A autoavaliação de controles internos em relação à LGPD nas organizações do setor público e privado

Após quase 6 anos desde o surgimento da LGPD no Brasil, muitas empresas e órgãos públicos permanecem realizando adequações pertinentes ao seu dia a dia, seus fluxos e processos. Considerando a unicidade de cada modelo de negócio, dúvidas vão surgindo em cada uma de suas peculiaridades, as quais vão sendo sanadas a medida em que a ANPD - Autoridade Nacional de Proteção de Dados entra em cena com novos regulamentos e resoluções.

Em busca desta conformidade legal, muitas organizações confiam nas auditorias, principalmente externas, para garantir cada vez mais sua segurança jurídica. E, ainda, após a imprensa noticiar incidentes de vazamentos de dados pessoais afetando milhões de brasileiros¹, diante da exposição de vulnerabilidades em torno dos próprios órgãos, o foco se tornou, de fato, a preservação e a segurança dos dados pessoais aqui no Brasil.

Sabe-se, por inúmeros órgãos de pesquisa mundiais, que o Brasil está dentre os países que mais utilizam a internet² e que os brasileiros são os indivíduos mais expostos em relação às suas intimidades, famílias e rotinas pessoais e profissionais nas redes sociais.³ Gostar de novidades tecnológicas e de inovação pertence, hoje, a cultura nacional. Um exemplo disso é a utilização da inteligência artificial, cuja utilização já se tornou um hábito, inclusive por inúmeras organizações nacionais⁴, ainda que haja recente discussão sobre sua pauta de regulamentação no país. No entanto, sem mudar o foco do presente, é importante falar sobre a premente necessidade de fiscalização realizada pelos órgãos no tocante aos dados pessoais dos brasileiros.

O TCU é certamente um dos órgãos mais importantes nesse sentido. Suas diretrizes são compartilhadas em Tribunais de Contas por todo o país, assim como suas referências em decisões e em jurisprudências.

O TCU, preocupado com a constatação de que 76,7% das organizações públicas federais sequer possuíam adequação mínima a LGPD⁵, resolveu elaborar uma nova ação de controle para acompanhar, em parceria com outros Tribunais de Contas do Estado, o cumprimento da LGPD através do método de autoavaliação de controles internos (CSA - Control Self-Assessment), conhecido através do método segundo o qual são os próprios gestores que avaliam seus controles e riscos.

Ressalta-se que esta auditoria interna não descredibiliza nem diminui a importância de uma externa, a qual é mais do que necessária.

E é claro que esta auditoria de autoavaliação, também constante do referencial técnico da atividade de auditoria interna governamental do poder executivo federal⁶, não deve ser negligenciada eis que sua importância tende a auxiliar, e muito, nesta conformidade.

Segundo o TCU⁷ é possível entender mais sobre esta fiscalização através dos links disponibilizados dos checklists e questionários publicados e atualizados, assim como com os exemplos de Política de proteção de dados pessoais, de privacidade, acórdão e relatórios.

Ainda que esse procedimento possa transmitir um pouco mais de tranquilidade ao servidor, é importante que ao responder este questionário, ele possua conhecimento prévio não só da própria LGPD, mas também dos controles de Gestão de Privacidade das Informações (ABNT ISO/IEC 27701:2019), transparência e de acesso a informação.

Por esse motivo, realizar esta autoavaliação é tão importante, pois avalia a maturidade do órgão em relação à sua conformidade com a LGPD em determinado momento, auxiliando no preenchimento de lacunas essenciais, avaliando riscos ainda não mensurados e identificando vulnerabilidades.

O controle interno, por si só, auxilia o gestor e toda a organização, pois é um instrumento de proteção e defesa dos indivíduos, trazendo maior conformidade, auxiliando na governança e orientando boas práticas.

----------------------