Com o objetivo de garantir a segurança e a proteção de dados pessoais relacionadas a profissionais, fornecedores e parceiros, o Conselho Regional de Engenharia e Agronomia do Paraná (Crea-PR), criou o Comitê de Privacidade e Proteção de Dados. A iniciativa é resultado de um projeto de adequação à Lei Geral de Proteção de Dados Pessoais (LGPD) desde janeiro de 2020, conduzido por uma equipe multidisciplinar do Conselho, visando a otimização e, também, a criação de processos e procedimentos específicos de cada setor.
“Desde muito antes da implementação da Lei, o Crea-PR já vinha desenvolvendo várias melhorias internas para proteger os dados referentes à autarquia. Com a LGPD, formalizamos esses processos e desenvolvemos o projeto, dividido em várias etapas”, comenta a gerente do projeto de implantação da LGPD no Crea-PR, Tatiane Wollf Melo. “A sociedade exige compromisso e responsabilidade com dados pessoais, considerados agora como propriedade dos titulares. Uma vez que a gente obtém esses dados, precisamos seguir a regulamentação de manter a privacidade e principalmente a segurança”, acrescenta.
Inicialmente, o grupo fez um inventário do processo de dados, mapeando todos os processos e serviços existentes no Crea-PR e, com isso, identificando quais eram os dados pessoais que estavam neste contexto. Depois, o grupo focou na coleta e no tratamento dos dados, relacionando os locais de armazenamento, departamentos envolvidos e finalidades. Essa etapa inicial durou cerca de 19 meses, conforme explica a gerente do departamento de planejamento e controle interno do Crea-PR, Juliane Marafon.
“São milhões de dados de Anotações de Responsabilidade Técnica (ARTs), fiscalizações, registros de profissionais e empresas, entre outros. Os dados das ARTs, por exemplo, podem ser necessários muitos anos depois do registro para comprovações judiciais ou registro de imóveis. Portanto, além da proteção de um suposto vazamento de dados, garantir que esses dados permaneçam no nosso banco é de suma importância”, esclarece Juliane.
Nesse sentido, o projeto integrado também implementou um sistema de criticidade de senhas nos sistemas informatizados, exclusão de dados pessoais desnecessários e levantamento e adequação de 251 convênios e contratos, nos quais estão sendo inseridas cláusulas de tratamento de dados, outras ações como adequação de procedimentos envolvendo protocolos e processos também estão em andamento. Com o apoio do departamento jurídico, essa etapa também contemplou a estruturação de documentos conforme a LGPD, onde a equipe realizou a adequação e a elaboração de políticas, procedimentos e termos de consentimento, além de inserir cláusulas de tratamento de dados em todos os formulários on-line.
Para que isso ocorra na prática, envolvendo toda a capilaridade do Conselho no Paraná, a equipe envolvida no projeto também criou documentações, materiais educativos e orientativos e treinamentos para os colaboradores, sempre visando a continuidade do esforço empregado na padronização para a segurança dos dados.
“A segurança dos dados pessoais é um processo que não se finda com a implantação das diretrizes trazidas pela LGPD – Lei Geral de Proteção de Dados Pessoais. Para coordenar essas ações, está sendo instituído um Comitê de Privacidade e Proteção de Dados, que conta, além do DPO (Data Protection Officer, como é chamado o profissional encarregado de gerenciar os dados), com uma equipe multidisciplinar, para garantir que todos os aspectos dos processos estão sendo considerados. A capacitação da equipe também é uma ação que passará a ser integrada nas rotinas como forma de garantir a proteção dos dados que são coletados e tratados diariamente”, completa Juliane.
No total, desde janeiro de 2020, quando o projeto de proteção de dados começou a ser implementado no Conselho, o inventário de dados resultou na identificação de 172 processos e serviços, nos quais foram identificados os dados pessoais tratados, onde são armazenados, quais operações são realizadas com eles e quais medidas técnicas de segurança são aplicadas. Essa ação envolveu 35 setores do Conselho.
Dentre os documentos formatados para a orientação e a capacitação dos colaboradores, estão a Política de Segurança da Informação, que padroniza as melhores condutas para utilização de todo o sistema informatizado do Conselho; e a Política de Notificação de Incidentes de Segurança, que orienta sobre as medidas a serem tomadas nos casos em que o Conselho receba algum comunicado de vazamento de dados.
“É importante ressaltar que o Conselho está atento às exigências da LGPD e, com isso, fortalece as políticas de segurança de dados. Esse tema sempre recebeu nossa atenção, mas, agora, temos a estruturação oficial de um setor e pessoas capacitadas para lidar com situações cotidianas ou de crise”, finaliza o presidente do Crea-PR, Engenheiro Civil Ricardo Rocha.