|
|
|
DOCUMENTO |
Questionário - Adequação (69252772) |
|
UNIDADE EXECUTORA |
Controladoria Geral do Estado - CGE |
|
RESPONSÁVEIS |
MARCOS GUIMARÃES DA SILVA ASTRÊ |
|
OBJETIVO |
Elaboração de Orientação Técnica para aplicação do questionário de adequação sobre a LGPD. |
¶ ¶ Introdução
A Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD) representa um marco significativo na consolidação dos direitos do cidadão e impõe um grande desafio às instituições, que precisam se adequar aos dispositivos desse normativo. Entre as principais exigências estão a implantação de mecanismos que assegurem o pleno exercício dos direitos dos titulares dos dados, a adoção de medidas de segurança para a proteção dessas informações e, sobretudo, a construção de uma cultura organizacional voltada à privacidade e à proteção de dados pessoais.
A LGPD regula o tratamento de dados pessoais, abrangendo tanto os meios físicos quanto os digitais, e se aplica a pessoas naturais e jurídicas, sejam elas de direito público ou privado.Seu principal objetivo é garantir a proteção dos direitos fundamentais, especialmente a liberdade, a privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Notadamente no âmbito público, a proteção ao dado pessoal em formato digital deve ser destacada, considerando a atual expansão do governo digital, que busca a eficiência, economicidade e segurança dos serviços públicos e a prestação de serviços à sociedade 24 horas / 7 dias em qualquer território.
Ademais, em termos quantitativos, a LGPD possui muito mais dispositivos e controles que repercutem em obrigações legais do que qualquer outro elemento que a compõe. Isso porque se trata de uma lei de regulação da atividade social, e portanto, seu propósito é, de fato, intervir na atividade de tratamento praticada pelo particular ou pelo Estado impondo mecanismos e limitações que vão condicionar a maneira como serão processados os dados pessoais (DA MOTA ALVES, 2021).
Nota-se, portanto, a necessidade de promover a coordenação de diversos órgãos estaduais quanto aos controles e aos atos de gestão necessários para adequação dos serviços públicos, com especial ênfase à proteção de dados pessoais, dada a complexidade e a existência de estruturas e realidades distintas entre os órgãos e entidades do estado.
¶ ¶ Fundamentação
Considerando que compete à Controladoria-Geral do Estado - CGE proporcionar o estímulo e a obediência das normas legais, diretrizes administrativas, instruções normativas estatutos e regimento, inteligência do art. 9º, inciso V, da Lei Complementar nº 758, de 2 de janeiro de 2014 , vislumbrando-se papel fundamentação nas ações de conformidade no âmbito do Governo do Estado.
Considerando a Lei Federal nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD) , regulamentada no âmbito do estado de Rondônia pelo Decreto nº 26.451, de 4 de outubro de 2021 , o qual dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Considerando a Lei Geral de Proteção de Dados Pessoais - LGPD (Lei Federal nº 13.709/2018) que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, bem como o Decreto Estadual nº 26.451/2021, que dispõe sobre a adoção de medidas para aplicação da LGPD e institui o Comitê Gestor de Privacidade e Proteção de Dados Pessoais (CGPD) no âmbito da Administração Pública Direta e Indireta do Poder Executivo do Estado de Rondônia.
Considerando que o CGPD tem por objetivo estabelecer o conjunto de regras de boas práticas e de governança, diretrizes, políticas, projetos, ações e metas estratégicas, a serem observados pelos órgãos da Administração Pública do Poder Executivo visando o cumprimento e adequação às disposições da LGPD, inteligência do caput do art. 14 do Decreto Estadual nº 26.451/2021.
¶ ¶ Do Encarregado de Dados Pessoais
Considerando a Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais - LGPD que delimita o papel do encarregado pelo tratamento de dados pessoais, que possui a função de atuar como canal de comunicação entre instituição, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Sendo responsável por assegurar que a instituição esteja em conformidade com a Lei Geral de Proteção de Dados Pessoais - LGPD, e demais normas de proteção de dados, garantindo que o tratamento de dados pessoais seja sempre realizado de forma adequada.
Considerando que o Encarregado deve envolver-se com todas as questões de proteção de dados, orientando os servidores e contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados, o que compreende elaborar treinamentos, revisar políticas e procedimentos internos, educar os servidores sobre a importância da LGPD e mitigar riscos de incidentes de segurança dainformação.
Considerando a relevância do Encarregado pelo Tratamento de Dados Pessoais - DPO, e nos termos do Artigo 41, §2º, da LGPD, o encarregado pelo tratamento de dados pessoais tem o dever de atuar na identificação, avaliação e tratamento de riscos.
