LGPD: Auditoria da CGU recomenda ajustes nos principais contratos do Serpro
Auditoria da Controladoria-Geral da União (CGU) publicada nesta semana recomenda que o Serviço Federal de Processamento de Dados (Serpro) faça ajustes em alguns dos seus principais contratos, para adequar a aplicação das boas práticas e normas de Segurança da Informação relacionadas a Lei Geral de Proteção de Dados (LGPD). Em resposta ao órgão, a empresa pública prevê aprimoramentos.
A análise levou em conta o exercício de 2022. Os contratos em questão são os firmados entre o Serpro e a Secretaria do Tesouro Nacional (STN) e a Receita Federal (RFB).
De acordo com a CGU, o contrato com o Tesouro, de Serviços Estratégicos de Tecnologia da Informação e Comunicação (TIC) “atende a boas práticas de gestão de segurança”, “porém, não há menção à gestão de logs, uma das principais ferramentas forenses para responsabilização no caso de incidentes de segurança da informação”.
Na Receita, o contrato “não está atualizado em relação aos principais temas de segurança da informação”, incluindo a gestão de logs; controles de acesso; gestão de backups; e LGPD. “Ademais, é importante a definição de requisitos de segurança da informação não só a nível de contrato, como também a nível de cada aplicação ou software de serviço do cliente”, complementa o relatório.
“As deficiências apontadas em relação aos contratos com a RFB e a STN podem gerar insegurança jurídica para ambas as partes em eventual ocorrência de um incidente de segurança da informação. A ausência de regras específicas também pode acarretar deficiências no tratamento de incidentes”, concluiu a auditoria.
Outro lado
Em resposta à CGU, o Serpro afirmou que cerca de 95% dos seus contratos possuem cláusulas específicas sobre a LGPD e segurança da informação e que o anexo específico sobre ‘Tratamento e Proteção de Dados Pessoais’ varia de acordo com os serviços contratados.
A empresa pública diz ainda que embora conte com textos de privacidade e segurança transcritos nas propostas comerciais, “envidará esforços” para que eles sejam levados aos termos contratuais.
Especificamente sobre o contrato com a Receita Federal, o Serpro afirmou que embora não haja um anexo específico sobre LGPD, “está em negociação com o órgão novo termo contratual, que vigerá a partir de outubro de 2023”, com seção específica sobre o tema.
