A Special Class da UniAbrapp “Próximos Passos da LGPD: da Implementação ao Acompanhamento”, realizada nos dias 27 e 28 de janeiro, das 09h30 às 12h30, tem como objetivo compartilhar pontos de destaques para agir e estar preparado para seguir de forma preventiva e com segurança diante de tantas particularidades trazidas pela Lei Geral de Proteção de Dados (LGPD).
Com um conteúdo robusto, o curso se propõem a discutir a designação do Encarregado de Proteção e Dados (DPO) e do Diretor de Segurança (CSO) e suas responsabilidades e atribuições, subordinação; a implantação do Comitê de Compliance, segurança e respostas a incidentes; Política de Privacidade (interna e externa); adequação do site institucional; Relatório de Impacto a Proteção de Dados Pessoais; mapeamento de dados; Política de Segurança da Informação – PSI; Plano de Gestão de Crise; análise técnica da segurança da informação – auditoria; capacitações e conscientizações necessárias às partes interessadas; e mais. Veja o conteúdo completo.
O curso será ministrado pela advogada e especialista Patricia Linhares, Coordenadora da Comissão Técnica de Assuntos Jurídicos Nordeste da Abrapp, e destinado a advogados, administradores de cadastro, profissionais de recursos humanos, TI, relacionamento e atendimento, comunicação e demais profissionais interessados no tema.
Realizado na modalidade 100% online, ao vivo e interativo, o curso concede 6 créditos no Programa de Educação Continuada – PEC do ICSS. Inscreva-se!
A Petros está realizando um amplo trabalho para atendimento à Lei Geral de Proteção de Dados Pessoais (LGPD), colocando em prática grande parte do plano de adequação à nova legislação com o objetivo de fortalecer a segurança da informação e a governança da entidade. Para normatizar esse processo, a fundação passou a contar com uma Política de Privacidade, que reúne os princípios fundamentais de proteção de dados pessoais na Petros.
Além da Política, outras medidas foram implementadas pela entidade, como o aperfeiçoamento das práticas de gestão e tratamento de dados dos diferentes públicos com os quais a fundação se relaciona e controles de proteção de dados associados às atividades, com barreiras para mitigar a exposição a riscos. Segundo o Diretor de Riscos, Administração e Finanças da Petros, Leonardo Moraes, desde 2018, antes mesmo da LGPD, a Petros implementou um amplo Programa de Segurança da Informação, que reúne processos, estratégias e diretrizes que visam garantir a proteção e a disponibilidade das informações corporativas, alinhado às boas práticas e normas de segurança.
Desde então, a fundação vem atuando na identificação de riscos e no aumento do nível de conscientização sobre o tema, bem como no aprimoramento e implementação de novas ferramentas, recursos e soluções tecnológicas e de infraestrutura para a segurança da informação e proteção de dados. “Essa base construída na Petros foi fundamental para os trabalhos de adequação à LGPD. Temos uma equipe dedicada à governança e à segurança da informação, que implementou um plano de adequação à lei, que se desdobra em uma série de iniciativas para mitigar a exposição a riscos e aperfeiçoar as práticas de gestão e o tratamento de dados dos nossos participantes”, diz Leonardo Moraes em entrevista ao Blog Abrapp em Foco.
Processos de adequação – Moraes conta que o trabalho de adequação à LGPD na Petros consistiu no mapeamento dos fluxos de tratamento dos dados pessoais, abrangendo todas as fases de uso dos dados, desde acesso, compartilhamento, coleta, armazenamento, até a consulta. Depois, foi feito um diagnóstico e avaliação do nível de maturidade da fundação em relação à LGPD. A partir daí, foram definidos os gaps entre os processos da Petros e o que a Lei exige, sendo traçados, assim, os planos de adequação. “Também elaboramos novos normativos e materiais regulatórios voltados à privacidade e à proteção de dados. Além disso, priorizamos ações de conscientização da nossa força de trabalho sobre a LGPD, fortalecendo a cultura de segurança da informação entre os empregados”, destaca.
Na fase inicial do projeto, a Petros contou com o apoio de uma consultoria externa. Além disso, ainda em 2019, foi constituído um grupo de trabalho formado por diferentes áreas de negócio, contribuindo para fomentar a discussão sobre os principais impactos voltados para a adequação à LGPD. “Contamos com um Encarregado de Proteção de Dados Pessoais (DPO), que é o ponto focal para os titulares dos dados e a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), responsável pela fiscalização e regulação da LGPD. O profissional Leonardo Augusto Cavalcanti Lebarbenchon é responsável por informar, aconselhar e monitorar a conformidade da empresa quanto à proteção e à privacidade de dados pessoais, sendo uma ponte entre a empresa, a ANPD e os titulares dos dados”, diz Moraes.
