Artigo Destaque dos editores

Gestão de riscos na Lei Geral de Proteção de Dados

06/05/2023 às 09:00
Leia nesta página:

A LGPD afeta praticamente todas as organizações e, por ter uma margem muito ampla de regulação, muitos riscos de conformidade podem ser identificados.

A gestão de riscos pode ser vista como uma espécie de “serviço” dentro da empresa. Ela tem entregas a fazer para a organização. Sua finalidade, porém, não é blindar, nem necessariamente evitar todos os riscos, mas consiste em identificá-los e ajudar a tratá-los, para diminuir impactos ou prevenir perdas, de acordo com o chamado “apetite para riscos” dos sócios ou gestores de cada área.

Pois bem, uma das entregas da gestão de riscos está na identificação - dentre outros - dos “riscos de conformidade”, ou seja, consiste em mapear leis, regulamentos etc. que impactam diretamente o negócio, e ajudar no gerenciamento dos riscos mais significativos.

Como você já pode perceber, um bom exemplo desse tipo de “serviço” está nos riscos ligados à legislação de proteção de dados. Afinal, a LGPD afeta praticamente todas as organizações e, por ter uma margem muito ampla de regulação, muitos riscos de conformidade podem ser identificados ao longo do próprio texto legal. Ou seja, temos um “serviço” bastante prolífico para explorar.

Embora o processo do gerenciamento de riscos seja composto pelas etapas complementares de identificação, análise e avaliação dos riscos envolvidos, vamos falar aqui - por limite de tempo e espaço - apenas da primeira, a identificação de riscos na LGPD.

Inicialmente, a identificação dos riscos de conformidade ligados à lei depende da análise das obrigações que ela prevê para as organizações e, claro, das consequências negativas em caso de desconformidade, isto é, quais os riscos para quem descumpre o que diz a legislação.

Para isso, todavia, é necessário resgatarmos algumas ideias iniciais sobre a Lei Geral de Proteção de Dados. Embora já vá completar cinco aniversários agora em 2023, a lei ainda é desconhecida por muitos empreendedores (e até por alguns profissionais do direito).

Pois bem, vamos esclarecer, logo, que a LGPD não veio proibir a utilização de informações pessoais pelas empresas. Mas, sim, ela estabeleceu regras, limites e condições para que o tratamento de dados pessoais possa ser considerado como regular. Ou seja, ainda é permitido que as organizações coletem, processem e compartilhem informações de pessoas? Sim, desde que estejam fazendo isso nos termos da LGPD.

O primeiro risco de conformidade a ser observado, portanto, consiste em olhar para os processos da empresa e compará-los com a lei, de modo a identificar se o tratamento de dados pessoais que vem sendo realizado está regular.

Acontece que a LGPD não consegue estabelecer, de maneira explícita, o conceito do tratamento regular de dados pessoais. Mas a regularidade do tratamento pode ser conceituada por exclusão, isto é, a partir daquilo que a lei considera como “tratamento irregular”:

“Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:

I - o modo pelo qual é realizado;

II - o resultado e os riscos que razoavelmente dele se esperam;

III - as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado”.

Desse trecho legal já é possível identificar, pelo menos, duas instâncias de riscos a serem gerenciados na LGPD: aqueles ligados à segurança do tratamento de dados e aqueles sobre a conformidade estrita à lei.

Portanto, se os processos da empresa que envolvem dados pessoais estiverem de acordo com as regras específicas da LGPD, e se o tratamento está sendo realizado de maneira segura em relação à privacidade e à intimidade da pessoa, então, a sua gestão de riscos, nesse ponto, deve ser bastante tranquila.

Claro, outros riscos de conformidade devem ser observados ao longo da lei. Poderemos conversar melhor sobre eles em outra oportunidade.  

Assuntos relacionados
Sobre o autor
Gabriel Barroso Fortes

Advogado, Pós-Graduado em Direito Digital e Compliance, MBA em Liderança Estratégica e Gestão Financeira, Mestre em Direito Constitucional, Head da área de Proteção de Dados do escritório Fortes Nasar Advogados. CPC-PD ©

Como citar este texto (NBR 6023:2018 ABNT)

FORTES, Gabriel Barroso. Gestão de riscos na Lei Geral de Proteção de Dados. Revista Jus Navigandi, ISSN 1518-4862, Teresina, ano 28, n. 7248, 6 mai. 2023. Disponível em: https://jus.com.br/artigos/103958. Acesso em: 22 fev. 2024.

Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!
Publique seus artigos