Módulo 4 - LGPD e Serpro

1. Organização da empresa e implementação da

LGPD

Ouça o Episódio 8 do Podcast LGPD Serpro!

Uma conversa com Ulysses Machado sobre as fases de implementação da LGPD

no Serpro e sua organização.

Tema: As 5 fases de implementação da LGPD

Convidado: Ulysses Machado

https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo04_podcast01.mp3

Mais do que atender ao dever de adequação à LGPD, o Serpro se organiza e se

firma como referência em proteção e tratamento de dados pessoais no setor
público.

O planejamento realizado pela equipe de implementação pressupõe 5 fases,

com desdobramentos em etapas e produtos, como o Manual Jurídico de
Privacidade, o modelo de Governança de Dados, o Plano de Treinamento e o
Programa de Privacidade.

Veja o detalhamento de cada uma das 5 fases:

1. Preparação

É uma fase de avaliação, diagnóstico e inventário da situação em vigor na

organização.

O primeiro passo foi construir um diagnóstico, por meio de questionários que

subsidiarão, na etapa seguinte, oficinas de alinhamento e complementação.

Também foi elaborado um manual jurídico integrando leis de privacidade,

inclusive estrangeiras, doutrina e decisões relacionadas com privacidade e
proteção de dados. O manual é de acesso corporativo, com perfis de usuário e
de administrador – que corresponde ao perfil responsável por atualizar e revisar
o manual. O usuário pode consultar o manual com busca relacional em cada
uma das três dimensões: lei, doutrina e decisões.

Foi realizado, ainda, levantamento de riscos com equipe multidisciplinar que

identificou, de início, 156 riscos. A análise crítica desses riscos, identificando
dentre eles os que eram causa ou consequência, reduziu os riscos de
implementação para o quantitativo de 7 (sete) riscos, com os respectivos
controles/tratamentos, que serão referência para a construção dos relatórios de
impacto e também para as análises de risco posteriores.

Criou-se, ademais, o Escritório de Governança de Dados, com a função de

identificar a localização de todas as bases de dados que contenham dados
pessoais, centralizar seus metadados, classificar esses dados – pessoais,
sensíveis, de menores etc. – e garantir adequado controle de acesso. O
Escritório também realizou o Mapeamento do Fluxo de Dados.

Foi realizada a adequação das políticas de Segurança da Informação e de

Governança de Dados aos princípios da LGPD e, além disso, está em fase de
aprovação final a Política de Privacidade e o Programa de Privacidade, tudo
construído em cooperação com a Área de Segurança da Informação e as demais
áreas da Empresa, colaboração essencial para a conclusão do Programa Serpro
de Privacidade.

Os planos de implementação da Fase 1 serão construídos no decorrer da Fase 2

e serão executados no início da Fase 3.
2. Organização

Fase caracterizada principalmente pelo engajamento e arregimentação dos

esforços necessários à conformidade.

A manutenção do Programa de Privacidade e da Política de Segurança à

Privacidade teve início com a implementação da Rede LGPD: uma Rede Social
Corporativa que agrega os efetivamente envolvidos nas atividades, com a “mão
na massa”. A Rede LGPD não é mera forma de publicidade. É ferramenta de
trabalho e organização para que os voluntários distribuam, pelo corpo
funcional, os princípios e fundamentos da Política de Segurança à Privacidade.

A designação do Encarregado : são três pessoas naturais, responsáveis, cada

uma, pela atuação técnica, pela atuação jurídica e de conteúdo; e pelo
inter-relacionamento com entidades externas – clientes, cooperações, parcerias
e educação.

A Fase de Organização é também aquela em que é promovido o engajamento

da alta liderança, independentemente dos esforços realizados na Fase de
Preparação. Aqui foram feitos treinamentos e apresentações para a Diretoria,
para o Diretor-Presidente, para o Comitê de Auditoria e para o Conselho de
Administração.

O engajamento corporativo foi e seguirá sendo feito a partir de seminários,

eventos, palestras, cursos, comunicação e marketing, já iniciados desde a Fase 1,
em abril de 2019. Tais esforços incluem a página Serpro e a comunidade LGPD,
aberta aos empregados, a Cartilha de Privacidade e os vídeos institucionais.

O engajamento dos conselhos (Administração, Fiscal, COAUD) e dos

fornecedores e clientes também será realizado a partir de oficinas externas e
ações de marketing.

Com a conclusão desta Fase, teremos a implementação de um Sistema de

Gestão de Privacidade e da Informação - SGPI: uma sistemática clara e
mapeada do que está sendo feito, como, quando e quem são os responsáveis e
executores. "Sistema” aqui, tem o mesmo significado utilizado no modelo ISO
27001, quando se refere ao Information Security Management System – ISMS. É
uma garantia de processo de trabalho claro e rastreável e não um “sistema de
TI”.
Há, de forma independente, um esforço para que o dashboard desse Sistema
esteja integrado na plataforma Archer, adquirida pelo Serpro e em fase de
implantação.

