Os sucessivos megavazementos de dados noticiados recentemente, nos quais mais de 200 milhões de dados de brasileiros foram expostos e comercializados na internet, acendem o alerta para esse tipo de ocorrência.
A Lei Geral de Proteção de Dados Pessoais está vigente e o órgão de supervisão, a Autoridade Nacional de Proteção de Dados – ANPD, ainda em estruturação, já vem sendo instado a agir diante desses fatos, destaca Ulysses Alves de Levy Machado, advogado especialista em segurança da informação e privacidade.
¨Uma associação chamada Sigilo moveu, em fevereiro, ação contra uma entidade de proteção ao crédito pelos vazamentos ocorridos – e colocou como co-réu no pedido a própria ANPD, exigindo que ela faça uma auditoria, tome alguma providência com relação a esse vazamento¨, conta Machado.
Esse exemplo serve para mostrar o alto nível de exigência aplicado sob a LGPD em relação aos agentes de tratamento dos dados. ¨Eles serão chamados a funcionar corretamente, serão questionados sobre como os dados são tratados, armazenados e com quem são compartilhados¨. Todas essas respostas precisarão estar no DNA da EFPC, não de forma superficial, mas como parte do negócio, observa Ulysses.
Estão abertas inscrições para mais uma turma do curso ‘Próximos Passos da LGPD: da Implementação ao Acompanhamento’, realizado pela UniAbrapp. As aulas acontecem nos dias nos dias 18 e 19 de março, das 14h30 às 17h30, na modalidade 100% online e ao vivo.
O objetivo do curso é compartilhar pontos de destaques para agir e estar preparado para seguir de forma preventiva e com segurança diante de tantas particularidades trazidas pela Lei Geral de Proteção de Dados (LGPD).
Ministrado pela advogada e especialista Patricia Linhares, Coordenadora da Comissão Técnica de Assuntos Jurídicos Nordeste da Abrapp, o curso é destinado a advogados, administradores de cadastro, profissionais de recursos humanos, TI, relacionamento e atendimento, comunicação e demais profissionais interessados no tema.
A participação nesta turma do curso concede 2 créditos no Programa de Educação Continuada – PEC do ICSS. Inscreva-se!
A Comissão Técnica de Governança e Riscos da Abrapp atuou durante o ano de 2020 em diversas áreas para auxiliar as associadas no enfrentamento dos desafios de diversas novas regulações. Em 2021, os desafios continuam em alta com a entrada em vigor da Instrução Previc n. 34/2020 sobre prevenção à lavagem de dinheiro e financiamento do terrorismo ou das adaptações exigidas pela Lei Geral de Proteção de Dados, entre outras novidades.
“Estamos vivendo um período de verdadeira ‘erupção regulatória’. Algumas das novas regulações ultrapassam a capacidade de absorção das entidades fechadas. Acredito que deveríamos reforçar o caminho da autorregulação para evitar o advento excessivo de novas exigências legais”, diz Adriana de Carvalho Vieira, Secretária Executiva da CT de Governança e Riscos da Abrapp.
Ela defende que as associadas da Abrapp devem aderir em maior número aos Códigos de Autorregulação do sistema, ao mesmo tempo que os órgãos reguladores deveriam valorizar e reconhecer de maneira mais efetiva seus efeitos. “Temos de ajudar a desmistificar a Autorregulação, quebrando resistências. A adesão aos códigos é um passo importante. Faz parte de um processo de maturação do setor”, explica.
Um dos focos de atuação da CT de Governança e Riscos, que conta com a participação também do Diretor Executivo da Abrapp, Carlos Alberto Pereira, foi justamente a revisão do Código de Autorregulação em Governança de Investimentos. A Comissão auxiliou na adaptação do código à Resolução CMN 4.661/2018, entre outras mudanças.
Outro ponto de atuação da CT de Governança foi a análise e acompanhamento da Resolução CNPC n. 32/2019, que também é chamada de regra de transparência, cujas adaptações foram exigidas a partir de 31 de dezembro do ano passado. A Abrapp e sua CT demandaram ampliação do prazo à Previc, mas não foram atendidas.
