O Tribunal de Contas de Mato Grosso do Sul avança e se torna referência na implementação de medidas para adequação à Lei 13.709, a Lei Geral de Proteção de Dados (LGPD).
Para atender às exigências, a Corte de Contas já adotou medidas importantes conduzidas por um Comitê Gestor de Proteção de Dados, formado por uma equipe multidisciplinar com servidores de diversas áreas.
Para entendermos mais o trabalho que está sendo realizado no TCE-MS, conversamos com a encarregada de dados e coordenadora do Comitê, Ana Carla Lemes Brum de Oliveira.
Leia abaixo a íntegra dessa entrevista.
1) O que é a LGPD? De onde surgiu a necessidade de implementar essa mudança?
R: A Lei Geral de Proteção de Dados Pessoais (LGPD), é uma Lei Federal que dispõe sobre tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público e privado, com objetivo de salvaguardar os direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade da pessoa física.
Com a evolução da tecnologia e dos meios de comunicação, as informações sobre os indivíduos tornaram-se cada vez mais expostas. Por conta da coleta, do armazenamento e da crescente digitalização de processos nos órgãos públicos, o tratamento da informação de dados pessoais e sensíveis, gerou legítima preocupação acerca da proteção dos direitos fundamentais do homem, em especial, à privacidade. Diante disso, a implementação de medidas robustas de segurança tornou-se imprescindível, ficando evidente a necessidade da adequação à referida Lei, para proteção não apenas de dados pessoais, mas também da imagem e notoriedade da Administração Pública.
2) Essa não é uma legislação muito recente…ela é de 2018. Como tem sido esse processo para que ela seja implementada e cumprida?
No segundo semestre do ano de 2018, foi aprovada no Brasil a Lei Geral de Proteção de Dados Pessoais, A LGPD entrou em vigor em setembro de 2020 e a aplicação das sanções iniciaram no dia 1º de agosto de 2021, sendo assim, todas as empresas e instituições que fazem o tratamento de informações de pessoas físicas já devem estar adequadas à legislação.
Para que haja a implementação e adequação da Lei deve haver: estrutura organizacional (Comitê Gestor de Proteção de Dados); conscientização de todos que trabalham em uma empresa ou órgão público; mapeamento do fluxo de dados (data mapping); identificação dos riscos (gap analysis); planejamento; políticas de proteção de dados; gestão de terceiros; direitos dos titulares; resposta a incidentes de segurança; sistema de transparência execução e monitoramento.
Deve haver também um Programa de Governança em Privacidade, atualizado constantemente para garantir o alinhamento com a Lei. E para que haja o fiel cumprimento da Lei, o País conta com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição fiscaliza e, se a LGPD for descumprida, penaliza. A ANPD tem ainda as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei. Cidadãos e organizações podem colaborar com a autoridade.
3-O que é considerado dado pessoal, segundo a LGPD?
Segundo a LGPD, é considerado dado pessoal a informação relacionada a pessoa natural identificada ou identificável; e dado pessoal sensível são informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
4-Existe alguma exceção à essa nova regra?
Sim, existem algumas exceções.
– Dados Pessoais tratados por Pessoas naturais para fins não econômicos, ou seja, sem que exista uma finalidade econômica, não serão aplicados os termos da LGPD. Por exemplo, um usuário do Instagram posta, em sua conta pessoal, uma fotografia de uma terceira pessoa. Nesse caso, havendo conflito jurídico, não é possível aplicar a Lei Geral de Proteção de Dados.
– Dados Pessoais tratados para fins jornalísticos ou artísticos. Essa é uma exceção de fundamental importância para fortalecer o exercício da liberdade de imprensa, que tem natureza constitucional, e garantir aos profissionais do jornalismo o livre direito de informar, opinar, criticar e questionar. Um exemplo é o jornalista que publica em um site de notícias o nome, o sobrenome e a fotografia de um suspeito de cometer um crime.
