A Fundação Itaúsa iniciou o processo de adequação à Lei Geral de Proteção de Dados (LGPD) no início do ano passado, e após mais de um ano de trabalho, aprovou, em maio deste ano, a Política de Privacidade e Proteção de Dados, que estabelece, entre outras coisas, as diretrizes corporativas sobre dados coletados, utilizados e compartilhados com terceiros; e em setembro, o Aviso de Privacidade e Proteção de Dados Pessoais, que detalha como e quais dados são tratados pela fundação.
Durante esse processo, Leopoldo Ragazzini Martarelli Pecoraro, que responde pelas áreas Jurídica, de Compliance e Riscos da entidade, foi nomeado Data Protection Officer (DPO), ou encarregado de dados da fundação. “Começamos esse processo no início de 2019 e terminamos em fevereiro deste ano. A primeira etapa do processo foi a preparação da Política, o registro das atividades da fundação que tratam dados e o levantamento da base de dados onde os dados pessoais se encontram armazenados”, disse Leopoldo em entrevista ao Blog Abrapp em Foco.
Segundo ele, o processo de elaboração de uma Política de Privacidade foi feito junto a uma consultoria externa, que fez o mapeamento de processos da entidade e elaborou a minuta do documento, que posteriormente foi aprimorado pela entidade. “Fizemos o registo das atividades, criamos a Política e a aprovamos no Conselho Deliberativo da fundação”. Esse processo demorou cerca de três meses, incluindo a avaliação dos processos internos que tratam dados pessoais.
Leopoldo explica ainda que a Política de Privacidade diz respeito a como a fundação trata dados. “É um documento mais legalista, focado nas disposições legais da Lei Geral de Proteção de Dados. Ele descreve as diretrizes da entidade a serem aplicadas aos dados pessoais de seus dirigentes, colaboradores, participantes dos planos de benefícios e seus parceiros, que são coletados, utilizados e, quando necessário, inclusive por obrigação legal, compartilhados com terceiros, como parceiros de negócios, fornecedores e outras organizações com quem a entidade possua ou possa vir a ter uma relação de negócio”.
Como a Lei prevê que o consentimento das pessoas para uso de dados não pode ser genérico, criamos o Aviso de Privacidade, Proteção e Tratamento de Dados Pessoais, aprovado em setembro deste ano, que é um documento mais robusto. O participante, lendo o Aviso, sabe o que a entidade faz exatamente com os dados dele, quais dados coleta, com quem coleta e para quem compartilha”, diz.
Ele destaca ainda que a obtenção dos dados têm um único propósito: administrar os planos de previdência do participante. “O compartilhamento também é feito de acordo com a necessidade. Temos detalhado no Aviso todos os processos internos mapeados com as áreas. Também está explicado o direito que o participante tem em relação aos dados de acordo com o que a Lei prevê, e como os dados são protegidos, além de falar sobre o término do tratamento dos dados pessoais e por quanto tempo os dados são mantidos armazenados na entidade”. Na Fundação Itaúsa Industrial, há quatro áreas que utilizam dados pessoais em seus processos, e por isso foram acionadas para colaboração na elaboração do Aviso. “Caso esse documento seja alterado, o participante será informado. O participante conta ainda com um canal de contato com o DPO”, complementa Leopoldo.
Adequação – O objetivo de todo esse processo da Fundação Itaúsa Industrial é manter todos os procedimentos da entidade de acordo com a legislação. Segundo Leopoldo, desde a publicação da Lei, houve uma constante preocupação com o prazo de vigência da LGPD. “Queríamos estar com tudo em ordem independentemente da discussão sobre o início de sua vigência, para quando entrasse em vigor, estivéssemos em total compliance com a legislação. Temos estruturado um robusto processo para que, caso ocorra qualquer questão em termos de aplicação de penalidade, questionamento pela Autoridade Nacional de Proteção de Dados (ANPD) ou de participantes, tenhamos total condição de reportar o que for necessário dentro dos exatos termos da Lei”, diz.
Com a Política e o Aviso aprovados, a entidade está atuando para ficar 100% adequada às exigências da Lei quando as penalidades entrarem em vigor. “Nossa ideia é deixar tudo muito bem feito, mitigando todo e qualquer risco de haver algum problema, seja em termos de documentação, de operação ou de formalização”, complementa Leopoldo.
Hoje, a fundação trabalha para aprimorar processos internos e, com isso, utilizar menos dados e compartilhá-los com menos frequência. “Os processos internos demandam a utilização de muitos dados pessoais, mas grande parte deles são dispensáveis. Estamos cumprindo a Lei exatamente como é exigido. Arquivamos tudo que temos feito em termos de adequação à LGPD e mantemos nosso foco no aperfeiçoamento contínuo deste processo. Assim, levamos aos nossos participantes e dirigentes a segurança que o nível de governança corporativa da nossa entidade exige”, destaca Leopoldo.
Próximos passos – A partir de agora, os trabalhadores da entidade serão treinados com frequência para que os procedimentos sejam cumpridos. “Queremos ensinar ou reciclar as pessoas sempre para que fiquem sempre atentas aos seus processos. Queremos levar aos funcionários essa percepção de risco em termos de operação. Também temos contratos para ajustar com fornecedor, mas essa é uma parte mais operacional. Precisamos de uma segurança jurídica com os fornecedores”, diz Leopoldo.
Já no ano que vem, a ideia é que a fundação tenha um relatório de impacto em uma formatação de resposta a incidentes. “Queremos aprimorar esse processo”, destaca Leopoldo. O participante será constantemente comunicado sobre os processos que estão ocorrendo em relação a adequação da Fundação Itaúsa Industrial à LGPD. “Isso é disponibilizado nos diversos canais da fundação”, diz.
