Bom Dia LGPD

Auditoria sobre a LGPD do TCU impacta organizações públicas e privadas.

#bomdialgpd


Conforme sua estratégia de fiscalização, o Tribunal de Contas da União (TCU) realizou uma 'Auditoria sobre a LGPD' aplicada em órgãos da alçada federal (link no comentário). O TCU já realiza há mais de dez anos, auditorias sobre governança em TI e segurança cibernética que traz resultados importantes e servem como referência mesmo para organizações privadas.

As iniciativas do TCU tendem a ser referência para as autoridades e agências reguladoras (inclusive a ANPD) e isso pode impactar diretamente a fiscalização por agências como Banco Central, CVM, Susep, Anatel, Aneel e outras (que fizeram parte do alvo deste questionário).


O TCU adota os CIS Controls v8 em sua estratégia de fiscalização em segurança cibernética. (link no comentário)


As questões do relatório de auditoria (link no comentário) foram inspiradas na LGPD, na ISO 27001, ISO 27701 e em boas práticas das agências reguladoras ICO (Reino Unido) e CNIL (França). O questionário com 60 perguntas foi aplicado em 382 órgãos e foi organizado nas seguintes dimensões:





O relatório final apresenta as estatísticas produzidas a partir das respostas e representam uma ótima referência para os encarregados auto-avaliarem seus projetos e processos de conformidade com a LGPD. Ao ler o relatório é possível identificar avaliações bem abrangentes, incluindo temas como controladores conjuntos, riscos, políticas, classificação da informação (e seu relacionamento com a classificação dos dados pessoais), capacitação, compartilhamento de dados pessoais dentre outros.


Esta avaliação levou a uma classificação dos órgãos federais em um modelo similar a maturidade e obteve o seguinte resultado com os níveis de adequação à LGPD:




Além de avaliar as organizações, o TCU realizou uma avaliação sobre a ANPD e o ambiente regulatório, uma tabela interessante compara a estrutura dos reguladores de proteção de dados pessoais no mundo comparados com a ANPD:




Tenho dito que LGPD é para quem gosta de estudar, o relatório de 106 páginas traz informações relevantes para organizações públicas e privadas, mas é preciso ler. Entendo que esta auditoria é uma grande iniciativa do TCU e que influenciará fortemente a proteção de dados no Brasil, o primeiro resultado é um ponto de partida para um processo de melhoria e conformidade contínuas.


(links nos comentários)


Obrigado,


Abraço,


FNery

(Art 42 .. 44, 52 .. 54) Responsabilidade e Sanções
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato