PLANILHA DE RISCOS RELACIONADOS À LGPD

1 – Matriz Swot
É a ferramenta utilizada para mapear forças, fraquezas, ameaças e oportunidades de nossa entidade.
Traz embasamento para a tomada de decisão sobre os procedimentos de proteção de dados pessoais.

2 – Avaliação de riscos LGPD

Análise dos principais riscos e sua caracteríristicas.

3 – Probabilidade
Probabilidade de ocorrência de eventos

4 – Escala de Impacto
Descrição dos impactos e seus níveis

5 – Matriz de Risco
Ferramenta de gerenciamento de riscos. Ela permite identificar de forma visual quais são os riscos que devem receber mais atenção por parte da entidade.

6 – Definição da Eficácia dos Controles

Apresentando a situação do Controle Existente na entidade
COS RELACIONADOS À LGPD

nidades de nossa entidade.

proteção de dados pessoais.

sual quais são os riscos que devem receber mais atenção por parte da entidade.
 MATRIZ SWOT
AMBIENTE INTERNO
FORÇAS
1. Instituição de Comitê Gestor de Segurança da Informação
2. Instituição de Comitê Gestor de Privacidade e Proteção de Dados
3. Treinamento e conscientização da equipe de colaboradores
4. Normatização interna
5. Diagnóstico de análise da conformidade da implantação da LGPD
6. Elaboração de programa e plano de ação
7. Campanha de comunicação Interna
8. Plano de Treinamento e Desenvolvimento de Proteção de Dados
9. Contratação de consultoria externa especializada
10. Apoio irrestrito da Alta Gestão do CRCRN
OPORTUNIDADES
1. Normatização externa
2. Ampla disponibilização de capacitação
3. Auditoria do Tribuna de Contas da União – TCU
4. Conformidade com as diretrizes do CFC
AMBIENTE EXTERNO
FRAQUEZAS
1. Acesso não autorizado
2. Modificação não autorizada
3. Perda, roubo ou remoção não autorizada de dados pessoais
4. Coleção excessiva
5. Informação insuficiente sobre a finalidade do tratamento
6. Tratamento sem o consentimento do titular dos dados pessoais
7. Falha em considerar os direitos do titular dos dados pessoais
8. Compartilhar ou distribuir dados pessoais com terceiros
9. Retenção prolongada de dados pessoais sem necessidade
10. Falha ou erro de processamento dos dados
AMEAÇAS
1. Ataques cibernéticos
(envolvendo Ransomware, Malware, Phishing entre outros)
2. Vazamento de dados via cibercriminosos externos
Riscos do processo da Lei Geral de Proteção de Dados Pessoais (LGPD)

Objetivo do Procedimento
Reavaliação do Plano de Ação
Verificar os riscos referentes ao tratamento de dados pessoais. Avaliação Risco Inerente Controles existentes Recomendação para tratamento do risco
Risco 17/11/2022 e 12/07/2023
Categoria Natureza
residual Resposta ao
Risco Eventos de Riscos Causas Consequências Probabilidade Impacto Nível Descrição Eficácia Diretriz Plano de Ação Prazo Responsável Eficácia Risco Diretriz
risco

Contratação de gerenciamento de ambiente; contratação de nova

Acesso indevido (sem as devidas
Descumprimento às diretrizes da Não Orçamentário Controle de acesso aos funcionários por atividade solução de firewall; contratação de consultoria em segurança da
R1 Acesso não autorizado permissões) a um determinado Conformidade 3 4 12 Mediano 0,6 #VALUE! Mitigar 3/7/2023 Satisfatório 0,4 #VALUE!
LGPD; multa Financeiro desempenhada; antivírus; campanhas internas de comunicação informação; elaboração e aprovação da portaria que dispõe sobre
ambiente físico ou lógico.
a política de acesso

Médio Baixo

O usuário não possui permissão

para alterar um determinado dado
pessoal ou registro e realiza essa
Descumprimento às diretrizes da Não Orçamentário Controle de acesso aos funcionários por atividade Manuteção dos controles existentes e elaboração e aprovação da
R2 Modificação não autorizada modificação não autorizada. Um Conformidade 2 3 6 Satisfatório 0,4 #VALUE! Mitigar 3/7/2023 Satisfatório 0,4 #VALUE!
LGPD; multa Financeiro desempenhada; solução de backup portaria que dispõe sobre a política de acesso
processamento indevido pode
gerar uma modificação não
autorizada.
Baixo Baixo

