A publicação da Lei Geral de Proteção de Dados (LGPD) trouxe novas prioridades para as empresas. Ainda que o assunto já estivesse em debate por muito anos, foi somente após a nova legislação que as instituições foram obrigadas a zelar pelas normas para garantir um bom tratamento das informações dos titulares. A avaliação de riscos é uma maneira de se proteger de ataques ou incidentes que levam a má adequação da lei. Também é um dos pontos destacados no regulamento.
É melhor definida como uma análise que permite entender as vulnerabilidades que uma empresa possui. Ela ajuda na promoção de ações que vão preencher essas lacunas.
De acordo com o capítulo VII, Seção I, Art. 46: “os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
O artigo 50 ainda destaca que é importante “levar em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos”.
Desta forma, é possível reforçar que esta avaliação acaba se tornando uma necessidade para as instituições que lidam com as informações e que queiram se proteger de ciberataques ou violações diversas.
Existem ainda algumas etapas a serem seguidas para que essa avaliação seja realizada corretamente e cumpra com a proposta inicial.
Passo 1: Entender que a avaliação não está voltada apenas para a tecnologia
A melhor forma de iniciar o processo é entendendo que precisam ser checados os campos que possuem relação com dados. Ou seja, todas as áreas que podem ter informações pessoais comprometidas caso sejam utilizadas por pessoas não autorizadas ou de maneira inadequada.
Por conseguinte, tanto as pessoas, os sistemas e os processos devem ser revisitados.
Passo 2: Compreensão do tamanho do risco e quais devem ser priorizados
Entender as chances que esse risco possui de acontecer e a classificação do impacto que causaria é importante. Um cálculo matemático pode ser realizado para entender o tamanho, e a depender da criticidade, é possível entender qual risco poderá ser tratado primeiro.
Passo 3: Inclusão de planos
Por fim, um planejamento para evitar que o risco aconteça – um plano preventivo – costuma ser a melhor decisão. Dentro dos planos podem existir ações corretivas.
É válido reforçar que a avaliação deve acontecer de forma constante, ou seja, ser feita com frequência para certificar que a instituição esteja adequada. Uma ferramenta que auxilia no momento da avaliação é a norma ISO 27701 e costuma ser utilizada em conjunto com a LGPD pelas empresas.
Destaca-se ainda que os riscos que uma empresa possui com os dados também pode estar ligado com o tamanho que possui. Instituições de grande porte com forte presença digital podem ter mais complicações que as demais.
O que fazer em casos de incidentes?
Ainda que todas as etapas sejam seguidas, ainda é possível que complicações envolvendo os dados pessoais ocorram. Nos casos de incidentes, algumas ações podem ser desempenhadas como:
- Entender a gravidade da situação;
- Informar ao DPO e encarregado de dados;
- Comunicar à ANPD e aos titulares que tiveram os dados violados;
- Avaliar internamente o caso e criar documentos com detalhes sobre as ações a serem tomadas pela empresa (como a identificação das brechas no sistema).
Apoio profissional
A Lei nº 13.709/2018 é complexa e precisa de vários detalhes para ser bem aplicada. A realização das avaliações e o enfrentamento de crises e incidentes pode ser acompanhado de profissionais da área, como o encarregado de dados (DPO).
A LGPD Brasil oferece aos clientes a possibilidade de uma adequação efetiva a partir da consultoria personalizada. O time especializado, com os conhecimentos que possui, checa as condições atuais da marca e a acompanha durante todos os momentos. Saiba mais sobre os serviços oferecidos e aproveite para tirar suas dúvidas através do site.
