Este documento é fruto do trabalho realizado pela Escola de Ativismo nos últimos anos junto a organizações parceiras. A ideia é oferecer instrumentos com orientações práticas para auxiliar na construção de uma Estratégia de Proteção de organizações, coletivos e pessoas ativistas. Acompanha esse material uma tabela chamada Matriz de Análise de Risco para sistematizar algumas informações da Estratégia. Para dar suporte a esse processo, na seção “Referências” do Guia, apresentamos uma seleção de manuais de segurança integral produzidos por diversas organizações e que foram referência para a construção deste.
Dividimos estas orientações em três seções, a saber:
Seção A: Apresentação das etapas para a construção de uma estratégia de proteção dando ênfase à análise de risco, foco desse material.
Seção B: Orientações sobre como preencher a Matriz de Análise de Risco e;
Seção C: Quadro com definições de termos comuns no campo da proteção e segurança que pode ser útil para facilitar o processo.
Bom trabalho!
A – Etapas para Análise de Risco e Construção de uma Estratégia de Proteção
Ter uma estratégia de proteção é importante para possibilitar uma atuação mais segura dentro de um cenário de violações. Ainda que o risco não deixe de existir, medidas de segurança podem contribuir na diminuição e/ou redução da exposição a ele. A seguir, apresentamos alguns passos que podem ser utilizados para iniciar uma análise de risco e o desenho de uma estratégia de proteção.
Sugerimos que a análise seja coletiva, que o máximo de pessoas da organização participe a seu modo, a partir de sua visão e atuação. Quanto mais participativo e inclusivo for o processo, mais engajamento a equipe terá no momento de implementar as medidas.
A organização poderá conduzir o processo em etapas, escolher temas ou setores prioritários, a depender do tempo e da necessidade.
(1) Análise do Contexto
Os riscos aos quais estamos expostos estão relacionados ao contexto no qual estamos inseridos. Uma boa análise conjuntural e de contexto servem de base diagnóstica a partir da qual pode-se realizar uma avaliação de risco consistente, na medida em que devem ser apontados os diferentes atores agindo no território, seus objetivos, posicionamentos e métodos que utilizam. A partir dessa análise, a identificação de fatores como ameaças, vulnerabilidades e potencialidades se torna mais evidente.
Fazem parte do contexto o cenário político, econômico e social, bem como os atores e os interesses em jogo que se relacionam com a atuação da organização em um determinado momento. O contexto é dinâmico, muda constantemente, fazendo variar também os riscos. Logo, a estratégia de proteção deve ser atualizada constantemente para que possamos responder adequadamente aos riscos.
Para análise do contexto, é importante refletir e dialogar sobre:
- Como está o contexto (considere o contexto nacional, regional, local)? Quais são os principais desafios e preocupações de sua organização? Quais são as oportunidades neste momento?
- Quais direitos a organização defende?
- Quais conflitos existem no campo de atuação?
- A quem interessa que as pautas não sejam alcançadas? (atores contrários)
- Quais organizações e indivíduos apoiam sua causa? (atores aliados)
- Quais são os atores que não é possível identificar se atuam a favor ou contra a causa que a organização defende, ou ainda, que as vezes se posiciona a favor e as vezes contra, dependendo da situação? (atores ambíguos ou em disputa)
- Quais os interesses a favor, contrários e desconhecidos no seu campo de atuação? A quem eles servem e qual a força deles?
(2) Identificação das ameaças, capacidades, vulnerabilidades e definição do grau de risco
Nesta etapa, devem ser identificadas as características da organização frente a possíveis ameaças dentro do contexto analisado. Uma análise de risco é uma avaliação que deve levar em conta uma série de fatores como a natureza da ameaça, a probabilidade dela se concretizar, o impacto que ela pode causar, as condições que vulnerabilizam a organização frente a ela, assim como os recursos que a organização possui para lidar com ela.
