Bom Dia LGPD

Quantos dialetos de gestão de riscos sua organização fala?

Fernando Nery
Fernando Nery
Sócio da Módulo

Se juntarmos pessoas de diferentes áreas em uma empresa, ou pessoas da mesma área em diferentes empresas, e pedir para cada uma delas escrever em um papel "o que significa risco", chegaremos à conclusão que há diversos entendimentos sobre esta palavra presente em diversas leis, regulamentos e boas práticas.


Há uma boa notícia: a norma técnica ISO 31000 - Gerenciamento de Riscos possibilita padronizar tanto os termos e expressões quanto o processo de gestão de riscos. Implementar linguagem comum é o primeiro passo, e isso vale para todos os níveis das organizações pois mesmo a governança corporativa destaca a gestão de riscos como um instrumento essencial para o sucesso das organizações.


"Risco é o efeito da incerteza nos objetivos" - ISO 31000


A legislação e a regulação ajudam pois cada vez mais exigem o uso da gestão de riscos como um caminho para a conformidade, alguns exemplos:


  • O Banco Central, a CVM e outros reguladores adotam o método de Supervisão Baseada em Risco;
  • A maior parte dos reguladores também impõem que seus regulados implementem gestão de riscos em diversas atividades;
  • O Código das Melhores Práticas de Governança Corporativa do IBGC (principal referência sobre governança no Brasil) orienta que as organizações devem "definir o apetite a riscos e assegurar a identificação, análise, mitigação e monitoramento dos riscos, bem como a integridade dos controles internos";
  • Na LGPD a adoção dos modelos de riscos estão crescendo com as novas publicações da ANPD, na base da lei, o risco é utilizado para estabelecer as operações de tratamento de dados pessoais que devem ter um relatório de impacto desenvolvido e os incidentes que precisam ser comunicados à ANPD;
  • O projeto de lei 2.338/23 que regulamenta a inteligência artificial e está perto de sua votação no Congresso Nacional destaca um capítulo inteiro para a Categorização de Riscos e praticamente todas as determinações da lei é baseada nesta categorização;
  • Os principais frameworks de segurança (ISO 27001/2, NIST CSF 2.0 e CIS CSC v8) e seus derivados destacam a gestão de riscos na implementação da segurança cibernética e da informação.

Criar uma linguagem comum é uma grande oportunidade de melhoria organizacional, de gestão e controle, muitas organizações já estão neste caminho.


Boa semana,


Obrigado,


Aquele abraço,


FNery.

(Art 38) Relatório de Impacto (DPIA)
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato