Bom Dia LGPD

Gestão de Riscos na LGPD deve estar integrada com riscos corporativos e cibernéticos

Fernando Nery
Fernando Nery
Sócio da Módulo

Tenho falado aqui nos artigos que uma lei não é um framework, assim, diferente das publicações das famílias ISO, NIST, CIS e Cobit, a palavra "risco" na LGPD pode ter diferentes significados dependendo da forma que foi escrito. Quando se fala de gestão de riscos, a referência é a ISO 31000 que define riscos como


"o efeito da incerteza nos objetivos".


A palavra risco aparece onze vezes na LGPD, mas as publicações da ANPD tem fortalecido a aplicação da gestão de riscos na conformidade com a LGPD, com destaque para a expressão:


"(art 6 XVII Relatório de Impacto à Proteção de Dados Pessoais) e "acarretar risco ou dano relevante aos titulares" (Art 48 Comunicação de Incidentes)."


A lei não é suficiente e não tem objetivo de detalhar a forma de mensurar estes riscos, por isso as publicações da ANPD são fortes na definição do assunto:


  • No documento "Perguntas e Respostas sobre o Relatório de Impacto à Proteção de Dados Pessoais" a ANPD recomenda que o controlador deve "elaborar o RIPD em todo contexto em que as operações de tratamento de dados pessoais possam gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD e às liberdades civis e aos direitos fundamentais do titular de dados", o que é calculado por meio da equação a seguir, sendo que a ANPD realizou recentemente uma consulta pública com um "Estudo Preliminar sobre Alto Risco e Larga Escala":
  • No caso da comunicação de incidentes, a ANPD publicou o "Regulamento de Comunicação de Incidente de Segurança" que determina que "O controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretarrisco ou dano relevanteaos titulares", e a mensuração de risco ou dano relevante se dá pela regra a seguir, e também nesta mensuração é aplicado o conceito de larga escala:


Os dois modelos têm semelhanças e diferenças e mostram que a ANPD tem feito um bom trabalho na definição dos modelos a serem adotados pelos controladores. As organizações devem estar atentas para implementar um modelo integrado de gestão de riscos que englobe as demandas dos diferentes riscos que precisa gerenciar (operacionais, cibernéticos, financeiros, corporativos, estratégicos, TI, proteção de dados e outros).


As equipes de conformidade com a LGPD devem estar atentas para implementar e melhorar constantemente a gestão de riscos de proteção de dados e privacidade, por meio de um modelo integrado principalmente à gestão corporativa de riscos e à gestão de riscos cibernéticos.


Obrigado,


Aquele abraço,


FNery.

(Art 38) Relatório de Impacto (DPIA)
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato