ROPA (Art. 37 LGPD): Como Criar e Manter Atualizado
O ROPA — Registro das Operações de Tratamento de Dados Pessoais — é a documentação central do programa de conformidade LGPD. É o documento que a ANPD pede primeiro em uma fiscalização, o que comprova accountability e o que viabiliza o exercício dos direitos dos titulares.
E é também o documento mais negligenciado: muitas organizações o criam uma única vez, de forma incompleta, e nunca mais o atualizam.
Este guia explica o que o Art. 37 da LGPD realmente exige, como estruturar o ROPA corretamente e como mantê-lo como um documento vivo — não uma peça de museu.
O que o Art. 37 da LGPD determina
O Art. 37 é um dos artigos mais curtos da LGPD:
"O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse."
Apenas isso. A LGPD não especificou campos obrigatórios, formato, periodicidade de atualização nem obrigação de envio à ANPD. Remeteu tudo à regulamentação da ANPD.
O que "especialmente quando baseado no legítimo interesse" significa: Não que o ROPA seja obrigatório apenas nesses casos — significa que o registro é particularmente crítico quando a base legal é o legítimo interesse, pois essa hipótese exige documentação mais robusta da justificativa. O ROPA é obrigatório para todos os tratamentos, independentemente da base legal.
ROPA da LGPD vs. GDPR: a diferença que importa
O Record of Processing Activities do GDPR europeu (Art. 30) especifica no próprio texto da lei os campos obrigatórios para controladores e operadores. A LGPD não faz isso — o que criou um período de incerteza sobre o que exatamente documentar.
A ANPD preencheu essa lacuna publicando, em junho de 2023, um template não vinculante de ROPA — derivado de consulta pública iniciada com a Nota Técnica nº 33/2022. O template é a referência de facto do mercado brasileiro.
Atenção: A própria ANPD declarou que o template é uma boa prática, não obrigação formal. Tecnicamente, qualquer formato que documente as atividades de tratamento atende o Art. 37. Na prática, usar o template da ANPD é a forma mais segura de demonstrar conformidade em caso de solicitação.
ROPA do controlador vs. ROPA do operador
O Art. 37 obriga tanto o controlador quanto o operador a manter registros — mas com conteúdos diferentes:
ROPA do Controlador: O controlador decide a finalidade e os meios do tratamento. Seu ROPA deve documentar o porquê e o para quem:
- Finalidade e base legal de cada tratamento (somente o controlador decide isso)
- Categorias de dados e de titulares
- Destinatários internos e externos
- Transferências internacionais com salvaguardas aplicáveis
- Prazos de retenção e critério de descarte
- Medidas de segurança implementadas
- Operadores contratados (fornecedores que tratam dados em seu nome)
ROPA do Operador: O operador trata dados em nome do controlador, sem definir a finalidade. Seu ROPA documenta o o quê e como:
- Identificação do(s) controlador(es) em nome de quem opera
- Categorias de tratamentos realizados para cada controlador
- Transferências internacionais, quando realizadas
- Medidas de segurança técnicas e organizacionais
Importante: O operador não precisa incluir a base legal no seu ROPA — isso é responsabilidade do controlador. O operador segue as instruções do controlador e documenta o que executa.
Muitas organizações são simultaneamente controladores (de dados de seus clientes e colaboradores) e operadores (de dados que processam em nome de terceiros, como uma empresa de contabilidade que gerencia a folha de pagamento de outras empresas). Nesse caso, devem manter dois registros distintos.
Campos do ROPA: o que documentar por atividade
O template da ANPD e as melhores práticas do mercado convergem para os seguintes campos essenciais por atividade de tratamento:
Dados organizacionais (cabeçalho)
- Razão social, CNPJ e atividade principal
- Nome, email e telefone do responsável pelo ROPA (DPO/Encarregado)
- Data de preenchimento e registro de todas as atualizações
Por atividade de tratamento
| Campo | Orientação de preenchimento |
|---|---|
| Nome da atividade | Descreve o processo de negócio: "Gestão de candidatos", "Atendimento ao cliente via chat", "Controle de acesso por biometria" |
| Finalidade | A razão específica e concreta para o tratamento: "Seleção de candidatos para vaga de emprego", não "processar dados de RH" |
| Base legal | O inciso exato do Art. 7 (ou Art. 11 para dados sensíveis), com justificativa do raciocínio jurídico |
| Categorias de titulares | Clientes, colaboradores, visitantes, fornecedores, candidatos, menores de idade |
| Dados pessoais tratados | Liste especificamente: nome, CPF, email, endereço, dados bancários, localização, histórico de navegação |
| Dados sensíveis | Separados e destacados: saúde, biometria, origem étnica, convicção religiosa, etc. |
| Fonte dos dados | Coleta direta do titular, terceiros, sistemas públicos, integrações |
| Compartilhamento externo | Com quem: nome da organização ou categoria + finalidade do compartilhamento |
| Transferência internacional | País de destino + salvaguarda aplicável (padrão contratual, decisão de adequação) |
| Prazo de retenção | Ex.: "5 anos após o término do contrato", "enquanto houver relação comercial + 5 anos" |
| Critério de descarte | Como os dados são eliminados ao fim do prazo: exclusão definitiva, anonimização, descarte físico seguro |
| Medidas de segurança | Controles aplicados: criptografia, controle de acesso, backup, pseudonimização |
Como organizar o ROPA: por atividade, não por dado
A abordagem correta — e a que o template da ANPD adota — é organizar por atividade de tratamento (processo de negócio), não por categoria de dado.
Por quê? Porque a LGPD é orientada a finalidades. O mesmo dado (CPF, por exemplo) pode ser tratado com bases legais diferentes em atividades diferentes: no cadastro de colaboradores (obrigação legal) e no programa de fidelidade (consentimento ou legítimo interesse). Organizando por atividade, fica claro qual base legal e qual finalidade se aplica a cada uso.
Exemplos de atividades de tratamento por departamento:
| Área | Exemplos de atividades |
|---|---|
| RH | Recrutamento e seleção, gestão de colaboradores, folha de pagamento, controle de ponto |
| Marketing | CRM e gestão de leads, envio de newsletters, campanhas digitais, cookies e analytics |
| Financeiro | Contas a pagar e receber, emissão de NF, gestão de fornecedores |
| TI | Controle de acesso a sistemas, logs de auditoria, suporte técnico |
| Operações | Videomonitoramento, controle de visitantes, gestão de contratos |
| Jurídico | Gestão de processos judiciais, contratos com clientes |
| Atendimento | SAC, chatbot, canal do titular LGPD |
Por que a ausência do ROPA é tão grave
A ausência de ROPA foi citada como uma das infrações que motivou a primeira multa aplicada pela ANPD a uma empresa privada (Telekall Infoservice, julho de 2023). As irregularidades incluíam explicitamente:
- Ausência de Registro de Operações de Tratamento de Dados (ROPA)
- Falta de base legal documentada para o tratamento
- Ausência do encarregado (DPO)
- Não apresentação do RIPD quando solicitado
- Não atendimento a requisições da ANPD
A ausência do ROPA também agrava a dosimetria das sanções — o Art. 52, §1°, VIII da LGPD prevê que a adoção de boas práticas de governança (que inclui manter o ROPA) pode atenuar penalidades. Sem o ROPA, essa atenuação não se aplica.
Como manter o ROPA vivo: 7 gatilhos de atualização
O maior erro das organizações é criar o ROPA uma vez e nunca mais tocá-lo. Um ROPA desatualizado pode ser pior do que nenhum — demonstra negligência e cria inconsistências que podem ser exploradas em fiscalizações.
O ROPA deve ser atualizado imediatamente quando:
- Novo tratamento iniciado: qualquer novo processo, sistema ou produto que envolva dados pessoais
- Nova finalidade para dados existentes: usar dados já coletados para propósito diferente
- Novo compartilhamento: contratação de fornecedor que acessará dados pessoais
- Mudança de base legal: quando a justificativa jurídica de um tratamento se altera
- Mudança no prazo de retenção: revisão de políticas de descarte
- Transferência internacional nova: uso de ferramenta SaaS estrangeira que processa dados
- Incidente de segurança: o ROPA deve refletir eventuais mudanças de controles após um incidente
Revisão completa: Ao menos uma vez por ano, independente de gatilhos específicos, faça uma revisão completa do ROPA com os responsáveis de cada área para validar se o documento ainda reflete a realidade operacional.
Relação entre ROPA, inventário e RIPD
Os três instrumentos são complementares e hierárquicos:
Data Flow Mapping (mapeamento de fluxo de dados): O processo investigativo de descoberta — entrevistas, questionários, análise de sistemas. É a matéria-prima que alimenta o ROPA. Revela detalhes operacionais que não aparecem em documentos formais.
ROPA: O registro formal e estruturado das atividades de tratamento, conforme o Art. 37. É o produto do mapeamento. É o que a ANPD pode solicitar.
RIPD: A avaliação de risco aplicada a atividades específicas de alto risco, identificadas a partir do ROPA. Usa o ROPA como insumo e vai além: analisa probabilidade e impacto de riscos e propõe medidas de mitigação.
A sequência correta é: mapear → registrar no ROPA → identificar tratamentos de alto risco → elaborar RIPD para os de maior risco.
O ROPA como ferramenta de gestão — além da conformidade
Um ROPA bem construído e atualizado não é apenas um documento de compliance. É uma ferramenta estratégica:
Para atender titulares: Quando um cliente solicita acesso ou eliminação de seus dados (Art. 18), o ROPA é a referência para identificar onde esses dados estão, em quais sistemas, com quais fornecedores — e o que pode ou não ser eliminado (prazos legais de retenção).
Para gerenciar fornecedores: O ROPA revela quais fornecedores acessam dados pessoais e exige que todos tenham contratos com cláusulas de DPA (Data Processing Agreement). Sem o ROPA, é impossível saber quem são todos os suboperadores.
Para responder a incidentes: Em caso de vazamento, o ROPA permite identificar rapidamente quais dados foram afetados, de quais titulares e quais terceiros precisam ser notificados.
Para due diligence: Investidores, grandes clientes e processos de fusão e aquisição exigem evidências de maturidade em privacidade. Um ROPA robusto é a primeira peça que um auditor externo de privacidade solicita.
Ferramentas para gestão do ROPA
| Tipo | Opções | Indicado para |
|---|---|---|
| Planilha estruturada | Excel, Google Sheets (com template da ANPD) | PMEs com até 20-30 atividades |
| Plataforma LGPD brasileira | Privacy Tools, DPOnet, Rupt | Médias empresas, conformidade com a ANPD |
| Plataforma global | OneTrust, TrustArc, DataGrail | Grandes organizações, múltiplas legislações |
| GRC integrado | ServiceNow, MetricStream (com módulo de privacidade) | Grandes corporações com gestão integrada de riscos |
Para organizações com mais de 30 atividades de tratamento, múltiplos departamentos ou compartilhamento intenso de dados com terceiros, uma plataforma dedicada reduz drasticamente o esforço de manutenção e o risco de inconsistências.
Checklist do ROPA
- Todas as atividades de tratamento estão mapeadas (incluindo áreas de suporte: RH, TI, Financeiro)?
- Cada atividade tem finalidade específica (não genérica)?
- Cada atividade tem base legal documentada com raciocínio jurídico?
- Dados sensíveis estão identificados separadamente com base legal do Art. 11?
- Todos os destinatários externos estão listados (incluindo ferramentas SaaS)?
- Transferências internacionais estão identificadas com salvaguardas?
- Prazos de retenção estão definidos por atividade?
- Medidas de segurança estão descritas?
- O ROPA foi atualizado nos últimos 12 meses?
- Há histórico de atualizações com data e responsável?
- O ROPA está acessível para apresentação imediata à ANPD?
Conclusão
O ROPA não é uma tarefa a ser concluída — é um processo contínuo. A organização que trata seus dados pessoais como ativos gerenciados (com finalidade definida, base legal clara, prazo de retenção e responsável) está não apenas em conformidade com a LGPD, mas em posição de vantagem competitiva em um mercado que valoriza cada vez mais a confiança digital.
Comece pelo mapeamento das atividades mais críticas (RH, CRM, marketing) e expanda progressivamente. O importante é que o ROPA reflita a realidade da organização — não o que gostaríamos que ela fosse.
O Confidata automatiza a construção e manutenção do ROPA com assessments guiados por área, geração automática do registro, alertas de revisão e integração com o módulo de gestão de direitos dos titulares. Conheça a plataforma.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.