A Comissão realizou uma pesquisa com o objetivo de mapear a aderência das associadas à nova Resolução. Com a participação de 89 respondentes, o levantamento identificou que várias entidades ainda não contavam com as condições ideais alguns meses antes do prazo definido pela regulação. “Se houvesse maior prazo, seria menos traumático, mas em geral acredito que as entidades conseguiram acelerar o processo para se adaptar às exigências de comunicação e transparência”, comenta Adriana.
Proteção de dados – Uma das preocupações de todo o sistema foi a entrada em vigor da nova Lei Geral de Proteção de Dados. Havia uma expectativa de possível prorrogação, mas que não ocorreu, tendo a nova legislação começado a valer a partir de agosto passado. Ainda que sem multas, todas as organizações da sociedade precisam se adaptar às novas regras de proteção de dados pessoais.
No ano passado foi realizada outra pesquisa com as associadas para mensurar os impactos à proteção de dados e o nível de maturidade das entidades em relação à LGPD. “O questionário foi importante para identificar os GAPs e os pontos de melhoria. Em 2021, a LGPD continua na pauta das Comissões Técnicas, pois o tema não está encerrado”, diz a Secretária Executiva.
A CT de Governança colaborou com as atividades do Grupo de Trabalho Ad Hoc da Abrapp, que elaborou materiais e orientações para a adaptação à nova legislação. O tema continua no centro das atenções em 2021, quando a Autoridade Nacional de Proteção de Dados (ANPD) começará a aplicar multas a partir do próximo mês de agosto.
Agenda 2021 – Alguns dos temas centrais para a agenda de 2021 para a CT de Governança e Riscos, além da LGPD, serão a adaptação à Instrução n. 34/2020 e a elaboração de um Guia de Boas Práticas de Compliance. O ano começou agitado com a previsão de entrada em vigor da nova instrução relacionada à prevenção à lavagem de dinheiro, já a partir do próximo dia 1 de março.
A Regional Sul da CT de Governança elaborou e apresentou e-Book com a realização de um webinar na última quinta-feira, 18 de fevereiro (leia mais). A publicação é um mini-manual com um check list de verificações e novas rotinas definidas pela Instrução n. 34. “O sistema de Previdência Complementar Fechado apresenta menos riscos para a lavagem de dinheiro que outros segmentos. Mesmo assim há novos controles e exigências definidas pela Previc com a nova regulação”, comenta Adriana.
Outro produto planejado pela CT é a produção de um Guia de Compliance com base nas exigências da Resolução CGPC n. 13/2004 voltado para orientações para as fundações de pequeno e médio portes. Existe um grupo de trabalho que já levantou informações para a publicação com o objetivo de elaborar este novo manual de boas práticas.
Além disso, há outro projeto em andamento que é o de mapeamento e análise de riscos sistêmicos, que é desenvolvido pela CT Regional Sudeste. Trata-se de um trabalho de maior fôlego e mais longo prazo.
CT Regionais – Adriana Carvalho destaca a mobilização e boa participação de membros das CT Regionais de Governança e Riscos. No ano passado, as regionais funcionaram com uma média de 20 membros para cada uma, envolvendo um total de cerca de 100 participantes em todas elas. A atuação das comissões se pautou com base no planejamento estratégico da Abrapp.
Além dos projetos já citados acima, as regionais Leste e Centro-Norte estarão atuando na análise e orientações relacionadas aos modelos de documentação da LGPD e da Resolução CNPC n. 32. Já a CT Leste estará concentrada na gestão de riscos cibernéticos, decorrentes do relacionamento digital.
As comissões como um todo estarão se debruçando ainda sobre outros temas, como demais riscos sistêmicos, certificação de colaboradores e prestadores de serviços, entre outros. Adriana Carvalho ressalta que nem sempre o caminho mais adequado passar pela produção de guias e manuais. Ela defende a produção de orientações mais específicas através de papers e materiais mais ágeis. A CT de Governança se prepara também para participar na organização do Seminário Dever Fiduciário, que é realizado anualmente em conjunto com o Sindapp. O mês previsto para sua realização é maio de 2021.
