Cybersecurity e Boas Práticas

Gestão de Riscos de Privacidade: o Processo da ISO 27557 para LGPD

As empresas estão sob intensa pressão para proteger os Dados Pessoais (DP). Com a implementação da Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil, é necessário adotar as melhores práticas e aderir a padrões internacionais. No artigo anterior, sobre a "Estrutura" (Frameworkem inglês) da ISO 27557 fornecemos uma visão dos componentes necessários para uma gestão de riscos de privacidade organizacional, enfatizando o impacto da privacidade dos indivíduos como parte integral do risco organizacional global.


Contudo, a Estrutura por si só não é suficiente, para que seja efetivamente implementada e funcione como deveria, é preciso um processo bem definido e padronizado. Neste artigo, para garantir a conformidade, especialmente com a LGPD, aprofundaremos o entendimento sobre a seção "Processo" da ISO 27557, que junto com a "Estrutura" fornece um guia abrangente para organizações que buscam alcançar um padrão de excelência na gestão de riscos de privacidade.


A ISO 27557 foi concebida para ser usada em conjunto com a ISO 31000 ampliando suas diretrizes ao incorporar considerações específicas para os riscos de privacidade organizacional. Busca, assim, apoiar a implementação dos requisitos de gestão de riscos exigidos por sistemas de gestão de privacidade da informação, como a ISO 27701.


O "Processo" delineado pela ISO 27557 oferece uma abordagem clara e sistemática para a gestão de riscos de privacidade. É complementar à "Estrutura" discutida anteriormente, em um ambiente regulamentado pela LGPD, ajuda as organizações a assegurarem a aderência aos requisitos legais, ao mesmo tempo em que adotam as melhores práticas internacionais.


Comunicação e Consulta


As orientações para o Processo se iniciam com a Comunicação e Consulta, que sob a LGPD, precisa ser feita de forma contínua e transparente com as partes interessadas, garantindo que todas estejam informados sobre os riscos e as medidas tomadas para gerenciá-los.


Exemplos de grupos ou indivíduos que podem ser consultados/comunicados, são:


  • especialistas em privacidade
  • pessoas responsáveis por assuntos de privacidade
  • designers e desenvolvedores de produtos e sistemas, para bens e serviços que lidam com DP
  • proprietários de sistemas que tratam DP
  • diretores ou gerentes responsáveis pelas atividades de tratamento de DP e decisões
  • autoridades de supervisão
  • titulares de DP ou grupos de titulares de DP (por exemplo, organizações ou associações)


Algumas jurisdições exigem tipos específicos de consultas para autorizar alguns casos de tratamento de DP, como a consulta às autoridades de supervisão. Nesses casos, convém que a organização identifique estas suas obrigações e demonstre que as cumpre em tempo hábil.


Escopo, contexto e critérios


Antes de embarcar efetivamente na gestão de riscos de privacidade, é preciso definir os contornos da jornada, essencial para garantir a conformidade com a LGPD. O "Escopo" estabelece os limites e parâmetros a serem considerados, garantindo que os esforços sejam concentrados e direcionados corretamente. Paralelamente, o "Contexto" fornece uma visão holística, considerando os ambientes interno e externo em que a organização está inserida, adaptando e moldando a abordagem ao risco. Finalmente, os "Critérios", que funcionam como orientadores para as decisões, estabelecendo padrões de avaliação sobre o que é aceitável ou inaceitável.


De acordo com a seção 6.3 da ISO 27577, temos:


  • Definição do Escopo: A abordagem para a gestão de riscos de privacidade deve abranger o tratamento de dados pessoais (DP) e produtos ou serviços que podem ser usados para tratar tais dados. Ao instituir um Sistema de Gestão de Privacidade da Informação (SGPI), é aconselhável que a avaliação de riscos seja consistente com um escopo definido.
  • Contextos Externo e Interno:Além das diretrizes gerais da ISO 31000, elementos organizacionais podem ser fontes de risco, que pode acontecer mesmo sem um impacto direto sobre indivíduos, como por exemplo uma declaração pública sobre privacidade feita pela Alta Direção que pode afetar a reputação da empresa.
  • Definição de Critérios de Riscos:Ao definir critérios de risco, a organização deve considerar a natureza da avaliação (qualitativa vs. quantitativa), a metodologia para cálculo do risco e as medidas propostas para diferentes níveis de risco. No contexto da ISO 27557, considerar como é definido e mensurado o impacto na privacidade dos indivíduos. Também levar em conta eventos de privacidade que afetam diretamente a organização, mas não necessariamente os titulares dos dados.

Ao tomar decisões baseadas em critérios de riscos, as organizações devem considerar um equilíbrio entre oportunidades, riscos organizacionais (como danos à reputação) e riscos para os titulares de DP. Em alguns cenários, uma oportunidade de negócios pode apresentar um risco mínimo para os titulares, mas um grande risco reputacional para a organização.


