Programa de Adequação à LGPD
No que se refere à proteção de dados pessoais no âmbito do TCE-RO, a Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) é a primeira legislação do Brasil que trata especificamente do uso de dados pessoais. Com ela surgiram algumas obrigações e sanções impostas à pessoa jurídica de direito público ou privado, tornando necessária a adoção de várias medidas que busquem atender aspectos de conformidade com a Lei, dentre elas, a criação de um Programa de Conformidade que vislumbre o atendimento à LGPD como um todo, para assim, estabelecer e fortalecer as diretrizes e ações propostas, bem como sua execução em consonância com a legislação e recomendações dos órgãos de controle quando do tratamento de dados pessoais.
A Lei nº. 12.527/2011 (Lei de Acesso ଠInformação – LAI) e a Lei n.13.709/2018 (LGPD) estabelecem algumas responsabilidades para a Administração Pública, como a obrigação de divulgar informações de interesse público por meio de sítio institucional na internet e, no caso da LGPD, a divulgação se dará nos mesmos moldes sempre que a Administração realizar o tratamento de dados pessoais, devendo fornecer informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades, atendendo as demandas dos titulares dos dados e da Autoridade Nacional de Proteção de Dados – ANPD.
A LAI também determina algumas restrições para o acesso a informações pessoais e a preservação das informações que a legislação ou a autoridade competente tenha classificado como sigilosas, o que impõe a adoção de práticas de classificação da informação e, ainda, de Segurança da Informação e Privacidade dos Dados sob a custódia do Tribunal.
A crescente migração dos conteúdos informacionais, que antes residiam em formatos e suportes tradicionais, para mídia eletrônica impõe à Administração a vigilância aos riscos inerentes ao meio digital. A geração de documentos e a conversão de processos e de fluxos de trabalho para o formato digital demandam a adoção de medidas de classificação da informação e de proteção típica para tratar, desde já, da segurança da informação dos conteúdos nascidos ou convertidos para os meios eletrônicos.
Ambas as leis, LAI e LGPD, são inspiradas pelo valor da transparência da atividade pública, pelo qual o indivíduo tem a possibilidade de exercer a defesa de seus direitos e garantias fundamentais em face o Estado e o efetivo controle da atividade pública. Deve haver, portanto, harmonização, interação e complementariedade entre elas.
Diante disso, visando a criação de um Programa de Conformidade à LGPD, propôs-se a elaboração de um projeto para planejamento e gerenciamento das fases, ações, programação e controle de uma série de atividades integradas de forma a atingir o objetivo de ficar em conformidade com a Lei Geral de Proteção de Dados Pessoais.
O Programa de Conformidade à LGPD está estruturado da seguinte forma:
Fase 1 – Conscientização e Treinamento: Busca criar um time multisetorial para, dentre outros, implantar sistemática institucionalizada de treinamentos para conscientização organizacional em segurança da informação, mostrando a importância da LGPD e sua aplicabilidade prática, alcançando uma cultura de segurança da informação e privacidade de dados (privacy by design e privacy by default) nesta Corte de Contas e, ainda, estabelecer um ponto único de contato para discussões e divulgação de material pedagógico.
Fase 2 – Gap Analysis (data mapping): Corresponde ao mapeamento do fluxo de dados pessoais que estão sob tratamento no âmbito do TCE-RO, para assim, identificá-los e estabelecer as principais exposições e riscos a que estão sujeitos.
Fase 3 – Relatório de Impacto à Proteção de Dados Pessoais – RIPD: Busca identificar os principais pontos de desconformidade com a legislação, através do mapeamento de dados realizado na fase 2, para, caso seja necessário, elaborar RIPD descrevendo os processos de tratamento de dados pessoais que podem gerar riscos aos titulares e, ainda, mensurar os riscos existentes no tratamento em meio físico e digital, além de indicar as providências, salvaguardas e mecanismos para mitigar ou minimizar os riscos à proteção de dados pessoais no âmbito do TCE-RO.
Fase 4 – Planejamento: Consiste na elaboração de projeto de execução das fases descritas neste programa a partir da criação de cronograma, priorizando as áreas identificadas com maior risco aos dados pessoais, bem como apresentar propostas para criação e aplicação de novas políticas e técnicas de anonimização de dados pessoais.
Fase 5 – Implantação: Corresponde a colocar em prática o que se definiu na fase de planejamento, incluindo a elaboração de todos os documentos que se fizerem necessários, tais como as novas políticas, aditivos e novos modelos de cláusulas contratuais, cartilhas de boas práticas, entre outros.
Fase 6 – Acompanhamento: Busca manter o acompanhamento e monitoramento constante do cumprimento das diretrizes estabelecidas no programa de privacidade e proteção de dados pessoais, promovendo as atualizações necessárias, a conformidade e a preparação para o gerenciamento de crises.
Tratamento de Incidentes com Dados Pessoais: Busca envolver formalmente as áreas sensíveis do Tribunal para atuarem conjuntamente e de forma padronizada, visando a efetivação das atividades descritas no plano de resposta a incidentes de segurança em dados pessoais no âmbito do TCE-RO.
Gestão das Requisições – Direito dos Titulares de Dados: Corresponde a manter a gestão e o controle das operações técnicas para atender os direitos dos titulares de dados no que se refere ao princípio do livre acesso, disponibilizando de forma clara, adequada e ostensiva as informações pessoais sob tratamento pelo TCE-RO ou por operador a partir de compartilhamento.
Gestão de Contratos, Termos de Cooperação e Compartilhamento de Dados com Terceiros: Consiste em aplicar gestão sobre os contratos, termos de cooperação e o compartilhamento de informações pessoais com terceiros, para assim, identificar os riscos, a criticidade dos dados compartilhados, e ainda, definir e aplicar cláusulas contratuais com exigências de conformidade do terceiro para com a LGPD.
Plano de Comunicação e Divulgação de Segurança da Informação: Consiste em garantir que a segurança da informação e privacidade de dados seja parte integrante do ambiente do TCE-RO, promovendo a divulgação interna de materiais sobre o tema, tais como cartilhas de boas práticas, manuais de conduta, políticas, dicas de segurança, informes sobre treinamentos e a criação de campanhas educativas entre outros.
Programa Orçamentário de Combate a Incidentes de Segurança da Informação: Busca promover investimentos específicos para a área de segurança da informação e privacidade de dados, para garantir a confidencialidade, integridade e disponibilidade das informações e recursos tecnológicos.