LGPD Unicamp

Gestão de Riscos
LGPD Unicamp

Conheça a Política de Gestão de Riscos da Universidade Estatual de Campinas e o Sistema Privacidade (Solicita) utilizado como suporte para essa gestão.

Leia mais

Sobre a Política de Gestão de Riscos

A política de gestão de riscos para LGPD, na Unicamp, estrutura uma série de ferramentas, procedimentos e sistema computacional, que devem ser utilizados como referência para a gestão de riscos exigida na LGPD, garantindo a conformidade com a legislação vigente, de forma prática e objetiva.
O conjunto de normas e procedimentos, definidos neste documento, tem como referências principais a norma International Organization for Standardization – ISO 31000 e os assuntos que versam sobre gestão de riscos no PMBOK. Para garantir uma gestão de riscos eficiente, foram feitas adaptações nas orientações descritas na ISO 31000 e no PROJECT MANAGEMENT INSTITUTE (PMBOK), com objetivo de aproximar o processo de gestão de risco à realidade da cultura organizacional da Unicamp.

Processo de Gestão de Riscos

O Processo de Gestão de Riscos adotado pela Unicamp, tem como referência os modelos de gestão descritos na ABNT NBR ISO 31000 de 2018 e no Guia PMBOK 6ª Edição. As atividades e ferramentas, descritas nos modelos supracitados, foram adaptadas para garantir melhor aderência às especificidades da Universidade, buscando um nível de gerenciamento de riscos eficiente e com o menor impacto na autonomia gerencial das unidades administrativas, hospitalares, Faculdades, Institutos, Centros e Núcleos.

1. Identificação dos Riscos

A identificação dos riscos tem como objetivo elencar todos os riscos identificados e que possam impactar de forma negativa, na conformidade do processo em relação à Lei Geral de Proteção de Dados (LGPD). A utilização de informações pertinentes e atualizadas são importantes para a eficiência dessa atividade, bem como a identificação dos riscos fora do controle da organização (ABNT, 2018).

1.1. Definir Responsáveis

A definição dos responsáveis consiste na identificação do responsável pelo tratamento do risco. Dessa forma, cada atividade, que presenta o tratamento definido para determinado risco, deve ter obrigatoriamente um  único Responsável.

1.2. Realizar Coleta de Dados

Concomitante ao processo 1.1. Definir Responsáveis será realizada a coleta de informações para definição da lista de riscos. Para essa atividade devem ser utilizadas ferramentas para ampla discussão e que auxiliem na identificação dos riscos para cada processo, tais como as previstas no Guia PMBOK (6ª Edição):

  • Brainstorming: Identificar os riscos e suas fontes em reuniões com equipe multidisciplinar de especialistas, contando com a orientação de um facilitador.
  • Entrevistas: Identificar os riscos em reuniões com partes interessadas, especialistas ou pessoas com experiência no processo. Garantir um ambiente de confiança e confidencialidade para coleta de informações mais precisas.

As ferramentas descritas acima, devem considerar a seguinte lista de categorias de riscos:

  • Acesso não autorizado;
  • Modificação não autorizada;
  • Perda;
  • Roubo;
  • Remoção não autorizada;
  • Coleta excessiva;
  • Informações insuficientes sobre a finalidade do tratamento;
  • Tratamento sem consentimento do titular dos dados pessoais;
  • Falha em considerar os direitos do titular dos dados pessoais;
  • Compartilhar ou distribuir dados pessoais com terceiros;
    Retenção prolongada de dados pessoais sem necessidade;
  • Vinculação ou associação indevida, direta ou indireta, dos dados pessoais ao titular;
  • Falha ou erro de processamento;
  • Reidentificação de dados peseudonimizados.

2. Análise dos Riscos

A análise dos riscos consiste em aprofundar o nível de compreensão em relação à natureza dos riscos, bem como o nível do impacto nos objetivos dos processos. A utilização de método semiquantitativo adotada, garante amplo entendimento das probabilidades e dos impactos de cada risco com base em uma escala pré definida, deixando a análise mais objetiva e padronizada.

2.1. Avaliar Probabilidade e Impacto

A escala de Probabilidade e Impacto são definidas em 4 níveis, descritos a seguir:

Probabilidade

  • Insignificante: Não existem informações que indiquem a ocorrência.
  • Limitado: Existem poucos indícios que indiquem a ocorrência;
  • Significante: Existem registros históricos de grande repetição ou indício forte que apontam para a possibilidade de ocorrência.
  • Máximo: As evidências apontam para a garantia quase certa de ocorrência.

Impacto

  • Insignificante: Impacto mínimo no processo;
  • Limitado: Impacto discreto sem representar ameaça aos objetivos;
  • Significante: Impacto direto nos objetivos com grande dificuldade de recuperação;
  • Máximo: Impacto grave que inviabiliza a possibilidade de recuperação.

1.2. Elaborar Matriz de Probabilidade e Impacto

A Matriz de Probabilidade e Impacto será elaborada com base nas informações coletadas em 2.1. Avaliar Probabilidade e Impacto, considerando a seguinte relação:

Cada risco deve ser classificado entre RB (Risco Baixo), RM (Risco Médio) e RA (Risco Alto), dessa forma as ações serão planejadas com base no nível de criticidade identificado:

  • RB (Risco Baixo): Aceitar riscos e manter ações de  monitoramento;
  • RM (Risco Médio): Gerenciar riscos e manter monitoramento das ações de tratamento;
  • RA (Risco Alto): Exige grande esforço para gerenciamento dos riscos e acompanhamento extensivo das ações de tratamento. Considere a execução constante do processo “4. Monitoramento e Análise Crítica”.

