As métricas para avaliação de risco na LGPD | Bom Dia LGPD | Newsletter

#bomdialgpd

A LGPD aplica-se desde o feirante que comunica-se com seus clientes por whatsapp e recebe pagamento por cartão e pix, até às maiores empresas. É necessário que a conformidade seja sempre proporcional. Da mesma maneira é necessário definir quais as operações de tratamento devem ter a sua avaliação aprofundada por meio de um Relatório de Impacto e quais os incidentes devem ser comunicados à ANPD, para isso existem métricas definidas nas resoluções da ANPD.

São duas métricas que trazem uma resposta binária: "é uma operação de tratamento de alto risco / não é", e "é um risco ou dano relevante / não é":

Operações de Tratamento de alto risco: Conforme o documento "Perguntas e Respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais", a ANPD recomenda que "elaborar o RIPD em todo contexto em que as operações de tratamento de dados pessoais possam gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD e às liberdades civis e aos direitos fundamentais do titular de dados", em atendimento ao artigo 38. Neste documento é definido, conforme a Resolução 2, como alto risco a Operação de Tratamento que atenda a pelo menos um critério geral e um critério específico, e portanto devem ser alvo de um Relatório de Impacto.

Comunicação de Incidentes à ANPD e aos Titulares: Conforme a Resolução 15 da ANPD que aprova o "Regulamento de Comunicação de Incidente de Segurança", no artigo 4 é definido que "O controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares". Da mesma maneira que no caso do Relatório de Impacto, a Resolução define como deve ser medido o "risco ou dano relevante" a partir da seguinte equação: