O 9º Painel do XXI Congresso Paranaense de Direito Administrativo – “O Admirável Mundo Novo da Administração Pública: desafios para o Século XXI”, em homenagem ao professor Juarez Freitas, tratou da lei de proteção de dados e seus desafios: privacidade, interesse público e transparência na Administração Pública. O mediador foi o professor Fernando Menegat e a relatora, a professora Carolina Olsen. Debateu o tema o professor Rodrigo Pironti Aguirre de Castro.
O professor Rodrigo Pironti Aguirre de Castro abordou a relevância do mapeamento de dados e de metodologias concretas e específicas para a elaboração do relatório de impacto de proteção de dados, além de trazer aspectos sobre a relevância da gestão de riscos e questões práticas sobre o encarregado de dados na Administração Pública.
De acordo com Pironti, a Lei Geral de Proteção de Dados – LGPD traz critérios fundamentais, principalmente, do ponto de vista prático. Entre eles, o professor citou a gestão de riscos, que a própria lei determina hoje importante para a estruturação e elaboração do chamado relatório de impacto de proteção de dados pessoais.
“Temos que entender que o processo de gerenciamento de risco, qualquer que seja ele, passa por algumas metodologias complexas. Para se ter uma matriz efetiva de risco é preciso trabalhar com as normas ISO, vetoras da estruturação de risco de uma maneira metodológica: a ISO 31000, a ISO 27001 e a ISO 27701, que trabalham com os aspectos da segurança da informação, tecnologia da informação e, principalmente, com a gestão de riscos de maneira global”, explicou.
Segundo Pironti, têm-se mais incertezas do que certezas em relação à LGPD, citando, como exemplo, o atraso na implantação da lei, em virtude de problemas da estruturação, a regulação que ainda não está ainda bem definida, e ainda, quais os impactos que esses cenários poderão ter na proteção de dados.
Pironti ainda falou sobre a importância do relatório de impacto à proteção de dados, que é um instrumento de uso do controlador, com a descrição dos processos para mitigação de riscos e, concomitantemente, de responsabilidades.
Finalizando, Pironti disse que não se consegue um efetivo relatório de impacto de proteção de dados sem antes uma boa verificação do mapeamento dos processos dos ativos das organizações e esse mapeamento vai necessariamente fundamentar a matriz de risco, portanto, todos os aspectos de identificação do risco dependem de suas hipóteses de tratamento.