Status da Implementação entre Março de 2021 e Dezembro de 2022
Este relatório apresenta os resultados da organização Confea e demonstra a evolução entre a data de aplicação do questionário (março de 2021) relativos à auditoria realizada pelo TCU entre novembro de 2020 e maio de 2021 para avaliar as ações governamentais e os riscos à proteção de dados pessoais por meio da elaboração de diagnóstico acerca dos controles implementados pelas organizações públicas federais para adequação à Lei 13.709/2018, denominada Lei Geral de Proteção de Dados (LGPD) (TC 039.606/2020-1; Acórdão 1.384/2022-TCU-Plenário de relatoria do Ministro Augusto Nardes) e o fechamento dos acompanhamentos de dezembro de 2022 apurados pelo próprio Confea.
O questionário contemplou 60 (sessenta) questões organizadas em duas perspectivas e nove dimensões. As questões tiveram como referência a própria LGPD e a norma técnica ABNT NBR ISO/IEC 27701:2019 (extensão das normas de segurança da informação ABNT NBR ISO/IEC 27.001 e ABNT NBR ISO/IEC 27.002 para gestão da privacidade da informação).
Conforme solicitado no Ofício 0137/2022-TCU/Sefti, em cumprimento à recomendação de publicação do relatório individual de feedback, este está publicado na integra, no site do Confea, neste link.
Análise
Ainda em março de 2021, logo após o envio do questionário, foi efetuada uma revisão no questionário aplicado, identificados pontos críticos e aplicadas adequações emergenciais. Ao longo de 2021 houve uma rápida evolução do processo de adequação, o que permitiu uma evolução em relação à apuração inicial, de 0,29 para um novo patamar, de 0,75 ainda no primeiro semestre do ano. Os ajustes e adequações mais complexas efetuados nas etapas sequenciais, demandam maior esforço organizacional, apresentando uma evolução mais lenta, ainda assim, o Confea finaliza 2022 com o indicador em 0,87 saindo do nível de adequação ‘Inicial’ em março de 2021 para o nível de adequação ‘Aprimorado’ em dezembro de 2022.
Em uma comparação detalhada nas dimensões do questionário, é possível identificar a evolução de cada uma das dimensões em relação à data de aplicação e o fechamento de 2022.
Na tabela é possível visualizar de forma mais clara a evolução em todas as dimensões do questionário.
|
Dimensões do questionário |
mar/21 |
dez/22 |
Var p.p |
|
Preparação |
0,75 |
1,00 |
0,25 |
|
Contexto Organizacional |
0,56 |
0,89 |
0,33 |
|
Liderança |
0,11 |
0,78 |
0,67 |
|
Capacitação |
0,00 |
1,00 |
1,00 |
|
Conformidade do Tratamento |
0,40 |
0,64 |
0,24 |
|
Direitos do Titular |
0,00 |
1,00 |
1,00 |
|
Compartilhamento de Dados Pessoais |
0,50 |
1,00 |
0,50 |
|
Violação de Dados Pessoais |
0,00 |
0,60 |
0,60 |
|
Medidas de Proteção |
0,30 |
0,80 |
0,60 |
|
Indicador de adequação à LGPD |
0,29 |
0,87 |
0,58 |
Antes de iniciar o processo de adequação à LGPD, a organização deve adotar medidas para construir um ambiente propício para o sucesso da iniciativa. As questões desta dimensão abordam aspectos relacionados à identificação e ao planejamento das medidas necessárias à adequação.
O plano de ação foi feito com um desdobramento da Nota Técnica utilizando o Microsoft Planner como ferramenta de acompanhamento. Este quesito encontra-se plenamente atendido, cumprindo ambos os itens de controle.
Contexto Organizacional
Para alcançar os resultados pretendidos pela iniciativa de adequação à LGPD, a organização deve avaliar questões internas e externas que são relevantes para atingir os objetivos. As questões desta seção abordam aspectos relacionados à identificação de normativos correlatos à proteção de dados pessoais que devem ser respeitados pela organização, à identificação das partes interessadas e à análise dos dados pessoais tratados pela organização e dos processos organizacionais que tratam esses dados.
Este item demonstrou crescimento e evolução, incluindo um amadurecimento da própria instituição no tema. Alguns itens, apesar de já terem ocorrido medidas de adequação, estão atualmente em revisão, fruto do amadurecimento institucional, da própria da Lei e de suas interpretações.
Em linhas gerais o Confea apresenta um grau de adequação acima da média para este item.
Liderança
A alta direção deve demonstrar liderança e comprometimento com a iniciativa de adequação à LGPD. A existência e a elaboração de políticas relacionadas à proteção de dados pessoais e a nomeação de um encarregado que tenha autonomia para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) são fundamentais para o processo de adequação. As questões desta seção são relacionadas à nomeação do encarregado e à existência de políticas que buscam assegurar a segurança das informações e a proteção dos dados pessoais.
Atualmente encontra-se em fase de desenvolvimento a Política de Classificação de Documentos. As questões inerentes à Política de Proteção de Dados Pessoais estão cobertas nas políticas de Segurança da Informação, Privacidade e Classificação de Dados.
As informações sobre Encarregado de Dados e políticas inerentes à Proteção e Privacidade de Dados Pessoais do Confea estão dispostos no link: https://www.confea.org.br/funcionamento/lgpd.
Capacitação
A organização deve conduzir iniciativas para conscientizar e capacitar os colaboradores em proteção de dados pessoais. A conscientização é importante para que os colaboradores conheçam as políticas organizacionais relacionadas à proteção de dados pessoais e para que reconheçam como suas ações são importantes para a preservação da privacidade dos titulares. As ações de capacitação devem considerar diferentes níveis de envolvimento dos colaboradores no tema, de forma que aqueles que ocupam funções com responsabilidades essenciais relacionadas à proteção de dados pessoais recebam treinamento diferenciado, além do nível básico fornecido aos demais.
Foram efetuadas capacitações para toda a organização, utilizando a plataforma do ENAP. Foi solicitado ao SEDEP/GRH a inclusão do tema de Segurança da Informação e Privacidade de Dados nos planos de capacitação e reciclagem anual.
O Encarregado de Dados e suplente foram capacitados e possuem certificações de DPO fornecidas pela EXIN.
Em adicional, existe periodicidade no envio de comunicações e informações de oportunidades de capacitação aderentes ao tema ao SEDEP/GRH, que efetua comunicação aos empregados.
Conformidade do Tratamento
A organização deve ser capaz de provar que os tratamentos de dados pessoais que realiza são lícitos. Para isso é fundamental demonstrar que os princípios estabelecidos pela LGPD são seguidos e que os tratamentos são fundamentados em, ao menos, uma das bases legais descritas na legislação. Nesta seção são abordadas questões para avaliar se os tratamentos estão em conformidade com alguns dos princípios e se estão fundamentados em alguma base legal. Também será avaliado se a organização possui um registro para documentar detalhes das atividades de tratamento.
Existem iniciativas em andamento para avaliação e revisão de normativos principalmente em relação e em atendimento à questão do limite da necessidade quanto à captação de dados pessoais, além de revisão dos dados já coletados.
Direitos do Titular
A organização deve assegurar que os titulares tenham acesso a informações relacionadas ao tratamento de seus dados pessoais. Para isso, a organização deve publicar, de maneira clara e concisa, informações relativas ao tratamento de dados pessoais. A organização também deve estar preparada para atender todos os direitos dos titulares que são elencados na LGPD. Nesta seção são abordadas questões relacionadas à elaboração da política de privacidade e ao atendimento dos direitos dos titulares.
As implementações de atendimento ao titular estão em constante evolução, no link https://www.confea.org.br/funcionamento/lgpd o titular conta com canal de comunicação que possui formulário de atendimento e contatos do DPO, assim como a política de privacidade do Confea em linguagem acessível e popular.
Compartilhamento de Dados Pessoais
A organização deve documentar detalhes relacionados ao compartilhamento de dados pessoais com terceiros. A realização de compartilhamento demanda a adoção de controles adequados para mitigar riscos que possam comprometer a proteção dos dados pessoais. Diante disso, a LGPD defende que as precauções a serem adotadas entre as partes envolvidas no compartilhamento sejam formalizadas em contrato e que cuidados especiais devem ser adotados no caso de transferência internacional desses dados.
O Confea não compartilha dados pessoais com outras entidades ou empresas sem um termo de cooperação ou contrato, exceto em casos de demanda judicial. Está em andamento ação de melhoria no formato do compartilhamento destes dados para garantir ainda mais segurança e privacidade à operação incluindo contratação de ferramentas especializadas para apoio tecnológico.
Violação de Dados Pessoais
A organização deve gerenciar incidentes de segurança da informação que envolvem a violação de dados pessoais. Nesta seção são abordadas questões relacionadas à identificação, ao registro e ao tratamento de incidentes de violação de dados pessoais. Também será avaliado se a organização dispõe de mecanismo para notificar a Autoridade Nacional de Proteção de Dados e os titulares nos casos de incidentes que possam acarretar risco ou dano relevante aos titulares.
A organização possui medidas robustas de proteção de dados e segurança da informação. Existe um grupo de trabalho que inclui o Confea e alguns Creas em andamento, com o objetivo de evoluir as questões relativas ao plano de respostas à incidentes e ações adotadas para mitigação. A previsão de finalização do trabalho é Novembro de 2023.
Medidas de Proteção
A organização deve adotar medidas de segurança, técnicas e administrativas, para proteger os dados pessoais. Para isso, convém que sejam implementados controles capazes de mitigar riscos que possam resultar em violação da privacidade. Nesta seção serão abordadas questões relacionadas à implementação de controles para restringir e rastrear o acesso a dados pessoais e à avaliação de impacto sobre a proteção de dados pessoais.
O processo de adequação à LGPD é contínuo, à medida em que a própria ANPD ainda está definido questões importantes em relação à aplicação da legislação, como por exemplo a questão do compartilhamento internacional de dados. Esta evolução é acompanhada pelo Confea e busca aplicar medidas emergenciais e rápidas para garantir a segurança e privacidade dos dados pessoais e revisa constantemente estes processos para implementar melhorias, otimizações e correções conforme as oportunidades ou as necessidades ocorrem.
