|
|
|
DOCUMENTO |
Modelo - Plano de Adequação à Lei Geral de Proteção de Dados - LGPD |
|
UNIDADE EXECUTORA |
Controladoria Geral do Estado de Rondônia - CGE/RO |
|
RESPONSÁVEL |
MARCOS GUIMARÃES DA SILVA ASTRÊ - Encarregado pelo Tratamento de Dados Pessoais |
|
OBJETIVO |
Modelo - Plano de Ação para Adequação à LGPD. |
¶ ¶ Ficha Técnica
¶ FICHA TÉCNICA
Governador do Estado de Rondônia
Vice-Governador do Estado de Rondônia
¶ COMISSÃO TÁTICA E OPERACIONAL - LGPD
Presidente
Membro
¶ APOIO
Encarregado pelo Tratamento de Dados Pessoais - CGE/RO
¶ ¶ Introdução
A promulgação da Lei Geral de Proteção de Dados Pessoais (LGPD), Lei Federal nº 13.709/2018, impôs um novo desafio às entidades públicas e privadas: regular o tratamento de dados pessoais. No âmbito da administração pública, essa questão se torna ainda mais crucial, especialmente com a crescente adoção de serviços digitais.
Nesse cenário, a proteção de dados digitais assume papel fundamental. A transformação digital busca não apenas a eficiência e a economia, mas também a segurança dos serviços públicos, visando sua disponibilidade ininterrupta, 24 horas por dia, 7 dias por semana, em todo o território.
A LGPD, com seus dispositivos e controles abrangentes, estabelece obrigações legais significativas, caracterizando-se como uma lei de regulação da atividade social. Seu objetivo é intervir na forma como dados pessoais são tratados, tanto pelo setor privado quanto pelo Estado, impondo mecanismos e limitações que moldam o processamento desses dados (DA MOTA ALVES, 2021).
Diante dessa necessidade, torna-se imprescindível a coordenação dos esforços dos diversos órgãos estaduais. Essa articulação é essencial para garantir a padronização dos controles e das práticas de gestão necessárias à adequação dos serviços públicos à LGPD, especialmente considerando a complexa diversidade de estruturas e realidades entre os órgãos e entidades do Estado.
Reconhecendo a importância da adequação dos processos estaduais e do tratamento adequado dos dados pessoais, o Poder Executivo Estadual instituiu, por meio do Decreto nº 26.451, de 4 de outubro de 2021, Dispõe sobre a adoção de medidas para aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais - LGPD, e institui o Comitê Gestor de Privacidade e Proteção de Dados Pessoais no âmbito da Administração Pública Estadual direta, autárquica e fundacional do Poder Executivo do Estado de Rondônia.
A fim de servir de referência para os órgãos e entidades autárquicas e fundacionais do Poder Executivo Estadual, foi realizado o projeto de adequação à LGPD em 12 medidas adaptáveis à realidade da unidade:
- Alinhamento Estratégico
- Diagnóstico Preliminar
- Plano de Implantação
- Capacitação e Campanhas de Comunicação
- Avaliação de Riscos de Segurança da Informação e Privacidade
- Inventário de Dados Pessoais - IDP
- Transparência e LGPD
- Segurança da Informação e Privacidade
- Relatório de Impacto à Proteção de Dados - RIPD
- Plano de Resposta a Incidentes e Remediação
- Governança de Proteção de Dados em LGPD
- Monitoramento da Implementação
¶ ¶ Objetivos
O principal objetivo é a promoção da cultura da transparência e da proteção dos dados pessoais dos seus titulares, e oferecer orientações para que os procedimentos sejam adequados às exigências previstas na Lei, como parte do projeto de adequação à LGPD e com o objetivo de repassar informações importantes sobre a lei protetora de dados pessoais a todos que compõem e realizam tratamento destas informações, bem como proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da pessoa natural.
¶ ¶ Objetivos Gerais
Promover ações conjuntas, de interesse mútuo, que possibilitarão a orientação e monitoramento quanto à implementação da LGPD.
¶ Objetivos Específicos
- Fomentar a cultura da privacidade e proteção de dados.
- Monitorar a implementação da LGPD.
- Promover capacitação aos servidores sobre privacidade e proteção de dados.
- Promover apoio interinstitucional e intercâmbio de informações.
