O Instituto Sigilo (Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação) encaminhou uma notificação extrajudicial ao governo de Ratinho Júnior (PSD) e à Celepar sobre uma série de dúvidas e riscos relativos à privatização da companhia, anunciada pelo governador em novembro do ano passado. Com aproximadamente 2,6 milhões de filiados, 103 mil deles do Paraná, a entidade deu o prazo de 15 dias para o envio das respostas e sugeriu a realização de um plebiscito sobre a desestatização da empresa.
A entidade lembra que a Companhia de Tecnologia da Informação e Comunicação do Paraná gerencia um grande volume de dados críticos, incluindo informações das áreas de saúde, educação, segurança pública e finanças, e é responsável pelos sistemas que atendem setores essenciais da administração pública. Diante disso, pede que sejam detalhados os ganhos reais e mensuráveis que o Estado terá com a desestatização.
Na avaliação do Instituto, a privatização traz riscos de impactos diretos e negativos em diversas áreas, como a saúde. Haveria o risco de vazamentos e compartilhamentos ilegais de informações médicas sigilosas, além de uma possível precarização de serviços digitais essenciais para o funcionamento de hospitais e de unidades de saúde.
“A preocupação principal é ter certeza de que os dados de todos os cidadãos paranaenses vão ser repassados para uma empresa idônea e preparada para cuidar dos dados com segurança e privacidade, atendendo a legislação” disse ao Plural o advogado Hélio Augusto Camargo de Abreu, especialista em proteção de dados e tecnologia da informação e diretor do Instituto Sigilo. “Os questionamentos são vários, se o cidadão paranaense não teria o direito de ser remunerado pelo fato de o governo vender seus dados e sobre a realização de um plebiscito”.
O plebiscito teria como base decisões recentes do Superior Tribunal de Justiça (STJ) em casos de venda e compartilhamento de dados a terceiros, em que a Corte determinou a necessidade de consentimento dos titulares das informações para a realização do negócio.
Seguem os questionamentos feitos pelo Instituto Sigilo:
Qual a necessidade da privatização
– Qual é a justificativa que comprova a necessidade inquestionável da privatização da Celepar e de dados pessoais?
– Por que não considerar outras formas de gestão ou investimento que mantenham o controle do Estado sobre informações sensíveis e sistemas essenciais?
– O papel da Celepar para o Estado está sendo devidamente ponderado?
Quais os benefícios para o governo
– Quais são os benefícios financeiros, operacionais, de eficiência ou outros que justificam passar uma empresa estratégica para a iniciativa privada?
– Como esses benefícios superam os riscos inerentes à perda de controle do Estado sobre dados e sistemas tão importantes?
– Há previsão no Edital de Licitação de um fundo indenizatório em caso de interrupção ou incidente de segurança da informação, com ou sem vazamento de dados?
– O Edital de Licitação estabelecerá alguma limitação de responsabilidade ao Estado ao tratamento de dados pela Celepar privatizada em caso de incidentes de segurança da informação, vazamentos ou compartilhamento ilegal de dados, já que a Lei Geral de Dados Pessoais (LGPD), o Código de Defesa do Consumidor e o Marco Civil da Internet preveem a responsabilidade solidária nestes casos?
Quais os benefícios para os cidadãos
– Quais os benefícios tangíveis que o cidadão paranaense poderá esperar da privatização, que compensem os riscos de vazamentos e compartilhamentos ilegais de dados e a possível precarização dos serviços?
– Como o acesso, a qualidade e a segurança dos serviços digitais essenciais serão aprimorados para o cidadão após a privatização, em conformidade com as normas de proteção de dados pessoais, dentre elas a LGPD?
– Ao contabilizar o valor de venda da Celepar, os dados pessoais dos paranaenses estão sendo considerados como um ativo da empresa? Qual é o valor deles no preço final esperado na licitação?
– Está previsto no Edital de Licitação que os cidadãos paranaenses sejam remunerados pela venda de seus dados para uma empresa privatizada?
– Diante de decisões recentes do Superior Tribunal de Justiça (STJ), em casos de venda e de compartilhamento de dados a terceiros, determinou-se a necessidade de consentimento dos titulares dos dados para a realização do negócio. Não é requisito constitucional para a licitação da Celepar a realização de um plebiscito?
Medidas de segurança e privacidade
– Quais medidas técnicas, tecnológicas, jurídicas e administrativas, em conformidade com a LGPD, estão sendo adotadas pela Celepar para evitar que incidentes de segurança da informação, vazamento e compartilhamento ilegal de dados aconteçam quando estiverem sob a gestão da nova empresa?
– Quais são as medidas a serem exigidas da nova empresa quanto à gestão de eventuais incidentes de segurança da informação?
– Quais são os investimentos financeiros mínimos que deverão ser destinados à segurança cibernética, a proteção de dados e a governança da informação que a futura empresa privatizada deverá cumprir?
– Como a Celepar ou o governo vão garantir a fiscalização dessas exigências?
– O Edital de Licitação prevê intervenção do Estado na gestão privatizada da Celepar se houver vazamentos ou compartilhamentos ilegais de dados?
– O Edital de Licitação prevê a possibilidade de revogação da concessão no caso de incidentes de segurança da informação, vazamentos ou compartilhamentos ilegais de dados que ocorreram por falta de investimentos?
– O Edital de Licitação vai exigir com antecedência quais políticas de segurança da informação ou parâmetros, tais como a ISO 27001, ISO 27002, ISO 27701, para segurança de informação e privacidade, serão adotadas?
– Se o Edital de Licitação estabelecerá práticas mínimas necessárias a serem seguidas, como: exigência de cópias de segurança dos dados pessoais tratados; designação sobre a forma de armazenamento dos dados pessoais e o nível de segurança física dos espaços; fixação de um procedimento para proteger os dados pessoais em caso de perdas ou furtos e se estes procedimentos incluem encriptação de dados; determinação ou exigência sobre possíveis tecnologias que seriam utilizadas para mitigar os riscos de incidentes de segurança da informação.
Garantia de conformidade com a LGPD
– Com quem serão ou poderão ser compartilhados os dados pessoais? Há previsão de algum controle sobre os fornecedores contratados ou subcontratados? Quem fará esse controle?
– Quais serão os critérios e os pressupostos para uma auditoria em conformidade com a LGPD?
– Haverá monitoramento de segurança de informação constante do tratamento de dados? Qual empresa ou quais empresas serão responsáveis? Que órgão governamental poderá fiscalizar essas atividades? A sociedade civil terá participação nessa fiscalização e por quais canais?
– No Edital de Licitação há previsão de criação de um Comitê ou de um Conselho Multidisciplinar com participação de titulares de dados, agentes governamentais e técnicos para fiscalização e orientação das práticas?
– Qual a garantia inequívoca de que os dados pessoais, sensíveis ou não, serão tratados em conformidade com a LGPD e outras legislações vigentes?
– Quais serão os mecanismos de responsabilização e de reparação em caso de descumprimento ou incidentes de segurança? O Edital de Licitação prevê a criação de um fundo de custeio para essas situações?
Ganho financeiro X exposição de dados
– Qual o valor estimado ou o montante mínimo de recursos financeiros que o governo espera obter com a privatização?
– Como esse ganho financeiro se justifica diante dos potenciais riscos à privacidade e à segurança dos dados dos cidadãos paranaenses?
– Quais serão as medidas compensatórias ou mitigadoras implementadas para resguardar os interesses da população?
– O Estado do Paraná terá responsabilidade solidária no caso de tratamento inadequado de dados pessoais? Qual a solução prevista?
– O Estado e seus cidadãos serão recompensados financeiramente em caso de descumprimento de suas obrigações fixadas no Edital de Licitação em relação ao tratamento inadequado de dados pessoais?
– O Edital de Licitação prevê um valor mínimo ou máximo de indenizações que os titulares de dados receberão nesses incidentes?
– Como a Celepar vai tratar o Programa de Demissão Voluntária (PDV) oferecido aos servidores, que foi rejeitado por 439 votos de 592 votantes, tendo somente 148 favoráveis?
– O Edital de Licitação prevê que a Celepar privatizada cumpra com horas mínimas de treinamento de seus funcionários, colaboradores e fornecedores nas áreas de proteção de dados pessoais, de segurança da informação, compliance e privacidade?
– O Edital de Licitação prevê com quais tecnologias ou procedimentos a Celepar privatizada certificará seus funcionários, colaboradores e seus fornecedores? Quais são os limites estabelecidos para o poder de controle do empregador?
– O Edital de Licitação prevê ou estabelece formas e procedimentos na área de recursos humanos da Celepar privatizada ao contratar funcionários, colaboradores ou terceiros?
– Serão proibidos à Celepar privatizada quaisquer contratações que envolvam análise de antecedentes criminais, investigação de históricos profissionais ou até mesmo verificação de redes sociais de funcionários, colaboradores ou terceiros?
O Instituto encaminhou a notificação ao encarregado de dados (DPO) da Celepar, Winfred Helmuth Schumann.
Veja o que já foi publicado sobre a privatização da Celepar