Controladoria aponta alterações necessárias para assegurar o direito de informação ao titular sobre a finalidade do uso dos dados. Em resposta aos auditores, empresa pública se comprometeu com aprimoramentos.
Auditoria da Controladoria-Geral da União (CGU) publicada nesta semana recomenda que o Serviço Federal de Processamento de Dados (Serpro) faça ajustes em alguns dos seus principais contratos, para adequar a aplicação das boas práticas e normas de Segurança da Informação relacionadas a Lei Geral de Proteção de Dados (LGPD). Em resposta ao órgão, a empresa pública prevê aprimoramentos.
A análise levou em conta o exercício de 2022. Os contratos em questão são os firmados entre o Serpro e a Secretaria do Tesouro Nacional (STN) e a Receita Federal (RFB).
De acordo com a CGU, o contrato com o Tesouro, de Serviços Estratégicos de Tecnologia da Informação e Comunicação (TIC) “atende a boas práticas de gestão de segurança”, “porém, não há menção à gestão de logs, uma das principais ferramentas forenses para responsabilização no caso de incidentes de segurança da informação”.
Na Receita, o contrato “não está atualizado em relação aos principais temas de segurança da informação”, incluindo a gestão de logs; controles de acesso; gestão de backups; e LGPD. “Ademais, é importante a definição de requisitos de segurança da informação não só a nível de contrato, como também a nível de cada aplicação ou software de serviço do cliente”, complementa o relatório.
“As deficiências apontadas em relação aos contratos com a RFB e a STN podem gerar insegurança jurídica para ambas as partes em eventual ocorrência de um incidente de segurança da informação. A ausência de regras específicas também pode acarretar deficiências no tratamento de incidentes”, concluiu a auditoria.
Outro lado
Em resposta à CGU, o Serpro afirmou que cerca de 95% dos seus contratos possuem cláusulas específicas sobre a LGPD e segurança da informação e que o anexo específico sobre ‘Tratamento e Proteção de Dados Pessoais’ varia de acordo com os serviços contratados.
A empresa pública diz ainda que embora conte com textos de privacidade e segurança transcritos nas propostas comerciais, “envidará esforços” para que eles sejam levados aos termos contratuais.
Especificamente sobre o contrato com a Receita Federal, o Serpro afirmou que embora não haja um anexo específico sobre LGPD, “está em negociação com o órgão novo termo contratual, que vigerá a partir de outubro de 2023”, com seção específica sobre o tema.
Acesse a íntegra da auditoria neste link.
Capacitação para profissionais sobre LGPD
Com mais de 1.200 profissionais certificados pelo Brasil, a Certificação Assespro-RS para DPO é a melhor indicação para profissionais que buscam aprender sobre a Lei Geral de Proteção de Dados Pessoais e as funções e deveres dos DPOs nas empresas.
Com uma equipe de instrutores especializados, o curso de 20h é um intensivo para profissionais que precisam colocar em prática a adequação das empresas de forma rápida, ele é o primeiro salto que toda equipe responsável pela compliance deve fazer.
A próxima turma é em outubro, nas manhãs dos dias 23 a 27, das 8h às 12h.
O curso aborda em seus módulos:
- Contexto da Proteção de Dados no Brasil
- Princípios e Bases Legais
- Sanções e Vigência da Lei
- Riscos à Segurança da Informação
- Controles de Segurança
- Resposta à incidentes
- Privacy by Design e Privacy First
- Gerenciamento do ciclo de dados
- Ferramentas de gerenciamento para DPOs
- Pré-Requisitos para Implementação da LGPD
- Adequação/Criação de Políticas
- Cases de implementação
Mais informações e inscrições podem ser feitas no site: https://certificacaodpo26.eventize.com.br
- Fonte: Tele.Síntese.com
- Imagem: Freepik
- 31 de agosto de 2023
