A LGPD exige que empresas avaliem se um incidente acarreta risco ou dano relevante aos titulares. Essa análise não pode ser apenas subjetiva: deve considerar natureza dos dados, volume afetado e possibilidade de uso indevido.
Dados sensíveis, como de saúde, biometria ou informações financeiras, têm maior probabilidade de gerar danos. Já incidentes que envolvem apenas dados públicos, em tese, possuem impacto reduzido.
A avaliação deve ser documentada e revisada por áreas técnica, jurídica e de compliance. Isso demonstra diligência em eventual fiscalização da ANPD.
Relatórios internos de risco e dano são parte essencial da governança de dados.
Imagem: iStock.com/Pungun SJ