PoliticaInternaDeSegurançaHeader

POLÍTICA INTERNA DE SEGURANÇA DE DADOS “Boas práticas de Segurança de Dados”

APRESENTAÇÃO E OBJETIVO

A criação deste documento tem por objetivo estabelecer orientações gerais para a proteção e segurança de dados pessoais dentro das atividades exercidas pela WEDOC, e com isso promover e motivar a cultura de proteção de dados de forma consciente e efetiva, cumprindo a Lei e garantindo Direitos dos titulares dos dados pessoais.

Toda e qualquer ação que envolva tratamento de dados que possam relacionar pessoas físicas, identificáveis ou identificadas, deverão estar cientes e sujeitos deste material, que chamaremos de POLÍTICA INTERNA DE DE SEGURANÇA DE DADOS ou apenas “POLÍTICA”.

Esta POLÍTICA foi desenvolvida visando cumprimento das normas aplicáveis, não somente, mas especialmente:

  • Proteger os Direitos pertinentes dos titulares de dados, sejam eles: membros do aplicativo, parceiros, prestadores de serviços, colaboradores, advisors e corpo societário da WEDOC;
  • Promover a conscientização em toda a empresa sobre a Lei Geral de Proteção de Dados – LGPD¹ LEI 13.709/18, bem como formas, limites e procedimentos específicos de segurança quanto à forma de tratamento de Dados Pessoais;
  • Utilizar de total transparência sobre uso e tratamento de dados pessoais a todos os envolvidos (internos e externos);

Para que todos tenham ciência, esta POLÍTICA será disponibilizada em nossos canais e meios de comunicação, para facilitar a consulta e qualquer procedimento adicional poderá ser criado e adequado neste documento de acordo com a criação de normas, exigências legais e outras ações aplicáveis.

E o nosso compromisso será o comprometimento em promover esforços e recursos para estabelecer, implementar, manter e conscientizar de forma abrangente e transparente, tudo quanto está disposto nesta POLÍTICA.

REFERÊNCIAS LEGAIS E NORMAS APLICÁVEIS

LEI GERAL DE PROTEÇÃO DE DADOS – LPGD (13.708/19);
GENERAL DATA PROTECTION REGULATION (“GDPR”) NA EUROPA;
NORMA ISO – 19600
NORMA ISSO – 31000

ATRIBUIÇÕES E RESPONSABILIDADES

ADMINISTRAÇÃO E COMITÊ DE RISCO, SEGURANÇA E PRIVACIDADE DE DADOS

É função da Administração e COMITÊ:

– Aprovar esta Política e suas futuras alterações;

– Responsabilizar-se pela publicação deste documento e comprometer-se ao uso adequado de Dados Pessoais em suas atividades;

– Aprovar a estrutura de governança para os assuntos de privacidade e proteção de dados;

– Fazer o monitoramento permanente e efetivo da implementação das iniciativas de privacidade, incluindo os eventos relacionados a vazamento de Dados Pessoais e as decisões do Comitê;

– Revisar anualmente, ou em prazo menor quando necessário, as iniciativas de privacidade adotadas pela WEDOC;

– Discutir e tomar decisões técnicas sobre novas atividades de Tratamento de Dados Pessoais, com base em Procedimentos Operacionais Padrão – POP ́S, Relatórios de Data Mapping e Relatório de impacto à proteção de Dados Pessoais;

– Decidir sobre as medidas técnicas a serem aplicadas para eventos alto risco, assim como as medidas disciplinares;

– Reportar à Administração e a todos os envolvidos (internos e externos) os eventos relacionados a vazamento de Dados Pessoais e as suas decisões;

– Submeter à Administração e empresas especializadas de Segurança de Dados a resolução ou orientação sobre as medidas técnicas relativas a eventos de alto risco que não sejam de sua alçada;

O Comitê poderá ainda, nomear pessoa(s), para eventualmente representá-lo em circunstâncias determinadas, desde que tal decisão ocorra através de votação da maioria absoluta dos membros, devidamente registrada em Ata (digital ou física) com a assinatura de todos os participantes.

A referida nomeação ocorrerá através de procuração ou documento similar, devidamente assinado por representante legal da WEDOC.

 

ENCARREGADO DE DADOS (DATA PROTECTION OFFICER – DPO)

O Encarregado é a pessoa definida pela Lei como ponte de contato entre a WeDoc e a ANPD (Autoridade Nacional de Proteção de Dados) e entre a WeDoc e os titulares de Dados (recebendo denúncias, reclamações e prestando esclarecimentos), além de fiscalizar e auxiliar a execução da presente POLÍTICA.

Suas atribuições estão elencadas no §2o do artigo 41 da LGPD² e no Guia Orientativo emitido pela Autoridade Nacional de Proteção de Dados – ANPD descrevem as funções do DPO³.

