Em mais de uma oportunidade, a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados — LGPD) cita a necessidade de implementar "medidas, salvaguardas e mecanismos de mitigação de risco".

De fato, as referidas ações mostram-se muito importantes, pois se prestam a evitar os riscos aos direitos dos titulares dos dados pessoais. Contudo, só é possível mitigar aquilo que já se "conhece" e é aqui que a gestão de riscos ganha destaque.

A exemplo do que ocorre na implantação de programas de integridade e de compliance, no campo da LGPD, a gestão de riscos compreende a identificação, a análise e o gerenciamento dos riscos, seja por meio da prevenção ou pela previsão de medidas a serem aplicadas caso ele venha a se concretizar.

Trata-se, portanto, de uma forma de "prever" os possíveis cenários e se preparar para eles, o que, em termos de proteção de dados pessoais, constitui ferramenta indispensável a ser incorporada à rotina de trabalho de qualquer organização (pública ou privada) e aos demais sujeitos à LGPD [1].

E de que modo a incorporação da gestão de riscos acontece na prática? Ou melhor, como estruturar um processo de gestão de riscos?

Entre inúmeras metodologias existentes, a Associação Brasileira de Normas Técnicas (ABNT) expediu a NBR ISO 31000:2018 como critério norteador para a gestão de riscos.

Ainda é possível contar com a NBR ISO 31004:2015, que é um guia para a implementação da norma anterior, e a NBR ISO 31010:2012, a qual dispõe sobre técnicas para o processo de gestão de riscos.

Ademais, considerando o enfoque voltado à proteção de dados e à segurança da informação, é imprescindível também aliar o processo de gestão de riscos às normas ABNT NBR ISO/IEC 27001:2013; 27002:2013 e 27003:2020, as quais versam, respectivamente, sobre requisitos, controles e orientações para sistemas de gestão da segurança da informação.

Contudo, como pretendemos abordar a estruturação do processo de gestão de riscos a partir de uma noção mais prática, utilizaremos outros materiais como bases de estudo, mais especificamente o Guia de Gestão de Riscos do Supremo Tribunal Federal e o Guia Prático de Gestão de Riscos para a Integridade da Controladoria-Geral da União.

É claro que, a depender da organização, a estrutura de um processo de gestão de riscos pode variar, mas, de modo geral, as etapas a seguir descritas podem ser consideradas como verdadeiros pilares e, portanto, merecem atenção.

E vale mais uma ressalva, com exceção da comunicação que, segundo a ISO 31000:2018, deve estar presente em todo o processo de gestão, tendo em vista que o compartilhamento de informações é essencial para o bom andamento dos trabalhos, as demais etapas seguem necessariamente uma ordem.

O primeiro passo é selecionar o objeto da gestão, ou seja, qual processo organizacional será analisado, podendo o termo "processo" ser definido, nesse caso, como toda e qualquer atividade dentro da organização que realiza qualquer tipo de tratamento de dados [2].

Mas, atenção! A escolha do objeto pressupõe o conhecimento de toda a "engrenagem". Para isso, mostra-se prudente fazer um mapeamento de todos os processos, de modo que seja possível determinar, em síntese, como ele acontece, quem são os responsáveis por cada estágio e sua periodicidade. Aliás, cabe registrar que o mapeamento serve de base para a construção do ciclo de vida dos dados [3].

Em um segundo momento, é importante fixar os objetivos do processo e da própria organização, bem como compreender os contextos interno e externo no qual a empresa está inserida, os quais podem ser compreendidos como fatores que, de alguma forma, impactam o processo e/ou a própria organização.

A etapa seguinte diz respeito à identificação dos riscos que perpassa pela descrição das causas, dos eventos de risco e das possíveis consequências. Nesse ponto, a fim de compreender o quadro de maneira mais profunda, é interessante apontar tanto o risco inerente quanto o risco residual.

Segundo o Guia Prático de Gestão de Riscos para a Integridade da Controladoria-Geral da União, o risco inerente corresponde àquele ao qual ainda não se aplicou qualquer ação capaz de reduzir a probabilidade da sua concretização e/ou do seu impacto, já o risco residual se refere ao risco que "restou" após a implementação das ações mencionadas.

Certo, uma vez identificados os riscos, cumpre analisá-los. É nesse momento que ocorre a avaliação da probabilidade (de ocorrer o evento de risco) e do impacto (grau de magnitude das consequências decorrentes do evento) a fim de obter o nível de risco e, por conseguinte, construir a matriz de riscos, também conhecida como matriz de calor.

O próximo passo corresponde ao tratamento dos riscos, em que, finalmente, são definidas as medidas, as salvaguardas e os mecanismos para mitigação dos riscos. De forma geral, a depender do nível de risco, o tratamento pode se resumir a evitar, reduzir, compartilhar ou aceitar o risco.

Nessa fase, a fim de efetivar o tratamento, é importante elaborar um plano de ação com a indicação do tipo de tratamento, as medidas a serem implantadas, o responsável pela concretização e o prazo para tanto.

É evidente que não basta desenvolver e implementar o processo de gestão de riscos, é preciso acompanhá-lo, motivo pelo qual o monitoramento constitui a última etapa, pois é a partir da observação contínua que o desempenho das ações implementadas poderão ser verificadas, bem como que o surgimento de novos riscos serão constatados.

Um último registro: este artigo não tem como pretensão oferecer uma fórmula mágica ou uma receita de bolo, visto que, assim como toda a implantação de um programa de conformidade com a LGPD, a gestão de riscos é igualmente complexa.

Sendo assim, por meio deste texto, buscou-se tão somente indicar um possível roteiro de pesquisa e estudo para, então, finalmente, o leitor colocar os seus aprendizados em prática.

Fonte: Consultor Jurídico