Lei Geral de Proteção de Dados – LGPD

Política de Privacidade e Proteção de Dados Pessoais e de Segurança da Informação

Estando as organizações brasileiras, pessoas físicas ou jurídicas, de direito público ou privado, submetidas à LGPD – Lei 13.709/18, modificada pela Lei 13.853/19, em vigência a partir de 18/09/2020, compete-lhes adaptarem-se para a efetiva proteção dos dados pessoais. A LGPD impõe a todos os brasileiros envidar esforços para cumpri-la, visando evitar as graves consequências previstas para as infrações decorrentes do seu descumprimento, consistente no descuido, no uso indevido, mau uso, compartilhamento ilegal, por culpa ou dolo, falta de transparência, ausência de acessos, inexistência dos competentes registros para a devida prestação de contas e responsabilização.

O país enfrenta a nova ordem jurídica que impõe a todos a adequação à LGPD, mas é sabido que a mudança cultural resultará de trabalho contínuo, revisão das iniciativas e aperfeiçoamento de processos, procedimentos e até mesmo das políticas, à medida em que surgirem alterações relevantes por lei, regulamentos ou resoluções, que certamente serão contempladas em versões futuras desses documentos. 

Vislumbra-se necessária e obrigatória a adoção de uma POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS que faça respeitar a LGPD, adequada aos seus ditames e apta a garantir a confiabilidade na Instituição, possibilitando a efetiva proteção e a integridade dos dados pessoais.

Adicionalmente, verifica-se uma enormidade de ataques cibernéticos, que expõem dados corporativos sigilosos para o bom andamento dos negócios, e também fazem vislumbrar a necessária e obrigatória adoção de uma POLÍTICA DE SEGURANÇA DA INFORMAÇÃO.

Este documento estabelece as políticas internas, parâmetros, balizamentos ou orientações referentes à proteção de dados pessoais e de segurança de informações corporativas na Fundação Porta Aberta (FPA). Contém as diretrizes para a organização garantir ao titular de dados o acesso a todos os seus direitos perante a Instituição, inclusive o de opor-se ao tratamento dos seus dados pessoais. Além de orientar todas as práticas internas relativas a tratamento de dados pessoais e de segurança da informação, esta Política estará disponível para o usuário dos serviços da FPA acessar, seja na condição de diretor, conselheiro, voluntário, aluno, parceiro, cliente, prestador de serviço, empregado, fornecedor ou outro. Contém as linhas basilares do seu Programa de Governança em Privacidade de Dados e de Segurança da Informação. Por meio deste instrumento, a FPA torna pública as suas políticas e a metodologia utilizada para tratar dados pessoais.

Com ou sem a ajuda de plataformas tecnológicas, a coleta de dados não se resume a saber o nome do titular dos dados, sendo certo que profissão, estado civil, RG, CPF, e-mail, remuneração, número de telefone e WhatsApp, IP (identificação de um dispositivo eletrônico), dados biométricos (como imagem da pessoa), religião, dados sobre saúde e outras, incluindo apelidos, são informações que podem identificar a pessoa ou características da sua personalidade e, portanto, consubstanciam-se em dados pessoais/dados pessoais sensíveis.

A conformidade com a LGPD passa, necessariamente, pelo cuidado no tratamento dos dados pessoais, tendo-se como sabido que eventual vazamento desses dados pode ter consequências funestas, tanto para o titular dos dados como para o controlador ou operador.

Primando pela confidencialidade, a FPA disponibilizará meios para indicar os dados pessoais coletados, a finalidade e os fundamentos legais que legitimam seu tratamento, revelando aos usuários dos seus serviços em geral a metodologia e os processos utilizados, além do canal de atendimento para o exercício dos direitos do titular dos dados. A transparência é parte integrante do Programa de Governança em Privacidade de Dados e de Segurança da Informação da FPA e das políticas que o integram.

Em sendo o caso de a FPA concluir pela inviabilidade do tratamento de determinados dados pessoais, por concluir que poderá causar risco aos direitos fundamentais do titular, será indicado expressamente o fundamento legal, bem como pela segurança e sigilo dos seus dados institucionais.

