Brasil,

Como construir um sistema de gestão de risco com base na Lei Geral de Proteção de Dados (LGPD)?

  • Crédito de Imagens:Divulgação - Escrito ou enviado por  Vervi Assessoria
  • SEGS.com.br - Categoria: Seguros
  • Imprimir

Como construir um sistema de gestão de risco com base na Lei Geral de Proteção de Dados (LGPD)?

A Lei Geral de Proteção de Dados (Lei Federal nº 13.709/2018), mais conhecida como LGPD, estabelece um complexo sistema de regras e princípios para regular o tratamento de dados pessoais.

Essa lei não traz uma fórmula padrão, uma receita exata, que a empresa possa seguir e garantir a privacidade e proteção de dados nas suas rotinas. Caberá a cada empresa eleger as medidas técnicas e administrativas para tanto, ou seja, cada empresa será responsável por escolher como vai implementar a LGPD.

Por que a LGPD não determina exatamente o que deve ser feito? Porque por mais parecidas que sejam, cada organização possui suas peculiaridades e não existe uma resposta única. Sendo flexível permite que ela seja aplicada a uma enorme variedade de situações, sem que seja uma barreira para o negócio ou uma burocracia sem sentido.

A regulação do uso dos dados pessoais não tem o propósito de inviabilizar o desenvolvimento econômico e a inovação. Seu objetivo é garantir a proteção dos dados nesses pontos

Se a LGPD não define a forma de implementar as suas regras, surge um dilema para as empresas: como concretizar aquilo que está abstratamente previsto no texto legal? Uma solução bastante eficaz é começar é avaliar os riscos dos tratamentos realizados.

Toda operação envolvendo o uso de dados pessoais expõe o titular a risco, que pode ser maior ou menor a depender da circunstância. Por isso é fundamental avaliar esses riscos para garantir que o tratamento das informações pessoais seja realizado de forma segura e conforme as regras da LGPD. As novas tecnologias trazem tratamento de dados pessoais cada vez mais sofisticados.

As medidas a serem implementadas devem variar conforme o risco da atividade de tratamento e dos dados envolvidos. Assim, tendo a noção dos riscos que o tratamento representa para o titilar, é possível ponderar quais medidas técnicas e administrativas são eficazes para garantir a privacidade, a segurança da informação e os direitos dos titulares, tal como exige a LGPD.

Cabe frisar que o risco que deve ser considerado para a definição das medidas a serem adotadas é o risco aos direitos e liberdades dos indivíduos titulares dos dados pessoais e não o risco para a organização em si. O foco é o titular dos dados e não a empresa.

Nesse sentido, o art. 44 da LGPD considera irregular o tratamento de dados pessoais que não fornece segurança para o titular, considerando o resultado e os riscos que razoavelmente dele se esperam:

Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

(...)

II - o resultado e os riscos que razoavelmente dele se esperam

Se de um lado ausência de uma regra padronizada para garantir a proteção de dados pessoais garante maior autonomia para as empresas, por outro, aumenta a sua responsabilidade na definição das medidas apropriadas e eficazes para garantir o compliance com a LGPD.

De forma bem simplificada, a gestão dos riscos tratamentos dos dados pessoais deve ter, pelo menos, os seguintes pilares: a) descrição detalhada dos tratamentos, avaliando os seus propósitos e interesses; b) avaliação da necessidade e proporcionalidade das operações de tratamento e c) avaliação dos riscos para os titulares (efeitos positivos e negativos decorrentes).

É importante que a gestão de risco seja encarada como um processo. Todos os recursos e ativos da organização que contenham informações pessoais devem ser mapeados e controlados. Nesse processo deve ser definido as atividades para planejar, organizar, identificar e controlar esses riscos para que seja possível evitar ou reduzir o risco, aumentar a confiança entre as partes envolvidas e fornecer bases sólidas para a tomada de decisões e, assim, evitar danos ou perdas.

Feita tais análises é possível identificar as medidas técnicas, administrativas e físicas mais adequadas, entre as quais: construção de políticas de segurança da informação, controle de acessos, atualização de sistemas, criptografias, scan de vulnerabilidades, anonimização, antivírus, patches de segurança, anéis de proteção, vigilância monitorada, regulamentação do compartilhamento de dados com terceiros por contratos, assinatura de termos de confidencialidade etc.

É importante que a metodologia de análise de risco baseada na LGPD seja construída de forma lógica e objetiva, fundamentada nas regras e princípios dessa legislação.

*Juliana Callado Gonçales é sócia do Silveira Advogados e especialista em Direito Tributário e em Proteção de Dados (www.silveiralaw.com.br)


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 
https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

voltar ao topo

Adicionar comentário

Aja com responsabilidade aos SEUS COMENTÁRIOS, em Caso de Reclamação, nos reservamos o Direito, a qualquer momento de Mudar, Modificar, Adicionar, ou mesmo Suprimir os comentarios de qualquer um, a qualquer hora, sem aviso ou comunicado previo, leia todos os termos... CLIQUE AQUI E CONHEÇA TODOS OS TERMOS E CONDIÇÕES DE USO. - O Nosso muito obrigado - Ferramenta Automatizada...IMPORTANTE: COMENTÁRIOS com LINK são bloqueados automaticamente (COMMENTS with LINKS are automatically blocked.)...Sucesso!

Security code Atualizar

Enviar