COMO ANALISAR OS RISCOS DA LGPD?

Abaixo definimos uma forma de apuração de riscos para auxiliar os DPO’s no momento de avaliação dos
riscos da proteção de dados. Devendo ser mencionado que:

 Os riscos definidos abaixo são apenas exemplificativos e devem servir de guia para o DPO para
que o mesmo defina sua própria metodologia de análise de riscos;

 Ao utilizar este documento você está ciente de que a nossa empresa não se responsabiliza de
maneira alguma pela mensuração de riscos e definição de medidas de mitigação de riscos. Bem
como, nossa empresa não se responsabiliza por qualquer infração à LGPD que a sua empresa possa
vir a cometer. O presente documento servirá apenas de Guia para o DPO da empresa, cabendo a
este a responsabilidade pela definição de riscos;

 Em caso de dúvidas relacionadas a riscos da LGPD recomendamos que você entre em contato com
seu advogado ou profissional especializado em Proteção de Dados.

Metodologia Aplicada: ISO 31:000 e 27:0001

A ISO 31000 traz o framework de forma geral análise de riscos, além de ser a metodologia adotada pela
Controladoria Geral da União para análise de riscos. Considerando que o presente Estudo se volta para a
proteção de dados e para a segurança da informação, é imprescindível também aliar o processo de gestão
de riscos à ISO 27001.

Justificativa de escolha de metodologia

Atualmente a Autoridade Nacional de Proteção de Dados não determinou uma orientação sobre como deve
ser a metodologia de Análise de Riscos para Proteção de Dados, apesar de existir na Lei Geral de Proteção
de Dados diversas citações sobre risco. Dessa forma, com o objetivo de promover uma análise de riscos de
forma prática nos pautamos na ISO 31000 por nos trazer uma visão prática de análise de riscos e também,
nos pautamos na ISO 27001 nos trazer um framework para Segurança da Informação, tema relevante dentro
da Proteção de Dados. Nosso objetivo com ambas as ISOs é utilizar os parâmetros de análise de riscos nelas
definidos de forma geral (principalmente quanto a metodologia PDCA da 27001 e orientações para análise
de riscos de forma geral da ISO 31000). Com as metodologias definidas conseguimos definir os riscos
regulatórios, riscos de incidentes e riscos relacionados a garantia das liberdades e garantias fundamentais
dos titulares de dados. Vale apontar que a ISO 31000 foi utilizada para constituição do Guia Prático de
Gestão de Riscos para a Integridade da Controladoria-Geral da União.
 Risco Regulatório e Risco às Garantias e Liberdades Fundamentais dos Titulares

