Gestão de Riscos na prática!

Gestão de Riscos, Encarregado e Guia da ANPD: Uma Abordagem com a ISO 31000

Neste fim de ano, a publicação do Guia Orientativo: Atuação do Encarregado pelo Tratamento de Dados Pessoais pela ANPD chega em momento importante para a proteção de dados no Brasil. O guia destaca o papel do encarregado (DPO) na aplicação da LGPD e reforça a importância de uma gestão de riscos bem estruturada para enfrentar ameaças à privacidade e à segurança da informação.


Em 2025, as organizações continuarão lidando com desafios regulatórios cada vez mais complexos, como o aumento do volume de dados e o avanço das ameaças cibernéticas. Nesse contexto, a ISO 31000 oferece uma abordagem que integra a gestão de riscos aos processos de conformidade da LGPD, promovendo eficiência e reduzindo a probabilidade de incidentes.


Este artigo conecta as diretrizes do guia da ANPD aos princípios, estrutura e processo da ISO 31000, apresentando como a adoção desta norma amplamente reconhecida fornece um modelo eficaz para abordar riscos de forma sistemática e proativa. Essa abordagem facilita o cumprimento das exigências legais, fortalece a confiança de titulares, cria uma cultura de proteção de dados e reduz custos com falhas ou penalidades.


O guia da ANPD reforça a necessidade de atenção especial a situações classificadas como de alto risco, que podem comprometer tanto os direitos dos titulares quanto a continuidade das operações das organizações.

Estabelecimento do Contexto


Estabelecer o contexto é o ponto de partida na gestão de riscos, garantindo que fatores internos e externos sejam considerados. O guia da ANPD reforça essa prática ao tratar da classificação de alto risco e da análise contextual para assegurar a conformidade.



Classificação de Alto Risco: O guia destaca tratamentos de dados sensíveis, como dados de saúde ou biométricos, ou aqueles sujeitos a ameaças significativas, considerando escala de tratamento, uso de tecnologias emergentes e impacto nos direitos dos titulares.

O encarregado deve avaliar a estrutura organizacional, recursos disponíveis e características das atividades, alinhado às orientações da ISO 31000, considerando tanto os fatores internos, como processos, políticas e cultura organizacional, e externos, como requisitos legais, expectativas das partes interessadas e tendências tecnológicas.


Identificação de Riscos


Na LGPD, identificar riscos é essencial para mapear ameaças e oportunidades relacionadas ao tratamento de dados pessoais. A ISO 31000 orienta uma ação sistemática para reconhecer fontes de risco, áreas de impacto e potenciais consequências.



Ameaças e Vulnerabilidades: O guia sugere a identificação de ameaças como acesso não autorizado, perda de dados, falhas tecnológicas ou uso inadequado por colaboradores ou terceiros. Também enfatiza a avaliação de vulnerabilidades internas, como processos mal documentados, falta de capacitação de funcionários e ausência de controles eficazes.

O encarregado deve auxiliar a mapear riscos relacionados ao tratamento de dados pessoais, garantindo que as ameaças sejam reconhecidas e tratadas de forma abrangente.


Análise e Avaliação de Riscos


Nesta etapa, os riscos identificados são analisados em termos de probabilidade e impacto, permitindo priorizar ações. O Guia da ANPD destaca a importância de avaliar riscos que podem comprometer segurança e direitos dos titulares.



Probabilidade e Impacto: A ISO 31000 recomenda o uso de matrizes para categorizar riscos e priorizar os que demandam atenção imediata. O guia enfatiza esta recomendação incluindo impactos como exposição de informações sensíveis, danos aos direitos dos titulares, como discriminação ou violação da privacidade e interrupção de serviços ou perda de reputação para a organização.

O encarregado deve orientar sobre como avaliar os riscos de maneira consistente com as exigências da LGPD, e auxiliar na criação de processos que garantam reavaliações periódicas, adaptando controles às mudanças tecnológicas e regulatórias.


Tratamento de Riscos


O tratamento envolve a implementação de ações para reduzir a probabilidade ou impacto de ocorrências. A ISO 31000 orienta que as medidas sejam proporcionais ao nível de risco identificado.



Adoção de Soluções Proporcionais ao Risco: O guia apresenta exemplos de controles técnicos e administrativos, como criptografia para proteger dados armazenados e em trânsito, pseudonimização para reduzir a identificação direta dos titulares, desenvolvimento de políticas internas, treinamentos e auditorias regulares para verificar a conformidade com a LGPD.

O encarregado deve facilitar a aplicação desses mecanismos de tratamento, coordenando equipes e assegurando um plano de resposta eficaz para incidentes.


Monitoramento e Análise Crítica


Monitoramento contínuo garante que as medidas implementadas permaneçam eficazes. O guia reforça essa necessidade ao recomendar avaliações regulares para identificar novas ameaças e validar controles.



Monitoramento relativo ao Tratamento: O monitoramento contínuo é essencial para identificar novos riscos ou alterações em riscos existentes. A ANPD recomenda que as organizações realizem avaliações regulares para detectar novas ameaças decorrentes de mudanças tecnológicas e revisar a eficácia de controles verificando se ainda atendem às necessidades atuais.

O encarregado deve estabelecer métricas, como tempo de resposta a incidentes ou número de falhas identificadas, para medir a eficácia das ações de tratamento e propor ajustes quando necessário.


Registro e Relato


Registros sistemáticos asseguram transparência e rastreabilidade. O guia reforça a necessidade de manter registros organizados relacionados ao tratamento de dados pessoais e às medidas de tratamento adotadas.



Registro e Relato dos Riscos: Relatórios periódicos para a alta administração e comunicação externa reforçam a confiança e servem como referência para auditorias, revisões e relatórios para partes interessadas, como a alta administração, órgãos reguladores ou quando solicitado por titulares de dados.

O encarregado deve atuar como interlocutor, consolidando e apresentando informações quando solicitado e garantindo suporte a auditorias e revisões. Destaque para os relatórios de impacto à proteção de dados (DPIA), especialmente em casos de tratamentos de alto risco e registros de incidentes, detalhando a natureza do evento, as medidas tomadas e as lições aprendidas.


...


Após explorar o papel do encarregado e como cada etapa do processo de gestão de riscos da ISO 31000 se conecta às orientações do guia da ANPD, podemos concluir sobre a importância de uma abordagem integrada para a proteção de dados e conformidade com a LGPD.


Neste sentido, a ISO 31000, reconhecida mundialmente, permite aplicar as diretrizes do guia sem perder tempo inventando novos processos. Trazer os processos da norma para dentro das práticas recomendadas pelo guia da ANPD dá às empresas uma rota confiável para encarar os desafios de 2025 e além. Com uma gestão de riscos bem estruturada as organizações podem priorizar recursos, aumentar a resiliência e demonstrar, de forma clara, que a organização está em conformidade com a legislação.


Até a próxima, boas festas e um 2025 feliz e seguro!


Alberto Bastos, @albastos

Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato