LGPD: Auditoria da CGU recomenda ajustes nos principais contratos do Serpro

Controladoria aponta alterações necessárias para assegurar o direito de informação ao titular sobre a finalidade do uso dos dados. Em resposta aos auditores, empresa pública se comprometeu com aprimoramentos.

Auditoria da Controladoria-Geral da União (CGU) publicada nesta semana recomenda que o Serviço Federal de Processamento de Dados (Serpro) faça ajustes em alguns dos seus principais contratos, para adequar a aplicação das boas práticas e normas de Segurança da Informação relacionadas a Lei Geral de Proteção de Dados (LGPD). Em resposta ao órgão, a empresa pública prevê aprimoramentos. 

A análise levou em conta o exercício de 2022. Os contratos em questão são os firmados entre o Serpro e a Secretaria do Tesouro Nacional (STN) e a Receita Federal (RFB). 

De acordo com a CGU, o contrato com o Tesouro, de Serviços Estratégicos de Tecnologia da Informação e Comunicação (TIC) “atende a boas práticas de gestão de segurança”,  “porém, não há menção à gestão de logs, uma das principais ferramentas forenses para responsabilização no caso de incidentes de segurança da informação”. 

Na Receita, o contrato “não está atualizado em relação aos principais temas de segurança da informação”, incluindo a gestão de logs; controles de acesso; gestão de backups; e LGPD. “Ademais, é importante a definição de requisitos de segurança da informação não só a nível de contrato, como também a nível de cada aplicação ou software de serviço do cliente”, complementa o relatório. 

“As deficiências apontadas em relação aos contratos com a RFB e a STN podem gerar insegurança jurídica para ambas as partes em eventual ocorrência de um incidente de segurança da informação. A ausência de regras específicas também pode acarretar deficiências no tratamento de incidentes”, concluiu a auditoria.

Outro lado

Em resposta à CGU, o Serpro afirmou que cerca de 95% dos seus contratos possuem cláusulas específicas sobre a LGPD e segurança da informação e que o anexo  específico sobre ‘Tratamento e Proteção de Dados Pessoais’ varia de acordo com os serviços contratados.

A empresa pública diz ainda que embora conte com textos de privacidade e segurança transcritos nas propostas comerciais, “envidará esforços” para que eles sejam levados aos termos contratuais. 

Especificamente sobre o contrato com a Receita Federal, o Serpro afirmou que embora não haja um anexo específico sobre LGPD, “está em negociação com o órgão novo termo contratual, que vigerá a partir de outubro de 2023”, com seção específica sobre o tema.

Acesse a íntegra da auditoria neste link.


Capacitação para profissionais sobre LGPD

Com mais de 1.200 profissionais certificados pelo Brasil, a Certificação Assespro-RS para DPO é a melhor indicação para profissionais que buscam aprender sobre a Lei Geral de Proteção de Dados Pessoais e as funções e deveres dos DPOs nas empresas. 

Com uma equipe de instrutores especializados, o curso de 20h é um intensivo para profissionais que precisam colocar em prática a adequação das empresas de forma rápida, ele é o primeiro salto que toda equipe responsável pela compliance deve fazer. 

A próxima turma é em outubro, nas manhãs dos dias 23 a 27, das 8h às 12h. 

O curso aborda em seus módulos:

  • Contexto da Proteção de Dados no Brasil
  • Princípios e Bases Legais
  • Sanções e Vigência da Lei
  • Riscos à Segurança da Informação
  • Controles de Segurança
  • Resposta à incidentes
  • Privacy by Design e Privacy First
  • Gerenciamento do ciclo de dados
  • Ferramentas de gerenciamento para DPOs
  • Pré-Requisitos para Implementação da LGPD
  • Adequação/Criação de Políticas
  • Cases de implementação

Mais informações e inscrições podem ser feitas no site: https://certificacaodpo26.eventize.com.br

 

 

 

  • Fonte: Tele.Síntese.com
  • Imagem: Freepik
  • 31 de agosto de 2023