NIST Privacy Framework: guia prático para organizações brasileiras
Quando uma organização decide estruturar sua gestão de privacidade além do mínimo legal, precisa escolher uma metodologia. No campo da segurança da informação, o NIST Cybersecurity Framework tornou-se referência mundial. Para privacidade, o mesmo NIST — National Institute of Standards and Technology dos Estados Unidos — publicou em janeiro de 2020 o NIST Privacy Framework (versão 1.0), um instrumento complementar especificamente voltado à gestão de riscos de privacidade.
Embora seja um documento norte-americano, o NIST Privacy Framework é agnóstico quanto à jurisdição: não foi concebido para nenhuma lei específica e pode ser usado em conjunto com qualquer regulação de privacidade, incluindo a LGPD brasileira. É flexível, baseado em risco, independente de tecnologia — e está disponível em tradução para o português no site do NIST.
O que é o NIST Privacy Framework
O NIST Privacy Framework v1.0 foi publicado em 16 de janeiro de 2020. Sua proposta é fornecer uma linguagem comum e uma estrutura voluntária que ajude organizações a:
- Identificar e comunicar sua postura atual de gestão de privacidade
- Definir onde querem chegar (postura alvo)
- Priorizar ações para reduzir riscos de privacidade
- Demonstrar conformidade de forma mais eficaz
O framework é organizado em três componentes principais: Core (Núcleo), Profiles (Perfis) e Implementation Tiers (Níveis de implementação).
O Núcleo: 5 funções, 18 categorias, 100 subcategorias
O Core do NIST Privacy Framework organiza as práticas de privacidade em cinco funções, representadas por siglas com o sufixo "-P" (de Privacy):
Identify-P (ID-P) — Identificar
O que é: Desenvolver o entendimento organizacional para gerenciar riscos de privacidade relativos ao processamento de dados pessoais.
Categorias incluídas:
- Inventário e mapeamento de dados (Data Processing Ecosystem Risk Management): identificar e documentar todos os dados pessoais processados, fluxos de dados, sistemas e partes envolvidas — equivalente ao ROPA da LGPD, mas em nível mais detalhado
- Gestão de riscos (Business Environment): compreender a missão, objetivos e contexto organizacional relevantes para a privacidade
Na prática sob a LGPD: Corresponde à elaboração do ROPA (Registro de Operações de Tratamento), ao mapeamento de dados pessoais por sistema e à identificação de riscos de privacidade antes de novos tratamentos começarem.
Govern-P (GV-P) — Governar
O que é: Desenvolver e implementar estrutura organizacional de governança para permitir uma estratégia de privacidade contínua.
Categorias incluídas:
- Política organizacional de privacidade documentada e aprovada pela liderança
- Definição de papéis e responsabilidades (quem é responsável por quê na gestão de privacidade)
- Processos para monitorar o cumprimento das políticas internas
- Gestão de riscos de privacidade integrada à estratégia de negócios
- Consciência organizacional sobre privacidade (treinamentos, comunicação interna)
Na prática sob a LGPD: Corresponde à estrutura de governança de privacidade: designação do Encarregado (Res. 18/2024), política de privacidade interna, programa de treinamentos, integração da privacidade ao processo de novos projetos (Privacy by Design, Art. 46 §2º da LGPD).
Control-P (CT-P) — Controlar
O que é: Desenvolver e implementar atividades para permitir que organizações ou indivíduos gerenciem dados pessoais com granularidade suficiente para apoiar os objetivos de privacidade.
Categorias incluídas:
- Políticas de coleta e uso mínimo de dados (princípio da necessidade, Art. 6º, III da LGPD)
- Processos para atender solicitações de titulares (Art. 18 da LGPD)
- Gerenciamento de consentimento — registro, renovação e revogação
- Controles técnicos para limitar o processamento de dados ao necessário
Na prática sob a LGPD: Corresponde aos mecanismos de atendimento de direitos dos titulares (Art. 18), gestão de consentimento, controles de minimização de dados e pseudonimização.
