Pontos importantes a se considerar na confecção de um Registro das Atividades de Tratamento (RAT)

Pontos importantes a se considerar na confecção de um  RAT (Registro das Atividades de Tratamento)

A lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) contribuiu para a implementação de diversas melhorias em relação à gestão de dados pessoais nas empresas. Dentre elas, as empresas passaram a realizar o mapeamento de suas atividades envolvendo dados pessoais.

Em um passado recente, antes da entrada em vigor da LGPD, era comum concentrar o inventário de atividades e processos de negócio da empresa apenas na área de controles internos. Neste caso, o controle era muito mais voltado para uma análise de excelência operacional do que para uma análise de privacidade e proteção de dados pessoais.

Com o advento da LGPD, as empresas passaram a mapear seus processos com foco em tratamentos de dados pessoais e com informações pormenorizadas sobre sua execução.

Esta ação advém principalmente da obrigação imposta pela LGPD em seu art. 37 de elaborar e manter um “Registro das Operações de Tratamento de Dados Pessoais” (também chamado de Registro das Atividades de Tratamento – RAT[1]).

Controladores e operadores devem manter um RAT. Porém, como é de se esperar, as informações contidas no RAT de um controlador são diferentes daquelas contidas no RAT do operador.

Espera-se um RAT mais suscinto com relação às atividades que a empresa desempenha como operador exatamente porque nem sempre ela terá todas as informações, já que cabe ao controlador tomar as decisões.

Exemplificativamente, é provável que o operador não possa afirmar a hipótese de tratamento (arts. 7º e 11º da LGPD) que fundamenta aquele tratamento ou qual a relação do titular com o controlador.

Embora não haja um modelo oficial de RAT a ser adotado no Brasil, ao analisar os modelos recomendados por autoridades europeias[2], notamos que o modelo recomendado para operadores é bem mais sucinto do que aquele recomendado para controladores.

Além de ser uma obrigação legal, o RAT também costuma desempenhar um papel importante para a tomada de ações e manutenção do compliance em privacidade. É a partir de sua leitura e interpretação que a equipe de proteção de dados da empresa poderá identificar pontos de irregularidades e implementar melhorias.

Por esta razão, um RAT incompleto ou incorreto pode comprometer as ações de privacidade da empresa. Caso a empresa venha a ser auditada, poderá sofrer prejuízos, inclusive financeiros. É importante se preocupar com as informações ali fornecidas para que realmente correspondam à realidade da empresa e para que contenha apenas as informações efetivamente necessárias.

Para evitar problemas de desatualização do RAT, recomendamos criar uma rotina que permita mantê-lo atualizado, como por exemplo estabelecendo responsáveis por atualizar o documento quando uma nova atividade envolvendo dados pessoais for criada ou modificada. Outra ação que pode ser tomada é estabelecer uma rotina de auditoria para verificar se o documento está em conformidade. Sugere-se que uma auditoria seja feita no RAT ao menos uma vez ao ano.

Com relação aos agentes de tratamento de pequeno porte, a Resolução CD/ANPD nº 2, de 27 de janeiro de 2022 estabeleceu em seu art. 9º que poderão cumprir a obrigação de elaboração e manutenção do RAT de forma simplificada, utilizando modelo a ser fornecido pela ANPD.

Por enquanto ainda não houve publicação do referido modelo, mas é possível que esta publicação venha a impactar e estabelecer parâmetros inclusive para empresas que não se encaixem neste perfil, já que atualmente tampouco existe a recomendação pela ANPD de um modelo de RAT para elas.

Por fim, cumpre mencionar a forma de armazenamento deste Registro de Atividades de Tratamento. Fazer a gestão do RAT demanda organização e documentação detalhada. Normalmente esta função é desenvolvida pelo Encarregado da empresa.

Nos últimos anos o mercado de software desenvolveu e apresentou diversas soluções para gestão do RAT.  Embora a lei não imponha a utilização de softwares para tal atividade, na prática, os softwares se mostram como aliados facilitando a gestão do RAT e colaborando para que ele se mantenha atualizado, desde que a empresa utilize o software da maneira correta.

Independentemente da utilização de softwares ou não, a manutenção do RAT é um tema que deve ser levado a sério pelas empresas. Processos de auditoria, inclusive externa, neste documento podem ser essenciais para que a empresa identifique irregularidades e evite sanções no futuro.

 

[1] Nomenclatura utilizada pela ANPD na Resolução CD/ANPD nº 2, de 27 de janeiro de 2022
[2] Autoridade de Proteção de Dados do Reino Unido – ICO – https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/documentation/how-do-we-document-our-processing-activities/
Autoridade de Proteção de Dados da França – CNIL – https://www.cnil.fr/en/record-processing-activities

 

Paulo Baldin CISM, CDPSE, DPO, CPC-PD, COBIT, MBA – Superintendente de Segurança da Informação (CISO) & Proteção de Dados e Privacidade (DPO) na Tecnobank

Iara Peixoto Melo head de direito digital e proteção de dados do Chenut Oliveira Santiago