Como parte integrante do seu Programa de Governança em Privacidade de Dados (PGPD), a FPA disponibilizará esta Política para acesso irrestrito em seu portal. Por certo, a fim de se cumprirem as exigências da LGPD, toda vez que o caso exigir, o titular de dados deverá expressar concordância para o tratamento dos seus dados pessoais. Isso porque a LGPD afirma a necessidade da manifestação informada, pela qual o titular assente com o tratamento de seus dados para uma finalidade determinada. Nessa hipótese, os dados estarão disponíveis para acesso aos que tiverem necessidade ou interesse, entendendo a FPA que tais providências podem evitar a assinatura irrefletida por mero “ok”, “certo”, “aceito” ou “verificado”.

Sempre que este, ou outro documento integrante do Programa de Governança em Privacidade de Dados e de Segurança da Informação, sofrer alteração, será atualizada e identificada a nova versão no portal.

Fica garantido ao titular o direito de discordar da continuidade do tratamento dos seus dados se acaso discordar de eventuais alterações nas políticas da FPA, hipótese em que deverá comunicar esse fato e revogar o consentimento para tratar seus dados, caso já o tenha fornecido antes.

A presente POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS E DE SEGURANÇA DA INFORMAÇÃO foi construída e redigida com irrestrita observância da LGPD e assessoria jurídica e de tecnologia da Equipe FPA, que se incumbiu de verificar a adequação e a legitimidade do tratamento de dados pessoais na Organização. Os procedimentos deverão observar seus regramentos para que se realizem em perfeita conformidade com a LGPD.

A conformidade com a LGPD dependerá de um conjunto de ações e providências que envolvem não somente o uso de adequados recursos de tecnologia da informação, mas também a segurança, física ou virtual, de todos os dados pessoais, estejam eles onde estiverem, em um cadastro físico, em computadores ou na nuvem. Carecerá, igualmente, da definição de processos administrativos e jurídicos que contemplem todas as atividades da Organização, inclusive a formulação de novos modelos de contratos, o desenvolvimento de Programa de Formação Continuada para que se crie a cultura do respeito aos dados pessoais.

A POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS E DE SEGURANÇA DA INFORMAÇÃO traduz-se em instrumento necessário para a implementação de proteção dos dados pessoais e corporativos; são diretrizes que balizam as ações de tratamento de dados, visando alcançar as metas e os objetivos da organização para atingir a conformidade com a lei.

A construção desta Política resultou do trabalho e esforço conjugados entre a área jurídica e de tecnologia da Equipe FPA, para a implantação da LGPD e a alta direção da Organização, tendo sido suficientemente verificada a sua adequação às exigências da LGPD nas definições do tratamento de dados pessoais. O trabalho levou em consideração as demais legislações e regulamentações relacionadas às atividades da organização.

Antes da proposição desta Política da FPA, a Equipe buscou compreender em quais situações a Organização faz o tratamento de dados pessoais e corporativos e como se daria a aplicação dos princípios da LGPD na prestação do serviço no seu dia a dia. Para tanto, foram mapeados os dados pessoais nas diversas áreas da sua atuação, para quais objetivos são utilizados e se estão em conformidade com a lei; ou seja, se o tratamento de dados feito pela Instituição está legitimado por processos definidos em conformidade com a LGPD. Em síntese, foi feita uma averiguação sobre a forma de tratar os dados pessoais e, especialmente, sobre o atendimento aos direitos do titular de dados.

1. OBJETIVO

A Fundação Porta Aberta estabelece, através da POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS E DE SEGURANÇA DA INFORMAÇÃO, integrante do Programa de Governança em Privacidade de Dados e de Segurança da Informação, as diretrizes para todo e qualquer tratamento de dados pessoais na organização, promovendo a formação e a disseminação da cultura de proteção de dados e garantindo os meios, métodos, processos e ferramentas para a implementação e a manutenção do Programa.

A POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS E DE SEGURANÇA DA INFORMAÇÃO destina-se a orientar o serviço da FPA, de forma a garantir acesso a todos quantos necessitem utilizá-la ou apenas queiram conhecê-la, pela forma mais acessível a todos, facilitando o seu perfeito entendimento. A Instituição poderá valer-se de outros recursos audiovisuais para permitir que todos conheçam a presente política.

A FPA disponibiliza este documento no seu portal, ensejando, especialmente, o conhecimento dos processos definidos para o tratamento dos dados pessoais e institucionais. Naturalmente, para consentir expressamente com que a Organização trate seus dados pessoais, o titular deverá, primeiro, acessar, conhecer e expressar a sua concordância com os termos desta Política.

