LGPD e o Registro das Operações de Tratamento de Dados

A LGPD define no artigo 37 que o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

De forma prática o Registro das Operações envolve o tratamento de dados pessoais, pessoais sensíveis e/ou de crianças, realizadas ou não utilizando a base legal do legítimo interesse.

Vale destacar que é importante que os controladores e operadores façam e mantenham o registro das operações com a devida associação das bases legais, em especial quando for o legítimo interesse, desta forma poderá ser solicitado pela autoridade nacional de proteção de dados (ANPD).

O Registro das Operações é também mencionado no artigo 30 do regulamento europeu o GDPR (General Data Protection Regulation), sendo fundamental a sua elaboração.

Por que elaborar o Registro das Operações de Tratamento de Dados Pessoais?

De acordo com o artigo 37, já citado anteriormente, a realização do Registro das Operações cumpre as seguintes obrigações:

1. para conformidade com a LGPD e outros deveres estabelecidos como o RIPD (Relatório de Impacto) – art. 38, relacionado com registro das operações de tratamento;
2. para dar suporte à Avaliação de Riscos à proteção de dados e programa de governança e privacidade previsto no art. 50 da LGPD;

• para apoiar na definição das medidas administrativas e técnicas, salvaguardas de segurança adequadas aos tipos de tratamento realizados como Controlador ou Operador, adotados pela empresa, conforme previsto nos artigos 46 ao 49.

Quem deverá elaborar o Registro das Operações?

O registro será elaborado por todas as áreas/unidades de negócio de uma empresa por meio de seus respectivos colaboradores e gestores que tratam dados pessoais, de menores de idade ou dados pessoais sensíveis em maior ou menor grau;

Cabe frisar, que cada gestor de área além de responsável por revisar, e acompanhar a elaboração, atualização e manutenção do Registro das operações de tratamento de dados pessoais, também tem a responsabilidade sobre os riscos identificados no respectivo registro de sua área de negócio.

O Gestor é também o responsável por traçar com sua equipe o plano ou os planos de ação para tratamento dos riscos identificados pelo comitê e encarregado, e cumprir com a execução destes planos, mantendo os atualizados de acordo com os registros das operações, e recomendações que possam vir do encarregado ou comitê de privacidade;

Quando elaborar o Relatório de Operações.

1. ANTES DE COMEÇAR OPERAÇÃO DE TRATAMENTO: o registro deve ser realizado preferencialmente antes de começar o tratamento, pois os riscos e impactos devem ser identificados antes;
2. NOVO PROCESSO OU ATIVIDADE: um novo processo está sendo criado, um novo produto, serviço ou atividade que não existia antes;
3. BASEADO NO LEGÍTIMO INTERESSE: quando o fundamento ou base legal utilizado para o processamento de dados for o legítimo interesse, mas não restrito somente à esta base;

• MUDANÇA EM PROCESSOS OU ATIVIDADES EXISTENTES: mudanças de fornecedores, provedores, parceiros, sistemas e/ou legislação;

1. REGISTRO DAS OPERAÇÕES EXISTENTES: registro das operações que envolvem o tratamento de dados pessoais e/ou sensíveis que ja são executadas pela empresa;

O Registro das Operações não se encerra com a sua elaboração, sendo de extrema necessidades que todas informações apuradas, documentadas e registradas, reflitam de a realidade atual do tratamento de dados, sejam eles pessoais do serviço ou até mesmo do processo de negócio.

Ressaltamos que o Registro das Operações de Tratamento de Dados Pessoais nunca morre e sempre que necessário deverá ser atualizado.