Escolha uma Página
LGPD: Serpros disponibiliza Canal Interno e lança Cartilha sobre proteção de dados

LGPD: Serpros disponibiliza Canal Interno e lança Cartilha sobre proteção de dados

Desde 2019, o Serpros vem implementando ações para se adequar às exigências da Lei Geral de Proteção de Dados (LGPD), levando maior proteção para os dados de seus colaboradores, participantes e parceiros. Após mais de 2 anos do início desse trabalho, a entidade lançou, em 28 de janeiro de 2021 – Dia Internacional da Privacidade – um Canal Interno com o DPO e a Cartilha LGPD para os empregados da entidade. O objetivo é fornecer informações sobre a aplicação prática da Lei na execução das tarefas diárias do Serpros.

A Presidente do Serpros, Ana Costi, explica que ainda em 2018, a Diretoria da entidade inclui no planejamento estratégico uma ação específica relativa à implementação da LGPD. “Em fevereiro de 2019, criamos o Projeto Proteção de Dados com um Grupo de Trabalho composto por advogados e representantes da área de TI, de governança e de benefícios. Assim começaram os trabalhos. No início, tivemos uma pequena consultoria para modelagem que nos definiu a linha mestra de atuação”, conta em entrevista ao Blog Abrapp em Foco.

A advogada da Gerência Jurídica do Serpros, Ana Paula Pimenta, assumiu a coordenação do Projeto Proteção de Dados em 2019, sendo nomeada em julho de 2020 Data Protection Officer (DPO), ou encarregada de dados da entidade. “Achávamos que seria necessária uma dedicação exclusiva da Ana Paula, e ela começou com as atividades específicas”, destaca Ana Costi.

Ana Paula Cardoso Pimenta, Data Protection Officer - DPO do SERPROSAções implementadas – A partir do início das ações de implementação da Lei no Serpros, foram feitos treinamentos com as equipes a respeito das exigências da LGPD. Também foi criada a Política Interna de Privacidade, que coloca diretrizes de como a privacidade vai ser tratada e direcionada dentro da entidade; a Política de Proteção de Dados Pessoais, expressando o comprometimento do Serpros com a LGPD; e o Termo de Privacidade, que dá transparência sobre o uso dos dados, dando transparência aos titulares. Foi revisada ainda a Política de Segurança da Informação para se adequar à LGPD. “A Gerência de Tecnologia da Informação trouxe um olhar mais preventivo, que colocou na Política de Segurança da Informação o que a Lei impõe”, explica a DPO Ana Paula Pimenta (foto ao lado).

Ana Paula diz que entre os papéis do DPO, um é orientar empregados, conforme disposto na legislação, que exige que se apresentem evidências de que a proteção de dados funciona nas empresas. Por isso, além de todas as documentações, foram criados o Canal Interno com o DPO e a Cartilha LGPD. “Há uma responsabilidade na apresentação dessas evidências. Como o DPO deixa claro, quando eventualmente tiver fiscalização, que está fazendo seu papel orientador? Então, criamos um canal com informações sobre o assunto e uma cartilha desmistificando o que é a LGPD”, conta. A Cartilha também traz informações e apresenta dicas práticas de segurança da informação e prevenção aos riscos de incidentes de segurança, demonstrando situações cotidianas em que devem ser observados os princípios da LGPD nas tarefas da entidade, entre outras informações.

O Canal Fale com DPO está disponível no site da entidade com informações sobre pedidos de dados, que pode ser feito gratuitamente, e por meio eletrônico, com um campo para perguntas e respostas onde são elucidados temas sobre a LGPD.

Os princípios da Lei também foram incluídos nos ciclos de análise de risco da entidade, deixando claro quais são os problemas de um descumprimento da LGPD em cada área. “Isso passa por todas as gerências”, destaca Ana Paula Pimenta. O Serpros também fez uma revisão de contratos e lançou o Plano Diretor de Tecnologia da Informação do Serpros; além de ter realizado testes de invasão nos sistemas da entidade, que serão periódicos, para aferir a segurança.

Conscientização – Ana Paula Pimenta ressalta que um dos trabalhos mais importantes é o de conscientização do corpo funcional. “Eu quero que os empregados entendam a importância disso na vida de todo mundo”, ressalta. Para facilitar esse projeto, foram realizadas lives sobre medidas de segurança para prevenção de crimes cibernéticos para as equipes do Serpros. “Não descartamos a hipótese de fazer de novo, além dos treinamentos que já fazemos e uma programação de cursos para dar mais conscientização sobre o assunto”, diz.

