No Brasil, o ambiente de negócios foi impactado pela Lei Geral de Proteção de Dados Pessoais (LGPD), que estabeleceu novos padrões para o tratamento de dados pessoais e aumentou as exigências de conformidade para as organizações. Nesse contexto, uma abordagem de "mentalidade de risco" (risk-based thinking) é prioritária, orientando a tomada de decisões com base na análise de ameaças e oportunidades relacionadas ao tratamento de dados.
A ISO 31000, por sua vez, oferece uma estrutura e diretrizes que auxiliam as organizações na identificação, avaliação e tratamento de riscos de maneira sistemática, permitindo decisões mais claras e assertivas. A aplicação da ISO 31000 para atender aos requisitos da LGPD assegura o cumprimento das exigências legais e promove uma cultura organizacional que reconhece a gestão de riscos como parte integral da estratégia corporativa, alinhando-se às melhores práticas internacionais de governança e proteção de dados.
Este artigo demonstra como a gestão de riscos baseada na ISO 31000 pode ser adotada no contexto da LGPD, fornecendo às organizações os meios para cumprir as exigências legais e fortalecer suas defesas contra ameaças no ambiente digital.
Ao seguir o processo definido pela ISO 31000, as organizações podem adotar um modelo estruturado para gerenciar os riscos da LGPD, assegurando uma abordagem sistemática que proporciona maior clareza na tomada de decisões, aumenta a confiança de clientes e parceiros e permite uma resposta mais ágil e eficaz a ameaças e oportunidades. A seguir, um resumo das principais atividades envolvidas nesse processo, aplicadas à LGPD.
Processo de Gestão de Riscos
- Estabelecimento do contexto, contexto e critério: O primeiro passo é a compreensão do ambiente interno e externo da organização, com foco no tratamento de dados pessoais. Envolve um mapeamento dos processos e sistemas que tratam esses dados, a identificação das partes interessadas, e o entendimento das obrigações legais definidas pela LGPD. Essa análise do contexto permite que se determine os critérios de risco que serão usados para avaliar as ameaças e oportunidades associadas, estabelecendo a base para as etapas subsequentes do processo de gestão de riscos.
- Identificação de Riscos: Nesta etapa, devem ser identificados os riscos potenciais associados ao tratamento de dados pessoais, considerando também as diferentes hipóteses de tratamento previstas pela LGPD. A identificação de riscos deve englobar vulnerabilidades tecnológicas, como falhas na segurança cibernética, riscos operacionais, como lacunas no treinamento de funcionários, e riscos legais, como o descumprimento da LGPD ou a escolha inadequada das bases legais para o tratamento de dados, abrangendo todas as ameaças à privacidade e proteção de dados, para assegurar que nenhuma falha passe despercebida.
- Análise de Riscos: Após a identificação, os riscos devem ser analisados em termos de sua probabilidade de ocorrência e impacto potencial. Essa análise considera as possíveis consequências de falhas no tratamento de dados pessoais, como multas, danos à reputação e perda de confiança dos titulares de dados. A norma ISO 31010 é uma boa referência oferecendo diversas técnicas quantitativas ou qualitativas para essa análise, que ajudam a priorizar os riscos críticos, a análise de cenários e ferramentas de apoio a decisão para a escolha entre diferentes estratégias de resposta.
- Avaliação de Riscos: Com base na análise realizada, os riscos devem ser avaliados e priorizados. Levando em conta o apetite por risco da organização — ou seja, o nível de risco que a empresa está disposta a aceitar em função de seus objetivos. A avaliação também deve aplicar critérios claros para decidir quais riscos podem ser considerados aceitáveis, e quais precisam ser tratados para reduzir a probabilidade ou o impacto. Essa abordagem garante que os recursos sejam direcionados para os riscos mais relevantes, otimizando a proteção e o desempenho da organização.
