Registro de tratamento de dados (ROPA): modelo e passo a passo
Entenda o registro de tratamento de dados (ROPA) exigido pelo art. 37 da LGPD. Veja o modelo da ANPD campo a campo e monte o seu em 7 passos práticos.
Renata, dona de um e-commerce de cosméticos com 12 funcionários, decidiu colocar a LGPD em ordem. Pesquisou, encontrou a planilha oficial da ANPD, baixou o arquivo e abriu. Vinte minutos depois, fechou: não sabia o que escrever em "base legal", nem se aquele modelo servia para a empresa dela.
Se você chegou até aqui, talvez esteja no mesmo ponto. O registro de tratamento de dados, também chamado de registro das operações de tratamento de dados pessoais ou ROPA, é o documento que o artigo 37 da Lei Geral de Proteção de Dados exige de praticamente toda empresa. E, mesmo assim, é o menos conhecido dos documentos da adequação.
A boa notícia: montar o seu é mais simples do que parece. Neste guia, você vai entender o que é o registro de tratamento, o que a lei pede de verdade, o modelo da ANPD explicado campo a campo e um passo a passo de 7 etapas para sair da planilha em branco. Tudo em linguagem de quem toca empresa, sem juridiquês.
O que é o registro de tratamento de dados (ROPA)?
O registro de tratamento de dados é o documento que lista todas as operações da empresa com dados pessoais: o que ela coleta, para quê, com qual base legal, com quem compartilha, por quanto tempo guarda e como protege. Ele funciona como o inventário oficial e consultável de tudo o que a empresa faz com dados de clientes, funcionários e fornecedores.
A sigla ROPA vem do inglês Record of Processing Activities, termo herdado do GDPR, a lei europeia de proteção de dados. No Brasil, o mesmo documento aparece com outros nomes: registro das operações de tratamento, registro de atividades de tratamento ou RAT. São variações para a mesma coisa.
Pense assim: se alguém perguntar amanhã "o que a sua empresa faz com o CPF dos clientes?", o registro é o documento que responde em segundos. Sem ele, a resposta vira uma caça ao tesouro por planilhas, e-mails e memória de funcionário.
Um detalhe que muita gente erra: o registro não é obrigação só de quem decide sobre os dados. Controlador e operador precisam manter o seu. Ou seja, mesmo quem trata dados apenas por ordem de clientes, como agências e escritórios de contabilidade, também entra na regra.
O que diz o artigo 37 da LGPD
A obrigação está no artigo 37 da Lei 13.709/2018: "O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse."
Repare na palavra "especialmente". Ela causa uma leitura errada e perigosa: a de que só precisa registrar quem usa o legítimo interesse como justificativa. Não é isso. O artigo manda registrar as operações de tratamento, todas, e apenas reforça a atenção quando a base for o legítimo interesse, que é a mais flexível e a mais fiscalizável das bases legais da LGPD.
Também vale notar o que o artigo 37 não diz. Ele não define quais campos o registro deve ter, não exige formato específico nem manda protocolar nada na ANPD, a Autoridade Nacional de Proteção de Dados. O documento fica com a empresa, pronto para ser apresentado se a autoridade pedir, se um cliente grande exigir ou se um titular exercer seus direitos.
Essa liberdade de formato é boa e ruim ao mesmo tempo. Boa porque uma planilha bem organizada já atende. Ruim porque, sem referência, cada empresa inventa um modelo. É aí que entram os modelos oficiais, que veremos daqui a pouco.
Registro de tratamento é obrigatório para pequenas empresas?
Sim. O artigo 37 vale para controladores e operadores de qualquer porte, sem exceção. O que muda para a pequena empresa não é a obrigação, é o formato: a ANPD permite uma versão simplificada do documento.
