Escolha uma Página
Fundação Itaúsa se adequa à LGPD e implanta Política e Aviso de Privacidade

Fundação Itaúsa se adequa à LGPD e implanta Política e Aviso de Privacidade

A Fundação Itaúsa iniciou o processo de adequação à Lei Geral de Proteção de Dados (LGPD) no início do ano passado, e após mais de um ano de trabalho, aprovou, em maio deste ano, a Política de Privacidade e Proteção de Dados, que estabelece, entre outras coisas, as diretrizes corporativas sobre dados coletados, utilizados e compartilhados com terceiros; e em setembro, o Aviso de Privacidade e Proteção de Dados Pessoais, que detalha como e quais dados são tratados pela fundação.

Durante esse processo, Leopoldo Ragazzini Martarelli Pecoraro, que responde pelas áreas Jurídica, de Compliance e Riscos da entidade, foi nomeado Data Protection Officer (DPO), ou encarregado de dados da fundação. “Começamos esse processo no início de 2019 e terminamos em fevereiro deste ano. A primeira etapa do processo foi a preparação da Política, o registro das atividades da fundação que tratam dados e o levantamento da base de dados onde os dados pessoais se encontram armazenados”, disse Leopoldo em entrevista ao Blog Abrapp em Foco.

Segundo ele, o processo de elaboração de uma Política de Privacidade foi feito junto a uma consultoria externa, que fez o mapeamento de processos da entidade e elaborou a minuta do documento, que posteriormente foi aprimorado pela entidade. “Fizemos o registo das atividades, criamos a Política e a aprovamos no Conselho Deliberativo da fundação”. Esse processo demorou cerca de três meses, incluindo a avaliação dos processos internos que tratam dados pessoais.

Leopoldo explica ainda que a Política de Privacidade diz respeito a como a fundação trata dados. “É um documento mais legalista, focado nas disposições legais da Lei Geral de Proteção de Dados. Ele descreve as diretrizes da entidade a serem aplicadas aos dados pessoais de seus dirigentes, colaboradores, participantes dos planos de benefícios e seus parceiros, que são coletados, utilizados e, quando necessário, inclusive por obrigação legal, compartilhados com terceiros, como parceiros de negócios, fornecedores e outras organizações com quem a entidade possua ou possa vir a ter uma relação de negócio”.

Como a Lei prevê que o consentimento das pessoas para uso de dados não pode ser genérico, criamos o Aviso de Privacidade, Proteção e Tratamento de Dados Pessoais, aprovado em setembro deste ano, que é um documento mais robusto. O participante, lendo o Aviso, sabe o que a entidade faz exatamente com os dados dele, quais dados coleta, com quem coleta e para quem compartilha”, diz.

Ele destaca ainda que a obtenção dos dados têm um único propósito: administrar os planos de previdência do participante. “O compartilhamento também é feito de acordo com a  necessidade. Temos detalhado no Aviso todos os processos internos mapeados com as áreas. Também está explicado o direito que o participante tem em relação aos dados de acordo com o que a Lei prevê, e como os dados são protegidos, além de falar sobre o término do tratamento dos dados pessoais e por quanto tempo os dados são mantidos armazenados na entidade”. Na Fundação Itaúsa Industrial, há quatro áreas que utilizam dados pessoais em seus processos, e por isso foram acionadas para colaboração na elaboração do Aviso. “Caso esse documento seja alterado, o participante será informado. O participante conta ainda com um canal de contato com o DPO”, complementa Leopoldo.

Adequação – O objetivo de todo esse processo da Fundação Itaúsa Industrial é manter todos os procedimentos da entidade de acordo com a legislação. Segundo Leopoldo, desde a publicação da Lei, houve uma constante preocupação com o prazo de vigência da LGPD. “Queríamos estar com tudo em ordem independentemente da discussão sobre o início de sua vigência, para quando entrasse em vigor, estivéssemos em total compliance com a legislação. Temos estruturado um robusto processo para que, caso ocorra qualquer questão em termos de aplicação de penalidade, questionamento pela Autoridade Nacional de Proteção de Dados (ANPD) ou de participantes, tenhamos total condição de reportar o que for necessário dentro dos exatos termos da Lei”, diz.

Com a Política e o Aviso aprovados, a entidade está atuando para ficar 100% adequada às exigências da Lei quando as penalidades entrarem em vigor. “Nossa ideia é deixar tudo muito bem feito, mitigando todo e qualquer risco de haver algum problema, seja em termos de documentação, de operação ou de formalização”, complementa Leopoldo.