 

2. ABRANGÊNCIA

Esta política é abrangente e envolve todas as pessoas que podem ter acesso ou tratam dados pessoais: 

    Diretores e Conselheiros

    Empregados

    Prestadores de serviços

    Usuários dos serviços

    Parceiros (terceirizadas)

    Fornecedores

    Clientes

 

3. DEFINIÇÕES E GLOSSÁRIO

    LGPD (Lei Geral de Proteção de Dados) – Lei 13.709/18, modificada pela Lei 13.853/19, em vigência a partir de 18/09/2020. 

    Programa de Governança em Privacidade de Dados e de Segurança da Informação: Programa voltado para o gerenciamento de dados como ativos da organização. Define, aprova, comunica e implementa princípios, políticas, procedimentos, medições, ferramentas e responsabilidades para gerenciamento de dados. Além disso, monitora e orienta atividades em conformidade com políticas, uso de dados e gerenciamento.

    Relatório de Impacto à Privacidade de Dados (RIPD): documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

    Dado pessoal: informação relacionada a uma pessoa natural identificada, ou identificável.

    Dado pessoal sensível: dado pessoal sobre origem étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

    Titular: pessoa natural a quem se referem os dados pessoais.

    Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

    Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; simplesmente executa a atividade de tratamento de dados pessoais na forma estabelecida pelo controlador.

    Encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados.

    DPO – Data Protection Officer: responsável por orientar, monitorar e verificar a conformidade em relação ao GDPR (General Data Protection Regulation, lei europeia similar à LGPD).

    Agentes de tratamento: o controlador e o operador, conforme definidos na LGPD

    Abrangência: qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou por pessoa jurídica, de direito público ou privado, no território nacional.

    Autenticidade: propriedade de que a informação não foi fraudada por uma determinada pessoa física, ou por um determinado sistema, órgão ou entidade;

    Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a pessoa física, sistema, órgão ou entidade não autorizados;

    Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por uma pessoa física ou determinado sistema, órgão ou entidade;

    Integridade: propriedade de que a informação não foi modificada ou destruída de maneira não autorizada ou acidental;

    Segurança Cibernética: ramo da segurança da informação para a proteção de informações no meio digital.

 

4. DIRETRIZES 

4.1 Dados pessoais tratados na FPA e o fundamento finalístico para o seu tratamento 

A FPA trata dados pessoais porque executa serviços diversos, dirigidos a pessoas naturais, por si ou em razão de contratos firmados com parceiros, trata dados pessoais de seus diretores e conselheiros, de voluntários, de representantes de empresas parceiras, terceirizadas, fornecedoras e clientes e também trata dados de empregados e seus familiares, prestadores de serviços.

São dados que identificam as pessoas, como nome, RG, CPF, endereço, dados bancários, filiação, n. do PIS, salário, podendo tratar dados sensíveis (biométricos, de saúde, ou outros), dados de crianças e adolescentes etc.

As coletas de dados pessoais se pautam pelos ditames legais, solicitadas as informações com finalidades adequadas a cada caso; mesmo assim são todas revistas para que haja a maior redução possível, passando a Instituição a coletar estritamente o que a lei permitir, apenas para as situações absolutamente necessárias e imprescindíveis.

Dados pessoais que podem ser conhecidos mesmo que o titular não os forneça, somente serão tratados nos casos permitidos por lei ou mediante consentimento expresso (exemplo: IP, localização etc.).

O inventário de dados é monitorado, gerenciado e atualizado, sendo periodicamente apresentado no Relatório de Impacto à Privacidade de Dados (RIPD).

Periodicamente, cada setor, munido de ferramentas apropriadas, enviará um relatório de gestão e atualização dos dados ao Encarregado, que cuidará de apoiar a atualização periódica do RIPD.

Esse processo contempla aba própria, em apartado, para registro e acompanhamento de dados sensíveis armazenados, processados, compartilhados ou transmitidos, servindo, igualmente, para alimentar o RIPD.

Dados pessoais cujo tratamento possa gerar risco aos direitos e liberdades fundamentais, mesmo que respeitado o melhor processo de tratamento de dados, não serão tratados senão excepcionalmente em benefício do seu próprio titular. Para o reconhecimento da inviabilidade do tratamento desses dados, os referidos casos serão avaliados e autorizados ou desautorizados pela área jurídica, indicando, no caso de estarem justificados, o fundamento legal.

