Economia
Banco Central ainda não se adaptou à lei de proteção de dados
Tweet
Mais de um terço das práticas não adotadas podem ter implicações jurídicas ou grandes perdas financeiras, diz relatório
A LGPD (Lei Geral de Proteção de Dados) entrou em vigor em setembro do ano passado, mas relatório do Banco Central aponta que a autarquia ainda não adaptou totalmente seus processos as novas regras.
Isso significa que, caso essas falhas não sejam corrigidas, aumentam as chances de vazamento de Informações pessoais e bancárias. Segundo documento do BC, 35% das práticas determinadas pela lei que ainda não foram adotadas poderiam gerar impactos altos ou muito altos à autoridade monetária.
Esses efeitos seriam considerados graves, pois podem ter implicações jurídicas ou grandes perdas financeiras. No relatório, no entanto, o BC não detalha quantas falhas foram identificadas ou em quais áreas.
"Apesar do elevado grau de maturidade da gestão de riscos do BC, não se pode garantir a eliminação total dos riscos que, em caso de materialização, causariam impacto à privacidade dos dados pessoais existentes na instituição", diz o estudo.
O BC tem bases de dados sensíveis, inclusive com dados financeiros de brasileiros. Uma das maiores recebe diariamente dados cadastrais de pessoas físicas da Receita Federal, com cerca de 254 milhões de registros. Por dia, são computadas entre 30 e 50 mil informações.
O documento, que foi publicado também em setembro, usou três escalas para a avaliação das medidas a serem tomadas e das fragilidades identificadas nos procedimentos de manipulação de dados:o nível de impacto das falhas, o quanto são críticas e a urgência na implementação de medidas de correção.
De acordo com o levantamento, 4% das ações para adequação à nova legislação são consideradas críticas.
Na escala de urgência, 10% têm classificação alta e média, ou seja, precisam ser corrigidos imediatamente. O levantamento identificou que os principais motivos para a não implementação das regras dentro da autoridade são organização interna, tecnologia da informação e gerenciamento.
"Verifica-se que grande parte das avaliações (90%) foi aferida com grau de urgência para ação média ou baixa, ou seja, na percepção das unidades, os controles implantados são considerados adequados para garantir o razoável cumprimento da LGPD", pontua o texto.
O relatório foi elaborado a pedido da ANPD (Autoridade de Proteção de Dados Pessoais). "O Banco Central, diariamente, realiza o tratamento de dados pessoais que se relacionam a pessoa natural identificada ou identificável", diz o relatório.
O documento ressalta ainda que o Pix, sistema de pagamentos instantâneos lançado em novembro do ano passado, aumenta ainda mais a base de dados pessoais do BC, porque, além das informações bancárias, o cadastro das chaves pode ser feito com o celular, CPF (Cadastro de Pessoa Física) ou email.
O texto aponta que qualquer pessoa física ou jurídica, cliente ou usuária de serviços financeiros e bancários, pode ser afetada por falhas no tratamento de dados no BC.
A autoridade monetária argumenta que, mesmo antes da LGPD, já tinha precaução com as informações "tendo em vista não somente a importância desses dados para a economia e o sistema financeiro do país, mas também a natureza sigilosa de boa parte deles".
Dados bancários, por exemplo, são protegidos pela Lei do Sigilo Bancário, de 2001, que só podem ser quebrados judicialmente.
Luiz Felipe Canto Barros, especialista em LGPD e sócio da consultoria Russell Bedford, ressalta que o BC sempre teve procedimentos consolidados.
"Essas ações são ligadas à governança e antes da lei já existiam resoluções e políticas de proteção aos dados na autoridade monetária e nas instituições financeiras", diz.
Para Barros, o nível de adaptação do BC está adequado. "É muito difícil um órgão que implementou 100% da nova legislação, mas acho que temos de caminhar para isso."
O especialista ressalta que as punições por meio da LGPD começarão a ser aplicadas em agosto deste ano, mas ainda não ficou claro como órgãos públicos serão penalizados.
"Há três vertentes. Um grupo de especialistas acredita que os órgãos poderão ser punidos com advertências, mas sem multa, outra que poderá ter inclusive multa e a última que não haverá penalidade alguma", afirma.
"Provavelmente o governo terá de soltar uma nota técnica para explicar melhor esses casos de não adequação ou vazamentos por órgãos públicos", afirma.
Desde março do ano passado, o BC realiza análises em todos os seus departamentos para medir o nível de adequação da manipulação dos dados às novas regras. O relatório diz que foram feitas, até setembro, 109 avaliações.
Os riscos envolvidos a quem tem informações nessas bases de dados podem ser, entre outros, financeiros, organizacionais ou de reputação.
O relatório elenca possíveis fragilidades em seus sistemas que poderiam resultar em vazamentos, como modificação, exclusão e acesso não autorizados, perda e apropriação de informações ou compartilhamento sem a ciência do titular.
O BC aponta também o vazamento intencional, feito por servidores ou outros funcionários, e quebra de sigilo bancário como riscos.
"Normalmente os procedimentos que envolvem humanos são mais difíceis de controlar, tanto é que o BC pontua vazamento intencional de dados no relatório. Os programas normalmente são muito seguros", afirma Barros.
Para aprimorar o tratamento dos dados, foram planejadas 63 ações para adequar os procedimentos à nova legislação, dessas, 11% são de falhas críticas. "Destacamos, ainda, que todas as avaliações críticas possuem ações de tratamento em implantação no BC", diz o texto.
Em nota, o BC afirma que se preocupa em "avaliar continuamente a aderência de seus processos a LGPD".
A autarquia alegou que houve avanços desde a publicação do relatório. "Dessa forma, as ações de conformidade à LGPD são monitoradas continuamente e seus andamentos se encontram dentro dos prazos estabelecidos."
A autoridade monetária disse adotar medidas para prevenir e evitar vazamentos de dados.
"A área de TI [tecnologia da informação] do BC investe continuamente na segurança cibernética e prevenção de vazamento de dados, com o aperfeiçoamento constante de práticas e ferramentas, além de campanhas de conscientização para os usuários."
O BC destacou ainda que há um "plano de ações de conformidade" em elaboração.
"O esforço e o cuidado nesse processo demonstram o comprometimento da instituição em avaliar e garantir a aderência dos seus processos à LGPD. Não é possível apresentar detalhes adicionais sobre o trabalho, pois as ações ainda estão em curso. Novos resultados serão informados nas próximas atualizações do relatório de impacto", diz.
Fonte: Folha de São Paulo