Hoje, a fundação trabalha para aprimorar processos internos e, com isso, utilizar menos dados e compartilhá-los com menos frequência. “Os processos internos demandam a utilização de muitos dados pessoais, mas grande parte deles são dispensáveis. Estamos cumprindo a Lei exatamente como é exigido. Arquivamos tudo que temos feito em termos de adequação à LGPD e mantemos nosso foco no aperfeiçoamento contínuo deste processo. Assim, levamos aos nossos participantes e dirigentes a segurança que o nível de governança corporativa da nossa entidade exige”, destaca Leopoldo.

Próximos passos – A partir de agora, os trabalhadores da entidade serão treinados com frequência para que os procedimentos sejam cumpridos. “Queremos ensinar ou reciclar as pessoas sempre para que fiquem sempre atentas aos seus processos. Queremos levar aos funcionários essa percepção de risco em termos de operação. Também temos contratos para ajustar com fornecedor, mas essa é uma parte mais operacional. Precisamos de uma  segurança jurídica com os fornecedores”, diz Leopoldo.

Já no ano que vem, a ideia é que a fundação tenha um relatório de impacto em uma formatação de resposta a incidentes. “Queremos aprimorar esse processo”, destaca Leopoldo. O participante será constantemente comunicado sobre os processos que estão ocorrendo em relação a adequação da Fundação Itaúsa Industrial à LGPD. “Isso é disponibilizado nos diversos canais da fundação”, diz.

Funcef lança Política de Privacidade e Proteção de Dados em adequação à LGPD

Funcef lança Política de Privacidade e Proteção de Dados em adequação à LGPD

A Diretoria Executiva da Funcef aprovou a versão atualizada da Política de Privacidade e Proteção de Dados da Fundação na semana passada, alinhada ao compromisso de transparência e revisão de processos e sistemas à luz da nova Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro. Em entrevista ao Blog Abrapp em Foco, o Diretor de Administração da Funcef, Augusto Miranda, explicou como está sendo o processo de atendimento aos requisitos da Lei. Miranda foi designado encarregado de dados da entidade, ou Data Protection Officer (DPO) pela Diretoria Executiva como parte do processo de ajuste à LGPD.

Ele conta que no final de 2018, a Funcef instituiu um grupo de trabalho para fazer um estudo preliminar sobre as implicações decorrentes da implantação da LGPD. “Nesse meio tempo, foi feita uma série de levantamentos pelas áreas de TI, de risco, jurídica, e de atendimento aos participantes para poder vislumbrar as diferentes implicações decorrentes da legislação, que trariam a responsabilidade adicional de zeladoria pelos dados pessoais que a Funcef tem, e o dever de assegurar o sigilo em sua utilização para fins específicos que ela precisa para cumprir sua missão institucional”, destaca Miranda.

Além dos participantes, assistidos e pensionistas, a mesma obrigação se estende aos empregados, destaca Miranda. “Temos o tráfego de informações oriundas para atividades para as quais prestamos serviços envolvendo, por exemplo, a patrocinadora Caixa Econômica, entidades associativas que fazemos serviços de débito e folha, fornecedores os quais contratamos, ou seja, há uma rede ampla de interações nas quais esses dados já vinham sendo utilizados, e que a partir de então precisamos ter um segundo nível de atenção e asseguramento quanto à sua devida proteção”, explica.

Nos últimos 12 meses, houve essa discussão sobre legislação e definição do início da vigência efetivamente da LGPD, e a Funcef começou a tomar as ações iniciais, que ainda estão em curso. “Isso passou pela minha designação como DPO, pois uma das incumbências da legislação é identificar o profissional responsável para asseguramento do cumprimento do previsto na legislação”, diz Miranda. “Nós entendemos que essa função deveria ser do nível diretivo justamente para dar autonomia decisória e atribuição de responsabilidade decorrente de uma atividade com essa importância”. Além de Miranda ser Diretor eleito pelos participantes, também atua no que diz respeito à tecnologia da informação na Funcef. “Isso traz uma sinergia importante para agilizar os procedimentos necessário para essa adequação”, ressalta.

Política de Proteção de Dados – A Política de Privacidade e Proteção de Dados da Funcef faz parte da estratégia de evidenciação dos esforços da entidade para o cumprimento integral da legislação, explica Miranda. “O primeiro compromisso que a política oferece aos clientes, que são nossos participantes e assistidos, é justamente o asseguramento de que a Funcef coletará apenas o estritamente o necessário para a realização das atividades intrínsecas ao seu objetivo primordial como fundo de pensão. O segundo compromisso é fazer a zeladoria dessas informações da forma mais rigorosa possível para coibir compartilhamento indevido de informações com terceiros que não sejam previamente autorizados pelo proprietário dos dados, que é o participante. Além disso, faremos o atendimento a quem requisite que se execute a anonimização de dados, que o participantes têm o direito, e eventualmente a descaracterização ou até mesmo remoção dos dados”, explica Miranda.

