A LGPD obriga o uso da NBRISO/IEC27557 pelas organizações
Redação
A Lei Geral de Proteção de Dados Pessoais (LGPD) dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Privacidade é um conceito amplo e mutável que pode ser filtrado com base na diversidade cultural e nas diferenças individuais. Esses fatores culturais podem ditar a identificação, avaliação e tratamento de riscos de privacidade. Os princípios delineados na NBRISO/IEC27557 - COMENTADA+IA de 09/2023 - Comentada - Segurança da Informação, segurança cibernética e proteção da privacidade — Aplicação da ABNT NBR ISO 31000:2018 para gestão de riscos de privacidade organizacional - Versão comentada + IA são a base legal que a LGPD cita, quanto à gestão de riscos de privacidade organizacional, são obrigatórios e refletem uma abordagem centrada no indivíduo, garantindo que a privacidade seja considerada de maneira integral e contextual. Deve-se observar que existe um interesse crescente e a necessidade de abordar as diferenças entre a gestão de riscos da segurança da informação e a gestão de riscos de privacidade para organizações que tratam os dados pessoais (DP). A gestão de riscos de segurança da informação e as avaliações de riscos relacionadas têm tradicionalmente se concentrado no risco para uma organização, frequentemente utilizando a fórmula amplamente aceita de risco = impacto × probabilidade. As organizações podem usar vários métodos para avaliar e classificar os impactos e a probabilidade, e depois determinar um valor (qualitativo ou quantitativo) para o risco organizacional que pode ser usado para priorizar a mitigação do risco. Para a gestão de riscos de privacidade organizacional, os titulares de DP devem ser incluídos como partes interessadas e o impacto real ou potencial desfavorável sobre eles seja deve ser incluído quando se considerar os riscos. Adicionalmente, a organização deve considerar o potencial efeito negativo sobre as opiniões e atitudes dessas partes interessadas relacionadas à organização, caso estes impactos desfavoráveis ocorram. Devem, também, identificar as normas técnicas, os valores sociais e as expectativas legais relacionados à privacidade dos indivíduos, dados os seus contextos culturais.
Mauricio Ferraz de Paiva –
Em um ambiente cada vez mais digital e interconectado, a proteção de dados pessoais se tornou uma questão central para organizações de todos os portes e setores. A LGPD, estabelecendo um novo marco regulatório para o tratamento de dados pessoais, impõe uma série de obrigações e responsabilidades para as organizações. Em paralelo, a NBRISO/IEC27557 - COMENTADA+IA de 09/2023 - Comentada - Segurança da Informação, segurança cibernética e proteção da privacidade — Aplicação da ABNT NBR ISO 31000:2018 para gestão de riscos de privacidade organizacional - Versão comentada + IA surge como uma norma fundamental, proporcionando diretrizes claras para a gestão de riscos de privacidade organizacional. Este artigo discorre sobre como a observância às prescrições da NBRISO/IEC27557 - COMENTADA+IA de 09/2023 - Comentada - Segurança da Informação, segurança cibernética e proteção da privacidade — Aplicação da ABNT NBR ISO 31000:2018 para gestão de riscos de privacidade organizacional - Versão comentada + IA não é apenas uma recomendação, mas uma exigência implícita para a conformidade com a LGPD.
A LGPD, em seu artigo 6º, elenca os princípios que devem nortear o tratamento de dados pessoais, incluindo a responsabilização e prestação de contas no item X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais. Este princípio exige que os agentes de tratamento adotem medidas eficazes e sejam capazes de demonstrar a aderência e efetividade dessas medidas, algo que está diretamente alinhado com as orientações da NBRISO/IEC27557. A norma, ao oferecer um guia para integrar a gestão de riscos de privacidade no programa geral de gestão de riscos das organizações, ressalta a importância de uma abordagem sistemática, que é essencial para atender às demandas de responsabilização previstas pela LGPD.
O artigo 49 da LGPD enfatiza a necessidade de os sistemas usados no tratamento de dados pessoais serem projetados para cumprir os requisitos de segurança e observar os padrões de boas práticas e governança. Isso ressoa com o que é exposto na NBRISO/IEC27557, que fornece um framework detalhado para a gestão de riscos de privacidade, assegurando que as organizações possam estabelecer sistemas e práticas que não apenas protejam os dados pessoais, mas também incorporem uma cultura de privacidade e segurança em suas operações diárias.
A NBRISO/IEC27557, ao ser comentada, oferece às organizações um valor agregado significativo. Os comentários ajudam a elucidar e contextualizar as diretrizes, tornando-as mais acessíveis e aplicáveis à realidade das organizações. Eles fornecem insights práticos e exemplos que podem facilitar a interpretação e implementação das normas, ajudando as organizações a entenderem melhor como integrar a gestão de riscos de privacidade em suas estruturas existentes de gestão de riscos.
