Programa reforça ações de cibersegurança e proteção de dados pessoais no setor público
A proteção de dados pessoais tem sido uma das prioridades após a intensificação do uso de tecnologias durante a pandemia de Covid. Isso levou a um crescimento das ameaças à segurança on-line. Em resposta a esses acontecimentos, a Lei Geral de Proteção de Dados (LGPD) foi implementada em 2020, e, para se adequar a essa legislação, o Ministério da Gestão e da Inovação em Serviços Públicos (MGI) implementou, em 2024, o Programa de Governança em Privacidade (PGP), que foi projetado para gerenciar informações pessoais no setor público.
O projeto foi instituído com o objetivo de estruturar, normalizar e automatizar o gerenciamento da privacidade no setor público, buscando aumentar a segurança, a transparência e a conformidade com a LGPD. Com diretrizes estratégicas, um plano de ações bienal e um significativo envolvimento das instituições, o programa estabeleceu a privacidade como um elemento permanente na administração pública.
Sistema desenvolvido pela equipe é solução inovadora de software
O coordenador-geral de Proteção de Dados do MGI, Luiz Fernando Coura, explica que o sistema usado pelo programa é o ColaboraDap. O produto é uma solução inovadora de software que possibilita inventariar, supervisionar e fazer avaliação do tratamento de dados pessoais com suporte analítico, permitindo identificar riscos e fomentar decisões fundamentadas em dados.
“O ColaboraDap, desenvolvido pela equipe, foi pensado para aumentar a qualidade da governança de dados pessoais do MGI, que inclui os dados de servidores, além de todos os processos e serviços que tratam dados pessoais pelos quais o MGI é responsável. Está incluída também a plataforma gov.br”, esclarece Luiz Fernando Coura.
A plataforma do governo federal tem dados de mais de 170 milhões de usuários cadastrados e ainda centraliza mais de 4,8 mil serviços públicos disponíveis, sendo 84% deles digitais.
“O Programa Governança em Privacidade de Dados” é um dos projetos que se destacaram na categoria Gestão e Transformação do 7º Prêmio Espírito Público. Chegou à final da premiação, organizada pelo Instituto República.org, que reconhece e valoriza os servidores.
O PGP faz verificação semestral e é atualizado a cada dois anos
“O PGP tem monitoramento avançado semestral. É um plano perene, que já tem uma atualização prevista para o biênio 2026/2027”, informa o coordenador do programa. Os dados são coletados semestralmente, analisados pelo Comitê de Proteção de Dados Pessoais (CPDP) e utilizados para revisar o plano de ações e direcionar estratégias.
A Lei de Proteção de Dados (LGPD), que recebeu o número 13.709/2018, foi promulgada em agosto de 2018, mas só entrou em vigor dois anos depois, em setembro de 2020, no auge da pandemia. Ela estabelece diretrizes rigorosas para o tratamento de dados pessoais, com o objetivo de garantir que eles sejam coletados e processados de maneira ética e transparente, prezando pela privacidade e proteção das informações dos cidadãos.
Embora o foco principal do PGP-MGI esteja na gestão da privacidade e na proteção de informações pessoais, sua execução produziu resultados benéficos em domínios em outras áreas. Entre elas, a segurança da informação, a governança de dados, o mapeamento de processos e a avaliação de riscos.
Esses benefícios surgem devido ao fato de que o programa exige a colaboração entre essas áreas para possibilitar a criação de inventários, relatórios de impactos e medidas preventivas. O ColaboraDap, ao tornar automáticos e padronizados esses processos, reforça as práticas entre setores diversos e promove um avanço na maturidade institucional de forma transversal.
Modelo de proteção pode ser implementado em outros ministérios
Para ilustrar a importância da governança em relação à privacidade, é essencial definir o que se entende por tratamento de dados. Isso abrange qualquer ação que inclua a coleta, a conservação, o uso ou a distribuição de dados pessoais durante sua realização. Trata-se de dados que possibilitam identificar um cidadão.
As informações sensíveis são classificadas em três categorias. Dados básicos: nome, data de aniversário, número de telefone, sexo, CPF; dados financeiros: informações bancárias, cartão de crédito; e dados digitais: histórico de navegação, cookies, localização por GPS e imagens.
Luiz Fernando Coura ressalta ainda que a LGPD determina que o mesmo modelo de proteção seja utilizado em outros ministérios. O modelo, em prática no MGI, pode ser facilmente replicado em outras pastas. Ele acrescenta que o código-fonte pode ser passado pelo PGP.