Como construir um sistema de gestão de risco com base na Lei Geral de Proteção de Dados (LGPD)?

Como construir um sistema de gestão de risco com base na Lei Geral de Proteção de Dados (LGPD)?

A Lei Geral de Proteção de Dados (Lei Federal nº 13.709/2018), mais conhecida como LGPD, estabelece um complexo sistema de regras e princípios para regular o tratamento de dados pessoais.

Essa lei não traz uma fórmula padrão, uma receita exata, que a empresa possa seguir e garantir a privacidade e proteção de dados nas suas rotinas. Caberá a cada empresa eleger as medidas técnicas e administrativas para tanto, ou seja, cada empresa será responsável por escolher como vai implementar a LGPD.

Por que a LGPD não determina exatamente o que deve ser feito? Porque por mais parecidas que sejam, cada organização possui suas peculiaridades e não existe uma resposta única. Sendo flexível permite que ela seja aplicada a uma enorme variedade de situações, sem que seja uma barreira para o negócio ou uma burocracia sem sentido.

A regulação do uso dos dados pessoais não tem o propósito de inviabilizar o desenvolvimento econômico e a inovação. Seu objetivo é garantir a proteção dos dados nesses pontos

Se a LGPD não define a forma de implementar as suas regras, surge um dilema para as empresas: como concretizar aquilo que está abstratamente previsto no texto legal? Uma solução bastante eficaz é começar é avaliar os riscos dos tratamentos realizados.

Toda operação envolvendo o uso de dados pessoais expõe o titular a risco, que pode ser maior ou menor a depender da circunstância. Por isso é fundamental avaliar esses riscos para garantir que o tratamento das informações pessoais seja realizado de forma segura e conforme as regras da LGPD. As novas tecnologias trazem tratamento de dados pessoais cada vez mais sofisticados.

As medidas a serem implementadas devem variar conforme o risco da atividade de tratamento e dos dados envolvidos. Assim, tendo a noção dos riscos que o tratamento representa para o titilar, é possível ponderar quais medidas técnicas e administrativas são eficazes para garantir a privacidade, a segurança da informação e os direitos dos titulares, tal como exige a LGPD.

Cabe frisar que o risco que deve ser considerado para a definição das medidas a serem adotadas é o risco aos direitos e liberdades dos indivíduos titulares dos dados pessoais e não o risco para a organização em si. O foco é o titular dos dados e não a empresa.

Nesse sentido, o art. 44 da LGPD considera irregular o tratamento de dados pessoais que não fornece segurança para o titular, considerando o resultado e os riscos que razoavelmente dele se esperam:

Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

(…)

II – o resultado e os riscos que razoavelmente dele se esperam

Se de um lado ausência de uma regra padronizada para garantir a proteção de dados pessoais garante maior autonomia para as empresas, por outro, aumenta a sua responsabilidade na definição das medidas apropriadas e eficazes para garantir o compliance com a LGPD.

De forma bem simplificada, a gestão dos riscos tratamentos dos dados pessoais deve ter, pelo menos, os seguintes pilares: a) descrição detalhada dos tratamentos, avaliando os seus propósitos e interesses; b) avaliação da necessidade e proporcionalidade das operações de tratamento e c) avaliação dos riscos para os titulares (efeitos positivos e negativos decorrentes).

É importante que a gestão de risco seja encarada como um processo. Todos os recursos e ativos da organização que contenham informações pessoais devem ser mapeados e controlados. Nesse processo deve ser definido as atividades para planejar, organizar, identificar e controlar esses riscos para que seja possível evitar ou reduzir o risco, aumentar a confiança entre as partes envolvidas e fornecer bases sólidas para a tomada de decisões e, assim, evitar danos ou perdas.

Feita tais análises é possível identificar as medidas técnicas, administrativas e físicas mais adequadas, entre as quais: construção de políticas de segurança da informação, controle de acessos, atualização de sistemas, criptografias, scan de vulnerabilidades, anonimização, antivírus, patches de segurança, anéis de proteção, vigilância monitorada, regulamentação do compartilhamento de dados com terceiros por contratos, assinatura de termos de confidencialidade etc.

É importante que a metodologia de análise de risco baseada na LGPD seja construída de forma lógica e objetiva, fundamentada nas regras e princípios dessa legislação.

*Juliana Callado Gonçales é sócia do Silveira Advogados e especialista em Direito Tributário e em Proteção de Dados (www.silveiralaw.com.br)