Mosello
em Foco

O escritório >

Mosello
em Foco

O escritório >

Mosello
em Foco

O escritório >

06h30

A importância do risk assessment na adequação à Lei Geral de Proteção de Dados e mitigação de riscos da empresa

Ana Paula Serra, advogada, advisor de Legal Business Intelligence da área de Negócios e Relações Institucionais do escritório, tratou de um dos temas mais falados da atualidade, a Lei Geral de Proteção de Dados, e a importância da avaliação de riscos para o mercado e empresas em artigo para o Estadão.

Compartilhe
Tamanho do Texto
A importância do risk assessment na adequação à Lei Geral de Proteção de Dados e mitigação de riscos da empresa


A importância do risk assessment na adequação à Lei Geral de Proteção de Dados e mitigação de riscos da empresa

A Lei 13.709/2018 – Lei Geral de Proteção de Dados prevê que as empresas terão que realizar a avaliação de riscos no tocante ao tratamento dos dados utilizados nas suas operações. 

Com a entrada em vigor da Lei 12.846/2013, conhecida como a Lei de Anticorrupção e as crescentes discussões acerca dos programas de integridade das empresas, o Compliance se tornou indispensável na rotina das entidades, sobretudo, no tocante a mitigação de riscos oriundos das atividades empresariais.
Dentre as diversas ferramentas que compõe os programas de integridade, salutar observar a Gestão de Riscos, também conhecida como Risk Assessment, que tem o condão de identificar os riscos; avaliar seus impactos na organização; mitigar; potencializar as oportunidades e monitorar as incertezas para atuar no momento oportuno, protegendo a empresa e a sua reputação no mercado. 
A gestão de riscos é uma ferramenta fundamental para lidar com as incertezas de um negócio, organizando, gerindo e controlando os recursos financeiros, materiais e humanos de uma organização, com a finalidade de prevenir e mitigar ao máximo os efeitos de riscos e aproveitar de forma mais assertiva as oportunidades que promovem o crescimento das entidades empresariais. 
A Lei 13.709/2018, também conhecida como Lei Geral de Proteção de Dados – LGPD, foi sancionada e entrou em vigor no dia 18 de setembro deste ano, momento que as empresas viram a necessidade de se adequar às obrigações previstas na redação da legislação. Dentre as diversas obrigações e responsabilidades contidas na lei, as empresas terão que realizar avaliações de riscos no tocante ao tratamento dos dados utilizados nas suas operações. 
Quando abordamos a análise e avaliação de riscos no tratamento dos dados pessoais realizado pelas organizações, devemos observar, inicialmente, quais são os dados necessários para o cumprimento da finalidade da empresa e verificar se as informações coletadas do titular serão armazenadas com segurança, conforme determina a legislação em vigor. 
No entanto, estar em conformidade com a Lei Geral de Proteção de Dados não se resume apenas a monitorar e avaliar o processo do tratamento dos dados – conforme mencionado anteriormente -, mas significa também reconhecer que o atendimento a todos os preceitos contidos na lei decorre de uma adequação multidisciplinar, uma vez que engloba estratégias nas atividades da empresa, adequação jurídica, tecnologia, conduta dos colaboradores, sobretudo, a cultura da corporação. 
Nesse contexto, com escopo de efetivar a mitigação dos danos causados pelo tratamento arbitrário dos dados pessoais, a Lei Geral de Proteção de Dados prevê que a entidade empresarial utilize a ferramenta do risk assessment, a fim de mapear e prevenir as ameaças atreladas ao processo do tratamento das informações pessoais coletadas dos titulares. 
A Lei Geral de Proteção de Dados, na redação do dispositivo 5°, inciso XVII, menciona como uma das formas de risk assessment, a confecção do Relatório de Impacto à Proteção de Dados (RIPD). Este instrumento é de responsabilidade do controlador, pelo qual, toda e qualquer operação que seja realizado o tratamento de dados pessoais que possa gerar riscos às liberdades civis e aos direitos fundamentai deverá ser realizada a descrição dos processos para mitigação dos riscos e das responsabilidades. 
Esta avaliação deverá ser incorporada dentro dos procedimentos de governança em privacidade corporativa do controlador, servindo como base para o cumprimento de diversos princípios da LGPD, principalmente aos princípios da finalidade, adequação, necessidade, segurança e prevenção, previstos no texto do dispositivo 6° da lei. 
Em que pese a Agência Nacional de Proteção de Dados – ANPD ainda esteja em composição, quando estiver no exercício das suas atribuições, a agência poderá solicitar ao controlador o referido Relatório de Impacto, e, por essa razão, é de suma importância que todas as empresas iniciem o mapeamento de dados, também denominado como inventário de dados ou data mapping.
Assim como o Relatório de Impactos de Proteção de Dados, o Legitimate Interests Assessment (LIA), também conhecido como Avaliação de Legítimo Interesse, é bastante importante no setor corporativo, uma vez que tem o condão de atestar que o interesse do controlador dos dados pessoais não sobrepõe aos direitos dos titulares das informações.
Dessa forma, muito embora o interesse legítimo seja considerado uma alternativa legal que autoriza a coleta e tratamento de dados pessoais, isso não isenta a empresa de demonstrar os motivos que levaram a essa conclusão com justificativas razoáveis. 
Por fim, não menos importante, cumpre mencionar também o instrumento denominado de privacy assessment, também conhecido como Avaliação de Privacidade (AP). Este documento tem como finalidade mensurar o grau de conformidade da empresa com as normas previstas no ordenamento jurídico brasileiro vigente, assim como também tem a finalidade de verificar se as políticas internas estão sendo efetivas na empresa. 
Nesse diapasão, nota-se que o risk assessment poderá ser verificado nas atividades empresariais de diversas formas, no entanto, seja qual for a forma utilizada para mapeamento de riscos, o que não se deve perder de vista é que esta análise deve ser constantemente realizada e reavaliada pelas empresas, com intuito de proteger a entidade das severas penalidades previstas na lei ou até mesmo prejuízos a sua reputação perante o mercado.
Recorde-se ainda que a entidade empresarial além de obter a responsabilidade de agir de forma preliminar na análise de riscos no tratamento dos dados pessoais, ela também precisa estar preparada para um eventual vazamento de informações. Tal ponto é de suma importância, uma vez que a empresa, seguindo as orientações previstas na Lei Geral de Proteção de Dados, ao verificar a exposição indevida dos dados pessoais dos titulares, deverá tornar o fato público e reparar, de imediato, a falha no armazenamento dos dados que decorreu a exposição das informações. 
Considerando as exigências contidas na legislação que tutela o tratamento dos dados pessoais e as severas punições caso o tratamento não seja realizado conforme determina o texto de lei, não há como negar a importância da entidade empresarial obter uma equipe técnica e jurídica especializada no assunto, expert no desenvolvimento de medidas preventivas - como a utilização de ferramentas de risk assessment -, a fim de proteger a empresa das sanções administrativas e judiciais.
Sem sombra de dúvidas, as instituições empresariais precisam investir em profissionais com expertise no assunto e que tenham habilidade técnica nas ferramentas efetivas na mitigação de riscos, como forma de erradicar os eventuais prejuízos financeiros da empresa.