Perdas provocadas por ações

intencionais de usuários oriundas
Contratação de gerenciamento de ambiente; contratação de nova
de uma exclusão indevida ou
Controle de acesso aos funcionários por atividade solução de firewall; contratação de consultoria em segurança da
devida e não comunicada, e Descumprimento às diretrizes da Não Orçamentário
R3 Perda Conformidade 3 4 12 desempenhada; firewall; antivírus; campanhas internas de Mediano 0,6 #VALUE! Mitigar informação; elaboração e aprovação das portarias que dispõem 3/7/2023 Satisfatório 0,4 #VALUE!
provenientes de ações não LGPD; multa Financeiro
comunicação sobre a política de acesso e a política de segurança da
intencionais como falhas em
informação
sistemas, sobrescrita de dados,
falhas em hardware, entre outras
Médio Baixo

Dados roubados nas

dependências interna do
controlador/operador, falhas nos Contratação de gerenciamento de ambiente; contratação de nova
controles de segurança dos Controle de acesso aos funcionários por atividade solução de firewall; contratação de consultoria em segurança da
Descumprimento às diretrizes da Não Orçamentário
R4 Roubo sistemas (a exemplo da ausência Conformidade 3 4 12 desempenhada; firewall; antivírus; campanhas internas de Mediano 0,6 #VALUE! Mitigar informação; elaboração e aprovação das portarias que dispõem 3/7/2023 Satisfatório 0,4 #VALUE!
LGPD; multa Financeiro
ou fraca criptografia, falha de comunicação sobre a política de acesso e a política de segurança da
sistema que permita escalação de informação
privilégio ou tratamentos
indevidos), entre outras.
Médio Baixo

Campanha de comunicação interna; previsão das permissões e

Usuário não tem a permissão Descumprimento às diretrizes da
Não Orçamentário Controle de acesso aos funcionários por atividade sanções no Manual de Políticas de Gestão de Pessoas, que está
R5 Remoção não autorizada para retirar ou copiar dados LGPD; multa; risco à Conformidade 3 3 9 Fraco 0,8 #VALUE! Mitigar Concluso Satisfatório 0,4 #VALUE!
Financeiro desempenhada; campanhas internas de comunicação em atualização; incluir capacitações sob essa perspectiva a
pessoais para outro local. imagem/reputacional
serem promovidas aos colaboradores do CRCRN.

Médio Baixo

Coleta de dados pessoais em

Descumprimento às diretrizes da
quantidade superior ao mínimo Identificação do fluxo de dados pessoais
LGPD; sanção administrativa; Não Orçamentário
R6 Coleção excessiva necessário à finalidade do Conformidade 4 2 8 Inexistente Inexistente 1,00 #VALUE! Mitigar Concluso Mediano 0,6 #VALUE!
maior vulnerabilidade a Financeiro
tratamento ou atividade que fará O inventário de dados pessoais foi finalizado em julho de 2023.
vazamento de dados
uso do dado pessoal.

Alto Médio
Desconformidade à previsão de
que o tratamento de dados
Descumprimento às diretrizes da Foram elaborados os seguintes documentos: Política de
pessoais realizado de forma
LGPD; sanção administrativa; Privacidade e de Proteção de Dados; Política de Segurança da
Informação insuficiente sobre a eletrônica ou documento em Não Orçamentário
R7 desinformação do usuário quanto Conformidade 3 2 6 DL 9.295/1946; Lei 12.249/2011 Mediano 0,6 #VALUE! Mitigar Informação; Política de Cookies; Termos de Consentimento e Concluso Satisfatório 0,4 #VALUE!
finalidade do tratamento papel deve atender a uma Financeiro
à finalidade do tratamento de Termo de Confidencialidade e promoção de campanhas de
finalidade e ser exposto de forma
seus dados conscientização.
transparente e clara ao detentor
dos dados pessoais. Médio Baixo

Controlador de dados pessoais Identificação do fluxo de dados pessoais; revisão da tabela de

não obtém consentimento do temporalidade, prazos de guarda e descarte dos dados
Tratamento sem consentimento Descumprimento às diretrizes da Não Orçamentário
R8 titular para realizar um tratamento Conformidade 1 3 3 Inexistente Inexistente 1,00 #VALUE! Evitar Concluído Satisfatório 0,4 #VALUE!
do titular dos dados pessoais LGPD; sanção administrativa Financeiro
de dados pessoais sem O inventário de dados pessoais foi finalizado em julho de 2023 e
embasamento legal segue sendo constantemente atualizado.

