A Lei Geral de Proteção de Dados (LGPD) - Lei nº 13.709/2018 - trouxe um novo paradigma para o tratamento de dados pessoais no Brasil, impactando todos os setores, inclusive as instituições públicas. No âmbito das Defensorias Públicas, que lidam com informações sensíveis de cidadãos em situação de vulnerabilidade, a conformidade com a LGPD é de extrema relevância, exigindo um planejamento rigoroso e a implementação de medidas técnicas e organizacionais adequadas.
Este artigo apresenta um checklist completo para auxiliar as Defensorias Públicas na adequação à LGPD, abordando desde a governança de dados até a resposta a incidentes de segurança, com foco na legislação e nas melhores práticas do mercado.
1.1. Nomeação do Encarregado de Proteção de Dados (DPO)
O primeiro passo para a adequação à LGPD é a nomeação de um Encarregado de Proteção de Dados (DPO), conforme previsto no art. 41 da Lei. O DPO deve ser um profissional com conhecimento da legislação e das práticas de proteção de dados, responsável por:
- Atuar como canal de comunicação entre a Defensoria, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD);
- Orientar os colaboradores e as áreas da Defensoria sobre as melhores práticas de proteção de dados;
- Receber e analisar as solicitações dos titulares de dados;
- Acompanhar e orientar a implementação de medidas de segurança da informação;
- Elaborar relatórios de impacto à proteção de dados (RIPD) e relatórios de atividades.
1.2. Criação do Comitê de Privacidade e Proteção de Dados
A constituição de um Comitê de Privacidade e Proteção de Dados, composto por representantes de diferentes áreas da Defensoria, é fundamental para garantir a transversalidade da pauta e a efetividade das ações. O Comitê deve:
- Apoiar o DPO na implementação e monitoramento da LGPD;
- Promover a cultura de privacidade e proteção de dados na instituição;
- Avaliar e aprovar políticas, procedimentos e normativos internos relacionados à LGPD;
- Analisar e deliberar sobre incidentes de segurança da informação.
1.3. Elaboração e Atualização de Políticas e Procedimentos
A Defensoria deve elaborar e atualizar políticas e procedimentos internos relacionados à privacidade e proteção de dados, como:
- Política de Privacidade e Proteção de Dados;
- Política de Segurança da Informação;
- Política de Retenção e Descarte de Dados;
- Procedimento de Resposta a Incidentes de Segurança;
- Procedimento de Atendimento às Solicitações dos Titulares de Dados.
2.1. Inventário de Dados Pessoais
A Defensoria deve realizar um inventário completo dos dados pessoais tratados, identificando:
- Os tipos de dados coletados (nome, CPF, endereço, dados de saúde, etc.);
- A finalidade do tratamento (atendimento, pesquisa, estatística, etc.);
- A base legal que autoriza o tratamento (consentimento, cumprimento de obrigação legal, execução de políticas públicas, etc.);
- Os sistemas e plataformas onde os dados estão armazenados;
- O ciclo de vida dos dados (coleta, armazenamento, uso, compartilhamento, descarte).
2.2. Avaliação de Impacto à Proteção de Dados (AIPD)
A AIPD é um instrumento fundamental para identificar e mitigar os riscos à privacidade e proteção de dados em processos de tratamento de alto risco. A Defensoria deve realizar AIPDs sempre que implementar novas tecnologias, processos ou projetos que envolvam o tratamento de dados pessoais em larga escala ou de dados sensíveis.
3.1. Segurança da Informação
A Defensoria deve implementar medidas de segurança da informação para proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Entre as medidas recomendadas, destacam-se:
- Controle de acesso lógico e físico;
- Criptografia de dados;
- Backup e recuperação de dados;
- Monitoramento e auditoria de sistemas e redes;
- Treinamento e conscientização em segurança da informação.
3.2. Gestão de Fornecedores e Contratos
A Defensoria deve garantir que seus fornecedores e prestadores de serviços também estejam em conformidade com a LGPD. Para isso, é necessário:
- Incluir cláusulas de proteção de dados nos contratos;
- Realizar auditorias e avaliações periódicas nos fornecedores;
- Exigir comprovação de adequação à LGPD por parte dos fornecedores.
IV. Direitos dos Titulares de Dados
A LGPD garante aos titulares de dados diversos direitos, como o acesso, a retificação, a anonimização, o bloqueio, a eliminação, a portabilidade e a revogação do consentimento. A Defensoria deve garantir o exercício desses direitos, disponibilizando canais de atendimento e estabelecendo procedimentos claros e eficientes para o tratamento das solicitações.
V. Resposta a Incidentes de Segurança
A Defensoria deve estar preparada para responder a incidentes de segurança da informação que envolvam dados pessoais. O procedimento de resposta deve incluir:
- Identificação e contenção do incidente;
- Avaliação dos danos e riscos aos titulares de dados;
- Comunicação à ANPD e aos titulares de dados, quando necessário;
- Implementação de medidas corretivas e preventivas.
Conclusão
A conformidade com a LGPD é um desafio constante para as Defensorias Públicas, mas é essencial para garantir a proteção dos dados pessoais dos cidadãos e a credibilidade da instituição. O checklist apresentado neste artigo serve como um guia para auxiliar na implementação das medidas necessárias, mas é importante ressaltar que a adequação à LGPD é um processo contínuo que exige o engajamento de todos os colaboradores e a atualização constante das práticas de privacidade e proteção de dados.
Aviso: Este artigo tem caráter informativo e didático. Deve ser verificado e adaptado a cada caso concreto por profissional habilitado. Acesse minuta.tech para mais recursos.