3. Implementação

É a fase de execução dos planos de implementação desenvolvidos na Fase

anterior, envolvendo corpo funcional, gestão, clientes e fornecedores, com:

● Definição dos procedimentos de aprovação para tratamento de dados -

Encarregado + Governança de Dados.
● Registro das databases que contêm dados pessoais - Governança de
Dados.
● Alinhamento dos serviços de transferência internacional de dados com o
cliente RFB.
● Integração de todas as atividades de Proteção de Dados e Privacidade
com os diversos responsáveis e o Encarregado - DPO.
● Execução dos planos de treinamento.
● Implementação dos controles definidos pela Governança de Dados: o
Programa de Privacidade e as Regras de Governança de Dados compõem
a Governança de Privacidade e Proteção de Dados.

4. Governança

Fase caracterizada pela plena atuação da Governança de Privacidade como

um todo, conduzida pelo Encarregado - DPO e alinhada com a Rede LGPD e o
corpo funcional, ou seja, serão implementadas as práticas de Gestão de Uso de
Dados.

A implementação do canal de comunicação com o Titular dos dados pessoais

será dúplice: tanto pela plataforma de tratamento (PDC - Plataforma Digital do
Cidadão), como por canal de comunicação e tratamento interno de demandas,
a exemplo do eOuve, com execução dos processos de retificação, requisição,
reclamação/tratamento, etc., em atendimento ao titular.
Também será executada nova avaliação de Riscos de Privacidade e Tratamento
de Dados, a exemplo do que foi realizado na fase anterior, e estarão definidos, a
partir da ferramenta Archer, os documentos que serão emitidos: relatórios de
risco, relatórios de conformidade, relatórios de tratamento de incidentes de
privacidade, relatórios de impacto etc.

Em plena integração com a área de segurança, mas também com as demais

áreas que tratam incidentes com possível reflexo em privacidade (SUPCD, CCD,
SUPGP, Forense, SUPGL e outras), estarão definidas as formas de tratamento de
incidentes de violação de dados pessoais, inclusive com a realização de
simulação de cenários.

5. Avaliação

A Fase 5 corresponderá à fase perpétua de condução do Ciclo de Melhoria

Contínua (PDCA), com:

● Sistematização rotineira de auditorias internas e processos de auditoria

externa, especificamente para Proteção de Dados e Privacidade.
● Realização de benchmarking e avaliações internas periódicas.
● Geração periódica do relatório de impacto e sua disponibilidade para
informação à Autoridade Nacional de Proteção de Dados.
● Tratamento cíclico de riscos.
● Elaboração de relatório final dos riscos de implementação do projeto e de
sua continuidade.
● Atualização do Manual Jurídico, implementado na Fase 1.

2. Soluções LGPD
Com a entrada em vigor da Lei Geral de Proteção de Dados, o Serpro se torna
referência para Agentes de Tratamento do setor público e privado, oferecendo
soluções que garantam o tratamento de dados em conformidade com a LGPD e
que também deem conta do fluxo de atendimento às demandas que virão dos
titulares.
A Plataforma Digital do Cidadão oferece soluções nas vertentes Identificação,
Gestão do consentimento, Tratamento dos direitos do titular, Auditoria e
conformidade, Educação e certificação.

Identificação
Com a correta identificação do Titular, o Agente de Tratamento garante o
atendimento às demandas do Titular, sem o risco de informar a terceiros,
gerando, assim, violação de dados.

Consentimento
A gestão do consentimento, nos casos em que essa seja a base legal utilizada,
garante recursos para que o Agente de Tratamento demonstre o consentimento
e gerencie revogações e alterações demandadas pelo Titular, inclusive
"portabilidade" quando for caso.

Uso de dados
Garantia do adequado tratamento de todos os direitos do Titular, de acordo
com cada uma das possíveis bases legais. Além do atendimento às hipóteses de
informação aos titulares e autoridades competentes a respeito do uso
compartilhado de dados, transferências internacionais, e possíveis incidentes de
segurança e de violação de dados.

Auditoria e Conformidade
A solução completa e adequada à legislação deve garantir auditoria e
rastreabilidade ao trabalho do Agente de Tratamento.

Capacitação
Desenvolvimento de treinamento e certificação de profissionais e de pessoas
jurídicas.

A modularização das soluções permite a contratação segmentada dessas

funcionalidades, eliminando o risco de o cliente adquirir módulos de que não
necessita ou de deixar de adquirir por causa de funcionalidades com as quais já
conta. A imagem a seguir apresenta a integração dos módulos na Plataforma
Digital do Cidadão.
 Plataforma Serpro LGPD

Tanto a evolução e contratação dessas soluções quanto informações, artigos e

atualizações referentes à privacidade e tratamento de dados podem ser
acompanhados no Portal Serpro LGPD.

Portal Serpro LGPD

 Ouça o Episódio 9 do Podcast LGPD Serpro!

Uma conversa com Ulysses Machado, especialista em LGPD no Serpro, sobre o

que microempreendedores e autônomos devem fazer para agir em
conformidade com a LGPD.

Tema: LGPD nas micro e pequenas empresas

Convidado: Ulysses Machado

https://cdn.evg.gov.br/cursos/603_EVG/podcast/modulo04_podcast02.mp3

E então... O Serpro reafirma seu compromisso em ser referência no tratamento

de dados pessoais!

https://cdn.evg.gov.br/cursos/603_EVG/videos/modulo04_video01.mp4

Convidamos você a realizar as atividades avaliativas do curso e aguardamos sua

participação nos cursos da Plataforma LGPD Educacional.