Framework para Compliance com a LGPD

Parte I - Gestão de Riscos de Privacidade

Published on December 11, 2019

Joao Souza NetoFollow

Atendendo a pedidos, nessa série de posts, detalharemos os componentes do Framework para
Compliance com a LGPD (FC-LGPD) e, no final, mostraremos como esses componentes se
interrelacionam. Esse interrelacionamento é o aspecto mais importante da estrutura, pois um
Framework é mais do que um amontoado de componentes, é a integração sinérgica dos mesmos.   

Naturalmente, começaremos pelo componente mais importante, a gestão de riscos de privacidade. Há

várias opções aqui, tais como a Norma ISO 31.000:2018, o Framework de Riscos de Privacidade do
NIST, a Norma ISO/IEC 27005:2018, entre outros.
A nossa escolha recaiu sobre a Norma ISO/IEC 27005:2018, pois o seu foco em gestão de riscos de
Segurança da Informação nos permitirá matar dois coelhos com um só cajadada, como veremos mais
adiante. Essa característica a torna a norma de escolha para riscos de privacidade no escopo da LGPD.
Mais adiante mostraremos com a Norma 27701:2019 complementa a 27005.
Para o processo de gestão de riscos, a Norma 27005 aborda escopo, contexto e critérios; o processo de
avaliação de riscos; o tratamento de riscos; comunicação e consulta; e monitoramento e revisão.
A discussão se inicia com a definição do escopo, contexto e critérios para a gestão de riscos de
privacidade. 

Primeiramente, é definido o escopo do processo de gestão de riscos de privacidade, de maneira a

garantir que todos os ativos relevantes sejam levados em consideração na avaliação de riscos. Além
disso, as fronteiras precisam ser identificadas para lidar com os riscos que podem surgir através das
mesmas.
Como tipos de ativos, a Norma 27005 estabelece:
•       Ativos primários:
–     processos e atividades de negócios;
–     informação;
•       Ativos de apoio:
–     Hardware;
–     Software;
–     Rede;
–     Pessoal;
–     Local;
–     estrutura da organização.

No caso dos riscos de privacidade relacionados à conformidade com a LGPD, são identificados, como
ativos primários, os processos e atividades de negócio que lidam com dados pessoais de clientes e
fornecedores (e colaboradores, se for o caso), e as informações relacionadas a esses dados pessoais e os
seus consentimentos.
Portanto, para definirmos o escopo da gestão de riscos de privacidade precisaremos identificar os
processos de negócio e as informações específicos, objeto da ação de conformidade, além dos ativos de
apoio que os sustentam, tais como hardware, software, Rede, pessoas, entre outros.