Segundo ele, um canal ficará à disposição dos interessados para que possam consultar os dados pessoais que a Funcef trata. “O participante também deve ficar ciente das implicações de remover os dados”, destaca.

Próximos passos – Dentre as próximas etapas que serão implantadas ainda neste mês, segundo Miranda, está a instituição dos formulários para atendimento a essas solicitações,  dando essa prerrogativa a todo e qualquer proprietário de dados pessoais de solicitar suas informações. “Isso é uma obrigação dos controladores e operadores dos dados”. Miranda explica que a Funcef tem uma dupla função perante a Lei. “Quando prestamos um serviço para a patrocinadora, por exemplo, para um débito em folha dos nossos participantes, assumimos a função simultânea de operador de dados para essa instituição. Isso precisa ser ratificado pelo proprietário dos dados, e está previsto no nosso planejamento para as próximas semanas solicitar a eles a devida anuência de continuar não só fornecendo o acesso aos dados aos quais temos tratamento, mas também a autorização para os débitos em folha que providenciamos”, destaca.

Além disso, o processo de adequação à LGPD passa por etapas complementares, como aculturamento dos colaboradores para a zeladoria desses dados, que é transversal às diferentes atividades da Funcef; engajamento dos prestadores de serviço que, porventura, façam uso de dados para que tenham esse mesmo asseguramento; entre outras. “Esse conjunto de atividades está em andamento para que a gente possa estar aderente enquanto nossa missão de assegurar segurança no gerenciamento dos dados”, diz Miranda.

Mudança cultural – Segundo ele, é preciso ter uma conscientização de empresas e organizações de forma geral, e também do cidadão em particular, em relação à Lei. “O cidadão tem direitos quanto à previsão dos seus dados pessoais, ao impedimento do uso para fins comerciais, financeiros e mercadológicos, e as empresas devem adequar seus processos e rotinas à demonstração e evidência de qual a forma que elas utilizam os dados estritamente necessários para execução das suas atividades-fim, e com a devida anuência do proprietário dos dados”, destaca Miranda. “A essa zeladoria mais ostensiva que todas as empresas e organizações no Brasil vão precisar se ajustar”, complementa.

A mudança cultural, do ponto de vista do Diretor, é o ponto mais importante da LGPD no Brasil. “Esse trabalho de fazer uma revisão geral de rotinas e processos para avaliar o que é, de fato, imprescindível à execução da atividade e se restringir à coleta das informações dessas atividades é o principal desafio desse aculturamento. É preciso que se filtre o mínimo necessário na coleta de dados pessoais para realização das suas atividades”.

Miranda ressalta que o trabalho é contínuo e permanente, pois mexe com rotinas que já existem há décadas. “Planos de previdência privada dos maiores fundos de pensão, em sua maioria, já tem mais de 10 anos de existência, então são rotinas bem consolidadas onde se faz a coleta de dados sem essas preocupações quanto à previsão legal que não existia. Essa revisão geral da rotinas existentes é um dever que devemos cumprir perante à Lei”, complementa.

Centrus se adequa à LGPD com Política de Proteção de Dados Pessoais

Centrus se adequa à LGPD com Política de Proteção de Dados Pessoais

A Centrus realizou, no último ano, todo seu processo de adequação à Lei Geral de Proteção de Dados (LGPD) internamente, por meio de um Grupo de Trabalho que conduziu desde o mapeamento do uso de dados dentro da entidade até a implantação de uma Política de Proteção de Dados Pessoais adequada à nova Lei, em julho. Foram envolvidas no projeto todas as 10 gerências que atuam na EFPC. “A segurança na gestão de dados de participantes, assistidos e familiares sempre foi tratada de forma cautelosa por dirigentes e funcionários da Centrus. A LGPD desafiou-nos a realizar um diagnóstico com todas as áreas da Centrus, até mesmo as que não lidam diretamente com atendimento e informações pessoais dos participantes, e a criar uma Política para assegurar a melhor utilização dessas informações”, diz Altamir Lopes, Diretor Presidente da entidade, em entrevista ao Blog Abrapp em Foco.

