Para se obter sucesso no gerenciamento de riscos depende da implementação de uma estrutura de riscos eficaz na organização, como por exemplo com a utilização de uma abordagem que seja adequada e compatível com a natureza e complexidade das operações empresariais. A adequação à LGPD é composta pelas organizações por demandas, exigências ou necessidades de melhorias envolvendo a mitigação e prevenção de riscos com relação ao tratamento de dados.
É importante destacar que além de toda tecnologia digital como sistemas e programas que precisam adotar medidas de segurança, é de grande relevância entender os aspectos humanos e seus fatores comportamentais para assim chegar em um denominador comum num projeto de adequação. Sabemos que nem tudo o que acontece é malicioso, por isso é importante entender a questão psicológica de um incidente de segurança.
E como alinhar todos esses aspectos de acordo com a LGPD?
Em um processo de adequação à LGPD com ênfase na gestão de riscos, podem existir várias atividades de acordo com a abordagem a ser seguida, cada uma utilizando uma nomenclatura própria para cada etapa do projeto de adequação.
Inicia-se com o processo de diagnóstico, onde mapeia-se todas as operações de tratamentos de dados realizados pela Empresa, já identificando através de um “Data Mapping”, ou mapeamento, a vulnerabilidade em relação aos riscos identificados. Em uma qualificação simplificada dos riscos, podemos trabalhar com três níveis de probabilidade (baixa, média e alta) e impacto (baixo, médio e alto). A partir dessas combinações é possível definir prioridades e estabelecer o tratamento mais adequado a cada risco.
O perfil dos riscos que são enfrentados pela organização, devem ser documentados de forma detalhada, para que facilite o bom andamento da atividade seguinte que consiste na comunicação dos riscos a todos os interessados e também na elaboração de um plano de ação para o tratamento dos riscos.
Após a identificação dos riscos, é necessário elaborar um plano de ação para o tratamento de todos os riscos que promovem impactos negativos nos objetivos do projeto ou empresa. Os riscos podem ser mitigados através de mudanças que envolvem o plano de gerenciamento do projeto com relação à Lei Geral de Proteção de Dados, o esclarecimento dos requisitos, à obtenção de informações, a melhoria da comunicação, dentre outros.
Por isso é imprescindível a mudança cultural da empresa envolvendo todos os agentes, realizando treinamentos e campanhas de conscientização das equipes, parceiros, fornecedores e clientes, inclusive, a estruturação na elaboração de documentos, aditivos, sistema da informação, também de suma importância para o alinhamento e definição do projeto.
É muito importante que os responsáveis pela gestão (de projetos, de
riscos e da organização como um todo) também vislumbra os riscos, assim como as oportunidades criadas pelas ameaças identificadas no diagnóstico do projeto, avaliando os ambientes internos e externos, formulando estratégias de negócios para a empresa, com a finalidade de otimizar seu desempenho de mercado, preocupando-se com as obrigações normativas impostas pela Lei Geral de Proteção de Dados (LGPD) e com seu órgão fiscalizador a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), para o desempenho de suas atividades de maneira adequada.
Você precisa se adequar a esta nova realidade?
Comentários