Todas as empresas, seja de pequeno ou grande porte, nova ou não, devem ter incluído em seus processos o mapeamento de riscos, a fim de preservar sua saúde em geral, especialmente quando os riscos estão ligados a vazamento de dados.
Afinal, o mapeamento de risco evita que a empresa tenha prejuízos em todas as suas áreas, gerenciando-os e identificando, também, possíveis melhorias.
- O que é mapeamento de riscos?
- Como o mapeamento de riscos auxilia a empresa a estar em compliance?
- Mapeamento de riscos na LGPD
- Importância do mapeamento de riscos para a área de TI
- Checklist de conformidade à Lei Geral de Proteção de Dados
O que é mapeamento de riscos?
O mapeamento de riscos é, de forma geral, uma representação de todos os fatores, de quaisquer gêneros, que ameaçam a saúde da empresa. Esses riscos podem estar relacionados ao próprio ambiente de trabalho, às legislações e riscos técnicos, por exemplo.
Para um bom gerenciamento de riscos são listadas as principais ameaças às quais a empresa está exposta, bem como a probabilidade de que ocorram e as medidas e planos adotados para prevenir e minimizar esses riscos.
Para que o mapeamento de riscos é utilizado?
O mapa de riscos é uma das medidas que se encaixam dentro da gestão de riscos de uma empresa. O objetivo é diminuir os riscos através do controle e da redução destes até que, em algum momento, eles sejam extintos.
O mapa de riscos funciona como um dispositivo preliminar à riscos e que ajuda a planejar as ações preventivas que serão tomadas por parte das empresas.
Para que a análise ocorra da melhor forma possível, a elaboração deste mapa deve ser realizada de forma conjunta, com a participação de todos os envolvidos da área.
Agora, uma vez que este mapa serve como um indicador que informa o nível dos riscos a fim de obter um diagnóstico da situação, ele deve ficar sempre visível.
Como o mapeamento de riscos auxilia a empresa a estar em compliance?
Como vimos, identificar os riscos que ameaçam uma empresa é essencial para mantê-la saudável e deve ser uma medida praticada em todas as suas áreas.
Além disso, o mapeamento de riscos serve também para identificar possíveis faltas relacionadas à legislações. Nesse aspecto, a empresa deve buscar entender se seus processos estão em compliance com às legislações que se aplicam à sua área de atuação e se previne de possíveis sanções.
O exemplo que traremos como foco neste artigo é a Lei Geral de Proteção de Dados – LGPD. Ela foi inspirada no General Data Protection Regulation – GDPR, a Lei de privacidade e proteção de dados pessoais sancionada na União Europeia em 2018.
Assim, como a europeia, a lei brasileira veio para regulamentar o tratamento de dados pessoais pelas empresas e definir quais são os direitos dos titulares desses dados.
Vigente desde setembro de 2020 no Brasil, a Lei é aplicada a todas as empresas, de direito público ou privado, que realizam o tratamento de dados pessoais, isto é, coleta, processa, armazena dados pessoais, entre outros tipos de tratamento.
Com base nessa premissa, entendemos que muitas são as empresas que estão debaixo desta jurisdição, uma vez que o número de empresas que se utilizam dos dados pessoais de seus clientes é altíssimo.
Logo, realizar um mapeamento de riscos para identificar quais processos estão desalinhados à LGPD é essencial para evitar as sanções e multas destinadas às empresas que descumprirem a legislação.
Mapeamento de riscos na LGPD
Prova de que o mapeamento de riscos é essencial é que, de acordo com um estudo realizado em 2020 pela ICTS Protiviti, uma consultoria de ética e compliance, entre 104 empresas brasileiras de variados ramos analisadas, mais de 80% não estavam preparadas para a legislação.
Ainda de acordo com o estudo, apenas 12,5% realizaram o mapeamento de riscos no âmbito de Segurança da Informação e da proteção de dados.
Para estar em compliance com a LGPD, a empresa controladora dos dados deve respeitar os direitos de liberdade, intimidade e privacidade do titular. Em suma, é preciso estar atento a três pontos principais que são tratados como premissas para o tratamento de dados:
- deve existir um propósito ou finalidade legítima para o tratamento dos dados pessoais;
- a empresa precisa do consentimento informado do titular para o tratamento ou, enquadrar o tratamento em outra base legal, quando aplicável; e
- deve haver transparência na gestão do tratamento dos dados.
Além disso, é preciso estar atento a todos os processos que envolvem o tratamento, respeitando os princípios definidos no texto da Lei. Para saber mais sobre, leia nosso artigo “10 princípios da LGPD: quais são e como cumpri-los corretamente?”.
Como se adequar à LGPD por meio do mapeamento de riscos?
O mapeamento de riscos na LGPD ajuda a empresa controladora a identificar, ponto a ponto, quais os processos que devem ser modificados para estar adequada à Lei.
Primeiramente, a empresa deve realizar a identificação e categorização de todos os dados pessoais tratados por seus processos. O objetivo aqui é o de identificar quais dados são de responsabilidade da empresa e, além disso, assegurar a privacidade da informação.
Depois, deve-se analisar se houve o consentimento do titular para a obtenção daqueles dados e/ou se a finalidade de tratamento é legítima, de acordo com a Lei.
Para entender melhor quais são os direitos dos titulares estabelecidos pela Lei, e que devem ser respeitados pela empresa controladora dos dados pessoais, leia nosso artigo “Direitos do Titular dos Dados: quais são os principais?“.
