Solicitar demo
LGPD Privacidade

LGPD na prática: como construir um RoPA que sobrevive à ANPD

Por que a maioria dos Registros de Atividades de Tratamento fracassa em auditoria — e o que fazer diferente.

13 de junho de 2026 7 min de leitura 6 leituras

O que é um RoPA, na prática

O Registro de Atividades de Tratamento — previsto no artigo 37 da LGPD — é o inventário de como a sua organização lida com dados pessoais. Para cada atividade de tratamento, ele descreve: que dados são coletados, por que, com que base legal, por quanto tempo, com quem são compartilhados e como são protegidos.

Parece simples no papel. Na prática, esse documento costuma ser construído uma vez (em geral por um consultor externo), salvo em uma planilha que ninguém revisa, e usado em auditoria meses ou anos depois. Quando a ANPD ou um titular pede esclarecimento, o RoPA não reflete mais a operação real.

Por que a maioria fracassa

  • Granularidade errada. Empresas listam "RH" como atividade. Errado: RH faz folha, admissão, demissão, avaliação de desempenho, plano de saúde — cada uma é um tratamento distinto com base legal distinta.
  • Sem dono claro. Quem mantém esse RoPA atualizado? Se a resposta é "o DPO", você terá um RoPA desatualizado. O dono real é o líder de cada processo.
  • Desconectado da operação. Mudou um fornecedor, criou um novo produto, terceirizou um serviço — e o RoPA não foi atualizado. Em 6 meses, ele já não reflete a realidade.
  • Sem evidência anexa. Declarar a base legal não basta. É preciso comprovar: termo de consentimento, contrato, política, comunicação ao titular.

O que muda quando o RoPA é processo, não documento

Tratado como um processo vivo, o RoPA passa a ser:

  1. Distribuído. Cada líder de área é responsável pelas atividades do seu escopo, com revisão periódica obrigatória.
  2. Conectado. Cada tratamento é vinculado a controles, a fornecedores (TPRM) e a um plano de retenção.
  3. Auditável. Toda alteração fica registrada com quem, quando e o que mudou — pronto para responder à ANPD.
  4. Reativo. Quando um titular exerce um direito, o time encontra rapidamente onde aquele dado está sendo tratado e em qual base.

Roteiro para revisar (ou construir) o RoPA do zero

1. Mapear processos, não áreas

Comece pelos macroprocessos do negócio (vendas, atendimento, RH, financeiro, marketing) e desdobre em atividades. Cada atividade é uma linha do RoPA.

2. Identificar o tratamento mínimo

Para cada atividade: que dado é coletado? Quem coleta? Onde guarda? Com quem compartilha? Por quanto tempo retém?

3. Atribuir base legal

Não escolha sempre "consentimento" — é a base mais frágil. Avalie cada uma das 10 hipóteses da LGPD (art. 7º e 11) e justifique a escolha por escrito.

4. Anexar evidência

Política aplicável, contrato com fornecedor, termo de uso, comunicação ao titular. Sem evidência, a base legal não se sustenta.

5. Definir ciclo de revisão

Tratamentos críticos (dados sensíveis, transferências internacionais) revisar a cada 6 meses. Demais, anualmente. Mudanças relevantes disparam revisão imediata.

O que a ANPD costuma checar

Em fiscalizações conhecidas, a ANPD tem priorizado:

  • Coerência entre o que está no RoPA e o que está nas políticas públicas (privacidade do site, termos)
  • Existência de DPIA para tratamentos de alto risco
  • Histórico de atendimento a titulares dentro do prazo
  • Contratos com operadores (fornecedores) com cláusulas de proteção de dados

Em outras palavras: o RoPA não vive sozinho. Ele só faz sentido quando integrado ao DPIA, ao programa de TPRM, ao atendimento a titulares e à trilha de auditoria.

Um RoPA bem construído é a base de qualquer programa de privacidade sério. Trate-o como processo distribuído, não como documento estático.

Tags: ANPD GRC LGPD Privacidade

Continue lendo

Compliance ISO 27001 e SOC 2 sem retrabalho: mapeando controles uma única vez
Terceiros (TPRM) TPRM: por que classificar fornecedores por tier muda tudo
ESG ESG não é planilha: estruturando indicadores com evidência auditável