Apesar de fazer a gestão de dados e se adequar à LGPD, as empresas também precisam lidar com os possíveis riscos. Afinal de contas, muitas vezes, não existe uma forma de garantir 100% a segurança dos dados. É o que acontece, por exemplo, em casos de ataques de hackers.
No entanto, a forma como as empresas lidam com esses riscos e o que ela faz para mitigá-los é o que importa.
Por esse motivo, é importante compreender o conceito de gestão de riscos: o que é, quais os objetivos, como fazer e qual é a sua relação com a LGPD.
O que são riscos
Os riscos são qualquer tipo de situação que pode afetar a capacidade de atingir os objetivos. Sendo assim, qualquer atividade e decisão têm seus riscos inerentes.
No contexto empresarial, os riscos podem ser divididos a partir da sua origem: existem os riscos internos, que a empresa pode adotar medidas para mitigar, e os riscos externos, que a empresa não tem controle.
Entre os riscos internos – que a empresa pode gerir -, se destacam aqueles decorrentes de processos inadequados ou da ineficiência de controle interno. Alguns exemplos dessas situações são fraudes, erros de pessoas colaboradoras, falta de planejamento e investimentos mal sucedidos.
De forma geral, são ações que causam insucesso de uma área estratégica e repercutem no resultado da organização em si.
Natureza dos riscos
A partir de suas características específicas, os riscos empresariais podem ser classificados em econômico, operacional e legal.
RISCO ECONÔMICO
O risco econômico refere-se à possibilidade de a empresa ter prejuízos financeiros decorrentes de transações ou investimentos.
Então, quando a empresa decide investir em um novo modelo de negócio ou em uma nova tecnologia, por exemplo, corre o risco de não ter o retorno financeiro que esperava ou, em um cenário pior, ter prejuízos.
É por isso que em todas as decisões de novos investimentos, a empresa deve calcular a relação do risco e do retorno e, a partir disso, verificar se vale a pena.
RISCO OPERACIONAL
Os riscos operacionais referem-se àqueles referentes aos recursos da organização, principalmente à mão de obra, à tecnologia, aos materiais e aos equipamentos.
Dessa forma, nesse tipo de risco pode-se incluir:
- Acidentes de transporte
- Abastecimento de energia
- Falha na comunicação
- Falha em equipamentos
- Acidente de trabalho ou doença ocupacional
- Acidentes de trajeto
RISCO LEGAL
Por fim, o risco legal refere-se à possibilidade de sofrer consequências decorrentes do descumprimento de normas legais.
Ou, quando menos, trata-se de impedimentos que legislações podem trazer às estratégias da empresa ou aos seus resultados.
Nesse sentido, os riscos podem compreender diversas áreas do ordenamento jurídico. Podem ser da área criminal, cível, trabalhista, ambiental, tributário e por aí vai.
O que é gestão de riscos
De forma geral, a gestão de riscos é a adoção de medidas para prevenir ou eliminar os riscos. Além disso, é a identificação de oportunidades que podem gerar valor para o negócio.
Em outras palavras, trata-se de uma série de processos que têm o objetivo de alinhar as oportunidades aos riscos: quais são os impactos possíveis e qual é a probabilidade de acontecer.
Ou seja: a gestão de riscos é estabelecer estratégias que equilibrem as metas e os objetivos da empresa aos riscos para a empresa.
Gestão de Risco na LGPD
De início, é fundamental reiterar que a Lei nº 13.709, Lei Geral de Proteção de Dados (LGPD) já está em vigor e tem como finalidade principal proteger a privacidade das pessoas de forma física e digital.
Ou seja: o principal objetivo da LGPD é evitar o vazamento de dados e o seu compartilhamento de dados de forma ilegal.
Parte-se, inclusive, do pressuposto de que os dados pessoais não se deslocam da realidade das pessoas. Então, alguns tipos de tratamento desses dados interferem diretamente nas rotinas das pessoas.
Sendo assim, as empresas que descumprirem as regras da LGPD passaram a ser responsabilizadas através de sanções administrativas: que vão desde advertências e multas até o bloqueio e eliminação dos dados pessoais e dados pessoais sensíveis.
Foi nesse contexto que a LGPD criou o relatório de impacto à proteção de dados pessoais (RIPDP).
Em outras palavras, o relatório de impacto é um documento que identifica e mapeia os riscos das práticas de tratamentos de dados de uma empresa.
Mas não só isso: esse relatório também tem a função de identificar se as medidas e procedimentos de segurança são suficientes para mitigar os riscos mapeados.
Ou seja, a gestão de riscos faz parte da própria base normativa da LGPD. Já que o relatório de impacto é uma ferramenta de gestão de riscos.
Gestão de risco e compliance
Da mesma forma, gestão de risco e compliance são atividades que se relacionam diretamente.
O termo em inglês “compliance” vem do verbo “to comply” que, em português, significa se adequar, agir de acordo, obedecer.
Ao contrário do que se pensa, esse não é um conceito novo. O termo compliance já era utilizado na década de 60, quando a legislação dos Estados Unidos definiu normas e leis anticorrupção.
Nesse contexto, compliance refere-se a um conjunto de ações cujo objetivo é se adequar às diretrizes e às especificações de uma atividade. Ou seja: estar em conformidade com todas as leis, normas, políticas e procedimentos de um segmento específico.
Pode parecer óbvio que uma empresa tem a obrigação de se manter dentro da lei. No entanto, além de simplesmente evitar sanções, prestar atenção no compliance diz respeito às estratégias de negócio da empresa.
Já que os benefícios do compliance são:
- Diminuir chances de irregularidades, fraudes e corrupção;
- Otimizar os relacionamentos no ambiente de trabalho;
- Diminuir riscos de sanções e punições.
Afinal de contas, muito além de simplesmente se livrar de punições ou de ações judiciais, atender às disposições do compliance garante que a empresa não coloque em risco as estratégias de seus negócios.
Como fazer gestão de riscos
Aqui estão os passos para fazer a gestão de riscos:
1. MAPEAMENTO E IDENTIFICAÇÃO DOS RISCOS
Antes de tomar qualquer providência, o primeiro passo é conhecer o contexto da sua empresa.
Você pode começar, por exemplo, fazendo as seguintes perguntas:
- Quais são os pontos fortes da empresa?
- Quais são as fragilidades da empresa?
- Em que contexto a empresa está inserida: amadurecimento, crescimento, expansão ou consolidação?
- Quais são os objetivos do negócio?
A partir disso, você vai conseguir mapear e identificar os riscos empresariais.
2. ANÁLISE QUALITATIVA DOS RISCOS
Depois de mapear os riscos, é hora de entender como são os processos e as atividades da organização.
A partir disso, será possível fazer uma análise qualitativa dos riscos. Ou seja: definir qual é o grau de importância de cada risco e qual é a probabilidade de ele acontecer.
3. ANÁLISE QUANTITATIVA DOS RISCOS
Em seguida, deve-se fazer uma análise quantitativa desses riscos. Isso significa investigar, com precisão numérica, quais são os potenciais impactos e efeitos dos riscos que você mapeou.
Se você identificou, por exemplo, um risco financeiro em razão de um novo investimento, faça os cálculos para estimar de quantos reais será esse impacto.
4. PLANEJAMENTO DE PROVIDÊNCIAS
Depois de mapear os dados e analisá-los de forma qualitativa e quantitativa, você vai conseguir estabelecer uma ordem de prioridade.
Sem dúvida, essa ordem deve levar em consideração os riscos com maior impacto e maior probabilidade de acontecerem.
Em seguida, você precisa criar um planejamento para monitorar e para eliminar esses riscos. Considere todas as providências que você pode tomar para mitigar o risco no maior grau possível.
5. FAÇA O ACOMPANHAMENTO
Depois de estabelecer quais serão as providências que devem ser tomadas para lidar com os riscos, você deve seguir com o acompanhamento do andamento das ações.
Entenda como o risco se comporta ao longo do tempo e qual é a eficiência das providências que estão sendo tomadas.
Existem diversas ferramentas que contribuem para esse acompanhamento: controles sistematizados, relatórios e indicadores de desempenho, por exemplo.
Bom, já deu para perceber que, quando se tratam de estratégias para segurança de dados, são muitas possibilidades, não é mesmo?
Não tem como fugir. Não basta que sua empresa se adéque totalmente à LGPD, é necessário realmente repensar nos processos da empresa e nos possíveis riscos.
Nesse caso, é fundamental contar com conhecimentos técnicos e aprofundados. Para garantir a sua segurança jurídica, conversar com uma assessoria jurídica personalizada é uma alternativa.
A assessoria irá entender quais são as suas necessidades específicas e fornecerá recomendações úteis ao seu negócio.
Se quiser se aprofundar no assunto de segurança dos dados no Brasil, faça o download do E-book sobre a LGPD da Locus Iuris.
Escrito por Beatriz Coelho, redatora e mestra em Direito.