O risco pode ser representado figurativamente da seguinte maneira:
Risco = Ameaça x vulnerabilidades x impactos x probabilidade
_____________________________________________________
Recursos
Muitas das avaliações contidas nesse processo são subjetivas, na medida em que dependem de interpretações a partir de estudos de contexto e de uma variedade de fontes de informação. Tal subjetividade abre espaço para uma gama de interpretações alternativas, mas isso não deve ser tomado como ausência de rigor. Ao contrário. A subjetividade coloca o sujeito no centro do processo de construção de um conhecimento que diz respeito a si próprio, reforçando sua importância. Por isso, o aspecto coletivo também é central no sentido de dar maior consistência para as estimativas que compõem essa análise na medida em que agrega diferentes percepções, experiências e pontos de vista.
Para uma representação mais intuitiva do cálculo do risco que pode ser usada em formações, recomendamos a leitura do método desenvolvido por Lina Selano apresentado no Anexo 3 (páginas 70 e 71) do Manual de segurança: medidas práticas para defensores de direitos humanos em risco (Front Line Defenders 2011)
Neste momento sugerimos um tempo de qualidade para a escuta da equipe. Muitas vezes o trabalho corrido do dia a dia faz com que não tenhamos tempo para realizar uma partilha das situações de risco vivenciadas, à medida que não visualizamos e analisamos tais situações, passamos a naturalizá-las, comprometendo consideravelmente as chances de construir análises de risco qualificadas.
Para avaliação do risco, é importante refletir e dialogar sobre:
- Quais os tipos de ameaças e violações mais comuns no contexto de atuação da organização? Considere as diversas dimensões da proteção, como física, psicossocial, digital, política, jurídica, institucional, de reputação e imagem etc.;
- Já vivenciaram alguma ameaça ou violação? Integrantes de organizações parceiras do mesmo campo de atuação já sofreram alguma ameaça ou violação? (no caso de ameaças e violações já terem ocorrido, a probabilidade delas voltarem a ocorrer é maior, fazendo com que o risco também seja mais alto);
- Qual a probabilidade de que aquela determinada ameaça se concretize?;
- Se a ameaça em questão vier a se concretizar, qual impacto ela causará no trabalho da organização e/ou na vida das pessoas?
- Frente a cada ameaça identificada, quais são as vulnerabilidades que o coletivo apresenta que podem ser usadas por opositores para os atingir?
- O que a organização já está fazendo para lidar com as ameças e as situações e risco? Levantar todas as potencialidades dentro do coletivo e sua rede de apoio: equipe, ferramentas, instrumentos, práticas, métodos, formações realizadas;
Após identificar os aspectos acima, a organização terá uma percepção do quão exposta aos riscos elá está. Ela identificará o grau das suas vulnerabilidades e capacidades para lidar com as ameaças e isso indicará as medidas que precisarão ser desenhadas para fortalecer a segurança.
Definidos os graus de risco, o coletivo deve priorizar o tratamento e desenvolvimento de medidas para as ameaças de maior risco correspondente.
(3) Definição de Medidas de Segurança
Neste momento, é importante que a organização perceba aquilo que pode realizar a partir de seu próprio repertório e conhecimento, bem como aquilo que precisa ainda desenvolver ou construir. A organização poderá se deparar com necessidades formativas, aquisição de equipamentos, estudos etc. Por isso, nesse momento, é importante priorizar e considerar o tempo que cada medida poderá levar.
Para desenhar as medidas de segurança que devem ser adotadas pela organização, considere:
- Que medidas devem ser tomadas para diminuir as vulnerabilidades?
- Que medidas devem ser tomadas para transformar as vulnerabilidades em capacidades?
- Que medidas devem ser mantidas para que as capacidades continuem fortes e estáveis?
- Para cada ameaça identificada, como articular e engajar os diferentes atores aliados para fortalecer a estratégia de proteção?