O Encarregado deve trabalhar com autonomia para livre execução de suas atividades, tais como:

– Orientar e treinar colaboradores, prestadores sobre as práticas de tratamento de dados pessoais;

– Executar as determinações (presentes e futuras) estabelecidas pela Autoridade Nacional de Proteção de Dados e outros órgãos;

– Participar e orientar sob a ótica da LGPD os projetos que envolvam Tratamento de Dados Pessoais a fim de validar o cumprimento dos requisitos legais aplicáveis, além de garantir privacidade como padrão cultural da WEDOC e a incorporação no desenho das medidas de segurança necessárias;

– Monitorar, estabelecer processos e criar processos de segurança conforme necessidade das atividades de tratamento de dados pessoais sempre com base na legislação e aplicável e normas vigentes;

– Receber informações sobre eventuais incidentes, auxiliando diretamente nas medidas de mitigação de riscos bem como no plano de respostas;

– Assessorar os responsáveis pelos tratamentos de dados pessoais na emissão de relatórios de impacto a proteção de dados pessoais de acordo com a regulamentação e normas vigentes;

– Responder à ANDP e demais Órgãos de forma hábil, com transparência e exatidão de informações; – Atuar ativamente em casos de incidentes de segurança, auxiliando os envolvidos ao cumprimento do plano de incidente de segurança;

– Estabelecer auditorias internas de segurança e proteção de dados.

Para a execução das atividades acima descritas, as decisões e atividades do Encarregado deverão ser tomadas de forma estratégica, sempre com o devido registro (contendo datas e demais informações pertinentes) em atas de reunião ou relatórios específicos.

Diante da contratação do Encarregado, a WEDOC certificará que o eleito tem competência necessária para a execução das tarefas com base no conhecimento apropriado para o cargo.

As identidades e canais de contato do DPO serão divulgados de forma clara e destacada pela WEDOC em seus canais de comunicação, através do e-mail: dpo@wedoc.com.br;

Eventuais atribuições complementares de atribuições ao DPO pela Autoridade Nacional de Proteção de Dados deverão ser a ele atribuídas, com devida adequação desta POLÍTICA.

 

DEPARTAMENTO JURÍDICO

O departamento jurídico atuará como um “braço” de apoio a todas as medidas relativas a SEGURANÇA e PROTEÇÃO DE DADOS, empenhando-se, especialmente, para:

– Responsabilizar-se pelo uso adequado de Dados Pessoais em suas atividades;

– Assegurar que os contratos que contemplem cláusulas de segurança de proteção e segurança de dados e/ou acesso ao DPA (Data Processing Agreement);

– Apoiar em caso de elaboração de aditivos de contratos/aditivos com fornecedores, parceiros e prestadores que realizam o Tratamento de Dados Pessoais;

– Apoiar na revisão ou elaboração de Política de Privacidade de Dados para membros do aplicativo WEDOC;

– Prestar apoio jurídico na ocorrência de qualquer incidente de segurança de Dados Pessoais;

– Prestar apoio jurídico na interpretação da legislação e regulamentação relativas a proteção de Dados Pessoais;

– Apoiar na interface com Autoridades Nacionais de Dados Pessoais. 

 

LÍDERES E INTEGRANTES DA WEDOC (INTERNOS, EXTERNOS):

É dever de todo o “time” da WEDOC comprometer-se para:

– Responsabilizar-se pelo uso adequado de Dados Pessoais em suas atividades;

– Cumprir a legislação e regulamentação aplicáveis, bem como todos os guias orientativos, memorandos, circulares e Procedimentos Internos de Segurança de Dados (POP ́s);

– Relatar ao Encarregado de Dados e seus líderes quaisquer incidentes de Dados Pessoais ou segurança de dados, bem como as deficiências identificadas relacionadas ou possíveis riscos de privacidade;

– Participar das atividades de treinamento em proteção de dados conforme orientado.

PRINCÍPIOS DE PROTEÇÃO DE DADOS PESSOAIS

A LGPD traz em seu artigo a obrigatoriedade de observação, além da boa-fé, alguns princípios jurídicos que deverão ser utilizados, de forma prática, como norte para todo o tratamento de dados pessoais da WEDOC. Para melhor entendimento, explicamos o significado de cada um deles:

PRINCÍPIO DA LIMITAÇÃO, DA FINALIZADE E ADEQUAÇÃO

Todo tratamento de Dados Pessoais na WEDOC deve ser realizado de maneira compatível com a finalidade original para a qual os Dados Pessoais foram coletados, não podendo ser coletados com um propósito e utilizados para outro. Quaisquer outras finalidades devem ser compatíveis com o propósito original para qual os Dados Pessoais foram coletados.

Em caso de necessidade de tratamento de dados pessoais utilizado fora do contexto a que foi coletado a WEDOC deve informar previamente ao titular e obter o seu consentimento para tanto.

PRINCÍPIO DA NECESSIDADE

A WEDOC só tratará Dados Pessoais na medida em que for necessário para cumprir uma finalidade específica, assim, o compartilhamento de Dados Pessoais entre departamentos ou terceiros deverá observar este princípio para que Dados Pessoais somente sejam compartilhados quando tiver real necessidade, sempre amparados por um fundamento legal.

