Cybersecurity e Boas Práticas

Decisão da ANPD e lições práticas de gestão de riscos segundo a ISO 31000

A recente decisão da Autoridade Nacional de Proteção de Dados (ANPD) de suspender a medida preventiva aplicada à Meta (link nos comentários) traz lições importantes e excelente oportunidade para refletirmos sobre a gestão de riscos no contexto da conformidade regulatória. O caso mostra como um plano de conformidade bem estruturado pode evitar penalidades e fortalecer a confiança dos usuários. Em especial, ressaltamos a importância de adotar padrões internacionais de gestão de riscos, como os estabelecidos pela ISO 31000, na estratégia de atendimento à LGPD.


Reconhecida globalmente, a ISO 31000 fornece diretrizes e uma estrutura para a gestão de riscos, orientando como identificar, avaliar, tratar e monitorar riscos de maneira contínua. No caso da Meta, a empresa conseguiu reverter a sanção ao demonstrar que havia implementado um plano de conformidade, incluindo medidas que trataram os riscos inicialmente apontados pela ANPD.

Conformidade e Gestão de Riscos: Um Caminho Integrado


A abordagem adotada reflete os princípios da ISO 31000, que estabelece a necessidade de uma gestão de riscos contínua, iterativa e integrada em toda a organização, especialmente em áreas sensíveis como o tratamento de dados pessoais.


Noestabelecimento do contexto, o plano de conformidade da Meta considerou o ambiente em que opera, incluindo expectativas dos titulares de dados, diretrizes da ANPD e obrigações da LGPD, com foco nos riscos associados ao tratamento de dados pessoais para o treinamento de sistemas de inteligência artificial (IA) generativa.


Em seguida, realizou aidentificação, análise e avaliação dos riscosassociados, incluindo potenciais violações de privacidade e falta de transparência. A análise revelou que a ausência de medidas adequadas poderia resultar em sanções severas da ANPD, levando a empresa a definir ações para reduzir esses riscos a níveis aceitáveis, em alinhamento com as exigências regulatórias.


Na etapa detratamento de riscos, a empresa demonstrou medidas concretas, incluindo notificações prévia aos titulares, aprimoramento da transparência e oferta de opções de recusa, o que reduziu significativamente a exposição a riscos regulatórios.


A decisão da ANPD enfatiza também omonitoramento e a revisão contínua— práticas que refletem o princípio de que a gestão de riscos deve ser dinâmica, com monitoramento constante para garantir a eficácia das ações. A suspensão da medida preventiva reforça a necessidade de acompanhamento regular do plano de conformidade, com ajustes sempre que necessário para assegurar que as medidas permaneçam eficazes e em conformidade com as exigências regulatórias.


Ao longo de todo o processo, a Meta mantevecomunicação e consulta, demonstrando transparência ao informar os titulares sobre o uso de seus dados. Um diálogo aberto com todas as partes interessadas fortalece a gestão de riscos.


Este caso da Meta e a decisão da ANPD demonstram a importância de uma gestão de riscos eficiente e proativa, com uma abordagem integrada e transparente, conforme os princípios da ISO 31000. Cada etapa — do estabelecimento do contexto ao monitoramento contínuo — prepara a empresa para para manter a conformidade com as normas vigentes, enfrentando os desafios regulatórios e mantendo a confiança dos clientes.




Para saber mais sobre como aplicar essa abordagem na sua empresa, confira este artigo sobreGestão de Riscos na LGPD usando a ISO 31000.


Abraços, e até a próxima!


Alberto Bastos,@albastos

ISO 31000 (Art 38) Relatório de Impacto (DPIA)
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato