LGPD
Por isso nasceu este espaço, dedicado exclusivamente ao controle de privacidade.
Conheça grande parte do intenso trabalho de proteção de dados pessoais realizado na cooperativa nacional do Sistema Unimed.
CONCEITOS DA LGPD
Evolução do Conceito de Privacidade
No contexto da Sociedade da Informação, fica evidente a necessidade de criação de leis voltadas especificamente para a proteção de dados pessoais, com a consequente atualização de ordenamentos jurídicos consolidados ao longo dos séculos, que precisam agora ser revisitados e repensados. Eles se tornaram inadequados ou pouco eficientes para garantir o equilíbrio social, diante dos novos conflitos decorrentes da tecnologia.
Com isso, a evolução tecnológica culminou em um amadurecimento natural do conceito de privacidade, alavancado de forma abrupta pela nova realidade imposta pela Sociedade da Informação.
Não por acaso, no segundo semestre do ano de 2018, foi aprovada no Brasil a Lei Geral de Proteção de Dados Pessoais, claramente inspirada no regulamento europeu, colocando o País em linha com o que há de melhor prática no mundo.
O que significa LGPD?
LGPD é a sigla para Lei Geral de Proteção de Dados do Brasil, sancionada em agosto de 2018. A LGPD estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais, impondo mais proteção e penalidades para o não cumprimento de suas exigências.
Como funciona a LGPD?
A Lei Geral de Proteção de Dados, em resumo, coloca nas mãos do titular (dono) das informações o controle sobre elas. Ou seja, todo usuário deve permitir, de forma explícita, consciente e espontânea, que as organizações utilizem seus dados pessoais para fins específicos.
Qual a necessidade de uma lei para proteger dados pessoais?
Estabelecer padrões mínimos a serem seguidos quando ocorrer o uso de um dado pessoal, como a limitação de uma finalidade específica, a criação de um ambiente seguro e controlado para seu uso e outros, sempre garantindo ao cidadão protagonismo nas decisões fundamentais a este respeito.
O que muda com a lei LGPD?
Já em vigor, a LGPD (Lei Geral de Proteção de Dados) trará mudanças significativas nos ambientes corporativos. A partir de agora, todos os negócios precisarão reforçar a segurança dos dados e promover políticas mais transparentes sobre o uso, coleta e o armazenamento deles.
Quem é o titular dos dados?
É a pessoa natural, pessoa física, identificada ou identificável, a quem aqueles dados se referem.
O que são dados pessoais na LGPD?
São informações relativas à uma pessoa viva, identificada ou identificável. Também constituem dados pessoais o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa.
O que são dados sensíveis na LGPD?
Os seguintes dados pessoais são considerados sensíveis e estão sujeitos a condições de tratamento específicas:
– Dados pessoais que revelem a origem racial ou étnica;
– Opiniões políticas e convicções religiosas ou filosóficas;
– Filiação sindical;
– Dados relativos à vida sexual ou orientação sexual da pessoa.
SEGURANÇA
A Lei de Proteção de Dados (LGPD) existe para manter o uso de dados pessoais do consumidor brasileiro mais transparente e seguro.
Nos preocupamos muito em comunicar e divulgar nossa política de utilização das informações dos beneficiários. Assim, você entende quais dados estão disponíveis, onde são usados e a finalidades deles.
Confira as Políticas e Direcionadores da Privacidade
dos titulares dos dados pessoais.
POLÍTICA GOVERNAR DADOS
POLITICA GOVERNAR DADOS
- OBJETIVO
Definir as diretrizes gerais sobre Governança de Dados que devem ser cumpridas em relação a criação, ingestão, transformação, utilização, compartilhamentos, armazenamento e descarte dos dados da CNU
- APLICAÇÃO
Arquitetura de TI;
Governança de TI;
Inteligência de Informações;
Operações de TI;
Projetos e Sistemas.
- DEFINIÇÕES
CICLO DE VIDA DOS DADOS: Conjunto de passos e situações pelos quais um dado pode passar no decorrer de sua vida útil. No curso da sua vida, o dado pode ser: extraído, exportado, importado, migrado, validado, editado, atualizado, limpo, transformado, convertido, integrado, segregado, agregado, referenciado, revisado, relatado, analisado, recuperado, arquivado e restaurado antes de eventualmente ser eliminado.
DADOS: Conjunto de caracteres primitivos e isolados, geralmente representados através de textos, números, imagens, sons ou vídeos. Quanto à apresentação, os dados podem ser classificados como: Dados Estruturados, Dados Semiestruturados ou Dados não Estruturados.
DADOS COMPARTILHADOS: Representados por entidades e são utilizadas por mais de uma área da organização.
DADOS CORPORATIVOS: Dados fundamentais para as atividades de negócios da CNU. Todos os dados corporativos são compartilhados.