- Fomentar a melhoria da gestão da informação e documentação.
¶ ¶ Metodologia de elaboração do plano de ação
Para conduzir o trabalho de adequação, foi desenvolvido o Processo de Adequação à LGPD. Esse processo foi inspirado no PDCA, uma metodologia de gestão que prevê a execução de ações em iterações, compostas pelas fases: Planejar (Plan), Fazer (Do), Verificar (Check) e Agir (Act).
A escolha de seguir a metodologia PDCA baseia-se em sua capacidade de promover a melhoria contínua do processo. As fases Verificar e Agir são fundamentais para a análise dos resultados obtidos e a realização de ajustes necessários para aprimorar o processo.
¶
Fase I - Plan
- No PDCA, o plano é estabelecer as metas e processos necessários para entregar os resultados desejados.
¶
Fase II - Do
- Depois de determinar seus objetivos que são compatíveis com a LGPD, é hora de executar a política, de acordo com o que foi estipulado no plano, inclui também a coleta de dados para o controle do processo. O treinamento é requisito para a execução das tarefas.
¶
Fase III - Check
- Na fase de verificação do PDCA, você coleta dados e resultados do estágio "Do" e os compara com as metas originais do Plan. Se os resultados forem favoráveis, as tarefas são mantidas, se ocorrer problema, deve-se seguir para quarta etapa.
¶
Fase IV - Act
- Também chamado de ‘Ajustar’, esta é a etapa em que você aprimora seu processo de LGPD a partir das informações obtidas durante a fase de Do e Check.
¶ ¶ Alinhamento Estratégico
É esperado que a alta direção da organização tenha uma participação efetiva no processo de adequação do órgão ou entidade à LGPD, promovendo condições e recursos necessários para o seu êxito. Para isso, é essencial que possua conhecimentos básicos sobre suas responsabilidades e os efeitos da LGPD nos seus processos de negócio. Conforme Carvalho, Mattiuzzo e Ponce, a saber:
- O programa de adequação dos processos à LGPD pode ser considerado como um programa de compliance, ao buscar garantir e demonstrar o compromisso das entidades com o efetivo cumprimento de normas legais. Nesse contexto, o compromisso explícito e genuíno da alta direção da organização é essencial para conferir credibilidade ao programa e influenciar a tomada de decisão da alta direção da organização em suas atividades diárias de forma positiva. Assim, no caso do tema de proteção de dados pessoais, é necessário inserir uma cultura organizacional que absorva valores e práticas consonantes com os princípios de tratamento de dados pessoais. Carvalho, Mattiuzzo e Ponce (2019). Grifei.
Nesse sentido, o projeto de adequação às normas, definindo-a como a “sensibilização da alta direção do órgão ou entidade sobre a importância da adequação institucional à LGPD e sobre o papel do encarregado de dados pessoais”.
Durante essa etapa, considerada parte da fase de "Preparação", espera-se que o encarregado do órgão ou entidade promova a conscientização da alta direção sobre os preceitos da Lei, seus impactos na organização, o papel do encarregado, e como os demais setores e colaboradores podem contribuir para o programa de adequação.
Dessa forma, a alta direção pode solicitar aos colaboradores e partes externas que pratiquem a privacidade e a segurança da informação conforme as políticas e procedimentos da organização.
É essencial que a alta direção participe das decisões relacionadas à segurança da informação e à privacidade dos dados, considerando as particularidades dos setores e os responsáveis pela adequação da organização. Assim, a alta direção poderá estabelecer diretrizes que definam as expectativas sobre segurança da informação e privacidade dentro da organização, elevando o grau de conscientização sobre o assunto e promovendo o cumprimento dos termos e condições de tratamento de dados pessoais por parte dos colaboradores e partes externas.
A partir dessas medidas iniciais, a alta direção do órgão ou entidade demonstrará sua liderança e comprometimento em relação ao sistema de gestão da segurança e privacidade através da realização de avaliações periódicas (ISO - 27701/2019).
