Texto de Fábio Correa Xavier, Diretor do Departamento de TI do TCESP, Mestre em Ciência da Computação e MBA em Gestão Executiva de Negócios.
A Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709/2018 – altera em muito a maneira como as instituições devem gerenciar os dados. Por anos, a Administração Pública coletou dados de maneira indiscriminada e sem se preocupar com a finalidade, segurança ou privacidade das informações. Assim, é importante que as Cortes de Contas trabalhem na busca da conformidade com a novel legislação sem prejuízo à consecução de suas relevantes atividades finalísticas.
Com o objetivo de entender a situação atual dos Tribunais de Contas em relação à LGPD, o Comitê de Tecnologia, Governança e Segurança da Informação do Instituto Rui Barbosa realizou uma pesquisa sobre o tema, no período de 14 a 16 de junho de 2021. Dos 33 Tribunais de Contas existentes no Brasil, 24 participaram da pesquisa, que abordou, principalmente, aspectos relativos à Tecnologia da Informação. O gráfico a seguir ilustra a situação atual das Cortes de Contas:
A pesquisa traz resultados animadores. Foi possível constatar que a LGPD já está na pauta de atividades de grande parte das Cortes de Contas – 83% já desenvolvem ações para adequação, seja com equipe própria ou com apoio de empresas especializadas. De maneira simplista, podemos dividir essas ações de adequação em três grupos de atividades: governança em privacidade, tecnologia e aculturamento das pessoas.
A Governança em Privacidade, previsto no § 2º do art. 50 da LGPD, é considerada uma boa prática para aplicação dos princípios previstos nessa lei. A pesquisa constatou que 21% dos respondentes já possuem um programa de Governança em Privacidade implantado. Além disso, 42% dos Tribunais já indicaram o encarregado de dados, conforme previsto no art. 23, inciso III. Contudo, uma boa prática é que o encarregado não seja servidor da área de Tecnologia da Informação do Tribunal – o que é o caso de 8% dos designados – uma vez que pode haver conflito de atribuições[1]. O art. 37 da LGPD define que os controladores e operadores “devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse”. Para isso, os controladores devem realizar o inventário de dados, sendo essa talvez a tarefa mais complexa na jornada de adequação à LGPD. Isso porque, de acordo com a pesquisa realizada, apenas 4% declararam que finalizaram esse inventário. O reflexo disso se vê no fato de que apenas 33% dos respondentes se consideram aptos a atender de forma plena às requisições dos titulares dos dados pessoais, conforme previsto nos art. 18 e 19 da LGPD. Há, ainda, que se adaptar os contratos em vigor à luz da LGPD, o que já foi feito por 8% dos Tribunais.
Em relação aos aspectos tecnológicos, 79% das Cortes possuem equipe especializada em segurança da informação, o que é muito importante, especialmente tendo em vista a grande quantidade de ataques cibernéticos que têm como alvo o setor público. É importante destacar que 21% declararam que não possuem uma equipe especializada em segurança da informação, o que pode aumentar os riscos e exposição da instituição aos ataques e malwares. A tecnologia e a área de segurança da informação também serão fundamentais para a elaboração do inventário de dados, elaboração e atualização do Relatório de Impacto à Proteção de Dados, apoio na elaboração de políticas e procedimentos, na sistematização de atendimento às requisições dos titulares, controle de consentimento, gestão e resposta a incidentes de segurança e apoio operacional ao Encarregado de Dados.
Todo o discutido até aqui, é preciso salientar, não será efetivo sem o envolvimento das pessoas. É fundamental que se crie uma cultura de proteção e privacidade de dados dentro da Instituição. Nesse sentido, uma boa prática é a criação de programas de treinamento e capacitação dentro das Cortes de Contas. A conscientização do público interno quanto à LGPD, esclarecendo dúvidas e orientando para um comportamento digital seguro – desde a alta administração até o nível operacional – é fator preponderante de sucesso. A pesquisa constatou que 54% dos Tribunais já possuem ações de capacitação sobre segurança da informação e proteção de dados. E, reforçando a veia pedagógica dos Tribunais de Contas, seria interessante estender essa ação aos jurisdicionados e à sociedade em geral.
O caminho para a adequação total à LGPD é longo e complexo. Todos ainda estão aprendendo durante o processo. O importante é que seja percorrido o quanto antes, com o envolvimento de todas as áreas dos Tribunais, para que os dados pessoais sejam tratados da maneira adequada, em respeito aos titulares desses dados.
[1] XAVIER, Fabio Correa. O encarregado de dados no setor público. 2021. Disponível em: https://www.migalhas.com.br/depeso/339636/o-encarregado-de-dados-no-setor-publico. Acesso em: 14 jun. 2021.