Esta fase está também contemplada na fase análise/avaliação de riscos descrita no capítulo 2.2.2. Com os potenciais riscos identificados, é necessário avaliar cada risco com base na probabilidade de ocorrência e impacto das vulnerabilidades dos dados pessoais para os titulares, para que a organização possa definir uma estratégia de priorização e definição de implementação de controlos mitigatórios.
Devido a este trabalho procurar ser genérico, ao ponto de se adaptar à realidade de organizações com diferentes modelos de negócio, escolheu-se uma abordagem de estimativa de risco qualitativa. Com a abrangência que se procura ter, a definição de uma abordagem quantitativa é impraticável, uma vez que o processo de atribuição de valores concretos associados a perdas leva em conta imensos fatores, e é algo muito característico
das organizações que varia bastante dependendo do modelo de negócio de cada organização.
Levando em conta as escalas de classificação de probabilidade de ocorrência e impacto descritos nas próximas secções abaixo, obtemos o valor do risco através da seguinte tabela:
Tabela 8 - Classificação do risco
Impacto Ocorrência
Insignificante Limitado Significante Máximo
Insignificante
Limitada
Significante
Máxima
Baixo Médio Alto Elevado
Tanto para a classificação de probabilidade de ocorrência como para a classificação de impacto dos riscos optou-se por se seguir a abordagem e escalas definidos no documento Knowledge Bases da CNIL (CNIL, 2018). Esta escolha deve-se à CNIL, a entidade reguladora em matéria de proteção de dados em França, ser uma organização com um grande historial neste assunto e ter peritos com uma vasta experiência de privacidade dos dados, assim como vários documentos e ferramentas publicadas com o intuito de apoiar as organizações Francesas a cumprir com o RGPD.
Os riscos referidos como elevados pelo regulamento irão mapear-se com os riscos altos resultantes da fase de análise de risco, uma vez que de acordo com a definição do capítulo 2.2.4 Risco elevado, estes riscos poderão resultar em consequências significantes para os titular dos dados, podendo existir dificuldades sérias para superar essas consequências.
No preenchimento destes dois parâmetros do cálculo do risco deve-se levar em conta os vários fatores que têm influência no processo, encontrando-se alguns exemplos descritos abaixo.
3.3.4.1 Classificação de probabilidade de ocorrência dos riscos
Os valores apresentados são orientados para a realização de estimativas de probabilidade de ocorrência das vulnerabilidades apresentadas para cada questão da avaliação de maturidade tendo em conta os riscos associados.
Tabela 9 - Classificação de probabilidade de ocorrência dos riscos
Ocorrência Definição Racional
Insignificante
Não parece possível que os riscos se materializem através da exploração das vulnerabilidades.
Roubo de documentação armazenada num espaço protegido por leitor de cartões e um pin de acesso.
Limitada
Parece difícil que os riscos se materializem através da
exploração das vulnerabilidades.
Roubo de documentação armazenada num espaço protegido por leitor de cartões.
Significante
Parece possível que os riscos se materializem através da
exploração das vulnerabilidades.
Roubo de documentação armazenada num espaço que não pode ser acedido sem antes se fazer check-in na receção.
Máxima
É quase certo que os riscos se materializem através da
exploração das vulnerabilidades.
Roubo de documentação armazenada num espaço público.
Esta classificação pode variar de acordo com o contexto do processo de tratamento de dados e ainda tendo outros critérios em consideração, como se existem aplicações no processo expostas na web, se são transferidos dados para países estrangeiros, a existência ou não de transferências de dados entre aplicações, a heterogeneidade ou homogeneidade do sistema, a estabilidade do sistema, a reputação da organização, o valor da informação, entre outros (CNIL, 2018).
3.3.4.2 Classificação de impacto dos riscos
O impacto dos riscos no contexto do RGPD deve ser classificado na ótica do impacto que a exposição dos dados pessoais pode causar para os titulares dos dados, através da exploração de uma vulnerabilidade, levando em conta os controlos mitigatórios existentes.
Tabela 10 - Classificação de impacto dos riscos
Impacto Definição Definição
Insignificante
Os titulares não são afetados ou poderão encontrar uns pequenos inconvenientes que conseguem superar sem problema.
Perda de tempo a repetir procedimentos, receção de SPAM, alvo de campanhas de publicidade para produtos de consumo comuns.
Limitado
Os titulares podem encontrar inconvenientes significantes que conseguem superar apesar de algumas dificuldades.
Pagamentos imprevistos (multas impostas erroneamente), custos adicionais, negação de acesso a serviços, perda de oportunidade para progressão na carreira, receção de email não solicitado propenso a denegrir a
reputação dos titulares, processamento de dados incorretos levando a resultados não desejados.
Significante
Os titulares podem enfrentar consequências significantes que devem conseguir superar, embora com dificuldades sérias e reais.
Desvios de fundos não compensados, dificuldades financeiras não temporárias (obrigação a um empréstimo), danos em propriedades, perda de emprego, perda de casa, separação ou divórcio.
Máximo
Os titulares podem enfrentar consequências significantes ou até irreversíveis que podem não conseguir superar.
Risco financeiro, dívidas substanciais, incapacidade de trabalhar, incapacidade de realocar, perda de acesso a estrutura vital (água, eletricidade).
Esta classificação pode variar de acordo com o contexto do processo de tratamento de dados e ainda levando em conta outros critérios como a criticidade dos dados pessoais em causa, a natureza das origens do risco, a quantidade de ligações para transferências de dados (especialmente entre aplicações externas), o número de entidades envolvidas no processo, entre outros (CNIL, 2018).