Cybersecurity e Boas Práticas

Impactos de Privacidade da ISO 27557 e a LGPD

Ao longo de artigos anteriores, apresentamos aISO 27557: Gestão de Riscos de Privacidade Organizacional, explorando sua estrutura, processo e os anexos com exemplos de tipos e usos de Dados Pessoais, eventos de privacidade e suas causas potenciais. Agora, fechamos com os Anexos C e D da norma, com os impactos de privacidade e suas consequências para as organizações.


Anexo C - Impacto de Privacidade e Consequências


A importância de compreender os impactos de privacidade não está relacionada apenas aos indivíduos mas também se estende às organizações. ATabela C.1da ISO 27557 destaca impactos potenciais, ressaltando preocupações que vão desde perda de dignidade e discriminação até perda da autodeterminação e confiança organizacional.




Considerando a Lei Geral de Proteção de Dados (LGPD), é preciso compreender estes impactos para implementar práticas que garantam a proteção dos dados pessoais e assegurem a conformidade com a lei.

Algumas orientações práticas são:


  • Perda de Dignidade: Implemente mecanismos de consentimento claro e transparente para o uso de dados, garantindo que os indivíduos estejam plenamente cientes e concordem com o tratamento de seus dados pessoais.
  • Discriminação: Garanta que os algoritmos e sistemas sejam auditados regularmente para evitar viés e tratamento discriminatório. Estabeleça um canal de comunicação para reclamações e questionamentos sobre o tratamento de dados.
  • Perda Econômica: Desenvolva e mantenha um protocolo de segurança de dados para prevenir brechas que possam resultar em fraude ou roubo de identidade.
  • Perda da Autodeterminação:Assegure que os titulares de dados sempre tenham acesso fácil e intuitivo às suas informações e possam corrigir, atualizar ou solicitar excluir seus dados conforme necessário, em concordância com os princípios de correção e exclusão da LGPD.
  • Perda de Confiança: Desenvolva uma política de transparência e comunicação proativa, informando os titulares de dados sobre como, por que e por quanto tempo seus dados serão tratados, reforçando a confiança e alinhando-se com a obrigação de clareza e transparência da LGPD.


Na Tabela C.2, temos exemplos de consequências oriundas destes eventos de privacidade, abrangendo aspectos que vão desde custos diretos e de não conformidade até danos à reputação e à cultura organizacional.



Como orientação para conformidade com a LGPD, exemplo de ações para tratar cada uma dessas consequências são:


  • Custos de Não Conformidade: Estabeleça um sistema de governança de dados e realize auditorias periódicas para garantir que o tratamento de dados esteja em conformidade com a LGPD, evitando penalidades.
  • Custos Diretos de Negócio: Fomente uma cultura organizacional centrada na privacidade, garantindo que o tratamento de dados esteja visível e seja compreensível para os clientes, construindo confiança e lealdade.
  • Danos à Reputação: Esteja preparado para comunicar de forma transparente e eficaz qualquer incidente de segurança, além de demonstrar as ações corretivas tomadas, mantendo a confiança dos stakeholders.
  • Danos à Cultura Organizacional Interna: Engaje todos os níveis da organização na conscientização sobre privacidade de dados, reforçando a importância da proteção de dados como um valor central da empresa.


Anexo D - Modelo de Escala de Severidade para Impactos de Privacidade aos Indivíduos


O último anexo da norma contém aTabela D.1, que apresenta um modelo para estimar a severidade destes impactos de privacidade. Esse modelo, adaptável ao contexto específico e nuances de cada organização, auxilia na criação de estratégias de governança de dados, e também orienta sobre a resposta adequada e tempestiva caso ocorram incidentes de privacidade.



A adequada estimativa da severidade dos impactos de privacidade apoia no cumprimento das exigências da LGPD, possibilitando estabelecer critérios para comunicar violações de dados no tempo previsto, avaliando e respondendo aos riscos que tais violações representam para os titulares dos dados.


Obs: Adicionalmente a estimativaqualitativada severidade, o padrão FAIR (Factor Analysis of Information Risk) é um exemplode análise quantitativados riscos, que permite alinhar perdas financeiras com os eventos de risco de privacidade.


Através desta série de artigos, procuramos oferecer um guia geral sobre a ABNT NBR ISO/IEC 27557, sua aplicabilidade e relevância no cenário de proteção de dados. Ao implantar essas práticas e princípios, as organizações não apenas se alinham com normativas internacionais e locais, mas asseguram uma fundação sólida para a privacidade e segurança dos dados que tratam, elevando assim a confiança e a segurança dos titulares dos dados e partes interessadas.


Agradecemos por nos acompanhar nesta jornada e esperamos que as informações e insights compartilhados apoiem o aprimoramento e fortificação de suas práticas de gestão de dados e privacidade.


Abraços e até a próxima,


Alberto Bastos

Gestão de Riscos Privacidade
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato