Por Rodrigo Russo / LGPD / 6 julho, 2021

Relatório de Impacto à Proteção de Dados e a Matriz de Riscos

No fim do mês de junho, a Autoridade Nacional de Proteção de Dados (ANPD) promoveu 3 reuniões técnicas para tratar do processo de regulamentação do relatório de impacto à proteção de dados pessoais (RIPD).

Conforme já mencionado nos demais artigos da série relacionada à Lei Geral de Proteção de Dados (LGPD), a ANPD é o órgão responsável por zelar pela proteção de dados pessoais no Brasil, garantir a aplicação e fiscalizar o cumprimento da LGPD, bem como dar orientações e diretrizes sobre práticas de segurança e proteção dos dados pessoais.

Assim, tais reuniões representam um importante passo do órgão no sentido de cumprir com a responsabilidade crucial que lhe foi atribuída de prover normativas complementares que instruam os controladores e operadores de dados pessoais brasileiros acerca das melhores práticas de proteção e segurança, bem como de dar concretude à LGPD, explicitando quais os caminhos para sua implementação e adequação dentro das empresas.

Especificamente quanto ao tema de Relatório de Impacto, já se demonstrou, nesta mesma série de artigos, que se trata de um tema especialmente relevante e lacunoso na LGPD.

Realmente, não há, por enquanto, previsão de um rol de situações específicas que ensejem a elaboração de um RIPD ou que tipo de atividades deveriam ser incluídas. A escassez de amparo legal leva muitos controladores de dados a recorrerem às normas e orientações internacionais no momento de elaborar seus relatórios de impacto.

Neste contexto, as orientações e normativas da ANPD serão de grande valia para a implementação prática deste importante instrumento de comprovação do estado de conformidade à LGPD pelos agentes de tratamento de dados.

De qualquer modo, antecipando as normativas que surgirão, com base na própria natureza e definição do instituto na LGPD , bem como nos guias operacionais para adequação à Lei Geral de Proteção de Dados do Governo Federal, tem-se como certo que a análise e gestão de riscos integra a elaboração de um Relatório de Impacto.

Por isso, o objetivo do presente artigo será tratar dessa matriz de riscos inerentemente vinculada às atividades que compõem o RIPD; a ideia é esclarecer sobre a elaboração deste importante aspecto do Relatório de Impacto e expor como avaliar e classificar riscos na prática, sob a ótica da LGPD.

Para que serve a análise da matriz de riscos?

A essência do relatório de impacto consiste em elencar os riscos envolvidos nas atividades de tratamento de dados desenvolvidas por um determinado agente, verificar de que modo tais riscos se relacionam com os titulares dos dados e seus direitos e, com base nesta análise, implementar medidas que resguardem os interesses desses titulares e garantam segurança às atividades empreendidas.

Evidentemente, ainda que não existam, por ora, orientações concretas da ANPD sobre quais atividades devem integrar o RIPD ou quais as hipóteses específicas que ocasionarão sua elaboração, todas as atividades selecionadas passarão pelo processo descrito acima, que é o objetivo último do RIPD.

Desse modo, essa análise da matriz de riscos é indispensável para atingir os objetivos do RIPD, na medida em que permite ao agente de tratamento de dados inferir:

  • 1.

    quais as atividades mais sensíveis desenvolvidas;

  • 2.

    quais os riscos envolvidos nos processos de tratamento;

  • 3.

    qual a gravidade e probabilidade de ocorrência dos riscos mapeados;

  • 4.

    quais as medidas mais adequadas para se tratar cada um dos riscos detectados;

  • 5.

    implementadas as medidas adequadas, quais os eventuais riscos residuais que permanecerão “ameaçando” os titulares e sua gravidade/probabilidade de ocorrência;

Todos esses fatores possibilitam uma constatação mais precisa de que as atividades respeitam (ou não) todos os princípios da LGPD, inclusive podendo vir a determinar se o desenvolvimento de uma determinada atividade será aprovado ou rejeitado.

Em outras palavras, a existência de riscos relacionados às atividades de tratamento não significa que elas, automaticamente, estão violando a legislação de proteção de dados. Por óbvio, caso os riscos encontrados sejam decorrentes de irregularidades ou desrespeito à LGPD, a recomendação seria de rejeitar a atividade.

Todavia, é comum que uma atividade apresente riscos de incidentes ainda que observe todos os princípios e disposições da LGPD e os direitos e interesses dos titulares de dados. Nesse cenário, o controlador possui discricionariedade para assumir os riscos, modificar a atividade para que se torne menos arriscada ou rejeitá-la completamente, justamente com base na análise da matriz de riscos.

Identificação dos riscos envolvidos

O primeiro passo da elaboração da matriz de riscos seria a identificação dos riscos envolvidos. Esta etapa envolve uma análise prática da atividade objeto do RIPD, a fim de antecipar os possíveis riscos envolvidos com base na forma como a atividade é ou seria desenvolvida.

Como é de se supor, os riscos variam de acordo com a realidade específica de cada empresa e com a forma de execução de cada atividade – mesmo entre atividades diferentes dentro de um mesmo RIPD.

