Cada vez mais as organizações estão investindo em estrutura de gestão de riscos corporativos, como orientam a regulamentação (Banco Central, CVM, ...) e as boas práticas (Instituto Brasileiro de Governança Corporativa - IBGC, ...). Ao mesmo tempo, a LGPD também exige que seja realizada a gestão de riscos nas operações de tratamento?

Na maior parte das vezes, o método a ser adotado nos riscos corporativos e nos riscos da LGPD são diferentes, por exemplo, a métrica para definir se deve ser feito um Relatório de Impacto para as Operações de Tratamento e para definir se um incidente deve ser comunicado à ANPD e aos titulares são definidas em resoluções da ANPD, desta forma não é possível utilizar uma métrica corporativa.

A gestão de riscos corporativa precisa conviver com diferentes métricas e nomenclaturas definidas por leis, regulamentos e boas práticas, a LGPD é mais uma delas.

Entendo que há dois passos para integrar os riscos corporativos à LGPD. Primeiro é utilizar os métodos de risco corporativo para avaliar os riscos das operações de tratamento. O segundo é considerar o risco da LGPD como risco de conformidade e ele ser visto como um dos riscos estratégicos seguindo as métricas corporativas. É uma visão genérica, em cada organização há detalhes a serem considerados mas é importante buscar uma linguagem comum.