Ele reitera que o projeto de adequação à LGPD está sendo liderado pela área de governança e segurança da informação, alocada na Gerência de Tecnologia da Informação, que vem atuando em parceria com o DPO e diferentes áreas de negócio, com apoio da alta direção da Petros.
Política de Privacidade – Na Política de Privacidade elaborada pela Petros estão definidas as formas de coleta e tratamento das informações de participantes, assistidos, dependentes, empregados, terceirizados, prestadores de serviço e outras partes interessadas, identificados como titular do dado, descrevendo os tipos de informações pessoais que são obtidas e como são gerenciadas e arquivadas. “A jornada da LGPD tem perseguido esses esforços para elevar o nível de maturidade, especificamente no tratamento e proteção de dados pessoais”, diz Moraes.
Segundo ele, os resultados desse processo de adequação também estão na implementação de controles e soluções de tecnologia, infraestrutura e gestão da segurança da informação da Petros, bem como em normativos, documentos regulatórios e instruções voltados ao tema da proteção e privacidade de dados pessoais, além da revisão de modelos de contratos, de fluxos de tratamento e compartilhamento de dados, buscando as medidas de segurança aplicáveis a cada situação. “A segurança da informação, não somente para dados pessoais, como para todas as informações corporativas, é um trabalho contínuo e perene”, destaca.
Próximos passos – Para 2021, a Petros vai evoluir com o tema privacidade e proteção de dados, reforçando as iniciativas iniciadas este ano, conforme explica Leonardo Moraes. “Vamos prover que os direitos dos titulares de dados, os requisitos da LGPD e futuros direcionamentos da ANPD sejam atendidos pela Petros de forma eficiente e transparente, aderentes às boas práticas de segurança da informação. Esperamos também prosseguir com as estratégias do Programa de Segurança da Informação, consolidando as iniciativas da área de Tecnologia da Informação, com objetivo de assegurar a proteção e mitigação de riscos ao nosso ambiente, às atividades e às informações, sendo um dos recursos mais relevantes da Petros”.
As recentes notícias sobre incidentes de segurança da informação, com uma ocorrência no Superior Tribunal de Justiça, uma tentativa no Tribunal Superior Eleitoral e o ocorrido na última sexta-feira (27), contra o Tribunal Regional Federal da 1ª Região, chamaram atenção para os riscos de segurança da informação, com vazamentos de dados que podem alcançar as organizações, inclusive as EFPCs.
De acordo com a LGPD – Lei Geral de Proteção de Dados Pessoais, em seu artigo 46, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Além dos padrões técnicos de TI – Tecnologia da Informação e SI – Segurança da Informação, que podem ser adotados com o objetivo de proteger os dados pessoais, é importante que todo o corpo funcional das entidades esteja atento aos riscos de vulnerabilidades de dados pessoais aos quais as organizações estão expostas.
A necessidade de prevenção, que é um dos princípios da lei, impõe que os usuários que trabalhem para os agentes de tratamento enxerguem além do óbvio, já que os sinais indicadores das catástrofes e riscos aparecem e podem ser percebidos por qualquer empregado.
Para isso, é importante que os colaboradores sejam informados e estejam à vontade para cooperar, pois, de quem menos se espera, poderá ser percebida a falha ou o sinal de invasão. É indispensável, portanto, envolver as equipes com conscientização e treinamentos, fazendo com que se sintam parte do que importa, para que sejam um time alerta e comprometido. E isso serve para todos os tipos de riscos.
Seguem algumas dicas que podem ser adotadas nos treinamentos e trabalho remoto:
Ter cuidado com o acesso às VPNs – Rede Privada Virtual – manter o acesso logado somente durante o tempo do expediente de trabalho, para evitar ataques de hackers oportunistas);
Não acessar VPNs ou arquivos corporativos em nuvem por dispositivos em locais de rede wi-fi pública;
Usar senhas corporativas com critérios de criação capazes de prevenir a dedução de terceiros e frequentemente renová-las;
Ter atenção à atuação dos hackers por meio de engenharia social – técnica usada pelos cibercriminosos em geral para obter informações, invadir sistemas e ter acesso a dados pessoais, como: e-mail de bancos pedindo para trocar senha, cavalo de tróia enviado por meio de “ofertas irrecusáveis”, links conhecidos com alteração de caracteres quase imperceptíveis, entre outros.
Essas são apenas dicas que, caso a caso, poderão ser adotadas e/ou complementadas, a depender da realidade das organizações.
Apesar de não existir a possibilidade de evitar todos os riscos, o componente humano é também fundamental para que as entidades fechadas estejam adaptadas à LGPD. Os dirigentes podem e devem estimular a cultura da proteção de dados como uma forma de evidenciar o cumprimento da lei, já que a adoção de medidas administrativas, nos termos do art. 46, é um dever imposto aos agentes de tratamento.
Além disso, ainda que nenhuma pessoa jurídica esteja livre de sofrer um ataque cibernético ou outro tipo de incidente de segurança, certamente a Agência Nacional de Proteção de Dados exigirá que as organizações demonstrem que tomaram as medidas possíveis para prevenir esses riscos e que reagiram prontamente na hipótese da ocorrência de um incidente de segurança, inclusive, fazendo as comunicações cabíveis quando evidenciados riscos ou danos relevantes aos titulares.
*Ana Paula Cardoso Pimenta é Data Protection Officer e advogada do SERPROS Fundo Multipatrocinado
A Fundação de Previdência Complementar do Estado de São Paulo (Prevcom) concluiu as principais fases de implantação da Lei Geral de Proteção de Dados Pessoais (LGPD) com a criação da comissão encarregada de implementar as regras, definição de atribuições e adaptação do conjunto de normas e políticas internas relativas ao tratamento de dados pessoais. Os mecanismos de controle de tráfego interno e externo foram incorporados, e foram estabelecidas as condições previstas para recepção e transmissão de informações, auditoria do sistema e preservação da rede, além do desenvolvimento de programas de conscientização e qualificação.
A legislação determina que as empresas privadas e órgãos públicos revisem os procedimentos de coleta, armazenamento e compartilhamento de dados pessoais para garantir a segurança e transparência dos procedimentos. “A Lei é importante, porque permite à entidade incorporar novas normas ao trabalho diário e disseminar seus conceitos por toda corporação”, Carlos Henrique Flory, Diretor-Presidente da Prevcom, declarou em entrevista ao Blog Abrapp em Foco.
Segundo Flory, a LGPD eleva os parâmetros de tratamento de dados, privacidade e segurança da informação a padrões internacionais. “Neste processo, os colaboradores são peças fundamentais para o sucesso do projeto, que avança impulsionado por esta integração. Todos devem ser multiplicadores em suas equipes para que a fundação atenda à legislação com qualidade e eficiência”, destaca.
Com a vigência da LGPD, os 36,5 mil participantes da entidade passam a ter garantia do atendimento aos seus direitos previstos na Lei em todas as instâncias das operações, o que inclui parceiros e fornecedores. “Todas as políticas relativas à gestão de TI e Privacidade foram ajustadas ao novo contexto legal”, explica o Gerente de Tecnologia da Informação e Encarregado da Privacidade de Dados da Prevcom, Nilson Amado de Souza. “Com a Comissão de Segurança, Privacidade e Mudanças, consolidamos o engajamento da camada diretiva da entidade. Também foram feitos ajustes no funcionamento e gestão de TI, bem como em recursos do principal sistema de gestão. Outras iniciativas, como amplo programa de treinamento e ajustes em aspectos jurídicos da operação estão em curso nesse momento”, destaca.
O processo de adequação à LGPD começou na Prevcom em novembro de 2019, junto com o esforço de certificação em ISO 27.000. “O projeto consiste em aperfeiçoamento da gestão de TI, relacionamento com áreas internas com vistas a aumentar a Segurança da Informação e conformidade com a LGPD”, diz Nilson. Encerrada esta etapa, a entidade passa a cumprir um cronograma que se estenderá até meados de 2021, envolvendo o aprimoramento de processos internos em conformidade com o texto legal e normas de segurança da informação reconhecidas internacionalmente.
Nilson ressalta que a LGPD trouxe à luz uma forma de trabalho que afeta a cultura de operação com dados das pessoas de todas as empresas. “Por conta disso, estamos vendo que uma boa parte do esforço desse projeto vem sendo absorvido pelo novo cotidiano dos departamentos. Logo no início do próximo ano, nossa atenção será dobrada nos esforços da conquista da certificação ISO 27.000. Pretendemos, portanto, não só absorver essa nova realidade da privacidade, como deixar a entidade em linha com as melhores referências internacionais disponíveis” complementa.
A Abrapp e suas comissões técnicas bem que tentaram aperfeiçoar a minuta apresentada pela Previc que resultou na edição da Instrução nº 34 com data do último dia 28 de outubro. Foram enviadas 40 sugestões durante o processo de consulta pública, mas apenas 15 delas foram acatadas. Das sugestões que foram incluídas no texto final, nenhuma delas modificou substancialmente a nova regulação.
