A Construção do Diagnóstico de Maturidade em Proteção de Dados Pessoais
Palavras-chave:
metodologia, maturidade, dados pessoais, Controle InternoResumo
O trabalho tem como objetivo discutir a criação do Diagnóstico de Maturidade em Proteção de Dados Pessoais como ferramenta de controle interno para avaliar o processo de adequação da Prefeitura de São Paulo à Lei Geral de Proteção de Dados Pessoais. Trata-se de uma metodologia personalizada, fundamentada em uma abordagem baseada em riscos, com a sistematização de controles em temas e fases para se nortear ações de adaptação às exigências legais e melhores práticas. A partir da experiência na construção da referida ferramenta, serão apresentados os benefícios esperados, as limitações enfrentadas e aspectos-chave na construção do projeto.
Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). Gestão de riscos — Diretrizes. NBR ISO 31000:2018. Rio de Janeiro: ABNT, 2018.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). Segurança da informação, segurança cibernética e proteção da privacidade — Aplicação da ABNT NBR ISO 31000:2018 para gestão de riscos de privacidade organizacional. NBR ISO/IEC 27557:2023. Rio de Janeiro: ABNT, 2023.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). Segurança da informação, segurança cibernética e proteção à privacidade – Controles de segurança da informação. NBR ISO/IEC nº 27002:2022. Rio de Janeiro: ABNT, 2022.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). Segurança da informação, segurança cibernética e proteção à privacidade – Sistemas de gestão da segurança da informação – Requisitos. NBR ISO/IEC nº 27001:2022. Rio de Janeiro: ABNT, 2022.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). Sistemas de gestão da qualidade — Requisitos. NBR ISO 9001:2015. Rio de Janeiro: ABNT, 2015.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). Técnicas de segurança – Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação – Requisitos e diretrizes. NBR ISO/IEC nº 27701:2020. Rio de Janeiro: ABNT, 2020.
BRASIL. Agência Nacional de Proteção de Dados (ANPD). ANPD esclarece dúvidas sobre a atuação do Encarregado e a emissão de selos de conformidade com a LGPD. Brasília, DF: ANPD, 31 mar. 2023. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-esclarece-duvidas-sobre-a-atuacao-do-encarregado-e-a-emissao-de-selos-de-conformidade-com-a-lgpd. Acesso em: 18 ago. 2025.
BRASIL. Agência Nacional de Proteção de Dados (ANPD). Guia Orientativo: Tratamento de dados pessoais pelo Poder Público. Versão 2.0. Brasília, DF: ANPD, jun. 2023. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/documentos-de-publicacoes/guia-poder-publico-anpd-versao-final.pdf. Acesso em: 18 ago. 2025.
BRASIL. [Constituição (1988)]. Constituição da República Federativa do Brasil de 1988. Brasília, DF: Presidência da República. [2024]. Disponível em: https://www.planalto.gov.br/ccivil_03/Constituicao/Constituicao.htm. Acesso em: 22 ago. 2025.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Diário Oficial da República Federativa do Brasil, Brasília, DF, 15 ago. 2018. [2022]. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 18 ago. 2025.
BRASIL. Ministério da Gestão e da Inovação em Serviços Públicos (MGI). Guia do Framework de Privacidade e Segurança da Informação, versão 1.1.2. Brasília, DF: MGI, set. 2023. Disponível em: https://www.gov.br/governodigital/pt-br/privacidade-e-seguranca/ppsi/guia_framework_psi.pdf. Acesso em: 22 ago. 2025.
BRASIL. Tribunal de Contas da União (TCU). ACÓRDÃO nº 1.384/2022. Plenário. Brasília, DF: TCU, 2022. Disponível em: https://pesquisa.apps.tcu.gov.br/redireciona/acordao-completo/ACORDAO-COMPLETO-2521877. Acesso em: 22 ago. 2025.
BRITTO, Nara Pinheiro Reis Ayres de; RIBEIRO, Alanna Muniz. Soft Law e Hard Law como Caminho para Afirmação do Direito à Proteção de Dados: Uma Análise da Experiência Internacional de Brasileira. In: FERNANDES, Ricardo Vieira de Carvalho; CARVALHO. Angelo Gamba Prata de (Coord.). Tecnologia jurídica & direito digital: II Congresso Internacional de Direito, Governo e Tecnologia – 2018: Belo Horizonte: Fórum, 2018.
CENTER FOR INTERNET SECURITY (CIS). Controles CIS – Versão 8. East Greenbush, NY: CIS, 2021. Disponível em: https://www.cisecurity.org/controls/v8. Acesso em: 20 ago. 2025.
CONSELHO FEDERAL DE CONTABILIDADE (CFC). NBC TA 200 (R1): Objetivos Gerais do Auditor Independente e a Condução da Auditoria em Conformidade com Normas de Auditoria. Brasília, DF: CFC, 19 ago. 2016. Disponível em: https://www1.cfc.org.br/sisweb/SRE/docs/NBCTA200(R1).pdf. Acesso em: 25 ago. 2025.
CONSELHO NACIONAL DE CONTROLE INTERNO (CONACI). Diagnóstico de Adequação à LGPD: Pesquisa 01/2022. Brasília, DF: CONACI, 2022. Disponível em: https://conaci.org.br/wp-content/uploads/2023/08/Diagnostico-de-adequacao.pdf. Acesso em: 22 ago. 2025.
INSTITUTO DOS AUDITORES INTERNOS (IIA). Modelo de Capacidade de Auditoria Interna para o Setor Público (IA-CM). 2. ed. São Paulo: IIA Brasil, 2017. Disponível em: https://iiabrasil.org.br/IA-CM.pdf. Acesso em: 19 ago. 2025.
INSTITUTE OF INTERNAL AUDITORS (IIA). A perspective on control self-assessment. Professional Practice Pamphlet 98-2. Altamonte Springs, FL: IIA, 1998. Disponível em: https://www.iiajapan.com/pdf/data/csa/pp98-2.pdf. Acesso em: 19 ago. 2025.
MARQUES DE CARVALHO, Vinicius; MATTIUZO, Marcela; PONCE, Paula Pedigoni. Boas Práticas e Governança na LGPD. In: Doneda, Danilo; et. al. (Coord.). Tratado de Proteção de Dados pessoais. Rio de Janeiro: Forense, 2021.
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY (NIST). NIST Privacy Framework: a tool for improving privacy through enterprise risk management (ERM). Version 1.0. Gaithersburg: NIST, 2020. Disponível em: https://doi.org/10.6028/NIST.CSWP.01162020pt. Acesso em: 19 ago. 2025.
PERNAMBUCO. Secretaria da Controladoria Geral do Estado (SCGE). LGPD Pernambuco. Recife: SCGE, 2025 Disponível em: https://www.scge.pe.gov.br/lgpd-rede-de-encarregados/. Acesso em: 22 ago. 2025.
SÃO PAULO (Cidade). Decreto nº 59.767, de 15 de setembro de 2020. Regulamenta a aplicação da Lei Federal nº 13.709, de 14 de agosto de 2018 – Lei de Proteção de Dados Pessoais (LGPD) – no âmbito da Administração Municipal direta e indireta. Diário Oficial da Cidade, São Paulo, SP, 16 set. 2020. Disponível em: https://legislacao.prefeitura.sp.gov.br/leis/decreto-59767-de-15-de-setembro-de-2020. Acesso em: 18 ago. 2025.
SÃO PAULO (Cidade). Decreto nº 62.809, de 3 de outubro de 2023. Dispõe sobre a reorganização da Controladoria Geral do Município – CGM [...]. Diário Oficial da Cidade, São Paulo, SP, 04 out. 2023. Disponível em: https://legislacao.prefeitura.sp.gov.br/leis/decreto-62809-de-3-de-outubro-de-2023. Acesso em: 18 ago. 2025.
SÃO PAULO (Cidade). Controladoria Geral do Município (CGM). Instrução Normativa CGM nº 01, de 21 de julho de 2022. Estabelece disposições referentes ao tratamento de dados pessoais no âmbito da Administração Pública Municipal de São Paulo. Diário Oficial da Cidade, São Paulo, SP: CGM, 22 jul. 2022. [2025].
SÃO PAULO (Cidade). Controladoria Geral do Município (CGM). Instrução Normativa CGM/SP nº 02, de 23 de dezembro de 2024. Aprova a Metodologia de Diagnóstico de Maturidade em Proteção de Dados Pessoais e disciplina o procedimento de autoavaliação por parte dos órgãos da Administração Pública Municipal. Diário Oficial da Cidade, São Paulo, SP: CGM, 27 dez. 2024.
SÃO PAULO (Cidade). Controladoria Geral do Município (CGM). Manual de Gestão de Riscos. Versão 01/2023. São Paulo, SP: CGM, 2024. Disponível em: https://www.prefeitura.sp.gov.br/cidade/secretarias/upload/controladoria_geral/Manual_Gestao_Riscos_versao01_2023_publicacao_03_01_2024.pdf. Acesso em: 19 ago. 2025.
SÃO PAULO (Cidade). Controladoria Geral do Município (CGM). Planejamento Estratégico – Ciclo 2024–2026. São Paulo, SP: CGM, 2024. Disponível em: https://www.prefeitura.sp.gov.br/cidade/secretarias/upload/controladoria_geral/PlanejamentoEstrategicovf_publicacao_10_06_2024.pdf. Acesso em: 19 ago. 2025.
SÃO PAULO (Cidade). Controladoria Geral do Município (CGM). Relatório - Justificativa Técnica Diagnóstico de Maturidade. São Paulo, SP: CGM, 2024. Disponível em: Documento SEI 105381368. Acesso em: 29 ago. 2025.
SÃO PAULO (Cidade). Secretaria Municipal de Inovação e Tecnologia (SMIT). Orientações Técnicas de Segurança da Informação. São Paulo, SP: SMIT, 2023. Disponível em: https://tecnologia.prefeitura.sp.gov.br/?page_id=1155. Acesso em: 20 ago. 2025.
UNITED NATIONS CONFERENCE ON TRADE AND DEVELOPMENT (UNCTAD). Data Protection and Privacy Legislation Worldwide. Geneva: UNCTAD, 02 jul. 2025. Disponível em: https://unctad.org/page/data-protection-and-privacy-legislation-worldwide. Acesso em: 18 ago. 2025.
