Registro de Atividades de Tratamento de Dados Brasil

O Registro de Atividades de Tratamento de Dados é o documento empresarial firmado no Brasil com base na LGPD Art. 37 (Lei 13.709/2018).

A LGPD foi sancionada em 14 de agosto de 2018 (Lei 13.709/2018), com vigência plena a partir de setembro de 2020. A Autoridade Nacional de Proteção de Dados (ANPD), criada pelo Decreto 10.474/2020 e consolidada como autarquia de natureza especial vinculada à Presidência da República, publicou o Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado (2021), que esclarece as responsabilidades do controlador e do operador em relação ao Registro. A Resolução CD/ANPD nº 2/2022 regulou a aplicação simplificada da LGPD para microempresas (ME), empresas de pequeno porte (EPP) e microempreendedores individuais (MEI), mantendo o Registro como instrumento essencial de conformidade, em formato simplificado previsto no Anexo II da Resolução.

O Art. 37 da LGPD determina que o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse (Art. 7º, inciso IX, e Art. 10 da LGPD). A ANPD pode solicitar esse registro a qualquer momento no exercício de seu poder fiscalizatório (Art. 55-J da LGPD), e a recusa ou o fornecimento de registro incompleto pode configurar infração sujeita às sanções do Art. 52, incluindo advertência e multa de até R$ 50 milhões por infração. O Regulamento de Dosimetria e Aplicação de Sanções Administrativas (Resolução CD/ANPD nº 4/2023) lista a ausência de programa de governança em privacidade — do qual o Registro é componente essencial — como circunstância agravante na graduação das sanções.

O equivalente europeu ao Registro de Atividades de Tratamento brasileiro é o Records of Processing Activities (RoPA) exigido pelo Art. 30 do Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR — Regulamento UE 2016/679). Assim como o GDPR, a LGPD exige registros tanto do controlador (Art. 30, §1º do GDPR / Art. 37 da LGPD) quanto do operador (Art. 30, §2º do GDPR / Art. 37 da LGPD). Organizações com operações no Brasil e na UE podem adotar uma estrutura unificada de RoPA/Registro que atenda aos dois regulamentos, desde que contemple os campos adicionais do GDPR — como as medidas de segurança do Art. 32 e as garantias para transferências internacionais do Art. 46.

O forms-legal.com disponibiliza este modelo de Registro de Atividades de Tratamento como instrumento de conformidade com a LGPD no Brasil. O Registro deve ser mantido atualizado e disponível para apresentação à ANPD quando solicitado, funcionando como base para a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD) do Art. 38 da LGPD e para o atendimento aos direitos dos titulares do Art. 18 da LGPD.

O Registro de Atividades de Tratamento de Dados Pessoais no Brasil é necessário para todos os controladores e operadores que realizem tratamento de dados pessoais, com as seguintes especificidades.

Controladores de qualquer porte: O Art. 37 da LGPD não distingue entre grandes empresas e pequenas empresas para fins da obrigação de manutenção do Registro. Contudo, a Resolução CD/ANPD nº 2/2022, que regula a aplicação simplificada da LGPD para microempresas (ME), empresas de pequeno porte (EPP), microempreendedores individuais (MEI), startups e entidades sem fins lucrativos que não realizem tratamento de dados em larga escala, prevê um modelo simplificado de Registro, com menos campos obrigatórios e maior flexibilidade na documentação.