DADOS DE REFERÊNCIA: Dados utilizados para categorizar (agrupar ou classificar) outros dados, principalmente os dados mestres. Podem ser de origem externa ou interna à organização. Geralmente, armazenados em tabelas constituídas por códigos e suas descrições, como, cargos, unidades federativas, municípios, moedas, etc.
DADOS MESTRES: Dados corporativos criados dentro da organização, são compartilhados e qualificam as transações de negócios, como, dados de clientes e produtos.
DAMA-DMBoK: Data Management Body of Knowledge. Guia das Melhores Práticas em Gestão de Dados.
DATA STEWARDSHIP: Gerente estratégico de dados.
FUNÇÃO DE DADOS: Subdivisões da Disciplina Gestão de Dados, formadas pelo conjunto de conceitos, atividades e técnicas com propósito e características em comum.
INFORMAÇÃO: Dados processados, interpretados, estruturados com algum significado ou apresentados de modo a torná-los significativos, reduzindo a incerteza sobre alguma coisa, estado ou evento. A informação não sofre depreciação e deve ter seu foco voltado para o negócio da empresa.
METADADOS: Informações a respeito de um determinado dado, possibilitando sua contextualização, caracterização, qualificação e classificação, sob diversos aspectos. Subdividimos os metadados em dois tipos: metadado técnico e metadado de negócio.
METADADOS DE NEGÓCIOS: Informações que nos permitem um melhor/maior entendimento sobre o contexto de um dado, tais como: o domínio de valores válidos, a faixa de valores possíveis e aceitáveis, a identificação de quem criou e/ou alterou seu conteúdo, quais processos geram/utilizam o dado, quais regras de negócio definem/utilizam o dado e demais informações pertinentes.
METADADOS TÉCNICOS: Informações que identificam fisicamente um dado, tais como: tipo, formato, tamanho, data de criação, data de atualização, identificação detalhada do local de armazenamento, referências cruzadas que mostram sua utilização em programas/aplicações/sistemas, entre outros.
PROGRAMA DE GOVERNANÇA DE DADOS: Conjunto de iniciativas e/ou projetos relacionados que buscam em um primeiro momento implementar a Gestão de Dados na empresa, e logo após evoluir a maturidade desta gestão.
- INTENÇÕES E POSICIONAMENTO
4.1. Governança de Dados
4.1.1. A Governança de Dados é uma função de dados responsável por alinhar Tecnologia, Processos e Pessoas para definir os papéis, responsabilidades e processos necessários para gerir os dados estratégicos da organização. Conforme demonstrado na figura a seguir, a Governança de Dados é considerada a função de dados central do guia DAMA-DMBOK® V2 e exerce influência sobre as demais funções contempladas no Guia:
Figura 1 – Visão Geral do DAMA-DMBoK V2
4.1.2. A Governança de Dados atua como uma autoridade articuladora, estabelecendo as diretrizes da Gestão de Dados, identificando problemas, buscando oportunidades, propondo iniciativas, monitorando e orquestrando a execução das ações que visam a melhoria da maturidade no uso dos dados e o cumprimento do direcionamento estratégico estabelecido para eles.
4.2. Reconhecimento dos Dados como ativos Estratégicos
4.2.1. Os dados são ativos valiosos para a organização, pois por meio da evolução deles é possível tomar decisões assertivas e fornecer dados com alto grau de qualidade aos nossos Clientes Internos e Externos. Como ativos, dados são propriedade da organização, não de qualquer indivíduo ou unidade organizacional.
4.3. Modelo de atuação da Governança de Dados
4.3.1. A CNU toma como base para seu Modelo de atuação em Governança de Dados as melhores práticas para gerenciamento de dados, recomendadas no Guia DAMA-DMBoK.
4.3.2. O Modelo recomendado para Governança de Dados na CNU envolve a definição, desenvolvimento, implantação, facilitação, orquestração, supervisão e revisão dos controles de Gestão de Dados na Organização.
4.3.3. Além disso, deve atuar de forma proativa, como uma função que irá orquestrar todas as ações necessárias para garantir uma governança efetiva sobre os dados e fomentar uma cultura de melhoria contínua sobre a qualidade dos dados utilizados pela Organização, trabalho este que envolve as várias áreas da CNU.
4.4. A responsabilidade pela Governança de Dados na CNU deve ser compartilhada entre as áreas de Negócio, Operações e Tecnologia
4.4.1. As atividades necessárias para estabelecer uma Governança de Dados efetiva na CNU são executadas por profissionais lotados em áreas de Negócio/Operação (Gestores da Informação ou Gestores de Dados em Negócio) e Tecnologia (Gestores Técnicos de Dados). Os papéis e responsabilidades na gestão de dados estão definidos na PL-050 Gerir Dados.
4.4.2. Os colaboradores da área de Inteligência de Informações são responsáveis por orientar, facilitar e disseminar as ações vigentes de Governança de Dados na CNU.
