Gestão de Riscos13 min de leitura

Gestão de riscos de privacidade: ISO 31000, ISO 27701 e LGPD

Equipe Confidata·
Compartilhar

A LGPD exige que organizações "adotem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais" (Art. 46) e realizem Relatório de Impacto à Proteção de Dados Pessoais (RIPD) quando o tratamento puder gerar riscos às liberdades civis e aos direitos fundamentais dos titulares (Art. 38). Mas a lei não define como identificar, avaliar e tratar esses riscos.

Preencher essa lacuna é a função das normas internacionais de gestão de riscos — em particular a ISO 31000:2018 (gestão de riscos genérica) e a ISO/IEC 27701:2025 (sistema de gestão de privacidade de dados pessoais). Adotar essas normas como metodologia não é obrigatório, mas fornece uma estrutura reconhecida internacionalmente que demonstra maturidade e diligência na proteção de dados.

ISO 31000:2018: o framework de gestão de riscos

A ISO 31000:2018 — "Gestão de riscos: Diretrizes" — é a norma internacional de referência para gestão de riscos. Ela não é certificável (não existe auditoria que emite certificado ISO 31000), mas fornece princípios, estrutura e processo que podem ser aplicados a qualquer tipo de risco, incluindo riscos de privacidade.

Princípios

A ISO 31000:2018 estabelece que a gestão de riscos deve ser:

  • Integrada à governança e às operações, não paralela a elas
  • Estruturada e abrangente — processo sistemático que produz resultados comparáveis e confiáveis
  • Personalizada ao contexto externo e interno da organização
  • Inclusiva — envolve partes interessadas cujo conhecimento e perspectivas são relevantes
  • Dinâmica — riscos evoluem, e a gestão deve antecipar, detectar e responder a mudanças
  • Baseada na melhor informação disponível — dados históricos, previsões, perspectivas de especialistas
  • Com fatores humanos e culturais em consideração — comportamento humano é fator central em muitos riscos de privacidade
  • Orientada à melhoria contínua

Estrutura

A estrutura da ISO 31000 descreve como a gestão de riscos é integrada à organização:

  1. Liderança e comprometimento — A alta direção deve demonstrar comprometimento com a gestão de riscos
  2. Integração — A gestão de riscos deve ser parte dos processos organizacionais, não uma atividade separada
  3. Concepção — Compreender o contexto (interno e externo), definir o escopo, política de riscos e objetivos
  4. Implementação — Executar o processo de gestão de riscos
  5. Avaliação — Medir a eficácia da estrutura
  6. Melhoria — Adaptação contínua com base nos resultados

Processo

O processo de gestão de riscos da ISO 31000 tem quatro etapas:

1. Comunicação e consulta: Envolver partes interessadas relevantes ao longo de todo o processo.

2. Avaliação de riscos:

  • Identificação de riscos: O quê pode acontecer, quando, onde, como, por quê?
  • Análise de riscos: Qual a probabilidade? Qual o impacto? Quais os controles existentes?
  • Avaliação de riscos: Os riscos são aceitáveis? Quais exigem tratamento?

3. Tratamento de riscos: Quatro opções — evitar, reduzir (mitigar), transferir (compartilhar) ou aceitar.

4. Monitoramento e revisão: Verificar periodicamente se os riscos mudaram e se os controles são efetivos.

Riscos de privacidade: o que avaliar

Aplicar o processo da ISO 31000 à privacidade exige primeiro identificar o que constitui um risco de privacidade. Os principais tipos:

Riscos de acesso indevido:

  • Acesso não autorizado a dados por colaboradores internos (ausência de controle de acesso granular)
  • Invasão externa (ataque cibernético, ransomware)
  • Compartilhamento acidental (e-mail enviado para destinatário errado, configuração incorreta de banco de dados)

Riscos de uso inadequado:

  • Dados usados para finalidade diferente da declarada (desvio de finalidade — Art. 6º, I da LGPD)
  • Dados compartilhados com terceiros sem base legal adequada
  • Retenção de dados além do prazo necessário

Riscos de processos:

  • Ausência de base legal para tratamento (risco de nulidade e sanção)
  • Incapacidade de atender solicitações de titulares (Art. 18) dentro dos prazos
  • Falha em notificar incidentes dentro do prazo da Res. 15/2024 (3 dias úteis)

Riscos de terceiros:

  • Operador com práticas de segurança inadequadas (sem DPA ou DPA sem cláusulas efetivas)
  • Fornecedor de TI com acesso amplo a dados pessoais sem controle adequado
  • Transferência internacional sem mecanismo adequado (Res. 19/2024)

Riscos reputacionais:

  • Vazamento que se torna público
  • Investigação ou sanção da ANPD
  • Reclamação de titulares que se torna notícia

Impacto nos titulares: a dimensão específica da privacidade

A avaliação de riscos de privacidade exige uma dimensão adicional em relação à avaliação de riscos convencionais: o impacto nos titulares dos dados, não apenas na organização.