Nenhum especialista ouvido pelo Blog Abrapp em Foco discorda que a nova Instrução tem o objetivo fundamental de combater a lavagem de dinheiro e o financiamento de práticas de terrorismo, de acordo às Leis 9.613/1998 e 13.260/2016. Porém, as obrigações impostas para as entidades fechadas (EFPC) são desproporcionais, segundo as fontes. “O objetivo é adequado, mas a forma é excessiva. A Instrução nº 34 parece mais adequada para o tratamento de instituições financeiras como os bancos que lidam com uma enorme massa de clientes com operações muito mais complexas”, diz Flávio Martins Rodrigues, Sócio do Escritório Bocater Camargo Costa e Silva Rodrigues Advogados.
Neste sentido, o advogado analisa que houve uma transposição inadequada das regras do novo normativo para as EFPC, que possuem abrangência muito menor e movimentos menos intensos que as demais instituições financeiras. “As EFPC lidam com aportes de participantes e patrocinadores em volume muito menor e baixa complexidade. A norma deveria contar com procedimentos mais simples e que, ao mesmo tempo, não deixariam de ter eficácia”, comenta Flávio Martins.
Adriana Carvalho Vieira, Secretária Executiva da Comissão Técnica de Governança e Riscos da Abrapp explica que a nova Instrução trouxe um grande nível de detalhamento com a obrigação de internalizar procedimentos, com a formalização de uma série de processos. “Além da avaliação interna de riscos, será também obrigatório realizar a avaliação externa de participantes e prestadores de serviços. Isso demandará processos excessivamente detalhados que demandam, em muitos casos, readequação da estrutura interna da fundação”, prevê Adriana.
“Claro que somos a favor de aperfeiçoar a governança, mas não há necessidade de descer em tantos detalhes. As obrigações são excessivas diante do risco do sistema”, comenta a representante da Comissão Técnica da Abrapp.
Acúmulo de mudanças – Para agravar a situação das EFPC, Adriana Carvalho lembra que há uma concomitância de novas exigências para o setor, que coincide com a entrada em vigência da Resolução CNPC nº 32, que trata da transparência e comunicação, e que começa a valer a partir de 31 de dezembro. Existe a Lei Geral de Proteção de Dados (Lei 13.709/2018), que também está demandando uma série de novos procedimentos das entidades.
A Abrapp tinha sugerido à Previc o início da vigência da IN nº 34 para julho de 2021, mas a autarquia acatou parcialmente a proposta. O início da vigência ficou para 1 de março de 2021. “Houve uma pequena prorrogação para o início de março, o que não alivia muito. É importante lembrar que o funcionamento de muitas entidades continua afetado pela pandemia e apesar de manter o cumprimento de suas obrigações normalizado neste período, a implantação de novos procedimentos não é algo simples”, comenta Adriana.
Roberto Messina, membro da Comissão Técnica de Assuntos Jurídicos da Abrapp aponta o problema do excesso de regulação presente em diversas normas do setor, e que se repetiu na edição da nova Instrução. “O detalhamento das exigências cria uma série de problemas não apenas para as entidades, mas também a fiscalização a futuro. A norma origina uma série de obrigações que o fiscal deverá cobrar, muitas vezes sem eficácia e fundamento”, comenta.
Aumento de custos – Para Messina, a edição final da IN nº 34 não considerou dois aspectos essenciais na elaboração de uma norma. Um deles é a estrutura necessária para o cumprimento das exigências e o outro, é o aumento dos custos envolvidos. “Parece que a nova norma não considera as limitações orçamentárias e de estrutura de muitas entidades fechadas”, diz.
Adriana Carvalho coincide com a questão dos custos. “Será um problema para as pequenas e médias entidades, que provavelmente terão de contratar ferramentas para análise de perfil de risco. Isso implica novos investimentos e maior custo”, afirma.
A especialista revela que a CT de Governança e Riscos da Abrapp da Regional Sul está elaborando um estudo sobre modelos de compliance necessários para adequação à nova Instrução. Coordenado por Luiza Noda, da Fundação Copel, o estudo pretende analisar pontos específicos do novo normativo para desenhar os processos – Luiza Noda – CT Sul – Fundação Copel
Flávio Martins também aponta o problema da incidência de novos custos. “Existe a necessidade de implementar novos processos e isso implicará aumento de gastos. A norma se choca com a intenção do supervisor de incentivar a redução de custos”, diz o especialista. Ele acrescenta que a situação é agravada ainda pelo momento atual da economia doméstica que oferece taxas de juros reduzidas para os ativos e deixam as entidades ainda mais pressionadas em termos de custos. Clique aqui para ler mais sobre a IN nº 34.
