• Portal do Governo Brasileiro
  • Atualize sua Barra de Governo
  • Home
  • A LGPD
    O que muda Mapa da proteção LGPD em 2 minutos Glossário LGPD
  • Proteção de dados
    Dados pessoais Dados sensíveis
    Lei nº 13.709, 14/08/2018
    Dados públicos Dados anonimizados
    Lei nº 13.709, 14/08/2018
  • Tratamento dos dados
    Princípios da LGPD Objetivo e abrangência da LGPD
  • Temáticas
    Correlações com a LGPD Gestão pública Governança Legislação Negócios Privacidade Saúde e Educação Segurança Tecnologia Utilidade pública
  • Notícias e Artigos
  • Colabore com o site
    Como colaborar Linha editorial
  • Imprensa
Busca Avançada…
Redefinir Cookies

Notícias e Artigos

Info

Artigo

Você se preocupa com a reputação de sua empresa?

Se sim, o especialista Rafael Nóbrega frisa que, na era dos dados pessoais, considerados o “novo petróleo” do mundo, focar na análise de riscos e na adequação à LGPD é fundamental tanto para manter o caixa como a confiança de seus clientes

Foto com três cubos de madeiras com "carinhas" de triste, imparcial e feliz, representando a reputação de uma empresa perante seus clientes


2/08/2019

Em tempos de sistemas de informação digital e de ferramentas de armazenamento de dados pessoais, devemos nos preocupar com a proteção e a manutenção da confidencialidade das informações. Os dados pessoais já são considerados o “novo petróleo” do mundo, pois a utilização analítica dessas informações permite observar padrões, comportamentos e traçar a personalidade dos indivíduos que figuram no mercado de consumo, gerando riqueza para as empresas.

Há pouco tempo tivemos a aprovação do primeiro compilado de regras, disciplinando especificamente a proteção de dados pessoais no Brasil. Eis a atual e, ainda, enigmática Lei Geral de Proteção de Dados Pessoais (LGPD).

Muito embora a lei ainda não esteja em vigor, tendo em vista que a previsão legal de vigência foi fixada para agosto de 2020, há muito trabalho a ser feito pelas empresas que realizam operações com dados pessoais, para que implementem a conformidade legal ao sobredito marco regulatório.

Isso porque o processo de implementação da conformidade legal à LGPD engloba não apenas o mapeamento, inventário, classificação dos dados e elaboração de políticas. São necessárias a definição dos papéis dentro das organizações, a conscientização e o treinamento contínuo dos colaboradores e da alta direção.

É fundamental rever processos e procedimentos, criar trilhas auditáveis, atualizar contratos com aqueles que a lei chama de “operadores” e de “titulares de dados pessoais”.

E, não por menos, a empresa precisa ficar consciente de que deve estar preparada para gerenciar um eventual vazamento de dados.

Gestão de riscos

Mas, para tudo isso, é necessária a realização de uma metodologia preliminar que permita avaliar e identificar os riscos associados aos processos existentes nas operações que processem dados.

Algumas atividades econômicas, porém, terão a necessidade de elaboração de um “relatório de impacto à proteção de dados”, sempre que o tratamento dos dados pessoais possa gerar riscos às liberdades civis e aos direitos fundamentais.

O respectivo relatório nada mais é do que um processo dentro da organização que deve ser realizado para descrever os tratamentos, analisar as necessidades e as dimensões desses tratamentos, com o objetivo de gerir os riscos para os titulares de dados pessoais.

"Os   impactos   que   a   LGPD   pode   trazer   não   ficam   apenas   na   ordem   econômico-financeira,   mas   também   na   reputacional,   tendo   em   vista   que   um   eventual   vazamento   de   dados   pessoais   pode   acarretar   um   real   entrave   para   a   realização   de   novos   negócios"

Merece destaque para as empresas (como hospitais, clínicas e laboratórios) que realizem operações com dados pessoais sensíveis, que são aqueles de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Um adequado modelo de avaliação de riscos deve cumprir pressupostos bases, por exemplo: os processos e procedimentos devem ser auditáveis; deve haver a indicação de medidas aptas a realizar a mitigação de desconformidades com a LGPD; o modelo de avaliação de riscos deve facilitar a criação e manutenção dos processos organizacionais que envolvem o tratamento de dados, de modo que não seja um entrave.

Etapas de análise

Assim, para a realização de um alinhamento de conformidade com a LGPD, no que se refere à avaliação de riscos, propõe-se um modelo baseado nas seguintes fases:
  • A perspectiva de entrada ingressa pela avaliação de criticidade, pois é nela que a empresa inicia o processamento dos dados pessoais.
  • Após a finalização da sobredita fase, realiza-se a avaliação de maturidade do processo em relação à Lei Geral de Proteção de Dados Pessoais, bem como aos controles de segurança (físicos, técnicos e administrativos) que estão relacionados aos pontos relevantes para o tratamento de dados pessoais.
  • Os primeiros controles servem como medidas de segurança, para deter ou evitar acesso não autorizado aos dados pessoais dos titulares, como câmeras de vigilância, biometria para o reconhecimento de indivíduos, entre outros.
  • Já os controles técnicos utilizam tecnologia para controlar o acesso aos dados pessoais, incluindo criptografia, listas de controle de acessos, entre outros.
  • O último controle de segurança, um dos pontos mais críticos, são os controles administrativos, que são aqueles que definem os fatores humanos da segurança de uma organização. Esse controle envolve todos os níveis de pessoal de uma organização e determina o escalonamento de usuários e acesso a quais recursos e informações, por meio de treinamento e conscientização, preparação para desastres e planos de recuperação, etc.
  • Voltando às avaliações, após a avaliação de maturidade, a empresa conseguirá conhecer o que já está em conformidade com a LGPD e o que ainda é necessário implementar. Fixada essa avaliação, será possível dar seguimento à fase de avaliação dos riscos por meio da elaboração de um "relatório de impacto à proteção de dados".
  • Após as fases acima narradas, a empresa deve seguir para a validação do risco, que significa: quais os riscos ela está preparada e disposta a assumir e gerenciar? Quais são necessários mitigar? E quais são riscos aceitáveis?

Portanto, é evidente que uma análise dos riscos em alto nível quanto ao tratamento de dados pessoais dentro das empresas é de fundamental importância, mormente pelos impactos que a Lei Geral de Proteção de Dados Pessoais pode trazer, que não ficam apenas na ordem econômico-financeira, mas também na reputacional, tendo em vista que um eventual vazamento de dados pessoais pode acarretar um real entrave para a realização de novos negócios.
Foto e minicurrículo de Rafael Nóbrega: é advogado, especialista em direito empresarial e pós-graduando em governança, riscos ecompliance. É consultor em privacidade e proteção de dados, em mitigação de riscos e gestão de crises laborais e empresariais.

Também quer colaborar?
A expectativa deste portal, colaborativo e dinâmico, é integrar opiniões divergentes e convergentes sobre a LGPD, desafios e conquistas da lei. É um ambiente aberto ao debate plural e com a vocação de serviço público: precisa da sociedade civil, governo, setor privado, academia e imprensa para crescer e alcançar o objetivo, comum a todos, de ajudar a zelar pela privacidade e proteção dos dados dos cidadãos do país. Se você também tem algum conteúdo recente - ou mesmo exclusivo - autoral ou autorizado relacionado à LGPD, e que seja de interesse público, clique aqui e veja como contribuir.

Serpro LGPD
Serpro e LGPD:
segurança e inovação
Serpro Ministério da Fazenda Governo Federal