De qualquer forma, é possível elencar todos os possíveis riscos identificados, descrevê-los de forma clara e, posteriormente, vinculá-los às atividades que se aplicam (Exemplificativamente: em um relatório contendo 3 atividades, foram identificados 10 possíveis riscos. Os riscos 1 a 5 se aplicam à atividade 1, os riscos 3 a 8 se aplicam à atividade 2 e os riscos 5 a 10 se aplicam à atividade 3. Todos esses riscos podem ser descritos em um quadro inicial e geral, deixando a especificação de sua aplicação, gravidade e probabilidade para a análise específica de cada atividade).

Avaliação dos riscos identificados: relação de Probabilidade x Impacto

Feita a identificação e descrição dos riscos envolvidos, é preciso avaliar, dentro de cada atividade, qual a probabilidade de ocorrência de um determinado risco e, caso venha a ocorrer, qual seria o impacto na segurança dos titulares de dados.

Nesse sentido, tanto a probabilidade quanto o impacto de cada risco, dentro de cada atividade, precisam ser mensurados. Embora esta análise também seja consideravelmente subjetiva, é possível adotar critérios de quantificação mais objetivos.

Estes fatores podem ser avaliados por meio de níveis numéricos (v.g., 1 a 5) ou descritivos (como “brando”, “moderado”, “grave” e “gravíssimo”). Cada um dos riscos deve ter a sua probabilidade e impacto avaliados com base nos mesmos critérios estabelecidos e, posteriormente, a avaliação dos dois critérios deve ser “cruzada” para que se obtenha o resultado final da matriz de um risco dentro de uma dada atividade.

A título exemplificativo, diga-se que uma atividade “A” tenha um risco cuja probabilidade de ocorrência foi avaliada em grau “4” e o impacto aos titulares foi avaliado como grau “2”. A matriz de risco seria quantificada, então, pela relação da probabilidade (4) e impacto (2), totalizando uma matriz de risco grau 8 (resultado da multiplicação dos valores atribuídos à probabilidade e impacto).

Apresentação de medidas e salvaguardas que visem a mitigar os riscos detectados

Após a identificação e avaliação dos riscos identificados, é preciso atribuir medidas de segurança que busquem inibir ou reduzir estes riscos.

Portanto, mais do que apenas tornar os riscos envolvidos em cada atividade transparentes aos titulares, é preciso demonstrar que foram implementadas, de fato, medidas que potencializam a segurança e garantem a observância aos interesses desses titulares.

Se, hipoteticamente, o risco identificado foi o de “coleta excessiva de dados”, algumas das medidas a serem implementadas podem ser a interrupção da coleta de determinados dados, a retirada de campos de preenchimento desnecessários em formulários online ou a substituição de campos subjetivos por campos de assinalação objetiva.

As medidas de segurança sugeridas podem ter como base o nível de probabilidade e impacto de cada risco, podendo enfocar em um determinado aspecto ou em ambos, a depender da necessidade.

Outrossim, deve-se ter como premissa a aplicabilidade prática de tais medidas, para que sua efetividade e adequação também possam ser medidas e, se preciso, complementadas por novas salvaguardas, até que se chegue ao nível de segurança desejado.

Análise dos riscos residuais

É possível que, mesmo após a implementação das medidas de segurança e salvaguardas, a atividade ainda apresente riscos residuais.

Nesta etapa, portanto, o RIPD indica se as medidas foram suficientes para extinguir por completo o risco da atividade ou apenas diminuí-lo e, neste último caso, qual a matriz de risco residual.

Estes riscos residuais podem advir, por exemplo, de eventuais fragilidades da medida de segurança sugerida ou mesmo de riscos inerentes à atividade pretendida.

Um caso muito comum de riscos residuais ocorre com a anonimização de dados pessoais. Afinal, a tecnologia avança rapidamente, de modo que o processo de anonimização utilizado pode exigir uma verificação constante a fim de garantir que permanece irreversível.

A análise crítica dos riscos residuais, em face das medidas de segurança implementadas, garantirá transparência aos titulares e, inclusive, pode levar à rejeição de desenvolvimento de uma determinada atividade por parte do controlador dos dados.

Além disso, é interessante elaborar um plano de ação que direcione a postura dos agentes de tratamento em caso de ocorrência destes riscos residuais, a fim de reduzir ainda mais os eventuais danos causados por eles.

Conclusão

Como visto, o mapeamento e gestão de riscos proporcionados pelo RIPD possui grande valor, não só pela transparência agregada às atividades desenvolvidas, mas também por proporcionar ao controlador um entendimento mais absoluto dos riscos relacionados às atividades que desenvolve e quais os cuidados e medidas que precisam ser observados.

Com estes dados, o controlador pode tomar decisões conscientes sobre a condução de seus negócios com base nos riscos assumidos, além de assumir uma postura preventiva que garanta a segurança dos titulares de dados e o respeito aos seus interesses.

COMPARTILHE NAS REDES SOCIAIS

Quer receber conteúdos exclusivos da Moreira Suzuki Advogados por e-mail? Cadastre-se!