Se você já teve a curiosidade de buscar o termo risco, no texto da Lei Geral de Proteção de Dados (LGPD), você encontrou onze (11) resultados para esta busca, certo? A LGPD fala de riscos às liberdades civis e aos direitos fundamentais, mecanismos de mitigação de riscos, tratamento de dados de saúde para a prática de seleção de riscos, a irregularidade do tratamento de dados pessoas devido a riscos oriundos deste tratamento, risco relevante aos titulares, riscos relacionados a incidente, riscos à privacidade, gravidade dos riscos e alto risco à garantia dos princípios gerais de proteção de dados pessoais.
Cabe ressaltar que até 31 de maio, estará aberta Consulta à Sociedade, promovida pela Autoridade Nacional de Proteção de Dados (ANPD), a respeito de Estudo Preliminar sobre Alto Risco e Larga Escala. A consulta estará aberta para contribuições até o dia 31 de maio, exclusivamente por meio do Espaço Opine Aqui, na plataforma Participa+Brasil. O objetivo deste Estudo Preliminar é esclarecer o conceito de alto risco, que continua sendo discutido na academia e na proteção de dados pessoais. O documento também pretende mostrar a importância desse tema no tratamento de dados pessoais por Agentes de Tratamento de Pequeno Porte (ATPP) e em outros cenários.
E você? Você sabe definir o que é risco?
“Risco é o efeito da incerteza nos objetivos. Um efeito é um desvio em relação ao esperado. Pode ser positivo, negativo ou ambos, e pode abordar, criar ou resultar em oportunidades e ameaças. Objetivos podem possuir diferentes aspectos e categorias, e podem ser aplicados em diferentes níveis. Risco é normalmente expresso em termos de fontes de risco, eventos potenciais, suas consequências e suas probabilidades.”
Norma ABNT NBR ISO 31000 – Gestão de Riscos
Por que medir riscos? Como gerir riscos? É possível se adequar à LGPD sem uma gestão de riscos?
Por que medir riscos?
- A necessidade de elaboração de relatório de impacto à proteção de dados pessoais, pode ser mandatório caso o tratamento de dados pessoais e/ou dados pessoais sensíveis, por aquele agente de tratamento, envolva alto risco;
- O gerenciamento de riscos é um dos principais fatores atribuídos ao sucesso dos projetos e a ausência ou negligência deste gerenciamento pode ser um fator de insucesso;
- Só é possível melhorar o que medimos.
O uso de ferramentas para quantificação de riscos é geralmente limitado, e a singularidade dos projetos dificulta a aplicação de dados históricos. A partir daqui, tudo dependerá de como você, a sua organização e alta Direção desta organização enxergam uma adequação à LGPD. Se for com um olhar míope ou com práticas de Privacy Washing, sugiro encerrar sua leitura por aqui. Caso contrário, convido você a prosseguir e se aprofundar neste universo chamado gestão de riscos.
Temos inúmeras maneiras de conduzir uma adequação à LGPD. Você pode entender que modelos de documentos prontos, disponibilizados em um curso é suficiente, ou que a revisão jurídica em cláusulas de contratos ou minutas de contratos antigas basta ou encarar a adequação como um projeto, que demandará uma gestão.
Projetos são comuns em diversas áreas do conhecimento humano, abrangendo desde atividades administrativas e estratégicas até questões operacionais, e até mesmo em nossas vidas pessoais. O sucesso de um projeto é determinado pela realização de seus objetivos. No entanto, muitos projetos falham em alcançar os resultados desejados devido a deficiências na fase de planejamento. Sendo assim, a ausência de um bom plano de gerenciamento pode desestruturar qualquer projeto!
“Hugo et al. (2018) destaca que o ponto central do gerenciamento de projetos é o gerencia
mento de riscos e a necessidade de desenvolver ferramentas melhores e mais específicas para gerenciá-los.“
Hugo, F. D., Pretorius, L. and Benade, S. J. (2018).
Segundo o Guia do Conhecimento em Gerenciamento de Projetos, os objetivos do gerenciamento dos riscos do projeto são aumentar a probabilidade e o impacto dos eventos positivos e reduzir a probabilidade e o impacto dos eventos negativos no projeto.