Assim, surge então o que é chamado de matriz de riscos LGPD, que é a gestão dos riscos sobre a visão da legislação.
A partir dos riscos identificados por meio do mapeamento, a empresa consegue montar um projeto de implementação da LGPD na empresa, criando planos de ação para a solução daqueles problemas.
Importância do mapeamento de riscos para a área de TI
Com o uso cada vez mais disseminado da internet e de recursos digitais, uma das áreas que merece atenção e que necessita de um mapeamento de riscos frequente é a área da Tecnologia da Informação.
Essa medida é considerada crucial para evitar que ameaças, sejam elas internas ou externas, interfiram nos negócios e tragam prejuízos à empresa. Os possíveis problemas que podem ocorrer são:
- falhas humanas;
- interrupção do fornecimento de energia elétrica;
- acidentes;
- ataques cibernéticos como o de vírus ou então malwares;
- desastres naturais;
- problemas de operação do sistema utilizado.
Em outras palavras, o mapeamento é essencial para que a empresa esteja preparada para todas as possíveis ocorrências. Assim será possível identificar, documentar e avaliar todos os processos e riscos da área.
A ideia é analisar todas as brechas de segurança e problemas os quais a empresa pode acabar sofrendo caso não tome o devido cuidado com a segurança de seu sistema.
Tecnologia da Informação e LGPD
Mas além dos riscos citados acima, essa também é uma área que está fortemente ligada à LGPD, o que dobra a necessidade das análises para a mitigação de riscos.
Isso porque um dos pontos abordados pela legislação, e também um dos pontos de maior importância, é a segurança e privacidade do titular dos dados pessoais. Nesse quesito, a área de Tecnologia da Informação tem uma grande parcela de responsabilidade dentro de uma empresa.
Isso porque, conforme observamos no Art. 46 de seu texto, em caso de invasão de terceiros ao banco de dados da empresa, ou ainda no caso de vazamento dos dados do titular, a empresa se torna inteiramente responsável e deve responder pela falta de segurança:
“Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”
No parágrafo 7º da do Art. 52. Lei, lemos ainda:
“§ 7º Os vazamentos individuais ou os acessos não autorizados de que trata o caput do art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo.”
Nesse caso, a empresa estará sujeita a sanções e multas, correndo o risco, ainda, de prejudicar sua imagem perante seus clientes.
Logo, entendemos a importância da área de TI para que a empresa esteja em compliance com a Lei e, consequentemente, compreendemos a necessidade do mapeamento de riscos nesta área.
Como realizar o mapa de risco em Tecnologia da Informação?
Para realizar o mapeamento de riscos na área de TI, existem alguns passos que podem ser seguidos:
- analisar as vulnerabilidades que a empresa possui, como ameaças naturais, a estrutura física, hardware e software e os recursos humanos;
- criar um plano de possibilidades no qual serão listadas todas as ações que podem ser tomadas caso as ameaças se concretizem;
- realizar um treinamento com todos os funcionários da empresa reforçando como devem ser realizados os processos;
- elaborar uma atualização da estrutura física do local, ou seja, dos equipamentos de TI, caso necessário;
- identificar quais problemas são mais urgentes e os que podem esperar mais tempo para serem resolvidos;
- elaborar um projeto de implantação.
E, ao seguir estas indicações, a área de TI consegue então evitar eventuais problemas durante a gestão e o gerenciamento de todos os riscos os quais a empresa sofre.
Checklist de conformidade à Lei Geral de Proteção de Dados
Além dos passos anteriormente citados, no geral, todas as áreas da empresa necessitam ser mapeadas para evitar brechas que possam levar ao descumprimento da LGPD. Para te ajudar nesta tarefa, confira nosso checklist LGPD:
- criar uma estrutura de prestação de contas e de governança dentro da empresa;
- passar a elaborar escopos e planejamentos de projetos para todos os eventuais programas ou serviços a serem desenvolvidos;
- gerar um mapeamento de todos os dados que a empresa possui em seu banco, bem como uma auditoria sobre fluxo de dados;
- realizar diagnósticos periódicos nos quais serão buscadas falhas e brechas de segurança;
- elaborar políticas de segurança de dados, bem como procedimentos e processos operacionais que respeitem as normas da empresa;
- assegurar a proteção dos dados pessoais por meio de diferentes procedimentos e técnicas;
- comunicar toda a equipe de colaboradores e promover treinamentos para que todos estejam de acordo com a forma de atuação da empresa;
- analisar se as medidas adotadas estão surtindo efeito, registrar como referência os processos que estão funcionando e aperfeiçoar aqueles que não estão.
Existem outras indicações para a empresa seguir?
Além dos pontos citados acima, existe existem ainda outras dicas essenciais para a adequação à Lei:
- definir um comitê de implementação da lei que será treinado para responder por todo o tratamento dos dados;
- contratar uma assessoria que irá auxiliar no processo de criação e adaptação de documentos e contratos para assegurar a privacidade;
- Definir quem será o Encarregado de Proteção de Dados (DPO) da empresa, diretriz imposta pela LGPD;
- treinar todos os colaboradores a fim de que todos estejam a par da lei e das ações da empresa;
- organizar os documentos para a proteção de dados.
Agora, seguindo todas essas recomendações, que separamos aqui, é possível que a empresa esteja nos padrões impostos pela lei.
E agora, sabendo de tudo sobre o mapeamento de riscos, invista em realizá-lo para estar de acordo com a Lei Geral de Proteção de Dados e evitar eventuais sanções.