#bomdialgpd
Ontem ministrei a palestra "Gestão de Riscos na LGPD" na live "Automatização da Gestão de Riscos". Tenho começado minhas apresentações com esta frase retirada do planejamento do ICO, regulador do Reino Unido, uma das principais referências internacionais em proteção de dados. Esta frase alerta que o processo de adequação à proteção de dados pessoais não vai parar, pelo menos nos próximos anos.
Na LGPD há 11 citações da palavra "risco", com 4 significados diferentes. Não estranhe uma palavra aparecer com significados diferentes, uma lei não é um framework, diferente das ISO, Cobit, Itil, CIS, NIST, e outros, a lei não possui um fluxo lógico e estruturado para a implementação e conformidade.
As aplicações da gestão de riscos estão no Relatório de Impacto, no Legítimo Interesse, na Comunicação de Incidentes, no Programa de Governança em Privacidade, nas publicações da ANPD e nas exigências de outras autoridades reguladoras (Bacen, CVM, TCU, Procon, ...).
Também falei sobre a obrigação do encarregado definir, dentre outras coisas, um modelo de riscos presente no Regulamento do Encarregado.
Minha sugestão é que os conceitos da ISO 31000 e da ISO 27005 sejam estruturados para criar a gestão de riscos a partir das Operações de Tratamento de Dados Pessoais com objetivo de gerar os Relatórios de Impacto. A partir desta gestão de riscos é possível atender às exigências da conformidade com a LGPD e derivadas.
Apresentação:
https://www.linkedin.com/feed/update/urn:li:activity:7252703780662599680/
Bom fim de semana,
Obrigado,
Aquele abraço,
FNery.
