A entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), em setembro de 2020, passou a exigir que as empresas estejam em conformidade com as suas exigências. Antes disso, a Diretoria do Serpros, já ciente dos seus possíveis impactos, criou o projeto “Proteção de Dados”, em fevereiro de 2019, com nomeação da equipe de trabalho responsável pela sua implementação e das diretrizes iniciais, possibilitando o alcance de várias evidências necessárias com antecedência.
Do início do exercício até meados de 2019 foram realizados treinamentos preparatórios aos membros da equipe do projeto, além da reordenação de membros e diretrizes iniciais. A partir de julho do mesmo ano, o foco foi a contratação de uma consultoria de apoio que, em setembro de 2019, iniciou um trabalho de diagnóstico para a verificação da maturidade da instituição e das necessidades internas para a conformidade à lei. O plano de ação com as atividades encaminhadas iniciou-se ainda no exercício anterior ao de 2020.
Neste ano, a pandemia do novo coronavírus trouxe impactos que geraram numerosas adaptações na empresa, estabelecimento de novas prioridades e releitura da forma de gestão e dos projetos em andamento. Apesar disso, muitos passos foram alcançados para a conformidade da LGPD antes da sua entrada em vigor, como os seguintes:
- Criação e proposição de Política de Privacidade, Política de Proteção de Dados e Termo de Privacidade, documentos que demonstram as diretrizes relacionadas ao tema e comprovam a transparência em relação ao tratamento de dados, o que é um princípio da lei.
- Revisão da Política de Segurança da Informação, para adequá-la aos que dispõe a LGPD.
- Criação de Plano de Resposta a Incidentes, objetivando obter reatividade eficiente caso ocorra qualquer incidente de segurança da informação.
- Criação de norma sobre o Relatório de Impacto à Proteção de Dados;
- Desenvolvimento do mapeamento de dados, para apuração dos fluxos e ciclo, ainda em desenvolvimento pelas áreas.
- Criação de Canal de Atendimento aos titulares de dados “Fale com DPO”, Nomeação de DPO e publicação de seus dados e contatos no site.
- Criação de área no site da entidade com informações sobre proteção de dados, privacidade, resumo da lei geral de proteção de dados, entre outros pontos, contribuindo com informações claras a todo o público e sociedade sobre o que dispõe a lei.
- Canal interno para empregados, sobre LGPD, com espaço para inclusão de orientações normativas do DPO, entre outros pontos.
- Campanhas internas de comunicação, voltadas a introduzir e estimular a cultura da privacidade e segurança da informação na Intranet para os empregados.
- Revisão de Contratos com prestadores de serviços para a adaptação à lei.
- Criação e encaminhamento de norma de Controle de Acesso e Backup e realização de testes de invasão.
- Início de mapeamento dos riscos relacionados à LGPD para a apuração e mitigação.
- Treinamentos internos, treinamentos externos e fomento à cultura de privacidade e proteção de dados na empresa.
A Equipe Serpros acredita que os esforços empenhados estão gerando valor e segurança aos participantes, assistidos e empregados. Essas ações estão em linha com o planejamento estratégico da entidade, que fez previsão de uma diretriz específica relacionada ao cumprimento da Lei Geral de Proteção de Dados Pessoais.
O trabalho de implementação da lei ainda exigirá ações importantes que estão em andamento, melhorias de processos e normas e muito trabalho para estarmos em plena conformidade. Porém, a atual administração acredita que esse empenho será indispensável, tendo e vista a ocorrência de incidentes de segurança contra várias instituições.
Ninguém está imune a um ataque cibernético, nem mesmo a administração pública, mas na hipótese desta ocorrência, são necessárias evidências de que foram empenhados esforços e adotadas precauções com os dados pessoais dos titulares e com a continuidade dos negócios da entidade.
Inovação, respeito às pessoas e foco no cliente são os nossos valores e compromissos.
É o Serpros cuidando de você!
4/12/2020