 

4.2 Finalidades das iniciativas quanto à segurança da informação

A FPA faz investimentos, treinamentos e esforços para:

• proteger os dados pessoais, a privacidade e o acesso à informação, valorizando o princípio da autodeterminação informativa, mas também o direito à informação, o legítimo interesse, a liberdade de expressão, o direito à opinião, a inviolabilidade da intimidade, da honra e da imagem dos titulares de dados pessoais, o desenvolvimento tecnológico e a inovação. proteger a informação corporativa, os segredos comerciais e industriais, visando a minimizar danos ao negócio, prevenir fraudes e maximizar o retorno dos investimentos e oportunidades de negócio, de acordo com sua sensibilidade e exposição ao risco.

• proteger as informações sob a sua guarda quanto à confidencialidade, a integridade, a disponibilidade e a autenticidade.
garantir condições para que os empregados e prestadores de serviços sejam orientados sobre a existência e a utilização dos instrumentos normativos, procedimentos e controles de segurança adotados pela FPA.

• assegurar a adequação e a evolução das soluções de segurança para atender aos requerimentos dos beneficiários, às necessidades dos negócios e aos requisitos legais e contratuais, bem como impulsionar a inovação em soluções digitais entregando qualidade e segurança a todos os envolvidos.

 

4.3 Base jurídica do tratamento e proteção de dados pessoais

A LGPD ressalva como hipóteses de tratamento de dados pessoais, inclusive sem consentimento do titular dos dados, aquelas destinadas ao cumprimento de obrigação legal pelo controlador e outras. Como a FPA executa contratos para o Poder Público na área da qualificação profissional, podendo também trabalhar para outras secretarias do Município e outros entes Estatais, ou qualquer outra área, são sempre respeitadas as bases jurídicas para o tratamento de dados pessoais.

Anote-se, a Lei de Acesso à Informação obriga à disponibilização de dados pessoais quando o contrato se destina à execução de um projeto do Poder Público; entretanto, essa mesma lei apresenta dispositivos aptos a garantir a proteção de dados pessoais, cujos parâmetros são sempre respeitados.

 

4.4 Gestão do consentimento

A Fundação Porta Aberta estabeleceu e mantém processos para gestão do consentimento, que regulam a captação, ou a dispensa do consentimento, para a verificação de conformidade das operações de tratamento de dados pessoais. O procedimento utiliza um formulário que deve ser preenchido periodicamente (período definido de acordo com a natureza do processo) por cada área de serviço da organização e enviado ao gestor desse serviço na área, que, por sua vez, encaminhará uma cópia ao Encarregado, responsável pelo Relatório de Impacto à Proteção de Dados.

Os processos devem contemplar também o atendimento ao direito do titular à informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa (Art. 18, inciso VIII da LGPD) e possibilidade de revogação do consentimento (§ 5o do art. 8o da mesma Lei).

 

4.5 Prazo de retenção dos dados pessoais

Excetuando-se os dados coletados eventualmente para uma atividade pontual, como uma entrega, a contratação de um serviço de natureza efêmera, ou outra circunstância semelhante, os dados tratados na FPA têm natureza duradoura, correspondente à duração do contrato em execução.

Os titulares de dados pessoais são informados, sempre que são coletados novos dados, sobre o prazo de armazenamento daqueles dados, evitando-se com isso a falta de informação ou a dúvida na pessoa do titular dos dados.

 

4.6 Plano de Resposta a Incidentes de Privacidade – PRIP

Mecanismos aptos a permitir a pronta resposta na hipótese de ocorrer um incidente são determinantes para a FPA atingir e manter compliance em LGPD. Com esse objetivo, é publicado e atualizado o Plano de Resposta a Incidentes de Privacidade – PRIP (em atendimento ao Art. 48 e parágrafos da LGPD).

A execução se inicia com a notícia do incidente e, de acordo com a lei, algumas comunicações serão necessárias.

Além de indicar quais informações a comunicação deve abranger, é realizada a comunicação em prazo razoável, que deverá ser definido pela autoridade nacional (§1o do mencionado dispositivo).

Registrada a notícia do incidente, averígua-se o potencial de acarretar risco ou dano relevante aos titulares. Sendo previsível o dano aos direitos e liberdades fundamentais dos titulares de dados, além das comunicações determinadas por lei ao titular de dados e à autoridade nacional de proteção de dados, o Encarregado toma todas as providências para evitar maiores consequências.

Tendo, ou não, sido possível estancar os efeitos do incidente, a FPA investiga eventuais prejuízos, contando com o protagonismo da pessoa afetada.

