Como construir um sistema de gestão de risco com base na Lei Geral de Proteção de Dados (LGPD)?
A Lei Geral de Proteção de Dados (Lei Federal nº 13.709/2018), mais conhecida como LGPD, estabelece um complexo sistema de regras e princípios para regular o tratamento de dados pessoais.
Essa lei não traz uma
fórmula padrão, uma receita exata, que a empresa possa seguir e garantir a
privacidade e proteção de dados nas suas rotinas. Caberá a cada empresa eleger
as medidas técnicas e administrativas para tanto, ou seja, cada empresa será
responsável por escolher como vai implementar a LGPD.
Por que a LGPD não
determina exatamente o que deve ser feito? Porque por mais parecidas que sejam,
cada organização possui suas peculiaridades e não existe uma resposta única.
Sendo flexível permite que ela seja aplicada a uma enorme variedade de
situações, sem que seja uma barreira para o negócio ou uma burocracia sem
sentido.
A regulação do uso dos
dados pessoais não tem o propósito de inviabilizar o desenvolvimento econômico
e a inovação. Seu objetivo é garantir a proteção dos dados nesses pontos
Se a LGPD não define a
forma de implementar as suas regras, surge um dilema para as empresas: como
concretizar aquilo que está abstratamente previsto no texto legal? Uma solução
bastante eficaz é começar é avaliar os riscos dos tratamentos realizados.
Toda operação envolvendo
o uso de dados pessoais expõe o titular a risco, que pode ser maior ou menor a
depender da circunstância. Por isso é fundamental avaliar esses riscos para
garantir que o tratamento das informações pessoais seja realizado de forma
segura e conforme as regras da LGPD. As novas tecnologias trazem tratamento de
dados pessoais cada vez mais sofisticados.
As medidas a serem
implementadas devem variar conforme o risco da atividade de tratamento e dos
dados envolvidos. Assim, tendo a noção dos riscos que o tratamento representa
para o titilar, é possível ponderar quais medidas técnicas e administrativas
são eficazes para garantir a privacidade, a segurança da informação e os
direitos dos titulares, tal como exige a LGPD.
Cabe frisar que o risco
que deve ser considerado para a definição das medidas a serem adotadas é o
risco aos direitos e liberdades dos indivíduos titulares dos dados pessoais e
não o risco para a organização em si. O foco é o titular dos dados e não a
empresa.
Nesse sentido, o art.
44 da LGPD considera irregular o tratamento de dados pessoais que não fornece
segurança para o titular, considerando o resultado e os riscos que
razoavelmente dele se esperam:
Art. 44. O tratamento
de dados pessoais será irregular quando deixar de observar a legislação ou
quando não fornecer a segurança que o titular dele pode esperar, consideradas
as circunstâncias relevantes, entre as quais:
(...)
II - o resultado e os
riscos que razoavelmente dele se esperam
Se de um lado ausência
de uma regra padronizada para garantir a proteção de dados pessoais garante
maior autonomia para as empresas, por outro, aumenta a sua responsabilidade na
definição das medidas apropriadas e eficazes para garantir o compliance com a LGPD.
De forma bem
simplificada, a gestão dos riscos tratamentos dos dados pessoais deve ter, pelo
menos, os seguintes pilares: a) descrição detalhada dos tratamentos, avaliando
os seus propósitos e interesses; b) avaliação da necessidade e proporcionalidade
das operações de tratamento e c) avaliação dos riscos para os titulares
(efeitos positivos e negativos decorrentes).
É importante que a
gestão de risco seja encarada como um processo. Todos os recursos e ativos da
organização que contenham informações pessoais devem ser mapeados e
controlados. Nesse processo deve ser definido as atividades para planejar,
organizar, identificar e controlar esses riscos para que seja possível evitar
ou reduzir o risco, aumentar a confiança entre as partes envolvidas e fornecer
bases sólidas para a tomada de decisões e, assim, evitar danos ou perdas.
Feita tais análises é
possível identificar as medidas técnicas, administrativas e físicas mais
adequadas, entre as quais: construção de políticas de segurança da informação,
controle de acessos, atualização de sistemas, criptografias, scan de
vulnerabilidades, anonimização, antivírus, patches de segurança, anéis de
proteção, vigilância monitorada, regulamentação do compartilhamento de dados
com terceiros por contratos, assinatura de termos de confidencialidade etc.
É importante que a metodologia de análise de risco baseada na LGPD seja construída de forma lógica e objetiva, fundamentada nas regras e princípios dessa legislação.
*Juliana Callado
Gonçales é sócia do Silveira Advogados e especialista em Direito Tributário e
em Proteção de Dados (www.silveiralaw.com.br)
Nenhum comentário