Edição 357
Observar os limites da Lei Geral de Proteção de Dados (LGPD), implementada no setor público em 2020, representa um desafio para os Regimes Próprios de Previdência Social (RPPS), que armazenam informações de milhares de beneficiários e seus dependentes. Segundo a consultora da Agenda Assessoria, Geissany Giulia Martinda Silva, as entidades devem preocupar-se não só com o próprio uso dessas informações, mas também com o uso que empresas terceirizadas podem fazer delas. “É importante só dar acesso aos terceirizados que realmente precisem e limitar o acesso aos dados estritamente necessários”, aconselhou Martinda em palestra realizada no 57º Congresso da Abipem, em Foz do Iguaçú.
Segundo ela, o cuidado deve começar no momento da coleta das informações, quando a entidade já deve avaliar qual tipo de dados será necessário armazenar e qual poderá ser descartada. Em seguida vem o tratamento, feito por um operador, seguindo as instruções do controlador. É do controlador a responsabilidade por todas as decisões relacionadas ao tratamento dos dados, incluindo a definição dos propósitos de uso, a coleta, o armazenamento e a exclusão dos mesmos.
O tratamento, segundo Martinda, inclui tudo que é feito com os dados, do momento da coleta até sua exclusão do banco de dados. “Precisamos avaliar a necessidade de cada dado. Por exemplo, numa ficha cadastral para censo previdenciário, será que é necessário incluir perguntas sobre a convicção partidária ou religiosa do cadastrado? Isso não tem relevância”.
A consultora oferece uma dica prática aos regimes: nomear um encarregado de proteção de dados, o que, segundo Martinda, pode ser feito por meio de um cargo na estrutura do RPPS ou ele pode ser feito com o que a gente chama de ‘DPO (Data Protection Officer) as a service’, que é uma empresa contratada, pode ser feito por dispensa de licitação ou pregão, ou também em conjunto com o processo de adequação.
Para a técnica da Coordenação-Geral de Estruturação de Informações Previdenciárias do Departamento dos Regimes de Previdência no Serviço Público, Hildiene Castro Silva, a implementação do LGPD poderá ser feita sem a ajuda de uma consultoria. Ela avalia, inclusive, que esse caminho tem suas vantagens. “Assim, o RPPS pode obter maior conhecimento sobre a lei, sobre os obstáculos existentes para a implantação, e no caso de optar posteriormente por contratar uma consultoria, já terá mais claro qual é a sua demanda”, afirma Castro. Ela também diz que os RPPS podem implementar um modelo que qualifica como eficiente, chamado de ‘inventário de dados pessoais’.
“É um ótimo ponto de partida para começar a implementar a LGPD”, avalia Castro. Segundo ela, a medida pode ajudar os RPPS a estruturar o conhecimento sobre os dados armazenados, como uma fotografia de identificação dos dados pessoais, mostrando quais são e onde estão localizados”. De acordo com Castro, “o primeiro passo para implementar o modelo é identificar o serviço ou o processo de trabalho a ser realizado, se é um censo previdenciário ou o processamento de uma folha de pagamentos”, diz.
Posteriormente, o RPPS deve identificar quais são os agentes de tratamento daquelas informações, incluindo o encarregado de dados, o controlador, etc. No terceiro passo, entra a atuação do operador que age no ciclo de vida do dado, incluindo coleta, retenção da informação, processamento do dado e arquivamento/eliminação do dado. “O operador é quem coloca a mão na massa. Pode ser alguém do próprio regime ou uma empresa”, diz Castro.