Nos termos do § 2o do mesmo artigo, caso a ANPD considere necessário, para a salvaguarda dos direitos dos titulares, poderá determinar ao controlador a adoção de providências, tais como:

I – ampla divulgação do fato em meios de comunicação; e

II – medidas para reverter ou mitigar os efeitos do incidente.

Ao constatar a ocorrência de vazamento de informações privativas, uso indevido, mau uso e compartilhamento deliberados de dados pessoais, com aptidão para causar danos materiais ou morais ao titular dos dados, a FPA adota uma, ou mais, das providências previstas no plano emergencial.

Dependendo da contingência/gravidade e da proporção do incidente, a FPA lança mão desse plano emergencial para mitigar o dando, podendo propor ao titular dos dados prejudicado com o incidente, algumas medidas reparatórias, que se iniciam com um pedido de desculpas formal, mas podem ir além. Essa decisão caberá à autoridade máxima da Instituição, que terá à sua disposição outras possibilidades, como a de conceder um prêmio de compensação, ou ofertar um serviço gratuito (ex. curso).

4.7 Informações sobre atendimentos ao titular de dados quando este apresentar um requerimento ou buscar uma informação

A FPA realiza a gestão de petição de titulares de dados, que alimenta o Relatório de Impacto à Proteção de Dados.

Nos treinamentos de pessoal, todos são devidamente orientados de que a pessoa da organização responsável no seu setor por receber qualquer pedido de algum titular de dados (não importando quem seja), por qualquer forma, veículo de comunicação, ou canal próprio, faz a pretensão chegar ao Encarregado, caso não tenha sido diretamente endereçada ao mesmo. Cabe ao Encarregado cuidar para que seja feita a gestão dessas petições, de forma a permitir pronta resposta ao solicitante.

A FPA dedica todos os esforços para que sejam atendidos os direitos do titular de dados pessoais, indicando explícita e publicamente como ele pode acessar, apresentar requerimentos de qualquer natureza (solicitar retificação, transferência/compartilhamento, limitação ao uso dos seus dados, retirar o consentimento, a exclusão ou qualquer outro) e o processo a ser observado até a resposta ao titular dos dados.

Neste documento estão expostos os requisitos observados pela FPA para o compartilhamento dos dados com terceiros e qual a finalidade.

Os dados pessoais são compartilhados para o objetivo de cumprir obrigação legal ou regulatória e com os parceiros, terceirizadas, fornecedores e clientes, no estrito limite da necessidade, com observância do disposto no Art. 6o da LGPD. São coletados consentimentos nos casos exigidos por lei.

A única possibilidade de ocorrer a transferência internacional de dados pessoais é a de a situação enquadrar-se em uma das hipóteses do Art. 33 da LGPD, com a explícita e declarada finalidade de apoiar a atividade da FPA, mediante conhecimento e no interesse do titular dos dados.

Seguindo rigorosamente o disposto no Art. 10 da LGPD, a FPA somente trata dados pessoais com fundamento no legítimo interesse quando imprescindível para apoiar as suas atividades, proteger o direito do titular e não causar qualquer dano de nenhuma ordem à comunidade. Nesse caso, destaca todos esses registros no RIPD.

A FPA regulariza os dados pessoais utilizados em atividades de marketing, especialmente notificando beneficiários /ex-beneficiários para que expressem o consentimento para o uso do seu nome ou imagem, ou para recebimento de comunicações como, p. ex., e-mail marketing. Essa providência não deixa margem de dúvida ao titular de dados que tem a oportunidade clara e objetiva de remover o consentimento se já o concedeu anteriormente.

Não há procedimento na FPA do qual se extraiam decisões automatizadas; entretanto, em sendo o caso de a prática ser adotada, a Organização observará com rigor os direcionamentos da LGPD.

Dados sensíveis e dados de crianças e adolescentes, conforme já mencionado, recebem atenção especial, ficando deliberado que não haja compartilhamento com pessoas físicas ou jurídicas externas, a menos que haja determinação legal ou regulatória, ou que haja aprovação do Jurídico.

4.8 Política de cookies

Cookie é um pequeno arquivo de computador ou pacote de dados enviados por um site de internet para o navegador do usuário, quando o utilizador visita o site. Cookies podem definir preferências, dependendo das escolhas do usuário no seu dispositivo quando visita o portal da organização. Quando o usuário voltar a visitar o portal, este irá procurar os cookies para ver se já foi visitado anteriormente.