- Para cada ameaça identificada, quais estratégias podem ser utilizadas para que os atores ambíguos/imparciais se tornem aliados?
- Que medidas emergenciais devem ser tomadas caso uma ameaça se concretize?
A Matriz de Análise de Risco ajudará a sistematizar essas medidas, identificando medidas preventivas e medidas de reparação para cada possível ameaça.
É importante lembrar que os riscos aos quais um indivíduo ou organização estão expostos pela natureza da sua atuação podem se estender a outras pessoas e instituições que fazem parte de sua vida, em diferentes esferas (profissional, pessoal, familiar etc). Por isso as medidas de segurança devem ser implementadas individual e coletivamente pelas pessoas e suas organizações. Quanto mais de nós adotarmos as medidas de segurança, mais alto será nosso grau de proteção, também do grupo e de parceiros.
(4) Sistematização e Implementação das Medidas de Segurança
Com a Matriz de Risco preenchida a organização terá um mapa com as principais ameaças que podem ocorrer no seu contexto de atuação e as medidas que devem ser tomadas para se precaver delas, além de medidas para lidar com os impactos caso essas ameaças se concretizem. Para que cada uma das medidas desenhadas sejam implementadas é preciso planejamento e definição de responsáveis.
Sugerimos nessa etapa agrupar as medidas de acordo com a dimensão da proteção na qual ela incide – digital, patrimonial, física, de gestão, psicoemocional, jurídica, etc. E, se possível, registrar essas medidas em documentos específicos, com mais detalhes. No Guia de Proteção para Defensores e Defensoras de Direitos Humanos, da Justiça Global, são sugeridas três dimensões para pensar medidas de proteção: a proteção física, o cuidado e autocuidado e a comunicação segura. A organização poderá inserir outros campos de acordo com a sua necessidade ou prioridade.
O registro em documentos é importante para ajudar a recordar as medidas de proteção, dar mais detalhes, com um passo-a-passo do que deve ser feito, além de orientar novos integrantes da organização. O formato desses registros vai depender da necessidade e da complexidade da organização (política, protocolo, acordo, manual, orientação etc). Alguns exemplos para a sistematização são:
- Protocolo de Segurança da Informação e de Cuidados Digitais;
- Acordo Coletivo de Viagens de Campo;
- Política de Segurança da Sede;
- Protocolo de Cuidados na Gestão;
- Manual de Boas Práticas Digitais; etc.
Esses documentos devem ser armazenados em local seguro para que só as pessoas da organização tenham acesso.
Para que a estratégia de proteção seja eficaz é fundamental que todas as pessoas se comprometam com a adoção das medidas definidas. Processos participativos facilitam a compreensão da importância da estratégia, assim como estimulará as pessoas a pensarem conjuntamente as mudanças que devem ser feitas para atuar de forma mais segura dentro de um contexto específico.
Perguntas para essa etapa:
- Para implementar as medidas definidas na Matriz de Risco, o que precisa ser feito?
- Qual a melhor forma de organizar a informação para que possa servir de apoio no dia-a-dia do trabalho.
- Como as medidas de segurança serão passadas para novos integrantes da organização?
- Quem fica responsável pelo quê?
- Quais as medidas prioritárias? Em quanto tempo precisamos efetivá-las?
(5) Revisão da Análise e Atualização da Estratégia de Proteção
Como a Estratégia de Proteção e, consequentemente, os documentos que a compõem são desenhados a partir de um contexto específico é preciso que eles sejam revisados periodicamente, visto que o contexto, os atores, as forças e as ferramentas de proteção estão em constante mudança. Defina uma periodicidade para realizar a atualização da estratégia e repita os passos até aqui. É importante que novos membros da equipe conheçam estes procedimentos e acordos e assumam compromisso com a efetivação dos mesmos.
É importante refletir e dialogar sobre:
- O que mudou desde a última avaliação?
- Há novas ameaças que precisam ser consideradas?
- Ameaças se concretizaram?
- Como isso impacta a Estratégia da organização?
- As medidas definidas ainda contribuem com a proteção ou elas ficaram ultrapassadas?
- Quais medidas adotar para fortalecer a Estratégia de Proteção?
[CLIQUE NA IMAGEM PARA AUMENTAR]
B – O preenchimento da matriz de análise de risco
A Matriz de Análise de Risco que segue é um instrumento elaborado pela Escola de Ativismo com o objetivo de promover, nas organizações apoiadas, o desenvolvimento e utilização de instrumentais práticos de promoção da segurança. Ela compõe um conjunto de instrumentos que devem fazer parte da Estratégia de Proteção da organização (como acordos, protocolos, planos e/ou políticas). A Matriz auxilia na organização e visualização da informação, uma vez que potencialidades e vulnerabilidades da organização são identificadas e relacionadas a cada ameaça existente no seu contexto de atuação. Com isso, medidas podem ser desenhadas para elevar o grau de proteção e diminuir a probabilidade das ameaças se concretizarem. Ela também oferece um espaço para que sejam estabelecidos mecanismos para lidar com os danos uma vez que a ameaça se concretize.
No modelo da Matriz proposto há uma aba com exemplos para ilustrar o que poderia ser preenchido em cada campo. Seu preenchimento, no entanto, deve levar em consideração o contexto de atuação da organização e suas especificidades, pois cada estratégia de proteção é única e deve estar adaptada às circunstâncias de quem a desenhou.
Segue abaixo um passo a passo, um guia, no qual destacamos a função de cada campo a ser preenchido na matriz:
Tendo esse exercício de análise um aspecto conjuntural e periódico, o preenchimento dos campos do cabeçalho visa o registro das datas de realização e previsão de revisão bem como aponta quem foi responsável pela condução do processo de análise de risco relativo a organização naquele momento específico.
FATORES
Ameaça: Geralmente ameaças vêm de opositores que têm interesse em que a organização não cumpra suas atividades. Para uma boa análise das ameaças, que possibilite o coletivo pensar em fatores que vão indicar o grau de risco que ela representa, é importante que se acumule o máximo de informações sobre o fato que gera o conhecimento daquela ameaça, os atores por trás dela, seus objetivos, locais, modos de atuação e possíveis padrões. Tendo isso em mente, é preciso descrever possibilidades (ou cenários) de ameaças o mais detalhadamente possível. Partindo do princípio da precaução, registraremos neste campo mesmo as ameaças indiretas e os incidentes de segurança (ver definição abaixo), de modo a acumular a maior quantidade de informação sobre eventos que podem representar risco a organização.
Vulnerabilidades: As vulnerabilidades aqui listadas devem ser pensadas enquanto pontos fracos da organização em relação à ameaça em análise. O coletivo deve pensar quais são as fragilidades que opositores podem usar para atingir a organização.
Potencialidades (recursos existentes): As potencialidades aqui listadas devem ser pensadas enquanto pontos fortes da organização, que podem ser usados para diminuir a possibilidade de que as ameaças se concretizem. As potencialidades também são recursos que podem ser acessados para cessar ou diminuir o impacto causado por um dano feito à organização e/ou seus profissionais.
CRITÉRIOS
Probabilidade: avaliação subjetiva que deve levar em conta uma análise do contexto no qual se insere a organização. O histórico em relação a outros casos semelhantes pode ser um bom indicador para avaliação da probabilidade de que uma ameaça se concretize. Para a classificação da probabilidade observar a aba “critérios”.
Impacto: avaliação subjetiva que deve levar em conta o quanto a concretização de um potencial dano pode interferir nas atividades da organização e/ou na vida dos profissionais. Para a classificação do impacto observar a aba “critérios”.