A OABPrev-PR se adequou às exigências da Lei Geral de Proteção de Dados (LGPD) e da Resolução nº 32 do Conselho Nacional de Previdência Complementar (CNPC), buscando dar maior segurança e confiança aos seus participantes. Com o auxílio de uma consultoria especializada, a entidade estruturou normas de privacidade e procedimentos internos assegurando maior proteção de seus dados, além de reestruturar seu site, tornando-o um facilitador do acesso à informação.
“Entendemos que a adequação à LGPD pela entidade vem a consolidar o processo de transparência que sempre mantivemos com nossos participantes”, diz o Diretor Presidente da OABPrev-PR, José Manuel Justo Silva, ao Blog Abrapp em Foco. Segundo ele, através da elaboração e divulgação da política de privacidade, a entidade dará uma resposta sobre os dados coletados e, principalmente, com quem eles são compartilhados. “Tudo isso visa a efetiva execução do contrato previdenciário. Em paralelo, a Resolução n° 32 do CNPC, sobre o acesso a informações básicas do plano e funcionamento da entidade, conduz na melhoria da comunicação e fortalece ainda mais a transparência”, destaca José Manuel.
Segundo ele, a entidade não está omitindo esforços para implantar o que está contido na LGPD e na Resolução. “Nosso participante, que é a razão primordial da nossa própria existência, tem o direito que assim procedamos”, reitera. “Temos consciência da importância dos meios digitais na interação com nosso público e em respeito aos nossos 17.200 participantes, não mediremos esforços de fazermos as adequações necessárias, visando sempre uma maior proteção dos seus dados pessoais a nós confiados”, afirma José Manuel.
LGPD – O ponto de início para a implantação da LGPD na entidade foi a mudança da teoria para a prática. Segundo José Ricardo Cavalcanti de Albuquerque (foto ao lado), Coordenador da OABPrev-PR, quando a Lei foi promulgada, a entidade começou a participar de cursos e palestras ainda em um âmbito muito teórico. “Quando se aproximou da entrada em vigor, não sabíamos se esse prazo seria prorrogado. Quando se confirmou, percebemos que a teoria tinha que virar prática”, declara.
Assim, a entidade se organizou internamente e José Ricardo foi nomeado Data Protection Officer (DPO), ou encarregado de dados da entidade, responsável também pela implantação da adequação à LGPD. “Assim, criamos o Comitê de Compliance, Segurança e Respostas a Incidentes, que na época tinha como integrantes um Diretor e dois Conselheiros, e hoje conta com dois Diretores, um membro do Conselho Deliberativo e um do Conselho Fiscal”, conta José Ricardo.
O Comitê fez um curso de capacitação para mapear dentro da entidade as atividades, políticas, regulamentos e trabalhos técnicos que precisavam entrar na adequação à Lei. “Vimos também que algumas entidades estavam em pontos mais avançados e outros menos avançados, e criamos uma Comissão com entidades do Paraná junto à Associação dos Fundos de Pensão do Paraná (Previpar) para trocar experiências”.
A partir de então, a entidade realizou um trabalho de conscientização, mapeamento de processos e implementação jurídica, que trata de documentos a serem produzidos com redação sobre o processamento de dados, incluindo uma política corporativa de privacidade da entidade. “Temos um Manual da LGPD que contempla esses pontos, mostrando como a entidade se comporta diante da Lei. A Política de Uso de Dados também está disponível em nosso site. O documento principal foi nossa Política de Privacidade, pois a LGPD não nos proíbe de compartilhar dados, mas é preciso saber quais são os dados e com quem eles são compartilhados. O nosso foco é dar transparência aos participantes nesse sentido”, explica José Ricardo.
A entidade criou ainda o Portal da Privacidade, um canal de acesso de requisição da informação sobre dados com uma estrutura interna de atendimento. “Também temos um workflow do exercício do direito do titular, com uma normativa de atendimento às requisições. Nosso cuidado é facilitar e registrar esses acessos. Mais do que gestores, somos usuários, e temos o direito de saber o que é feito com nossos dados”, destaca.
Resolução nº 32 – Além da LGPD, a OABPrev-PR já vinha trabalhando na adequação à Resolução nº 32 do CNPC. “Tínhamos o prazo até 31 de dezembro de 2020 para se adequar à Resolução, que exigia a disponibilização do resumo das atas dos Conselhos. Nos adequamos a vários detalhes, e o que mais chamou atenção foi a questão de deixar o participante conhecer o plano, mostrando quais são os requisitos de admissão. Para isso, precisávamos de uma ferramenta”, diz José Ricardo.
