ROPA (“records of processing activities“) é o registro das atividades de tratamento de dados pessoais, que permite ao agente contar com um inventário dos processos com dados relacionados a pessoais naturais.
 
A obrigação é prevista na LGPD:
“Art. 37. O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse”
 
e no General Data Protection Regulation – GDPR (ou RGPD):
“Artigo 30. Registos das atividades de tratamento.
1. Cada responsável pelo tratamento e, sendo caso disso, o seu representante conserva um registo de todas as atividades de tratamento sob a sua responsabilidade. Desse registo constam todas seguintes informações:
a) O nome e os contatos do responsável pelo tratamento e, sendo caso disso, de qualquer responsável conjunto pelo tratamento, do representante do responsável pelo tratamento e do encarregado da proteção de dados;
b) As finalidades do tratamento dos dados;
c) A descrição das categorias de titulares de dados e das categorias de dados pessoais;
d) As categorias de destinatários a quem os dados pessoais foram ou serão divulgados, incluindo os destinatários estabelecidos em países terceiros ou organizações internacionais;
e) Se for aplicável, as transferências de dados pessoais para países terceiros ou organizações internacionais, incluindo a identificação desses países terceiros ou organizações internacionais e, no caso das transferências referidas no artigo 49, n. 1, segundo parágrafo, a documentação que comprove a existência das garantias adequadas;
f) Se possível, os prazos previstos para o apagamento das diferentes categorias de dados;
g) Se possível, uma descrição geral das medidas técnicas e organizativas no domínio da segurança (…)”.
 
Sem possuir um mapeamento documentado, fica difícil manter as informações claras, precisas e facilmente acessíveis sobre a realização do tratamento dos dados. Ainda, o titular pode ter seus direitos prejudicados no momento da sua requisição. Sem esse registro de operações, a resposta ao titular pode não ocorrer, por não haver meios para tanto, ou mesmo pode se tornar mais demorada e custosa para a própria empresa. Tal regulamentação acabaria por suprimir disposição principiológica já inclusa na lei, e ainda, possibilitar que hajam violações dos direitos dos titulares.
 
Por exemplo, no momento de pedir ao controlador de dados informações sobre as entidades públicas ou privadas com as quais são compartilhados seus dados, o titular poderá ter uma demora injustificada ou até mesmo não ter sua resposta dada pela empresa, visto que não possui em seus registros de tratamento com quais organizações esta compartilha os dados. Portanto, teria que ser feito um levantamento apenas após provocação do titular para que haja tal resposta.

Existem cursos ou certificação relativos à LGPD?

Sim, para profissionais que buscam se aperfeiçoar sobre a temática, há cursos de formação como Data Protection Officer – DPO, como o constante neste link: https://www.portaldotreinamento.com.br/dpo-data-protection-officer/ , em que são abordados conteúdos teóricos e práticos.

Fontes consultadas:

Milena Pappert. https://www.migalhas.com.br/depeso/351662/a-dispensa-de-mantenca-dos-registros-de-tratamento-de-dados