LGPD 2021 Mod4
Organização da empresa e implementação da LGPD
Ouça o Episódio 8 do Podcast LGPD Serpro!
Uma conversa com Ulysses Machado sobre as fases de implementação da LGPD no Serpro e sua organização.
Mais do que atender ao dever de adequação à LGPD, o Serpro se organiza e se firma como referência em proteção e tratamento de dados pessoais no setor público.
O planejamento realizado pela equipe de implementação pressupõe 5 fases, com desdobramentos em etapas e produtos, como o Manual Jurídico de Privacidade, o modelo de Governança de Dados, o Plano de Treinamento e o Programa de Privacidade.
As cinco fases são:
- Preparação
- Organização
- Implementação
- Governança
- Avaliação
Preparação
É uma fase de avaliação, diagnóstico e inventário da situação em vigor na organização.
O primeiro passo foi construir um diagnóstico, por meio de questionários que subsidiarão, na etapa seguinte, oficinas de alinhamento e complementação.
Também foi elaborado um manual jurídico integrando leis de privacidade, inclusive estrangeiras, doutrina e decisões relacionadas com privacidade e proteção de dados. O manual é de acesso corporativo, com perfis de usuário e de administrador – que corresponde ao perfil responsável por atualizar e revisar o manual. O usuário pode consultar o manual com busca relacional em cada uma das três dimensões: lei, doutrina e decisões.
Foi realizado, ainda, levantamento de riscos com equipe multidisciplinar que identificou, de início, 156 riscos. A análise crítica desses riscos, identificando dentre eles os que eram causa ou consequência, reduziu os riscos de implementação para o quantitativo de 7 (sete) riscos, com os respectivos controles/tratamentos, que serão referência para a construção dos relatórios de impacto e também para as análises de risco posteriores.
Criou-se, ademais, o Escritório de Governança de Dados, com a função de identificar a localização de todas as bases de dados que contenham dados pessoais, centralizar seus metadados, classificar esses dados – pessoais, sensíveis, de menores etc. – e garantir adequado controle de acesso. O Escritório também realizou o Mapeamento do Fluxo de Dados.
Foi realizada a adequação das políticas de Segurança da Informação e de Governança de Dados aos princípios da LGPD e, além disso, está em fase de aprovação final a Política de Privacidade e o Programa de Privacidade, tudo construído em cooperação com a Área de Segurança da Informação e as demais áreas da Empresa, colaboração essencial para a conclusão do Programa Serpro de Privacidade.
Os planos de implementação da Fase 1 serão construídos no decorrer da Fase 2 e serão executados no início da Fase 3.
Organização
Fase caracterizada principalmente pelo engajamento e arregimentação dos esforços necessários à conformidade.
A manutenção do Programa de Privacidade e da Política de Segurança à Privacidade teve início com a implementação da Rede LGPD: uma Rede Social Corporativa que agrega os efetivamente envolvidos nas atividades, com a “mão na massa”. A Rede LGPD não é mera forma de publicidade. É ferramenta de trabalho e organização para que os voluntários distribuam, pelo corpo funcional, os princípios e fundamentos da Política de Segurança à Privacidade.
A designação do Encarregado: são três pessoas naturais, responsáveis, cada uma, pela atuação técnica, pela atuação jurídica e de conteúdo; e pelo inter-relacionamento com entidades externas – clientes, cooperações, parcerias e educação.
A Fase de Organização é também aquela em que é promovido o engajamento da alta liderança, independentemente dos esforços realizados na Fase de Preparação. Aqui foram feitos treinamentos e apresentações para a Diretoria, para o Diretor-Presidente, para o Comitê de Auditoria e para o Conselho de Administração.
O engajamento corporativo foi e seguirá sendo feito a partir de seminários, eventos, palestras, cursos, comunicação e marketing, já iniciados desde a Fase 1, em abril de 2019. Tais esforços incluem a página Serpro e a comunidade LGPD, aberta aos empregados, a Cartilha de Privacidade e os vídeos institucionais.
O engajamento dos conselhos (Administração, Fiscal, COAUD) e dos fornecedores e clientes também será realizado a partir de oficinas externas e ações de marketing.
Com a conclusão desta Fase, teremos a implementação de um Sistema de Gestão de Privacidade e da Informação - SGPI: uma sistemática clara e mapeada do que está sendo feito, como, quando e quem são os responsáveis e executores. "Sistema” aqui, tem o mesmo significado utilizado no modelo ISO 27001, quando se refere ao Information Security Management System – ISMS. É uma garantia de processo de trabalho claro e rastreável e não um “sistema de TI”.
Há, de forma independente, um esforço para que o dashboard desse Sistema esteja integrado na plataforma Archer, adquirida pelo Serpro e em fase de implantação.
Implementação
É a fase de execução dos planos de implementação desenvolvidos na Fase anterior, envolvendo corpo funcional, gestão, clientes e fornecedores, com:
- Definição dos procedimentos de aprovação para tratamento de dados - Encarregado + Governança de Dados.
- Registro das databases que contêm dados pessoais - Governança de Dados.
- Alinhamento dos serviços de transferência internacional de dados com o cliente RFB.
- Integração de todas as atividades de Proteção de Dados e Privacidade com os diversos responsáveis e o Encarregado - DPO.
- Execução dos planos de treinamento.
- Implementação dos controles definidos pela Governança de Dados: o Programa de Privacidade e as Regras de Governança de Dados compõem a Governança de Privacidade e Proteção de Dados.
Governança
Fase caracterizada pela plena atuação da Governança de Privacidade como um todo, conduzida pelo Encarregado - DPO e alinhada com a Rede LGPD e o corpo funcional, ou seja, serão implementadas as práticas de Gestão de Uso de Dados.
A implementação do canal de comunicação com o Titular dos dados pessoais será dúplice: tanto pela plataforma de tratamento (PDC - Plataforma Digital do Cidadão), como por canal de comunicação e tratamento interno de demandas, a exemplo do eOuve, com execução dos processos de retificação, requisição, reclamação/tratamento, etc., em atendimento ao titular.
Também será executada nova avaliação de Riscos de Privacidade e Tratamento de Dados, a exemplo do que foi realizado na fase anterior, e estarão definidos, a partir da ferramenta Archer, os documentos que serão emitidos: relatórios de risco, relatórios de conformidade, relatórios de tratamento de incidentes de privacidade, relatórios de impacto etc.
Em plena integração com a área de segurança, mas também com as demais áreas que tratam incidentes com possível reflexo em privacidade (SUPCD, CCD, SUPGP, Forense, SUPGL e outras), estarão definidas as formas de tratamento de incidentes de violação de dados pessoais, inclusive com a realização de simulação de cenários.
Avaliação
A Fase 5 corresponderá à fase perpétua de condução do Ciclo de Melhoria Contínua (PDCA), com:
- Sistematização rotineira de auditorias internas e processos de auditoria externa, especificamente para Proteção de Dados e Privacidade.
- Realização de benchmarking e avaliações internas periódicas.
- Geração periódica do relatório de impacto e sua disponibilidade para informação à Autoridade Nacional de Proteção de Dados.
- Tratamento cíclico de riscos.
- Elaboração de relatório final dos riscos de implementação do projeto e de sua continuidade.
- Atualização do Manual Jurídico, implementado na Fase 1.
Soluções LGPD
Com a entrada em vigor da Lei Geral de Proteção de Dados, o Serpro se torna referência para Agentes de Tratamento do setor público e privado, oferecendo soluções que garantam o tratamento de dados em conformidade com a LGPD e que também deem conta do fluxo de atendimento às demandas que virão dos titulares.
A Plataforma Digital do Cidadão oferece soluções nas vertentes Identificação, Gestão do consentimento, Tratamento dos direitos do titular, Auditoria e conformidade, Educação e certificação.
- Identificação
- Com a correta identificação do Titular, o Agente de Tratamento garante o atendimento às demandas do Titular, sem o risco de informar a terceiros, gerando, assim, violação de dados.
- Consentimento
- A gestão do consentimento, nos casos em que essa seja a base legal utilizada, garante recursos para que o Agente de Tratamento demonstre o consentimento e gerencie revogações e alterações demandadas pelo Titular, inclusive "portabilidade" quando for caso.
- Uso de dados
- Garantia do adequado tratamento de todos os direitos do Titular, de acordo com cada uma das possíveis bases legais. Além do atendimento às hipóteses de informação aos titulares e autoridades competentes a respeito do uso compartilhado de dados, transferências internacionais, e possíveis incidentes de segurança e de violação de dados.
- Auditoria e Conformidade
- A solução completa e adequada à legislação deve garantir auditoria e rastreabilidade ao trabalho do Agente de Tratamento.
- Capacitação
- Desenvolvimento de treinamento e certificação de profissionais e de pessoas jurídicas.
A modularização das soluções permite a contratação segmentada dessas funcionalidades, eliminando o risco de o cliente adquirir módulos de que não necessita ou de deixar de adquirir por causa de funcionalidades com as quais já conta. A imagem a seguir apresenta a integração dos módulos na Plataforma Digital do Cidadão.
Plataforma Serpro LGPD
Tanto a evolução e contratação dessas soluções quanto informações, artigos e atualizações referentes à privacidade e tratamento de dados podem ser acompanhados no Portal Serpro LGPD.
Portal Serpro LGPD
Ouça o Episódio 9 do Podcast LGPD Serpro!
Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre o que microempreendedores e autônomos devem fazer para agir em conformidade com a LGPD.
E então... O Serpro reafirma seu compromisso em ser referência no tratamento de dados pessoais!