Segundo ele, a Política de Proteção de Dados Pessoais da Centrus está em consonância com a nova realidade não só jurídica, mas também cultural que a LGPD pretende estabelecer no cenário brasileiro de tratamento de dados pessoais. “Entendemos, no entanto, que essa política não é estática e que deverá ser aperfeiçoada à medida que a aplicação da Lei estiver sendo avaliada pelos órgãos competentes e que os parâmetros forem sendo fixados pela Autoridade Nacional de Proteção de Dados”, destaca. “Dessa forma, a Centrus dá cumprimento pleno às determinações da LGPD e reafirma o compromisso com o zelo e com a segurança de dados pessoais, de forma a garantir a proteção à privacidade de seus participantes, assistidos e seus familiares”, complementa Altamir.

Processo de adequação – O processo dentro da entidade iniciou em 2019, quando foi formado um Grupo de Trabalho com gerentes da área de auditoria, a secretaria executiva, a gerente de secretaria de controle interno, a gerente da área de tecnologia da informação, o consultor jurídico, e o Diretor de Controle, Logística e Informação da entidade, Eduardo de Lima Rocha, encarregado de representar a Centrus junto à autoridade de proteção de dados, conforme estabelece a Lei. “Essa indicação veio demonstrar o comprometimento da administração da Centrus com a adequação à LGPD”, diz César Cardoso, Consultor Jurídico da entidade em entrevista.

Assim, o GT ficou a par da legislação e obteve maior conhecimento do que vinha sendo feito fora da Centrus e em outras entidades de mesma natureza, optando por um trabalho interno, sem consultoria externa. “A partir desse trabalho iniciado com o GT, foi feita uma apresentação da Lei para os colaboradores e para a Diretoria e, depois disso, houve uma familiarização dos impactos que a Lei trará para as instituições”, explica César. 

Assim, o grupo elaborou mapas de diagnóstico indagando os gerentes de todas as áreas da Centrus que de alguma forma tratam dados que tipo de informações pessoais elas detinham, quais as fontes, como esses dados são compartilhados e armazenados, e se existe alguma forma de proteção ou algum eventual vazamento de informações. “Felizmente não há notícias de vazamento nesses anos todos de coleta e guarda de dados na Centrus”, afirma o Consultor Jurídico. 

Proteção de Dados – Segundo César, a Centrus detém, essencialmente, dados referentes aos participantes, assistidos e dependentes, além de um cadastro na área de RH envolvendo colaboradores e empregados, um relacionado a fornecedores, e outro na área de investimentos. “A partir desse diagnóstico, foi elaborado um instrumento de Política de Proteção de Dados Pessoais. A Centrus tem, hoje, um documento em que ela descreve essa política e que está divulgado em site para conhecimento, mostrando como a entidade está adequada ao dispositivo legal que disciplina a proteção de dados”, destaca o Consultor Jurídico.  

O trabalho do GT se encerrou em maio de 2020, e a política foi aprovada pela Diretoria Executiva e pelo Conselho Deliberativo, fazendo parte da estratégia da Centrus. “Cada um dos gerentes das áreas da Centrus agora tem em vista a política estabelecida e o diagnóstico feito para que verifiquem se trabalham de modo a eliminar os dados que eles não precisam ter no tratamento que fazem”, explica César. “A Lei exige que sejam utilizados apenas os dados adequados, necessários e que atendam à finalidade para quais são coletados, armazenados e tratados”.

Adequação – Apesar da Centrus estar essencialmente adequada à Lei, César reitera que ainda há incertezas sobre como a Autoridade Nacional de Proteção de Dados vai tratar desse tema dentro das organizações. “Não há nenhum parâmetro específico estabelecido por essa autoridade que vai supervisionar. De certa forma, embora tenhamos o parâmetro da Lei europeia e algumas decisões em relação à privacidade, a LGPD ainda é uma Lei de princípios e cláusulas abertas e vai requerer uma adequação ao longo do tempo, na medida em que vamos conhecendo a visão do judiciário e órgãos supervisores”, destaca César.

Uma das preocupações que têm se levantado é que se imagina que o foco do órgão supervisor é se a entidade fez movimentos no sentido de adequação. Ou seja, se não está parada ou passiva em relação às exigência legais. “A Centrus fez esse movimento, está se adequando dentro das limitações que a própria Lei impõe, e muitas regras dependem de regulamentação. O órgão supervisor vai avaliar se a entidade está procurando se adequar ao máximo, e nesse aspecto, nós estamos. Ainda assim, o processo não termina com esse trabalho, e essa adequação vai se dar ao longo do tempo na medida em que a Centrus tenha maior conhecimento dos parâmetros trazidos pela LGPD e sua autoridade fiscalizadora. É um trabalho permanente”, complementa o Consultor Jurídico.

Newsletter Abrapp em Foco

Cadastre-se e fique por dentro de tudo que acontece no Grupo Abrapp e em sintonia com os fatos mais relevantes do setor.