Privacidade de Dados
Fabrício Tadeu da Silva
A Lei Geral de Proteção de Dados Pessoais (LGPD) define um dado pessoal como uma informação relacionada a pessoa natural identificada ou identificável (art. 5º, inciso I da Lei nº 13.709, de 14 de agosto de 2018) e estabelece diversas obrigações e controles que devem ser implementados por entidades públicas e privadas que efetuam o tratamento de dados pessoais, inclusive no que concerne aos direitos dos titulares desses dados.
– Programa de Governança em Privacidade;
– Realização de Inventário de Dados Pessoais;
– Elaboração de Termo de Uso e Política de Privacidade;
– Avaliação de riscos de segurança e privacidade;
– Adequação dos requisitos e obrigações quanto à segurança da informação e à privacidade;
– Elaboração de Relatório de Impacto à Proteção de Dados Pessoais (RIPD);
– Guia de Segurança em Aplicações Web;
– Guia de Framework de Segurança.
Diagnóstico e Índice de Maturidade de Privacidade para adequação à LGPD
O GT aplicou questionário de autoavaliação, em 2021, apurando o Nível de Maturidade de Privacidade e o Nível de Maturidade de Segurança para adequação à LGPD:
| Diagnóstico e Índice de Maturidade de Privacidade para adequação à LGPD |
| Dimensões | Índice | Nível de Adequação* |
|---|---|---|
| Governança | 0,37 | Básico |
| Conformidade legal e respeito aos princípios | 0,20 | Inicial |
| Transparência e direitos do titular | 0,28 | Inicial |
| Rastreabilidade | 0,30 | Básico |
| Adequação de contratos e de relações com parceiros | 0,20 | Inicial |
| Segurança da Informação | 0,25 | Inicial |
| Violações de Dados | 0,50 | Intermediário |
| Índice da Adequação à LGPD* | 0,29 | Inicial |
* O Índice de Adequação à LGPD é apurado considerando a nota obtida em cada Dimensão, graduado em:
| Índices | Níveis de Adequação |
|---|---|
| 0 a 0,29 | Inicial |
| 0,30 a 0,49 | Básico |
| 0,50 a 0,69 | Intermediário |
| 0,70 a 0,89 | Em aprimoramento |
| 0,90 a 1,00 | Aprimorado |
A metodologia também é aplicada no cálculo do Nível de Gestão de Segurança da Informação:
| Dimensões | Índice | Nível de Adequação |
|---|---|---|
| Estruturação e Organização | 0,70 | Em aprimoramento |
| Gestão de Riscos e de Vulnerabilidades | 0,23 | Inicial |
| Gestão de Configuração e Mudanças | 0,75 | Em aprimoramento |
| Gestão de Incidentes | 0,40 | Básico |
| Desenvolvimento Seguro | 0,39 | Básico |
| Capacidade, Redundância e Continuidade | 0,71 | Em aprimoramento |
| Capacitação, Conscientização e Sensibilização | 0,20 | Inicial |
| Controles de Acesso Lógico | 0,65 | Intermediário |
| Privacidade | 0,25 | Inicial |
| Nível de Gestão de Segurança da Informação | 0,48 | Básico |
Diagnóstico dos controles implementados para adequação à LGPD
Entre 2020 e 2021 o Tribunal de Contas da União (TCU) realizou auditoria em 382 organizações públicas federais para avaliar a situação destas organizações quanto aos controles relacionados à LGPD, dentre as quais a UFV.
A avaliação se deu, em primeiro momento, com a aplicação pelo TCU de questionário de autoavaliação contendo 60 questões distribuídas em 09 dimensões:
Foram escolhidos pelo TCU um conjunto de 42 questões ara compor um indicador, resumindo as respostas das organizações. Com respostas do tipo “Sim“, “Parcialmente” e “Não“, respectivamente correspondendo às notas de 1, 0,5 e 0, as notas(1) de cada organização varia de 0 a 1.
1 O cálculo do indicador está detalhado na Seção 2.2 do Relatório de Auditoria (Acórdão nº 1384/2022/TCU/Plenário).
Apurada a nota obtida pela organização, os resultados são classificados em quatro níveis de adequação à LGPD: “Inexpressivo” (indicador menor ou igual a 0,15), “Inicial” (indicador maior do que 0,15 e menor ou igual a 0,5), “Intermediário” (indicador maior do que 0,5 e menor ou igual a 0,8) e “Aprimorado” (indicador maior do que 0,8). Assim, conforme o valor do indicador obtido, as organizações foram classificadas em um desses níveis de maturidade.
O quadro a seguir apresenta a distribuição das organizações por níveis de adequação à LGPD:
Com a nota obtida pela UFV de 0,13, o indicador de adequação em LGPD correspondeu ao nível “Inexpressivo“.
A tabela abaixo apresenta um resumo da UFV contendo as dimensões do questionário e os valores obtidos no indicador de adequação à LGPD:
| Dimensões | Valores obtidos pela UFV |
|---|---|
| Estruturação para condução da iniciativa de adequação | |
| Preparação | 0,25 |
| Contexto Organizacional | 0,22 |
| Liderança | 0,33 |
| Capacitação | 0,17 |
| Medidas e controles de proteção de dados pessoais implementados | |
| Conformidade do Tratamento | 0,10 |
| Direitos do Titular | 0,00 |
| Compartilhamento de Dados Pessoais | 0,00 |
| Violação de Dados Pessoais | 0,00 |
| Medidas de Proteção | 0,10 |
| Indicador de adequação à LGPD | 0,13 |
Os valores obtidos pela UFV podem ser comparados aos valores médios por dimensão do questionário das outras organizações. A figura à seguir demonstra visualmente o posicionamento da UFV frente às 382 organizações avalidas:
Os resultados gerais no diagnóstico dos controles para adequação da UFV à LGPD aplicado pelo TCU indicam o roteiro de ações necessárias ao cumprimento da legislação.
A íntegra das questões respondidas pela UFV e avaliadas pelo TCU em todas as dimensões, bem como os valores médios obtidos pelas 382 organizações podem ser acessados no arquivo à seguir:
Melhores práticas em governança disseminadas pela Secretaria de Governo Digital do Ministério da Economia e da ANPD:
- Guia de Boas Práticas;
- Questionário de maturidade de privacidade para adequação à LGPD;
- Questionário de maturidade de segurança para adequação à LGPD;
- Guias de medidas de gestão de riscos e às melhores práticas internacionais;
- Oficinas, cursos e outros eventos;
- Guia de Orientação para Definição de Agente de Tratamento de Dados da Autoridade Nacional de Proteção de Dados (ANPD)
- Outros instrumentos ofertados pela SGD e continuamente atualizados.
- ANPD
O progresso das ações do GT pode ser conferido no Processo SEI/UFV:23114.906392/2021-73