Adrianne Lima

30 de junho de 2022

Referência federal de ações para cumprimento da Lei Geral de Proteção de Dados Pessoais – LGPD

Compartilhe:
Link Linkedin Facebook Twitter

Referência federal de ações para cumprimento da Lei Geral de Proteção de Dados Pessoais – LGPD

Fonte: Portal TCU (2022)

Após avaliar 382 organizações, o Tribunal de Contas da União – TCU conclui que há risco alto à privacidade de dados pessoais coletados pelo governo. Em Acórdão (nº 1384/2022), os ministros fazem diversas recomendações para o governo federal sanar a situação.

É interessante observar que elas são feitas com base na Lei Geral de Proteção de Dados Pessoais – LGPD, mas também na norma ABNT NBR ISO/IEC 27701:2019.

Veja algumas das recomendações do TCU, sendo que muitas podem ser utilizadas como referências para organizações do poder público estaduais e municipais, bem como para as organizações do setor privado:

  • recomendar à Secretaria de Governo Digital do Ministério da Economia que edite normativos e guias, consultando a Autoridade Nacional de Proteção de Dados e o Gabinete de Segurança Institucional da Presidência da República, para auxiliar o processo de adequação das organizações à LGPD, incluindo orientações quanto:
      • à identificação de normativos correlatos ao tratamento de dados pessoais aplicáveis à
        organização, considerando as diretrizes estabelecidas no item 5.2.1 da ABNT NBR ISO/IEC 27701:2019;
      • à adequação dos contratos firmados com os operadores de forma a estabelecer, claramente, os papéis e responsabilidades relacionados à proteção de dados pessoais, considerando as diretrizes estabelecidas no item 7.2.6 da ABNT NBR ISO/IEC 27701:2019;
      • à avaliação da ocorrência de tratamento de dados pessoais com o envolvimento de controlador conjunto e à definição de papeis e responsabilidades de cada um dos controladores, considerando as diretrizes estabelecidas no item 7.2.7 da ABNT NBR ISO/IEC 27701:2019;
      • à elaboração de Política de Classificação da Informação que considere a classificação de dados pessoais, considerando o disposto nos arts. 5º, inciso II, 11 e 14 da Lei 13.709/2018 e no art. 31, § 1º, da Lei 12.527/2011, bem como as diretrizes estabelecidas no item 6.5.2 da ABNT NBR ISO/IEC 27701:2019;
      • à elaboração de Política de Proteção de Dados Pessoais, considerando as diretrizes estabelecidas no item 6.2.1.1 da ABNT NBR ISO/IEC 27701:2019;
      • à elaboração de Plano de Capacitação que considere a realização de treinamento e conscientização dos colaboradores em proteção de dados pessoais, considerando as diretrizes estabelecidas nos itens 5.5.2 e 5.5.3 da ABNT NBR ISO/IEC 27701:2019;
      • à elaboração de Política de Privacidade, considerando o disposto nos arts. 6º, incisos IV e VI, 9º e 23, inciso I, da Lei 13.709/2018 e as diretrizes estabelecidas nos itens 7.3.2 e 7.3.3 da ABNT NBR ISO/IEC 27701:2019;
      • à implementação de mecanismos para atendimento dos direitos dos titulares elencados no art. 18 da Lei 13.709/2018, considerando as diretrizes estabelecidas no item 7.3 da ABNT NBR ISO/IEC 27701:2019;
      • à implementação de procedimentos internos mais céleres (fast track) e controles simplificados para o uso compartilhado de dados pessoais no âmbito dos órgãos da Administração Direta, considerando o disposto nos arts. 7º, inciso III; 11, inciso II, “b” e “g”; 23; 25; 26 e 27, inciso II, da Lei 13.709/2018 e as diretrizes estabelecidas no item 7.5 da ABNT NBR ISO/IEC 27701:2019;
      • à implementação de procedimentos e controles para o compartilhamento de dados pessoais com terceiros (organizações públicas não integrantes da Administração Direta, entidades privadas e transferência internacional), considerando o disposto nos arts. 5º, inciso XVI; 26, 27; e 33 da Lei 13.709/2018 e as diretrizes estabelecidas no item 7.5 da ABNT NBR ISO/IEC 27701:2019;
      • à elaboração de Plano de Resposta a Incidentes e à implementação de controles para o tratamento de ocorrências relacionadas à violação de dados pessoais, considerando o disposto no art. 50, § 2º, inciso I, alínea “g”, da Lei 13.709/2018 e as diretrizes estabelecidas no item 6.13 da ABNT NBR ISO/IEC 27701:2019;
      • à implementação de processo de controle de acesso de usuários em sistemas que realizam tratamento de dados pessoais, considerando o disposto nos arts. 46 e 47 da Lei 13.709/2018 e as diretrizes estabelecidas nos itens 6.6.2.1 e 6.6.2.2 da ABNT NBR ISO/IEC 27701:2019;
      • à implementação de registro de eventos das atividades de tratamento de dados pessoais, considerando as diretrizes estabelecidas no item 6.9.4.1 da ABNT NBR ISO/IEC 27701:2019; e
      • à utilização de criptografia para proteção de dados pessoais, considerando o disposto nos arts. 48, § 3º; e 50, § 2º, inciso I, alínea “c”, da Lei 13.709/2018 e as diretrizes estabelecidas no item 6.7 da ABNT NBR ISO/IEC 27701:2019;
  • recomendar ao Conselho Nacional de Justiça e ao Conselho Nacional do Ministério Público que editem normativos e guias, consultando a Autoridade Nacional de Proteção de Dados, para auxiliar o processo de adequação das organizações à LGPD, incluindo orientações quanto: (…)
      • à adoção de medidas de proteção de dados pessoais desde a fase de concepção até a fase de execução de processos e sistemas (Privacy by Design), incluindo a coleta de dados limitada ao que é estritamente necessário ao alcance do propósito definido (Privacy by Default), considerando o disposto no art. 46, § 2º, da Lei 13.709/2018 e as diretrizes estabelecidas no item 7.4 da ABNT NBR ISO/IEC 27701:2019;
  • recomendar à Autoridade Nacional de Proteção de Dados que:
      • oriente as organizações públicas quanto às responsabilidades, aos perfis e requisitos profissionais desejáveis, bem como sobre os locais apropriados de lotação do encarregado no normativo relacionado ao tema que está previsto na agenda regulatória da instituição, em consonância com o disposto no art. 41, § 3º, da Lei 13.709/2018; (…)

Leia a íntegra da decisão: Acórdão 1384/2022 – TCU – Plenário

Fonte: Portal TCU