A GESTÃO DO RISCO E A TOMADA DE DECISÃO NA PROTEÇÃO DE DADOS

Por Marcos Romano e Rafael Reis, advogados da Área de Tecnologia e Inovação Digital

A Proteção de Dados é um tema de debate constante na Europa desde a década de 1990, enquanto no cenário brasileiro a pauta foi recém retomada com a discussão sobre a Lei Geral de Proteção de Dados. A nova lei traz uma série de requisitos que geram novos procedimentos a serem adotados pelas empresas. Como o orçamento não permite adotar todos os caminhos (e mesmo que houvesse o dinheiro, atacar todas as frentes muitas vezes não é a melhor solução), os gestores se deparam com realidades de tomada de decisão para definir quais caminhos serão seguidos. Tomar uma boa decisão pode diferenciar o seu negócio em termos de competitividade e sucesso. Ela não está necessariamente atrelada à sorte, pois existem fatores chave que permitem, com base nos dados coletados, a opção pelo melhor caminho a ser seguido. Um desses caminhos é a elaboração de uma matriz de risco, analisando a probabilidade de ocorrência de um risco e o impacto causado à operação em caso de ocorrência de um incidente envolvendo dados pessoais. Essa análise, em termos simples, verifica duas situações: (1) a probabilidade de um risco ocorrer e a (2) gravidade do impacto em caso de ocorrência. No primeiro caso, cuja escala é variável entre “Remota” e “Frequente”, é analisada qual a probabilidade de que uma ação ocorra dentro da organização. Já a segunda escala, por sua vez, define a gravidade de um impacto entre “Baixo” ou “Muito Grave” a depender do tipo de ação/risco analisado. Ao compilar essas duas vertentes, o resultado gera uma matriz de risco elaborada com riscos variando de “Baixo” a “Inaceitável”. A partir do risco calculado é possível traçar um plano de ação que otimize os recursos da corporação e permita o gerenciamento dos riscos na tomada de decisão. Considerando a entrada em vigor da Lei Geral de Proteção de Dados em 17 de agosto de 2020, há mais um fator de risco a ser incluído na matriz. A LGPD não possui o intuito de inviabilizar a operação de qualquer organização, mas apresenta uma série de obrigações e providências que deverão ser tomadas antes de agosto, sob pena de aplicação das sanções previstas na legislação ou proibição de transferência de dados pessoais com países que já possuam legislação de proteção de dados (membros da União Europeia, por exemplo). Assim, o plano de ação traçado após a elaboração de uma matriz de risco deverá focar na remediação dos riscos mais elevados. Gerir os riscos com inteligência permite que o empreendedor utilize um arsenal de informações valiosas para tomada de decisão e a implementação efetiva do projeto de adequação. Riscos podem ter impactos sobre custo, produtividade, posicionamento no mercado, qualidade e muitos outros fatores chaves de um negócio. Neste contexto, conhecer os riscos é muito mais do que prevenir prejuízos, é também potencializar oportunidades. Não estar adequado à Lei Geral de Proteção de Dados, ou sequer estar tomando alguma atitude que busque essa adequação, equivale a aumentar a chance de prejuízos, sem contar no cancelamento de oportunidades de internacionalização do seu negócio. A gestão de risco está intimamente ligada com uma tomada de decisão consistente, que por sua vez, é indispensável a uma boa gestão empresarial. No universo de Proteção de Dados, a gestão de riscos torna-se primordial em um Programa de Adequação. Com pouco mais de 5 meses para entrada em vigor da Lei, o fator tempo deverá ser considerado para que ao menos os riscos mais altos sejam mitigados, e os riscos mais baixos devidamente controlados. Diagnosticar os riscos e traçar os planos de ação corretos para a conformidade com a Proteção dos Dados Pessoais são, mais do que nunca, imprescindíveis para uma tomada de decisão segura e o sucesso a longo prazo da operação.