{"id":4902,"date":"2021-12-16T15:31:05","date_gmt":"2021-12-16T18:31:05","guid":{"rendered":"https:\/\/netdeep.com.br\/novo\/?p=4902"},"modified":"2026-02-25T10:09:02","modified_gmt":"2026-02-25T13:09:02","slug":"avaliacao-de-riscos-para-a-lgpd","status":"publish","type":"post","link":"https:\/\/netdeep.com.br\/novo\/avaliacao-de-riscos-para-a-lgpd\/","title":{"rendered":"Avalia\u00e7\u00e3o de Riscos para a LGPD"},"content":{"rendered":"<p>A LGPD \u2013 Lei Geral de Prote\u00e7\u00e3o de Dados, foi sancionada em agosto de 2018, entrou em vigor em agosto de 2020, e em Agosto de 2021 come\u00e7aram a suas san\u00e7\u00f5es.<\/p>\n<p>A LGPD tem como principal finalidade garantir a transpar\u00eancia no \u201ctratamento\u201d de dados pessoais ou dados pessoais sens\u00edveis (de pessoas f\u00edsicas). O Tratamento \u00e9 toda opera\u00e7\u00e3o realizada com dados pessoais, como as que se referem a coleta, produ\u00e7\u00e3o, recep\u00e7\u00e3o, classifica\u00e7\u00e3o, utiliza\u00e7\u00e3o, acesso, reprodu\u00e7\u00e3o, transmiss\u00e3o, descarte, dentre outras.<\/p>\n<p>Se olharmos a LGPD com um pouco mais de calma, podemos dizer que ela se apresenta com regras em rela\u00e7\u00e3o a quest\u00f5es jur\u00eddicas, processuais e tecnol\u00f3gicas. Em nossa rela\u00e7\u00e3o com o tema deste artigo, vamos considerar apenas o aspecto tecnol\u00f3gico.<\/p>\n<p>Em seu cap\u00edtulo VII, Se\u00e7\u00e3o I, Art. 46, temos como disposto: \u201c<em>Os agentes de tratamento devem adotar medidas de seguran\u00e7a, t\u00e9cnicas e administrativas aptas a proteger os dados pessoais de acessos n\u00e3o autorizados e de situa\u00e7\u00f5es acidentais ou il\u00edcitas de destrui\u00e7\u00e3o, perda, altera\u00e7\u00e3o, comunica\u00e7\u00e3o ou qualquer forma de tratamento inadequado ou il\u00edcito\u201d.<\/em><\/p>\n<p>Diante do cen\u00e1rio atual de ciberseguran\u00e7a, podemos afirmar que as empresas que armazenam dados pessoais, possuem um grande desafio para implementar medidas de seguran\u00e7a, que garantam prote\u00e7\u00e3o ou mitiguem os riscos existentes em rela\u00e7\u00e3o aos dados pessoais.<\/p>\n<p>No cen\u00e1rio de ciberseguran\u00e7a, uma das principais atividades realizadas para determinar onde devemos intensificar nossos esfor\u00e7os em prote\u00e7\u00e3o das informa\u00e7\u00f5es, \u00e9 a Avalia\u00e7\u00e3o de Riscos.<\/p>\n<h2>A import\u00e2ncia de uma Avalia\u00e7\u00e3o de Riscos no ambiente de TI<\/h2>\n<p>Uma avalia\u00e7\u00e3o de riscos realizada de forma correta, com uma metodologia adequada (conforme prega a ISO 31000 \u2013 Gest\u00e3o de Riscos), pode nos dizer onde est\u00e3o os principais riscos e impactos, e consequentemente nos mostrando onde devemos colocar nossos esfor\u00e7os num primeiro momento.<\/p>\n<p>Quando falamos de medidas de prote\u00e7\u00e3o relacionadas ao tema seguran\u00e7a das informa\u00e7\u00f5es, \u00e9 fundamental a ado\u00e7\u00e3o de uma avalia\u00e7\u00e3o de riscos. Onde investir os esfor\u00e7os em prote\u00e7\u00e3o para as informa\u00e7\u00f5es cr\u00edticas da empresa e dos dados pessoais?<\/p>\n<p>O resultado da avalia\u00e7\u00e3o de riscos responde essa pergunta.<\/p>\n<p>Especificamente a matriz de riscos ou matriz de probabilidade e impacto \u00e9 uma ferramenta de gerenciamento de riscos que permite de forma visual identificar quais s\u00e3o os riscos que devem receber mais aten\u00e7\u00e3o. A avalia\u00e7\u00e3o de riscos tamb\u00e9m permitir\u00e1 identificar, analisar e avaliar as amea\u00e7as e vulnerabilidades que exp\u00f5em os dados pessoais que est\u00e3o sendo tratados.