Riscos classificados como críticos, devido à alta probabilidade e impacto significativo, demandam ações imediatas de tratamento.
- Tratamento de Riscos: O tratamento de riscos envolve escolher estratégias para lidar com cada risco identificado, considerando o apetite por risco da organização. Medidas práticas incluem evitar riscos, modificando ou eliminando atividades que tratam dados pessoais e que possam causar grandes impactos; reduzir riscos, por meio de controles de segurança reforçados, como criptografia e políticas de privacidade revisadas, além de treinamentos contínuos para funcionários; e compartilhar riscos, por exemplo, contratando seguros cibernéticos ou estabelecendo parcerias com terceiros especializados.
- Monitoramento e Revisão: Manter o monitoramento contínuo e a revisão das medidas de tratamento é preciso para assegurar a eficácia ao longo do tempo. O ambiente regulatório, tecnológico e operacional está em constante mudança, o que pode introduzir novos riscos ou alterar os existentes, exigindo uma gestão de riscos adaptável. A criação e o acompanhamento de Indicadores-Chave de Risco (KRIs) são estratégias úteis para identificar sinais antecipados de possíveis problemas, permitindo uma resposta ágil. Além disso, as resoluções da ANPD desempenham um papel dinâmico nesse processo, à medida que emite novas resoluções e atualizações, que as organizações precisam conhecer e ajustar suas práticas para garantir conformidade contínua. A adoção de auditorias regulares e revisões periódicas, em alinhamento com as diretrizes mais recentes da ANPD, ajuda a manter a conformidade com as estratégias de tratamento atualizadas e alinhadas aos objetivos organizacionais.
- Comunicação e Consulta: O Encarregado de Proteção de Dados (DPO), conforme definido pela LGPD, desempenha um papel importante na comunicação e consulta sobre riscos relacionados à proteção de dados, garantindo que as partes interessadas estejam informadas e alinhadas. Além de facilitar o diálogo contínuo com gestores, colaboradores e titulares de dados, o DPO é responsável por acompanhar os principais foruns de informação, consultar especialistas e interagir com órgãos reguladores, como a ANPD, assegurando que a organização esteja atualizada sobre as melhores práticas e exigências regulatórias. A comunicação eficaz, promovida pelo DPO, fortalece a capacidade de responder a incidentes e se adaptar rapidamente a mudanças no ambiente regulatório.
- Registro e Relato: Manter um registro detalhado do processo de gestão de riscos garante a transparência e responsabilidade. Essa documentação deve incluir evidências das decisões tomadas, das ações implementadas e dos resultados alcançados, servindo como prova de conformidade com a LGPD e as boas práticas. Em situações de auditorias, investigações ou questionamentos por parte de órgãos reguladores, como a ANPD, esses registros oferecem a base necessária para demonstrar que a empresa está em conformidade com as exigências legais e tem adotado medidas adequadas para proteger dados pessoais. Além disso, guardar evidências auxilia na prestação de contas e na defesa da organização contra possíveis penalidades ou litígios.
Integrar a gestão de riscos, conforme a ISO 31000, ao contexto da LGPD permite que as organizações atuem de forma proativa frente às constantes mudanças no cenário regulatório e tecnológico, monitorando de perto as atualizações e regulamentações da ANPD. O Encarregado (DPO) desempenha um papel essencial nesse processo, facilitando a comunicação com as partes interessadas e assegurando que as práticas estejam alinhadas às diretrizes mais recentes.
Adotar uma postura ativa na gestão de riscos contribui para a continuidade dos negócios e a proteção de dados pessoais, ao mesmo tempo em que fortalece a capacidade da organização de responder rapidamente a incidentes e desafios emergentes.
Abraços, e até a próxima!
Alberto Bastos, @albastos
Para mais informações sobre o processo de gestão de riscos da ISO 31000: (99+) Como Implementar o Processo de Gestão de Riscos da ISO 31000 na Prática? | LinkedIn