O portal da FPA deverá disponibilizar a todos os seus usuários a Política de cookies da FPA, que inclui, entre outras exigências:

    que o usuário seja consultado se concorda ou não com o uso de cookies;

    que os cookies só registram dados pessoais dos usuários sob sua estrita, explícita e registrada concordância.

4.9 Para garantir a segurança da informação

A organização da segurança da informação deve ser estabelecida e mantida em ciclos de melhoria, por meio de ações coordenadas de governança e gestão, visando promover ambiente seguro e alinhado ao negócio. 

As informações, os serviços, os sistemas de informação e os recursos da FPA sob sua guarda devem ser protegidos contra ameaças, de forma a reduzir os riscos e a garantir respectivamente a confidencialidade, integridade, disponibilidade e autenticidade, em alinhamento com os requisitos do negócio.

As informações da FPA ou sob sua guarda devem receber o mesmo nível de proteção, independente do meio em que estejam armazenadas, transitando ou sendo processadas.

Os dados pessoais e os dados pessoais sensíveis devem ser tratados adequadamente, observando-se a recomendação legal para dispensar cuidados especiais no caso de dados sensíveis, visando à sua proteção e a preservação da privacidade do titular.

Os princípios relacionados com os privilégios mínimos, com a necessidade de conhecer e com a segregação de funções devem ser adotados nos processos de trabalho e consequentemente no acesso aos sistemas, de forma a reduzir o risco de modificação não-autorizada ou não intencional, ou o uso indevido dos ativos da FPA.

A segurança e a resiliência do ambiente cibernético da FPA devem contemplar ações para tratar as situações de incidentes ou falhas e deve estar alinhada com as boas práticas para a segurança da informação.

A adoção de controles de segurança deve estar em conformidade com a legislação e normas vigentes, atender às necessidades dos serviços e suportar a evolução tecnológica, considerando os resultados da gestão de riscos e da gestão de vulnerabilidades técnicas.

A cultura de segurança da informação deve ser permanentemente fortalecida com educação continuada, treinamento periódico e campanhas internas de comunicação para a conscientização da responsabilidade de cada um, de forma a capacitar as pessoas nas suas atividades e a promover sua sensibilização para os temas.

O acesso às informações da FPA ou sob sua guarda não garante direito sobre essas informações, assim como não confere permissão para liberar o referido acesso a outras pessoas, quando não autorizadas.

Os administradores, empregados e prestadores de serviços da FPA devem ser responsabilizados pelo sigilo exigido por esta Política sobre os dados pessoais tratados, correlatos aos respectivos serviços contratados.

O uso de informações e recursos da FPA deve se dar em consonância com os propósitos da Fundação, não devendo atender a necessidades particulares ou a qualquer finalidade estranha aos seus serviços.

A segurança da informação e a privacidade/proteção de dados pessoais devem estar contempladas em todas as etapas, desde aquelas iniciais, do ciclo de vida dos serviços, visando a agregar segurança e privacidade aos projetos de software, aos produtos finais, e à adoção de novas tecnologias.

A monitoração da segurança deve ser realizada de forma permanente para identificar situações adversas visando à adoção de ações para minimizar impactos, inclusive nos casos em que tais situações envolvam violação de dado pessoal.

Os desvios e as falhas de segurança identificados não devem ser explorados ou utilizados indevidamente e devem ser reportados às áreas responsáveis. As violações de segurança devem ser registradas e as evidências, acaso encontradas, devem ser protegidas de forma adequada, visando a subsidiar o tratamento de incidentes, a análise forense computacional e as necessidades de informação determinadas pela Lei.

As instalações, equipamentos, materiais e documentos da FPA ou sob sua guarda devem estar protegidos contra ameaças.

As soluções de continuidade de negócios e de recuperação de desastres devem considerar controles que mantenham a segurança da informação, a segurança cibernética e a proteção à privacidade nos níveis contratados.

4.10 Formação continuada

A atualidade exige mudanças radicais na forma como as organizações no mundo sempre trataram dados pessoais. Dada a necessidade de construir uma cultura de proteção dos dados pessoais, a FPA implantou e mantém um Programa de Formação Continuada, estruturado em documento próprio, já em prática, destinado a facilitar que todos os seus agentes se apropriem das medidas legais a serem observadas no tratamento dos dados pessoais.