Processo de Avaliação de Riscos (Risk Assessment)


Conforme definido pela ISO 31000, o processo de avaliação de riscos engloba a identificação, análise e avaliação de riscos para informar decisões sobre como gerenciá-los adequadamente.


Identificação de Riscos


Conforme a ISO 27557, a identificação de riscos pode seguir duas abordagens principais: baseada em eventos ou em ativos. Ambas oferecem ferramentas valiosas, e as organizações podem mesclá-las para se alinhar melhor ao seu contexto operacional.


  • Abordagem Baseada em Eventos: Construção de cenários para identificar riscos com base na identificação de eventos envolvendo pessoas, processos e tecnologia e considerações de impacto e consequências na privacidade. Podem ser encontrados em catálogos ou identificados por meio de entrevistas com as partes interessadas internas, como proprietários de ativos e funcionários com responsabilidades de privacidade.
  • Abordagem Baseada em Ativos:Análise aprofundada dos ativos, identificando ameaças e vulnerabilidades que podem afetar esses ativos. Os cenários podem então ser construídos identificando os diferentes caminhos dentro dos sistemas e fluxos de dados que as fontes de riscos podem usar para alcançar o tratamento de DP, os DP e os seus objetivos. Exemplos de ativos são: os próprios Dados Pessoais, bancos de dados, sistemas, aplicação de software que tratam dados pessoais; e atributos organizacionais, como reputação, que podem ser prejudicados por um evento adverso.
  • Identificação dos Controles Existentes:Reconhecimento de controles relevantes para tratamento de DP, podendo estar documentados (sistemas internos, procedimentos, relatórios de auditoria etc.) ou identificados durante as atividades de gestão de riscos
  • Impactos de Privacidade e Consequências:Determinação dos impactos nos indivíduos e consequências para a organização. Consequências organizacionais incluem: tempo de investigação, custo financeiro, danos à reputação, multas, entre outros. Impactos individuais são externalidades e podem ser avaliados usando avaliações de impacto de privacidade.

Os anexos da ISO 27557 fornecem exemplos e considerações adicionais para identificação de riscos, impactos e consequências.


Análise de Riscos


Analisar riscos não é apenas uma recomendação da ISO, mas também uma exigência da LGPD. As abordagens de análise de riscos normalmente envolvem um modelo de riscos e uma abordagem analítica. Modelos de risco descrevem fatores de risco (como ameaças e vulnerabilidades) e suas interações. Na ausência de um modelo predefinido, a organização estabelece seus próprios fatores e relações. A abordagem analítica se refere ao tipo de análise (quantitativa, qualitativa ou semiquantitativa) e à perspectiva da análise (centrada em ameaças, ativos/impactos ou vulnerabilidades).


  • Avaliação do impacto de privacidade e consequências: Analisar como a organização pode ser afetada por eventos de privacidade, levando em consideração fatores como valor do produto/serviço, ameaças aplicáveis, consequências tangíveis e intangíveis, entre outros. Consequências de privacidade avaliam os efeitos diretos ou custos para a organização, enquanto impactos na privacidade analisam como os titulares dos dados são afetados. Elementos que devem ser considerados incluem tipos e volume de dados tratados, finalidade do tratamento, ambiente dos titulares, entre outros. Critérios de avaliação de risco são usados para estimar e classificar o impacto e as consequências de eventos de privacidade.
  • Avaliação da probabilidade: Organizações devem estimar a probabilidade de eventos de privacidade ocorrerem, usando escalas qualitativas ou quantitativas. A probabilidade é influenciada por fatores organizacionais (como localização geográfica e reputação), fatores do sistema (como interações passadas e visibilidade do tratamento de dados) e fatores individuais (como demografia e sensibilidade dos dados).


Avaliação de Riscos (Risk Evaluation)


Ao avaliar os resultados de uma análise de riscos de privacidade, seguindo as diretrizes da ISO 31000, é essencial que as organizações levem em consideração:


  • Grau de Risco Aceitável: grau que pode ser influenciado pelo contexto específico, principalmente considerando a legislação vigente (LGPD). Ou seja, o que é considerado aceitável em uma situação pode não ser em outra, dependendo das circunstâncias e normas envolvidas.
  • Obrigações com os Titulares de DP (Dados Pessoais): verificação se as conclusões da análise de riscos têm implicações nas responsabilidades da organização para com os titulares dos dados. Em particular, se houver requisitos legais em jogo, a organização deve estar ciente e agir de acordo.


Em suma, ao avaliar riscos relacionados à privacidade, as organizações devem ponderar tanto o contexto quanto suas obrigações legais e éticas para com os indivíduos cujos dados estão sendo processados.


Tratamento de Riscos


Uma vez identificados os riscos, a próxima etapa para atender a LGPD é definir as medidas de tratamento para os riscos, que muitas vezes não se trata apenas de mitigação, mas também de adaptação e otimização. Segundo a ISO 27557, ao selecionar formas de tratamento, a organização deve ponderar o impacto à privacidade dos indivíduos, bem como o próprio ambiente organizacional.