3. Tratamento dos Riscos

O tratamento dos riscos é uma atividade para identificação e definição de estratégias e planejamento de ações para lidar com a exposição aos riscos (Guia PMBOK 6ª edição). As ações definidas devem visar o objetivo principal dos processos dentro do contexto da LGPD, buscando a conformidade com a legislação vigente.

3.1 Planejar as Resposta

As ações planejadas devem ser realistas em relação à disponibilidade de recursos humanos, financeiros e de prazo. O responsável pelo processo deve garantir a qualidade das ações definidas, realizando o acompanhamento e as alterações necessárias, sempre que identificadas.

A descrição de cada ação deve ser norteada por uma das 4 categorias, descritas a seguir:

Prevenir: Alterar o processo, deixando de executar a atividade que representa o risco identificado;

Transferir/Compartilhar: Transferir parcialmente ou integralmente o risco para terceiros;

Mitigar/Melhorar: Reduzir o impacto e/ou a probabilidade de ocorrência do risco para níveis aceitáveis;

Aceitar: Definir se a aceitação do risco será de forma passiva, não sendo necessária nenhuma ação, ou ativa, definindo reservas de contingência financeiras, de prazo ou de recursos humanos.

Matriz de Probabilidade x Impacto – Sistema de Gestão de Riscos para LGPD Unicamp

Plano para Tratamento dos Riscos

O conjunto de informações definidas nos processos 1. Identificação dos Riscos, 2. Análise dos Riscos e 3. Tratamento dos riscos resultam no plano para tratamento dos riscos, com o propósito de especificar “como as opções de tratamento escolhidas serão implementadas, de maneira que os arranjos sejam compreendidos pelos envolvidos e o progresso em relação ao plano possa ser monitorado” (ABNT, 2018).

4. Monitoramento e Análise Crítica

O Monitoramento e Análise Crítica tem como objetivo garantir o bom andamento dos planos definidos. Nesta etapa, os responsáveis devem “assegurar e melhorar a qualidade e eficácia da concepção, implementação e resultados do processo” (ABNT, 2018). As atividades descritas a seguir podem ocorrer sempre que necessário, concomitantemente ou isoladamente, conforme exigência da situação identificada pelos responsáveis.

4.1. Reavaliar Riscos

Revisar os riscos mapeados para atualizar as informações com novos riscos identificados, atualização de riscos já descritos e exclusão de riscos desatualizados.

4.2. Realizar Auditoria

Examinar o desempenho do processo de gestão de riscos e das ações adotadas para tratamento dos riscos identificados.

4.3. Realizar Análise Crítica

Realizar a análise dos riscos e de seus tratamentos. A equipe responsável, nos diferentes níveis de gestão, deve realizar auto avaliação, na busca contínua por melhorias dos processos de trabalho e nos dados cadastrados.

4.4. Medir Desempenho

Comparar o desempenho técnico do andamento das ações definidas frente ao planejamento realizado nas etapas anteriores.

5. Comunicação e Consulta

O processo de comunicação e consulta é executado de forma permanente com ações, partindo da divulgação dos planos para gestão dos riscos até o resultado final dos tratamentos identificados e executados, para cada risco dos processos. “A comunicação busca promover a conscientização e o entendimento do risco, enquanto a consulta envolve obter retorno e informação, para auxiliar a tomada de decisão” (ABNT, 2018).

5.1. Realizar Ampla Divulgação

Consiste na criação de documentação para orientação de toda comunidade tais como: Instrução Normativa; Plano de Gestão de Riscos; Política de Gestão de Riscos; Sítio eletrônico informativo; Oficinas de capacitação, entre outros.

5.2. Coletar Retorno dos Interessados

Criar canais de comunicação para coletar informações sobre a eficiência do plano de gestão de riscos na perspectiva da comunidade. A transparência, confidencialidade e a garantia de privacidade dos colaboradores devem ser princípios fundamentais para a execução dessa atividade.

Sistema de Gestão de Riscos

Como suporte às iniciativas para conformidade com a Lei Geral de Proteção de Dados (LGPD), a Universidade faz uso do Sistema de Gestão de Riscos da Unicamp. O sistema tem como princípio fundamental a agilidade para cadastrar e consultar informações necessárias, para a execução do processo de gestão de riscos, contando com canais de comunicação para coleta sobre a experiência de uso, bem como para sugestões de adequação. Os recursos disponibilizados auxiliarão na definição das responsabilidades, cadastros de riscos, cadastrados dos tratamentos dos riscos, geração do Plano para Tratamento dos Riscos e na geração de indicadores para suporte à tomada de decisão para diversos níveis gerenciais.

Processo de Gestão de Riscos

Sistema de Gestão de Riscos

O acesso ao recurso para Gestão de Riscos é realizado por meio do Sistema Privacidade (Solicita) em www.sis.cgu.unicamp.br/solicita.

Acessar o Sistema