Escolha uma Página
OABPrev-PR faz adequações à LGPD e à Resolução nº 32

OABPrev-PR faz adequações à LGPD e à Resolução nº 32

A OABPrev-PR se adequou às exigências da Lei Geral de Proteção de Dados (LGPD) e da Resolução nº 32 do Conselho Nacional de Previdência Complementar (CNPC), buscando dar maior segurança e confiança aos seus participantes. Com o auxílio de uma consultoria especializada, a entidade estruturou normas de privacidade e procedimentos internos assegurando maior proteção de seus dados, além de reestruturar seu site, tornando-o um facilitador do acesso à informação.

“Entendemos que a adequação à LGPD pela entidade vem a consolidar o processo de transparência que sempre mantivemos com nossos participantes”, diz o Diretor Presidente da OABPrev-PR, José Manuel Justo Silva, ao Blog Abrapp em Foco. Segundo ele, através da elaboração e divulgação da política de privacidade, a entidade dará uma resposta sobre os dados coletados e, principalmente, com quem eles são compartilhados. “Tudo isso visa a efetiva execução do contrato previdenciário. Em paralelo, a Resolução n° 32 do CNPC, sobre o acesso a informações básicas do plano e funcionamento da entidade, conduz na melhoria da comunicação e fortalece ainda mais a transparência”, destaca José Manuel.

Segundo ele, a entidade não está omitindo esforços para implantar o que está contido na LGPD e na Resolução. “Nosso participante, que é a razão primordial da nossa própria existência, tem o direito que assim procedamos”, reitera. “Temos consciência da importância dos meios digitais na interação com nosso público e em respeito aos nossos 17.200 participantes, não mediremos esforços de fazermos as adequações necessárias, visando sempre uma maior proteção dos seus dados pessoais a nós confiados”, afirma José Manuel.

LGPD – O ponto de início para a implantação da LGPD na entidade foi a mudança da teoria para a prática. Segundo José Ricardo Cavalcanti de Albuquerque (foto ao lado), Coordenador da OABPrev-PR, quando a Lei foi promulgada, a entidade começou a participar de cursos e palestras ainda em um âmbito muito teórico. “Quando se aproximou da entrada em vigor, não sabíamos se esse prazo seria prorrogado. Quando se confirmou, percebemos que a teoria tinha que virar prática”, declara.

Assim, a entidade se organizou internamente e José Ricardo foi nomeado Data Protection Officer (DPO), ou encarregado de dados da entidade, responsável também pela implantação da adequação à LGPD. “Assim, criamos o Comitê de Compliance, Segurança e Respostas a Incidentes, que na época tinha como integrantes um Diretor e dois Conselheiros, e hoje conta com dois Diretores, um membro do Conselho Deliberativo e um do Conselho Fiscal”, conta José Ricardo.

O Comitê fez um curso de capacitação para mapear dentro da entidade as atividades, políticas, regulamentos e trabalhos técnicos que precisavam entrar na adequação à Lei. “Vimos também que algumas entidades estavam em pontos mais avançados e outros menos avançados, e criamos uma Comissão com entidades do Paraná junto à Associação dos Fundos de Pensão do Paraná (Previpar) para trocar experiências”.

A partir de então, a entidade realizou um trabalho de conscientização, mapeamento de processos e implementação jurídica, que trata de documentos a serem produzidos com redação sobre o processamento de dados, incluindo uma política corporativa de privacidade da entidade. “Temos um Manual da LGPD que contempla esses pontos, mostrando como a entidade se comporta diante da Lei. A Política de Uso de Dados também está disponível em nosso site. O documento principal foi nossa Política de Privacidade, pois a LGPD não nos proíbe de compartilhar dados, mas é preciso saber quais são os dados e com quem eles são compartilhados. O nosso foco é dar transparência aos participantes nesse sentido”, explica José Ricardo.

A entidade criou ainda o Portal da Privacidade, um canal de acesso de requisição da informação sobre dados com uma estrutura interna de atendimento. “Também temos um workflow do exercício do direito do titular, com uma normativa de atendimento às requisições. Nosso cuidado é facilitar e registrar esses acessos. Mais do que gestores, somos usuários, e temos o direito de saber o que é feito com nossos dados”, destaca.

Resolução nº 32 – Além da LGPD, a OABPrev-PR já vinha trabalhando na adequação à Resolução nº 32 do CNPC. “Tínhamos o prazo até 31 de dezembro de 2020 para se adequar à Resolução, que exigia a disponibilização do resumo das atas dos Conselhos. Nos adequamos a vários detalhes, e o que mais chamou atenção foi a questão de deixar o participante conhecer o plano, mostrando quais são os requisitos de admissão. Para isso, precisávamos de uma ferramenta”, diz José Ricardo.

