Como criar uma matriz de riscos de privacidade
A gestão de riscos de privacidade começa com uma pergunta simples e uma resposta que exige método: "Quais são os riscos do nosso tratamento de dados e o quão graves são?" Para chegar a essa resposta de forma estruturada, a ferramenta mais utilizada é a matriz de riscos — um modelo visual que combina probabilidade e impacto de cada risco em um mapa que permite priorização imediata.
A LGPD não prescreve nenhuma metodologia específica de avaliação de riscos. O Art. 46 exige medidas de segurança "aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito". O Art. 38 exige o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) para tratamentos de alto risco. A matriz de riscos é a ferramenta que conecta as duas exigências: ajuda a identificar quais tratamentos são de alto risco e quais medidas de segurança são proporcionais.
O que é uma matriz de riscos de privacidade
Uma matriz de riscos de privacidade é uma tabela bidimensional onde:
- O eixo horizontal representa a probabilidade de um evento de risco ocorrer
- O eixo vertical representa o impacto caso o evento ocorra
- Cada célula da matriz recebe um nível de risco resultante (baixo, médio, alto, crítico)
O resultado visual — frequentemente chamado de heatmap por ser colorido em gradação do verde (baixo) ao vermelho (crítico) — permite que gestores vejam instantaneamente onde estão os riscos mais graves e priorizem ações de mitigação.
A diferença da matriz de riscos de privacidade para uma matriz de riscos convencional está na perspectiva dupla que deve ser adotada: o risco para a organização (sanções, danos reputacionais, custos de resposta) e o risco para os titulares dos dados (dano à privacidade, discriminação, dano patrimonial, risco à segurança física).
Passo 1: Definir o escopo
Antes de avaliar qualquer risco, é necessário definir o que será avaliado. O escopo da matriz pode ser:
- Toda a organização (ideal para uma primeira avaliação abrangente, parte do ROPA)
- Uma atividade de tratamento específica (adequado para o RIPD de um sistema novo ou de alto risco)
- Um projeto ou produto novo (Privacy by Design — avaliar antes de entrar em produção)
O ponto de partida é o ROPA (Registro de Operações de Tratamento): cada linha do ROPA é uma atividade de tratamento que pode ser avaliada quanto aos seus riscos.
Dica prática: Para organizações que estão começando, priorize o escopo pelas atividades de tratamento mais críticas — as que envolvem dados sensíveis, dados de crianças, ou que afetam mais pessoas. Expanda depois.
Passo 2: Identificar os riscos por atividade de tratamento
Para cada atividade de tratamento no escopo, faça a pergunta: "O que pode dar errado com esses dados?"
Fontes comuns de riscos de privacidade:
Acesso não autorizado:
- Colaborador acessa dados sem necessidade (ausência de controle de acesso granular)
- Invasão externa por atacante (phishing, ransomware, exploração de vulnerabilidade)
- Acesso indevido por fornecedor com permissão excessiva
Uso inadequado:
- Dados usados para finalidade diferente da declarada (desvio de finalidade)
- Compartilhamento com terceiro sem base legal
- Retenção após o prazo definido (dado que deveria ter sido eliminado)
Exposição acidental:
- E-mail enviado ao destinatário errado com dados pessoais em anexo
- Arquivo com dados pessoais publicado em repositório público por engano
- Backup sem criptografia em local acessível externamente
Falha operacional:
- Sistema indisponível impede que titular exerça seu direito de acesso ou eliminação
- Processo de resposta a incidentes inexistente — o incidente ocorre mas a notificação à ANPD (Res. 15/2024) não é feita no prazo
- Encarregado não identificado ou não publicado, impedindo que titulares entrem em contato
Falha de fornecedor:
- Operador sem DPA ou com DPA sem cláusulas efetivas sofre incidente com dados do controlador
- Transferência internacional sem mecanismo adequado (Res. 19/2024)
Formato sugerido para registro: Para cada risco identificado, anote: (1) o risco em uma frase, (2) a atividade de tratamento associada, (3) o tipo de dado envolvido.
Passo 3: Definir a escala de probabilidade
A probabilidade mede a chance de o risco se materializar em um período definido (tipicamente 12 meses ou o horizonte de planejamento).
| Nível | Descrição | Exemplos típicos |
|---|---|---|
| 1 — Muito baixa | Ocorrência improvável; sem registro histórico | Ataque sofisticado a sistema bem protegido sem histórico de incidentes |
| 2 — Baixa | Poderia ocorrer, mas pouco frequente | Phishing bem-sucedido em organização com treinamentos regulares |
| 3 — Média | Ocorre ocasionalmente em organizações similares | E-mail com dados enviado ao destinatário errado; acesso indevido por ex-colaborador |
| 4 — Alta | Ocorre com frequência ou é esperado dentro do período | Ausência de MFA em sistemas com dados sensíveis; fornecedor sem DPA |
| 5 — Muito alta | Quase certo de ocorrer; pode já estar ocorrendo | Sistema sem controle de acesso granular; dados retidos além do prazo sem processo de eliminação |
Para calibrar a escala: Use histórico interno de incidentes, relatórios do setor (notificações publicadas pela ANPD), frequência observada em auditorias anteriores e vulnerabilidades conhecidas nos sistemas.
