Anais
Resumo do trabalho
Artigos Aplicados · Administração Pública
Título
Relatório de Impacto à Proteção de Dados Pessoais: análise da aplicabilidade do framework proposto pelo Programa de Privacidade e Segurança da Informação ao contexto da UFMG
Palavras-chave
Lei Geral de Proteção de Dados
Privacidade
Segurança da Informação
Autores
-
Jose Guilherme Magalhães e SilvaUNIVERSIDADE FEDERAL DE MINAS GERAIS (UFMG)
-
Terezinha Vitoria de SilvaUniversidade Federal de Minas Gerais
-
Octávio Valente CamposUNIVERSIDADE FEDERAL DE MINAS GERAIS (UFMG)
Resumo
Introdução
O artigo emprega o modelo de avaliação de impacto à proteção de dados pessoais para revelar conhecimentos à respeito das medidas para adequação à LGPD no âmbito da UFMG, com ênfase na elaboração do Relatório de Impacto à Proteção de Dados Pessoais. Apresenta-se: o contexto investigado (a legislação e a estrutura organizacional); o diagnóstico da situação, no que tange à existência das ferramentas de proteção, aos processos com tratamento de dados pessoais e aos desafios enfrentados; a intervenção proposta para promover a conformidade; os resultados; a Contribuição Tecnológica-Social.
Contexto Investigado
A LGPD e demais normativos correlatos apresentam medidas a serem adotadas pela UFMG, enquanto controladora, incluindo a elaboração do Relatório de Impacto à Proteção de Dados, previsto no Programa de Privacidade e Segurança da Informação – PPSI. Na estrutura organizacional da UFMG, papeis de destaque no processo de conformidade à LGPD são de competência da Encarregada, que, nessa condição, solicitou serviços consultivos junto à unidade de auditoria interna governamental para identificar uma estrutura de relatório adequada.
Diagnóstico da Situação-Problema
Com fulcro em sites e documentos institucionais, diálogo com a Encarregada e dados empíricos, os principais problemas e desafios enfrentados pela UFMG são: a quantidade e variedade de processos e serviços com tratamento de dados pessoais; o grau inicial de adequação observado pelo TCU; a ausência de inventário prévio de dados pessoais, de um Programa de Governança em Privacidade, de programas de conscientização e treinamento e de uma metodologia de gestão de riscos.
Intervenção Proposta
Com o objetivo de elaborar o Relatório de Impacto à Proteção de Dados Pessoais, foram adotados os seguintes mecanismos: (i) formação de um projeto-piloto, composto por processos e serviços prioritários; (ii) desenvolvimento de um fluxo de trabalho replicável baseado em Business Process Modeling Notation (iii) elaboração do Inventário de Dados Pessoais por meio de análise documental, preenchimento pelas unidades gestoras e reuniões de facilitação; (iv) elaboração do RIPD com base em análise documental e metodologia de avaliação de riscos.
Resultados Obtidos
Foram elaborados: (i) oito inventários de dados pessoais Sistema de Seleção Unificada (SISU); Processo Seletivo do Colégio Técnico (COLTEC); Processo Seletivo do Centro Pedagógico (CP); Vestibular “Habilidades”; Processo Seletivo do Teatro Universitário (TU); Admissão de servidores docentes; Admissão de servidores técnico-administrativos e; Acompanhamento Pedagógico; (ii) quatro Relatórios de Impacto à Proteção de Dados Pessoais (DRCA, PRORH, COPEVE e NAI); (iii) e um fluxo replicável a ser utilizada em posterior expansão do trabalho.
Contribuição Tecnológica-Social
Os resultados do trabalho representam a implementação pela UFMG de dois importantes controles (19 e 30) previstos no PPSI. A institucionalização dos controles internos contribui para a mitigação de riscos como incidentes de vazamento e tratamento não lastreado em hipótese legal. Caso haja vazamento, os instrumentos contribuem para a rápida detecção de causas e pontos de fragilidade. Sob o viés social, as medidas de adequação à LGPD colaboram para a proteção de direitos fundamentais de liberdade e de privacidade e para o livre desenvolvimento da personalidade da pessoa natural.