4.11 Sistemas

Atualmente na FPA grande parte das informações corporativas importantes e sigilosas, bem como as informações pessoais, estão hospedadas sob a guarda de sistemas. São eles, sistemas para administrativo-financeiros, pedagógicos e de atendimento.

Também há muitas informações armazenadas em pastas compartilhadas na rede da FPA ou em ambientes virtuais de nuvens.

Para esses sistemas, é necessário:

    que as bases de dados agregadas a esses sistemas sejam protegidas quanto ao acesso indevido (invasões) por meios externos ao próprio sistema;

    que a relação de usuários cadastrados para uso de cada sistema seja constantemente verificada pelas instâncias administrativas da FPA para averiguar continuamente se a tarefa de cada usuário frente ao sistema está compatível com o grau de privilégio para o acesso às informações que cada usuário tem.

    que sempre haja como rastrear o uso dos sistemas utilizados pelos usuários, normalmente a partir de análise de trilhas de auditoria (logs).

 

5. RESPONSABILIDADES

5.1 Empregados

A fim de que os empregados da FPA compreendam a responsabilidade da Instituição pela proteção dos dados pessoais, os executores de tratamento de dados pessoais receberão vários treinamentos já relacionados no Programa de Formação Continuada. A responsabilidade de cada empregado executor do tratamento de dados pessoais pelas consequências eventualmente impostas à Organização dependerá do exame do caso concreto, sempre respeitadas as disciplinas legais, inclusive de ordem trabalhista.

5.2 Prestadores de serviços

A responsabilidade de cada prestador de serviço executor do tratamento de dados pessoais, pelas consequências eventualmente impostas à Organização, dependerá do exame do caso concreto, sempre respeitadas as disciplinas legais e principalmente o contrato firmado entre as partes.

5.3 Usuários de serviços

A Organização responde pelos dados pessoais que trata, impondo a empregados e prestadores de serviços a obrigação de seguir a presente política, a fim de proteger e resguardar o direito dos titulares de dados, incluindo, naturalmente, os dados pessoais de diretores, conselheiros, voluntários, beneficiários, empregados, prestadores de serviços etc., além dos representantes das empresas com as quais se relaciona.

5.4 Parceiros, fornecedores e clientes

Considerando a possibilidade de compartilhar dados pessoais com empresas parceiras, eventuais terceirizadas, fornecedores e clientes, insere nos contratos cláusulas específicas sobre as obrigações recíprocas e responsabilidade solidária.

5.5 Nomeações da FPA para fins de LGPD 

5.5.1 Encarregado de Proteção de Dados Pessoais

Função relacionada às relações externas da Instituição, já que o seu papel é a comunicação, em nome do controlador, com o titular de dados pessoais e com a Autoridade Nacional de Proteção de Dados.

5.5.2 Data Protection Officer (DPO)

DPO: papel previsto apenas na legislação da União Europeia, com a função de orientar, monitorar e fiscalizar a conformidade da Organização com a Lei. Consciente de sua responsabilidade, a FPA entendeu por bem nomear o Encarregado que exerce também as funções do DPO, para o desempenho desse trabalho de colocar a FPA em compliance com a LGPD.

 

6. INDICADORES

O Programa de Governança em Privacidade de Dados e de Segurança da Informação e o atendimento a esta Política devem ser continuamente monitorados. Os indicadores que refletem a eficácia de atendimento dessa Política são:

    Número de dados pessoais registrados na FPA (por área/projeto/serviço e total)

    Número de incidentes de violação de privacidade e/ou de comprometimento da segurança de informação (física ou virtual) por período

    Número de atividades de formação e afins referentes a proteção e privacidade de dados, por empregado por período e de horas correspondentes

    Investimento no período voltado à privacidade e segurança, por área/projeto/serviço e total

    Resultado integrado do cumprimento das metas operacionais estabelecidas nos Planos integrantes da PGBP – Política de Governança e Boas Práticas (PGC – Plano de Gestão da Conformidade, PMC – Plano de Melhoria Contínua e PVM – Plano de Validação Metodológica). Durante a fase de implantação dos processos de adequação à LGPD podem ser utilizados os seguintes indicadores:

    Número de ações necessárias para a total adequação à LGPD por área/projeto/serviço e total

    Número de ações concluídas voltados à aderência da FPA à LGPD, por área/projeto/serviço e total.

 

Jacira Jacinto da Silva

Presidente Fundação Porta Aberta