• MM Assessoria Jurídica

Anotações rápidas sobre a LGPD: gestão de riscos na prática

Atualizado: 27 de Out de 2020


Em mais de uma oportunidade, a Lei n. 13.709/2018 (Lei Geral de Proteção de Dados - LGPD) cita a necessidade de implementar “medidas, salvaguardas e mecanismos de mitigação de risco”.


De fato, as referidas ações mostram-se muito importantes, pois se prestam a evitar os riscos aos direitos dos titulares dos dados pessoais. Contudo, só é possível mitigar aquilo que já se “conhece” e é aqui que a gestão de riscos ganha destaque.


A exemplo do que ocorre na implantação de programas de integridade e de compliance, no campo da LGPD, a gestão de riscos compreende a identificação, a análise e o gerenciamento dos riscos, seja por meio da prevenção ou pela previsão de medidas a serem aplicadas caso eles venham a se concretizar.


Trata-se, portanto, de uma forma de “prever” os possíveis cenários e se preparar para eles, o que, em termos de proteção de dados pessoais, constitui ferramenta indispensável a ser incorporada à rotina de trabalho de qualquer organização (pública ou privada) e aos demais sujeitos à LGPD¹.


E de que modo a incorporação da gestão de riscos acontece na prática? Ou melhor, como estruturar um processo de gestão de riscos?


Dentre inúmeras metodologias existentes, a Associação Brasileira de Normas Técnicas (ABNT) expediu a NBR ISO 31000:2018 como critério norteador para a gestão de riscos.


Ainda é possível contar com a NBR ISO 31004:2015, que é um guia para a implementação da norma anterior, e a NBR ISO 31010:2012, a qual dispõe sobre técnicas para o processo de gestão de riscos.


Ademais, considerando o enfoque voltado à proteção de dados e à segurança da informação, é imprescindível também aliar o processo de gestão de riscos às normas ABNT NBR ISO/IEC 27001:2013; 27002:2013 e 27003:2020, as quais versam, respectivamente, sobre requisitos, controles e orientações para sistemas de gestão da segurança da informação.


Contudo, como pretendemos abordar a estruturação do processo de gestão de riscos a partir de

uma noção mais prática, utilizaremos outros materiais como bases de estudo, mais especificamente o Guia de Gestão de Riscos do Supremo Tribunal Federal e o Guia Prático de Gestão de Riscos para a Integridade da Controladoria-Geral da União.


É claro que, a depender da organização, a estrutura de um processo de gestão de riscos pode variar, mas, de modo geral, as etapas a seguir descritas podem ser consideradas como verdadeiros pilares e, portanto, merecem atenção.


E vale mais uma ressalva, com exceção da comunicação que, segundo a ISO 31000:2018, deve estar presente em todo o processo de gestão, tendo em vista que o compartilhamento de informações é essencial para o bom andamento dos trabalhos, as demais etapas seguem necessariamente uma ordem.


O primeiro passo é selecionar o objeto da gestão, ou seja, qual processo organizacional será analisado, podendo o termo “processo” ser definido, neste caso, como toda e qualquer atividade dentro da organização que realiza qualquer tipo de tratamento de dados².


Mas, atenção! A escolha do objeto pressupõe o conhecimento de toda a “engrenagem”. Para isso, mostra-se prudente fazer um mapeamento de todos os processos, de modo que seja possível determinar, em síntese, como ele acontece, quem são os responsáveis por cada estágio e sua periodicidade. Aliás, cabe registrar que o mapeamento serve de base para a construção do ciclo de vida dos dados³.


Em um segundo momento, é importante fixar os objetivos do processo e da própria organização, bem como compreender os contextos interno e externo que a empresa está inserida, os quais podem ser compreendidos como fatores que, de alguma forma, impactam o processo e/ou a própria organização.


A etapa seguinte diz respeito à identificação dos riscos que perpassa pela descrição das causas, dos eventos de risco e das possíveis consequências. Neste ponto, a fim de compreender o quadro de maneira mais profunda, é interessante apontar tanto o risco inerente quanto o risco residual.


Segundo o Guia Prático de Gestão de Riscos para a Integridade da Controladoria-Geral da União, o risco inerente corresponde àquele ao qual ainda não se aplicou qualquer ação capaz de reduzir a probabilidade da sua concretização e/ou do seu impacto, já o risco residual se refere ao risco que “restou” após a implementação das ações mencionadas.


Certo, uma vez identificados os riscos, cumpre analisá-los. É neste momento que ocorre a avaliação da probabilidade (de ocorrer o evento de risco) e do impacto (grau de magnitude das consequências decorrentes do evento) a fim de obter o nível de risco e, por conseguinte, construir a matriz de riscos, também conhecida como matriz de calor.


O próximo passo corresponde ao tratamento dos riscos, onde, finalmente, são definidas as medidas, as salvaguardas e os mecanismos para mitigação dos riscos. De forma geral, a depender do nível de risco, o tratamento pode se resumir a evitar, reduzir, compartilhar ou aceitar o risco.


Nesta fase, a fim de efetivar o tratamento, é importante elaborar um plano de ação com a indicação do tipo de tratamento, as medidas a serem implantadas, o responsável pela concretização e o prazo para tanto.


É evidente que não basta desenvolver e implementar o processo de gestão de riscos, é preciso acompanhá-lo, motivo pelo qual o monitoramento constitui a última etapa, pois é a partir da observação contínua que o desempenho das ações implementadas poderão ser verificadas, bem como que o surgimento de eventuais novos riscos serão constatados.


Um último registro: este artigo não tem como pretensão oferecer uma fórmula mágica ou uma receita de bolo, visto que, assim como toda a implantação de um programa de conformidade com a LGPD, a gestão de riscos é igualmente complexa.


Sendo assim, por meio deste texto, buscou-se tão somente indicar um possível roteiro de pesquisa e estudo para, então, finalmente, o leitor colocar os seus aprendizados em prática.



Por Marina Ferraz de Miranda e Tayná Tomaz de Souza.


Notas:

  1. Conforme artigo 1º da Lei n. 13.709/2018.

  2. Segundo a LGPD, considera-se art. 5º [...] X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

  3. Para saber mais sobre ciclo de vida dos dados, acesse: https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-lgpd.pdf


Referências:


BRASIL. Lei Federal n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em outubro de 2020.

_______. MINISTÉRIO DA TRANSPARÊNCIA E CONTROLADORIA-GERAL DA UNIÃO (CGU). Guia Prático de Gestão de Riscos para a Integridade: orientações para a administração pública federal direta, autárquica e fundacional. Brasília: MT e CGU, 2018.

_______. SUPREMO TRIBUNAL FEDERAL (STF). Guia de Gestão de Riscos. Brasília: STF, Secretaria de Gestão Estratégica, Escritório de Gestão Aplicada, 2019.



Também publicado em:


28 visualizações