Essa flexibilização veio com a Resolução CD/ANPD nº 2/2022, que criou regras especiais para agentes de tratamento de pequeno porte (ATPP): microempresas, empresas de pequeno porte, startups e entidades sem fins lucrativos. Para esse grupo, em vez do registro completo, vale um registro simplificado. Em 14 de junho de 2023, a ANPD foi além e divulgou um modelo oficial de registro simplificado, em planilha, com os campos essenciais prontos.
Existe uma pegadinha importante. Empresa pequena que realiza tratamento de alto risco, como dados de saúde em escala ou dados de crianças, perde as flexibilizações da resolução. Nesse caso, o registro precisa ser completo, e o relatório de impacto entra no radar.
Dois exemplos ilustrativos ajudam a enxergar a régua. Uma papelaria com cadastro de clientes para nota fiscal e um grupo de WhatsApp de ofertas se encaixa no registro simplificado sem drama. Já uma clínica de fisioterapia com 4 mil prontuários eletrônicos trata dados sensíveis em volume: para ela, o modelo mínimo não basta, mesmo sendo pequena no CNPJ.
Se você não sabe em qual grupo sua empresa se encaixa, use a regra prática: trata dados sensíveis ou de crianças em volume, assuma o registro completo. No restante dos casos, o simplificado é um ponto de partida legítimo. E antes de preencher qualquer planilha, vale separar três nomes que todo mundo confunde.
ROPA, mapeamento de dados e RIPD: qual a diferença?
Esses três nomes aparecem juntos em qualquer conversa sobre documentação da LGPD, e é fácil confundir. A separação é mais simples do que parece:
| Documento | O que é | Quando entra |
|---|---|---|
| Mapeamento de dados | O processo de descobrir quais dados a empresa trata, onde ficam e por quê | Primeiro passo da adequação |
| Registro de tratamento (ROPA) | O documento consolidado que lista todas as operações, exigido pelo art. 37 | Logo depois do mapeamento, e mantido para sempre |
| RIPD | O relatório que aprofunda só os tratamentos de alto risco | Quando há operações arriscadas ou a ANPD pede |
Em outras palavras: o mapeamento de dados é a investigação, o registro é o resultado organizado dela, e o RIPD é a lupa sobre os pontos críticos. O registro lista tudo; o relatório de impacto analisa o que pode dar errado nos tratamentos mais delicados.
Para quem opera com a Europa, vale uma nota rápida. No GDPR, o record of processing activities está no artigo 30, que define os campos obrigatórios e isenta parcialmente organizações com menos de 250 empregados. A LGPD seguiu outro caminho: não lista campos nem isenta ninguém pelo tamanho. Se a sua empresa já mantém um ROPA no padrão europeu, ótimo, ele cobre com folga o que a lei brasileira espera.
O que precisa constar no registro: modelo campo a campo
Como a lei não define os campos, a melhor referência prática é o modelo de ROPA da ANPD para agentes de pequeno porte, uma planilha gratuita com os campos essenciais. O problema, como a Renata descobriu, é que a planilha vem sem manual. Então aqui vai o modelo comentado, campo a campo, com exemplos de uma empresa real de pequeno porte:
| Campo | O que escrever | Exemplo prático |
|---|---|---|
| Atividade de tratamento | A operação com dados, descrita pela finalidade de negócio | "Cadastro de clientes para emissão de nota fiscal" |
| Finalidade | Por que a empresa precisa desses dados | "Cumprir obrigação fiscal e identificar o comprador" |
| Base legal | A justificativa da LGPD para tratar | "Obrigação legal" para nota fiscal; "consentimento" para newsletter |
| Categorias de dados | Quais dados entram na atividade | "Nome, CPF, endereço, e-mail" |
| Categorias de titulares | De quem são os dados | "Clientes pessoa física" |
| Compartilhamento | Com quem os dados circulam | "Contabilidade terceirizada, plataforma de emissão de NF-e" |
| Medidas de segurança | Como os dados são protegidos | "Acesso por senha individual, backup diário, sistema com criptografia" |
| Retenção e eliminação | Por quanto tempo guardar e o que fazer depois | "5 anos após a venda, por exigência fiscal; depois, exclusão" |
Cada linha da planilha é uma atividade de tratamento. Uma empresa pequena típica termina com algo entre 10 e 25 linhas: cadastro de clientes, newsletter, folha de pagamento, recrutamento, atendimento no WhatsApp, vídeo das câmeras internas e assim por diante.