O Registro é especialmente necessário nas seguintes situações:

— Preparação para fiscalização da ANPD: A ANPD realizou suas primeiras fiscalizações a partir de 2022 e tem intensificado as atividades de monitoramento. O Registro é o primeiro documento solicitado em qualquer procedimento de fiscalização ou apuração de denúncias de titulares;

— Tratamento baseado no legítimo interesse: O Art. 37 da LGPD menciona expressamente o legítimo interesse como hipótese que exige especial atenção no Registro, pois a ANPD pode exigir o RIPD (Art. 38) para essas atividades;

— Relacionamento com operadores: O controlador deve documentar no Registro quais operadores (fornecedores, prestadores de serviços) realizam tratamento de dados em seu nome, garantindo que contratos de processamento de dados (DPAs — Art. 39 da LGPD) estejam vigentes;

— Transferência internacional de dados: Atividades que envolvam transferência de dados pessoais para o exterior (Art. 33 da LGPD) devem ser especialmente documentadas no Registro, com identificação dos países de destino e das salvaguardas adotadas;

— Resposta a solicitações de titulares: O Registro é a base operacional para atender às solicitações dos titulares de dados (Art. 18 da LGPD) — como confirmação de tratamento, acesso aos dados, correção, portabilidade, bloqueio, eliminação, e revogação de consentimento;

— Incidentes de segurança: Em caso de incidente (vazamento, acesso não autorizado), o Registro permite identificar rapidamente quais dados foram afetados, quais titulares devem ser notificados, e quais operadores estão envolvidos — cumprindo o prazo de comunicação à ANPD previsto na Resolução CD/ANPD nº 4/2023.

O Registro de Atividades de Tratamento de Dados Pessoais no Brasil, conforme o Art. 37 da LGPD e o Guia Orientativo da ANPD, deve contemplar os elementos essenciais a seguir para cada atividade de tratamento registrada.

Identificação da Atividade de Tratamento: Nome único e descritivo da atividade (ex.: 'Recrutamento e Seleção de Colaboradores', 'Gestão de Clientes CRM', 'Marketing Direto por E-mail'), área de negócios responsável, sistema ou plataforma utilizado (ex.: Salesforce, SAP, HubSpot), e data de início da atividade. O nome deve ser suficientemente específico para distinguir atividades distintas realizadas pelo mesmo sistema.

Agentes de Tratamento: Identificação completa do controlador (razão social, CNPJ, endereço, DPO — Encarregado nos termos do Art. 41 da LGPD) e dos operadores envolvidos (fornecedores, prestadores de serviços que tratam dados em nome do controlador), com referência aos contratos de processamento (DPAs — Art. 39 da LGPD) correspondentes. O Registro do operador deve identificar todos os controladores em cujo nome realiza tratamento.

Finalidade e Base Legal: Descrição clara e específica da finalidade do tratamento (Art. 6º, inciso I, da LGPD — para qual propósito os dados são coletados?) e a base legal aplicável dos Arts. 7º ou 11 da LGPD — consentimento (inciso I), cumprimento de obrigação legal ou regulatória (inciso II), execução de contrato (inciso V), legítimo interesse (inciso IX e Art. 10), proteção ao crédito (inciso X), tutela da saúde (inciso VIII — apenas dado sensível), entre outras. Para o legítimo interesse, deve-se documentar o teste de balanceamento do Art. 10, §2º.

Categorias de Dados e Titulares: Listagem das categorias de dados pessoais tratados (nome, e-mail, CPF, dados biométricos, localização GPS, dados de saúde, dados financeiros, etc.), com identificação explícita de dados pessoais sensíveis (Art. 5º, inciso II, da LGPD — origem racial ou étnica, convicção religiosa, opinião política, dado de saúde, dado genético ou biométrico), e categorias de titulares afetados (clientes, colaboradores, candidatos, usuários, visitantes, menores de idade).

Volume e Escala: Estimativa do número de titulares afetados e do volume de dados tratados — relevante para determinar se a atividade se enquadra como tratamento em larga escala e se exige RIPD (Art. 38 da LGPD) ou indicação formal de DPO (Encarregado) nos termos do Art. 41. O Guia da ANPD orienta que tratamento em larga escala considera o volume de dados, a extensão geográfica, a duração e o alcance da atividade.

Prazo de Retenção: Período pelo qual os dados serão mantidos com fundamento em obrigação legal (ex.: 5 anos para documentos trabalhistas — Art. 11 da CLT; 5 anos para obrigações tributárias — Art. 150 do CTN; 5 anos para relações de consumo — Art. 27 do CDC), contratual ou de negócios. O procedimento de eliminação segura ou anonimização ao término do prazo deve estar documentado.

