Continuando a série sobre a ISO 27557 - Gestão de Riscos de Privacidade Organizacional, após explorar a Estrutura (Framework), Processo e o Anexo A, neste artigo abordaremos o Anexo B - Exemplo de eventos de privacidade e causas. Este conteúdo complementa os três anteriores (links nos comentários) com exemplos práticos e orientações sobre eventos e causas potenciais que podem impactar a privacidade no cenário organizacional, relacionando-os com a Lei Geral de Proteção de Dados (LGPD).
Tabela B.1: Exemplos de Eventos de Privacidade
A tabela B.1 da ISO 27557 oferece exemplos de eventos de privacidade, com situações onde o tratamento de dados pessoais (DP) pode desencadear consequências não intencionais para os indivíduos e para a organização. Exemplificando, um dos eventos, a "Apropriação", indica riscos em que o DP é usado além das expectativas ou consentimento dos titulares, provocando possíveis perdas econômicas e de confiança. Considerando a LGPD, esses eventos exigem atenção especial quanto ao consentimento explícito, tratamento justo e transparência, pilares essenciais para assegurar os direitos dos titulares dos dados no Brasil.
No caso de "Insegurança", onde falhas de segurança podem resultar em diversos impactos, a LGPD é clara ao estabelecer que as organizações devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais. Portanto, desenvolver, implementar e manter um sistema de gestão de segurança da informação se torna indispensável para proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Outro exemplo é a "Vigilância", onde o monitoramento de DP, dispositivos ou indivíduos é desproporcional à finalidade, potencializando impactos como discriminação e perda de liberdade. A tabela contempla variados eventos, cada qual com seus próprios desdobramentos e considerações relacionadas aos potenciais riscos associados.
Dica Prática: Considere cada evento de privacidade da tabela e avalie como as políticas, processos e controles existentes na sua organização se alinham para tratá-los, alinhando estas ações com os requisitos explicitados pela LGPD, como a necessidade de consentimento explícito e garantia de direitos do titular.
Tabela B.2: Causas Potenciais de Eventos de Privacidade
Na sequência, a Tabela B.2 da norma apresenta causas potenciais de eventos de privacidade, que ajudam a evitar violações de dados e assegurar a integridade e confidencialidade das informações. Uma das causas, por exemplo, é a “Falta de legalidade, imparcialidade e transparência” no tratamento de DP, elemento diretamente ligado à LGPD, que exige clareza, finalidade e legalidade no tratamento de dados, garantindo o cumprimento da lei e fortalecendo a governança de dados da organização.
Já no contexto de "Falta de limitações de armazenamento", que aborda a retenção de dados além do necessário, a LGPD destaca a necessidade de se eliminar os dados pessoais após o término de seu tratamento. Assim, as organizações precisam implementar práticas e políticas bem definidas, assegurando que os dados sejam prontamente excluídos ou anonimizados quando não mais necessários para os propósitos pelos quais foram coletados.
Outro exemplo, a "Identificação", uma causa onde a correlação entre uma identidade e uma informação não é devidamente ocultada, possibilitando a revelação da identidade de uma pessoa. Cada causa destacada traz consigo suas próprias implicações e desafios, orientando as organizações a revisitar e reavaliar continuamente suas práticas de tratamento de DP.
Dica Prática: Utilizar essas causas como base para a avaliação de riscos de privacidade, levando em consideração as particularidades da LGPD.
Conformidade com a LGPD
Os exemplos e situações apresentados nas tabelas B.1 e B.2 são úteis para a implementação de práticas que visem à conformidade com a LGPD. A capacidade de identificar, prever e gerenciar adequadamente os eventos e suas possíveis causas pode ajudar a tratar os riscos e, consequentemente, evitar sanções e prejuízos reputacionais.
Este conhecimento não somente cumpre com as diretrizes legais, mas também estabelece uma relação de confiança entre a organização e os titulares dos dados. A aderência contínua e consciente às normativas de privacidade não representa apenas uma obediência à legislação, mas representa uma operação ética, segura e respeitosa no tocante à privacidade dos dados pessoais.
Abraços e até a próxima,
Nota:Este artigo é informativo e não substitui a leitura aprofundada da norma ISO 27557 e suas diretrizes específicas. Juntamente com os artigos anteriores da série, é uma referência para ajudar as organizações na jornada para a conformidade e excelência em privacidade de dados e atendimento da LGPD.