4.4.3. Os demais colaboradores da CNU são responsáveis por compreender e zelar pelo cumprimento dos princípios estabelecidos nesta Política.
4.5. Gestor da Informação
4.5.1. Recomenda-se que todo e qualquer conceito de dados corporativos, estruturados ou não, deve possuir um Gestor da Informação identificado para conduzir da gestão deste conceito de dados.
4.5.2. O Gestor da Informação é uma pessoa física, que representa formalmente uma área da Organização (geralmente uma Superintendência) e responde formalmente à Alta Direção e demais Órgãos Externos sobre a situação do conceito de dados sob sua responsabilidade (accountability).
4.5.3. Algumas decisões devem ser delegadas ao Gestor de Dados em Negócio, que atuará nos patamares tático e operacional e representará os interesses do Gestor da Informação nos Grupos de Trabalho e demais iniciativas em que estiver envolvido (data stewardship).
4.5.4. Caso não seja possível a identificação, em um primeiro momento, cabe à Comissão de Governança de Dados apoiada, quando necessário, pelos Grupos Táticos de Trabalho, indicar a estrutura organizacional responsável pelo conjunto de dados em questão, seguindo as diretrizes da DG-239 Gerir Comissão de Governança de Dados.
4.6. Estruturas de Apoio à Gestão de Dados
4.6.1. As Estruturas de Apoio à Gestão de Dados são responsáveis por implementar iniciativas de melhoria, tomar decisões sobre assuntos ligados à Gestão de Dados, oferecer suporte e orientar, nos âmbitos tático e estratégico, as ações de Gestão e Governança de Dados na empresa.
4.6.2. Os Grupos Táticos de Trabalho em Gestão de Dados são formados por pessoas de diversas áreas da CNU, que atuam ou têm alguma relação com a Gestão de Dados. Elas são formalmente constituídas e possuem lideranças que são responsáveis e respondem formalmente pelos passos e pelas decisões tomadas. A figura a seguir apresenta a hierarquia das Estruturas de Apoio à Governança de Dados propostas para adoção no Programa de Governança de Dados na Central Nacional Unimed:
4.6.3. A Comissão de Governança de Dados é composto pelos Superintendentes, Operações e Tecnologia da CNU. Esta Comissão tem como principal objetivo indicar, tratar e priorizar as decisões e diretrizes estratégicas, no âmbito da Gestão e Governança de Dados na Organização. Seus encontros são periódicos e as reuniões são específicas para tratar assuntos ligados a Gestão e Governança de Dados. A Comissão de Governança de Dados, eventualmente, pode tratar problemas que foram escalados por algum Grupo Tático de Trabalho em Gestão de Dados.
4.6.4. Os Grupos Táticos de Trabalho em Gestão de Dados são criados a partir da necessidade de colaboração de perfis e áreas diversas da Organização para atuar em assuntos específicos. Atuam nos níveis táticos da Organização. São responsáveis por tratar novas iniciativas ou ações de melhoria propostas pela Comissão de Governança de Dados, ou as decorrentes de necessidades de melhoria em Gestão de Dados indicadas pelas demais áreas da CNU.
4.7. Dados em uso agregam valor para a empresa
4.7.1. Os dados só têm valor quando são realmente utilizados, ou quando podem ser úteis no futuro. Todos os estágios do ciclo de vida do dado possuem custos e riscos associados, mas apenas a partir do estágio de “uso” acrescentam valor ao negócio.
4.8. Dados devem ser gerenciados
4.8.1. Como qualquer ativo, o dado tem um ciclo de vida e, para gerenciar os ativos de dados, a organização deve gerenciar todo o ciclo de vida do dado, desde o momento em que ele é planejado, criado ou adquirido, armazenado e mantido, utilizado e eventualmente destruído. Todos os colaboradores devem reconhecer que a gestão adequada dos dados da CNU é fundamental para o sucesso da organização.
4.9. Identificação de melhorias nos dados
4.9.1. A atuação da Governança de Dados deve resultar em meios para fomentar a criação de uma cultura baseada na análise, identificação, seleção, priorização e atuação em iniciativas de melhoria nos dados e informações existentes na CNU.
4.9.2. A seleção e priorização das iniciativas de melhoria devem ser decididas pelas Estruturas de Apoio à Governança de Dados.
4.9.3. As Estruturas de Apoio à Governança de Dados devem indicar quais as responsabilidades envolvidas para a execução das iniciativas aprovadas pelas Estruturas.
4.9.4. Para fins de monetização do Programa de Governança de Dados, cada nova iniciativa deve informar um ROI, definido nas fases iniciais de projeto e também o retorno real obtido pelo projeto, após a implementação do mesmo.
4.10. As informações sobre os Gestores das Informações e domínios sob suas responsabilidades devem ser divulgadas e conhecidas pelos colaboradores da CNU
4.10.1. O acesso à lista de Gestores das Informações e áreas de atuação deve respeitar a PL-018 Segurança da Informação.
4.11. A Governança de Dados deve ser conduzida como um Programa permanente, composto por vários Projetos
4.11.1. Mesmo após um projeto inicial de implantação para adotar a Governança de Dados de forma efetiva, vários projetos serão necessários no decorrer do tempo. As necessidades desses projetos são definidas nas reuniões periódicas das Estruturas de Apoio à Gestão de Dados.
4.11.2. Um dos objetivos da Gestão de Dados é a melhoria contínua da qualidade dos dados e dos processos de gestão adotados para esses propósitos. Portanto, enquanto houver uma Governança de Dados efetiva, haverá também projetos de melhoria, voltados à obtenção da excelência no uso dos dados da empresa. 4.11.3. Qualquer projeto a ser realizado na CNU que esteja relacionado com qualquer função de dados, deverá ser considerado e acompanhado pelo Programa de Governança de Dados.
4.11.4. Cabe a área de Inteligência de Informações manter o registro dos projetos vigentes de Estruturação da Gestão de Dados.
4.12. As atividades ligadas ao gerenciamento de dados devem estar contempladas na documentação regulatória sobre Gestão de Dados
4.12.1. A documentação deve estar alinhada com o estágio atual da maturidade da empresa. Ou seja, todas as atividades em operação, ligadas a Gestão de Dados, devem ter seus normativos contemplados na documentação vigente.
4.12.2. As atividades ligadas a continuidade do negócio que são baseadas na utilização de dados devem ser regulamentadas por meio de PL-050 Gestão de Dados e segue diretrizes estabelecidas na PL-051 Gerir Arquitetura de Dados, PL-052 Gerir Qualidade de Dados.
4.13. Processos de Trabalho de Governança de Dados
4.13.1. Os processos de trabalho devem ser seguidos por todos os envolvidos.
4.13.2. A área de Inteligência de Informações deve prover meios para garantir a efetividade dos processos de trabalho estabelecidos.
4.14. Aquisições de dados externos e contratações de serviços ligados a melhoria da gestão e da qualidade dos dados
4.14.1. Toda nova aquisição de dados externos ou contratação de serviços deve ser submetida à aprovação da área de Inteligência de Informações. A diretriz tem como objetivo estabelecer uma análise corporativa de cada aquisição/contratação.
4.14.2. O registro e controle das aquisições de dados e contratações de serviços ligados à qualidade de dados deve ser centralizado.
4.15. Período de Retenção de Dados
4.15.1. Todo conteúdo de dado criado e utilizado pela organização deve ter seu período de retenção definido.
4.15.2. O registro dessas informações deve ser feito, de forma centralizada, nos metadados técnicos e de negócio que representam as estruturas que armazenam os dados.
4.16. Indicadores de Performance em Governança de Dados
4.16.1. Os indicadores Estratégicos da Governança de Dados devem fornecer o panorama atual sobre o cumprimento das diretrizes estratégicas estabelecidas na Estratégia de Dados da CNU.
4.16.2. Os indicadores Operacionais devem oferecer visões sobre o monitoramento dos processos de trabalho estabelecidos, bem como a evolução gradual da utilização da função Governança de Dados na CNU.
4.17. Identificação de Riscos
4.17.1. Os profissionais envolvidos com a função Governança de Dados devem atuar como segunda linha de defesa, conforme estabelecido na PL-017 Riscos e Controles Internos, auxiliando na identificação, mensuração, avaliação, mitigação, monitoramento e reporte dos riscos inerentes aos dados utilizados na CNU.
4.18. Segurança e Privacidade
4.18.1. O acesso aos dados da empresa deve respeitar as diretrizes vigentes na PL-018 Segurança da Informação.
4.19. Capacitação
4.19.1. A área de Inteligência de Informações deve disponibilizar a todos os usuários as regras e condutas a serem adotadas para as melhores práticas de Governança de Dados.
4.19.2. Anualmente, a área de Inteligência de Informações deve promover treinamentos para aculturamento em Governança de Dados, devendo os gestores da organização incentivar a participação dos seus colaboradores nos treinamentos, afim de garantir a disseminação da cultura e das boas práticas de Governança de Dados.
- ATIVIDADES E RESPONSABILIDADES
Atividade Desenvolvida Responsável pela Execução
- Cumprir as orientações descritas nesta Política;
- Participar dos treinamentos;
- Comunicar a Gerência de Inteligência de Informações toda e qualquer ação que viole as diretrizes de Governança de Dados;
- Reconhecer e tratar os dados como ativos estratégicos da CNU.
Áreas da CNU – Colaborador
- Aprovar as Políticas ligadas à Gestão de Dados na CNU;
- Aprovar as estratégias para a Governança de Dados;
- Avaliar e deliberar as propostas e demais situações que são submetidas e relacionadas à segurança da informação.
