como uma ferramenta prática para conscientização sobre temas como segurança da informação, privacidade e proteção de dados pessoais em toda a organização. Consequentemente, você já reduzirá a probabilidade de violação dos requisitos da LGPD a níveis bem mais próximos do aceitável.

É claro, criar um Registos das Operações de Tratamento de Dados Pessoais efetivo não é uma tarefa simples, e demanda profissionais com experiência, visão holística e conhecimento suficiente dos processos da organização, para que fique claro: Essa não é uma tarefa que mesmo o melhor dos Encarregados pelo Tratamento de Dados Pessoais (DPO) possa encarar sozinho. Se sua equipe não possui experiência suficiente, a melhor aposta é investir em treinamento ou recorrer a especialistas externos.

Que tal aprender a construir o Registos das Operações de Tratamento de Dados Pessoais – ROTDP?

 Se você está tendo dificuldades para construir um ROTDP, ou simplesmente quer ganhar novos conhecimentos práticos, tenho boas notícias! Meu novo curso LGPD: Registos das Operações de Tratamento de Dados Pessoais está disponível publicamente desde o inícios de 2021, e traz uma visão aprofundada de todos os itens que citei acima!

rotdp-lgpd-lei-protecao-dados-05

Como de costume, este treinamento inclui uma série de exemplos práticos, um estudo de caso completo e modelos editáveis, prontos para você adaptar e criar o Registos das Operações de Tratamento de Dados Pessoais da sua organização.

Detalhe: O novo treinamento já está entre os melhores avaliados na plataforma!

Inscreva-se_ja

Cláudio Dodt - claudiododt.com

Mais artigos deste autor »

Evangelista em Segurança da Informação e Cloud, consultor, instrutor e palestrante, atua na área de tecnologia há mais de 15 anos, exercendo atividades como Analista de Suporte, Analista de Segurança Sr., Security Officer e Supervisor de Infraestrutura e Segurança.

Desenvolveu atividades em empresas brasileiras e multinacionais, tendo participando no Brasil e no exterior em projetos de segurança de diversos segmentos como Educacional, Financeiro, Telecomunicações, Saúde, Agroindústria, Indústria Alimentícia, Naval, Metal-Mecânica e Têxtil.

ITIL® Expert;
Certified Information Systems Security Professional (CISSP®);
Certified Information Security Manager (CISM);
Certified Information Systems Auditor (CISA);
Certified in Risk and Information Systems Control (CRISC);
ISO 27001 Lead Auditor;
ISO/IEC 20000 Foundation;
Information Security Foundation (ISFS) based on ISO/IEC 27002;
Information Security Management Advanced based on ISO/IEC 27002;
CobiT 4 Foundation;
CobiT 5 Foundation;
EXIN Cloud Computing Foundation;
EXIN Certified Integrator Secure Cloud Services;
EXIN Accredited Trainer – (ITIL Foundation; ISO 20000 Foundation, ISFS, ISMAS, Cloud Foundation).

Geek convicto, mergulhador autônomo, amante incondicional da leitura, cinema e dos videogames.


Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">