Assim, a entidade criou a página “Conheça o Plano”, com informações completas sobre o plano de previdência oferecido, adequando seu site com a disponibilização de uma área de Perguntas e Respostas que explica o que é a OABPrev-PR. “Tivemos o cuidado de nos comunicarmos. Isso dá transparência e mostra o que acontece dentro da entidade. Também criamos uma parte de solicitação de informações, abrangendo todos os canais de comunicação que os participantes podem ter com a gente”.
Desde 2019, o Serpros vem implementando ações para se adequar às exigências da Lei Geral de Proteção de Dados (LGPD), levando maior proteção para os dados de seus colaboradores, participantes e parceiros. Após mais de 2 anos do início desse trabalho, a entidade lançou, em 28 de janeiro de 2021 – Dia Internacional da Privacidade – um Canal Interno com o DPO e a Cartilha LGPD para os empregados da entidade. O objetivo é fornecer informações sobre a aplicação prática da Lei na execução das tarefas diárias do Serpros.
A Presidente do Serpros, Ana Costi, explica que ainda em 2018, a Diretoria da entidade inclui no planejamento estratégico uma ação específica relativa à implementação da LGPD. “Em fevereiro de 2019, criamos o Projeto Proteção de Dados com um Grupo de Trabalho composto por advogados e representantes da área de TI, de governança e de benefícios. Assim começaram os trabalhos. No início, tivemos uma pequena consultoria para modelagem que nos definiu a linha mestra de atuação”, conta em entrevista ao Blog Abrapp em Foco.
A advogada da Gerência Jurídica do Serpros, Ana Paula Pimenta, assumiu a coordenação do Projeto Proteção de Dados em 2019, sendo nomeada em julho de 2020 Data Protection Officer (DPO), ou encarregada de dados da entidade. “Achávamos que seria necessária uma dedicação exclusiva da Ana Paula, e ela começou com as atividades específicas”, destaca Ana Costi.
Ações implementadas – A partir do início das ações de implementação da Lei no Serpros, foram feitos treinamentos com as equipes a respeito das exigências da LGPD. Também foi criada a Política Interna de Privacidade, que coloca diretrizes de como a privacidade vai ser tratada e direcionada dentro da entidade; a Política de Proteção de Dados Pessoais, expressando o comprometimento do Serpros com a LGPD; e o Termo de Privacidade, que dá transparência sobre o uso dos dados, dando transparência aos titulares. Foi revisada ainda a Política de Segurança da Informação para se adequar à LGPD. “A Gerência de Tecnologia da Informação trouxe um olhar mais preventivo, que colocou na Política de Segurança da Informação o que a Lei impõe”, explica a DPO Ana Paula Pimenta (foto ao lado).
Ana Paula diz que entre os papéis do DPO, um é orientar empregados, conforme disposto na legislação, que exige que se apresentem evidências de que a proteção de dados funciona nas empresas. Por isso, além de todas as documentações, foram criados o Canal Interno com o DPO e a Cartilha LGPD. “Há uma responsabilidade na apresentação dessas evidências. Como o DPO deixa claro, quando eventualmente tiver fiscalização, que está fazendo seu papel orientador? Então, criamos um canal com informações sobre o assunto e uma cartilha desmistificando o que é a LGPD”, conta. A Cartilha também traz informações e apresenta dicas práticas de segurança da informação e prevenção aos riscos de incidentes de segurança, demonstrando situações cotidianas em que devem ser observados os princípios da LGPD nas tarefas da entidade, entre outras informações.
O Canal Fale com DPO está disponível no site da entidade com informações sobre pedidos de dados, que pode ser feito gratuitamente, e por meio eletrônico, com um campo para perguntas e respostas onde são elucidados temas sobre a LGPD.
Os princípios da Lei também foram incluídos nos ciclos de análise de risco da entidade, deixando claro quais são os problemas de um descumprimento da LGPD em cada área. “Isso passa por todas as gerências”, destaca Ana Paula Pimenta. O Serpros também fez uma revisão de contratos e lançou o Plano Diretor de Tecnologia da Informação do Serpros; além de ter realizado testes de invasão nos sistemas da entidade, que serão periódicos, para aferir a segurança.
