Como este tema funciona na sua empresa
Gestão de riscos de privacidade é o processo de avaliar, de forma estruturada e documentada, se um incidente de segurança envolvendo dados pessoais causa risco aos direitos e liberdades dos titulares. Diferente de avaliação técnica genérica, o foco aqui é específico: há probabilidade de o titular sofrer dano (discriminação, fraude, perda de privacidade)? A resposta guia decisões críticas de compliance.
O que constitui risco aos direitos e liberdades?
Risco inclui perda de privacidade (exposição de dados pessoais), discriminação (dados sensíveis usados para recusar serviço), fraude (identidade roubada para transações), usurpação de identidade, violação de segredos comerciais, ou qualquer dano que prejudique direito fundamental do titular1.
Avaliação efetiva separa ambos. Exposição de 1 milhão de números de seguro social tem impacto extremamente alto (fraude é viável em escala), mas probabilidade depende se atacante tem capacidade e propensão a usar dados. Avaliar contextualmente.
Metodologia de avaliação estruturada
Framework padrão considera: (1) tipo de dado (sensibilidade: PII básico < dados financeiros < saúde/biométricos); (2) quantidade de registros afetados; (3) forma de exposição (criptografado sem acesso à chave vs. claro); (4) capacidade técnica do atacante; (5) contexto (há motivo presumível para exploração?)2. Resultado: escala qualitativa (baixo/médio/alto) ou quantitativa (1-5, 1-10).
Dados criptografados com chave inacessível reduzem risco drasticamente, mesmo que dados sejam sensíveis. Dados anonimizados, dados de contato sem informações sensíveis associadas também atenuam. Documentar cada fator e como reduz risco.
Tempo de exposição e segmentação
Dados expostos por 1 hora vs. 1 semana têm risco diferente. Mais tempo de exposição aumenta probabilidade de uso indevido. Avaliação deve considerar: desde quando dados estavam acessíveis? Foram detectados e contidos rapidamente?
Incidente que afeta 1% da base de dados tem risco menor que incidente afetando 100%, mesmo se tipo de dado é igual. Considerar segmentação: qual subset de população foi atingido?
Documentação de decisão e escalação
Avaliação de risco deve gerar documento com: data de avaliação, descrição do incidente, categorias de dados afetados (e aproximação de quantidade), metodologia aplicada, score de risco atribuído, justificativa clara, decisão de comunicação, responsáveis pela análise3. Essencial para defesa em auditoria regulatória.
Definir limites operacionais: risco baixo = análise por DPO + documentação; risco médio = escalação para compliance + jurídico; risco alto = escalação para C-level + board + comunicação pública. Caminho de escalação deve ser claro e pre-autorizado.
Análise de Impacto de Privacidade em incidentes
Quando incidente ocorre, é oportunidade de implementar AIPD (Análise de Impacto de Privacidade por Design). Documentar não só o incidente em si, mas a falha sistêmica que o permitiu: qual controle de segurança falhou? Por quê? Como evitar futuro? Isso transforma incidente em aprendizado estruturado.
Revisão periódica e feedback
Avaliação inicial pode ser revisada se novos fatos emergem. Exemplo: forensics completa revela mais dados expostos que o inicialmente estimado, ou comprova que dados criptografados foram acessados. Política de revisão típica: obrigatória a cada 30 dias pós-incidente, ou se há indicação de mudança material de risco. Feedback de titulares pós-incidente (reclamações de fraude) indica se avaliação foi correta.
Sinais de risco elevado
- Dados sensíveis (SSN, dados bancários, biométricos) expostos em claro (não criptografado)
- Quantidade grande de registros afetados (1.000+)
- Tempo prolongado de exposição (dias ou semanas)
- Forma de exposição pública (upload em repositório, servidor web desprotegido)
- Histórico do atacante sugere propensão a exploração (venda de dados em dark web)
- Setor do titular (financeiro, saúde) tem risco maior de fraude
Próximos passos por nível de risco
Risco Baixo
Documentar avaliação e arquivar. Notificação ao titular é opcional (depende de marco regulatório local). Continuar monitorando.
Risco Médio a Alto
Comunicação obrigatória à ANPD e titulares afetados conforme Art. 34 da LGPD. Revisar avaliação a cada 30 dias. Implementar medidas de mitigação adicionais (notificação de crédito, serviço de monitoramento para titulares).
Perguntas frequentes
Como avaliar risco de um incidente de dados pessoais?
Use matriz estruturada que considere: tipo de dado (sensibilidade), quantidade de registros, forma de exposição (criptografado vs. claro), capacidade do atacante, duração da exposição e contexto. Combine fatores em score qualitativo (baixo/médio/alto) ou quantitativo.
O que é risco aos direitos e liberdades do titular?
Risco de o titular sofrer dano prejudicial: perda de privacidade, discriminação, fraude, usurpação de identidade, violação de segredos comerciais, ou qualquer dano a direito fundamental. Pode ser potencial (probabilidade de dano) ou real (dano já observado).
Como criptografia reduz risco em avaliação de incidente?
Dados criptografados com chave inacessível ao atacante têm risco significativamente reduzido. Mesmo que dados sejam sensíveis, falta de acesso à chave mitiga risco de exploração imediata. Documentar tipo de criptografia e acesso à chave.
Qual é o papel da AIPD (Análise de Impacto de Privacidade) em incidentes?
AIPD em incidentes transforma resposta reativa em aprendizado estruturado. Documentar não só o incidente, mas a falha sistêmica: qual controle falhou? Como evitar futuro? Integrar achados em política de segurança.
Como documentar avaliação de risco para auditoria?
Gerar relatório formal com: data, descrição do incidente, dados afetados, metodologia usada, score atribuído com justificativa, decisão de comunicação, responsáveis. Arquivo deve ser preservado por período estabelecido por lei.
Deve-se revisar avaliação de risco após incidente?
Sim. Avaliação inicial pode precisar ser revisada se novos fatos emergem (forensics mais completa, novas evidências). Política típica: revisão obrigatória a cada 30 dias pós-incidente, ou quando há mudança material de circunstâncias.
Referências
- 1 LGPD, Artigo 34 — Lei 13.709/2018, comunicação de incidente baseada em risco aos direitos/liberdades do titular
- 2 NIST Privacy Framework e ISO 27701 — Guias estruturados de avaliação de risco em privacidade
- 3 ENISA Guidelines on Privacy Incident Handling — Recomendações de documentação e escalação de incidentes
- Guias da ANPD sobre identificação e comunicação de incidentes — www.gov.br/anpd
- ISO 27035 — Gestão de risco em incidentes de segurança de informações