Médio Baixo

Identificação do fluxo de dados pessoais; revisão da tabela de

Falha em considerar e garantir os
temporalidade, prazos de guarda e descarte dos dados
Falha em considerar os direitos direitos do titular dos dados Descumprimento às diretrizes da Não Orçamentário Foram corrigidos os dados incompletos, inexatos, desatualizados;
R9 Conformidade 2 2 4 Mediano 0,6 #VALUE! Mitigar Concluído Satisfatório 0,4 #VALUE!
do titular dos dados pessoais pessoais, conforme descrito nos LGPD; sanção administrativa Financeiro O contato do DPO foi disponibilizado no site do CRCRN.
O inventário de dados pessoais foi finalizado em julho de 2023 e
artigos 17 a 23 da LGPD.
segue sendo constantemente atualizado.
Baixo Baixo

Instituição não atende sua Foram elaborados os seguintes documentos: Política de

finalidade legal e compartilha os Privacidade e de Proteção de Dados; Política de Segurança da
Compartilhar ou distribuir dados Descumprimento às diretrizes da Não Orçamentário Celebração de contratos, convênios e Acordos de Cooperação
R10 dados sem consentimento do Conformidade 2 4 8 Satisfatório 0,4 #VALUE! Mitigar Informação; Política de Cookies; Termos de Consentimento e Concluído Satisfatório 0,4 #VALUE!
pessoais com terceiros LGPD; sanção administrativa Financeiro entre fornecedores/entidades que compartilham dados
titular dos dados pessoais Termo de Confidencialidade e promoção de campanhas de
(conforme o artigo 27 da LGPD). conscientização.
Médio Baixo
O término da prestação de um
Identificação do fluxo de dados pessoais; revisão da tabela de
serviço ou do prazo da retenção
temporalidade, prazos de guarda e descarte dos dados
Retenção prolongada de dados dos dados pessoais para fins Descumprimento às diretrizes da Não Orçamentário
R11 Conformidade 3 3 9 Base: Tabela de Temporalidade do CFC Fraco 0,8 #VALUE! Mitigar Concluído Satisfatório 0,4 #VALUE!
pessoais sem necessidade legais deve culminar com a LGPD; sanção administrativa Financeiro
O inventário de dados pessoais foi finalizado em julho de 2023 e
exclusão e/ou descarte seguro(a)
segue sendo constantemente atualizado.
dos dados pessoais. Médio Baixo
Falha ou erro de processamento
Dados de entrada que não são
(Ex.: execução de script de
corretamente validados,
banco de dados que atualiza
operações de tratamento Descumprimento às diretrizes da Não Orçamentário Implementações e testes dos scripts em ambientes de
R12 dado pessoal com informação Conformidade 2 3 6 Forte 0,2 #VALUE! Mitigar Manutenção e análise periódica dos controles existentes contínuo Forte 0,2 #VALUE!
automatizadas de sistema que LGPD; sanção administrativa Financeiro homologação dos sistemas que dependem dos dados
equivocada, ausência de
alteram de maneira indevida a
validação dos dados de entrada
composição do dado armazenado
etc.) Baixo Baixo

Manutenção dos controles existentes.

Publicações da ANPD e da SGD/ME, Ementário público, boletins
Publicações da ANPD e da SGD/ME, Ementário público, boletins
Edição constante de normativos Atualização contínua e melhorias Não Orçamentário do TCU, boletins do Ministério da Economia, boletins da AGU,
O1 Normatização externa Conformidade 3 4 12 Forte 1,8 #VALUE! Extremo Aceitar do TCU, boletins do Ministério da Economia, boletins da AGU, Contínuo - - - -
pelo Poder Executivo. na execução dos procedimentos. Financeiro boletins IOB, acompanhamento de redes sociais, guias
boletins IOB, acompanhamento de redes sociais, guias
disponibilizados pela Secretaria do Governo Digital e ANPD.
disponibilizados pela Secretaria do Governo Digital e ANPD.

Regulação e fiscalização do Manutenção dos controles existentes.

Não Orçamentário Acompanhamento das publicações, deliberações e demais atos
O2 Criação da ANPD Sanção da Lei nº 13.709/2018. cumprimento da Lei nº Conformidade 5 5 25 Forte 1,8 #VALUE! Extremo Aceitar Acompanhamento das publicações, deliberações e demais atos Contínuo - - - -
Financeiro normativos.
13.709/2018. normativos.
Manutenção dos controles existentes.
Acompanhamento da oferta no mercado, Plano Anual de
Acompanhamento da oferta no mercado, Plano Anual de
Ampla disponibilização de Disponibilidade dos cursos no Atualização contínua e melhorias Não Orçamentário Treinamentos (PAT), Plano de Desenvolvimento de Líderes (PDL)
O3 Operacional 5 5 25 Satisfatório 1,6 #VALUE! Extremo Aceitar Treinamentos (PAT), Plano de Desenvolvimento de Líderes (PDL) Contínuo - - - -
capacitação mercado. na execução dos procedimentos. Financeiro e Plano de Treinamento e Desenvolvimento de Proteção de
e Plano de Treinamento e Desenvolvimento de Proteção de
Dados (PTDPD).
Dados (PTDPD).D.

