O Tribunal de Contas do Estado do Paraná já conta com seu Sistema de Privacidade e Proteção de Dados. Formado por dez módulos, esse sistema tem o objetivo de adequar a Casa à Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018). Eles abrangem desde o mapeamento de dados pessoais sob custódia do TCE-PR e gestão de riscos, até capacitação e comunicação sobre políticas de proteção de dados, passando por mecanismos de resposta a incidentes.
O sistema que rege o tratamento de dados é o resultado de um trabalho de 12 meses, realizado pela Pironti Advogados e Consultores Associados, empresa especializada no tema, em parceira com o Comitê Gestor de Proteção de Dados e Segurança da Informação do TCE-PR.
“Embora o Tribunal já tivesse seus mecanismos de garantia em relação àquilo que prevê a LGPD, a caminhada nunca está concluída, ainda é longa dentro desse campo para termos toda a proteção de que precisamos”, afirma o presidente, conselheiro Ivens Linhares. “Hoje em dia, vazar um dado, tratar um dado de forma indevida, criar uma exposição, realmente pode trazer consequências bastante graves.”
Encarregado de Dados do TCE-PR junto à Autoridade Nacional de Proteção de Dados (ANPD), o auditor de controle externo Evaldo Luís Moreno Silva afirma que a adequação à LGPD é uma jornada. “Ela tem início, mas não tem fim. Temos que estar sempre adequados técnica e juridicamente e com pessoal para fazer frente a esse desafio, que é todos.”
Além de ocupar o cargo que representa o elo de comunicação entre o Tribunal e a ANPD, Evaldo é o coordenador do comitê encarregado da adequação da Casa à LGPD. A ANPD é a autoridade reguladora, incumbida de aplicação das sanções previstas na Lei 13.709/18.
Referência e “farol”
Na avaliação do advogado Rodrigo Pironti, diretor da consultoria, o sistema de proteção de dados que está sendo adotado na Casa pode ser considerado referência para os Tribunais de Contas brasileiros. Ele enfatiza que, com esse conjunto de medidas, o TCE-PR poderá também ser “farol” para os órgãos fiscalizados – especialmente os municípios – em relação à LGPD. “Os órgãos de controle têm papel importantíssimo de orientação e de cobrança.”
Na elaboração do Sistema de Privacidade e Proteção de Dados do TCE-PR, a equipe de oito profissionais da consultoria dedicado a esse trabalho utilizou metodologia baseada nas regras nacionais e nas melhores práticas internacionais da área. Segundo Pironti, o trabalho que já vinha sendo feito pelo Tribunal facilitou a organização do sistema e a revisão das políticas administrativas, do ponto de vista documental, realizada sempre em parceria com a equipe da Casa.
Pironti alerta que um dos grandes desafios é a interpretação da lei, situação que tem sido utilizada, muitas vezes, para reduzir, injustificadamente, a transparência de informações de interesse público, podendo, por exemplo, dificultar o trabalho de controle externo. “A LGPD não é uma lei de sigilo e não revogou a Lei de Acesso à Informação”, esclarece o especialista. “Ela não veio para prejudicar, mas para proteger e facilitar o trabalho dos órgãos públicos.”
Gestão de riscos
Para elaborar o Sistema de Privacidade e Proteção de Dados, a equipe envolvida avaliou todos os processos internos, o armazenamento de dados e o relacionamento com terceiros. Nessa etapa, foram realizadas 47 entrevistas, mapeados 133 macroprocessos, verificados 72 ativos de armazenamento de dados pessoais e avaliados 63 agentes classificados como terceiros.
Essas avaliações, feitas pelas equipes jurídicas e de tecnologia da informação, resultaram na elaboração de 14 relatórios de impacto à proteção de dados tratados. A partir desse mapeamento, que apontou 476 riscos -analisados individualmente e agrupados em 53 conjuntos de dados -, foi construída a Matriz de Risco em relação à LGPD, baseada na ISO 31000, norma internacional que estabelece diretrizes para a gestão de riscos em organizações.
MÓDULOS DO SISTEMA DE PRIVACIDADE E PROTEÇÃO DE DADOS
| 1. Inventário de Dados e Matriz de Riscos: Mapeamento de todos os dados, macroprocessos, ativos e terceiros que se relacionam com o Tribunal. Avalição de causas e consequências de eventos de risco. |
| 2. Estrutura Organizacional: Revisão da estrutura relacionada à LGPD então existente e elaboração do regimento interno do Comitê Gestor de Proteção de Dados e Segurança da Informação. |
| 3. Política de Privacidade de Dados: Elaboração dessa política e revisão da política de segurança da informação, com orientações sobre retenção e descarte de dados pessoais; e da política de segurança e privacidade de dados em relação ao uso da inteligência artificial no TCE-PR. |
| 4. Resposta a Incidentes de Segurança: Elaboração de fluxo para reportar e solucionar eventuais casos de vazamento de dados pessoais, com a verificação objetiva do incidente e seus impactos. |
| 5. Gestão de Terceiros: Definição de regras para o compartilhamento de dados com fornecedores e parceiros, de acordo com as atribuições e finalidades de cada um. |
| 6. Direitos dos Titulares e Gestão do Consentimento: Obrigações do Tribunal em relação aos direitos dos titulares de dados e seus pedidos de acesso a eles, com o fluxo de resposta. |
| 7. Sistema de Segurança da Informação: Revisão jurídica, para adequação à LGPD, do que o Tribunal já tinha implementado nessa área. Ajustes em relação a vulnerabilidade, recomendação de backup, controle de vazamento de informação, avaliação de configuração de senhas, diretrizes de controle de acesso, gestão de servidores e uso de equipamentos. |
| 8. Sistema de Transparência: Compatibilização da LGPD com a Lei de Acesso à Informação (Lei nº 12.527/2011), seguindo o princípio de que e só haverá sigilo de dados pessoais quando a própria LAI determinar. |
| 9. Redesenho de Processos: Revisão e criação de novas funcionalidades de retroalimentação dos processos vinculados à proteção de dados no Tribunal. |
| 10. Treinamento e Comunicação: Elaboração da Cartilha de Privacidade e Proteção de Dados de Acordo com a LGPD. Realização de capacitações internas presenciais e online. |
Fonte: TCE/PR
