Notícia
Colégio de Presidentes debate Lei Geral de Proteção de Dados
Créditos: Arquivo CREA-RS
A Lei Geral de Proteção de Dados (LGPD) voltou a ser amplamente discutida pelo Colégio de Presidentes, na manhã desta sexta (2/7), em Cuiabá. Os avanços da iniciativa nos últimos três meses foram destacados, em diálogo conduzido pelo responsável pela área no Confea, Alessandro Bruno, e que contou com muito interesse por parte dos presidentes.
O presidente do Confea, Joel Krüger, afirmou que as sanções da lei entram em vigor em agosto. “Estamos sujeitos a eventuais penalidades, se não cumprirmos essa questão da proteção dos dados. Cada Crea tem que tomar uma série de ações. Cada órgão terá responsabilidade sobre essa questão. No Confea, o Alessandro Bruno deu essa unidade de ação para trabalharmos em conjunto. Os Creas estão trabalhando, em níveis diferentes. Normal também isso. Só que os Creas que estão atrás vão ter que correr. Já fomos cobrados em um relatório autodeclaratório onde o TCU solicitou informações. Colocamos o que não estávamos atendendo e o que estávamos. O TCU queria saber como estava o estágio de implementação. A gente começou alguns treinamentos, capacitações que os Creas também vão ter que fazer. Tudo é novo, mas estamos avançando bem”.
Data Protection Officer (DPO) do Confea, na terminologia em inglês, o assessor da presidência do Confea, Alessandro Bruno conduziu as discussões sobre o andamento da Lei Geral de Processamento de Dados (LGPD). “No último CP, nos comprometemos a dar apoio aos Creas. Estamos em contato com todos os Creas, com poucas exceções de ajuste. Algumas equipes estão em mudança, mas está todo mundo engajado no processo de implementação. Foi feito um esforço muito grande para ter a resposta dos Creas. O tempo é curto. O grupo foi formado. Todos os que responderam rápido estão nos grupos. Fizemos até um bate-papo no mesmo modelo das ouvidorias”.
Em sua apresentação, Alessandro descreveu um panorama da LGPD nos Creas. “Fizemos uma nota técnica com o passo a passo da implementação. O Centro-Oeste tem um maior volume de etapas finalizadas. E o Sul tem mais processos finalizados. Quanto mais rápido iniciar a maioria dos processos, melhor. O mapeamento de dados pessoais na etapa dois demanda muito tempo das equipes e é crítico. É precursor de uma série de atividades. No Confea, optamos por fazer todas as atividades possíveis em paralelo. A gente ainda está nesse processo, que é muito detalhado”.
Rede, guia e usos
Foi criada uma rede de implementação, por meio de um grupo WhatsApp que reúne 26 Creas, com 50 participantes. “Tem bastante discussão, é uma construção coletiva do que o CP tinha pedido para construir, um processo de forma estruturada e única. O site também tem toda a segurança necessária, tem os documentos que estamos criando. Tem uma planilha para fazer mapeamento de dados, quem quiser utilizar pode entrar. Os Creas podem acessar e colocar documentos também. Temos uma biblioteca com todos os materiais que suportem os nossos documentos como ABNT, TCU. Estamos seguindo as melhores práticas da iniciativa privada e do poder público para pautar as políticas que estamos estruturando”.
Alessandro Bruno acrescenta que foi feito um encontro sobre o tema. “Houve ‘feedbacks’ muito bons e daqui a 15 dias teremos outro para aprofundar o debate”. Ele também desataca uma ação proativa com o TCU. “Quando começamos o processo em março, respondemos um questionário autodeclatório do TCU. Não temos uma equipe dedicada, divido com outras funções. E nossa equipe multidisciplinar conseguiu avançar muito em três meses. O TCU diz que está começando pelas instâncias federais, mas depois irá para os regionais. Provavelmente, vocês vão ter um processo semelhante. Vamos avaliar isso juntos”.
Outro ponto é que o grupo concluiu o guia da LGPD. “Foi inspirado em outros guias. Temos bastante material envolvido. Ele faz parte dos trabalhos da nota técnica, quando a gente fala de cultura. É um dos itens que atendem requisitos”.
Também está sendo desenvolvida uma avaliação de fornecedores. “Havia a ideia de contratação de consultoria, o Confea ia dar um apoio. Estou conversando com fornecedores de todo o país, indicados pelos Creas. Estamos entendendo o que eles têm a oferecer e vou juntar com os diagnósticos de cada Crea para construir um termo de referência e junto com isso criar um processo de automação e gestão de dados”, disse, sugerindo o início imediato das respostas aos questionários.
Joel considerou que o Confea está fazendo aditivos em alguns contratos para incluir a LGPD, como o dos planos de saúde. “De maneira transversa, ela tem que ser aplicada. Mas, para não restar dúvidas, temos que ter aditivos por segurança. Nosso panorama de junho é bem diferente de março. Importante que os Creas deem uma atenção porque os órgãos de controle vão cobrar”, ressaltou.
