A identificação dos riscos tem como objetivo elencar todos os riscos identificados e que possam impactar de forma negativa, na conformidade do processo em relação à Lei Geral de Proteção de Dados (LGPD). A utilização de informações pertinentes e atualizadas são importantes para a eficiência dessa atividade, bem como a identificação dos riscos fora do controle da organização (ABNT, 2018).
1. Definir Responsáveis
A definição dos responsáveis consiste na identificação do responsável pelo tratamento do risco. Dessa forma, cada atividade, que presenta o tratamento definido para determinado risco, deve ter obrigatoriamente um único Responsável.
2. Realizar Coleta de Dados
Concomitante ao processo 1. Definir Responsáveis será realizada a coleta de informações para definição da lista de riscos. Para essa atividade devem ser utilizadas ferramentas para ampla discussão e que auxiliem na identificação dos riscos para cada processo, tais como as previstas no Guia PMBOK (6ª Edição):
- Brainstorming: Identificar os riscos e suas fontes em reuniões com equipe multidisciplinar de especialistas, contando com a orientação de um facilitador.
- Entrevistas: Identificar os riscos em reuniões com partes interessadas, especialistas ou pessoas com experiência no processo. Garantir um ambiente de confiança e confidencialidade para coleta de informações mais precisas.
As ferramentas descritas acima, devem considerar a seguinte lista de categorias de riscos:
- Acesso não autorizado;
- Modificação não autorizada;
- Perda;
- Roubo;
- Remoção não autorizada;
- Coleta excessiva;
- Informações insuficientes sobre a finalidade do tratamento;
- Tratamento sem consentimento do titular dos dados pessoais;
- Falha em considerar os direitos do titular dos dados pessoais;
- Compartilhar ou distribuir dados pessoais com terceiros;
Retenção prolongada de dados pessoais sem necessidade; - Vinculação ou associação indevida, direta ou indireta, dos dados pessoais ao titular;
- Falha ou erro de processamento;
- Reidentificação de dados peseudonimizados.