<\/p>\n<h2>Avalia\u00e7\u00e3o de Riscos aos Dados Pessoais<\/h2>\n<p>Para falarmos especificamente da prote\u00e7\u00e3o de dados pessoais e dados pessoais sens\u00edveis, a LGPD trouxe alguns conceitos \u201cnovos\u201d relacionado a avalia\u00e7\u00e3o de riscos. A LGPD diz em seu \u201c<em>Art. 5\u00ba, XVII \u2013 relat\u00f3rio de impacto \u00e0 prote\u00e7\u00e3o de dados pessoais: documenta\u00e7\u00e3o do controlador que cont\u00e9m a descri\u00e7\u00e3o dos processos de tratamento de dados pessoais que podem gerar riscos \u00e0s liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitiga\u00e7\u00e3o de risco\u201d<\/em>. Este relat\u00f3rio tamb\u00e9m chamado de DPIA, consiste na an\u00e1lise dos impactos dos dados pessoais. Tanto a LGPD quanto a GDPR n\u00e3o definem uma estrutura de relat\u00f3rio de impacto; as empresas podem fazer uso de modelos e pr\u00e1ticas de mercado.<\/p>\n<p>O primeiro passo para elabora\u00e7\u00e3o do DPIA \u00e9\u00a0<strong>realizar a avalia\u00e7\u00e3o de riscos dos processos que envolvem dados pessoais<\/strong>. Tamb\u00e9m no Art. 50, \u00a7 1\u00ba a LGPD estabelece que\u00a0<em>\u201cAo estabelecer regras de boas pr\u00e1ticas, o controlador e o operador levar\u00e3o em considera\u00e7\u00e3o, em rela\u00e7\u00e3o ao tratamento e aos dados, a natureza, o escopo, a finalidade e a\u00a0<strong>probabilidade e a gravidade<\/strong>\u00a0dos riscos e dos benef\u00edcios decorrentes de tratamento de dados do titular\u201d.<\/em><\/p>\n<p>Com a realiza\u00e7\u00e3o da avalia\u00e7\u00e3o de riscos, a empresa pode garantir que sejam implementados n\u00edveis apropriados de medidas t\u00e9cnicas e organizacionais para prote\u00e7\u00e3o dos dados pessoais e evitar que riscos ocorram.<\/p>\n<p>\u00c9 fundamental que a avalia\u00e7\u00e3o de riscos seja realizada apenas depois que os processos foram mapeados atrav\u00e9s do Data Mapping (tema para um outro artigo a ser publicado), onde \u00e9 poss\u00edvel identificar as caracter\u00edsticas do processo em rela\u00e7\u00e3o aos dados pessoais envolvidos (quais dados est\u00e3o sendo tratados, fluxo de vida dos dados, respons\u00e1veis, armazenamento, destino, descarte).<\/p>\n<p>Somente assim ser\u00e1 poss\u00edvel analisar os principais riscos que envolvem os processos. Cada processo que envolva dados pessoais, deve ser avaliado de forma individualizada, mesmo que alguns riscos sejam inerentes a v\u00e1rios processos.<\/p>\n<div id=\"attachment_3050\" class=\"wp-caption aligncenter\">\n<p><a href=\"https:\/\/www.netdeep.com.br\/blog\/wp-content\/uploads\/2021\/12\/Matriz-de-Avaliacao-de-Risco.jpeg\"><img loading=\"lazy\" decoding=\"async\" class=\"size-full wp-image-3050\" src=\"https:\/\/www.netdeep.com.br\/blog\/wp-content\/uploads\/2021\/12\/Matriz-de-Avaliacao-de-Risco.jpeg\" alt=\"\" width=\"843\" height=\"480\" aria-describedby=\"caption-attachment-3050\" \/><\/a><\/p>\n<p id=\"caption-attachment-3050\" class=\"wp-caption-text\">Exemplo de Matriz de Riscos<\/p>\n<\/div>\n<p>A norma ABNT NBR ISO\/IEC 27701:2019 \u2013 T\u00e9cnicas de seguran\u00e7a para gest\u00e3o da privacidade da informa\u00e7\u00e3o \u2014 Extens\u00e3o da ABNT NBR ISO\/IEC 27001 e ABNT NBR ISO\/IEC 27002, tamb\u00e9m estabelece controles em rela\u00e7\u00e3o a prote\u00e7\u00e3o de dados pessoais.