Ana Paula Ribeiro Serra é advogada do escritório MoselloLima Advocacia. Especialista em Direito Empresarial e Direito Digital.  
 

2021 - 2024. MoselloLima. Todos os direitos reservados.
Produzido por: Click Interativo - Agência Digital

Usamos cookies para armazenar informações sobre como você usa o nosso site e as páginas que visita. Tudo para tornar sua experiência a mais agradável possível. Para obter mais informações, consulte a nosso política de privacidade e nossa política de cookies. E para entender os tipos de cookies que utilizamos, clique em Opções. Ao clicar em Aceito, você consente com a utilização de cookies.

Aceito Opções

Definições

Queremos ser transparentes sobre os dados que nós e os nossos parceiros coletamos e como os utilizamos, para que você possa controlar melhor os seus dados pessoais. Para obter mais informações, consulte a nossa política de privacidade e nossa politíca de cookies.

O que são cookies?

Cookies são arquivos salvos em seu computador, tablet ou telefone quando você visita um site.

Usamos os cookies necessários para fazer o site funcionar da melhor forma possível e sempre aprimorar os nossos serviços.

Alguns cookies são classificados como necessários e permitem a funcionalidade central, como segurança, gerenciamento de rede e acessibilidade. Estes cookies podem ser coletados e armazenados assim que você inicia sua navegação ou quando usa algum recurso que os requer.

Gerenciar preferências de consentimento

Utilizamos softwares analíticos de terceiros para coletar informações estatísticas sobre os visitantes do nosso site. Esses plugins podem compartilhar o conteúdo que você fornece para terceiros. Recomendamos que você leia as políticas de privacidade deles.

Bloquear / Ativar
Google Analytics
Necessário

São aqueles que permitem a você navegar pelo site e usar recursos essenciais, como áreas seguras, por exemplo. Esses cookies não guardam quaisquer informações sobre você que possam ser usadas em ações de comunicação de produto ou serviço ou para lembrar as páginas navegadas no site.

Bloquear / Ativar
Site
Necessário