¶ ¶ Objetivo do Diagnóstico
O foco não é apenas obter uma nota, mas sim realizar uma autorregulação. O formulário permite que a unidade identifique suas lacunas (gaps) antes mesmo de uma auditoria oficial da CGE, funcionando como um roteiro de priorização de tarefas.
¶ Objetivo Geral:
Avaliar o nível de maturidade dos controles relacionados à segurança dos dados na unidade, com base em critérios definidos pela LGPD e melhores práticas de governança, visando promover a melhoria contínua, a proteção da informação, a conformidade legal e a segurança institucional.
¶ Objetivos Específicos:
- Diagnosticar o estágio atual de maturidade dos processos e controles de segurança da informação por meio de metodologia sistemática de autoavaliação.
- Identificar vulnerabilidades, lacunas e oportunidades de aprimoramento, orientando a proposição de ações preventivas e corretivas para fortalecer a proteção dos dados.
- Estimular a cultura de segurança da informação e melhoria contínua, implantando práticas de monitoramento e revisão periódica dos controles e procedimentos relacionados à proteção de dados.
- Fortalecer a capacidade institucional para a gestão segura dos dados, desenvolvendo mecanismos que promovam a governança no ambiente das unidades.
¶ ¶ Análise das 5 dimensões de maturidade
O questionário organiza a adequação em pilares que devem ser respondidos com evidências:
- Governança: Avalia se a unidade já nomeou seu Encarregado (DPO), se possui um Comitê de Privacidade e se a alta gestão apoia as ações de conformidade.
- Processos: Verifica se existe o Inventário de Dados Pessoais (IDP) e se os fluxos de tratamento (coleta ao descarte) estão mapeados.
- Contratos e Relações Externas: Analisa se os contratos vigentes possuem cláusulas de proteção de dados e se os fornecedores (operadores) também cumprem a LGPD.
- Treinamento, Desenvolvimento e Conscientização: a capacidade institucional para a gestão segura dos dados, desenvolvendo mecanismos que promovam a governança no ambiente das unidades.
- Segurança da Informação: Foca nos controles técnicos, como criptografia, controle de acessos, senhas e proteção contra ataques.
¶ ¶ Entendendo o Índice de Adequação
A pontuação automática classifica a unidade em níveis de maturidade para cada nível:
- 0% a 29% (Inicial): Alerta crítico. É necessário iniciar o mapeamento de dados e a nomeação oficial de responsáveis imediatamente.
- 30% a 49% (Básico): A unidade já conhece a lei, mas as ações são isoladas. Precisa institucionalizar políticas.
- 50% a 69% (Intermediário): Fase de estruturação. Os processos principais estão mapeados, mas falta monitoramento contínuo.
- 70% a 89% (Em Aprimoramento): Bom nível de conformidade. O foco agora é a automação e o refinamento da segurança.
- 90% a 100% (Aprimorado): Benchmarking. A unidade serve de modelo e deve focar na manutenção e resposta rápida a incidentes.
| Arquivo | Acesso |
|---|---|
| Diagnóstico de Adequação à LGPD - Gov. RO (Excel) |
¶ ¶ Orientações Práticas para o Preenchimento
- Não responda sozinho: Reúna os gestores, TI, RH e Jurídico para garantir que as respostas reflitam a realidade técnica e legal.
- Seja Honesto: O objetivo é a melhoria. Responder "Sim" sem ter a evidência (como um documento ou processo) pode gerar apontamentos.
- Documente as Evidências: Para cada questão respondida positivamente, salve o arquivo ou o print que comprove a ação no processo SEI correspondente.
¶ ¶ Próximos Passos (Plano de Ação)
Após obter o resultado do diagnóstico, a unidade deve gerar um Plano de Adequação focado nas questões que receberam "Não" ou "Parcialmente". Exemplo: Se na dimensão "Treinamento" a nota foi baixa, a ação imediata será a inclusão no Plano de Capacitação Anual da unidade.
¶ ¶ Conclusão
A aplicação do formulário diagnóstico permite a unidade identificar seu nível de maturidade e as lacunas críticas. A conformidade com a LGPD não é um estado estático, mas um processo de melhoria contínua. O questionário funcionou como uma "fotografia" do momento, permitindo que a unidade execute a sua autorregulação e alinhe os seus processos às diretrizes do Comitê Gestor de Privacidade e Proteção de Dados Pessoais (CGPD) e da Controladoria-Geral do Estado.
Ao finalizar este diagnóstico, a unidade reafirma o seu compromisso com a proteção dos direitos fundamentais de liberdade e privacidade, garantindo que o tratamento de dados pessoais no Governo de Rondônia ocorra de forma ética, segura e em estrita observância à legislação vigente.