Para ela, o mais importante é que o projeto da LGPD foi top-down, partindo de uma iniciativa da Diretoria. “Muito do que a gente conseguiu se deve a esse fato do comprometimento da alta administração. Sem isso, esse projeto, que abrange todos os setores da empresa, não evoluiria. São atividades multidisciplinares para se adequar à Lei, e essa consciência da Diretoria Executiva foi muito importante”.

A Presidente do Serpros Ana Costi ressalta que o trabalho de educação de segurança e privacidade de dados é essencial e se estende aos Conselheiros das entidades, que receberam um comunicado interno da Diretoria sobre a importância desse cuidado em relação às informações estratégicas e dados pessoais. “Isso ajuda a Diretoria e a DPO no processo de estruturação de toda a casa”.

Próximos passos – Ana Costi destaca que a prioridade do Serpros agora é definir pontos focais em cada gerência, que serão pessoas que tratarão diretamente do tema com a DPO internamente. “Essas pessoas serão indicadas para falar com a Ana Paula, e assim ela poderá identificar novas demandas de cada setor. A DPO também faz parte da pauta da Diretoria, e pelo menos quinzenalmente participará das reuniões”.

Ana Paula Pimenta ressalta que esse é um trabalho contínuo que deve evoluir conforme as regulamentações da própria LGPD forem avançando. “Nosso mapeamento foi macro, e tentamos chegar em um ponto ideal para atender tudo que é possível. A fase de monitoramento virá depois que tudo estiver implementado. A LGPD é um ecossistema, e todos precisam estar adequados para ela funcionar”, reitera. “É um diferencial competitivo para qualquer empresa estar adequado à LGPD. É uma grande oportunidade”, reforça Ana Paula.

Ana Costi destaca que o Serpros atualmente está passando por um amplo processo de reformulação de normas e procedimentos, ajustando a cultura interna através de treinamentos e comunicações cotidianas voltados a fomentar a proteção de dados pessoais e o aperfeiçoamento da política de segurança da informação. “É um cuidado de passar para o participante que seus dados pessoais estão protegidos, e também mostrar para a patrocinadora que as devidas ações preventivas estão sendo tomadas para que o risco de vazamento de dados seja evitado”, declara.

Petros implementa Política de Privacidade em adequação à LGPD

Petros implementa Política de Privacidade em adequação à LGPD

A Petros está realizando um amplo trabalho para atendimento à Lei Geral de Proteção de Dados Pessoais (LGPD), colocando em prática grande parte do plano de adequação à nova legislação com o objetivo de fortalecer a segurança da informação e a governança da entidade. Para normatizar esse processo, a fundação passou a contar com uma Política de Privacidade, que reúne os princípios fundamentais de proteção de dados pessoais na Petros.

Além da Política, outras medidas foram implementadas pela entidade, como o aperfeiçoamento das práticas de gestão e tratamento de dados dos diferentes públicos com os quais a fundação se relaciona e controles de proteção de dados associados às atividades, com barreiras para mitigar a exposição a riscos. Segundo o Diretor de Riscos, Administração e Finanças da Petros, Leonardo Moraes, desde 2018, antes mesmo da LGPD, a Petros implementou um amplo Programa de Segurança da Informação, que reúne processos, estratégias e diretrizes que visam garantir a proteção e a disponibilidade das informações corporativas, alinhado às boas práticas e normas de segurança.

Desde então, a fundação vem atuando na identificação de riscos e no aumento do nível de conscientização sobre o tema, bem como no aprimoramento e implementação de novas ferramentas, recursos e soluções tecnológicas e de infraestrutura para a segurança da informação e proteção de dados. “Essa base construída na Petros foi fundamental para os trabalhos de adequação à LGPD. Temos uma equipe dedicada à governança e à segurança da informação, que implementou um plano de adequação à lei, que se desdobra em uma série de iniciativas para mitigar a exposição a riscos e aperfeiçoar as práticas de gestão e o tratamento de dados dos nossos participantes”, diz Leonardo Moraes em entrevista ao Blog Abrapp em Foco.

Processos de adequação – Moraes conta que o trabalho de adequação à LGPD na Petros consistiu no mapeamento dos fluxos de tratamento dos dados pessoais, abrangendo todas as fases de uso dos dados, desde acesso, compartilhamento, coleta, armazenamento, até a consulta. Depois, foi feito um diagnóstico e avaliação do nível de maturidade da fundação em relação à LGPD. A partir daí, foram definidos os gaps entre os processos da Petros e o que a Lei exige, sendo traçados, assim, os planos de adequação. “Também elaboramos novos normativos e materiais regulatórios voltados à privacidade e à proteção de dados. Além disso, priorizamos ações de conscientização da nossa força de trabalho sobre a LGPD, fortalecendo a cultura de segurança da informação entre os empregados”, destaca.