Fluxo de informações
O presidente Carlos Alberto Kita Xavier (Crea-SC) parabenizou pela apresentação e questionou que a Mútua solicitou cadastro dos profissionais, querendo saber os riscos dos Creas de compartilhar esses dados, inclusive por meio de convênios com as prefeituras e instituições de ensino. Alessandro disse que a LAI convive com a LGPD. “Quando o trânsito de informações é pautado por entendimento legal, essa troca de informações é feita com segurança, segundo os normativos. Trocar uma lista de contatos não é permitido, a não ser que o dono dos dados permita. A autorização requer uma certa burocracia”. Sobre as penalizações, disse que algumas falavam sobre a LAI, se fosse exposto algo além do nome e salário. “Nesse caso, houve só um ajuste de condutas”.
A presidente Ana Adalgisa (Crea-RN) comentou que os convênios pedem a relação de reciprocidade de acesso aos sistemas. “Preciso olhar um desses convênios para ver como funciona. Qual é a ordem desse convênio”, comentou Alessandro, ao que o presidente Joel ponderou que o acesso à base de dados não pode ser integral, mas específico ao que interessa àquele convênio. “Nos nossos convênios, mesmo quando libere o acesso, a TI vai ter que colocar a restrição de que não acesse a base de dados, só o que interesse ao convênio. O Crea não pode liberar um dado não necessário. É preciso ter esse cuidado geral nos convênios”, interveio o presidente do Confea.
“O acesso ao dado é uma forma de tratamento. Só visualizar em tela é considerado acesso. O convênio tem que ter uma troca de informação. O ponto do convênio que precisa de atenção é a comunicação disso. Quem comunica para a base de interessados é o Crea, não é a instituição. A finalidade de comunicação e de compartilhamento de informações precisa de autorização”, ressaltou Alessandro, informando que o Confea está incentivando o acesso a cursos como o de segurança da informação. “O principal cuidado é a motivação, qual é o objetivo. Os dados devem ser oferecidos conforme aquele objetivo, em relação a um nível de acesso, que não pode ser mais amplo e geral, o que, na prática, vai dar mais trabalho para nós”, acrescentou Joel.
Em resposta ao presidente Ulisses Filho (Crea-PI), Alessandro Bruno ratificou que o trânsito de informações entre instituições públicas e não públicas está previsto na Lei, e é amplamente respaldado quando o motivo é justo. “A lei trabalha em cima da real necessidade, do objetivo digno, específico e fundado. Existem cláusulas que a gente está colocando nos nossos contratos, mas, em linhas gerais, a gente precisa fazer uma adequação nos contratos para prever o uso correto da informação. A LGPD olha só para dados pessoais, e alguns documentos não transitam na lei. São bastantes questões que vão dar um trabalho grande para a equipe jurídica e para os grupos que trabalham na Lei. Essas coisas precisam ser analisadas caso a caso”.
A LAI deu uma grande base para a LGPD, lembrou a presidente Rosa Tenório (Crea-AL). “E tem a lei da segurança fiscal. É preciso respeitar as leis. A LAI sobrepõe o uso para a área pública. Se a gente deixar as cláusulas bem previstas, acho que veio para ajudar bastante", considerou. “Não só para revisar os documentos, mas revisar as informações também”, apontou Alessandro.
Sitac
Vice-presidente do Crea-PA, Janilton Ugulino abordou a blindagem de informações do Sitac. “Queria entender como fica, caso haja vazamento de informações, em virtude de problemas do sistema, se a gente será penalizado por isso. Não sei como o Sitac está nos outros Creas. Deveríamos trabalhar a federalização do Sistema. O Confea devia pensar nessa padronização. Com uma entidade forte, a pressão na empresa é maior. O DPO não vai ser penalizado por uma informação ter sido vazada”, disse.
Antonio Aragão, presidente do Crea-PB, manifestou que as informações do Sitac não são acessíveis para conselheiros e colaboradores, que assinaram termos de obediência à LAI e à LGPD. “Ele trabalha com permissões, que são rastreáveis. E os colaboradores não têm acesso a tudo. Mas o Sitac tem acesso”. Joseval Carqueija, presidente do Crea-BA, concordou que há mesmo essa possibilidade de acesso pelos operadores. Aragão reforçou que há já, desde o primeiro contrato, essa confidencialidade, reforçada agora. Joel ponderou que toda vez que há contato de terceirizados aos dados, ele é legitimo.
“A lei não vai impedir isso. No caso da empresa que presta serviço ao Sitac, se ela vazar dados, tem que ser rastreada. Vamos contratar um terceirizado para fazer a auditoria dos dados da eleição da internet. Se ela vazar, vai ser responsabilizada. Não vamos ficar receosos. Indo para o Sitac, a gente sabe que tem Creas com problemas. Empresas estão tendo dificuldades em alguns Creas. Mas aí não é um problema da LGPD. É um problema administrativo. Mas claro que podemos ter todos os cuidados”, disse o presidente do Confea, reforçando, que está sendo desenvolvido por meio de um grupo técnico um sistema integrado pela base que atenda os 27 Creas.
O presidente do Crea-RJ, Luiz Cosenza, considerou que, com a LAI, qualquer profissional tem acesso a dados de profissionais e empresas, ao que a conselheira federal Andréa Brondani esclareceu que o Sistema Eletrônico de Informações (SEI) permite rastreabilidade absoluta do que é acessado.
Henrique Nunes
Equipe de Comunicação do Confea