Risco estimado: o risco representa a relação entre os diferentes fatores analisados anteriormente na tabela (ameaça, vulnerabilidades e potencialidades), pesados em relação a estimativas da probabilidade de concretização da ameaça e do impacto que causaria na organização caso aconteça. Sendo assim, estimar o risco permite a priorização na hora de criar e implementar medidas que possam proteger a organização e seus trabalhadores. Para a classificação do risco observar a aba “critérios”.
MITIGAÇÃO
Medidas Preventivas (para redução da probabilidade): este campo se destina a listar as medidas a serem tomadas para evitar que a ameaça se concretize. Deve ser pensado tendo em vista a utilização das potencialidades de modo a suprir as vulnerabilidades verificadas.
Prazo: classificar em curto, médio ou longo prazo o tempo em que as medidas listadas devem ter sua implementação efetivada. Para uma estimativa de prazo, considerar o grau atribuído ao risco correspondente.
Responsável: para que as medidas listadas sejam efetivamente implementadas deve-se indicar uma ou mais pessoas responsáveis por sua implementação, monitoramento e avaliação.
Medidas Reparatórias (para redução do impacto): este campo se destina a listar medidas que visem a diminuição do impacto causado por um dano que já ocorreu à organização ou a trabalhadores da organização. São medidas que buscam solucionar o problema ocorrido e evitar que se repita. No caso desse exercício de análise de riscos, podemos também antecipar medidas reparatórias a serem tomadas quando da eventualidade de ocorrência de um dano. Não estipularemos prazo para essas medidas, pois referem-se a medidas de implementação imediata.
Responsável: para que as medidas listadas sejam efetivamente implementadas deve-se indicar uma ou mais pessoas responsáveis por sua implementação, monitoramento e avaliação.
ACOMPANHAMENTO
Responsável pelo acompanhamento: a pessoa responsável pelo acompanhamento e análise da implementação das medidas e pela revisão periódica do processo de avaliação de riscos, podendo coincidir ou não com as pessoas responsáveis pela condução do espaço coletivo de análise e pela implementação das medidas. Recomenda-se que o processo de acompanhamento se dê na periodicidade trimestral e que a revisão do processo de avaliação de riscos aconteça semestral ou anualmente, devendo estes prazos serem avaliados e adaptados conforme avaliação coletiva do grupo.
Implementado: indicar se a/as medidas correspondentes foram implementadas ou não ou se foram implementadas parcialmente.
Detalhamento: neste campo devem ser relatadas as dificuldades e/ou os resultados positivos obtidos com a implementação das medidas.
Data atualizada: registar aqui as datas em que foram feitas as avaliações de acompanhamento.
C- Algumas definições:
[Com base em Manual de Segurança Holística (Tactical Technology, 2016) e Manual de Segurança e Medidas Práticas para DDH (Front Line Defenders, 2011)]
Ameaça: Acontecimento, ato, declaração, suspeita ou sugestão de que existe a possibilidade de infringir dano, destruição, punição ou ferimento a uma ou mais pessoas, sistema(s), processo(s) ou organização(ões) podendo advir de diferentes formas, sejam elas naturais, humanas ou tecnológicas. O conceito de ameaça extrapola a ideia de ameaça física, digital ou patrimonial. Consideramos ameaças também as formas de violência estrutural, pouco perceptíveis, o assédio, a difamação, a criminalização e intimidação. Processos como instabilidade financeira, alta carga de trabalho demandada por superiores, estresse, perseguição em mídias sociais e experiências traumáticas também são compreendidos como ameaças. Ou seja, classificamos ‘ameaça’ como qualquer ação que cause algum nível de impacto sobre o bem-estar da pessoa e/ou de entes próximos, afetando seu espaço físico, territorial e/ou digital, suas atividades, processos, sua mente e saúde.
Vulnerabilidade: “qualquer fator que aumente a probabilidade de que um dano se concretize ou resulte em um dano maior”. Ela existe independente de ameaças. Mas para uma análise de risco, por exemplo, a vulnerabilidade deve ser sempre considerada a partir das ameaças. Ou seja, frente a uma ameaça, podemos ter uma ou mais vulnerabilidades. Quando conseguimos identificar as ameaças, é possível trabalhar para eliminar ou reduzir as vulnerabilidades existentes.
