Migalhas de Peso

A autoavaliação de controles internos em relação à LGPD nas organizações do setor público e privado

Seis anos após a LGPD no Brasil, muitas organizações ainda se ajustam às exigências. A ANPD emite novos regulamentos, e auditorias externas ajudam na conformidade.

11/9/2024

Após quase 6 anos desde o surgimento da LGPD no Brasil, muitas empresas e órgãos públicos permanecem realizando adequações pertinentes ao seu dia a dia, seus fluxos e processos. Considerando a unicidade de cada modelo de negócio, dúvidas vão surgindo em cada uma de suas peculiaridades, as quais vão sendo sanadas a medida em que a ANPD - Autoridade Nacional de Proteção de Dados entra em cena com novos regulamentos e resoluções.

Em busca desta conformidade legal, muitas organizações confiam nas auditorias, principalmente externas, para garantir cada vez mais sua segurança jurídica. E, ainda, após a imprensa noticiar incidentes de vazamentos de dados pessoais afetando milhões de brasileiros1, diante da exposição de vulnerabilidades em torno dos próprios órgãos, o foco se tornou, de fato, a preservação e a segurança dos dados pessoais aqui no Brasil.

Sabe-se, por inúmeros órgãos de pesquisa mundiais, que o Brasil está dentre os países que mais utilizam a internet2 e que os brasileiros são os indivíduos mais expostos em relação às suas intimidades, famílias e rotinas pessoais e profissionais nas redes sociais.3 Gostar de novidades tecnológicas e de inovação pertence, hoje, a cultura nacional. Um exemplo disso é a utilização da inteligência artificial, cuja utilização já se tornou um hábito, inclusive por inúmeras organizações nacionais4, ainda que haja recente discussão sobre sua pauta de regulamentação no país. No entanto, sem mudar o foco do presente, é importante falar sobre a premente necessidade de fiscalização realizada pelos órgãos no tocante aos dados pessoais dos brasileiros.

O TCU é certamente um dos órgãos mais importantes nesse sentido. Suas diretrizes são compartilhadas em Tribunais de Contas por todo o país, assim como suas referências em decisões e em jurisprudências.

O TCU, preocupado com a constatação de que 76,7% das organizações públicas federais sequer possuíam adequação mínima a LGPD5, resolveu elaborar uma nova ação de controle para acompanhar, em parceria com outros Tribunais de Contas do Estado, o cumprimento da LGPD através do método de autoavaliação de controles internos (CSA - Control Self-Assessment), conhecido através do método segundo o qual são os próprios gestores que avaliam seus controles e riscos.

Ressalta-se que esta auditoria interna não descredibiliza nem diminui a importância de uma externa, a qual é mais do que necessária.

E é claro que esta auditoria de autoavaliação, também constante do referencial técnico da atividade de auditoria interna governamental do poder executivo federal6, não deve ser negligenciada eis que sua importância tende a auxiliar, e muito, nesta conformidade.

Segundo o TCU7 é possível entender mais sobre esta fiscalização através dos links disponibilizados dos checklists e questionários publicados e atualizados, assim como com os exemplos de Política de proteção de dados pessoais, de privacidade, acórdão e relatórios.

Ainda que esse procedimento possa transmitir um pouco mais de tranquilidade ao servidor, é importante que ao responder este questionário, ele possua conhecimento prévio não só da própria LGPD, mas também dos controles de Gestão de Privacidade das Informações (ABNT ISO/IEC 27701:2019), transparência e de acesso a informação.

Por esse motivo, realizar esta autoavaliação é tão importante, pois avalia a maturidade do órgão em relação à sua conformidade com a LGPD em determinado momento, auxiliando no preenchimento de lacunas essenciais, avaliando riscos ainda não mensurados e identificando vulnerabilidades.

O controle interno, por si só, auxilia o gestor e toda a organização, pois é um instrumento de proteção e defesa dos indivíduos, trazendo maior conformidade, auxiliando na governança e orientando boas práticas.

----------------------

1 https://g1.globo.com/economia/tecnologia/noticia/2021/01/28/vazamento-de-dados-de-223-milhoes-de-brasileiros-o-que-se-sabe-e-o-que-falta-saber.ghtml

2 https://valor.globo.com/brasil/noticia/2023/08/22/brasil-lidera-entre-paises-onde-pessoas-mais-gastam-tempo-na-internet-diz-pesquisa.ghtml

3 https://forbes.com.br/forbes-tech/2023/03/brasil-e-o-terceiro-pais-que-mais-consome-redes-sociais-em-todo-o-mundo/

4 https://revistapegn.globo.com/tecnologia/noticia/2024/03/inteligencia-artificial-ja-e-parte-da-rotina-de-7-em-cada-10-micro-pequenas-e-medias-empresas.ghtml

5 TC 039.606/2020-1; Acórdão 1.384/2022-TCU-Plenário, relator Ministro Augusto Nardes

6 Instrução normativa nº 3, de 9 de junho de 2017, que aprova o referencial técnico da atividade de auditoria interna governamental do Poder executivo federal.

7 https://portal.tcu.gov.br/fiscalizacao-de-tecnologia-da-informacao/atuacao/fiscalizacoes/auditoria-sobre-lgpd/

Juliana de Fátima Moreira Costa
Advogada, mestra em direito, gestora jurídica na Stávila, encarregada de proteção de dados pessoais. Certificada DPO EXIN e CIPM. Especialista em Compliance pelo Instituto Insper e pela Legal Ethics & Compliance - LEC. Membro do The Society of Corporate Compliance and Ethics (SCCE). Pesquisadora em inteligência artificial, proteção de Dados e cibersegurança no LILAB e no LIA-IDP.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

Doença degenerativa da coluna lombar aposenta? Entenda!

26/12/2024

“Salve o Corinthians”

24/12/2024

Comentários ao acórdão proferido no RE 107.248 sobre terço de férias

26/12/2024

A utilização da inteligência artificial no franchising

24/12/2024

Comentários ao anteprojeto do Código de Processo do Trabalho - Do incidente de declaração de grupo econômico (art. 115)

25/12/2024