Na fase inicial do projeto, a Petros contou com o apoio de uma consultoria externa. Além disso, ainda em 2019, foi constituído um grupo de trabalho formado por diferentes áreas de negócio, contribuindo para fomentar a discussão sobre os principais impactos voltados para a adequação à LGPD. “Contamos com um Encarregado de Proteção de Dados Pessoais (DPO), que é o ponto focal para os titulares dos dados e a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), responsável pela fiscalização e regulação da LGPD. O profissional Leonardo Augusto Cavalcanti Lebarbenchon é responsável por informar, aconselhar e monitorar a conformidade da empresa quanto à proteção e à privacidade de dados pessoais, sendo uma ponte entre a empresa, a ANPD e os titulares dos dados”, diz Moraes.

Ele reitera que o projeto de adequação à LGPD está sendo liderado pela área de governança e segurança da informação, alocada na Gerência de Tecnologia da Informação, que vem atuando em parceria com o DPO e diferentes áreas de negócio, com apoio da alta direção da Petros.

Política de Privacidade – Na Política de Privacidade elaborada pela Petros estão definidas as formas de coleta e tratamento das informações de participantes, assistidos, dependentes, empregados, terceirizados, prestadores de serviço e outras partes interessadas, identificados como titular do dado, descrevendo os tipos de informações pessoais que são obtidas e como são gerenciadas e arquivadas. “A jornada da LGPD tem perseguido esses esforços para elevar o nível de maturidade, especificamente no tratamento e proteção de dados pessoais”, diz Moraes.

Segundo ele, os resultados desse processo de adequação também estão na implementação de controles e soluções de tecnologia, infraestrutura e gestão da segurança da informação da Petros, bem como em normativos, documentos regulatórios e instruções voltados ao tema da proteção e privacidade de dados pessoais, além da revisão de modelos de contratos, de fluxos de tratamento e compartilhamento de dados, buscando as medidas de segurança aplicáveis a cada situação. “A segurança da informação, não somente para dados pessoais, como para todas as informações corporativas, é um trabalho contínuo e perene”, destaca.

Próximos passos – Para 2021, a Petros vai evoluir com o tema privacidade e proteção de dados, reforçando as iniciativas iniciadas este ano, conforme explica Leonardo Moraes. “Vamos prover que os direitos dos titulares de dados, os requisitos da LGPD e futuros direcionamentos da ANPD sejam atendidos pela Petros de forma eficiente e transparente, aderentes às boas práticas de segurança da informação. Esperamos também prosseguir com as estratégias do Programa de Segurança da Informação, consolidando as iniciativas da área de Tecnologia da Informação, com objetivo de assegurar a proteção e mitigação de riscos ao nosso ambiente, às atividades e às informações, sendo um dos recursos mais relevantes da Petros”.

Fundação Itaúsa se adequa à LGPD e implanta Política e Aviso de Privacidade

Fundação Itaúsa se adequa à LGPD e implanta Política e Aviso de Privacidade

A Fundação Itaúsa iniciou o processo de adequação à Lei Geral de Proteção de Dados (LGPD) no início do ano passado, e após mais de um ano de trabalho, aprovou, em maio deste ano, a Política de Privacidade e Proteção de Dados, que estabelece, entre outras coisas, as diretrizes corporativas sobre dados coletados, utilizados e compartilhados com terceiros; e em setembro, o Aviso de Privacidade e Proteção de Dados Pessoais, que detalha como e quais dados são tratados pela fundação.

Durante esse processo, Leopoldo Ragazzini Martarelli Pecoraro, que responde pelas áreas Jurídica, de Compliance e Riscos da entidade, foi nomeado Data Protection Officer (DPO), ou encarregado de dados da fundação. “Começamos esse processo no início de 2019 e terminamos em fevereiro deste ano. A primeira etapa do processo foi a preparação da Política, o registro das atividades da fundação que tratam dados e o levantamento da base de dados onde os dados pessoais se encontram armazenados”, disse Leopoldo em entrevista ao Blog Abrapp em Foco.

Segundo ele, o processo de elaboração de uma Política de Privacidade foi feito junto a uma consultoria externa, que fez o mapeamento de processos da entidade e elaborou a minuta do documento, que posteriormente foi aprimorado pela entidade. “Fizemos o registo das atividades, criamos a Política e a aprovamos no Conselho Deliberativo da fundação”. Esse processo demorou cerca de três meses, incluindo a avaliação dos processos internos que tratam dados pessoais.