Passo 4: Definir a escala de impacto
O impacto deve ser avaliado nas duas perspectivas — na organização e nos titulares. Para riscos de privacidade, o impacto nos titulares frequentemente determina a classificação de risco mais alta.
Impacto na organização:
| Nível | Descrição |
|---|---|
| 1 — Insignificante | Sem repercussão; sem custo significativo |
| 2 — Menor | Custo operacional baixo; sem sanção |
| 3 — Moderado | Custo de resposta relevante; risco de multa; reputação afetada localmente |
| 4 — Significativo | Multa da ANPD; investigação formal; repercussão na mídia |
| 5 — Crítico | Multa máxima (2% do faturamento até R$ 50M por infração); ação judicial coletiva; dano reputacional grave |
Impacto nos titulares:
| Nível | Descrição |
|---|---|
| 1 — Insignificante | Sem consequência perceptível para o titular |
| 2 — Menor | Inconveniência; desconforto; sem dano material |
| 3 — Moderado | Exposição de dado não sensível; dano reputacional limitado; possível constrangimento |
| 4 — Significativo | Exposição de dado sensível; dano patrimonial; discriminação; risco de violência |
| 5 — Crítico | Risco à vida ou integridade física; dano patrimonial grave; discriminação sistemática; exposição de criança ou grupo vulnerável |
Regra de ouro: Quando o impacto nos titulares for maior que o impacto na organização, use o impacto nos titulares como determinante. A LGPD protege os direitos dos titulares — a avaliação de riscos deve refletir isso.
Passo 5: Calcular e classificar os riscos
O nível de risco é calculado pela combinação de probabilidade e impacto:
Nível de risco = Probabilidade × Impacto
| Score | Classificação | Cor |
|---|---|---|
| 1–4 | Baixo | Verde |
| 5–9 | Médio | Amarelo |
| 10–16 | Alto | Laranja |
| 17–25 | Crítico | Vermelho |
Matriz visual (heatmap):
Impacto
1 2 3 4 5
┌────┬────┬────┬────┬────┐
P 5 │ 5 │ 10 │ 15 │ 20 │ 25 │
r 4 │ 4 │ 8 │ 12 │ 16 │ 20 │
o 3 │ 3 │ 6 │ 9 │ 12 │ 15 │
b 2 │ 2 │ 4 │ 6 │ 8 │ 10 │
1 │ 1 │ 2 │ 3 │ 4 │ 5 │
└────┴────┴────┴────┴────┘
Scores 1-4: Baixo (verde) | 5-9: Médio (amarelo) | 10-16: Alto (laranja) | 17-25: Crítico (vermelho)
Tratamentos de alto risco para o RIPD: Riscos classificados como "Alto" ou "Crítico" — score ≥ 10 — geralmente indicam que o tratamento exige um RIPD antes de começar (ou uma atualização do RIPD existente).
Passo 6: Definir o tratamento dos riscos
Para cada risco avaliado, há quatro respostas possíveis:
Evitar: Eliminar o tratamento de dados que gera o risco — ou modificá-lo para que o risco desapareça. Exemplo: em vez de coletar o CPF de todos os visitantes do site, coletar apenas de quem efetua compra.
Mitigar: Implementar controles que reduzam a probabilidade ou o impacto do risco. Exemplos: criptografar o banco de dados (reduz impacto de invasão), implementar MFA (reduz probabilidade de acesso indevido), treinar colaboradores (reduz probabilidade de erros).
Transferir: Compartilhar o risco com terceiro — tipicamente via seguro de responsabilidade cibernética ou contratando operadores que assumem responsabilidade contratual pelo tratamento (DPAs com responsabilidade clara). Importante: transferir o risco não elimina a responsabilidade legal — a organização continua responsável perante a LGPD.
Aceitar: Reconhecer o risco e decidir conscientemente não tomar ação adicional — porque o custo da mitigação supera o custo esperado do risco, ou porque o risco está abaixo do apetite de risco definido. A aceitação deve ser documentada e aprovada pela liderança.
