Programa de Gestão da Segurança da Informação e Privacidade de Dados é apresentado no TCE-RO
Por meio de videoconferência, integrantes do Comitê de Segurança da Informação e Comunicação (Cosic) apresentaram o programa aos membros do Tribunal
Criado pela Resolução n. 287/2019, o Comitê de Segurança da Informação e Comunicação (Cosic) do Tribunal de Contas (TCE-RO) realizou nessa terça-feira (14), por meio de videoconferência, a apresentação aos membros da Corte de ações, etapas já percorridas, medidas e procedimentos constantes do Programa Corporativo de Gestão da Segurança da Informação e Privacidade de Dados da Instituição, uma exigência da Lei Geral de Proteção de Dados do Brasil (LGPD).
Na reunião remota – procedimento adotado no TCE-RO em razão, principalmente, da crise sanitária causada pela pandemia –, inicialmente foram abordadas informações sobre o Comitê, envolvendo desde sua formação multissetorial, até o ciclo de implantação, incluindo capacitações realizadas pelos integrantes, etapas já percorridas e as que estão para ocorrer na busca por estruturar o ambiente de segurança da informação e privacidade de dados no âmbito da Corte.
POLÍTICA CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO
Quanto ao programa especificamente, foram detalhados seus dois eixos. O primeiro é promover a atualização da Política Corporativa de Segurança da Informação (PCSI), baseada na ISO 27002 – norma internacional que estabelece código de melhores práticas para apoiar a implantação de Sistemas de Gestão de Segurança da Informação (SGSI) em organizações, bem como, a criação de Políticas Inter-Relacionadas que complementam a PCSI.
Na exposição, além de histórico e conceitos sobre a Política Corporativa de Segurança da Informação, foi ainda citada a importância da criação de mencionado procedimento, uma vez que a estrutura corporativa e tecnológica governamental passaram a ser alvo de infratores cibernéticos (os chamados “hackers”).
A necessidade de zelar pela segurança de informações foi enfatizada na apresentação, já que a informação atualmente é considerada um dos ativos mais importantes, especialmente no setor público e, particularmente, nos Tribunais de Contas, que detêm grande manancial de informações, tendo, por sua vez, papel fundamental na proteção de dados dos cidadãos e dos órgãos jurisdicionados sob sua custódia.
PROGRAMA DE CONFORMIDADE À LGPD
Ainda quanto à segurança da informação, foi explorado o segundo eixo do Programa Corporativo de Gestão da Segurança da Informação e Privacidade de Dados, que é a implementação do Programa de Conformidade à Lei Geral de Proteção de Dados, denominada LGPD (Lei nº 13.709/2018), e que, segundo os integrantes do Comitê, estabelece regras claras às organizações sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo a aplicação de um padrão mais elevado de proteção de dados, e ainda, a aplicação de penalidades em caso desconformidade à norma.
Foram também mencionados os principais atores da lei: o titular dos dados, o agente de tratamento (controlador/operador), o encarregado responsável pela proteção dos dados (DPO) e a Autoridade Nacional de Proteção de Dados (ANPD), explicando, por meio de fluxograma, como se dá a inter-relação entre esses agentes.
Ainda quanto ao Programa de Conformidade, foram citadas as etapas que levarão à implantação da LGPD no TCE: conscientização e treinamento; “gap analysis” (mapeamento de dados); relatório de impacto; planejamento; implantação; acompanhamento; tratamento de incidentes com dados pessoais; gestão de requisições; gestão de contratos, e ainda, adequação dos processos de governança corporativa; implementação de um programa consistente de “compliance” digital; realização de investimento, atualização de ferramentas de segurança de dados, revisão documental, melhoria de procedimentos e fluxos internos e externos de dados pessoais; e a aplicação de mecanismos de controle e trilhas de auditoria e, acima de tudo, mudança de cultura.
Nesse último ponto, chamou-se a atenção para a necessidade de engajamento e participação ativa de todos os servidores nesse processo, uma vez que o TCE rondoniense deve se apresentar como modelo no que se refere ao preparo e desenvolvimento de pessoas, estruturas organizacionais e mecanismos de controle que envolvam segurança da informação e proteção de dados pessoais, demonstrando, assim, sua adesão e comprometimento de estar em conformidade às diretrizes legais.