Um guia prático de o que e ROPA

Este guia explica o que e ROPA na prática, com foco em decisões de analytics que respeitam a privacidade.

Um ROPA é um registro de atividades de processamento. De acordo com o Artigo 30 do GDPR, os controladores e processadores devem manter registros escritos de certas atividades de processamento de dados pessoais e disponibilizá-los a uma autoridade supervisora, mediante solicitação (GDPR Artigo 30).

Trate-o como um mapa vivo de como os dados pessoais circulam pela sua organização. Um bom ROPA não é papelada por si só. Ajuda as equipas a responder a questões práticas: que dados recolhemos, porquê, para onde vão, quem pode aceder-lhes, durante quanto tempo os mantemos e que riscos criam?

Quem precisa de um ROPA

O Artigo 30 inclui uma isenção para organizações com menos de 250 empregados, mas a isenção é limitada. Não se aplica quando o tratamento é suscetível de resultar em risco para os indivíduos, não é ocasional ou inclui categorias especiais de dados ou dados de condenações penais.

Na prática, muitas pequenas organizações ainda necessitam de registos porque o processamento de rotina não é ocasional. Gerenciamento de clientes, registros de funcionários, listas newsletter, análises, tickets de suporte, processamento de pagamentos e pipelines de contratação são atividades de processamento recorrentes.

Registros de controlador vs processador

Um responsável pelo tratamento decide as finalidades e os meios de tratamento. Por exemplo, uma empresa SaaS que decide coletar dados de inscrição de teste, enviar e-mails de produtos e medir conversões de sites é um controlador dessas atividades.

Um processador atua de acordo com as instruções de um controlador. Um fornecedor de análise, plataforma email ou provedor de hospedagem em nuvem pode ser um processador de dados do cliente, dependendo do relacionamento e do contrato.

Os responsáveis ​​pelo tratamento devem registar dados de contacto, finalidades, categorias de titulares de dados, categorias de dados pessoais, categorias de destinatários, transferências para países terceiros, períodos de retenção sempre que possível e medidas de segurança sempre que possível. Os processadores devem registrar detalhes de contato de cada controlador, categorias de processamento, transferências e medidas de segurança.

O que incluir

Para cada atividade de processamento, capture:

• Nome da atividade: por exemplo, análise de sites, newsletter, suporte ao cliente, cobrança, contratação.
• Finalidade: por que o processamento é necessário.
• Titulares dos dados: visitors, clientes, funcionários, requerentes, doadores, assinantes.
• Categorias de dados: dados de contato, dados de conta, dados de uso, metadados de pagamento, conteúdo de suporte.
• Base jurídica: contrato, consentimento, interesses legítimos, obrigação legal, etc.
• Destinatários e fornecedores: equipes internas e processadores externos.
• Transferências internacionais: países, mecanismo de transferência e salvaguardas.
• Retenção: por quanto tempo os dados são mantidos e por quê.
• Medidas de segurança: controle de acesso, criptografia, registro, backups, processo de exclusão.
• Proprietário: a pessoa ou equipe responsável por manter a inscrição atualizada.

Para análises, seja específico. Não escreva "dados analíticos". Diga se você coleta endereços IP, IDs de cookies, URLs completo, referenciadores, parâmetros de campanha, dados de dispositivos, eventos de conversão e IDs de usuários. Se você usar análises sem cookies, documente essa escolha de design.

Como construir um sem torná-lo doloroso

Comece com sistemas, não com departamentos. Liste as ferramentas que processam dados pessoais: CRM, processador de pagamentos, provedor email, análises, banco de dados de produtos, suporte técnico, sistema de RH, hospedagem em nuvem, registro de erros, reprodução de sessão, plataformas de anúncios e planilhas.

Em seguida, entreviste os proprietários. Pergunte quais dados entram no sistema, de onde vieram, quem os utiliza, se são compartilhados e quando são excluídos. Você encontrará processamento de sombra em exportações, planilhas e integrações antigas. Não esconda isso. O ROPA é útil porque revela a realidade.

Priorize primeiro as áreas de alto risco: dados de categorias especiais, dados de crianças, localização precisa, dados financeiros, dados de saúde, rastreamento em grande escala e transferências internacionais.

Como ROPA ajuda as equipes de produto

Um ROPA torna concreta a privacidade desde o design. Antes de adicionar um novo evento analítico ou ferramenta de marketing, as equipes de produto podem verificar se o processamento já existe, se a finalidade é compatível e se os dados são necessários.

Também apoia os direitos dos titulares dos dados. Se alguém solicitar acesso ou exclusão, o ROPA informa quais sistemas podem conter seus dados. Se um fornecedor alterar subprocessadores ou região de hospedagem, o ROPA mostra quais atividades de processamento são afetadas.

Ritmo de manutenção

Revise o ROPA sempre que lançar um novo recurso, adicionar um fornecedor, alterar a retenção, entrar em um novo mercado, introduzir rastreamento ou processar uma nova categoria de dados. No mínimo, agende uma revisão trimestral com produto, engenharia, jurídico, segurança e operações.

Um ROPA obsoleto pode ser pior do que um incompleto porque cria uma falsa confiança. Mantenha as entradas curtas o suficiente para serem mantidas, mas detalhadas o suficiente para que um regulador, auditor ou novo funcionário possa compreender o processamento.

Para análises que priorizam a privacidade, o ROPA deve ser um dos seus documentos mais fortes. Isso pode mostrar que você limitou intencionalmente a coleta, evitou identificadores desnecessários, manteve a retenção curta e escolheu um modelo de medição que respeita os usuários e, ao mesmo tempo, fornece informações úteis ao negócio.

Um exemplo de entrada analítica ROPA

Uma entrada analítica útil pode ser: "Medição da audiência do site para melhorar as páginas públicas e o desempenho da campanha." Os titulares dos dados são visitors. As categorias de dados são a página URL após remoção de parâmetros, referenciador, tags de campanha, classe de dispositivo, país, navegador e eventos de conversão. Os destinatários são as equipes internas de marketing e produto, além do processador de análises. A retenção é de 13 meses para relatórios agregados e menor para eventos brutos, caso existam eventos brutos.

Adicione a base legal, comportamento de cookie ou armazenamento, mecanismo de transferência e proprietário. Observe também as exclusões: nenhum perfil de publicidade, nenhum ID de usuário, nenhum armazenamento IP completo, nenhuma captura de campo de formulário e nenhuma análise em rotas confidenciais. Essas declarações negativas são importantes porque mostram limites intencionais e não apenas falta de documentação.

Lista de verificação de manutenção de ROPA

Torne a entrada analítica ROPA específica: finalidade, base legal, categorias de visitors, campos de evento, identificadores, cookies ou armazenamento, destinatários, subprocessadores, local de hospedagem, retenção, transferências e processo de exclusão. Evite rótulos vagos como “dados analíticos”.

Atualize o registro sempre que uma tag, evento, fornecedor, regra de consentimento, período de retenção ou destino de dados for alterado. Um ROPA é útil apenas se corresponder ao que o navegador e o backend realmente enviam.