Compartilhamento e Transferência Internacional: Identificação de todos os destinatários dos dados (internos e externos), incluindo transferências internacionais, com indicação dos países de destino e das salvaguardas adotadas conforme o Art. 33 da LGPD — decisão de adequação da ANPD, cláusulas contratuais padrão, normas corporativas globais (BCRs), ou consentimento específico do titular.

Medidas de Segurança: Descrição resumida das medidas técnicas e administrativas de segurança aplicáveis à atividade (criptografia, controle de acesso, pseudonimização), com referência às políticas internas e aos padrões adotados (ABNT NBR ISO/IEC 27001, ABNT NBR ISO/IEC 27701). A certificação ISO 27701 é reconhecida pela ANPD como indicador de conformidade com o Art. 46 da LGPD.

O forms-legal.com disponibiliza este modelo de Registro como ponto de partida para o programa de governança em privacidade. Recomenda-se manutenção em planilha eletrônica ou sistema de gestão de privacidade (PMS — Privacy Management Software), com revisão trimestral e atualização imediata após qualquer mudança significativa nas atividades de tratamento.

Para elaborar o Registro de Atividades de Tratamento de Dados Pessoais conforme exigido pelo Art. 37 da LGPD, siga os passos abaixo.

Passo 1 — Faça o mapeamento de dados (data mapping): antes de preencher o Registro, realize uma entrevista estruturada com as áreas de negócios (RH, marketing, TI, jurídico, financeiro, operações) para identificar todas as atividades que envolvem tratamento de dados pessoais. Ferramentas de questionário interno (DPO questionnaires) e workshops de privacidade são úteis para esse levantamento inicial e para engajar as áreas de negócios na cultura de privacidade.

Passo 2 — Crie uma entrada por atividade de tratamento: o Registro deve ter uma linha (ou registro) para cada atividade distinta — não para cada sistema ou banco de dados. Por exemplo, o sistema de CRM pode suportar múltiplas atividades (gestão de clientes, marketing, cobrança) que devem ser registradas separadamente com suas próprias finalidades, bases legais e prazos de retenção.

Passo 3 — Identifique a base legal com precisão: para cada atividade, determine qual das bases legais do Art. 7º ou Art. 11 da LGPD se aplica. Evite indicar múltiplas bases legais para uma mesma atividade — escolha a base legal principal. Para o legítimo interesse (Art. 7º, IX), documente o teste de balanceamento conforme o Art. 10, §2º da LGPD, demonstrando que os interesses do controlador prevalecem sobre os direitos dos titulares.

Passo 4 — Mapeie todos os operadores: liste todos os fornecedores e prestadores de serviços (SaaS, cloud, processadoras de pagamento, bureaus de crédito, agências de marketing) que tratam dados pessoais em nome da sua organização. Verifique se há contratos de processamento de dados (DPAs — Art. 39 da LGPD) vigentes com cada um deles e inclua referência no Registro.

Passo 5 — Defina os prazos de retenção: para cada atividade, determine por quanto tempo os dados serão retidos com base em obrigações legais (ex.: Art. 11 da CLT para documentos trabalhistas — 5 anos; Art. 27 do CDC para ações de consumo — 5 anos; Art. 150 do CTN para obrigações tributárias — 5 anos), contratuais ou de negócios. Documente o fundamento jurídico do prazo escolhido.

Passo 6 — Mantenha o Registro atualizado: implemente um processo de revisão periódica (trimestral ou semestral) e de atualização imediata quando houver mudança em qualquer atividade de tratamento (novo sistema, novo fornecedor, mudança de finalidade, nova categoria de dados). Um Registro desatualizado pode indicar ausência de programa de governança efetivo durante fiscalizações da ANPD.

