Na última semana, o Serpro recebeu os resultados da auditoria realizada pelo Tribunal de Contas da União. O TCU examinou as ações governamentais e os riscos à proteção de dados pessoais, a partir de diagnóstico sobre a implementação dos controles estabelecidos pela Lei Geral de Proteção de Dados Pessoais (LGPD). A empresa atingiu o nível “aprimorado”, e se destacou ao integrar o seleto grupo de 3% das 382 organizações públicas federais no patamar mais alto da avaliação.

De acordo com o diretor Jurídico e de Governança e Gestão e também DPO do Serpro, André Sucupira, após a avaliação do Tribunal, a empresa continuou trabalhando para avançar ainda mais, principalmente, no registro das atividades de tratamento, mapeando e registrando todos os processos que tratam dados pessoais. "Com esse mapeamento dos processos, priorizamos os mais críticos e atuamos para realizar os inventários das atividades de tratamento, implantando para isso o sistema RAT Digital. Ainda fizemos a integração do tratamento de violação de dados pessoais ao processo de gerenciamento de incidentes", analisou Sucupira.

Avaliação do TCU

O Serpro obteve o valor 0,85 para o indicador de adequação, o que corresponde ao nível “Aprimorado”, onde o nível máximo é 1. O resultado também leva em consideração os valores referentes a cada uma das dimensões do questionário do TCU, são elas:

• Preparação
• Contexto Organizacional
• Liderança
• Capacitação
• Conformidade do Tratamento
• Direitos do Titular
• Compartilhamento de Dados Pessoais
• Violação de Dados Pessoais
• Medidas de Proteção

Comparação entre as instituições

Para possibilitar a comparação com as organizações auditadas, em relação ao nível de adequação à LGPD, um subconjunto de 42 questões foi escolhido para compor um indicador, elaborado com o intuito de resumir as respostas fornecidas por cada empresa. A partir dos valores do indicador, foram definidos quatro níveis de adequação à LGPD: “Inexpressivo” (indicador menor ou igual a 0,15), “Inicial” (indicador maior do que 0,15 e menor ou igual a 0,5), “Intermediário” (indicador maior do que 0,5 e menor ou igual a 0,8) e “Aprimorado” (indicador maior do que 0,8).

Foi realizada uma análise comparativa dos valores obtidos pela empresa em cada dimensão do questionário, entre os valores médios do conjunto das 382 organizações avaliadas: 17,8% classificadas como Inexpressivas; 58.9% Inicial; 20,4% Intermediária e somente 2,9% no nível Aprimorado.

Ações para 2023

"Para 2023, vamos continuar evoluindo os inventários das atividades de tratamento, até chegarmos a 100%. É uma tarefa que envolve toda a empresa e será importante para melhorar outros quesitos, como o registro de finalidade, base legal e análise de conformidade com os princípios da LGPD. Isso nos levará a atender mais três quesitos da metodologia do TCU", acrescentou o diretor e DPO do Serpro.

Para André Sucupira, a tarefa agora é ainda mais desafiadora. "Alguns quesitos demandam um amadurecimento maior da empresa, envolvendo uma orquestração com várias áreas. Por exemplo, em 2023, também teremos o desafio de incrementar soluções técnicas, como o registro de eventos de compartilhamento e de tratamento de dados pessoais, com a possibilidade de fornecer ao titular de dados consultas automatizadas", afirmou. O diretor informou que este é um projeto que deverá iniciar em 2023 e sua conclusão poderá se estender para 2024. "Será um passo de amadurecimento importante e de maior diálogo com o titular de dados, e nos permitindo atender também a mais dois quesitos da avaliação do TCU", concluiu.