TCE-PR emite recomendações para 12 órgãos estaduais cumprirem a LGPD
Estadual
Com o intuito de auxiliar 12 órgãos da administração pública estadual do Paraná a ficarem em conformidade com as disposições expressas na Lei Geral de Proteção de Dados (Lei nº 13.709/2018), o Pleno do Tribunal de Contas do Estado (TCE-PR) emitiu oito recomendações às entidades, as quais devem ser cumpridas por todas elas em alguma medida dentro de 180 dias.
A LGPD, como é mais conhecida, estabelece a forma com que os responsáveis pela manutenção de dados pessoais, inclusive as entidades governamentais, devem tratar tais informações, sobretudo em sistemas baseados na tecnologia da informação, a fim de assegurar os direitos fundamentais à liberdade e à privacidade dos cidadãos.
As orientações são voltadas às seguintes instituições: Fundação Araucária, Invest Paraná, Instituto de Tecnologia do Paraná (Tecpar), Sistema de Tecnologia e Monitoramento Ambiental do Paraná (Simepar), Superintendência-Geral de Ciência, Tecnologia e Ensino Superior (Seti), Universidade Estadual de Londrina (UEL), Universidade Estadual de Maringá (UEM), Universidade Estadual de Ponta Grossa (UEPG), Universidade Estadual do Centro-Oeste do Paraná (Unicentro), Universidade Estadual do Oeste do Paraná (Unioeste), Universidade Estadual do Norte do Paraná (UENP) e Universidade Estadual do Paraná (Unespar).
Todas as medidas, que estão detalhadas no quadro abaixo, foram indicadas pela Sétima Inspetoria de Controle Externo (7ª ICE), após a unidade técnica do TCE-PR promover, entre abril e novembro de 2021, auditoria sobre o tema junto aos 12 referidos órgãos. Como resultado, a equipe responsável pela atividade concluiu que "as entidades fiscalizadas carecem da implantação de requisitos de governança da tecnologia da informação (TI), em desconformidade com o disposto na LGPD".
Decisão
O processo de Homologação de Recomendações foi relatado pelo superintendente da 7ª ICE, conselheiro Ivens Linhares, que corroborou todas as sugestões feitas pela inspetoria, manifestando-se ainda pelo encaminhamento de cópia da decisão à Controladoria-Geral do Estado (CGE), para ciência.
Os demais membros do Tribunal Pleno do TCE-PR acompanharam, de forma unânime, o voto do relator na sessão ordinária nº 12/2022, realizada por videoconferência em 20 de abril. Cabe recurso contra o Acórdão nº 963/22 - Tribunal Pleno, publicado no dia 28 de abril, na edição nº 2.756 do Diário Eletrônico do TCE-PR (DETC).
Resolução
A partir da vigência da Resolução nº 73/2019 do TCE-PR, todos os procedimentos resultantes de trabalhos fiscalizatórios realizados pelo Tribunal têm como ponto de partida a elaboração, pela unidade técnica responsável, de um Relatório de Fiscalização. Caso este apresente apenas sugestões de medidas para sanar impropriedades encontradas na gestão da entidade pública em questão, é instaurado processo de Homologação de Recomendações.
A medida tem como objetivo dar maior rapidez à implementação dessas iniciativas, indicadas apenas nos casos em que não são encontradas irregularidades de maior gravidade, que demandem a emissão de determinações ou a aplicação de sanções - situações ainda contempladas pelos processos de Representação e Tomada de Contas Extraordinária.
RECOMENDAÇÕES PARA OS ÓRGÃOS ESTADUAIS
|
Instituir, divulgar e monitorar um código de ética para a organização, a fim de dar atendimento à legislação.
|
|
Instituir formalmente um comitê de TI (ou colegiado equivalente), composto por representantes de áreas relevantes da organização.
|
|
Criar uma estrutura de gestão de riscos de TI.
|
|
Definir formalmente diretrizes para a avaliação do desempenho de serviços de TI por meio de indicadores.
|
|
Elaborar Plano de Continuidade de Negócio de Tecnologia da Informação, Plano de Segurança da Informação e Política de Privacidade para Proteção de Dados Pessoais.
|
|
Criar planos de divulgação, aos titulares de dados pessoais, de informações claras e facilmente acessíveis sobre as políticas, procedimentos e práticas da entidade em relação ao manuseio de dados pessoais, detalhando como estes são protegidos e fornecendo outras informações de importância sobre transparência e publicidade.
|
|
Realizar inventário completo e atualizado dos dados pessoais, contendo os agentes de tratamento (controlador e operador); encarregado; descrição do fluxo de tratamento dos dados pessoais (como são coletados, armazenados, processados, retidos e eliminados); abrangência da área geográfica do tratamento (nacional, estadual, municipal); finalidade do tratamento dos dados pessoais; categoria dos dados pessoais (identificação pessoal, financeiros, características pessoais e outros); categoria de dados sensíveis; dados pessoais compartilhados e transferência internacional.
|
|
Implantar procedimentos específicos para resposta aos incidentes, contemplando: a definição de incidente; o escopo da resposta; quando e por quem as autoridades devem ser contatadas; papéis, responsabilidades e autoridades; avaliação de impacto do incidente; medidas para reduzir a probabilidade e mitigar o impacto do incidente; descrição da natureza dos dados pessoais afetados; e informações sobre os titulares de dados pessoais envolvidos.
|
Serviço
|
Processo nº:
|
236446/22
|
|
Acórdão nº:
|
963/22 - Tribunal Pleno
|
|
Assunto:
|
Homologação de Recomendações
|
|
Entidade:
|
Tribunal de Contas do Estado do Paraná
|
|
Interessados:
|
Fundação Araucária, Invest Paraná, Instituto de Tecnologia do Paraná, Sistema de Tecnologia e Monitoramento Ambiental do Paraná, Superintendência-Geral de Ciência, Tecnologia e Ensino Superior, Universidade Estadual de Londrina, Universidade Estadual de Maringá, Universidade Estadual de Ponta Grossa, Universidade Estadual do Centro-Oeste do Paraná, Universidade Estadual do Oeste do Paraná, Universidade Estadual do Norte do Paraná e Universidade Estadual do Paraná
|
|
Relator:
|
Conselheiro Ivens Zschoerper Linhares
|
Autor: Diretoria de Comunicação Social
Fonte: TCE/PR