IMPACTO
Tipo Impacto Dados envolvidos Exemplos de Risco / Vulnerabilidades
Descumprimento da
LGPD ou de
Provimentos e que
pode acarretar
implicações jurídicas e
colocar indivíduos em
risco e provocar
grandes perdas Dados pessoais sensíveis ou
financeiras (Capaz de dados de menores de idade. Tratamento ou Compartilhamento de dados sensíveis de forma
afetar Ademais, podem ser dados desproporcional ou injustificada; ausência de possibilidade de
significativamente a que coloquem em risco a garantia de que os titulares de dados possam exercer seus
empresa) e/ou danos Muito integridade física e/ou moral direitos e garantias fundamentais em relação a esses dados (por
prolongados à Alto do titular em causa. exemplo: os titulares não têm acesso a solicitar à empresa o
reputação da empresa. exercício dos direitos garantidos em Lei); acesso irrestrito aos
Pode colocar em risco dados sensíveis por todos os colaboradores e terceiros ligados a
as liberdades e empresa
garantias
fundamentais dos
titulares de dados. Os
titulares podem
enfrentar
consequências sérias
que dificilmente serão
superadas.
Descumprimento da
LGPD ou de
Provimentos e que
pode ensejar a
suspensão temporária
de atividades,
bloqueio ou
eliminação dos dados
pessoais utilizados e
Tratamento ou Compartilhamento de dados comportamentais
multas, bem como a Dados pessoais que podem
ou financeiros de forma desproporcional ou injustificada;
abertura de processos permitir chegar fisicamente
ausência de possibilidade de garantia de que os titulares de
administrativos e perto do titular, identificar
dados possam exercer seus direitos e garantias fundamentais
provocar perdas hábitos ou padrões dos
Alto em relação a esses dados (por exemplo: os titulares não têm
financeiras elevadas mesmos, ou efetuar
acesso a solicitar à empresa o exercício dos direitos garantidos
e/ou danos à transações e/ou danos
em Lei); acesso irrestrito aos dados comportamentais ou
reputação. Pode financeiros em nome dos/aos
financeiros por todos os colaboradores e terceiros ligados a
colocar em risco as titulares.
empresa
liberdades e garantias
fundamentais dos
titulares de dados. Os
titulares podem
enfrentar
consequências
significantes que
podem não conseguir
superar.
 Descumprimento da
LGPD e/ou de
Provimentos e que
pode acarretar
advertências e/ou
suspensão temporária
de atividades, bem
Tratamento ou Compartilhamento de dados pessoais
como pode acarretar a
Dados pessoais que permitem identificados ou identificáveis de forma desproporcional ou
processos
identificar o titular e que não injustificada; ausência de possibilidade de garantia de que os
administrativos,
permitem identificar padrões titulares de dados possam exercer seus direitos e garantias
provocar pequenas Médio
comportamentais, nem a sua fundamentais em relação a esses dados (por exemplo: os
perdas financeiras e/ou
localização ou causar danos titulares não têm acesso a solicitar à empresa o exercício dos
causar danos de curta
financeiros. direitos garantidos em Lei); acesso irrestrito aos dados citados
duração à reputação da
por todos os colaboradores e terceiros ligados a empresa
empresa. Os titulares
podem enfrentar
consequências
significantes que
devem conseguir
superar, embora com
dificuldades.
Descumprimento da
LGPD ou Provimentos
que possam acarretar
advertências, mas não
provocam
significantes perdas Dados pessoais
financeiras identificativos, muitas vezes Registro de dados incorretos; retenção de dados acima do prazo
significantes e/ou disponibilizados por livre legal permitido; é possível contatar a empresa para exercício
danos à imagem da Baixo vontade dos titulares, e que o dos direitos, no entanto, o acesso é difícil e/ou moroso
empresa. Nessa seu comprometimento por si (empresa não possui processo para tratamento de solicitações
atividade os titulares só não deve causar um grande de titulares de dados).
podem encontrar impacto.
inconvenientes
significantes que
conseguem superar
apesar de algumas
dificuldades.
Essa atividade pode
acarretar a danos
desprezíveis à Falhas no cadastro de dados (exemplo: cadastro errado de e-
Dados pessoais
organização em mails ou cadastro errôneo de dados pessoais identificados /
identificativos e que o seu
termos financeiros e identificáveis, erro na ortografia de nomes, erro no cadastro de
comprometimento por si só
reputacionais. Para telefones); é possível que o titular de dados exerça seus direitos
Muito não traz prejuízos
esse tipo, os titulares com o Encarregado de Dados da empresa e a empresa possui
Baixo significativos aos titulares de
não são afetados ou processo para atendimento do titular de dados. Nessa atividade
dados, bem como não traz
poderão encontrar uns a coleta de dados é proporcional, há base legal para justificar o
impactos financeiros à
pequenos tratamento e os requisitos legais de compartilhamento de dados
empresa.
inconvenientes que são respeitados.
conseguem superar
sem problema.
 PROBABILIDADE
Tipo Probabilidade Exemplos de Risco / Vulnerabilidades

Inexiste qualquer procedimento para garantir o

Não há qualquer mecanismo ou medida de
Muito Alto cumprimento da LGPD, portanto é quase certo que
mitigação
esse risco se materialize.