<\/p>\n<p>Um de seus controles \u00e9 a exig\u00eancia de documenta\u00e7\u00e3o de todo o processo de avalia\u00e7\u00e3o de risco (cl\u00e1usulas 5.4.1.2 ISO 27701 e 6.1.2 ISO 27001), chamado de metodologia de avalia\u00e7\u00e3o de risco.<\/p>\n<h2>Derrubando alguns mitos<\/h2>\n<p>Existem muitos mitos sobre como deve ser a avalia\u00e7\u00e3o de riscos de dados pessoais, mas na realidade os requisitos das ISOs e da LGPD n\u00e3o s\u00e3o muito dif\u00edceis.<\/p>\n<p>\u00c9 importante come\u00e7ar de forma correta, mas simples, a fim de n\u00e3o inserir uma complexidade desnecess\u00e1ria ao processo.<\/p>\n<p>A avalia\u00e7\u00e3o de riscos n\u00e3o deve ser focada apenas em tecnologia, mas tamb\u00e9m em processos e pessoas.<\/p>\n<p>Os requisitos necess\u00e1rios s\u00e3o basicamente:<\/p>\n<ul>\n<li>Identificar os riscos de dados pessoais que podem causar a perda de confidencialidade, integridade e \/ ou disponibilidade de suas informa\u00e7\u00f5es (V\u00e1rias t\u00e9cnicas podem ser utilizadas para identifica\u00e7\u00e3o de riscos (ISO 31000). A metodologia para identifica\u00e7\u00e3o risco de DP foi prescrita na atual vers\u00e3o da ISO 27701: 2020 direcionando que voc\u00ea pode identificar riscos com base em seus processos, com base em seus departamentos, usando apenas amea\u00e7as e n\u00e3o vulnerabilidades, ou qualquer outra metodologia que seja aceit\u00e1vel);<\/li>\n<li>Identificar o propriet\u00e1rio do risco (\u00e9 importante delegar o acompanhamento de cada risco a um respons\u00e1vel, que ser\u00e1 conhecido como o dono do risco (Risk Owner), e ser\u00e1 tamb\u00e9m o respons\u00e1vel pela resposta ao risco, sendo que estas respostas devem ser adequadas, eficientes, realistas, acordadas e oportunas);<\/li>\n<li>Avaliar as consequ\u00eancias e probabilidade do risco (Deve avaliar separadamente o impacto (consequ\u00eancias) e a probabilidade de cada um de seus riscos, n\u00e3o existe uma padroniza\u00e7\u00e3o de uso de escalas para classifica\u00e7\u00e3o dos resultados. Podem ser utilizados valores qualitativos para facilitar a classifica\u00e7\u00e3o (N\u00e3o aplic\u00e1vel, Baixa, M\u00e9dia, Alta ou escala num\u00e9rica de 1 a 10);<\/li>\n<li>Calcular o risco (Pode ser feito de forma simples, apenas somando ou multiplicando-se os valores estabelecidos para impacto e probabilidade. Aqui tamb\u00e9m podemos fazer uso de valores qualitativos para facilitar a classifica\u00e7\u00e3o (N\u00e3o aplic\u00e1vel, Baixa, M\u00e9dia, Alta ou escalas num\u00e9ricas, ex.: 1 a 10);<\/li>\n<li>Definir crit\u00e9rios para aceitar riscos (Com base na classifica\u00e7\u00e3o de riscos definida na etapa anterior, deve-se definir quais riscos ser\u00e3o tratados num primeiro momento e quais riscos ser\u00e3o aceitos (apetite de riscos). Os riscos com n\u00edveis de criticidade mais baixos, podem ser definidos como aceit\u00e1veis;<\/li>\n<li>Elaborar planos de a\u00e7\u00e3o para mitiga\u00e7\u00e3o dos riscos (Implementar planos de a\u00e7\u00e3o para mitigar tais riscos. Os planos de a\u00e7\u00e3o devem contemplar a implementa\u00e7\u00e3o de controles preventivos, de detec\u00e7\u00e3o e corretivos, de forma que estes controles sejam adequados a cada risco (amea\u00e7a)<\/li>\n<\/ul>\n<p>N\u00e3o comece a avaliar riscos relacionados a dados pessoais (DP) antes de avaliar\/adaptar a metodologia \u00e0 sua realidade, cultura e \u00e0s suas necessidades.