Assim, a entidade criou a página “Conheça o Plano”, com informações completas sobre o plano de previdência oferecido, adequando seu site com a disponibilização de uma área de Perguntas e Respostas que explica o que é a OABPrev-PR. “Tivemos o cuidado de nos comunicarmos. Isso dá transparência e mostra o que acontece dentro da entidade. Também criamos uma parte de solicitação de informações, abrangendo todos os canais de comunicação que os participantes podem ter com a gente”.

LGPD: Serpros disponibiliza Canal Interno e lança Cartilha sobre proteção de dados

LGPD: Serpros disponibiliza Canal Interno e lança Cartilha sobre proteção de dados

Desde 2019, o Serpros vem implementando ações para se adequar às exigências da Lei Geral de Proteção de Dados (LGPD), levando maior proteção para os dados de seus colaboradores, participantes e parceiros. Após mais de 2 anos do início desse trabalho, a entidade lançou, em 28 de janeiro de 2021 – Dia Internacional da Privacidade – um Canal Interno com o DPO e a Cartilha LGPD para os empregados da entidade. O objetivo é fornecer informações sobre a aplicação prática da Lei na execução das tarefas diárias do Serpros.

A Presidente do Serpros, Ana Costi, explica que ainda em 2018, a Diretoria da entidade inclui no planejamento estratégico uma ação específica relativa à implementação da LGPD. “Em fevereiro de 2019, criamos o Projeto Proteção de Dados com um Grupo de Trabalho composto por advogados e representantes da área de TI, de governança e de benefícios. Assim começaram os trabalhos. No início, tivemos uma pequena consultoria para modelagem que nos definiu a linha mestra de atuação”, conta em entrevista ao Blog Abrapp em Foco.

A advogada da Gerência Jurídica do Serpros, Ana Paula Pimenta, assumiu a coordenação do Projeto Proteção de Dados em 2019, sendo nomeada em julho de 2020 Data Protection Officer (DPO), ou encarregada de dados da entidade. “Achávamos que seria necessária uma dedicação exclusiva da Ana Paula, e ela começou com as atividades específicas”, destaca Ana Costi.

Ana Paula Cardoso Pimenta, Data Protection Officer - DPO do SERPROSAções implementadas – A partir do início das ações de implementação da Lei no Serpros, foram feitos treinamentos com as equipes a respeito das exigências da LGPD. Também foi criada a Política Interna de Privacidade, que coloca diretrizes de como a privacidade vai ser tratada e direcionada dentro da entidade; a Política de Proteção de Dados Pessoais, expressando o comprometimento do Serpros com a LGPD; e o Termo de Privacidade, que dá transparência sobre o uso dos dados, dando transparência aos titulares. Foi revisada ainda a Política de Segurança da Informação para se adequar à LGPD. “A Gerência de Tecnologia da Informação trouxe um olhar mais preventivo, que colocou na Política de Segurança da Informação o que a Lei impõe”, explica a DPO Ana Paula Pimenta (foto ao lado).

Ana Paula diz que entre os papéis do DPO, um é orientar empregados, conforme disposto na legislação, que exige que se apresentem evidências de que a proteção de dados funciona nas empresas. Por isso, além de todas as documentações, foram criados o Canal Interno com o DPO e a Cartilha LGPD. “Há uma responsabilidade na apresentação dessas evidências. Como o DPO deixa claro, quando eventualmente tiver fiscalização, que está fazendo seu papel orientador? Então, criamos um canal com informações sobre o assunto e uma cartilha desmistificando o que é a LGPD”, conta. A Cartilha também traz informações e apresenta dicas práticas de segurança da informação e prevenção aos riscos de incidentes de segurança, demonstrando situações cotidianas em que devem ser observados os princípios da LGPD nas tarefas da entidade, entre outras informações.

O Canal Fale com DPO está disponível no site da entidade com informações sobre pedidos de dados, que pode ser feito gratuitamente, e por meio eletrônico, com um campo para perguntas e respostas onde são elucidados temas sobre a LGPD.

Os princípios da Lei também foram incluídos nos ciclos de análise de risco da entidade, deixando claro quais são os problemas de um descumprimento da LGPD em cada área. “Isso passa por todas as gerências”, destaca Ana Paula Pimenta. O Serpros também fez uma revisão de contratos e lançou o Plano Diretor de Tecnologia da Informação do Serpros; além de ter realizado testes de invasão nos sistemas da entidade, que serão periódicos, para aferir a segurança.

Conscientização – Ana Paula Pimenta ressalta que um dos trabalhos mais importantes é o de conscientização do corpo funcional. “Eu quero que os empregados entendam a importância disso na vida de todo mundo”, ressalta. Para facilitar esse projeto, foram realizadas lives sobre medidas de segurança para prevenção de crimes cibernéticos para as equipes do Serpros. “Não descartamos a hipótese de fazer de novo, além dos treinamentos que já fazemos e uma programação de cursos para dar mais conscientização sobre o assunto”, diz.

Para ela, o mais importante é que o projeto da LGPD foi top-down, partindo de uma iniciativa da Diretoria. “Muito do que a gente conseguiu se deve a esse fato do comprometimento da alta administração. Sem isso, esse projeto, que abrange todos os setores da empresa, não evoluiria. São atividades multidisciplinares para se adequar à Lei, e essa consciência da Diretoria Executiva foi muito importante”.

A Presidente do Serpros Ana Costi ressalta que o trabalho de educação de segurança e privacidade de dados é essencial e se estende aos Conselheiros das entidades, que receberam um comunicado interno da Diretoria sobre a importância desse cuidado em relação às informações estratégicas e dados pessoais. “Isso ajuda a Diretoria e a DPO no processo de estruturação de toda a casa”.

Próximos passos – Ana Costi destaca que a prioridade do Serpros agora é definir pontos focais em cada gerência, que serão pessoas que tratarão diretamente do tema com a DPO internamente. “Essas pessoas serão indicadas para falar com a Ana Paula, e assim ela poderá identificar novas demandas de cada setor. A DPO também faz parte da pauta da Diretoria, e pelo menos quinzenalmente participará das reuniões”.

Ana Paula Pimenta ressalta que esse é um trabalho contínuo que deve evoluir conforme as regulamentações da própria LGPD forem avançando. “Nosso mapeamento foi macro, e tentamos chegar em um ponto ideal para atender tudo que é possível. A fase de monitoramento virá depois que tudo estiver implementado. A LGPD é um ecossistema, e todos precisam estar adequados para ela funcionar”, reitera. “É um diferencial competitivo para qualquer empresa estar adequado à LGPD. É uma grande oportunidade”, reforça Ana Paula.

Ana Costi destaca que o Serpros atualmente está passando por um amplo processo de reformulação de normas e procedimentos, ajustando a cultura interna através de treinamentos e comunicações cotidianas voltados a fomentar a proteção de dados pessoais e o aperfeiçoamento da política de segurança da informação. “É um cuidado de passar para o participante que seus dados pessoais estão protegidos, e também mostrar para a patrocinadora que as devidas ações preventivas estão sendo tomadas para que o risco de vazamento de dados seja evitado”, declara.

Funcef lança Política de Privacidade e Proteção de Dados em adequação à LGPD

Funcef lança Política de Privacidade e Proteção de Dados em adequação à LGPD

A Diretoria Executiva da Funcef aprovou a versão atualizada da Política de Privacidade e Proteção de Dados da Fundação na semana passada, alinhada ao compromisso de transparência e revisão de processos e sistemas à luz da nova Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em setembro. Em entrevista ao Blog Abrapp em Foco, o Diretor de Administração da Funcef, Augusto Miranda, explicou como está sendo o processo de atendimento aos requisitos da Lei. Miranda foi designado encarregado de dados da entidade, ou Data Protection Officer (DPO) pela Diretoria Executiva como parte do processo de ajuste à LGPD.

Ele conta que no final de 2018, a Funcef instituiu um grupo de trabalho para fazer um estudo preliminar sobre as implicações decorrentes da implantação da LGPD. “Nesse meio tempo, foi feita uma série de levantamentos pelas áreas de TI, de risco, jurídica, e de atendimento aos participantes para poder vislumbrar as diferentes implicações decorrentes da legislação, que trariam a responsabilidade adicional de zeladoria pelos dados pessoais que a Funcef tem, e o dever de assegurar o sigilo em sua utilização para fins específicos que ela precisa para cumprir sua missão institucional”, destaca Miranda.

Além dos participantes, assistidos e pensionistas, a mesma obrigação se estende aos empregados, destaca Miranda. “Temos o tráfego de informações oriundas para atividades para as quais prestamos serviços envolvendo, por exemplo, a patrocinadora Caixa Econômica, entidades associativas que fazemos serviços de débito e folha, fornecedores os quais contratamos, ou seja, há uma rede ampla de interações nas quais esses dados já vinham sendo utilizados, e que a partir de então precisamos ter um segundo nível de atenção e asseguramento quanto à sua devida proteção”, explica.

