É possível dizer que duas premissas são fundamentais no mundo empresarial: a primeira é que é impossível uma empresa prosperar ou se manter na ativa sem a utilização de dados pessoais; a segunda é que a rotina da atividade empresarial é, por si só, tomar riscos.
Compreendidos os pontos de partida, ter capacidade de responder com propriedade às regulamentações, inclusive de proteção de dados, é medida fundamental para uma construção da confiança com os clientes e da manutenção de uma reputação sólida no mercado. No Brasil, a Lei Geral de Proteção de Dados (LGPD) entrou em vigor para trazer novos direitos aos titulares de dados pessoais e impôs uma necessidade clara de reorganização de processos internos visando mitigar potenciais riscos envolvidos decorridos do tratamento de dados pessoais.
Tendo isto em mente, implementações de estruturas e documentações em formato de um programa de governança em privacidade, ou seja, de reestruturação interna, passou a ser a bola da vez. Contudo, esta é apenas a ponta do iceberg. Isso porque, mesmo implementado, os dados continuarão a ser tratados, novas atividades de tratamento de dados pessoais serão incorporadas, contratações de terceiros operadores serão realizadas, bem como outras atividades inerentes à iniciativa comercial farão parte da rotina da organização.
Mas, muito em razão da ausência de orientações por parte de autoridades reguladoras, algumas dúvidas começam a fazer das empresas. Como devem ser avaliados os potenciais riscos envolvidos? Como realizar rotinas de monitoramento de riscos? Qual metodologia aplicar?
A seguir, buscaremos trazer um passo a passo de alternativas práticas para um melhor encaminhamento destas avaliações.
1. A adoção de uma matriz de risco de probabilidade x impacto
Ao iniciar a análise de riscos, deve ser elaborada – ou escolhida – uma matriz de probabilidade e impacto, conforme ilustração abaixo.
Matriz é um conceito extraído da matemática, organizada em linhas e colunas, que possibilita relacionar dados para a tomada de decisões de forma mais objetiva. Em atenção a riscos, a matriz busca diminuir a subjetividade na tomada de ações, uma vez que a sua orientação decorre do produto entre linhas e colunas.
Com relação à matriz de probabilidade x impacto voltada ao cenário da proteção de dados, a primeira está intrinsecamente ligada à possibilidade de ocorrência de uma violação da privacidade, ao passo que o segundo, ao grau de criticidade da sua ocorrência.
A probabilidade e o impacto podem ser pensados em diferentes níveis, sendo mais habitual a indicação de 3 a 5 diferentes. Nesse sentido, é o produto de ambos que dá o resultado do potencial risco aferido, podendo ser direcionado tanto à organização quanto ao titular de dados pessoais.
2. A avaliação de riscos sob a luz da LGPD
A avaliação de riscos em conformidade com a LGPD requer uma análise detalhada dos dados pessoais processados pela organização. É fundamental identificar o tipo de dados envolvidos e sua sensibilidade, pois a LGPD concede aos indivíduos o direito de controle (ou “autodeterminação”) sobre suas informações pessoais. Nesse contexto, dados sensíveis, como informações de saúde ou dados biométricos, exigem uma atenção especial.
Além disso, a avaliação de riscos deve considerar como os dados são coletados, armazenados, processados e compartilhados. Essa análise é essencial para identificar vulnerabilidades e garantir que medidas adequadas de segurança e privacidade estejam implementadas em cada fase do ciclo de vida dos dados.
Nesse sentido, um bom norte é se valer dos princípios, dispostos no art. 6º da Lei, bem como em questões relacionadas a bases legais (arts. 7º e 11), tipos de dados pessoais (se sensível, comportamental, financeiro etc.), tipos de titulares (se vulneráveis, como no caso de crianças, adolescentes e idosos), bem como nos direitos destes.
3. A elaboração de um plano de ação de acordo com as prioridades
Com a identificação e avaliação dos riscos, o próximo passo crucial é a priorização. A classificação dos riscos com base na matriz de probabilidade e impacto permitirá que as empresas concentrem seus esforços nas áreas de maior vulnerabilidade. A criticidade dos processos e sistemas envolvidos no tratamento de dados pessoais também deve ser considerada ao determinar as prioridades.
A fim de facilitar a tomada de decisões, é recomendável que os potenciais riscos aferidos sejam priorizados em ordem numérica, podendo se valer, por exemplo, de graus de 0-5 para a indicação de ações a serem realizadas. Este passo auxilia no desenvolvimento de um plano de ação detalhado que visa a mitigar os riscos.
4. O monitoramento
E como manter a tração das ações indicadas? A forma mais utilizada é, sem dúvida, a criação de um calendário que conte com metas e rotinas de monitoramento constante. Estabelecer reuniões periódicas, que visem identificar os motivos pelos quais as medidas sugeridas não foram tomadas pode ser a forma mais adequada de tração.
Por fim, vale chamar a atenção para que novas orientações da ANPD e regulamentações de proteção de dados, inclusive setoriais, podem trazer peculiaridades na aplicação de análise de riscos, sendo recomendável sempre contar com o auxílio de especialistas na área para a implementação adequada deste e de outros instrumentos legais.
Comments