LGPD e o Registro das Operações de Tratamento de Dados
Atualizado 28 Jun 2022
2 min. leitura
A LGPD define no artigo 37 que o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
De forma prática o Registro das Operações envolve o tratamento de dados pessoais, pessoais sensíveis e/ou de crianças, realizadas ou não utilizando a base legal do legítimo interesse.
Vale destacar que é importante que os controladores e operadores façam e mantenham o registro das operações com a devida associação das bases legais, em especial quando for o legítimo interesse, desta forma poderá ser solicitado pela autoridade nacional de proteção de dados (ANPD).
O Registro das Operações é também mencionado no artigo 30 do regulamento europeu o GDPR (General Data Protection Regulation), sendo fundamental a sua elaboração.
Por que elaborar o Registro das Operações de Tratamento de Dados Pessoais?
De acordo com o artigo 37, já citado anteriormente, a realização do Registro das Operações cumpre as seguintes obrigações:
- para conformidade com a LGPD e outros deveres estabelecidos como o RIPD (Relatório de Impacto) – art. 38, relacionado com registro das operações de tratamento;
- para dar suporte à Avaliação de Riscos à proteção de dados e programa de governança e privacidade previsto no art. 50 da LGPD;
- para apoiar na definição das medidas administrativas e técnicas, salvaguardas de segurança adequadas aos tipos de tratamento realizados como Controlador ou Operador, adotados pela empresa, conforme previsto nos artigos 46 ao 49.
Quem deverá elaborar o Registro das Operações?
O registro será elaborado por todas as áreas/unidades de negócio de uma empresa por meio de seus respectivos colaboradores e gestores que tratam dados pessoais, de menores de idade ou dados pessoais sensíveis em maior ou menor grau;
Cabe frisar, que cada gestor de área além de responsável por revisar, e acompanhar a elaboração, atualização e manutenção do Registro das operações de tratamento de dados pessoais, também tem a responsabilidade sobre os riscos identificados no respectivo registro de sua área de negócio.
O Gestor é também o responsável por traçar com sua equipe o plano ou os planos de ação para tratamento dos riscos identificados pelo comitê e encarregado, e cumprir com a execução destes planos, mantendo os atualizados de acordo com os registros das operações, e recomendações que possam vir do encarregado ou comitê de privacidade;
Quando elaborar o Relatório de Operações.
- ANTES DE COMEÇAR OPERAÇÃO DE TRATAMENTO: o registro deve ser realizado preferencialmente antes de começar o tratamento, pois os riscos e impactos devem ser identificados antes;
- NOVO PROCESSO OU ATIVIDADE: um novo processo está sendo criado, um novo produto, serviço ou atividade que não existia antes;
- BASEADO NO LEGÍTIMO INTERESSE: quando o fundamento ou base legal utilizado para o processamento de dados for o legítimo interesse, mas não restrito somente à esta base;
- MUDANÇA EM PROCESSOS OU ATIVIDADES EXISTENTES: mudanças de fornecedores, provedores, parceiros, sistemas e/ou legislação;
- REGISTRO DAS OPERAÇÕES EXISTENTES: registro das operações que envolvem o tratamento de dados pessoais e/ou sensíveis que ja são executadas pela empresa;
O Registro das Operações não se encerra com a sua elaboração, sendo de extrema necessidades que todas informações apuradas, documentadas e registradas, reflitam de a realidade atual do tratamento de dados, sejam eles pessoais do serviço ou até mesmo do processo de negócio.
Ressaltamos que o Registro das Operações de Tratamento de Dados Pessoais nunca morre e sempre que necessário deverá ser atualizado.