Nos últimos 12 meses, houve essa discussão sobre legislação e definição do início da vigência efetivamente da LGPD, e a Funcef começou a tomar as ações iniciais, que ainda estão em curso. “Isso passou pela minha designação como DPO, pois uma das incumbências da legislação é identificar o profissional responsável para asseguramento do cumprimento do previsto na legislação”, diz Miranda. “Nós entendemos que essa função deveria ser do nível diretivo justamente para dar autonomia decisória e atribuição de responsabilidade decorrente de uma atividade com essa importância”. Além de Miranda ser Diretor eleito pelos participantes, também atua no que diz respeito à tecnologia da informação na Funcef. “Isso traz uma sinergia importante para agilizar os procedimentos necessário para essa adequação”, ressalta.

Política de Proteção de Dados – A Política de Privacidade e Proteção de Dados da Funcef faz parte da estratégia de evidenciação dos esforços da entidade para o cumprimento integral da legislação, explica Miranda. “O primeiro compromisso que a política oferece aos clientes, que são nossos participantes e assistidos, é justamente o asseguramento de que a Funcef coletará apenas o estritamente o necessário para a realização das atividades intrínsecas ao seu objetivo primordial como fundo de pensão. O segundo compromisso é fazer a zeladoria dessas informações da forma mais rigorosa possível para coibir compartilhamento indevido de informações com terceiros que não sejam previamente autorizados pelo proprietário dos dados, que é o participante. Além disso, faremos o atendimento a quem requisite que se execute a anonimização de dados, que o participantes têm o direito, e eventualmente a descaracterização ou até mesmo remoção dos dados”, explica Miranda.

Segundo ele, um canal ficará à disposição dos interessados para que possam consultar os dados pessoais que a Funcef trata. “O participante também deve ficar ciente das implicações de remover os dados”, destaca.

Próximos passos – Dentre as próximas etapas que serão implantadas ainda neste mês, segundo Miranda, está a instituição dos formulários para atendimento a essas solicitações,  dando essa prerrogativa a todo e qualquer proprietário de dados pessoais de solicitar suas informações. “Isso é uma obrigação dos controladores e operadores dos dados”. Miranda explica que a Funcef tem uma dupla função perante a Lei. “Quando prestamos um serviço para a patrocinadora, por exemplo, para um débito em folha dos nossos participantes, assumimos a função simultânea de operador de dados para essa instituição. Isso precisa ser ratificado pelo proprietário dos dados, e está previsto no nosso planejamento para as próximas semanas solicitar a eles a devida anuência de continuar não só fornecendo o acesso aos dados aos quais temos tratamento, mas também a autorização para os débitos em folha que providenciamos”, destaca.

Além disso, o processo de adequação à LGPD passa por etapas complementares, como aculturamento dos colaboradores para a zeladoria desses dados, que é transversal às diferentes atividades da Funcef; engajamento dos prestadores de serviço que, porventura, façam uso de dados para que tenham esse mesmo asseguramento; entre outras. “Esse conjunto de atividades está em andamento para que a gente possa estar aderente enquanto nossa missão de assegurar segurança no gerenciamento dos dados”, diz Miranda.

Mudança cultural – Segundo ele, é preciso ter uma conscientização de empresas e organizações de forma geral, e também do cidadão em particular, em relação à Lei. “O cidadão tem direitos quanto à previsão dos seus dados pessoais, ao impedimento do uso para fins comerciais, financeiros e mercadológicos, e as empresas devem adequar seus processos e rotinas à demonstração e evidência de qual a forma que elas utilizam os dados estritamente necessários para execução das suas atividades-fim, e com a devida anuência do proprietário dos dados”, destaca Miranda. “A essa zeladoria mais ostensiva que todas as empresas e organizações no Brasil vão precisar se ajustar”, complementa.

A mudança cultural, do ponto de vista do Diretor, é o ponto mais importante da LGPD no Brasil. “Esse trabalho de fazer uma revisão geral de rotinas e processos para avaliar o que é, de fato, imprescindível à execução da atividade e se restringir à coleta das informações dessas atividades é o principal desafio desse aculturamento. É preciso que se filtre o mínimo necessário na coleta de dados pessoais para realização das suas atividades”.

Miranda ressalta que o trabalho é contínuo e permanente, pois mexe com rotinas que já existem há décadas. “Planos de previdência privada dos maiores fundos de pensão, em sua maioria, já tem mais de 10 anos de existência, então são rotinas bem consolidadas onde se faz a coleta de dados sem essas preocupações quanto à previsão legal que não existia. Essa revisão geral da rotinas existentes é um dever que devemos cumprir perante à Lei”, complementa.

Newsletter Abrapp em Foco

Cadastre-se e fique por dentro de tudo que acontece no Grupo Abrapp e em sintonia com os fatos mais relevantes do setor.