Fiscalização dos Conselhos Emissão de acórdão com Manutenção dos controles existentes.
Profissionais de Contabilidade em determinações aos Conselhos de Não Orçamentário Acompanhamento dos Acórdãos pertinentes do Tribunal de Acompanhamento dos Acórdãos pertinentes do Tribunal de
O4 Auditoria do TCU Conformidade 5 5 25 Forte 1,8 #VALUE! Extremo Aceitar Contínuo - - - -
relação ao cumprimento da Contabilidade para adequação ao Financeiro Contas da União e elaboração de plano de ação. Contas da União e elaboração de plano de ação pelos formulários
LGPD. cumprimento da LGPD. do Sistema de Gestão Integrado (SGI).

Data da última atualização: 29/9/2022

 Reavaliação do Plano de Ação
17/11/2022 e 12/07/2023
Controles Prazo Responsável

Política de Controle de Acesso Lógico – A Resolução CRCRN foi aprovada em Plenária do dia
26/01/2023.
Será elaborado o Controle de acesso aos funcionários por atividade desempenhada
Contratação de assessoria para o setor de TI com a finalidade dar suporte para o trabalho do DPO. Contínuo
Permanece a utilização de antivírus.
Plano de Comunicação Interna sobre LGPD - conforme orientação, foi amplamente divulgado.

Política de Controle de Acesso Lógico – A Resolução CRCRN foi aprovada em Plenária do dia
26/01/2023.
Será elaborado o Controle de acesso aos funcionários por atividade desempenhada
Contratação de assessoria para o setor de TI com a finalidade dar suporte para o trabalho do DPO. Contínuo
Permanece a utilização de antivírus.
Plano de Comunicação Interna sobre LGPD - conforme orientação, foi amplamente divulgado.

Política de Controle de Acesso Lógico – A Resolução CRCRN foi aprovada em Plenária do dia
26/01/2023.
Será elaborado o Controle de acesso aos funcionários por atividade desempenhada
Contratação de assessoria para o setor de TI com a finalidade dar suporte para o trabalho do DPO. Contínuo
Permanece a utilização de antivírus.
Plano de Comunicação Interna sobre LGPD - conforme orientação, foi amplamente divulgado.

Política de Controle de Acesso Lógico – A Resolução CRCRN foi aprovada em Plenária do dia
26/01/2023.
Será elaborado o Controle de acesso aos funcionários por atividade desempenhada
Contratação de assessoria para o setor de TI com a finalidade dar suporte para o trabalho do DPO. Contínuo
Permanece a utilização de antivírus.
Plano de Comunicação Interna sobre LGPD - conforme orientação, foi amplamente divulgado.

Política de Controle de Acesso Lógico – A Resolução CRCRN foi aprovada em Plenária do dia
26/01/2023.
Será elaborado o Controle de acesso aos funcionários por atividade desempenhada
Contratação de assessoria para o setor de TI com a finalidade dar suporte para o trabalho do DPO. Contínuo
Permanece a utilização de antivírus.
Plano de Comunicação Interna sobre LGPD - conforme orientação, foi amplamente divulgado.

Será criada uma planilha única para todos os projetos e subprojetos do CRCRN.
Serão enviados e-mails aos gestores do CRCRN, encaminhando o “Termo de
Responsabilidade e Compromisso”.
O Inventário de Dados Pessoais será atualizado com base na Tabela de Temporalidade do
CONARQ. 31/7/2023
Será enviado e-mail aos gestores do CRCRN solicitando a análise dos dados que
compõem os sistemas sob sua responsabilidade com o objetivo de minimizar a coleta e o
armazenamento de dados desnecessários.

Política de Privacidade;
Política de Privacidade de Eventos;
Política de Cookies; Contínuo
Política de Segurança da Informação (Resolução aprovada em Plenária em 26/01/2023);
Termos de Consentimento, disponíveis no site do CRCRN.

Será criada um planilha única para todos os projetos e subprojetos do CRCRN.

