Adequação à LGPD: como chegamos até aqui

O aumento significativo de novas tecnologias e a acelerada transformação digital trouxeram algumas consequências possivelmente danosas, como exposição, vazamento, comercialização e utilização invasiva de dados pessoais. Para regulamentar a coleta e o uso dessas informações, entendendo que os dados são dos indivíduos e eles devem saber a razão, como, onde e por quanto tempo serão utilizados, foi criada a Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018

Inspirada no Regulamento Geral de Proteção de Dados da União Europeia (GDPR), a LGPD foi sancionada em 2018 e está em vigor desde setembro de 2020. A Lei determina normas e diretrizes para empresas públicas e privadas quanto à utilização e tratamento de dados pessoais de titulares, tanto online quanto offline, seja em meio físico ou digital. Ainda, prevê consequências, como multas e sanções, nos casos de mau uso de dados e outros em que a legislação não seja respeitada. 

A LGPD está estruturada nos seguintes princípios, que devem ser obedecidos pelas organizações: finalidade; adequação; necessidade; livre acesso; qualidade dos dados; transparência; segurança; prevenção; não discriminação; responsabilização e prestação de contas. E a Lei prevê dez bases legais que autorizam o tratamento de dados pessoais: consentimento do titular; legítimo interesse; execução de Políticas Públicas; realização de estudos por órgãos de pesquisa; execução de contrato de qual seja parte o titular; exercício regular de direito em processo judicial, administrativo ou arbitral; proteção à vida; tutela de saúde; cumprimento de obrigação legal ou regulatória pelo controlador; e proteção ao crédito.

Para se adequar à legislação, uma série de ações vem sendo desenvolvidas por instituições e governos. Em Santa Catarina, o governo do Estado estabeleceu medidas como a criação do Comitê Gestor de Proteção de Dados (CGPD), responsável pela avaliação dos mecanismos de tratamento e proteção dos dados pessoais existentes e pela proposição de ações voltadas ao seu aperfeiçoamento. Uma Política de Segurança da Informação (POSIN) é importante para que sejam indicadas regras que ditam o acesso, o controle e a transmissão da informação em uma organização. 

 

A adequação do CIASC à LGPD

Desde 2018, o Centro de Informática e Automação do Estado de Santa Catarina (CIASC) vem debatendo o tema LGPD e estabelecendo um planejamento estratégico para a implementação das adaptações necessárias. Diversas medidas foram e continuam sendo adotadas pela empresa para garantir a privacidade e segurança dos dados.

Contamos com a consultoria do Gartner que, além de nos fornecer consultoria empresarial, nos auxiliou na criação e acompanhamento de um plano de adequação.

Tratamos o plano de adequação como um projeto. Inicialmente procuramos conscientizar a alta gestão e demais funcionários sobre a importância da lei e fortalecer a estrutura organizacional da empresa para dar suporte para as ações. Foi criada uma área específica para tratar da proteção de dados e a área de segurança da informação passou a ter papel transversal dentro da empresa.

Já possuíamos um comitê interno multidisciplinar para tratar de assuntos de segurança da informação (Comitê Gestor de Segurança da Informação – CGSI) antes mesmo da LGPD, começamos a tratar também de assuntos de privacidade neste grupo. O comitê possui representantes de todas as áreas da empresa, incluindo alguns gerentes das áreas técnicas. Foram criadas políticas e normas internas estabelecendo diretrizes. 

Realizamos a conscientização e capacitação de nossos colaboradores, promovendo eventos voltados aos temas, oferecendo cursos e inserindo o quesito proteção de dados na cultura organizacional da empresa.

Os membros do comitê CGSI realizaram a identificação de pessoas-chave dentro de suas respectivas áreas e estas pessoas foram encarregadas de mapear os processos para atualizarmos nossa cadeia de valor. Foram mapeados os principais riscos em cada processo de negócio e os mesmos estão sendo tratados com medidas técnicas, administrativas e organizacionais, com o objetivo de reduzir os principais riscos apontados.

Dentre algumas das medidas que podemos mencionar citamos à capacitação dos servidores em relação ao desenvolvimento seguro, com a criação de um guia sobre o assunto, realização de eventos na área; atividades de capacitação e conscientização da LGPD e temas correlatos, com palestras, cursos e treinamento de funcionários e terceirizados.  A criação de um canal de atendimento ao direito dos titulares também foi uma iniciativa importante, tal iniciativa foi disponibilizada ao Estado para que os demais órgãos também possam utilizar a ferramenta. Foi investido no aprimoramento de mecanismo de segurança para redes com firewalls de ultima geração; nossa subestação de energia foi ampliada com equipamentos redundantes para garantir a disponibilidade elétrica dos servidores; no email corporativo e em alguns sistemas habilitamos o recurso de segundo fator de autenticação; gestão de identidade;  extinção de sistemas legados; Dentre outras medidas. 

Estamos participando de eventos promovidos por outras instituições, e também participado de espaços voltados ao tema, como o Fórum Estadual de Proteção de Dados do Executivo Estadual. Além disso, nossos profissionais estão acompanhando as tendências da proteção de dados no âmbito nacional, participando do Grupo de Segurança das Empresas de Processamento de Dados Estaduais (GT-SI ABEP). 

A proteção dos dados, além das garantias legais, significa um posicionamento que indica responsabilidade, prestação de contas, transparência e segurança no tratamento dos dados pessoais. A tendência para o futuro é que as organizações que assumirem essas medidas como valores e propósitos (mais do que apenas uma tramitação obrigatória) conquistem a atenção e confiança dos clientes, consumidores e usuários.

Referências consultadas:

LEI Nº 13.709, DE 14 DE AGOSTO DE 2018

Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD)

Autoridade Nacional de Proteção de Dados (ANPD)

 

Marcel Vilmar da Silva – Data Protection Officer (DPO) do Centro de Informática e Automação do Estado de Santa Catarina (CIASC)

Tabita Strassburger – Jornalista. Doutora em Comunicação e Informação. Bolsista da Fundação de Amparo à Pesquisa e Inovação do Estado de Santa Catarina (FAPESC), no Programa de Pesquisa e Implantação de Sistema de Inovação do CIASC. Contato: tabita@ciasc.sc.gov.br