Conscientização – Ana Paula Pimenta ressalta que um dos trabalhos mais importantes é o de conscientização do corpo funcional. “Eu quero que os empregados entendam a importância disso na vida de todo mundo”, ressalta. Para facilitar esse projeto, foram realizadas lives sobre medidas de segurança para prevenção de crimes cibernéticos para as equipes do Serpros. “Não descartamos a hipótese de fazer de novo, além dos treinamentos que já fazemos e uma programação de cursos para dar mais conscientização sobre o assunto”, diz.
Para ela, o mais importante é que o projeto da LGPD foi top-down, partindo de uma iniciativa da Diretoria. “Muito do que a gente conseguiu se deve a esse fato do comprometimento da alta administração. Sem isso, esse projeto, que abrange todos os setores da empresa, não evoluiria. São atividades multidisciplinares para se adequar à Lei, e essa consciência da Diretoria Executiva foi muito importante”.
A Presidente do Serpros Ana Costi ressalta que o trabalho de educação de segurança e privacidade de dados é essencial e se estende aos Conselheiros das entidades, que receberam um comunicado interno da Diretoria sobre a importância desse cuidado em relação às informações estratégicas e dados pessoais. “Isso ajuda a Diretoria e a DPO no processo de estruturação de toda a casa”.
Próximos passos – Ana Costi destaca que a prioridade do Serpros agora é definir pontos focais em cada gerência, que serão pessoas que tratarão diretamente do tema com a DPO internamente. “Essas pessoas serão indicadas para falar com a Ana Paula, e assim ela poderá identificar novas demandas de cada setor. A DPO também faz parte da pauta da Diretoria, e pelo menos quinzenalmente participará das reuniões”.
Ana Paula Pimenta ressalta que esse é um trabalho contínuo que deve evoluir conforme as regulamentações da própria LGPD forem avançando. “Nosso mapeamento foi macro, e tentamos chegar em um ponto ideal para atender tudo que é possível. A fase de monitoramento virá depois que tudo estiver implementado. A LGPD é um ecossistema, e todos precisam estar adequados para ela funcionar”, reitera. “É um diferencial competitivo para qualquer empresa estar adequado à LGPD. É uma grande oportunidade”, reforça Ana Paula.
Ana Costi destaca que o Serpros atualmente está passando por um amplo processo de reformulação de normas e procedimentos, ajustando a cultura interna através de treinamentos e comunicações cotidianas voltados a fomentar a proteção de dados pessoais e o aperfeiçoamento da política de segurança da informação. “É um cuidado de passar para o participante que seus dados pessoais estão protegidos, e também mostrar para a patrocinadora que as devidas ações preventivas estão sendo tomadas para que o risco de vazamento de dados seja evitado”, declara.
LGPD – O ponto de início para a implantação da LGPD na entidade foi a mudança da teoria para a prática. Segundo José Ricardo Cavalcanti de Albuquerque (foto ao lado), Coordenador da OABPrev-PR, quando a Lei foi promulgada, a entidade começou a participar de cursos e palestras ainda em um âmbito muito teórico. “Quando se aproximou da entrada em vigor, não sabíamos se esse prazo seria prorrogado. Quando se confirmou, percebemos que a teoria tinha que virar prática”, declara.
Ações implementadas – A partir do início das ações de implementação da Lei no Serpros, foram feitos treinamentos com as equipes a respeito das exigências da LGPD. Também foi criada a Política Interna de Privacidade, que coloca diretrizes de como a privacidade vai ser tratada e direcionada dentro da entidade; a Política de Proteção de Dados Pessoais, expressando o comprometimento do Serpros com a LGPD; e o Termo de Privacidade, que dá transparência sobre o uso dos dados, dando transparência aos titulares. Foi revisada ainda a Política de Segurança da Informação para se adequar à LGPD. “A Gerência de Tecnologia da Informação trouxe um olhar mais preventivo, que colocou na Política de Segurança da Informação o que a Lei impõe”, explica a DPO Ana Paula Pimenta (foto ao lado).