– Dados Pessoais tratados para fins acadêmicos. É fundamental lembrar que, havendo o tratamento de dados com fins acadêmicos, sempre que possível, eles devem ser anonimizados, ou seja, deve-se aplicar uma técnica para impossibilitar a identificação do titular dos dados. Podemos exemplificar no caso de um pesquisador de uma Universidade Federal que utiliza dados pessoais, de forma anonimizada, para fundamentar sua pesquisa sobre a longevidade da população brasileira.
– Dados Pessoais tratados para fins de Segurança Pública, Defesa Nacional, Segurança do Estado e Atividades de Investigação e Repressão de Infrações Penais. Nessa exceção, a LGPD passa a abordar o tratamento de dados pessoais pelo Poder Público. Por motivos óbvios, não serão aplicados os termos da Lei Geral de Proteção de Dados sempre que o Estado fizer o tratamento de dados pessoais para fins de: Segurança Pública; Defesa Nacional; Segurança do Estado; e Atividades de Investigação e Repressão de Infrações Penais.
É importante lembrar que a própria LGPD prevê, em seu Artigo 4º, § 1º, que uma legislação específica (ainda inexistente) deverá reger o tratamento de dados pessoais pelo Poder Público para as finalidades acima citadas. Enquanto essa nova legislação não for criada, estaremos em um “limbo jurídico”, onde o Poder Público estará tratando dados pessoais sem uma regulação específica. Um exemplo são as autoridades que divulgam cartaz de “Procurado”, contendo o nome, sobrenome e o endereço de suspeito de cometer crimes.
– Dados Pessoais provenientes de fora do território nacional sem comunicação ou compartilhamento com empresas brasileiras. Exemplo: Uma empresa brasileira é contratada por uma empresa europeia para realizar o tratamento de dados pessoais de cidadãos europeus, sendo os dados, após o tratamento, devolvidos para a empresa europeia. Nesta hipótese, não se aplicarão as disposições da LGPD, mas as disposições da legislação da Europa (GDPR).
5-O que o Tribunal de Contas de Mato Grosso do Sul fez e ainda está fazendo para atender às exigências da Lei Geral de Proteção de Dados?
O TCE-MS começou o trabalho de implementação da LGPD em 2021 mas nos anos seguinte, 2022 e 2023, houveram significativos resultados no trabalho de adequação à Lei como:
• Capacitação dos servidores sobre a LGPD;
• Definição e regulamentação da Lei por Resolução (Resolução TCE/MS nº 200/2023)
• Nomeação do encarregado;
• Instituição do Comitê Gestor de Proteção de Dados Pessoais;
• Mapeamento dos processos (data mapping-ROPA);
• Gestão de contratos com inclusão de Cláusulas de Proteção de Dados;
• Identificação de riscos (gaps);
• Elaboração dos formulários de requisição dos direitos dos titulares;
• Elaboração do Termo de Compromisso e Confidencialidade
• Desenvolvimento do plano de ação;
• Criação do portal LGPD no site do Tribunal;
• Instituição de aviso de privacidade aos servidores;
• Instituição de Política de Privacidade;
• Segurança da Informação através da Política de senhas;
• Instituição do Programa de Governança e Privacidade
e constantes reuniões com encarregado e membros do Comitês Gestor (COGPD) para manter, revisar e aperfeiçoar as ações descritas acima.
6-Como foi o processo de adequação do TCE-MS? Vocês foram buscar ações e modelos de sucesso já implementados em outras instituições e Cortes de Contas?
Primeiro houve a conscientização da alta gestão da importância da implementação e adequação à LGPD e apresentação dos possíveis riscos em caso de negligência à Lei. Com isso, os membros do COGPD tiveram total apoio, desenvolvendo metodologias para orientar os agentes de tratamento e tiveram exemplos de órgão públicos como TCE/RO, TJ/MS, PGE/CGE/MS, MPMS e TRE/MS.
7- De que forma a LGPD impacta na rotina de trabalho da Corte de Contas?
