Migalhas de Peso

A importância do risk assessment na adequação à Lei Geral de Proteção de Dados e mitigação de riscos da empresa

A lei 13.709/18 – Lei Geral de Proteção de Dados prevê que as empresas terão que realizar a avaliação de riscos no tocante ao tratamento dos dados utilizados nas suas operações.

21/12/2020

(Imagem: Arte Migalhas)

Com a entrada em vigor da lei 12.846/13, conhecida como a Lei de Anticorrupção e as crescentes discussões acerca dos programas de integridade das empresas, o Compliance se tornou indispensável na rotina das entidades, sobretudo, no tocante a mitigação de riscos oriundos das atividades empresariais.

Dentre as diversas ferramentas que compõe os programas de integridade, salutar observar a Gestão de Riscos, também conhecida como Risk Assessment, que tem o condão de identificar os riscos; avaliar seus impactos na organização; mitigar; potencializar as oportunidades e monitorar as incertezas para atuar no momento oportuno, protegendo a empresa e a sua reputação no mercado.

A gestão de riscos é uma ferramenta fundamental para lidar com as incertezas de um negócio, organizando, gerindo e controlando os recursos financeiros, materiais e humanos de uma organização, com a finalidade de prevenir e mitigar ao máximo os efeitos de riscos e aproveitar de forma mais assertiva as oportunidades que promovem o crescimento das entidades empresariais.

A lei 13.709/18, também conhecida como Lei Geral de Proteção de Dados – LGPD, foi sancionada e entrou em vigor no dia 18 de setembro deste ano, momento que as empresas viram a necessidade de se adequar às obrigações previstas na redação da legislação. Dentre as diversas obrigações e responsabilidades contidas na lei, as empresas terão que realizar avaliações de riscos no tocante ao tratamento dos dados utilizados nas suas operações.

Quando abordamos a análise e avaliação de riscos no tratamento dos dados pessoais realizado pelas organizações, devemos observar, inicialmente, quais são os dados necessários para o cumprimento da finalidade da empresa e verificar se as informações coletadas do titular serão armazenadas com segurança, conforme determina a legislação em vigor.

No entanto, estar em conformidade com a Lei Geral de Proteção de Dados não se resume apenas a monitorar e avaliar o processo do tratamento dos dados – conforme mencionado anteriormente -, mas significa também reconhecer que o atendimento a todos os preceitos contidos na lei decorre de uma adequação multidisciplinar, uma vez que engloba estratégias nas atividades da empresa, adequação jurídica, tecnologia, conduta dos colaboradores, sobretudo, a cultura da corporação.

Nesse contexto, com escopo de efetivar a mitigação dos danos causados pelo tratamento arbitrário dos dados pessoais, a Lei Geral de Proteção de Dados prevê que a entidade empresarial utilize a ferramenta do risk assessment, a fim de mapear e prevenir as ameaças atreladas ao processo do tratamento das informações pessoais coletadas dos titulares.

A Lei Geral de Proteção de Dados, na redação do dispositivo 5°, inciso XVII, menciona como uma das formas de risk assessment, a confecção do Relatório de Impacto à Proteção de Dados (RIPD). Este instrumento é de responsabilidade do controlador, pelo qual, toda e qualquer operação que seja realizado o tratamento de dados pessoais que possa gerar riscos às liberdades civis e aos direitos fundamentai deverá ser realizada a descrição dos processos para mitigação dos riscos e das responsabilidades.

Esta avaliação deverá ser incorporada dentro dos procedimentos de governança em privacidade corporativa do controlador, servindo como base para o cumprimento de diversos princípios da LGPD, principalmente aos princípios da finalidade, adequação, necessidade, segurança e prevenção, previstos no texto do dispositivo 6° da lei.

Em que pese a Agência Nacional de Proteção de Dados – ANPD ainda esteja em composição, quando estiver no exercício das suas atribuições, a agência poderá solicitar ao controlador o referido Relatório de Impacto, e, por essa razão, é de suma importância que todas as empresas iniciem o mapeamento de dados, também denominado como inventário de dados ou data mapping.

Assim como o Relatório de Impactos de Proteção de Dados, o Legitimate Interests Assessment (LIA), também conhecido como Avaliação de Legítimo Interesse, é bastante importante no setor corporativo, uma vez que tem o condão de atestar que o interesse do controlador dos dados pessoais não sobrepõe aos direitos dos titulares das informações.

Dessa forma, muito embora o interesse legítimo seja considerado uma alternativa legal que autoriza a coleta e tratamento de dados pessoais, isso não isenta a empresa de demonstrar os motivos que levaram a essa conclusão com justificativas razoáveis.

Por fim, não menos importante, cumpre mencionar também o instrumento denominado de privacy assessment, também conhecido como Avaliação de Privacidade (AP). Este documento tem como finalidade mensurar o grau de conformidade da empresa com as normas previstas no ordenamento jurídico brasileiro vigente, assim como também tem a finalidade de verificar se as políticas internas estão sendo efetivas na empresa.

Nesse diapasão, nota-se que o risk assessment poderá ser verificado nas atividades empresariais de diversas formas, no entanto, seja qual for a forma utilizada para mapeamento de riscos, o que não se deve perder de vista é que esta análise deve ser constantemente realizada e reavaliada pelas empresas, com intuito de proteger a entidade das severas penalidades previstas na lei ou até mesmo prejuízos a sua reputação perante o mercado.

Recorde-se ainda que a entidade empresarial além de obter a responsabilidade de agir de forma preliminar na análise de riscos no tratamento dos dados pessoais, ela também precisa estar preparada para um eventual vazamento de informações. Tal ponto é de suma importância, uma vez que a empresa, seguindo as orientações previstas na Lei Geral de Proteção de Dados, ao verificar a exposição indevida dos dados pessoais dos titulares, deverá tornar o fato público e reparar, de imediato, a falha no armazenamento dos dados que decorreu a exposição das informações.

Considerando as exigências contidas na legislação que tutela o tratamento dos dados pessoais e as severas punições caso o tratamento não seja realizado conforme determina o texto de lei, não há como negar a importância da entidade empresarial obter uma equipe técnica e jurídica especializada no assunto, expert no desenvolvimento de medidas preventivas - como a utilização de ferramentas de risk assessment -, a fim de proteger a empresa das sanções administrativas e judiciais.

Sem sombra de dúvidas, as instituições empresariais precisam investir em profissionais com expertise no assunto e que tenham habilidade técnica nas ferramentas efetivas na mitigação de riscos, como forma de erradicar os eventuais prejuízos financeiros da empresa.

Ana Paula Ribeiro Serra
Advogada do escritório MoselloLima Advocacia. Especialista em Direito Empresarial e Direito Digital.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

ITBI na integralização de bens imóveis e sua importância para o planejamento patrimonial

19/11/2024

Cláusulas restritivas nas doações de imóveis

19/11/2024

Estabilidade dos servidores públicos: O que é e vai ou não acabar?

19/11/2024

Quais cuidados devo observar ao comprar um negócio?

19/11/2024

O SCR - Sistema de Informações de Crédito e a negativação: Diferenciações fundamentais e repercussões no âmbito judicial

20/11/2024