§ IV · LGPD · Art. 37

ROPA · registro obrigatório do Art. 37.

O Registro de Operações de Tratamento de Dados Pessoais (ROPA) é documento obrigatório pra todo controlador e operador pela LGPD · Art. 37. É o mapa auditável de quais dados você trata, pra quê, com base em quê — insumo obrigatório pra qualquer fiscalização ANPD.

Os 6 atributos mínimos · Art. 37.

  1. Finalidade · pra quê cada operação existe (ex: "processar compra em e-commerce")
  2. Base legal · Art. 7º (comum) ou Art. 11 (sensível) · indicar inciso específico
  3. Categorias de dados + titulares · CPF, email, endereço · cliente, fornecedor, colaborador
  4. Compartilhamento · operadores (Google Cloud, Resend) · DPA assinado · finalidade do compartilhamento
  5. Período de retenção · dias/meses/anos + gatilho de eliminação (fim de contrato, 5 anos fiscal, etc)
  6. Medidas de segurança · criptografia em trânsito (TLS 1.3), em repouso (AES-256), controle de acesso (RBAC)

Quem precisa fazer ROPA?

Todo agente de tratamento · controlador E operador. Res. CD/ANPD 2/2022 dispensa pequeno porte apenas do encarregado formal, não do ROPA. Mesmo autônomo MEI que processa dados de cliente precisa ter ROPA mínimo registrado internamente.

Operadores (ex: SaaS) documentam ROPA das operações que executam em nome do controlador + mantêm contrato DPA que descreve escopo do tratamento. Indícia como operador mantém ROPA público em /privacidade com dados tratados, bases legais e retenção por tier.

Exemplo prático · linha de ROPA.

OperaçãoCadastro de cliente no e-commerce
FinalidadeExecutar compra online + emissão de nota fiscal
Base legalArt. 7º V (execução de contrato) + Art. 7º II (obrigação fiscal)
CategoriasNome · CPF · email · endereço · telefone · cliente pessoa física
CompartilhamentoStripe (pagamento · DPA) · Correios (entrega) · Contador (fiscal)
Retenção5 anos (CTN Art. 173 · obrigação fiscal) · anonimização 90d após fim do prazo
SegurançaTLS 1.3 · AES-256 at-rest · RBAC + MFA admin · audit log SHA-256

ROPA real · processamento de pagamentos via Stripe.

Linha do nosso próprio ROPA · cobre o tratamento de dados de cobrança das assinaturas Indício · Radar · Perímetro. Atualizada a cada wave que mexe no gateway. Owner: encarregado@indicia.com.br.

OperaçãoCobrança recorrente de assinatura SaaS via Stripe Checkout + Customer Portal
FinalidadeExecutar contrato de assinatura · processar pagamento · emitir comprovante (NF-e em curso · gate B-A2)
Base legalArt. 7º V (execução de contrato) · Art. 33 II (transferência internacional · SCCs UE) · Resolução CD/ANPD 19/2024 (CCP em adequação)
CategoriasEmail do titular · nome empresarial · endereço de cobrança · número de cartão tokenizado (PAN nunca recebido pela Indícia) · uidHash (SHA-256+APP_SALT do uid Firebase · re-identificação inviável sem o salt)
OperadorStripe Inc. (EUA) · subprocessadores listados em stripe.com/legal/dpa
SalvaguardasDPA Stripe + SCCs UE · CCP ANPD em adequação (gate B-A3) · sandbox-only enquanto pendente · uid hash + endereço apenas pra NF-e
RetençãoAudit log Stripe (eventId, customerId, sessionId): 5 anos LGPD Art. 37 + prescrição CDC · Stripe mantém invoices históricos por padrão (cliente pode solicitar eliminação via Customer Portal)
SegurançaHMAC SHA-256 webhook signature (tolerance 300s) · idempotency 3-camadas (atomic create + state guard + Firestore transaction) · rawBody Buffer obrigatório (zero JSON.stringify fallback) · DLQ _failed_events · TTL marker 30d
Perguntas que estão no ar

ROPA na prática.

Planilha de Excel vale como ROPA?
Sim, desde que contenha os 6 atributos mínimos do Art. 37 e esteja atualizada. Ferramenta específica não é obrigatória · a ANPD já aceitou ROPA em Excel em fiscalizações iniciais.
Com que frequência atualizar o ROPA?
Sempre que houver mudança material (nova finalidade, novo operador, nova base legal) ou, como boa prática, revisão trimestral. Indícia atualiza ROPA automaticamente via radar contínuo.
ROPA precisa ser público?
Não é obrigatório. Mas a política de privacidade pública (Art. 9º) deve listar finalidades, bases legais e compartilhamentos — essencialmente um resumo do ROPA voltado pro titular.
Operadores fazem ROPA separado do controlador?
Sim. Cada agente mantém seu ROPA referente às operações que executa. Controlador mantém ROPA de suas operações; operador documenta operações que executa em nome de terceiros.
Preciso de ROPA pra processos internos (RH, folha)?
Sim. Dados de colaborador (CLT) são dados pessoais como qualquer outro. Base legal típica: Art. 7º II (obrigação legal trabalhista) + V (execução de contrato de trabalho).
Scanner automatizado preenche ROPA?
Parcialmente. O Security Radar descobre endpoints que tratam dados pessoais (ex: `/api/users`) e sugere linha de ROPA com categorias inferidas · assessor jurídico valida + complementa bases legais.
§ Leituras relacionadas

Clusters relacionados.

§ CLUSTER DPIA / RIPD ROPA alimenta DPIA quando alto risco · Art. 38. § CLUSTER Bases legais 10 bases Art. 7º + 5 sensíveis Art. 11 · coluna crítica do ROPA. § CLUSTER DPO · Art. 41 Encarregado mantém e atualiza o ROPA operacionalmente.