Se a sua empresa não se enquadra como pequeno porte, ou trata dados de alto risco, acrescente colunas que o modelo simplificado não traz: transferência internacional (se o dado sai do Brasil e para qual país), sistema onde o dado vive e responsável interno pela atividade. Esses campos extras transformam o registro simplificado em um registro completo.
Uma regra de ouro para qualquer formato: o modelo mínimo é piso, não teto. A planilha da ANPD existe para destravar o começo, não para limitar a maturidade da sua governança.
Como fazer o registro de tratamento de dados em 7 passos
Com o modelo entendido, falta o método. Estes 7 passos levam sua empresa da planilha em branco ao registro funcionando.
Passo 1: comece pelo mapeamento de dados
Ninguém registra o que não conhece. Antes de preencher qualquer campo, levante quais dados pessoais a empresa coleta, onde ficam e por quê. Se você ainda não fez esse levantamento, nosso guia de mapeamento mostra o caminho por área. Com o mapeamento automatizado de dados do DataSafu, esse levantamento vira registro de tratamento pronto, sem montar planilha do zero.
Passo 2: liste as atividades de tratamento por área
Percorra a empresa pela lógica do negócio: marketing, vendas, RH, financeiro, atendimento. Em cada área, pergunte "o que fazemos aqui com dados de pessoas?". Cada resposta é uma linha do registro.
Evite o erro do Caio, sócio de um escritório de contabilidade com 18 funcionários. Na primeira tentativa, ele listou os sistemas: "ERP, e-mail, WhatsApp". O registro ficou pronto em uma hora e não respondia nada, porque ninguém procura dados "no ERP", procura "folha de pagamento dos clientes". Ele refez por atividade e o documento finalmente fez sentido.
Passo 3: preencha os campos essenciais de cada atividade
Use a tabela da seção anterior como guia. Preencha os 8 campos para cada atividade, sempre em linguagem direta. Se um campo travar, anote a dúvida e siga adiante: registro incompleto e em evolução vale mais que registro perfeito que nunca sai do rascunho.
Passo 4: valide as bases legais com critério
Este é o campo que mais erra. Resista à tentação de carimbar "consentimento" em tudo: nota fiscal é obrigação legal, entrega de produto é execução de contrato, oferta para cliente ativo costuma ser legítimo interesse. E lembre do artigo 37: operações baseadas em legítimo interesse merecem registro caprichado, porque são as primeiras que a ANPD questiona.
Passo 5: registre compartilhamentos e fornecedores
Liste com quem cada dado circula: contabilidade, gateway de pagamento, ferramenta de e-mail marketing, transportadora. Esses parceiros são operadores tratando dados em seu nome, e o compartilhamento precisa aparecer no registro. É também o insumo para revisar contratos depois.
Passo 6: defina o dono e o formato do documento
Registro sem dono morre em três meses. Defina quem responde pelo documento: o encarregado de dados, se houver, ou um responsável interno com nome e sobrenome. Escolha também o formato oficial, seja a planilha da ANPD, seja uma ferramenta que gere o registro automaticamente.
Passo 7: mantenha o registro vivo
O registro retrata a operação, e a operação muda. Contratou uma ferramenta nova? Abriu um canal de vendas? Mudou a finalidade de um cadastro? Atualize a linha correspondente. Uma revisão completa a cada 6 ou 12 meses, mais ajustes pontuais a cada mudança, mantém o documento confiável.
Erros comuns no registro de tratamento
Alguns tropeços se repetem em quase toda empresa que monta o primeiro registro. Fique de olho nestes seis:
- Copiar modelo pronto sem adaptar. Registro emprestado descreve a empresa dos outros. Na fiscalização, a diferença entre o papel e a prática vira problema.