Além disso, é crucial que o encarregado e a equipe técnica possuam habilidades e qualificações apropriadas para desempenhar suas funções no projeto de adequação da organização à cultura de proteção de dados pessoais. Algumas sugestões para a realização do Alinhamento Estratégico incluem:
¶
▼ Sugestões para o Alinhamento Estratégico
- Marcar o evento com antecedência;
- Avaliar a oportunidade de inserir a pauta em reuniões estratégicas de monitoramento do órgão ou entidade;
- Adequar a apresentação à realidade do órgão ou entidade;
- Reduzir palavras e informações para evitar confusões ou dúvidas sobre a proteção de dados pessoais;
- Utilizar palavras-chave e evitar discutir conceitos extensos;
- Usar exemplos e situações práticas da organização, como a execução de políticas públicas e/ou gestão de pessoas;
- Reforçar a existência do monitoramento e apoio da Controladoria-Geral do Estado na Política Estadual de proteção de dados;
- Estabelecer um tempo máximo de duração, preferencialmente não mais que 30 minutos;
- Treinar a apresentação previamente.
¶ ¶ Diagnóstico Preliminar
O “Diagnóstico Preliminar” refere-se a uma avaliação destinada a fornecer à Alta Gestão dos órgãos e entidades as informações necessárias para obter uma visão sistêmica sobre a adequação do órgão ou entidade às normas da LGPD. Além disso, possibilita a identificação e priorização dos processos e atividades mais relevantes no que diz respeito à proteção de dados pessoais.
De acordo com a doutrina, é recomendável que, no projeto de adequação à LGPD, seja realizada uma avaliação interna. Neste caso, Vieira.
- O método Data Protection and Privacy System (DP&P System) recomenda uma avaliação prévia, considerando uma abordagem sistêmica e uma identificação de áreas/processos/sistemas que apresentam maior risco, e uma avaliação detalhada de controles na fase “Preparação”. Vieira (2019).
Diante disso, o órgão ou entidade deve realizar o Diagnóstico Preliminar, considerando os processos de negócio de cada setor como escopo e as particularidades de sua função institucional no tratamento de dados pessoais. É recomendável que o questionário seja respondido com base em questões estruturadas pelos próprios setores, após a devida orientação sobre seu preenchimento e uma avaliação prévia do seu conteúdo.
Como resultado desta etapa, o órgão ou entidade reunirá informações essenciais sobre seus processos de negócio, incluindo: quais processos realizam o tratamento de dados pessoais, as categorias de dados envolvidas, hipóteses de permissões, finalidades, entre outros aspectos. Dessa forma, é possível obter uma visão sistêmica do tratamento de dados pessoais, identificar pontos focais e atender aos requisitos de transparência, conforme será detalhado no tópico seguinte.
Vale destacar que a forma de execução e o conteúdo do Diagnóstico Preliminar devem ser adaptados, levando em consideração as especificidades e peculiaridades no tratamento de dados pessoais do seu órgão ou entidade.
Com base no resultado do Diagnóstico Preliminar, o órgão ou entidade poderá classificar os processos utilizando métodos qualitativos (como tipo de dados, relevância, criticidade, etc.) e quantitativos (como volume de informações). Essa classificação tem como objetivo definir prazos para a realização da Avaliação de Controles, de acordo com a capacidade operacional da unidade.
Nesse sentido, o Diagnóstico Preliminar é uma ferramenta importante de autoconhecimento institucional. Ele não só avalia o grau de maturidade na gestão de processos, mas também apoia a definição e priorização dos processos que tratam dados pessoais e que podem impactar negativamente a conformidade com a legislação.
Para o diagnóstico do grau de conformidade, a SEPOG utilizará a ferramenta de Diagnóstico de Adequação à LGPD elaborado em conjunto entre a CGE e o CGPD, cuja metodologia é baseada em questões formuladas acompanhadas de referências legais e ou normativas e pode ser respondida com as opções "Não adota", "Iniciou a adoção", "Adota parcialmente", "Adota Integralmente" e "Não se aplica", o que subsidia a formalização e cálculo de um índice de maturidade e seu nível de adequação correspondente, conforme tabela abaixo:
¶ ¶ Índice de Adequação
| Índice | Nível |
|---|---|
| 0% a 29% | Inicial |
| 30% a 49% | Básico |
| 50% a 69% | Intermediário |
| 70% a 89% | Em Aprimoramento |
| 90% a 100% | Aprimorado |
¶ ¶ Plano de Implantação
O processo de adequação esta ligado as etapas identificadas, permeando todo o ciclo inspirados no PDCA. O mesmo contempla um conjunto de macro atividades que são agregadoras de atividades menores. Por sua vez, estas podem ser executadas em ciclos gerando os diversos entregáveis esperados. Neste contexto, está sendo proposto que a cada nova macro atividade finalizada, os entregáveis da etapa anterior sejam revistos no sentido de atualizá-los decorrente do avanço do projeto.
