Escolha uma Página
Petros implementa Política de Privacidade em adequação à LGPD

Petros implementa Política de Privacidade em adequação à LGPD

A Petros está realizando um amplo trabalho para atendimento à Lei Geral de Proteção de Dados Pessoais (LGPD), colocando em prática grande parte do plano de adequação à nova legislação com o objetivo de fortalecer a segurança da informação e a governança da entidade. Para normatizar esse processo, a fundação passou a contar com uma Política de Privacidade, que reúne os princípios fundamentais de proteção de dados pessoais na Petros.

Além da Política, outras medidas foram implementadas pela entidade, como o aperfeiçoamento das práticas de gestão e tratamento de dados dos diferentes públicos com os quais a fundação se relaciona e controles de proteção de dados associados às atividades, com barreiras para mitigar a exposição a riscos. Segundo o Diretor de Riscos, Administração e Finanças da Petros, Leonardo Moraes, desde 2018, antes mesmo da LGPD, a Petros implementou um amplo Programa de Segurança da Informação, que reúne processos, estratégias e diretrizes que visam garantir a proteção e a disponibilidade das informações corporativas, alinhado às boas práticas e normas de segurança.

Desde então, a fundação vem atuando na identificação de riscos e no aumento do nível de conscientização sobre o tema, bem como no aprimoramento e implementação de novas ferramentas, recursos e soluções tecnológicas e de infraestrutura para a segurança da informação e proteção de dados. “Essa base construída na Petros foi fundamental para os trabalhos de adequação à LGPD. Temos uma equipe dedicada à governança e à segurança da informação, que implementou um plano de adequação à lei, que se desdobra em uma série de iniciativas para mitigar a exposição a riscos e aperfeiçoar as práticas de gestão e o tratamento de dados dos nossos participantes”, diz Leonardo Moraes em entrevista ao Blog Abrapp em Foco.

Processos de adequação – Moraes conta que o trabalho de adequação à LGPD na Petros consistiu no mapeamento dos fluxos de tratamento dos dados pessoais, abrangendo todas as fases de uso dos dados, desde acesso, compartilhamento, coleta, armazenamento, até a consulta. Depois, foi feito um diagnóstico e avaliação do nível de maturidade da fundação em relação à LGPD. A partir daí, foram definidos os gaps entre os processos da Petros e o que a Lei exige, sendo traçados, assim, os planos de adequação. “Também elaboramos novos normativos e materiais regulatórios voltados à privacidade e à proteção de dados. Além disso, priorizamos ações de conscientização da nossa força de trabalho sobre a LGPD, fortalecendo a cultura de segurança da informação entre os empregados”, destaca.

Na fase inicial do projeto, a Petros contou com o apoio de uma consultoria externa. Além disso, ainda em 2019, foi constituído um grupo de trabalho formado por diferentes áreas de negócio, contribuindo para fomentar a discussão sobre os principais impactos voltados para a adequação à LGPD. “Contamos com um Encarregado de Proteção de Dados Pessoais (DPO), que é o ponto focal para os titulares dos dados e a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), responsável pela fiscalização e regulação da LGPD. O profissional Leonardo Augusto Cavalcanti Lebarbenchon é responsável por informar, aconselhar e monitorar a conformidade da empresa quanto à proteção e à privacidade de dados pessoais, sendo uma ponte entre a empresa, a ANPD e os titulares dos dados”, diz Moraes.

Ele reitera que o projeto de adequação à LGPD está sendo liderado pela área de governança e segurança da informação, alocada na Gerência de Tecnologia da Informação, que vem atuando em parceria com o DPO e diferentes áreas de negócio, com apoio da alta direção da Petros.

Política de Privacidade – Na Política de Privacidade elaborada pela Petros estão definidas as formas de coleta e tratamento das informações de participantes, assistidos, dependentes, empregados, terceirizados, prestadores de serviço e outras partes interessadas, identificados como titular do dado, descrevendo os tipos de informações pessoais que são obtidas e como são gerenciadas e arquivadas. “A jornada da LGPD tem perseguido esses esforços para elevar o nível de maturidade, especificamente no tratamento e proteção de dados pessoais”, diz Moraes.

Segundo ele, os resultados desse processo de adequação também estão na implementação de controles e soluções de tecnologia, infraestrutura e gestão da segurança da informação da Petros, bem como em normativos, documentos regulatórios e instruções voltados ao tema da proteção e privacidade de dados pessoais, além da revisão de modelos de contratos, de fluxos de tratamento e compartilhamento de dados, buscando as medidas de segurança aplicáveis a cada situação. “A segurança da informação, não somente para dados pessoais, como para todas as informações corporativas, é um trabalho contínuo e perene”, destaca.

Próximos passos – Para 2021, a Petros vai evoluir com o tema privacidade e proteção de dados, reforçando as iniciativas iniciadas este ano, conforme explica Leonardo Moraes. “Vamos prover que os direitos dos titulares de dados, os requisitos da LGPD e futuros direcionamentos da ANPD sejam atendidos pela Petros de forma eficiente e transparente, aderentes às boas práticas de segurança da informação. Esperamos também prosseguir com as estratégias do Programa de Segurança da Informação, consolidando as iniciativas da área de Tecnologia da Informação, com objetivo de assegurar a proteção e mitigação de riscos ao nosso ambiente, às atividades e às informações, sendo um dos recursos mais relevantes da Petros”.

Fundação Itaúsa se adequa à LGPD e implanta Política e Aviso de Privacidade

Fundação Itaúsa se adequa à LGPD e implanta Política e Aviso de Privacidade

A Fundação Itaúsa iniciou o processo de adequação à Lei Geral de Proteção de Dados (LGPD) no início do ano passado, e após mais de um ano de trabalho, aprovou, em maio deste ano, a Política de Privacidade e Proteção de Dados, que estabelece, entre outras coisas, as diretrizes corporativas sobre dados coletados, utilizados e compartilhados com terceiros; e em setembro, o Aviso de Privacidade e Proteção de Dados Pessoais, que detalha como e quais dados são tratados pela fundação.

Durante esse processo, Leopoldo Ragazzini Martarelli Pecoraro, que responde pelas áreas Jurídica, de Compliance e Riscos da entidade, foi nomeado Data Protection Officer (DPO), ou encarregado de dados da fundação. “Começamos esse processo no início de 2019 e terminamos em fevereiro deste ano. A primeira etapa do processo foi a preparação da Política, o registro das atividades da fundação que tratam dados e o levantamento da base de dados onde os dados pessoais se encontram armazenados”, disse Leopoldo em entrevista ao Blog Abrapp em Foco.

Segundo ele, o processo de elaboração de uma Política de Privacidade foi feito junto a uma consultoria externa, que fez o mapeamento de processos da entidade e elaborou a minuta do documento, que posteriormente foi aprimorado pela entidade. “Fizemos o registo das atividades, criamos a Política e a aprovamos no Conselho Deliberativo da fundação”. Esse processo demorou cerca de três meses, incluindo a avaliação dos processos internos que tratam dados pessoais.

Leopoldo explica ainda que a Política de Privacidade diz respeito a como a fundação trata dados. “É um documento mais legalista, focado nas disposições legais da Lei Geral de Proteção de Dados. Ele descreve as diretrizes da entidade a serem aplicadas aos dados pessoais de seus dirigentes, colaboradores, participantes dos planos de benefícios e seus parceiros, que são coletados, utilizados e, quando necessário, inclusive por obrigação legal, compartilhados com terceiros, como parceiros de negócios, fornecedores e outras organizações com quem a entidade possua ou possa vir a ter uma relação de negócio”.

Como a Lei prevê que o consentimento das pessoas para uso de dados não pode ser genérico, criamos o Aviso de Privacidade, Proteção e Tratamento de Dados Pessoais, aprovado em setembro deste ano, que é um documento mais robusto. O participante, lendo o Aviso, sabe o que a entidade faz exatamente com os dados dele, quais dados coleta, com quem coleta e para quem compartilha”, diz.

Ele destaca ainda que a obtenção dos dados têm um único propósito: administrar os planos de previdência do participante. “O compartilhamento também é feito de acordo com a  necessidade. Temos detalhado no Aviso todos os processos internos mapeados com as áreas. Também está explicado o direito que o participante tem em relação aos dados de acordo com o que a Lei prevê, e como os dados são protegidos, além de falar sobre o término do tratamento dos dados pessoais e por quanto tempo os dados são mantidos armazenados na entidade”. Na Fundação Itaúsa Industrial, há quatro áreas que utilizam dados pessoais em seus processos, e por isso foram acionadas para colaboração na elaboração do Aviso. “Caso esse documento seja alterado, o participante será informado. O participante conta ainda com um canal de contato com o DPO”, complementa Leopoldo.

Adequação – O objetivo de todo esse processo da Fundação Itaúsa Industrial é manter todos os procedimentos da entidade de acordo com a legislação. Segundo Leopoldo, desde a publicação da Lei, houve uma constante preocupação com o prazo de vigência da LGPD. “Queríamos estar com tudo em ordem independentemente da discussão sobre o início de sua vigência, para quando entrasse em vigor, estivéssemos em total compliance com a legislação. Temos estruturado um robusto processo para que, caso ocorra qualquer questão em termos de aplicação de penalidade, questionamento pela Autoridade Nacional de Proteção de Dados (ANPD) ou de participantes, tenhamos total condição de reportar o que for necessário dentro dos exatos termos da Lei”, diz.

Com a Política e o Aviso aprovados, a entidade está atuando para ficar 100% adequada às exigências da Lei quando as penalidades entrarem em vigor. “Nossa ideia é deixar tudo muito bem feito, mitigando todo e qualquer risco de haver algum problema, seja em termos de documentação, de operação ou de formalização”, complementa Leopoldo.

Hoje, a fundação trabalha para aprimorar processos internos e, com isso, utilizar menos dados e compartilhá-los com menos frequência. “Os processos internos demandam a utilização de muitos dados pessoais, mas grande parte deles são dispensáveis. Estamos cumprindo a Lei exatamente como é exigido. Arquivamos tudo que temos feito em termos de adequação à LGPD e mantemos nosso foco no aperfeiçoamento contínuo deste processo. Assim, levamos aos nossos participantes e dirigentes a segurança que o nível de governança corporativa da nossa entidade exige”, destaca Leopoldo.

Próximos passos – A partir de agora, os trabalhadores da entidade serão treinados com frequência para que os procedimentos sejam cumpridos. “Queremos ensinar ou reciclar as pessoas sempre para que fiquem sempre atentas aos seus processos. Queremos levar aos funcionários essa percepção de risco em termos de operação. Também temos contratos para ajustar com fornecedor, mas essa é uma parte mais operacional. Precisamos de uma  segurança jurídica com os fornecedores”, diz Leopoldo.

Já no ano que vem, a ideia é que a fundação tenha um relatório de impacto em uma formatação de resposta a incidentes. “Queremos aprimorar esse processo”, destaca Leopoldo. O participante será constantemente comunicado sobre os processos que estão ocorrendo em relação a adequação da Fundação Itaúsa Industrial à LGPD. “Isso é disponibilizado nos diversos canais da fundação”, diz.

Newsletter Abrapp em Foco

Cadastre-se e fique por dentro de tudo que acontece no Grupo Abrapp e em sintonia com os fatos mais relevantes do setor.