Comissão de Governança de Dados
- Propor políticas, diretrizes gerais, padrões, processos, métricas e indicadores referentes as funções de dados adotadas na CNU;
- Verificar o cumprimento das políticas de dados e orientar a força de trabalho em relação ao cumprimento delas;
- Indicar os perfis adequados para atuar nos papéis existentes;
- Propor a criação de Grupos Táticos de Gestão de Dados e atuar como facilitador nos mesmos;
- Identificar pontos de melhoria, propor soluções e atuar na orquestração das iniciativas propostas, junto com os profissionais de tecnologia e negócios;
- Criar e manter atualizado um catálogo de iniciativas de melhoria com os dados, bem como reportar às Estruturas de Apoio à Governança de Dados o posicionamento de cada iniciativa;
- Definir, acompanhar e propor melhorias em relação aos Indicadores de Gestão de Dados;
- Verificar o cumprimento das diretrizes estabelecidas nesta política e reportar às Estruturas de Apoio à Governança de Dados os eventuais desvios encontrados;
- Promover o entendimento de que os dados são ativos estratégicos na CNU;
- Orientar e quando necessário, capacitar a força de trabalho da CNU nos temas referentes à Governança de Dados.
Inteligência de Informações
- CONFIDENCIALIDADE
Este normativo pertence à Central Nacional Unimed. É proibida a reprodução no todo ou em parte, bem como a divulgação e/ou disponibilização a quaisquer outras pessoas e/ou empresas, sob qualquer motivo, salvo casos analisados e aprovados pela equipe de Processos e Qualidade.
- CONTROLE DE INFORMAÇÃO DOCUMENTADA
Este normativo será controlado e gerenciado conforme PGQ-001 Controle de Informações Documentadas.
- DOCUMENTOS E REGISTROS RELACIONADOS
DG-239 Gerir Comissão de Governança de Dados;
PGQ-001 Controle de Informações Documentadas;
PL-017 Política de Riscos e Controles Internos;
PL-018 Política de Segurança da Informação;
PL-050 Política de Gestão de Dados;
PL-051 Arquitetura de Dados;
PL-052 Gerir Qualidade de Dados.
POLITICA GERIR PROTEÇÃO DE DADOS PESSOAIS
POLITICA GERIR PROTEÇÃO DE DADOS PESSOAIS
- OBJETIVO
Definir as diretrizes para o gerenciamento da proteção de dados pessoais que estejam sob a responsabilidade da CNU, de maneira direta ou indireta, no caso dos operadores contratados.
- APLICAÇÃO
Áreas da CNU;
Comitê de Governança, Riscos e Auditoria Interna;
Contratos;
Governança de Dados;
Segurança da Informação e Continuidade de Negócios;
Arquitetura de TI;
Sistemas;
Operações de TI;
Governança de TI.
- DEFINIÇÕES
AMBIENTE CONVENCIONAL DE INFORMAÇÃO: Ambiente onde a informação está em formato reconhecido diretamente pelo usuário, acessada sem a necessidade de equipamento específico, como por exemplo, a informação está escrita em papel.
AMBIENTE DE INFORMAÇÃO: Ambiente convencional ou ambiente digital onde são tratadas as informações sob responsabilidade da organização.
AMBIENTE DIGITAL OU AMBIENTE DE TECNOLOGIA DE INFORMAÇÃO: Ambiente onde a informação está em formato matemático, utilizando representação binária ou outra representação técnica, é necessário o uso de ferramentas específicas, como sistemas e/ou equipamentos para acessá-la.
ANONIMIZAÇÃO: Técnicas utilizadas no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
ANPD: Autoridade Nacional proteção de Dados. Órgão Federal que possui atribuições relacionadas à proteção de dados pessoais e da privacidade, e fiscalizatório.
CNU: Central Nacional Unimed.
CONSENTIMENTO: Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
CONTROLADOR: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
CORPO DIRETIVO: Pessoa ou grupo de pessoas, que são responsáveis pelo desempenho e conformidade da organização.
DADO ANONIMIZADO: Dado relativo ao titular que não possa ser identificado, considerando a utilização de técnicas disponíveis na ocasião do se tratamento.
DADO PESSOAL SENSÍVEL: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
DADO PESSOAL: Informação relacionada a pessoa natural identificada ou identificável.
DADO: Unidade mais simples de informação, sem estruturação.
ENCARREGADO: Pessoa indicada pelo Corpo Diretivo para atuar como canal de comunicação entre a CNU, os titulares dos dados e a ANPD.
GDPR: Regulamento Geral de Proteção de Dados 2016/679 é um regulamento de direito europeu sobre a privacidade e proteção de dados pessoais, aplicáveis a todos os indivíduos na União Europeia e espaço Econômico Europeu.
INCIDENTE OU VIOLAÇÃO DE DADOS PESSOAIS: Violação de controles de segurança que provoque de modo acidental ou ilícito, a destruição, perda, alteração, divulgação ou outra ação que comprometa a proteção de dados pessoais.
INFORMAÇÃO CNU: Informação de propriedade ou sob responsabilidade da CNU.
INFORMAÇÃO: Estruturação de dados que adiciona maior significado, coloca contexto e gera maior significância, ou seja, gera valor.
LGPD: Lei Geral de Proteção de Dados Pessoais.
MARCO CIVIL DA INTERNET: Trata-se da lei 12.965/2014, que estabelece princípios, direitos e deveres para o uso da internet no Brasil.
OPERADOR: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS: Documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
TITULAR: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
TRATAMENTO: Operação realizada com dados pessoais, como as que se referem coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
USUÁRIO DA INFORMAÇÃO: Pessoa física ou jurídica, independente se classificados como usuário cliente, visitante ou colaborador (colaborador próprio, prestador de serviço, fornecedor, estagiária, aprendiz ou conselheiro).
- INTENÇÕES E POSICIONAMENTO
4.1. Compromisso com a proteção de dados pessoais
4.1.1. A equipe de Segurança da Informação é responsável por definir as diretrizes relativas à segurança da informação dentro da organização. Sendo que estratégias, propostas e demais assuntos relevantes, deverão ser submetidos para apresentação e/ou deliberação do Comitê de Governança, Riscos e Auditoria Interna.
4.1.2. A CNU respeita a liberdade civil, os direitos fundamentais, a privacidade de cada pessoa natural e a liberdade do titular em decidir sobre a utilização dos seus dados pessoais.
4.1.3. A LGPD é um dos principais regulamentos legais seguido pela CNU. Toda diretriz e tratamento de dado pessoal sob responsabilidade da CNU deve estar em conformidade com esta política. As diretrizes deste documento estão baseadas nesta lei.
4.1.4. Outros instrumentos legais como o Marco Civil da Internet e o GDPR também são considerados na definição dos controles para a proteção de dados pessoais sob responsabilidade da CNU.
4.1.5. O Processo Organizacional de Segurança da Informação da CNU define controles de proteção para toda informação sob responsabilidade da CNU, inclusive, os dados pessoais.
4.1.6. O compartilhamento de dados pessoais com as autoridades públicas sem conhecimento dos titulares somente ocorrerá quando do cumprimento de obrigação legal ou judicial.
4.1.7. O tratamento de dados pessoais somente será realizado caso atenda a pelo menos um dos seguintes requisitos:
4.1.7.1. Mediante o consentimento explícito e de livre vontade do titular;
4.1.7.2. Para o cumprimento de obrigação legal ou regulatória;
4.1.7.3. Para a execução de contrato ou de procedimentos preliminares relacionados a contrato com o titular dos dados pessoais;
4.1.7.4. Para a realização de estudos por órgãos de pesquisa mediante anonimização dos dados pessoais;
4.1.7.5. Quando necessário o exercício regular de direitos em processo judicial;
4.1.7.6. Administrativo ou arbitral;
4.1.7.7. Para a proteção da vida ou da incolumidade física da pessoa natural;
4.1.7.8. Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
4.1.7.9. Para atendimento aos interesses legítimos da CNU, respeitando os critérios definidos em lei e sempre prevalecendo os direitos e liberdades fundamentais do titular.
4.1.8. Todo contrato jurídico de relacionamento da CNU com seus operadores deve ter explícito as responsabilidades e o escopo em relação ao tratamento de dados pessoais.
4.1.9. A cada período de 12 meses a equipe de Segurança da Informação e Continuidade de Negócios tem a responsabilidade de disponibilizar para o Corpo Diretivo, um relatório descrevendo a maturidade da organização em relação aos controles de segurança da informação para a proteção de dados pessoais.
4.1.10. Todo tratamento de dado pessoal deve ser documentado pela área executora do tratamento, de maneira a possibilitar a resposta rápida da CNU para auditorias, ANPD, titular ou questionamentos judiciais.
4.2. Princípios gerais de tratamento de dados pessoais
4.2.1. Os princípios gerais de tratamento e dados pessoais devem ser respeitados em qualquer tratamento de dados ou qualquer alteração posterior ao tratamento.
4.2.2. Estes princípios devem ser considerados quando da definição da forma de tratamento, no desenvolvimento e na operação de produtos, serviços e sistemas.
4.2.3. Para qualquer tratamento de dados pessoais é obrigatório o atendimento aos seguintes princípios:
Finalidade
Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular.
Adequação
Compatibilidade do tratamento com as finalidades informadas ao titular.
Necessidade
Limitação do tratamento ao mínimo necessário para a realização de suas finalidades.
Livre acesso
Garantia aos titulares de consulta facilitada e gratuita sobre a forma e duração do tratamento.
Qualidade dos dados
Garantia aos titulares de exatidão, clareza, relevância e atualização dos dados.
Transparência
Garantia aos titulares de informações claras, precisas e facilmente acessíveis.