Há um procedimento para cumprimento da LGPD,

no entanto não o procedimento não é bem
Controles insuficientes e inefetivos Alto estruturado e não há fiscalização para garantir o
cumprimento, assim há uma chance alta que o
risco de materialize.

Há procedimentos que garantem o cumprimento da

LGPD apenas em partes, por exemplo: há uma
orientação clara sobre quais procedimentos os
Há controles efetivos, mas são parcialmente
Médio colaboradores devem seguir, no entanto, a
insuficientes
fiscalização de cumprimento é apenas parcial ou
insatisfatória. Há uma chance razoável de que esse
risco se materialize.

Há procedimentos que garantem o cumprimento da

LGPD, no entanto poderiam ser melhorados em
Há controles que são efetivos e suficientes, relação a estruturação mais detalhada de
Baixo
no entanto podem ser melhorados procedimentos e fiscalização periódica e pré-
determinada do cumprimento. Há uma chance
baixa que esse risco se materialize.

A empresa possui procedimentos bem definidos e

fiscalização periódica de cumprimento da LGPD.
Há procedimentos que garantem o cumprimento da
Há controles que são efetivos e insuficientes LGPD, no entanto poderiam ser melhorados em
Muito Baixo
que não requerem melhorias relação a estruturação mais detalhada de
procedimentos e fiscalização periódica e pré-
determinada do cumprimento. Há uma chance
baixíssima que esse risco se materialize.
 Risco de Incidentes

IMPACTO

Tipo Impacto Dados envolvidos Exemplos de Risco / Vulnerabilidades

Risco de incidentes que Muito

possam colocar indivíduos Alto
em risco em relação a
exposição/ alteração/
remoção indevida de dados
sensíveis ou dados de
menores de idade.
Risco de incidentes que
possam colocar indivíduos
em risco em relação a
exposição/ alteração/
remoção indevida de dados Alto
comportamentais/ dados
financeiros/ dados capazes
de identificar a localização
do titular
Risco de incidentes que
possam colocar indivíduos
em risco em relação a
exposição/ alteração/
Médio
remoção indevida de dados
que permitem a
identificação do titular de
dados.
Risco de incidentes que
possam colocar indivíduos
em risco em relação a
exposição/ alteração/
remoção indevida de dados
Baixo
que permitem a
identificação do titular de
dados, sendo que a empresa
possui um volume baixo
desses tipos de dados.
Risco de incidentes que
possam colocar indivíduos
em risco em relação a
exposição/ alteração/
remoção indevida de dados Muito
que permitem a Baixo
identificação do titular de
dados, sendo que a empresa
possui um volume baixo
desses tipos de dados.
Dados pessoais sensíveis ou dados
de menores de idade.
Dados pessoais que podem permitir
chegar fisicamente perto do titular,
identificar hábitos ou padrões dos
mesmos, ou efetuar transações e/ou
danos financeiros em nome dos/aos
titulares.
Dados pessoais que permitem
identificar o titular e que não
permitem identificar padrões
comportamentais, nem a sua
localização ou causar danos
financeiros. Grande volume de
processamento de tais dados.
Dados pessoais identificados.
Relevante volume de
processamento.
Dados pessoais identificáveis.
Baixo volume de processamento.
Acesso não autorizado; perda de dados; roubo de
dados; vazamento de dados; remoção indevida de
dados; falha na segurança no armazenamento de
dados; extravio de dados; destruição de dados;
destruição acidental de dados.
Acesso não autorizado; perda de dados; roubo de
dados; vazamento de dados; remoção indevida de
dados; falha na segurança no armazenamento de
dados; extravio de dados; destruição de dados;
destruição acidental de dados;
Acesso não autorizado; perda de dados; roubo de
dados; vazamento de dados; remoção indevida de
dados; falha na segurança no armazenamento de
dados; extravio de dados; destruição de dados;
destruição acidental de dados;
Acesso não autorizado; perda de dados; roubo de
dados; vazamento de dados; remoção indevida de
dados; falha na segurança no armazenamento de
dados; extravio de dados; destruição de dados;
destruição acidental de dados;
Acesso não autorizado; perda de dados; roubo de
dados; vazamento de dados; remoção indevida de
dados; falha na segurança no armazenamento de
dados; extravio de dados; destruição de dados;
destruição acidental de dados.
 PROBABILIDADE