Leopoldo explica ainda que a Política de Privacidade diz respeito a como a fundação trata dados. “É um documento mais legalista, focado nas disposições legais da Lei Geral de Proteção de Dados. Ele descreve as diretrizes da entidade a serem aplicadas aos dados pessoais de seus dirigentes, colaboradores, participantes dos planos de benefícios e seus parceiros, que são coletados, utilizados e, quando necessário, inclusive por obrigação legal, compartilhados com terceiros, como parceiros de negócios, fornecedores e outras organizações com quem a entidade possua ou possa vir a ter uma relação de negócio”.

Como a Lei prevê que o consentimento das pessoas para uso de dados não pode ser genérico, criamos o Aviso de Privacidade, Proteção e Tratamento de Dados Pessoais, aprovado em setembro deste ano, que é um documento mais robusto. O participante, lendo o Aviso, sabe o que a entidade faz exatamente com os dados dele, quais dados coleta, com quem coleta e para quem compartilha”, diz.

Ele destaca ainda que a obtenção dos dados têm um único propósito: administrar os planos de previdência do participante. “O compartilhamento também é feito de acordo com a  necessidade. Temos detalhado no Aviso todos os processos internos mapeados com as áreas. Também está explicado o direito que o participante tem em relação aos dados de acordo com o que a Lei prevê, e como os dados são protegidos, além de falar sobre o término do tratamento dos dados pessoais e por quanto tempo os dados são mantidos armazenados na entidade”. Na Fundação Itaúsa Industrial, há quatro áreas que utilizam dados pessoais em seus processos, e por isso foram acionadas para colaboração na elaboração do Aviso. “Caso esse documento seja alterado, o participante será informado. O participante conta ainda com um canal de contato com o DPO”, complementa Leopoldo.

Adequação – O objetivo de todo esse processo da Fundação Itaúsa Industrial é manter todos os procedimentos da entidade de acordo com a legislação. Segundo Leopoldo, desde a publicação da Lei, houve uma constante preocupação com o prazo de vigência da LGPD. “Queríamos estar com tudo em ordem independentemente da discussão sobre o início de sua vigência, para quando entrasse em vigor, estivéssemos em total compliance com a legislação. Temos estruturado um robusto processo para que, caso ocorra qualquer questão em termos de aplicação de penalidade, questionamento pela Autoridade Nacional de Proteção de Dados (ANPD) ou de participantes, tenhamos total condição de reportar o que for necessário dentro dos exatos termos da Lei”, diz.

Com a Política e o Aviso aprovados, a entidade está atuando para ficar 100% adequada às exigências da Lei quando as penalidades entrarem em vigor. “Nossa ideia é deixar tudo muito bem feito, mitigando todo e qualquer risco de haver algum problema, seja em termos de documentação, de operação ou de formalização”, complementa Leopoldo.

Hoje, a fundação trabalha para aprimorar processos internos e, com isso, utilizar menos dados e compartilhá-los com menos frequência. “Os processos internos demandam a utilização de muitos dados pessoais, mas grande parte deles são dispensáveis. Estamos cumprindo a Lei exatamente como é exigido. Arquivamos tudo que temos feito em termos de adequação à LGPD e mantemos nosso foco no aperfeiçoamento contínuo deste processo. Assim, levamos aos nossos participantes e dirigentes a segurança que o nível de governança corporativa da nossa entidade exige”, destaca Leopoldo.

Próximos passos – A partir de agora, os trabalhadores da entidade serão treinados com frequência para que os procedimentos sejam cumpridos. “Queremos ensinar ou reciclar as pessoas sempre para que fiquem sempre atentas aos seus processos. Queremos levar aos funcionários essa percepção de risco em termos de operação. Também temos contratos para ajustar com fornecedor, mas essa é uma parte mais operacional. Precisamos de uma  segurança jurídica com os fornecedores”, diz Leopoldo.

Já no ano que vem, a ideia é que a fundação tenha um relatório de impacto em uma formatação de resposta a incidentes. “Queremos aprimorar esse processo”, destaca Leopoldo. O participante será constantemente comunicado sobre os processos que estão ocorrendo em relação a adequação da Fundação Itaúsa Industrial à LGPD. “Isso é disponibilizado nos diversos canais da fundação”, diz.

Newsletter Abrapp em Foco

Cadastre-se e fique por dentro de tudo que acontece no Grupo Abrapp e em sintonia com os fatos mais relevantes do setor.