Risco: Temos algumas definições possíveis, como: “Possibilidade de perigo, fato que ameaça as pessoas ou o meio ambiente”. “É a possibilidade de que um determinado evento ou incidente resulte em danos”. O risco depende de fatores internos como as vulnerabilidades, fatores externos como o contexto político e socioeconômico ou ainda dos interesses de diversos atores. Como esse contexto é dinâmico, o risco também é. Também depende dos recursos disponíveis e capacidades da pessoa ou grupo ameaçado. As decisões sobre o risco que cada pessoa aceita correr são individuais, mesmo em uma organização.
“Em situações de alto risco e impacto, é importante aumentarmos o diálogo tanto em reuniões quanto em espaços informais sobre o bem-estar atual, sobre estresse e como também elevar a receptividade geral para conversar sobre segurança num ambiente acolhedor”.
Incidente de segurança: são acontecimentos que geram insegurança, mas em que não comportam elementos suficientes para determinar que se configura em ameaça. Por exemplo: um carro suspeito que estaciona diversas vezes na frente da casa; o furto de um caderno ou HD com informações sensíveis etc. Esses incidentes devem ser registrados para que possam ser analisados periodicamente e subsidiar a avaliação de risco e as medidas de proteção.
Recursos: “qualquer fato/fator que possa aumentar o nível de segurança”. Podem ser materiais, financeiros, relacionais, sociais, informacionais, emocionais ou simplesmente o nosso tempo.
Segurança integral: capacidade de se sentir seguro física e emocionalmente enquanto trabalha ou pratica sua militância/ativismo. É composta por aspectos de segurança física, patrimonial, informacional (inclui digital) e psicossocial. Todos esses aspectos precisam ser considerados para manter ou aumentar o nível de segurança da pessoa, grupo ou organização. Sua compreensão demanda análises, planejamentos e visão sistêmica para que a segurança seja efetiva e permanente. Também conhecida pelo termo ‘segurança holística’.
Proteção: na língua portuguesa podem ser encontradas as definições “Ato de proteger alguém ou algo de um perigo, de um mal” ou “Cuidado ou assistência especial dispensados a alguém”. O termo pode ser usado em conjunto e até confundido com segurança ou ser específico para ações e medidas que visam proteger uma pessoa, uma comunidade e seus bens materiais e/ou territoriais. Neste caso, o termo segurança costuma ser mais utilizado para ações cotidianas que possam causar algum risco de dano ou ferimento a pessoa, como, por exemplo: medidas de segurança contra-ataque de animais peçonhentos em atividades na floresta.
Para terminar… enfatizamos que a implementação de medidas de proteção requer mudanças de hábitos. É preciso compromisso das pessoas e da organização para se criar caminhos rumo à consolidação de uma cultura de segurança. O processo de desenvolvimento de uma cultura organizacional para segurança deve tomar o tempo que seja avaliado como necessário para cada passo, evitando que se torne um momento pontual a se perder no tempo. Para isso, é preciso se estabelecer tempos para análise, discussão e desenvolvimento de cada ponto, com uma periodicidade fixa e atribuições estabelecidas dentro da equipe de modo que seja incorporada nas atividades e responsabilidades cotidianas da organização.
REFERÊNCIAS:
Trazemos abaixo indicação de materiais que podem ser usados para o aprofundamento do estudo sobre os pontos abordados e que nos serviram de suporte para esta sistematização.
Guia de Proteção para Defensores e Defensoras de Direitos Humanos (Justica Global, 2016)
Guia de Proteção para Defensores e Defensoras de Direitos Humanos (Justica Global, 2021)
Guia de Proteção e Segurança para Comunicadores e Defensores de Direitos Humanos (Artigo 19)