Com o aculturamento da importância da LGPD e as instituições de Políticas de Proteção de Dados no âmbito do TCE/MS, colaboradores e servidores de todos os setores passam a compreender os limites e possibilidades do tratamento de dados pessoais (nome, e-mail, endereço…) e dos dados chamados de sensíveis (os que envolvem etnia, religião, dados genéticos, entre outros), passando a identificar possíveis riscos de vazamentos à instituição e comunicando o encarregado e membros do COGPD. Dessa forma, a governança de dados, práticas, protocolos e rotinas que atuem nessa direção constituem-se como desafios importantes dos setores do TCE/MS em relação à LGPD.
8-Em tempos de internet, redes sociais, como é possível falar e fazer cumprir a proteção de dados?
O próprio usuário deve certificar-se, sempre, de não estar sendo observado ao digitar a sua senha. Fechar a sessão (logout) ao acessar sites que requeiram o uso de senhas, principalmente ao usar equipamentos compartilhados, nunca usar dados pessoais ou sequências de teclado como senha em não fornecer dados sem antes questionar a necessidade e finalidade. No caso da administração pública deve-se implementar a política de privacidade; política de cookies; política de segurança da informação; política de retenção e descarte, política de senhas de controle de acesso e política de redes sociais.
9-Um portal foi criado para concentrar todas as ações desenvolvidas pelo TCE-MS. Por que é importante dar publicidade a esse trabalho?
A LGPD foi criada com o objetivo de proporcionar ao titular de dados um controle maior sobre o tratamento de seus dados pessoais. Para isso, a LGPD estabelece princípios e cria regras que devem ser observados tanto por organizações privadas quanto públicas, e um deles é a transparência. O princípio da transparência, de acordo com a lei, é a “garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
10- A LGPD interfere, de alguma forma, na divulgação/publicidade para a sociedade dos resultados das ações de fiscalização e de atos irregulares praticados pelos gestores públicos?
Não. Sabemos que um dos princípios que regem a administração pública é o da publicidade, elencando como princípio explícito na Constituição Federal, em seu art. 37, Caput, segundo esse princípio, a administração pública deve prezar sempre pela transparência e ampla divulgação dos seus atos.
O princípio da publicidade ainda é a regra, assim, a administração pública ainda tem o dever de zelar que suas informações sejam claras e públicas, com exceção dos casos em que a lei estabelece sigilo. Mas com a edição da LGPD deve-se estar atenta sobre quais informações são realmente de interesse público e quais invadem a esfera privada do indivíduo, cabendo a cada caso concreto verificar a finalidade e necessidade da publicação dos dados pessoais.
11- Garantir a segurança de rede é fundamental para dar cumprimento à legislação. Mas essa é uma tarefa complexa que requer a implementação de várias camadas de defesa. O que foi e está sendo feito no TCE-MS?
Hoje o Tribunal conta uma infraestrutura que engloba, dentre as diversas camadas, um firewall com a finalidade de controle de borda, onde as ameaças e intrusões são identificadas e bloqueadas; o controle de acessos dos usuários com intuito de aumentar a segurança, não apenas para os sistemas, mas também para os servidores; acessos externos realizados através de uma VPN, de forma criptografada. Na camada mais vulnerável, o antivírus atua de forma ativa impedindo as ameaças, mantendo o ambiente das estações de trabalho sempre saudável.
Pensando sempre em melhorias, temos em andamento o projeto para implementação de um SOC, em tradução livre Centro de Operações de Segurança, que tem como objetivo o monitoramento de toda estrutura de tecnologia, atuando de forma preditiva e elevando a segurança da informação, com ações precisas e eficazes, onde software e hardware são executados uniformemente.
12-O Programa de Proteção de Dados, implementado no TCEMS, envolve políticas e ações permanentes e já é considerado um modelo para outras instituições do País. Quais são os próximos passos a serem dados em 2024?
Desenvolver e concluir o plano de ação; revisar a tabela de temporalidade; manter atualizado o Registro e Operações de Processos Administrativos; atualizar os Relatórios de Impactos que é uma exigência da Lei; desenvolver a POSIC; elaborar a Política de Retenção e Descarte; planejar treinamentos com servidores e colaboradores do TCE/MS e elaborar orientações sobre as publicações dos dados nos atos e decisões.