- Registrar por sistema, não por atividade. "ERP" não é atividade de tratamento; "folha de pagamento" é.
- Ler "especialmente" como "somente". O legítimo interesse pede atenção extra, mas todas as operações entram no registro.
- Deixar o registro de gaveta. Documento desatualizado falha no momento exato em que é exigido.
- Confundir os documentos. Registro não é RIPD nem política de privacidade. Cada um tem papel próprio, e um não substitui o outro.
- Esquecer os compartilhamentos. Contabilidade, plataformas e agências tratam dados da sua empresa. Se não estão no registro, ele está incompleto.
O custo de não ter essa lição de casa em dia já apareceu na prática. Na primeira multa aplicada pela ANPD, em julho de 2023, a microempresa Telekall Infoservice levou R$ 14.400 em multas e uma advertência: usou lista de telefones sem base legal válida e não conseguiu comprovar suas práticas de tratamento. Sem registro, não havia o que mostrar.
Perguntas frequentes sobre o registro de tratamento de dados
O que significa a sigla ROPA?
ROPA significa Record of Processing Activities, ou registro das atividades de tratamento. O termo vem do GDPR europeu e foi adotado no Brasil como sinônimo do registro das operações de tratamento de dados pessoais previsto no artigo 37 da LGPD.
O ROPA é obrigatório na LGPD?
Sim. O artigo 37 obriga controladores e operadores a manter o registro das operações de tratamento, sem exceção por porte ou setor. Agentes de tratamento de pequeno porte podem usar o formato simplificado definido pela ANPD, desde que não realizem tratamento de alto risco.
O que é uma operação de tratamento de dados pessoais?
É qualquer ação realizada com dados pessoais. O artigo 5º da LGPD lista exemplos: coleta, recepção, utilização, acesso, armazenamento, compartilhamento, transferência e eliminação. Se a sua empresa recebe um currículo por e-mail ou guarda o telefone de um cliente, já realiza operações de tratamento.
Preciso enviar o registro de tratamento para a ANPD?
Não. A lei não prevê protocolo nem aprovação do documento. A empresa mantém o registro internamente e o apresenta quando solicitado, por exemplo em fiscalização, apuração de incidente ou auditoria de cliente.
Qual a diferença entre ROPA e RIPD?
O ROPA lista todas as operações de tratamento da empresa, das mais simples às mais delicadas. O RIPD analisa em profundidade apenas os tratamentos capazes de gerar alto risco aos titulares. O registro é o inventário completo; o relatório de impacto é a lupa sobre os pontos críticos.
Posso fazer o registro de tratamento numa planilha?
Pode. A própria ANPD oferece o modelo simplificado em planilha, e ele atende bem quem está começando. O desafio da planilha é a manutenção: sem dono e sem rotina de atualização, ela envelhece rápido. Ferramentas que geram e atualizam o registro automaticamente resolvem essa dor.
Registro de tratamento sem mistério: o caminho resumido
O registro de tratamento de dados deixa de assustar quando você junta as quatro peças deste guia. É o documento que o artigo 37 exige de controladores e operadores de qualquer tamanho. Pequenas empresas podem usar o formato simplificado da ANPD, desde que não tratem dados de alto risco.
Os 8 campos do modelo respondem o essencial: o quê, para quê, com qual base, com quem, por quanto tempo e com qual proteção. E o documento só cumpre o papel se ficar vivo, com dono e rotina de atualização.
Comece hoje com o passo 1: mapeie o que a empresa já trata. Depois, transforme o levantamento em linhas do registro, uma atividade por vez, no seu ritmo.
Se quiser pular a fase da planilha em branco, veja onde sua empresa está na adequação à LGPD com o diagnóstico do DataSafu. Ele aponta o que falta, prioriza os próximos passos e conecta seu mapeamento ao registro de tratamento pronto para apresentar, sem consultoria cara e sem juridiquês.