Desde 2019, o Serpros vem implementando ações para se adequar às exigências da Lei Geral de Proteção de Dados (LGPD), levando maior proteção para os dados de seus colaboradores, participantes e parceiros. Após mais de 2 anos do início desse trabalho, a entidade lançou, em 28 de janeiro de 2021 – Dia Internacional da Privacidade – um Canal Interno com o DPO e a Cartilha LGPD para os empregados da entidade. O objetivo é fornecer informações sobre a aplicação prática da Lei na execução das tarefas diárias do Serpros.
A Presidente do Serpros, Ana Costi, explica que ainda em 2018, a Diretoria da entidade inclui no planejamento estratégico uma ação específica relativa à implementação da LGPD. “Em fevereiro de 2019, criamos o Projeto Proteção de Dados com um Grupo de Trabalho composto por advogados e representantes da área de TI, de governança e de benefícios. Assim começaram os trabalhos. No início, tivemos uma pequena consultoria para modelagem que nos definiu a linha mestra de atuação”, conta em entrevista ao Blog Abrapp em Foco.
A advogada da Gerência Jurídica do Serpros, Ana Paula Pimenta, assumiu a coordenação do Projeto Proteção de Dados em 2019, sendo nomeada em julho de 2020 Data Protection Officer (DPO), ou encarregada de dados da entidade. “Achávamos que seria necessária uma dedicação exclusiva da Ana Paula, e ela começou com as atividades específicas”, destaca Ana Costi.
Ações implementadas – A partir do início das ações de implementação da Lei no Serpros, foram feitos treinamentos com as equipes a respeito das exigências da LGPD. Também foi criada a Política Interna de Privacidade, que coloca diretrizes de como a privacidade vai ser tratada e direcionada dentro da entidade; a Política de Proteção de Dados Pessoais, expressando o comprometimento do Serpros com a LGPD; e o Termo de Privacidade, que dá transparência sobre o uso dos dados, dando transparência aos titulares. Foi revisada ainda a Política de Segurança da Informação para se adequar à LGPD. “A Gerência de Tecnologia da Informação trouxe um olhar mais preventivo, que colocou na Política de Segurança da Informação o que a Lei impõe”, explica a DPO Ana Paula Pimenta (foto ao lado).
Ana Paula diz que entre os papéis do DPO, um é orientar empregados, conforme disposto na legislação, que exige que se apresentem evidências de que a proteção de dados funciona nas empresas. Por isso, além de todas as documentações, foram criados o Canal Interno com o DPO e a Cartilha LGPD. “Há uma responsabilidade na apresentação dessas evidências. Como o DPO deixa claro, quando eventualmente tiver fiscalização, que está fazendo seu papel orientador? Então, criamos um canal com informações sobre o assunto e uma cartilha desmistificando o que é a LGPD”, conta. A Cartilha também traz informações e apresenta dicas práticas de segurança da informação e prevenção aos riscos de incidentes de segurança, demonstrando situações cotidianas em que devem ser observados os princípios da LGPD nas tarefas da entidade, entre outras informações.
O Canal Fale com DPO está disponível no site da entidade com informações sobre pedidos de dados, que pode ser feito gratuitamente, e por meio eletrônico, com um campo para perguntas e respostas onde são elucidados temas sobre a LGPD.
Os princípios da Lei também foram incluídos nos ciclos de análise de risco da entidade, deixando claro quais são os problemas de um descumprimento da LGPD em cada área. “Isso passa por todas as gerências”, destaca Ana Paula Pimenta. O Serpros também fez uma revisão de contratos e lançou o Plano Diretor de Tecnologia da Informação do Serpros; além de ter realizado testes de invasão nos sistemas da entidade, que serão periódicos, para aferir a segurança.
Conscientização – Ana Paula Pimenta ressalta que um dos trabalhos mais importantes é o de conscientização do corpo funcional. “Eu quero que os empregados entendam a importância disso na vida de todo mundo”, ressalta. Para facilitar esse projeto, foram realizadas lives sobre medidas de segurança para prevenção de crimes cibernéticos para as equipes do Serpros. “Não descartamos a hipótese de fazer de novo, além dos treinamentos que já fazemos e uma programação de cursos para dar mais conscientização sobre o assunto”, diz.
Para ela, o mais importante é que o projeto da LGPD foi top-down, partindo de uma iniciativa da Diretoria. “Muito do que a gente conseguiu se deve a esse fato do comprometimento da alta administração. Sem isso, esse projeto, que abrange todos os setores da empresa, não evoluiria. São atividades multidisciplinares para se adequar à Lei, e essa consciência da Diretoria Executiva foi muito importante”.
A Presidente do Serpros Ana Costi ressalta que o trabalho de educação de segurança e privacidade de dados é essencial e se estende aos Conselheiros das entidades, que receberam um comunicado interno da Diretoria sobre a importância desse cuidado em relação às informações estratégicas e dados pessoais. “Isso ajuda a Diretoria e a DPO no processo de estruturação de toda a casa”.
Próximos passos – Ana Costi destaca que a prioridade do Serpros agora é definir pontos focais em cada gerência, que serão pessoas que tratarão diretamente do tema com a DPO internamente. “Essas pessoas serão indicadas para falar com a Ana Paula, e assim ela poderá identificar novas demandas de cada setor. A DPO também faz parte da pauta da Diretoria, e pelo menos quinzenalmente participará das reuniões”.
Ana Paula Pimenta ressalta que esse é um trabalho contínuo que deve evoluir conforme as regulamentações da própria LGPD forem avançando. “Nosso mapeamento foi macro, e tentamos chegar em um ponto ideal para atender tudo que é possível. A fase de monitoramento virá depois que tudo estiver implementado. A LGPD é um ecossistema, e todos precisam estar adequados para ela funcionar”, reitera. “É um diferencial competitivo para qualquer empresa estar adequado à LGPD. É uma grande oportunidade”, reforça Ana Paula.
Ana Costi destaca que o Serpros atualmente está passando por um amplo processo de reformulação de normas e procedimentos, ajustando a cultura interna através de treinamentos e comunicações cotidianas voltados a fomentar a proteção de dados pessoais e o aperfeiçoamento da política de segurança da informação. “É um cuidado de passar para o participante que seus dados pessoais estão protegidos, e também mostrar para a patrocinadora que as devidas ações preventivas estão sendo tomadas para que o risco de vazamento de dados seja evitado”, declara.