Segurança
Existência de controles para a proteção dos dados pessoais.
Prevenção
Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento.
Não discriminação
Não realização de tratamento para fins discriminatórios ilícitos ou abusivos.
Responsabilização
Comprovação do cumprimento de normas, regulamentos e dispositivos legais relacionados à proteção de dados pessoais. Geração de evidências.
4.3. Direitos dos titulares
4.3.1. A implementação do tratamento de dados pessoais deve considerar sempre os direitos do titular que deve acontecer em qualquer plataforma de ambiente de informação.
4.3.2. O titular dos dados pessoais tem os seguintes direitos:
4.3.2.1. Confirmação da existência do tratamento;
4.3.2.2. Acesso aos seus dados;
4.3.2.3. Correção de seus dados incompletos, inexatos ou desatualizados;
4.3.2.4. Portabilidade de seus dados para outro fornecedor de serviço;
4.3.2.5. Eliminação de dados tratados com o consentimento do titular, respeitando todas as demais legislações que tratam do tema de guarda de informação;
4.3.2.6. Possibilidade de não fornecer consentimento e conhecimento das consequências;
4.3.2.7. Revogação do consentimento;
4.3.2.8. Opor-se ao tratamento realizado, em caso de descumprimento da lei pela CNU.
4.3.3. Quando de solicitações de informações pelo titular, a CNU tem o compromisso de responder adequadamente no prazo máximo de 15 dias úteis.
4.4. Conservação de dados pessoais
4.4.1. A CNU conservará os dados pessoais apenas durante a vigência de contratos e de cumprimento de obrigações legais.
4.4.2. Quando da eliminação lógica ou física de dados pessoais, deve ser gerada uma documentação do fato, possibilitando o atendimento a auditorias, questionamentos do titular e solicitações da Autoridade Nacional de Proteção de Dados.
4.5. Encarregado pelo Tratamento de Dados Pessoais
4.5.1. O Corpo Diretivo da CNU definirá a pessoa física ou pessoa jurídica que exercerá a função de Encarregado pelo Tratamento de Dados Pessoais.
4.5.2. O Encarregado pelo Tratamento de Dados Pessoais tem as seguintes responsabilidades:
4.5.2.1. Aceitar as reclamações e comunicação dos titulares, através de meios de comunicações, prestar esclarecimentos e adotar providências;
4.5.2.2. Receber comunicações da autoridade nacional e adotar providências;
4.5.2.3. Orientar os funcionários e os contratados, a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
4.5.2.4. Executar outras atribuições determinadas pelo Corpo Diretivo.
4.6. Ocorrências de Incidentes ou violação de dados pessoais
4.6.1. Quando da ocorrência de incidentes que comprometam a proteção de dados pessoais, a privacidade da pessoa natural ou outro impacto similar, o mesmo deve ser:
4.6.1.1. Formalmente registrado, pelo encarregado, na Gestão de Incidentes de Informação e seguir seu processo;
4.6.1.2. Comunicado ao Corpo Diretivo;
4.6.1.3. O Encarregado comunica a área de Segurança da Informação e à Área Jurídica para avaliação de medidas que devem ser tomadas;
4.6.1.4. Comunicado à ANPD;
4.6.1.5. Avaliado se deverá ser comunicado ao mercado e ao titular, mediante orientação da autoridade nacional.
4.7. Segurança de proteção desde o início
4.7.1. Quando do desenvolvimento de sistemas, produtos/serviços de negócio ou similar, o desenho inicial e a sua estrutura base, já devem contemplar os controles de segurança da informação e de proteção para os dados pessoais, conforme a
PL053- Governar Dados.
4.8. Análise de Risco de Impacto à Proteção de Dados Pessoais
4.8.1. A Análise de Risco de Impacto à Proteção de Dados Pessoais deve ser gerado, pelo menos, nas seguintes situações:
4.8.1.1. A cada período de seis meses;
4.8.1.2. Quando solicitado pela Autoridade Nacional de Proteção de Dados Pessoais;
4.8.1.3. Quando da criação de novo serviço, produto ou atualização de elementos existentes, que tratem de dados pessoais.
4.8.2. A Área de Segurança da Informação e Continuidade de Negócio é responsável pela Gestão de Risco de Impacto à Proteção de Dados Pessoais, e pela elaboração do Relatório Análise de Risco de Impacto à Proteção de Dados Pessoais.
4.9. Anonimização e criptografia
4.9.1. Quando do tratamento de dados pessoais não for necessário a identificação individual, deve-se anonimizar os mesmos. Este controle não deve ser possível sua reversão.
4.9.2. Quando da anonimização de dados pessoais, deve ser gerado uma documentação sobre este fato, de maneira a possibilitar a transparência do tratamento de dados pessoais e a resposta rápida para auditorias, titular dos dados pessoais e autoridade nacional.
A Área de Segurança da Informação e Continuidade de Negócio é responsável por este procedimento, coordenando as demais áreas envolvidas.