Mecanismos como "privacy by design" (por exemplo, criptografia e pseudonimização) podem ser implementados para proteger tanto a privacidade individual quanto a organização contra danos de reputação e penalidades. No âmbito de um Sistema de Gestão de Privacidade da Informação (SGPI), é apropriado usar um processo de tratamento para guiar a seleção de controles.


  • Modificação de Riscos: Controles podem ser ajustados, adicionados ou removidos para manter os riscos em níveis aceitáveis. A seleção desses controles pode ser orientada por leis, regulamentos e melhores práticas.
  • Retenção de Riscos: Um risco só deve ser mantido se estiver dentro dos critérios de aceitação determinados pela organização.
  • Prevenção de Riscos: Evitar riscos pode envolver alterar ou interromper atividades que os causam. Por exemplo, optar por não processar um tipo específico de Dados Pessoais.
  • Compartilhamento de Riscos: Riscos podem ser compartilhados com partes externas, como parceiros, subcontratados ou clientes. No tratamento de dados pessoais, por exemplo, pode-se dar ao cliente controle sobre aspectos específicos do risco. Contratos, incluindo seguros, podem ser utilizados como meio de compartilhar ou transferir riscos.
  • Planos de Tratamento de Riscos: As orientações da ISO 31000 são aplicáveis, sendo vital que os planos de tratamento de riscos sejam revistos e aprovados pela gestão da organização.


Monitoramento e Análise Crítica


Com base nas diretrizes da ISO 27557, o monitoramento e a análise crítica garantem que as organizações não apenas mantenham os riscos sob controle, mas também se adaptem a novos desafios e mudanças que possam surgir.

Seguindo as orientações da ISO 31000, as organizações devem manter vigilância constante sobre alterações que possam influenciar os riscos de privacidade. Essas mudanças podem sinalizar a necessidade de revisões e atualizações nos processos de gestão de riscos de privacidade e nos planos de tratamento. Alguns pontos a serem monitorados incluem:


  • Ambiente de Negócios: Mudanças ou introdução de novas tecnologias que possam afetar a gestão de riscos.
  • Obrigações Legais: Novas leis, regulamentações ou modificações em leis existentes que têm implicação nos riscos de privacidade.
  • Tolerância ao Risco: Alterações no nível de risco que a organização está disposta a aceitar.
  • Tratamentos de Dados Pessoais (DP): Mudanças ou novas práticas de tratamento de dados nos sistemas de TI.
  • Eventos de Privacidade: Novas ameaças, vulnerabilidades ou eventos de privacidade, seja provenientes de fontes internas ou externas.
  • Eficácia dos Controles (Tratamento): Monitoramento da eficiência dos controles e estratégias de tratamento planejadas.
  • Decisões de Autoridades: Acompanhamento das resoluções tomadas por autoridades reguladoras ou de supervisão pertinentes, em especial a ANPD.


Em resumo, a organização deve manter-se atualizada e adaptar-se continuamente às mudanças.


Registro e Relato


A transparência e a comunicação desempenham um papel fundamental na LGPD, para a gestão de riscos de privacidade. De acordo com a ISO 27557, registrar e reportar não são apenas mecanismos de prestação de contas, mas também ferramentas essenciais para construir confiança e entender as nuances da gestão de riscos. Esta fase garante que tanto as partes internas quanto externas estejam informadas e envolvidas na jornada de gestão de riscos.


Organizações e os indivíduos precisam estar cientes de como os Dados Pessoais (DP) são gerenciados para administrar eficazmente os riscos de privacidade. Reportar interna e externamente sobre o tratamento dos DP e os riscos associados à privacidade pode:


  • Aumentar a Transparência: Ao informar as partes interessadas sobre como os DP são tratados.
  • Fortalecer a Compreensão: Criando uma percepção mais sólida sobre as práticas de tratamento de DP.
  • Construir Confiança: Demonstrando comprometimento e eficácia na gestão dos riscos de privacidade.


É recomendável que os riscos de privacidade sejam regularmente comunicados à Alta Direção, contendo uma avaliação de riscos simplificada e um relatório executivo sobre as práticas de gestão de riscos. Vale ressaltar que os formatos de relatórios internos e externos geralmente diferem, sendo os externos normalmente mais resumidos em comparação aos internos.


Conclusão e Orientações Práticas


Ao abordar neste artigo a seção "Processo" da ISO 27557, reforçamos que gerenciar os riscos de privacidade vai além de apenas estabelecer uma estrutura robusta. O processo detalhado na norma, reforça a ideia de um esforço contínuo e dinâmico, abordando desde a avaliação até a comunicação dos riscos, realçando a importância da transparência, do monitoramento contínuo e da resposta adaptativa às mudanças no contexto. Assim, combinando uma estrutura sólida com um processo bem delineado, as organizações não apenas cumprem as normas e leis atuais, apoiando a conformidade com a LGPD, mas também fortalecem a confiança das partes interessadas.


Abraços e até a próxima,


Alberto Bastos

(Art 38) Relatório de Impacto (DPIA)
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato