A LGPD (Lei 13.709/2018) obriga toda empresa que trata dados pessoais a manter um inventário formal de tratamentos, conhecido como RoPA (Record of Processing Activities — em português: Registro de Operações de Tratamento).
Pequenas e médias empresas (PMEs) costumam subestimar essa obrigação. Resultado: na primeira fiscalização da ANPD, a empresa não tem RoPA pronta e fica em situação vulnerável.
Esse artigo mostra o que é o RoPA, o que precisa registrar e o formato aceito.
O que é RoPA na prática
RoPA é um documento estruturado (planilha, sistema, ou plataforma especializada) que lista todas as operações de tratamento de dados pessoais que sua empresa realiza.
Exemplo de uma linha:
"Cadastro de novo cliente no sistema → Coleta de dados (nome, CPF, telefone, email) → Finalidade: identificação para fatura, comunicação operacional → Base legal: execução de contrato (art. 7º, V) → Compartilhamento: gateway de pagamento (Cora, Stripe) → Retenção: 5 anos após encerramento da relação → Responsável: time comercial"
Cada operação de tratamento é uma linha. Empresa típica tem 20-80 operações documentadas.
Os 7 campos obrigatórios
A ANPD especifica via Resolução CD/ANPD nº 2/2022 e jurisprudência subsequente:
1. Categoria do dado tratado
Nome, CPF, RG, email, telefone, biometria, geolocalização, dados financeiros, dados de saúde, opinião política, etc.
Dados sensíveis (saúde, etnia, religião, biometria, opinião política, orientação sexual, dados de criança) exigem registro destacado com base legal específica.
2. Finalidade do tratamento
Específica e legítima. Não vale "fins gerenciais" ou "marketing genérico". Exemplos válidos:
- "Identificação de cliente para emissão de nota fiscal"
- "Envio de comunicação operacional sobre serviço contratado"
- "Análise de risco creditício para concessão de financiamento"
3. Base legal (art. 7º ou art. 11 LGPD)
A LGPD lista 10 bases legais possíveis:
- I. Consentimento do titular
- II. Cumprimento de obrigação legal/regulatória
- III. Execução de políticas públicas (só órgão público)
- IV. Estudos de pesquisa
- V. Execução de contrato
- VI. Exercício regular de direitos
- VII. Proteção da vida ou da incolumidade física
- VIII. Tutela da saúde (só profissionais de saúde/sanitário)
- IX. Legítimo interesse
- X. Proteção do crédito
Cada operação escolhe uma base legal. Errar a base legal é problema comum.
4. Categoria de titular
Quem é a pessoa cujos dados são tratados:
- Clientes
- Funcionários
- Fornecedores
- Visitantes do site
- Prospects/leads
- Familiares de funcionários (em planos de saúde, vale)
- Menores de idade (sempre destacar)
5. Compartilhamento (operadores e suboperadores)
Para quem os dados vão:
- Gateways de pagamento (Cora, Stripe, PagSeguro)
- ERPs (Omie, ContaAzul)
- Plataformas SaaS (Pier, Slack, Trello, Microsoft 365)
- Bancos
- Contabilidade externa
- Marketing tools (Google Ads, Meta Ads, RDStation)
Cada um precisa ter DPA (Acordo de Processamento de Dados) assinado.
6. Retenção
Por quanto tempo o dado é mantido. Geralmente baseado em:
- Prazo legal (5 anos pra documentos fiscais, 5 anos pra dados de cobrança)
- Duração da relação (durante o contrato + X meses)
- Específico do produto (exemplo: vídeos de webcam por 30 dias)
7. Medidas técnicas e organizacionais
Como o dado é protegido:
- Criptografia em trânsito (TLS)
- Criptografia em repouso (AES-256)
- Controle de acesso por perfil
- Logs auditáveis
- Treinamento da equipe
- Hospedagem em servidor no Brasil ou conformidade adequada
Formato aceito pela ANPD
Não há template oficial obrigatório. Mas a ANPD aceita:
- Planilha estruturada (Excel/Google Sheets) com colunas correspondentes aos 7 campos
- Documento Word com tabelas equivalentes
- Sistema/plataforma especializada (CyberCor, DPOnet, Privacy Tools) — preferível por trilha de auditoria
Submitter pra ANPD em caso de solicitação:
- PDF assinado digitalmente
- Última versão consolidada
- Histórico de alterações disponível
Erros comuns que invalidam o RoPA
❌ Cópia genérica da internet sem adaptação ao negócio real ❌ Não atualizado há mais de 6 meses (operações mudam) ❌ Sem responsável definido por cada tratamento ❌ Base legal errada (ex: marcar "consentimento" quando deveria ser "execução de contrato") ❌ Esquecer dados internos (RH, payroll, monitoramento de funcionários) ❌ Não cobrir cookies do site (rastreamento via Google Analytics, Meta Pixel)
Frequência de atualização
- Semestral: revisão completa do RoPA inteiro
- A cada mudança significativa: quando entra novo sistema, fornecedor, ou tipo de coleta
- Após incidentes: revisar bases legais que falharam
Como o CyberCor entrega RoPA
O CyberCor tem módulo de mapeamento de dados guiado que:
- Questionário guiado preenche RoPA automaticamente (sem precisar DPO especialista)
- Templates de DPA pra cada tipo de operador comum
- Trilha de auditoria com timestamp
- Exportação em PDF assinado digitalmente
- Notificação de revisão semestral automática
Próximo passo: fazer o diagnóstico gratuito e ver o status do seu RoPA em 2 minutos.