O Registro de Atividades de Tratamento de Dados Pessoais no Brasil deve cumprir os seguintes requisitos legais e regulatórios.

Art. 37 da LGPD — Obrigação Principal: O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse. O Art. 37 não especifica o formato do Registro (pode ser em papel, planilha eletrônica ou sistema dedicado), mas a ANPD recomenda formato eletrônico que permita busca e atualização ágil.

Art. 55-J da LGPD — Poder Fiscalizatório da ANPD: A ANPD pode solicitar o Registro de Atividades a qualquer momento. A recusa em fornecer o Registro ou o fornecimento de registro sabidamente incompleto ou falso pode configurar infração sujeita às sanções do Art. 52 da LGPD, incluindo multa de até 2% do faturamento da pessoa jurídica no último exercício, limitada a R$ 50 milhões por infração.

Art. 6º, inciso X — Princípio da Accountability: O Registro é o principal instrumento de demonstração do princípio da prestação de contas e responsabilidade (accountability) — o controlador deve demonstrar que adota medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.

Resolução CD/ANPD nº 2/2022 — Agentes de Pequeno Porte: Microempresas, EPPs, MEIs, startups e entidades sem fins lucrativos que não realizem tratamento em larga escala podem utilizar o modelo simplificado de Registro previsto no Anexo II da Resolução, com campos mínimos obrigatórios, sem necessidade de DPO formal.

Compatibilidade com GDPR (Art. 30): Para organizações com operações na União Europeia, o Registro de Atividades deve atender também aos requisitos do Art. 30 do GDPR, que exige registros separados para o controlador (Art. 30, §1º) e para o operador (Art. 30, §2º), com campos adicionais como transferências internacionais e descrição geral das medidas de segurança do Art. 32 do GDPR. Um Registro unificado LGPD/GDPR é possível e recomendável para organizações com presença nos dois mercados.

Os erros mais frequentes na elaboração do Registro de Atividades de Tratamento de Dados Pessoais no Brasil são:

Não criar o Registro ou criá-lo apenas para cumprimento formal: Muitas organizações criam um Registro superficial, com entradas genéricas e sem o nível de detalhamento exigido pelo Art. 37 da LGPD e pelo Guia da ANPD. O Registro deve ser suficientemente detalhado para permitir à ANPD entender o fluxo completo de cada atividade de tratamento — entradas como 'Dados de clientes — finalidade: negócios — base legal: contrato' são insuficientes.

Não mapear operadores terceiros: Um dos erros mais comuns é registrar apenas as atividades internas e omitir os operadores (fornecedores de software, processadoras de pagamento, serviços de nuvem, bureaus de crédito) que tratam dados em nome do controlador. O Art. 37 da LGPD exige que tanto o controlador quanto o operador mantenham Registros, e o controlador é responsável por garantir que seus operadores estejam devidamente documentados.

Usar bases legais incorretas ou múltiplas: É comum indicar 'consentimento' como base legal para atividades cujo tratamento é, na realidade, fundamentado em obrigação legal ou execução de contrato — o que pode gerar inconsistências na resposta a solicitações de titulares (ex.: um titular que revoga o consentimento para uma atividade cujo tratamento tem base legal em obrigação legal continuará tendo seus dados tratados).

Não definir prazos de retenção precisos: Entradas com 'retido por tempo necessário' ou 'enquanto houver relação comercial' são insuficientes. O Art. 15 da LGPD determina que o tratamento deve ser encerrado quando cumprida a finalidade, encerrado o prazo, mediante comunicação do titular, ou por determinação da ANPD. O prazo de retenção deve ser específico e fundamentado em obrigação legal, contratual ou de negócios documentada.

Não atualizar o Registro após mudanças: O Registro é um documento vivo que deve ser atualizado imediatamente quando houver mudança em qualquer atividade de tratamento — novo sistema, novo operador, mudança de finalidade, nova categoria de dados. Registros desatualizados são um indicativo de ausência de programa de governança efetivo durante fiscalizações da ANPD.