Serão enviados e-mails aos gestores do CRCRN, encaminhando o “Termo de
Responsabilidade e Compromisso”.
O Inventário de Dados Pessoais será atualizado com base na Tabela de Temporalidade do
CONARQ. Contínuo
Será enviado e-mail aos gestores do CRCRN solicitando a análise dos dados que
compõem os sistemas sob sua responsabilidade com o objetivo de minimizar a coleta e o
armazenamento de dados desnecessários.

Em 17 de novembro de 2022, foi disponibilizado o contato do DPO no site do CRCRN.

Será elaborada planilha única para todos os projetos e subprojetos do CRCRN. Contínuo

Será criada um planilha única para todos os projetos e subprojetos do CRCRN.

Serão enviados e-mails aos gestores do CRCRN, encaminhando o “Termo de
Responsabilidade e Compromisso”. Contínuo
O Inventário de Dados Pessoais será atualizado com base na Tabela de Temporalidade do
CONARQ.

Será criada um planilha única para todos os projetos e subprojetos do CRCRN.

Serão enviados e-mails aos gestores do CRCRN, encaminhando o “Termo de
Responsabilidade e Compromisso”. Contínuo
O Inventário de Dados Pessoais será atualizado com base na Tabela de Temporalidade do
CONARQ.

Manutenção e análise periódica dos controles existentes.

Implementações e testes dos scripts em ambientes de homologação dos sistemas que Contínuo
dependem dos dados.

- -

- - -

- - -

- - -
 Tabela - Escala de Probabilidade
Escala de probabilidade
Diretriz
Muito
Baixa
Baixa
Média
Alta
Muito
Alta
 Tabela - Escala de Probabilidade
Escala de probabilidade
Descrição
Evento extraordinário, sem histórico de ocorrência.
Evento casual e inesperado, sem histórico de ocorrência.
Evento esperado, de frequência reduzida, e com histórico de
ocorrência parcialmente conhecido.
Evento usual, com histórico de ocorrência amplamente conhecido.
Evento repetitivo e constante.
Ocorrências Nível
1a3 1
4a7 2
8 a 11 3
12 a 15 4
>15 5
 Tabela - Escala de Impa
Escala de impacto
Diretriz Descrição
Muito Baixo Impacto insignificante nos objetivos.
Baixo Impacto mínimo nos objetivos.
Médio Impacto mediano no objetivos, com possibilidade de
Alto Impacto significante nos objetivos, com possibilidad
Muito Alto Impacto máximo nos objetivos, sem possibilidade de
 Tabela - Escala de Impacto
Escala de impacto
Descrição
significante nos objetivos.
ínimo nos objetivos.
ediano no objetivos, com possibilidade de recuperação.
gnificante nos objetivos, com possibilidade remota de recuperação.
áximo nos objetivos, sem possibilidade de recuperação.
Nível
1
2
3
4
5
 Tabela -Matriz de Risco
Nível de Risco Extremo Probabilidade
Alto Médio
Baixo
1 Muito Baixa 2 Baixa 3 Média

5 Muito Alto
Impacto

4 Alto R1
3 Médio R6 R2 / R4 / R5
2 Baixo R3 / R7
1 Muito Baixo

Tabela -Matriz de Risco

Nível de Risco Extremo Probabilidade
Alto Médio
Baixo Muito Baixo

1 Muito Baixa 2 Baixa 3 Média

5 Muito Alto 5 10 15
Impacto

4 Alto 4 8 12
3 Médio 3 6 9
2 Baixo 2 4 6
1 Muito Baixo 1 2 3
ilidade

4 Alta 5 Muito Alta

R8

ilidade

4 Alta 5 Muito Alta

20 25
16 20
12 15
8 10
4 5
 Tabela - Definição da Eficácia dos Cont
Eficácia do
Situação do Controle Existente
Controle
Inexistente Ausência completa de controle.
Fraco Controle depositado no conhecimento pessoal, em geral
Mediano Controle não contempla todos os aspectos relevantes do
Controle está sustentado por ferramentas adequadas e m
Satisfatório
razoavelmente.
Forte Controle mitiga o risco associado em todos aspectos rele
 Tabela - Definição da Eficácia dos Controles

Situação do Controle Existente

a completa de controle.
e depositado no conhecimento pessoal, em geral de maneira manual
e não contempla todos os aspectos relevantes do risco
e está sustentado por ferramentas adequadas e mitiga o risco
lmente.
e mitiga o risco associado em todos aspectos relevantes.
Multiplicador

1.0
0.8
0.6
0.4
0.2