A proposta de trabalho prevê macroatividades que serão detalhadas em atividades menores que, por sua vez, produzem os resultados esperados e seus entregáveis.
Para que todos os trabalhos sejam documentados, permitindo um acompanhamento passo a passo e registro histórico, promovendo transparência e fortalecendo o compromisso da equipe de cumprir sua missão com dedicação e prioridade, recomenda-se a abertura de processo SEI. Neste processo deverão ser anexados:
¶
▼ Documentação Necessária
- Portaria de designação da comissão.
- Plano de adequação.
- Relatórios produzidos.
- Registros de reuniões.
- Comunicações internas.
A conformidade com a proteção de dados pessoais evolui com o tempo. Por isso, a unidade deve acompanhar mudanças regulatórias, alterações estruturais, novos projetos que envolvam atividades de tratamento de dados, aquisição de novas tecnologias, entre outros fatores.
O processo de adequação deve ser executado de forma iterativa, com cada iteração passando por todo o ciclo de diagnóstico, planejamento, execução e revisão da iteração, inspirados no PDCA. A adoção de uma abordagem iterativa se deve à premissa de que, dada a alta complexidade da unidade e o volume de dados por ela tratado.
Para a condução eficaz dos trabalhos de conformidade à LGPD, é crucial nesse processo de implementação um trabalho integrado de servidores em prol de um objetivo comum. Além da definição de responsabilidades, a definição de premissas de trabalho e a concordância de um cronograma de atividades são fundamentais para o sucesso e a devida concretização dos trabalhos necessários.
¶ ¶ Capacitação e Campanhas de Comunicação
Conforme estabelecido pela Lei nº 13.709/2018 (LGPD), a proteção de dados pessoais visa garantir os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade. No âmbito das unidades gestoras, o processo de adequação institucional buscafor talecer a governança e a segurança da informação, assegurando que o tratamento de dados ocorra de forma ética, segura e em estrita observância à legislação vigente.
O processo de adequação à Lei está na execução dos serviços e processos de trabalho diários das unidades, envolvendo todos os setores. Portanto, é necessária uma transformação cultural para a efetiva implementação da LGPD.
Dessa forma, este Plano propõe etapas iniciais de apresentação da LGPD aos servidores. Além disso, será imprescindível a elaboração, junto ao setor de comunicação, de um plano de comunicação para divulgação e sensibilização, tanto da LGPD, quanto do seu impacto na unidade.
Ademais, a capacitação dos pontos focais, neste primeiro momento de adequação, será importante para disseminar e multiplicar os conhecimentos sobre a Lei, dentro de suas respectivas unidades, contribuindo, assim, para o cumprimento da LGPD.
Diante do contexto apresentado e no escopo da adequação da LGPD, propõe-se a adoção de um plano de capacitação que tem por objetivo orientar os servidores e usuários dos serviços prestados pela unidades sobre a Lei Geral de Proteção de Dados Pessoais (LGDP) e o processo de adequação. A proposta do plano de capacitação segue os direcionamentos conforme listados, a seguir:
¶
▼ Diretrizes do Plano
- Objetivo
- Público-Alvo
- Mensagens-chave
- Cronograma, metas e resultados esperados
- Canais de comunicação, Conteúdo e formato
- Responsáveis
- Avaliação/indicadores
- Riscos relacionados
- Execução das ações
- Planejamento e acompanhamento dos resultados
¶ ¶ Fluxos e Materiais Complementares
| Fluxograma | Acesso |
|---|---|
| Processo de Gerenciamento - Riscos | |
| Plano de Trabalho - Adequação LGPD | |
| Diagnóstico de Adequação | |
| Fluxo de Adequação à LGPD |
¶ ¶ Considerações Finais
Qualquer plano é dinâmico. A conformidade será medida pelo Índice de Adequação da unidade, visando atingir o nível adequado, garantindo que o Governo de Rondônia seja referência em segurança e proteção de dados.
¶ ¶ Documentação Correlata
| Documento | Acesso |
|---|---|
| Inventário de Dados Pessoais |