Um vazamento de dados pode ter impacto baixo para a organização (custo operacional reduzido, sem responsabilidade legal aparente) e impacto alto para os titulares (exposição de dados de saúde, possibilidade de discriminação, dano patrimonial). A avaliação de riscos de privacidade deve considerar ambas as perspectivas.

Fatores de impacto específicos para titulares:

  • Sensibilidade dos dados: Dados de saúde, origem racial, orientação sexual, dados biométricos, dados de menores — maior impacto potencial
  • Volume de titulares afetados: Um incidente que afeta 1 milhão de pessoas tem impacto social diferente de um que afeta 10
  • Tipo de dano: Dano patrimonial direto (fraude financeira), dano à reputação, discriminação, impacto psicológico, risco à segurança física
  • Reversibilidade: Dados publicados na internet são praticamente irreversíveis; um e-mail enviado ao destinatário errado pode ser contido
  • Vulnerabilidade dos titulares: Crianças, pessoas em situação de vulnerabilidade econômica, pacientes, vítimas de violência — grupos que sofrem impacto desproporcional com o mesmo incidente

ISO/IEC 27701:2025: sistema de gestão de privacidade

A ISO/IEC 27701:2025 é a norma internacional específica para sistemas de gestão de informações de privacidade (PIMS — Privacy Information Management System). Em outubro de 2025, a norma foi atualizada da versão 2019 — que era uma extensão da ISO 27001 — para uma norma standalone, que pode ser implementada e certificada independentemente da ISO 27001.

Essa mudança é significativa: organizações que não possuem certificação ISO 27001 agora podem implementar e certificar um sistema de gestão de privacidade sem precisar primeiro certificar toda a gestão de segurança da informação.

O que a ISO/IEC 27701:2025 cobre:

  • Requisitos para um Sistema de Gestão de Informações de Privacidade (PIMS)
  • Controles específicos para controladores de dados (mapeamento com Art. 7º da LGPD, base legal, direitos dos titulares)
  • Controles específicos para operadores de dados (mapeamento com Art. 39 da LGPD, obrigações do operador)
  • Orientações de implementação mapeadas com o GDPR europeu — e, por extensão, aplicáveis à LGPD brasileira, que tem estrutura similar

Relação com a ISO 31000: A ISO 27701 exige avaliação de riscos de privacidade como parte do ciclo PDCA (Planejar-Executar-Verificar-Agir) do sistema de gestão. A ISO 31000 fornece a metodologia para essa avaliação de riscos. As duas normas se complementam.

RIPD: a avaliação de impacto exigida pela LGPD

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é o instrumento brasileiro correspondente ao DPIA (Data Protection Impact Assessment) do GDPR europeu. O Art. 38 da LGPD o exige quando o tratamento puder gerar riscos às liberdades civis e aos direitos fundamentais dos titulares.

A ANPD pode determinar que o controlador elabore o RIPD, e pode publicar orientações sobre quais tratamentos exigem RIPD obrigatoriamente. Os tratamentos que geralmente demandam RIPD incluem:

  • Sistemas de vigilância em larga escala (câmeras com reconhecimento facial, monitoramento de comunicações)
  • Perfilamento sistemático que produz efeitos legais ou significativos para os titulares
  • Tratamento de dados sensíveis em larga escala
  • Tratamento de dados de crianças de forma sistemática
  • Novas tecnologias que criam riscos novos ou desconhecidos

O RIPD como produto da gestão de riscos: A melhor forma de elaborar um RIPD é usando o processo de avaliação de riscos da ISO 31000 como metodologia — identificar os riscos específicos do tratamento em questão, analisá-los com base na probabilidade e impacto, avaliar se são aceitáveis, e definir medidas de mitigação. O resultado documentado é o RIPD.

Conteúdo mínimo do RIPD:

  • Descrição do tratamento (finalidade, dados coletados, destinatários, prazos de retenção)
  • Avaliação da necessidade e proporcionalidade do tratamento
  • Identificação e avaliação dos riscos para os direitos dos titulares
  • Medidas de mitigação adotadas e residual de risco aceitável

Privacy by Design: prevenção antes do incidente

O Art. 46, §2º da LGPD introduz o conceito de Privacy by Design — "medidas de segurança devem ser observadas desde a fase de concepção do produto ou serviço". A ISO 31000 aplicada à privacidade operacionaliza esse conceito: a avaliação de riscos deve ocorrer antes de um novo sistema ou processo entrar em produção, não depois que os dados já estão sendo tratados.

Integrar a avaliação de riscos de privacidade ao ciclo de desenvolvimento (SDLC) significa:

  • Incluir privacy review no processo de aprovação de novos projetos de TI
  • Exigir que fornecedores de sistemas respondam a questionários de privacidade antes da contratação
  • Elaborar RIPD para sistemas novos antes do go-live, não depois
  • Revisar a avaliação quando há mudanças significativas no tratamento

Como começar: maturidade em etapas

Nem toda organização precisa implementar a ISO 31000 ou a ISO 27701 de uma vez. A abordagem em maturidade progressiva é mais realista:

Nível 1 — Conformidade básica:

  • ROPA completo (inventário das atividades de tratamento)
  • Identificação dos tratamentos de alto risco que exigem RIPD
  • Controles básicos de segurança documentados

Nível 2 — Gestão de riscos estruturada:

  • Metodologia de avaliação de riscos definida (pode seguir ISO 31000 sem certificação formal)
  • Registro de riscos de privacidade atualizado periodicamente
  • RIPD para tratamentos críticos elaborado e revisado

Nível 3 — Sistema de gestão:

  • PIMS estruturado conforme ISO 27701:2025
  • Avaliação de riscos integrada ao ciclo de desenvolvimento
  • Monitoramento contínuo e revisão periódica (ciclo PDCA)

Nível 4 — Certificação:

  • Auditoria externa por organismo de certificação
  • Certificação ISO 27701:2025

Checklist de maturidade em gestão de riscos de privacidade

Identificação:

  • Inventário de atividades de tratamento (ROPA) completo?
  • Tratamentos de alto risco identificados (saúde, biometria, crianças, vigilância, perfilamento)?
  • RIPD elaborado para todos os tratamentos de alto risco antes do início do tratamento?

Análise e avaliação:

  • Metodologia de avaliação de riscos definida (probabilidade × impacto)?
  • Fatores de impacto nos titulares incluídos na avaliação (tipo de dado, vulnerabilidade, reversibilidade)?
  • Registro de riscos documentado e atualizado periodicamente?

Tratamento:

  • Controles de mitigação documentados para cada risco relevante?
  • Riscos residuais avaliados e aprovados pela liderança?
  • Privacy by Design integrado ao processo de novos projetos e sistemas?

Monitoramento:

  • Revisão periódica da avaliação de riscos (ao menos anual ou após mudança significativa)?
  • Incidentes registrados e analisados para ajustar a avaliação de riscos?

Conclusão

A gestão de riscos de privacidade não é um luxo de grandes organizações — é o mecanismo pelo qual qualquer controlador de dados demonstra que tomou medidas proporcionais para proteger os dados que trata. A LGPD exige medidas adequadas (Art. 46) e avaliação de impacto para tratamentos de risco (Art. 38); a ISO 31000 e a ISO/IEC 27701:2025 fornecem a metodologia para implementar isso de forma estruturada.

O investimento em gestão de riscos de privacidade paga dividendos duplos: reduz a probabilidade de incidentes custosos e demonstra à ANPD e aos titulares que a organização trata a proteção de dados como prioridade real, não como formalidade.

O Confidata inclui módulo de gestão de riscos com registro de riscos de privacidade, vínculo entre riscos e atividades de tratamento no ROPA, e suporte à elaboração de RIPD para tratamentos de alto risco — seguindo a estrutura da ISO 31000 adaptada à LGPD.

Compartilhar
#gestão riscos privacidade#ISO 31000 LGPD#ISO 27701 privacidade#RIPD LGPD#avaliação riscos dados pessoais#Privacy by Design#framework de privacidade

Artigos relacionados

Como criar uma matriz de riscos de privacidadeGestão de Riscos · 12 minRIPD para Hospitais e Clínicas: Guia Prático com ModeloGestão de Riscos · 15 minNIST Privacy Framework: guia prático para organizações brasileirasGestão de Riscos · 12 minDue diligence de privacidade em fornecedores: checklist com 25 itens essenciaisGestão de Riscos · 12 min

Quer ir além? Conheça o Confidata

Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.

© 2026 Confidata — Todos os direitos reservados|Privacidade|Cookies
Falar com especialista