Communicate-P (CM-P) — Comunicar
O que é: Desenvolver e implementar atividades que permitam à organização ter um entendimento suficientemente confiável das práticas de privacidade para facilitar o engajamento com titulares de dados.
Categorias incluídas:
- Comunicação das práticas de privacidade para os titulares (política de privacidade, avisos de coleta)
- Notificação sobre mudanças nas práticas de privacidade
- Canal para perguntas e reclamações dos titulares
- Transparência sobre como e por que os dados são processados
Na prática sob a LGPD: Corresponde à obrigação de transparência (Art. 6º, VI e Art. 9º), política de privacidade pública, canal de comunicação do Encarregado, notificação de incidentes (Art. 48 e Res. 15/2024).
Protect-P (PR-P) — Proteger
O que é: Desenvolver e implementar salvaguardas técnicas e organizacionais adequadas para proteção de dados pessoais.
Categorias incluídas:
- Gestão de identidade e controle de acesso
- Conscientização e treinamento em segurança
- Segurança de dados (criptografia, tokenização, anonimização)
- Manutenção de sistemas de segurança
- Processos e procedimentos de proteção
- Tecnologia de proteção (incluindo Privacy Enhancing Technologies — PETs)
Na prática sob a LGPD: Corresponde às medidas técnicas e administrativas do Art. 46, incluindo controle de acesso, criptografia, segurança de sistemas, gestão de patches e planos de resposta a incidentes.
Perfis: Atual e Alvo
Um dos componentes mais práticos do NIST Privacy Framework são os Perfis (Profiles). O framework distingue entre:
Perfil Atual (Current Profile): Descreve os resultados de privacidade que a organização está alcançando hoje — onde ela realmente está.
Perfil Alvo (Target Profile): Descreve os resultados desejados com base nos objetivos de negócio, apetite de risco, requisitos legais e expectativas das partes interessadas — onde a organização quer estar.
A lacuna entre os dois perfis define as prioridades de ação. O exercício de criar os dois perfis é, em si, valioso: força a organização a ser honesta sobre onde está e realista sobre onde pode chegar.
Como usar na prática:
- Para cada categoria das 5 funções, avalie se a organização atende a subcategoria: "Sim / Parcialmente / Não / Não aplicável"
- O conjunto de "Sim" forma o Perfil Atual
- Defina quais subcategorias deveriam ser "Sim" com base em requisitos legais (LGPD) e objetivos de negócio — esse é o Perfil Alvo
- A distância entre os dois indica onde investir primeiro
Níveis de Implementação (Implementation Tiers)
O framework define quatro níveis que descrevem o grau de sofisticação da gestão de privacidade:
| Nível | Nome | Descrição resumida |
|---|---|---|
| Tier 1 | Parcial | Práticas ad hoc, reativas, sem formalização |
| Tier 2 | Risco Informado | Práticas definidas mas não implementadas uniformemente |
| Tier 3 | Repetível | Práticas formalizadas, implementadas consistentemente, revisadas |
| Tier 4 | Adaptativo | Práticas maduras, melhoria contínua, resposta proativa a novos riscos |
Os Tiers não são obrigatoriamente progressivos — uma organização pode operar no Tier 3 em algumas funções e no Tier 1 em outras. O objetivo não é chegar ao Tier 4 em tudo, mas alcançar o nível adequado ao perfil de risco da organização.
NIST Privacy Framework e LGPD: como usar juntos
O NIST Privacy Framework não substitui a LGPD — é uma ferramenta de gestão que ajuda a organizar a conformidade com ela. A correspondência entre os dois não é perfeita, mas é significativa:
| Função NIST PF | Correspondência na LGPD |
|---|---|
| Identify-P | ROPA (Art. 37), inventário de dados, identificação de riscos para RIPD |
| Govern-P | Encarregado (Art. 41, Res. 18/2024), governança de privacidade, Privacy by Design (Art. 46 §2º) |
| Control-P | Direitos dos titulares (Art. 18), gestão de consentimento (Art. 7º, I), minimização (Art. 6º, III) |
| Communicate-P | Transparência (Art. 9º), política de privacidade, notificação de incidentes (Art. 48, Res. 15/2024) |
| Protect-P | Medidas técnicas e administrativas (Art. 46), segurança da informação |
Vantagem do uso conjunto: O NIST Privacy Framework opera em um nível de detalhe operacional que a LGPD não atinge. A lei diz "adote medidas adequadas"; o framework diz quais categorias de práticas constituem "medidas adequadas" — controle de acesso, gestão de identidade, criptografia, minimização de dados, avaliação de riscos periódica, etc.
NIST Privacy Framework vs. NIST Cybersecurity Framework
Uma confusão comum é entre o NIST Privacy Framework (PF) e o NIST Cybersecurity Framework (CSF), que é mais antigo e mais amplamente adotado (atualmente na versão 2.0, de 2024).
Diferenças principais:
| Aspecto | NIST CSF | NIST Privacy Framework |
|---|---|---|
| Foco | Riscos de segurança (incidentes, falhas) | Riscos de privacidade (processamento problemático de dados) |
| Titulares afetados | Organização (dano à segurança) | Indivíduos (danos à privacidade) |
| Funções | Identify, Protect, Detect, Respond, Recover | Identify-P, Govern-P, Control-P, Communicate-P, Protect-P |
| Origem dos riscos | Agentes externos maliciosos + falhas internas | Processamento legítimo de dados com consequências adversas |
Os dois são complementares: Muitos riscos de privacidade decorrem de falhas de segurança (o que o CSF aborda), mas muitos outros decorrem do processamento normal de dados pessoais — compartilhamento, perfilamento, retenção excessiva — onde não há "atacante" externo, apenas o próprio controlador.
Por onde começar: implementação em 4 etapas
Etapa 1 — Contexto e priorização
- Compreender o contexto da organização: setor, tipos de dados tratados, obrigações legais específicas
- Identificar os objetivos de privacidade prioritários com base no apetite de risco da liderança
Etapa 2 — Perfil Atual
- Usar as subcategorias das 5 funções para mapear o que já existe
- Ser honesto: "parcialmente" não conta como "sim"
Etapa 3 — Perfil Alvo
- Definir o que a LGPD e os objetivos de negócio exigem
- Identificar lacunas prioritárias (itens legalmente obrigatórios que estão faltando vêm primeiro)
Etapa 4 — Plano de ação
- Para cada lacuna prioritária, definir ação, responsável e prazo
- Revisão periódica do perfil (ao menos anual ou após mudança significativa de negócio)
Checklist inicial de adoção do NIST Privacy Framework
- Liderança informada sobre o framework e comprometida com a iniciativa?
- DPO ou equipe de privacidade capacitada para conduzir o mapeamento de perfil?
- Inventário de dados pessoais (ROPA) disponível como base para Identify-P?
- Perfil Atual documentado nas 5 funções?
- Perfil Alvo definido com base em requisitos LGPD + objetivos organizacionais?
- Plano de ação com lacunas priorizadas, responsáveis e prazos?
- Revisão periódica do perfil agendada?
Conclusão
O NIST Privacy Framework não é um substituto para a LGPD nem um requisito legal no Brasil. É uma ferramenta voluntária que ajuda organizações a estruturar sua gestão de privacidade de forma sistemática, baseada em risco e comparável internacionalmente. Para DPOs e equipes de compliance que buscam ir além da conformidade mínima, o framework oferece uma linguagem comum, categorias de práticas bem definidas e um processo claro de identificação de lacunas.
A tradução para o português, disponível no site do NIST, remove a barreira linguística e facilita a adoção por organizações brasileiras — tornando o NIST Privacy Framework um dos recursos mais acessíveis para quem quer profissionalizar a gestão de privacidade além do que a LGPD exige explicitamente.
O Confidata estrutura sua avaliação de maturidade em privacidade seguindo as funções do NIST Privacy Framework, permitindo que organizações identifiquem lacunas, monitorem progresso e demonstrem maturidade crescente na proteção de dados pessoais.
Artigos relacionados
Quer ir além? Conheça o Confidata
Sistema completo de gestão de conformidade LGPD com IA integrada para acelerar seu programa de privacidade.