<\/p>\n<p>Muitos riscos podem estar relacionados aos ambientes tecnol\u00f3gicos que suportam os processos. Identificar e prover tratamento a todos os riscos, pode ser uma tarefa \u00e1rdua num primeiro momento. Recomendamos que o foco inicial esteja naqueles riscos relacionados especificamente a prote\u00e7\u00e3o de dados pessoais, tais como dados expostos indevidamente, descartados incorretamente, roubados, perdidos). \u00c9 muito prov\u00e1vel que os planos de a\u00e7\u00e3o remetam a atividades que envolvam \u201cN\u201d \u00e1reas para atua\u00e7\u00e3o (tecnologia, jur\u00eddico, recursos humanos). Os planos de a\u00e7\u00e3o ser\u00e3o t\u00e3o complexos, quanto menor o n\u00edvel de seguran\u00e7a existente na sua empresa.<\/p>\n<p>Os processos s\u00e3o din\u00e2micos dentro das empresas, afetando diretamente como os dados pessoais s\u00e3o tratados ao longo do tempo. Frente a esta afirma\u00e7\u00e3o, a avalia\u00e7\u00e3o de riscos deve ser estabelecida de forma recorrente, a fim de manter as a\u00e7\u00f5es de prote\u00e7\u00e3o efetivas, diante de poss\u00edveis mudan\u00e7as no tratamento dos dados pessoais.<\/p>\n<p>Uma vez que esses riscos foram \u201ctratados\u201d atrav\u00e9s dos planos de a\u00e7\u00e3o, podemos dizer que a empresa realiza a gest\u00e3o de amea\u00e7as de forma eficaz, elevando seu n\u00edvel de prote\u00e7\u00e3o em rela\u00e7\u00e3o aos dados pessoais e atendendo a demanda da LGPD.<\/p>\n<h2>Consultoria<\/h2>\n<p>&nbsp;<\/p>\n<p>A NETDEEP tem apoiado muitas empresas na Avalia\u00e7\u00e3o de Riscos em todo o seu ambiente tecnol\u00f3gico. Se voc\u00ea precisa de ajuda entre em\u00a0<a href=\"https:\/\/www.netdeep.com.br\/secure\/contato\/\" target=\"_blank\" rel=\"noopener\">contato conosco<\/a>.<\/p>\n<p>Ser\u00e1 um prazer lhe ajudar!<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>A LGPD \u2013 Lei Geral de Prote\u00e7\u00e3o de Dados, foi sancionada em agosto de 2018, entrou em vigor em agosto de 2020, e em Agosto de 2021 come\u00e7aram a suas san\u00e7\u00f5es. A LGPD tem como principal finalidade garantir a transpar\u00eancia no \u201ctratamento\u201d de dados pessoais ou dados pessoais sens\u00edveis (de pessoas f\u00edsicas). O Tratamento \u00e9&#8230;<\/p>\n","protected":false},"author":1,"featured_media":5318,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[33],"tags":[],"class_list":["post-4902","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-seguranca-da-informacao","article-list-item","animate"],"_links":{"self":[{"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/posts\/4902","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/comments?post=4902"}],"version-history":[{"count":2,"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/posts\/4902\/revisions"}],"predecessor-version":[{"id":5319,"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/posts\/4902\/revisions\/5319"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/media\/5318"}],"wp:attachment":[{"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/media?parent=4902"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/categories?post=4902"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/netdeep.com.br\/novo\/wp-json\/wp\/v2\/tags?post=4902"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}