Após o tratamento — risco residual: Após implementar os controles, reavalie o risco. O que sobra é o risco residual. O risco residual deve ser avaliado novamente — se ainda estiver na zona "Alto" ou "Crítico", mais mitigação é necessária ou a aceitação precisa de aprovação de nível hierárquico mais alto.
Fatores especiais de privacidade que elevam o impacto
A avaliação de impacto em privacidade tem nuances que uma matriz de riscos genérica pode não capturar. Os seguintes fatores devem elevar automaticamente o nível de impacto avaliado:
- Dados sensíveis (Art. 11 LGPD): Saúde, biometria, origem racial, religião, filiação sindical/política, orientação sexual — exposição tem impacto social desproporcional
- Dados de crianças e adolescentes (Art. 14 LGPD): Vulnerabilidade especial; impacto potencial de longo prazo
- Dados de populações vulneráveis: Pessoas em situação de rua, pacientes em tratamento, vítimas de violência — exposição pode comprometer a segurança física
- Volume de titulares afetados: Um risco que afeta 100 pessoas é diferente de um que afeta 1 milhão, mesmo que o tipo de dado seja o mesmo
- Irreversibilidade do dano: Dados publicados publicamente são praticamente irreversíveis; dados em e-mail errado podem ser contidos
Revisão periódica: a matriz não é estática
Uma matriz de riscos de privacidade tem validade limitada. Novos sistemas, novos fornecedores, novas bases legais, mudanças regulatórias e incidentes ocorridos (internos e de mercado) mudam o perfil de riscos.
Quando revisar:
- Ao menos uma vez por ano (revisão periódica programada)
- Antes de lançar novos sistemas ou expandir o tratamento de dados existente
- Após qualquer incidente significativo (o incidente provavelmente revelou riscos não mapeados)
- Após mudança regulatória relevante (nova resolução da ANPD, nova lei setorial)
- Quando um fornecedor relevante sofrer incidente ou for substituído
Template simplificado de registro
Para cada risco identificado, registre:
| Campo | Conteúdo |
|---|---|
| ID do risco | R-001, R-002, etc. |
| Atividade de tratamento | Ex: prontuário eletrônico de pacientes |
| Descrição do risco | Ex: acesso indevido por colaborador sem necessidade ao prontuário |
| Tipo de dado envolvido | Ex: dados de saúde — dado sensível |
| Probabilidade (1-5) | Ex: 3 (ocorre ocasionalmente) |
| Impacto nos titulares (1-5) | Ex: 5 (dado de saúde; titular vulnerável) |
| Impacto na organização (1-5) | Ex: 4 (multa + reputação) |
| Score de risco | Ex: 3 × 5 = 15 (Alto) |
| Controles existentes | Ex: controle de acesso por perfil no sistema |
| Tratamento definido | Ex: mitigar — implementar log de acesso + alertas de acesso anômalo |
| Risco residual | Ex: 3 × 3 = 9 (Médio — aceitável) |
| Responsável | Ex: DPO + TI |
| Prazo | Ex: 31/03/2026 |
Conexão com o RIPD
Quando uma atividade de tratamento apresenta riscos classificados como "Alto" ou "Crítico" após a avaliação na matriz, o próximo passo obrigatório é a elaboração do RIPD (Relatório de Impacto à Proteção de Dados Pessoais).
O RIPD aprofunda a análise feita na matriz: enquanto a matriz identifica e classifica os riscos, o RIPD documenta a avaliação de necessidade e proporcionalidade do tratamento, descreve os riscos em detalhe e as medidas de mitigação adotadas, e demonstra que o risco residual foi aceito conscientemente ou mitigado a um nível aceitável.
A matriz de riscos, portanto, não substitui o RIPD — alimenta e fundamenta sua elaboração.
Conclusão
Criar uma matriz de riscos de privacidade não é uma tarefa complexa — é uma tarefa que exige disciplina e honestidade. O maior valor da ferramenta não está no heatmap resultante, mas no processo de identificação e análise que obriga a organização a pensar sistematicamente sobre o que pode dar errado com cada dado que trata.
Para organizações que ainda não possuem nenhuma ferramenta formal de gestão de riscos de privacidade, começar por uma matriz simples — probabilidade 1-5 × impacto 1-5, com os riscos das atividades de tratamento mais críticas — é o passo mais rápido e eficaz para demonstrar conformidade com o Art. 46 da LGPD e identificar os tratamentos que exigem RIPD.
O Confidata inclui módulo de gestão de riscos integrado ao ROPA: cada atividade de tratamento pode ser avaliada quanto aos riscos diretamente na plataforma, com heatmap automático, vínculo ao RIPD quando necessário e painel de riscos por secretaria ou área da organização.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.