4.9.3. Sempre que possível os dados pessoais devem estar criptografados para minimizar o risco de vazamento de dados.
4.9.4. Sempre que dados pessoais saírem do Ambiente de Informação da CNU, eles obrigatoriamente devem estar criptografados.
4.9.5. A Área de Tecnologia da Informação é responsável por este processo e por garantir a sua implementação e efetividade. Este processo deve ter documentação em nível suficiente para responder a questionamentos de auditorias, titular dos dados pessoais e autoridade nacional.
- ATIVIDADES E RESPONSABILIDADES Atividade Desenvolvida Responsável pela Execução
- Avaliar, implementar, operacionalizar e garantir a criptografia dos dados pessoais.
- Implementar as ações técnicas necessárias para a anonimização dos dados pessoais, definida pela área de negócio ou área de apoio.
Arquitetura de TI e Soluções
Sistemas
Operações de TI
Governança de TI
- Identificar os Operadores de tratamento de dados pessoais que se relacionam com a sua área.
- Garantir a implementação dos controles de proteção de dados pessoais quando os mesmos estiverem no Ambiente Convencional de Informação.
Atividade Desenvolvida Responsável pela Execução
- Definir o tratamento inicial, coleta de dados pessoais, considerando os princípios para tratamento de dados pessoais;
- Identificar as situações de possibilidade de uso de anonimização de dados pessoais e, comunicar as áreas de Segurança da Informação e Continuidade de Negócios.
Áreas da CNU –
Negócio e Apoio
- Aceitar as reclamações e comunicação dos titulares, prestar esclarecimentos e adotar providências.
- Receber comunicações da autoridade nacional e adotar providências.
- Orientar os funcionários e os contratados, a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.
- Executar outras atribuições determinadas pelo Corpo Diretivo.
Áreas da CNU – Encarregado pelo Tratamento de Dados Pessoais
- Submeter para conhecimento e deliberação as estratégias, propostas e demais situações relacionados à Proteção de Dados Pessoais.
Comitê de Governança, Riscos e Auditoria Interna
- Adaptar os contratos e demais instrumentos de relação com os operadores.
- Elaborar ou aprimorar os instrumentos legais com os titulares de dados pessoais, quando necessário.
- Acompanhar e dar parecer para as demais áreas em relação às leis e outros controles jurídicos relacionados à proteção de dados pessoais.
- Acompanhar e dar parecer para as demais áreas em relação às resoluções da Autoridade Nacional de Proteção de Dados.
- Identificar e garantir a base legal para todo e qualquer tratamento de dado pessoal sob responsabilidade da CNU.
Contratos
- Identificar o uso de dados pessoais.
- Identificar os ambientes de uso de dados pessoais: internos, externos, sistemas, convencional, planilhas, similar.
Atividade Desenvolvida Responsável pela Execução
- Fazer a Gestão da Proteção de Dados Pessoais sob responsabilidade da CNU.
- Apoiar a Área de Tecnologia na definição e utilização do controle de criptografia de dados.
- Apoiar as áreas de negócio na identificação de situações de possibilidade de uso de anonimização de dados pessoais. Interagir coma Área de Tecnologia para a operacionalização deste controle.
- Fazer a Gestão do Processo Organizacional de Segurança da Informação, implementando controles para a proteção dos dados pessoais sob responsabilidade da CNU.
- Realizar a Gestão de Risco de Impacto à Proteção de Dados pessoais.
- Garantir ações para a disponibilidade da informação em situações de contingência ou similar.
- Apoiar as áreas de negócio e de apoio, na definição do tratamento inicial, coleta de dados pessoais, considerando os princípios para tratamento de dados pessoais.
Segurança da Informação e Continuidade de Negócios
- CONFIDENCIALIDADE
Este normativo pertence à Central Nacional Unimed. É proibida a reprodução no todo ou em parte, bem como a divulgação e/ou disponibilização a quaisquer outras pessoas e/ou empresas, sob qualquer motivo, salvo casos analisados e aprovados pela equipe de Processos e Qualidade.
- CONTROLE DE INFORMAÇÃO DOCUMENTADA
Este normativo será controlado e gerenciado conforme PGQ-001 Controle de Informações Documentadas.
- DOCUMENTOS E REGISTROS RELACIONADOS
PGQ-001 Controle de Informações Documentadas;
PL-053 – Governar Dados. 22/07/2020 CÓPIA NÃO CONTROLADA
- HISTÓRICO DE REVISÕES
Revisão
Data
Descrição das Alterações
00
Conforme publicação
- Emissão do documento.
- APROVAÇÃO
GESTÃO DE DADOS: Disciplina responsável por definir, planejar, implantar e executar estratégias, procedimentos e práticas necessárias para gerenciar de forma efetiva os recursos de dados e informações das organizações, incluindo planos para sua definição, padronização, organização, proteção e utilização.