LGPD: Auditoria da CGU recomenda ajustes nos principais contratos do Serpro

Controladoria aponta alterações necessárias para assegurar o direito de informação ao titular sobre a finalidade do uso dos dados. Em resposta aos auditores, empresa pública se comprometeu com aprimoramentos.
CGU avaliou adequação dos contratos do Serpro com a LGPD | Foto: Divulgação

Auditoria da Controladoria-Geral da União (CGU) publicada nesta semana recomenda que o Serviço Federal de Processamento de Dados (Serpro) faça ajustes em alguns dos seus principais contratos, para adequar a aplicação das boas práticas e normas de Segurança da Informação relacionadas a Lei Geral de Proteção de Dados (LGPD). Em resposta ao órgão, a empresa pública prevê aprimoramentos. 

A análise levou em conta o exercício de 2022. Os contratos em questão são os firmados entre o Serpro e a Secretaria do Tesouro Nacional (STN) e a Receita Federal (RFB). 

De acordo com a CGU, o contrato com o Tesouro, de Serviços Estratégicos de Tecnologia da Informação e Comunicação (TIC) “atende a boas práticas de gestão de segurança”,  “porém, não há menção à gestão de logs, uma das principais ferramentas forenses para responsabilização no caso de incidentes de segurança da informação”. 

Na Receita, o contrato “não está atualizado em relação aos principais temas de segurança da informação”, incluindo a gestão de logs; controles de acesso; gestão de backups; e LGPD. “Ademais, é importante a definição de requisitos de segurança da informação não só a nível de contrato, como também a nível de cada aplicação ou software de serviço do cliente”, complementa o relatório. 

“As deficiências apontadas em relação aos contratos com a RFB e a STN podem gerar insegurança jurídica para ambas as partes em eventual ocorrência de um incidente de segurança da informação. A ausência de regras específicas também pode acarretar deficiências no tratamento de incidentes”, concluiu a auditoria.

Outro lado

Em resposta à CGU, o Serpro afirmou que cerca de 95% dos seus contratos possuem cláusulas específicas sobre a LGPD e segurança da informação e que o anexo  específico sobre ‘Tratamento e Proteção de Dados Pessoais’ varia de acordo com os serviços contratados.

A empresa pública diz ainda que embora conte com textos de privacidade e segurança transcritos nas propostas comerciais, “envidará esforços” para que eles sejam levados aos termos contratuais. 

Especificamente sobre o contrato com a Receita Federal, o Serpro afirmou que embora não haja um anexo específico sobre LGPD, “está em negociação com o órgão novo termo contratual, que vigerá a partir de outubro de 2023”, com seção específica sobre o tema.

Acesse a íntegra da auditoria neste link.

Avatar photo

Carolina Cruz

Repórter com trajetória em redações da Rede Globo e Grupo Cofina. Atualmente na cobertura de telecom nos Três Poderes, em Brasília, e da inovação, onde ela estiver.

Artigos: 1172