Caso você entenda a adequação à LGPD como um projeto, este poderá estar vinculado ou não às boas práticas das normas técnicas da ABNT/ ISO. Caso esteja, ou caso você deseje que esteja, compartilharei abaixo, boas práticas para o gerenciamento de um projeto de adequação à LGPD com finalidade de criação de um sistema de gestão que poderão te auxiliar. Este sistema de gestão poderá ser:
- um Sistema de Gestão de Privacidade da Informação (SGPI);
- um Sistema de Gestão de Segurança da Informação (SGSI);
- a combinação de um SGPI com um SGSI;
- a criação de sistemas independentes: SGPI e SGSI;
- um sistema de gestão mais abrangente que envolva outros sistemas de gestão ainda não abordados aqui.
Mas, se eu conduzir um projeto de adequação que acarrete a criação de um sistema de gestão que englobe um SGPI e um SGSI não será suficiente para estar adequado à LGPD? A resposta é um grande, depende.
Depende, principalmente, dos recursos financeiros, humanos, tecnológicos, temporais, materiais que você terá a sua disposição. A lista desses recursos não está limitada ao que foi exposto. Sendo assim, outros sistemas de gestão poderão ser harmonizados, na sua organização, e estes poderão estar em um mesmo sistema de gestão ou não. Deixe-me introduzir este assunto de outra maneira.
As normas ABNT/ISO têm uma vantagem de contarem com a Harmonized approach for management system standards prevista no Annex SL, do documento ISO/IEC Directives, Part 1: Procedures for the technical work — Consolidated ISO Supplement — Procedures specific to ISO, disponível para consulta clicando aqui. Essa abordagem de estrutura harmonizada (números de cláusulas idênticos com a mesma sequência, títulos de cláusulas, texto, termos comuns e definições principais) facilita a adoção de diferentes sistemas de gestão em uma organização.
Até aqui, citei dois sistemas de gestão: SGPI e SGSI, mas uma mesma organização poderá, segundo o que já foi exposto, adotar inúmeros outros sistemas de gestão, como, por exemplo:
- ISO 9001:2015 – Gestão da Qualidade;
- ISO 22301:2012 – Gestão de Continuidade de Negócios;
- ISO 27035:2023 – Gestão de Incidentes de Segurança da Informação;
- ISO 31000:2018 – Gestão de Riscos;
- ISO 41001:2018 – Gestão de Instalações;
- ISO 42001:2024 – Gestão de Inteligência Artificial;
- ISO 45001:2018 – Gestão de Saúde e Segurança Ocupacional;
- ISO 55001:2014 – Gestão de Ativos.
Esta lista também não é exaustiva e existem inúmeros outros sistemas de gestão que poderão ser considerados e adotados. Cabe ressaltar que outros frameworks também poderão ser utilizados, como o da NIST, da CIS e do PCI.
Como medir riscos?
A melhor maneira é definir que tipo de risco você deseja medir e gerenciar estes riscos a partir das diretrizes encontradas em uma norma, como, por exemplo, a NBR ISO 31000:2018 – Gestão de Riscos, a NBR ISO 27005:2023 – Gestão de riscos de segurança da informação e/ou a NBR ISO/IEC 27557:2023 – Gestão de riscos de privacidade organizacional. A aplicação destas diretrizes pode ser personalizada para qualquer organização e o seu contexto.
O processo de gestão de riscos envolve a aplicação sistemática de políticas, procedimentos e práticas
para as atividades de comunicação e consulta, estabelecimento do contexto e avaliação, tratamento,
monitoramento, análise crítica, registro e relato de riscos. Contudo, convém que o processo de gestão de riscos seja parte integrante da gestão e da tomada de decisão, e seja integrado na estrutura, operações e processos da organização. E poderá ser aplicado nos níveis estratégico, operacional, de programas ou de projetos.
Como todo sistema de gestão, caso não haja apoio da Alta Direção, este sistema estará fadado ao insucesso. Ou seja, convém que a Alta Direção e os órgãos de supervisão, onde aplicável, assegurem que a gestão de riscos esteja integrada em todas as atividades da organização.
É possível se adequar à LGPD sem uma gestão de riscos?
Se você chegou até aqui, deixarei essa resposta a seu critério. Contudo, a consulta de um especialista é fator relevante para o planejamento de gestão de riscos.