O Serpros tem empenhado esforços contínuos para a implementação da Lei Geral de Proteção de Dados (LGPD). Muito antes da recente decisão que definiu a vigência da lei para setembro de 2020, as ações na entidade se iniciaram em busca de melhores soluções para o cumprimento da sua adequação. De acordo com o projeto em andamento, várias ações ainda continuarão, com monitoramento constante e prevenção, que são comandos e princípios da lei.
O diferencial alcançado pela entidade só foi possível com a percepção da Diretoria Executiva sobre a importância e os impactos relacionados à proteção de dados. Ainda em 2019, quando foi criado o “Projeto Proteção de Dados”, a Diretora-Presidente nomeou o Grupo de Trabalho Multidisciplinar, que vem atuando em várias diretrizes voltadas a cumprir os comandos legislativos.
Inspirados pela atuação inovadora da patrocinadora Serviço Federal de Processamento de Dados (Serpro), a instância executiva se comprometeu, esperando como resultado a melhor percepção do seu público-alvo, que são os participantes e assistidos, além de evitar os riscos jurídicos relacionados.
As áreas de Governança, Tecnologia, Jurídica e de Benefícios, que compõem o Grupo de Trabalho, desempenharam ações com a indicação de evidências, a partir das diretrizes definidas nas políticas, conscientes de que somente com a união de todos seria possível desenvolver o projeto.
Como o Serpros tem se empenhado para mitigar os riscos relacionados à LGPD:
Para dar cumprimento à implementação da LGPD, foi necessário colocar em prática várias ações e imputar um senso de urgência aos membros do Grupo de Trabalho envolvidos na implementação.
A equipe buscou equilibrar as prioridades e alcançar objetivos mínimos, de forma a mitigar os riscos de descumprimento da lei, apesar da pandemia do coronavírus, que alterou o cenário e a forma de trabalhar em todos os setores e relações da entidade.
Entre as ações já implementadas, destacam-se as políticas elaboradas e aprovadas pelo Conselho Deliberativo. As novas políticas são a de Proteção de Dados Pessoais e a de Privacidade de Dados Pessoais – que demonstram quais as diretrizes internas relacionadas à privacidade, além de externarem o compromisso da alta administração com os princípios da lei. Além delas, a Política de Segurança da Informação mereceu ajustes, devidamente implementados e aprovados pelas instâncias cabíveis.
Além disso, foi elaborado o “Termo de Privacidade”, documento público que demonstra todas as informações relacionadas aos dados pessoais dos titulares de dados que o Serpros realiza tratamento, uma das ações adotadas para evidenciar o cumprimento do princípio da transparência, previsto no inciso VI, do artigo 6º, da Lei 13.709/2018.
A obrigação legal importante de nomeação e o anúncio do Data Protection Officer (DPO), também conhecido como Encarregado de Dados, prevista no artigo 41 da LGPD, foi devidamente cumprida e consta do site da entidade. Esse funcionário é o canal de comunicação entre a entidade, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Também foi criado um canal de atendimento específico aos titulares de dados, denominado “Fale com DPO”, que garante a oportunidade de requisição de direitos e por onde é possível entrar em contato com o Encarregado de Dados para realizar solicitações. Há também no site da entidade um portal específico, com vários esclarecimentos, um breve resumo da lei e inúmeras ações essenciais de conscientização a respeito do tema.
Outras ações internas, como o desenvolvimento de mapeamento de dados foram realizadas, mas necessitam ainda de constantes revisões para alcançar um nível de informações e melhorias ideais.
Cabe destacar ainda um ponto de grande relevância, relacionado ao sistema de segurança da informação, que, nos termos da lei, deve ser revisto e testado, para garantir a segurança e evitar a aplicação de penalidades e a ocorrência de prejuízo de exposição, vazamento ou uso indevido de dados dos titulares.
A entidade ainda priorizou a realização de treinamentos específicos aos membros do Grupo de Trabalho e de toda a equipe de empregados, voltados à conscientização sobre privacidade e proteção de dados, com o objetivo de alinhar a equipe sobre a importância da adoção de ações compatíveis com a lei no cotidiano do trabalho. As ações educativas são contínuas e serão direcionadas às áreas com necessidades específicas gradativamente.
Como a LGPD é uma lei que só se aplica se estiver inserida em um sistema de relações contratuais adaptadas, os contratos firmados com prestadores de serviços, associações e demais pessoas jurídicas ou físicas que incluam tratamento de dados estão passando por adequações, voltadas a estabelecer compromissos capazes de garantir a proteção de dados dos titulares.
Além disso, a entidade introduziu o mapeamento de riscos específicos relacionados à lei, tendo em vista que várias ações – inclusive a elaboração do Relatório de Impacto, exigirão a análise do controlador com relação as medidas, salvaguardas e mecanismos de mitigação de riscos adotados.
Apesar das inúmeras ações necessárias ao cumprimento da lei já adotadas, a entidade está ciente que ainda há um longo caminho a percorrer em busca da plena conformidade. Porém, tendo em vista os princípios da lei, especialmente o da prevenção e o da responsabilização e prestação de contas, é indispensável demonstrar a execução de seu cumprimento.
O Serpros está ciente de seu protagonismo em vários aspectos e a preocupação com a tecnologia já estava em sua missão estratégica. As ações de implementação estão coerentes com as diretrizes que orientam as ações da entidade e a efetiva implementação da LGPD traduzirá o compromisso da atual administração com a inovação e gestão eficiente.
7/10/2020