Tipo Probabilidade Exemplos / Vulnerabilidades

Inexiste qualquer procedimento que possa mitigar o risco de incidentes. As

transferências de dados são feitas sem nenhum tipo de segurança técnica; não há
Não há qualquer medidas de armazenamento de dados em local seguro; não há restrições de acesso
mecanismo ou medida Muito Alto aos dados (tanto físico quanto digital); não há cuidados técnicos de segurança da
de mitigação informação (como firewalls, antivírus, backup); não há quaisquer contratos com
terceiros operadores para garantir a proteção de dados em relação aos dados
compartilhados

Há alguns procedimentos efetivos para mitigar a ocorrência de incidentes, no entanto

são insuficientes. Exemplo: há uma orientação clara sobre quais procedimentos de
segurança os colaboradores devem seguir, no entanto, a cultura/ prática interna da
empresa envolve o armazenamento de dados de forma não segura - em pendrives e
Controles insuficientes computadores pessoais sem segurança de rede. A empresa não possui 1 ou mais dos
Alto
e inefetivos seguintes requisitos: transferências de dados são feitas sem com baixo nível de
segurança técnica; medidas de armazenamento de dados em local seguro; restrições
de acesso aos dados (tanto físico quanto digital); cuidados técnicos de segurança da
informação (como firewalls, antivírus, backup); contratos com terceiros operadores
para garantir a proteção de dados em relação aos dados compartilhados
Há alguns procedimentos efetivos para mitigar a ocorrência de incidentes, no entanto
são insuficientes. Exemplo: há uma orientação clara sobre quais procedimentos de
segurança os colaboradores devem seguir, no entanto, a cultura/ prática interna da
empresa envolve o armazenamento de dados de forma não segura - em pendrives e
computadores pessoais sem segurança de rede. A empresa possui os controles abaixo
Há controles efetivos,
determinados, no entanto 1 ou mais dos seguintes controles não são suficientes para
mas são parcialmente Médio
mitigar os riscos de incidentes: transferências de dados são feitas sem com baixo
insuficientes
nível de segurança técnica; medidas de armazenamento de dados em local seguro;
restrições de acesso aos dados (tanto físico quanto digital); cuidados técnicos de
segurança da informação (como firewalls, antivírus, backup); contratos com
terceiros operadores para garantir a proteção de dados em relação aos dados
compartilhados

Há procedimentos que garantem a mitigação de riscos de incidentes, no entanto

poderiam ser melhorados em relação a estruturação mais detalhada de procedimentos
e fiscalização periódica e pré-determinada do cumprimento. As transferências de
Há controles que são
dados são feitas com alto nível de segurança técnica; há medidas de armazenamento
efetivos e suficientes,
Baixo de dados em local seguro; há restrições de acesso aos dados (tanto físico quanto
no entanto podem ser
digital); há cuidados técnicos de segurança da informação (como firewalls, antivírus,
melhorados
backup); há contratos com terceiros operadores para garantir a proteção de dados em
relação aos dados compartilhados, no entanto esses controles ainda podem ser
melhorados com a verificação periódica de cumprimento.

Há procedimentos bem definidos e fiscalização periódica de cumprimento da LGPD.

Há controles que são
As transferências de dados são feitas com alto nível de segurança técnica; há
efetivos e insuficientes
medidas de armazenamento de dados em local seguro; há restrições de acesso aos
que não requerem
Muito Baixo dados (tanto físico quanto digital); há cuidados técnicos de segurança da informação
melhorias, considerando
(como firewalls, antivírus, backup); há contratos com terceiros operadores para
o estado da técnica
garantir a proteção de dados em relação aos dados compartilhados; há uma
atual.
verificação periódica de cumprimento dos procedimentos de segurança