Webinar da Embratel discutiu a importância de as instituições desenvolverem um planejamento para estar em conformidade com a LGPD.
O setor público também precisa estar em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD). Mas como as entidades públicas podem preparar o ambiente para a governança de dados?
O desafio de adequação é enorme, ainda mais com as incertezas da LGPD, que pode começar a valer em agosto deste ano ou em maio de 2021, caso a Medida Provisória 959/2020 seja votada nas duas Casas do Congresso Nacional.
Para responder a essa questão, a Embratel realizou, no fim de junho, o webinar “Desafios do setor público para a adequação à LGPD”. O encontro teve a participação de Yanis Stoyannis, especialista em cibersegurança da Embratel e da Drª Patrícia Peck, sócia do escritório PG Advogados e especialista em direito digital e LGPD. A mediação foi de Maria Teresa Lima, diretora executiva para governo da Embratel.
“A segurança dos dados trata de direitos fundamentais. Então, se a gente for olhar o lado da área pública, é algo essencial”, explicou Patrícia Peck. O motivo é que toda instituição pública deve garantir a proteção das informações coletadas do cidadão.
No entanto, “parece simples, mas falamos de um novo framework (LGPD) que trabalha alguns pilares e precisa ser seguido”, complementou a advogada.
Setor público e os desafios de adequação
Os desafios do setor público para se adequar à LGPD são muitos. A lei tem alguns pilares, dentre eles a integridade, confidencialidade, disponibilidade e autenticidade. Porém, como destacou Patrícia Peck, “tudo isso é para a finalidade de proteção. Só que falar de proteção de dados nunca vai ficar desgarrado da segurança”.
Ou seja, se gestores públicos já tomavam medidas de segurança para proteger os dados armazenados em sistemas internos, eles agora precisam olhar para os terceirizados. “Muitas instituições atuam com APIs, que trocam muitos dados. Também existem os convênios entre as áreas pública e privada. Então, imagine se acontecer um vazamento de dados? Veio de mim ou do vizinho?”, questionou.
Diante deste cenário, instituições encaram as seguintes situações para se adequarem à LGPD:
1. Lei de Acesso à Informação (LAI) e Portais de Transparência
Governos das três esferas (federal, estadual e municipal) devem entender como harmonizar a LGPD com a LAI e Portais de Transparências, visto que pessoas em cargo público, servidores e fornecedores também entram no rol de “titular dos dados”. Essas leis devem conversar entre si para atender às demandas do usuário.
2. Banco de dados
A administração pública precisará avaliar todo o banco de dados para mapear a sensibilidade deles. Como exemplos: uma filiação sindical, parecer de saúde e até mesmo a placa de um carro podem identificar uma pessoa, e a LGPD pede uma proteção maior para esses dados sensíveis.
3. Estrutura
Para todo titular (pessoa em cargo político, fornecedor, servidor ou cidadão) que pedir a remoção dos dados do sistema, a instituição tem até 15 dias para resolver a demanda. A depender da administração, os responsáveis pelo controle e operação dos dados podem trabalhar em parceria.
4. DPO
O DPO ou Encarregado vai ser a comunicação entre a entidade, a LGPD e o titular. Além disso, terá a função de aceitar as requisições dos titulares, responder à ANPD, orientar os servidores. Porém, o cargo não precisa ser de apenas uma pessoa. A instituição pode formar um comitê multidisciplinar e distribuir essas funções do DPO entre os integrantes.
Aliás, falamos sobre a importância de um DPO neste blog post aqui. E também mostramos que é possível fazer uma contratação dessa função no modelo as a Service (saiba mais aqui).
5. Conformidade
Compliance é a área da instituição que vai garantir que todas as suas operações dela estejam dentro da lei. Aqui o desafio é contínuo (como vamos explicar mais nos próximos tópicos), porque vai exigir uma série de medidas: da adoção de tecnologias e melhores práticas de segurança à mudança de cultura organizacional e um time de conformidade (que pode estar dentro do comitê de DPO).
6. Restrições orçamentárias
Até o momento, a LGPD está para iniciar a vigência em agosto deste ano ou em maio de 2021. No entanto, muitas organizações públicas não iniciaram o planejamento de orçamento e estão esperando a lei entrar em vigor para, após isso, decidir as próximas etapas de adequação.
7. Proteger a reputação e a saúde financeira de empresas públicas
A LGPD é uma lei que tem um caráter reputacional e arrecadatória e nem todos os entes ligados ao poder público estão livres do pagamento de multa por infração cometida (de até 2% do faturamento no último exercício, limitado a R$ 50 milhões por infração). Empresas públicas e as sociedades de economia mista que atuam em regime de concorrência (como bancos e Sistema S) estão sujeitas ao mesmo tratamento das empresas privadas.
Conformidade será contínua, afirmam especialistas
Do ponto de vista do setor público, instituições federais, estaduais e municipais terão o desafio de esclarecer para o cidadão quando o dado pessoal dele é capturado, qual a finalidade do uso e por quanto tempo será usado. “Não pode ser um puxadinho digital em que cada um dos gestores públicos realiza o tratamento de dados de um jeito. É necessária uma padronização”, afirmou Patrícia Peck.
Mas, para essa padronização, os órgãos precisam desenvolver um programa de conformidade e manter sua continuidade. Principalmente porque as instituições hoje são apoiadas por diversas tecnologias para prestar serviços ao cidadão. “A insuficiência de controles de segurança é o principal problema de violação de dados”, pontuou Yanis Stoyannis, da Embratel.
Segundo o especialista, a padronização envolve a qualidade do serviço prestado e a proteção e a privacidade dos dados dos usuários. Para isso, as organizações devem trabalhar de forma multidisciplinar, “envolvendo não só a equipe jurídica, mas também as partes tecnológicas, dentre outras da organização”, comentou Yanis.
Como explicou o executivo da Embratel, a instituição deve identificar quais as áreas que tratam esses dados, os processos de gestão, os de suporte e como abordar a governança em todo o ambiente de trabalho. Assim, mapear esses pontos levará a empresa a definir um padrão de adequação à LGPD.
Isso vai possibilitar que a organização crie uma jornada de conformidade com a lei dos pontos de vista legal e tecnológico. Quer saber mais como se adequar à LGPD? A solução da Embratel vai identificar riscos no processamento de dados e fornecer um plano de ação para a sua instituição. Saiba mais aqui.
Não conseguiu assistir ao webinar de LGPD? Clique aqui para assistir a esta e a outras lives sobre soluções digitais e o cenário atual de COVID-19.