02/04/2025
TCE-PR. Tribunal de Contas aprimora sistema de proteção de dados pessoais previsto na LGPD
Notícia postada em 02/04/2025
O Tribunal de Contas do Estado do Paraná (TCE-PR) implantou seu Sistema de Privacidade e Proteção de Dados, composto por dez módulos que buscam adequar o órgão às diretrizes da Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018). A iniciativa abrange desde o mapeamento de dados pessoais sob custódia do TCE-PR e gestão de riscos, até treinamentos e comunicação sobre políticas de proteção de dados, além de prever mecanismos de resposta a incidentes.
O sistema foi desenvolvido ao longo de 12 meses pela Pironti Advogados e Consultores Associados, empresa especializada no tema, em parceria com o Comitê Gestor de Proteção de Dados e Segurança da Informação do TCE-PR.
“Embora o Tribunal já tivesse seus mecanismos de garantia em relação àquilo que prevê a LGPD, a caminhada nunca está concluída, ainda é longa dentro desse campo para termos toda a proteção de que precisamos. Hoje em dia, vazar um dado, tratar um dado de forma indevida, criar uma exposição, realmente pode trazer consequências bastante graves.”
— presidente do TCE-PR, conselheiro Ivens Linhares.
Encarregado de Dados do TCE-PR junto à Autoridade Nacional de Proteção de Dados (ANPD), o auditor de controle externo Evaldo Luís Moreno Silva lembra que a adequação à LGPD é um processo contínuo.
“Ela tem início, mas não tem fim. Temos que estar sempre adequados técnica e juridicamente e com pessoal para fazer frente a esse desafio, que é de todos.”
Evaldo acumula a função de coordenador do comitê responsável pela adequação do Tribunal à LGPD. A ANPD é a entidade reguladora encarregada de aplicar as sanções previstas na Lei nº 13.709/2018.
Referência e “farol”
O advogado Rodrigo Pironti, diretor da consultoria responsável pelo sistema, avalia que o modelo adotado pelo TCE-PR pode servir de exemplo para outros Tribunais de Contas brasileiros. Ele ressalta que o órgão tem potencial para ser um “farol” aos jurisdicionados, sobretudo aos municípios, no que se refere à LGPD:
“Os órgãos de controle têm papel importantíssimo de orientação e de cobrança.”
Na criação do Sistema de Privacidade e Proteção de Dados, oito profissionais da consultoria utilizaram metodologia baseada em normas nacionais e em boas práticas internacionais. Pironti comenta que o trabalho já iniciado pelo Tribunal contribuiu para a revisão de políticas administrativas e a organização de toda a documentação interna.
Ele salienta que a interpretação da lei é um dos grandes desafios atuais, pois, em alguns casos, a LGPD tem sido usada de forma indevida para reduzir a transparência de informações de interesse público, o que pode prejudicar o controle externo:
“A LGPD não é uma lei de sigilo e não revogou a Lei de Acesso à Informação. Ela não veio para prejudicar, mas para proteger e facilitar o trabalho dos órgãos públicos.”
Gestão de riscos
Para compor o Sistema de Privacidade e Proteção de Dados, foram avaliados todos os processos internos, o armazenamento de dados e o relacionamento com terceiros. No total, ocorreram 47 entrevistas, mapeamento de 133 macroprocessos, verificação de 72 ativos de armazenamento de dados pessoais e avaliação de 63 agentes classificados como terceiros.
Com base nessas análises jurídicas e de TI, resultaram 14 relatórios de impacto, apontando 476 riscos identificados (agrupados em 53 conjuntos de dados). A partir daí, foi elaborada a Matriz de Risco, seguindo a ISO 31000, norma internacional que define diretrizes para a gestão de riscos.
Módulos do Sistema de Privacidade e Proteção de Dados
1. Inventário de Dados e Matriz de Riscos
Mapeamento de todos os dados, macroprocessos, ativos e terceiros relacionados ao Tribunal, com avaliação de causas e consequências de possíveis eventos de risco.
2. Estrutura Organizacional
Revisão das estruturas ligadas à LGPD e elaboração do regimento interno do Comitê Gestor de Proteção de Dados e Segurança da Informação.
3. Política de Privacidade de Dados
Elaboração da nova política e revisão da política de segurança da informação, incluindo diretrizes sobre retenção e descarte de dados pessoais e uso de inteligência artificial no TCE-PR.
4. Resposta a Incidentes de Segurança
Criação de fluxos para relatar e solucionar casos de vazamento de dados pessoais, com análise objetiva dos incidentes e seus impactos.
5. Gestão de Terceiros
Definição de regras para compartilhamento de dados com fornecedores e parceiros, respeitando as finalidades e atribuições de cada um.
6. Direitos dos Titulares e Gestão do Consentimento
Regulamentação das obrigações do Tribunal em relação aos direitos dos titulares de dados pessoais, bem como aos pedidos de acesso.
7. Sistema de Segurança da Informação
Revisão jurídica para adequar as medidas do Tribunal à LGPD. Foram incluídos ajustes relativos a vulnerabilidades, backup, controle de vazamento de informações, configuração de senhas, diretrizes de acesso, gestão de servidores e uso de equipamentos.
8. Sistema de Transparência
Alinhamento entre a LGPD e a Lei de Acesso à Informação (Lei nº 12.527/2011), preservando o entendimento de que apenas a LAI pode determinar o sigilo de dados pessoais.
9. Redesenho de Processos
Revisão e criação de novas funcionalidades para aprimorar processos relacionados à proteção de dados no Tribunal.
10. Treinamento e Comunicação
Elaboração da Cartilha de Privacidade e Proteção de Dados de Acordo com a LGPD e oferta de capacitações internas presenciais e online.
Desse modo, o TCE-PR reforça seu compromisso com a proteção de dados pessoais, assegurando transparência de suas ações sem comprometer a privacidade dos envolvidos. O foco agora é a manutenção contínua do sistema, acompanhando as inovações tecnológicas e as atualizações legais, em alinhamento com a Autoridade Nacional de Proteção de Dados.