A norma comentada também destaca a necessidade de distinguir entre o impacto do processamento de informações pessoais identificáveis nos indivíduos e as consequências organizacionais desses impactos. Isso é crucial para atender à LGPD, que não só visa proteger os dados pessoais dos indivíduos, mas também assegurar que as organizações entendam e mitiguem os riscos associados ao tratamento desses dados, incluindo potenciais danos à sua reputação e operações.
Além disso, a norma reforça a ideia de que a gestão de riscos não deve ser uma atividade isolada, mas integrada à tomada de decisões e às operações diárias da organização. Isso está em harmonia com o espírito da LGPD, que exige uma abordagem holística e contínua para a proteção de dados pessoais, permeando todos os níveis e funções da organização.
A NBRISO/IEC27557 também fornece orientações sobre como as organizações podem incorporar tanto as consequências organizacionais de impactos adversos à privacidade dos indivíduos quanto as consequências de eventos de privacidade que afetam a organização. Isso ajuda as organizações a desenvolverem uma compreensão mais abrangente dos riscos de privacidade, alinhando-se à exigência da LGPD de adotar uma perspectiva ampla no tratamento de dados pessoais.
Outro aspecto importante da norma comentada é a ênfase na comunicação e consulta como parte do processo de gestão de riscos. Isso é fundamental para garantir a transparência e fomentar a confiança entre as organizações e os titulares dos dados, um princípio central da LGPD. A abordagem sistemática para a gestão de riscos proposta pela NBRISO/IEC27557, abrangendo desde a identificação e avaliação de riscos até a monitoração e revisão dos controles, é essencial para atender às disposições de responsabilização da LGPD. Ela fornece um método claro e estruturado que as organizações podem seguir para demonstrar sua conformidade com a lei.
Por fim, a NBRISO/IEC27557, ao ser comentada, serve como uma ferramenta educacional, não apenas orientando as organizações sobre como cumprir as normas, mas também promovendo uma cultura de proteção de dados dentro das organizações. Isso é vital para a conformidade de longo prazo com a LGPD, que exige mais do que medidas pontuais; exige uma mudança cultural em relação à privacidade e proteção de dados.
Pode-se acrescentar que as empresas podem incorrer em diversas práticas infrativas caso não sigam as prescrições da LGPD e da NBRISO/IEC27557. A LGPD, em seu Capítulo VIII, especifica uma série de sanções administrativas que podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) em caso de infrações às normas estabelecidas pela lei. Essas sanções incluem: advertência, com indicação de prazo para adoção de medidas corretivas; multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada a R$ 50.000.000,00 por infração; multa diária, observado o limite total mencionado; publicização da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere a infração até a sua regularização; eliminação dos dados pessoais a que se refere a infração; suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período; e proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados .
Essas sanções são aplicadas de forma gradativa, isolada ou cumulativa, considerando diversos fatores como a gravidade e a natureza das infrações, os direitos pessoais afetados, a boa-fé do infrator, entre outros aspectos relevantes. A NBRISO/IEC27557, mencionada como referência legal no item X do artigo 6 e no artigo 49 da LGPD, complementa essas disposições ao fornecer diretrizes sobre como as organizações podem e devem gerenciar a privacidade de informações pessoais, integrando os riscos de privacidade em seu programa geral de gestão de riscos.
Esta norma visa a garantir que as práticas de tratamento de dados pessoais estejam alinhadas com os princípios gerais de segurança e governança, mitigando os riscos para os titulares dos dados e para a própria organização. Portanto, a não conformidade com as prescrições da LGPD e da NBRISO/IEC27557 pode acarretar não apenas em penalidades financeiras significativas, mas também em danos à reputação da organização, perda de confiança dos titulares dos dados e possíveis restrições operacionais impostas pela autoridade reguladora.
Em conclusão, não só é prudente para as organizações brasileiras observarem as prescrições da NBRISO/IEC27557 em relação à LGPD, mas, dada a complexidade e abrangência das exigências legais, pode-se argumentar que é uma necessidade implícita. A norma oferece um caminho claro para a integração da gestão de riscos de privacidade no tecido das operações organizacionais, assegurando não apenas a conformidade legal, mas também promovendo uma abordagem mais segura, transparente e responsável ao tratamento de dados pessoais.
Mauricio Ferraz de Paiva é engenheiro eletricista, especialista em desenvolvimento em sistemas, presidente do Instituto Tecnológico de Estudos para a Normalização e Avaliação de Conformidade (Itenac) e presidente da Target Engenharia e Consultoria - mauricio.paiva@target.com.br