Após quase 6 anos desde o surgimento da LGPD no Brasil, muitas empresas e órgãos públicos permanecem realizando adequações pertinentes ao seu dia a dia, seus fluxos e processos. Considerando a unicidade de cada modelo de negócio, dúvidas vão surgindo em cada uma de suas peculiaridades, as quais vão sendo sanadas a medida em que a ANPD - Autoridade Nacional de Proteção de Dados entra em cena com novos regulamentos e resoluções.
Em busca desta conformidade legal, muitas organizações confiam nas auditorias, principalmente externas, para garantir cada vez mais sua segurança jurídica. E, ainda, após a imprensa noticiar incidentes de vazamentos de dados pessoais afetando milhões de brasileiros1, diante da exposição de vulnerabilidades em torno dos próprios órgãos, o foco se tornou, de fato, a preservação e a segurança dos dados pessoais aqui no Brasil.
Sabe-se, por inúmeros órgãos de pesquisa mundiais, que o Brasil está dentre os países que mais utilizam a internet2 e que os brasileiros são os indivíduos mais expostos em relação às suas intimidades, famílias e rotinas pessoais e profissionais nas redes sociais.3 Gostar de novidades tecnológicas e de inovação pertence, hoje, a cultura nacional. Um exemplo disso é a utilização da inteligência artificial, cuja utilização já se tornou um hábito, inclusive por inúmeras organizações nacionais4, ainda que haja recente discussão sobre sua pauta de regulamentação no país. No entanto, sem mudar o foco do presente, é importante falar sobre a premente necessidade de fiscalização realizada pelos órgãos no tocante aos dados pessoais dos brasileiros.
O TCU é certamente um dos órgãos mais importantes nesse sentido. Suas diretrizes são compartilhadas em Tribunais de Contas por todo o país, assim como suas referências em decisões e em jurisprudências.
O TCU, preocupado com a constatação de que 76,7% das organizações públicas federais sequer possuíam adequação mínima a LGPD5, resolveu elaborar uma nova ação de controle para acompanhar, em parceria com outros Tribunais de Contas do Estado, o cumprimento da LGPD através do método de autoavaliação de controles internos (CSA - Control Self-Assessment), conhecido através do método segundo o qual são os próprios gestores que avaliam seus controles e riscos.
Ressalta-se que esta auditoria interna não descredibiliza nem diminui a importância de uma externa, a qual é mais do que necessária.
E é claro que esta auditoria de autoavaliação, também constante do referencial técnico da atividade de auditoria interna governamental do poder executivo federal6, não deve ser negligenciada eis que sua importância tende a auxiliar, e muito, nesta conformidade.
Segundo o TCU7 é possível entender mais sobre esta fiscalização através dos links disponibilizados dos checklists e questionários publicados e atualizados, assim como com os exemplos de Política de proteção de dados pessoais, de privacidade, acórdão e relatórios.
Ainda que esse procedimento possa transmitir um pouco mais de tranquilidade ao servidor, é importante que ao responder este questionário, ele possua conhecimento prévio não só da própria LGPD, mas também dos controles de Gestão de Privacidade das Informações (ABNT ISO/IEC 27701:2019), transparência e de acesso a informação.
Por esse motivo, realizar esta autoavaliação é tão importante, pois avalia a maturidade do órgão em relação à sua conformidade com a LGPD em determinado momento, auxiliando no preenchimento de lacunas essenciais, avaliando riscos ainda não mensurados e identificando vulnerabilidades.
O controle interno, por si só, auxilia o gestor e toda a organização, pois é um instrumento de proteção e defesa dos indivíduos, trazendo maior conformidade, auxiliando na governança e orientando boas práticas.
----------------------
1 https://g1.globo.com/economia/tecnologia/noticia/2021/01/28/vazamento-de-dados-de-223-milhoes-de-brasileiros-o-que-se-sabe-e-o-que-falta-saber.ghtml
2 https://valor.globo.com/brasil/noticia/2023/08/22/brasil-lidera-entre-paises-onde-pessoas-mais-gastam-tempo-na-internet-diz-pesquisa.ghtml
3 https://forbes.com.br/forbes-tech/2023/03/brasil-e-o-terceiro-pais-que-mais-consome-redes-sociais-em-todo-o-mundo/
4 https://revistapegn.globo.com/tecnologia/noticia/2024/03/inteligencia-artificial-ja-e-parte-da-rotina-de-7-em-cada-10-micro-pequenas-e-medias-empresas.ghtml
5 TC 039.606/2020-1; Acórdão 1.384/2022-TCU-Plenário, relator Ministro Augusto Nardes
6 Instrução normativa nº 3, de 9 de junho de 2017, que aprova o referencial técnico da atividade de auditoria interna governamental do Poder executivo federal.
7 https://portal.tcu.gov.br/fiscalizacao-de-tecnologia-da-informacao/atuacao/fiscalizacoes/auditoria-sobre-lgpd/