Em 16/01/2025

Operadores de dados – condução de procedimento de auditoria.

Coluna produzida pelo escritório Chezzi Advogados esclarece dúvida acerca da condução de um procedimento de auditoria em operadores de dados do Cartório.

PERGUNTA: Como conduzir um procedimento de auditoria em operadores de dados do cartório?

RESPOSTA: Dentre o rol de medidas estabelecidas para adequação da serventia à Lei Geral de Proteção de Dados Pessoais (LGPD) está a adoção de auditorias regulares para gestão de terceiros com que os dados pessoais forem compartilhados (art. 86, VI, Provimento n. 149, de 2023, do CNJ).

A inclusão desse item à governança de dados da serventia visa fomentar o conhecimento, pelo delegatário, se seus operadores de dados estão em dia com suas obrigações relativas à proteção de dados, e se mantem uma postura correta, ética e transparente.

O fim último desse procedimento é compreender o estágio de governança de dados e segurança da informação desse prestador de serviço para evitar qualquer prejuízo à tranquilidade da atividade desenvolvida pelo delegatário.

A auditoria deve avaliar itens elementais da governança de dados pessoais de qualquer organização, as diretrizes de segurança, a regularidade dos treinamentos e capacitação da equipe que vai operacionalizar a atividade, a capacidade técnica e a existência de suboperadores.

A documentação obtida e eventuais não conformidades devem ser registradas em relatório, com medidas corretivas e prazos para adequação. Caso persistam falhas ou resistência, a continuidade da relação contratual pode ser revista, já que a responsabilidade final recai sobre o controlador.

Para que uma auditoria seja sólida e eficiente, recomenda-se que ela tenha um planejamento bem estruturado, ocasião em que serão definidas as atividades que serão analisadas. Em continuidade, inicia-se o processo de coleta de informações, que pode ser feito por meio de um checklist, permitindo entender preliminarmente o estágio de maturidade daquele parceiro.

Após o checklist, com o objetivo de aprofundar o entendimento sobre o nível de adequação do auditado, é importante realizar a conferência documental de tudo aquilo que foi assinalado, visando à comprovação das informações auditadas.

Como uma das etapas mais delicadas do processo de auditoria, a realização das entrevistas pode ser utilizada com cautela para esclarecer dúvidas que podem ter surgido ao longo das etapas anteriores.

Esse momento é crucial, pois é nele que se pode extrair a maior quantidade de detalhes e sanar possíveis lacunas identificadas no processo.

Em seguida, pode-se seguir com a elaboração de relatório descritivo do processo. Esse documento compila tudo o que foi analisado e apresenta um panorama sobre o nível de maturidade no tratamento de dados pessoais do auditado, auxiliando na melhor condução com aquele operador e no fornecimento de instruções lícitas para adequação.

A prática de auditorias fortalece a governança de dados, alinha as serventias às exigências normativas e aprimora a prestação de serviços, promovendo maior segurança no uso de dados pessoais e evitando qualquer intercorrência para os controladores.

*ATENÇÃO: As perguntas e respostas apresentadas nesta seção do Boletim do IRIB são produzidas pelo escritório Chezzi Advogados e não expressam, necessariamente, a opinião da Diretoria do IRIB e dos editores deste boletim. O conteúdo apresentado é de responsabilidade exclusiva de seus autores. Caso queira entrar em contato com o escritório, envie um e-mail para [email protected].

---

• Tags
• FAQ - Tecnologia e Registro
• Operadores de Dados
• Auditoria