Bom Dia LGPD

A palavra "risco" no texto da LGPD

#bomdialgpd


Estar em conformidade com a LGPD significa implementar um modelo de gestão de riscos, na LGPD. Na lei, a palavra risco aparece 11 vezes, o que é desdobrado na regulamentação da ANPD, por exemplo: a "Resolução 15, Regulamento de Comunicação de Incidente de Segurança" cita a palavra 12 vezes, enquanto nas "Perguntas e Respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais", "risco" aparece 49 vezes.


Para melhor entendimento agrupo as situações nas quais a palavra risco aparece, para que possa ser tratada metodologicamente:


  • Relatório de Impacto - A principal citação aos riscos na LGPD e na regulamentação da ANPD está nos relatórios de impacto, aqui a palavra risco aparece em dois contextos, primeiro como medida de riscos na avaliação binária para definir se a operação de tratamento de dados pessoais é de alto risco ou não. Caso seja de alto risco é necessário avaliar os riscos à atividades de tratamento. A publicação "Perguntas e Respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais" recomenda uma metodologia que segue o modelo da ISO 31000. Em resumo: é necessários mapear as operações de tratamento de dados pessoais e identificar aquelas que são de alto risco, nessas deve-se identificar os riscos existentes. Um bom método de gestão de riscos nas operações de tratamento ajuda a atender a LGPD como um todo;





  • Responsabilidades e Sanções - No artigo 44 há uma definição forte que vincula a avaliação de riscos à legalidade do tratamento de dados pessoais;



  • Comunicação de Incidentes - Assim como no relatório de impacto, nos incidentes há duas interpretações da palavra "risco", primeiro como medida de riscos ao definir que os incidentes que tragar risco ou sano relevante aos titulares devem ser comunicados à ANPD. O segundo entendimento define a apresentação dos riscos associados ao incidente no momento da comunicação;



  • Programa de Governança em Privacidade - No artigo 50, a identificação de riscos é destacada na preparação do Programa de Governança em Privacidade, uma dica é atender aos requisitos do artigo 50 a partir das definições para o Relatório de Impacto: os riscos associados à proteção de dados pessoais é o conjunto dos riscos às operações de tratamento;



  • Planos de Saúde - o artigo 11 tem um caso bem específico para os planos de saúde;



  • Regulamentação pela ANPD - A LGPD também define obrigações de regulamentar a medida de risco nos relatórios de impacto, o que me parece ser atendido pelas "Perguntas e Respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais".




Obrigado,


Aquele abraço,


FNery

(Art 42 .. 44, 52 .. 54) Responsabilidade e Sanções (Art 38) Relatório de Impacto (DPIA) Gestão de Riscos (Art 48) Gestão de Incidentes e Monitoramento
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato