Organização da empresa e implementação da LGPD

Ouça o Episódio 8 do Podcast LGPD Serpro!

Uma conversa com Ulysses Machado sobre as fases de implementação da LGPD no Serpro e sua organização.

Mais do que atender ao dever de adequação à LGPD, o Serpro se organiza e se firma como referência em proteção e tratamento de dados pessoais no setor público.

O planejamento realizado pela equipe de implementação pressupõe 5 fases, com desdobramentos em etapas e produtos, como o Manual Jurídico de Privacidade, o modelo de Governança de Dados, o Plano de Treinamento e o Programa de Privacidade.

As cinco fases são:

1. Preparação
2. Organização
3. Implementação
4. Governança
5. Avaliação

Preparação

É uma fase de avaliação, diagnóstico e inventário da situação em vigor na organização.

O primeiro passo foi construir um diagnóstico, por meio de questionários que subsidiarão, na etapa seguinte, oficinas de alinhamento e complementação.

Também foi elaborado um manual jurídico integrando leis de privacidade, inclusive estrangeiras, doutrina e decisões relacionadas com privacidade e proteção de dados. O manual é de acesso corporativo, com perfis de usuário e de administrador – que corresponde ao perfil responsável por atualizar e revisar o manual. O usuário pode consultar o manual com busca relacional em cada uma das três dimensões: lei, doutrina e decisões.

Foi realizado, ainda, levantamento de riscos com equipe multidisciplinar que identificou, de início, 156 riscos. A análise crítica desses riscos, identificando dentre eles os que eram causa ou consequência, reduziu os riscos de implementação para o quantitativo de 7 (sete) riscos, com os respectivos controles/tratamentos, que serão referência para a construção dos relatórios de impacto e também para as análises de risco posteriores.

Criou-se, ademais, o Escritório de Governança de Dados, com a função de identificar a localização de todas as bases de dados que contenham dados pessoais, centralizar seus metadados, classificar esses dados – pessoais, sensíveis, de menores etc. – e garantir adequado controle de acesso. O Escritório também realizou o Mapeamento do Fluxo de Dados.

Foi realizada a adequação das políticas de Segurança da Informação e de Governança de Dados aos princípios da LGPD e, além disso, está em fase de aprovação final a Política de Privacidade e o Programa de Privacidade, tudo construído em cooperação com a Área de Segurança da Informação e as demais áreas da Empresa, colaboração essencial para a conclusão do Programa Serpro de Privacidade.

Os planos de implementação da Fase 1 serão construídos no decorrer da Fase 2 e serão executados no início da Fase 3.

Organização

Fase caracterizada principalmente pelo engajamento e arregimentação dos esforços necessários à conformidade.

A manutenção do Programa de Privacidade e da Política de Segurança à Privacidade teve início com a implementação da Rede LGPD: uma Rede Social Corporativa que agrega os efetivamente envolvidos nas atividades, com a “mão na massa”. A Rede LGPD não é mera forma de publicidade. É ferramenta de trabalho e organização para que os voluntários distribuam, pelo corpo funcional, os princípios e fundamentos da Política de Segurança à Privacidade.

A designação do Encarregado: são três pessoas naturais, responsáveis, cada uma, pela atuação técnica, pela atuação jurídica e de conteúdo; e pelo inter-relacionamento com entidades externas – clientes, cooperações, parcerias e educação.

A Fase de Organização é também aquela em que é promovido o engajamento da alta liderança, independentemente dos esforços realizados na Fase de Preparação. Aqui foram feitos treinamentos e apresentações para a Diretoria, para o Diretor-Presidente, para o Comitê de Auditoria e para o Conselho de Administração.

O engajamento corporativo foi e seguirá sendo feito a partir de seminários, eventos, palestras, cursos, comunicação e marketing, já iniciados desde a Fase 1, em abril de 2019. Tais esforços incluem a página Serpro e a comunidade LGPD, aberta aos empregados, a Cartilha de Privacidade e os vídeos institucionais.

O engajamento dos conselhos (Administração, Fiscal, COAUD) e dos fornecedores e clientes também será realizado a partir de oficinas externas e ações de marketing.

Com a conclusão desta Fase, teremos a implementação de um Sistema de Gestão de Privacidade e da Informação - SGPI: uma sistemática clara e mapeada do que está sendo feito, como, quando e quem são os responsáveis e executores. "Sistema” aqui, tem o mesmo significado utilizado no modelo ISO 27001, quando se refere ao Information Security Management System – ISMS. É uma garantia de processo de trabalho claro e rastreável e não um “sistema de TI”.

Há, de forma independente, um esforço para que o dashboard desse Sistema esteja integrado na plataforma Archer, adquirida pelo Serpro e em fase de implantação.

Implementação

É a fase de execução dos planos de implementação desenvolvidos na Fase anterior, envolvendo corpo funcional, gestão, clientes e fornecedores, com:

• Definição dos procedimentos de aprovação para tratamento de dados - Encarregado + Governança de Dados.
• Registro das databases que contêm dados pessoais - Governança de Dados.
• Alinhamento dos serviços de transferência internacional de dados com o cliente RFB.
• Integração de todas as atividades de Proteção de Dados e Privacidade com os diversos responsáveis e o Encarregado - DPO.
• Execução dos planos de treinamento.
• Implementação dos controles definidos pela Governança de Dados: o Programa de Privacidade e as Regras de Governança de Dados compõem a Governança de Privacidade e Proteção de Dados.

Governança

Fase caracterizada pela plena atuação da Governança de Privacidade como um todo, conduzida pelo Encarregado - DPO e alinhada com a Rede LGPD e o corpo funcional, ou seja, serão implementadas as práticas de Gestão de Uso de Dados.

A implementação do canal de comunicação com o Titular dos dados pessoais será dúplice: tanto pela plataforma de tratamento (PDC - Plataforma Digital do Cidadão), como por canal de comunicação e tratamento interno de demandas, a exemplo do eOuve, com execução dos processos de retificação, requisição, reclamação/tratamento, etc., em atendimento ao titular.

Também será executada nova avaliação de Riscos de Privacidade e Tratamento de Dados, a exemplo do que foi realizado na fase anterior, e estarão definidos, a partir da ferramenta Archer, os documentos que serão emitidos: relatórios de risco, relatórios de conformidade, relatórios de tratamento de incidentes de privacidade, relatórios de impacto etc.

Em plena integração com a área de segurança, mas também com as demais áreas que tratam incidentes com possível reflexo em privacidade (SUPCD, CCD, SUPGP, Forense, SUPGL e outras), estarão definidas as formas de tratamento de incidentes de violação de dados pessoais, inclusive com a realização de simulação de cenários.

Avaliação

A Fase 5 corresponderá à fase perpétua de condução do Ciclo de Melhoria Contínua (PDCA), com:

• Sistematização rotineira de auditorias internas e processos de auditoria externa, especificamente para Proteção de Dados e Privacidade.
• Realização de benchmarking e avaliações internas periódicas.
• Geração periódica do relatório de impacto e sua disponibilidade para informação à Autoridade Nacional de Proteção de Dados.
• Tratamento cíclico de riscos.
• Elaboração de relatório final dos riscos de implementação do projeto e de sua continuidade.
• Atualização do Manual Jurídico, implementado na Fase 1.

Soluções LGPD

Com a entrada em vigor da Lei Geral de Proteção de Dados, o Serpro se torna referência para Agentes de Tratamento do setor público e privado, oferecendo soluções que garantam o tratamento de dados em conformidade com a LGPD e que também deem conta do fluxo de atendimento às demandas que virão dos titulares.

A Plataforma Digital do Cidadão oferece soluções nas vertentes Identificação, Gestão do consentimento, Tratamento dos direitos do titular, Auditoria e conformidade, Educação e certificação.

Identificação

Com a correta identificação do Titular, o Agente de Tratamento garante o atendimento às demandas do Titular, sem o risco de informar a terceiros, gerando, assim, violação de dados.

Consentimento

A gestão do consentimento, nos casos em que essa seja a base legal utilizada, garante recursos para que o Agente de Tratamento demonstre o consentimento e gerencie revogações e alterações demandadas pelo Titular, inclusive "portabilidade" quando for caso.

Uso de dados

Garantia do adequado tratamento de todos os direitos do Titular, de acordo com cada uma das possíveis bases legais. Além do atendimento às hipóteses de informação aos titulares e autoridades competentes a respeito do uso compartilhado de dados, transferências internacionais, e possíveis incidentes de segurança e de violação de dados.

Auditoria e Conformidade

A solução completa e adequada à legislação deve garantir auditoria e rastreabilidade ao trabalho do Agente de Tratamento.

Capacitação

Desenvolvimento de treinamento e certificação de profissionais e de pessoas jurídicas.

A modularização das soluções permite a contratação segmentada dessas funcionalidades, eliminando o risco de o cliente adquirir módulos de que não necessita ou de deixar de adquirir por causa de funcionalidades com as quais já conta. A imagem a seguir apresenta a integração dos módulos na Plataforma Digital do Cidadão.

Tanto a evolução e contratação dessas soluções quanto informações, artigos e atualizações referentes à privacidade e tratamento de dados podem ser acompanhados no Portal Serpro LGPD.

Ouça o Episódio 9 do Podcast LGPD Serpro!

Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre o que microempreendedores e autônomos devem fazer para agir em conformidade com a LGPD.

E então... O Serpro reafirma seu compromisso em ser referência no tratamento de dados pessoais!