O gerenciamento de riscos de uma organização é de suma importância para o controle e mitigação de incidentes que possam ocorrer no meio organizacional. É sabido que os riscos não podem ser totalmente eliminados, dado que o tratamento de dados pessoais pode sofrer alterações com o tempo. Ameaças, vulnerabilidades, probabilidade ou consequências podem mudar repentinamente a depender também da tecnologia adotada para sua mitigação.
Caso haja a concretização de riscos, é necessário que sejam estabelecidos diversos mecanismos que possibilitem a análise, fiscalização e medidas reativas ao incidente. A Privacidade desde a Concepção (privacy by design) pode ser aplicada ao gerenciamento de riscos, na qual contém um pilar chamado “proativo e não reativo”. Isso significa que a base do gerenciamento deve se respaldar na prevenção do risco e não na remediação.
Para tanto, a definição dos papeis do Encarregado, bem como a concentração das atividades em um único responsável para realizar a comunicação com os diversos setores da organização e os titulares de dados pessoais, são mecanismos que podem auxiliar na rápida tratativa do incidente.
Outros documentos que devem ser levantados a título preventivo são a Avaliação de Impacto à Privacidade – PIA e o Relatório de Impacto à Proteção de Dados Pessoais – RIPD. A Avaliação de Impacto à Privacidade – PIA consiste em um estudo prévio à implantação de qualquer novo processo ou projeto, bem como alteração nos processos já existentes, a fim de identificar, sob a perspectiva da privacidade desde a concepção, quais são os impactos daquela atividade específica de processamento no contexto da privacidade e proteção de dados pessoais.
Já o Relatório de Impacto à Proteção de Dados Pessoais – DPIA, conforme o artigo 5º da LGPD, é uma documentação que contém minimamente a “descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.” O objetivo deste relatório é identificar e minimizar os riscos associados ao processamento de dados pessoais que será realizado. Em regra, é elaborado quando há tratamento de dados pessoais sensíveis, tratamento de dados pessoais fundamentado no legítimo interesse do controlador e exposição a risco alto ou crítico.
Após tais documentos serem elaborados e sendo identificado o processamento de dados pessoais na organização, é importante que sejam elaboradas Políticas de Riscos e Privacidade como medida de prevenção à ocorrência de riscos, com o intuito de disponibilizarem de forma clara e objetiva aos titulares de dados pessoais a forma como seus dados estão sendo tratados, para qual finalidade e quais os mecanismos de mitigação de riscos estão sendo adotados.
Da mesma forma, é interessante que a organização realize Programas de Conscientização internos a fim de mudarem a cultura organizacional e implementar na rotina de todos os agentes de tratamento o zelo e proteção aos dados pessoais.
Além disso, o acompanhamento da conformidade à LGPD deve ser considerado uma atividade contínua e necessária, o qual pode ser mantido em fiscalização com base em uma Metodologia de Conformidade Contínua, que por sua vez, consistirá em análise de informações, gestão de incidentes, análise e reporte de resultados.
Alinhado à esta metodologia, há o Monitoramento de riscos, onde todas as atividades são controladas, possibilitando sempre a análise efetiva dos riscos presentes e o desenvolvimento de correções a vulnerabilidades identificadas.
Caso o risco seja concretizado, mesmo após a implementação das medidas preventivas, é importante que a organização tenha estabelecido um Processo de Gestão de incidentes, o qual tem como propósito oferecer o direcionamento para as atividades que podem ser realizadas para a identificação, avaliação, notificação, contenção de danos e eliminação da causa da violação de dados pessoais.
Diante do que foi esclarecido, é primordial a atuação de forma preventiva do gerenciamento de riscos, uma vez que a concretização do risco pode causar prejuízo direto aos titulares de dados pessoais e indiretos à própria organização quando for responsabilizada pelos danos causados.
A sua empresa ainda não possui uma metodologia de gerenciamento de riscos? Quer saber mais sobre o assunto? Entre em contato conosco!
Fernanda Scheiner de Brito Baldissara Leite
Analista Jurídica da Every
Comments