Coluna Direito Negocial em Debate / Coordenador Rennan Mustafá

Diante da entrada em vigor da Lei Geral de Proteção de Dados (LGPD - Lei n. 13.709/2018), na data de 18 de setembro de 2020, torna-se necessário que as empresas observem as diversas diretrizes impostas para o tratamento de dados pessoais.

Além disso, é imprescindível a implementação de diretivas que assegurem a efetividade dessas políticas no transcorrer dessas atividades, especialmente, por meio da criação de um programa de gerenciamento de riscos.

Nessa toada, a Lei em questão exige a elaboração de um relatório de impactos à proteção de dados pessoais, tratando-se de um documento que abrange a análise dos impactos dos dados pessoais em uma organização e suas eventuais ameaças, sendo o ponto de partida para a elaboração de um projeto de implementação de proteção de dados pessoais[1]. Nesse sentido, dispõe a LGPD:

Art. 5º. Para os fins desta Lei considera-se [...]: XVII – relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdade civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Constata-se que os riscos de realizar-se o tratamento de dados pessoais são variados. A título exemplificativo, pode-se citar a ocorrência de dados expostos indevidamente, vazados ou descartados incorretamente. Por essa razão, deve-se sempre considerar a probabilidade de alguma dessas irregularidades acontecerem.

Como assevera Mauro Negruni, “um risco pode ter impacto altíssimo e baixa probabilidade de ocorrer [...] Dessa forma, enseja que análise a ser feita garanta um nível de discussão acerca do risco, com os vetores ‘probabilidade’ e ‘impacto’ muito bem dimensionados”[2].

Para isso acontecer de modo eficiente, é necessário que haja a participação de todos os colaboradores de todos os setores que realizem tratamento de dados na empresa, assim como de seus administradores e sócios, a fim de fornecer uma visão ampla e completa das peculiaridades da companhia, permitindo a averiguação, dentre outros, do ciclo de vida dos dados, os caminhos percorridos, os meios de armazenamento, físico ou digital, e a forma de descarte.

Dessa maneira, os riscos inerentes ao tratamento de dados pessoais em meios digitais devem ser discutidos em colaboração com os profissionais do departamento da Tecnologia da Informação, os quais possuem maior competência para realização dessa análise.   

A ABNT NBR ISO 31000:2018 sobre Gestão de Riscos – Diretrizes classifica o risco como sendo o efeito da incerteza para o cumprimento de certo objetivo, discorrendo que as empresas que gerenciam essas ameaças de maneira eficaz possuem maiores possibilidades de protegerem-se e de expandirem seus negócios de forma bem sucedida. Ademais, a avaliação e o gerenciamento de riscos resultam em uma melhora operacional, ao minimizar perdas e atribuir maior confiança aos interessados[3].

Portanto, para que a gestão da segurança do sistema de tratamento de dados seja eficiente, faz-se necessário o levantamento dos possíveis riscos que abranjam as atividades realizadas pela empresa, de forma a possibilitar que as medidas de prevenção sejam adequadas às prováveis ameaças.

Notas e Referências

[1] NEGRUNI, Mauro. A gestão de riscos e a LGPD. 2019. Disponível em: https://mauronegruni.com.br/2019/11/20/a-gestao-de-riscos-e-a-lgpd/ . Acesso em 23 de nov. de 2020.

[2] Ibidem.

[3] ISO 3100 – Gestão de risco. Disponível em: https://www.bsigroup.com/pt-BR/ISO-31000-Gestao-de-Risco/ . Acesso em: 23 de nov. de 2020.