PRINCÍPIO DO LIVRE ACESSO E QUALIDADE DOS DADOS

A WEDOC deve garantir, através de meios de controle a possibilidade de consulta (gratuita) aos titulares de Dados Pessoais, informando com exatidão e celeridade acerca dos Dados Pessoais sempre que for questionada.

Assim, a WEDOC deve adotar medidas razoáveis para assegurar que quaisquer Dados Pessoais sejam mantidos de forma precisa e atualizados em relação às finalidades para as quais foram coletados, além de permitir ao Titular do Dado Pessoal a possibilidade de requerer a exclusão ou correção de dados imprecisos ou desatualizados.

PRINCÍPIO DA TRANSPARÊNCIA, LEGALIDADE E NÃO DISCRIMINAÇÃO

A WEDOC tratará os Dados Pessoais de forma transparente e em conformidade com a legislação e regulamentação aplicável, isso quer dizer que:

o tratamento só ocorre quando o propósito/finalidade do Tratamento se enquadra em uma das hipóteses legais permitidas⁴, e ainda, deverá informar antes da coleta a razão e a forma pela qual seus Dados Pessoais estão sendo tratados.

Importante dizer que: o tratamento de dados pessoais sensíveis⁵, somente serão possíveis se enquadrados nas hipóteses legais permitidas e utilizados cuidados de segurança ainda mais robustos que os utilizados para os demais dados pessoais.

Observação: se o Tratamento de Dados Pessoais não se enquadrar nas hipóteses legais permitidas, a WEDOC deverá obter um consentimento específico dos Titulares dos Dados para o Tratamento e assegurar que este Consentimento e seja obtido de forma específica, livre e inequívoca.

E para garantir as hipóteses acima, a WEDOC deverá coletar, armazenar e gerenciar todas as respostas de Consentimento de maneira organizada e acessível, para que a comprovação de Consentimento possa ser fornecida quando necessário, e da mesma maneira, o Titular de Dados deve ter a possibilidade de retirar o seu Consentimento a qualquer momento com a mesma facilidade que foi fornecido!

PRINCÍPIO DA SEGURANÇA E DA PREVENÇÃO

A WEDOC através deste documento e de outras medidas, se compromete a implementação constante de medidas de segurança que colaborem proteção de Dados Pessoais para garantir os direitos dos Titulares dos dados.

PRINCÍPIO DA PRESTAÇÃO DE CONTAS

Sempre que se fizer necessário, a WEDOC deverá demonstrar o cumprimento desta Política, assegurando a implementação das medidas aqui descritas, dentre outras, tais como:

– Garantia de que os Titulares dos Dados Pessoais possam exercer os seus direitos;
– Registro de Dados Pessoais (data mapping/inventário de dados);
– Garantia de que os Terceiros que sejam Processadores de Dados Pessoais também estejam agindo de acordo com esta Política e com a legislação e regulamentação aplicáveis;
– Garantia de que a WEDOC esteja cumprindo todas as exigências e solicitações de qualquer Autoridade de Supervisão à qual esteja sujeita, especialmente atenta as normativas da Autoridade Nacional de Proteção de Dados – ANPD;

MAPEAMENTO DE DADOS

O mapeamento de dados é o documento que nos permitirá COMPREENDER, AVALIAR, LIMITAR e DEFINIR todo o fluxo de dados pessoais existentes, registrando todo o caminho em que um dado percorre dentro de todas as áreas da WEDOC, desde a sua coleta à sua eliminação.

A compreensão do ciclo de vida dos dados por meio do Inventário de Dados (Data Mapping) permitirá a WeDoc o controle e ciência de quais áreas e colaboradores e prestadores estão envolvidos com dados pessoais, o que permitirá, além da prestação de contas (accountability) aos titulares e a ANPD, a exposição controlada de acesso aos dados, por todos os envolvidos com a WeDoc.

O mapeamento conterá, não de forma limitada, mas inicialmente as seguintes informações:

  • Tipo de informações coletadas ou manuseadas por departamento

  • Volume de dados (frequência de coleta);

  • Localidade de tratamento;

  • Descrição de etapas de fluxo de dados (coleta, armazenagem, compartilhamento,

    eliminação etc.)

  • Classificação dos dados (dados gerais e dados sensíveis)

  • Descrição de ciclo de vida dos dados;

  • Descrição e detalhamento de acessos (Internos e Externos);

  • Base legal de tratamento;

  • Finalidade e Tratamento;

    Para mapear o fluxo de dados, serão realizadas medidas constantes de atualização por meio de treinamentos, orientações pessoais/departamento, preenchimento de planilhas para identificação e classificação de tratamento dos dados executados e emissão de Relatório descritivo.

 

SEGURANÇA DOS DADOS – PADRÕES

A WEDOC deverá implicar seus esforços constantemente para garantir a segurança dos Dados Pessoais. Para isso, deverá empenhar-se para:

– Garantir a confidencialidade, integridade e disponibilidade dos dados, através de medidas técnicas aplicáveis, com rígido controle de segurança de todos envolvidos e devidos registros e procedimentos estabelecidos;

– Obrigação do sigilo de dados pessoais a todos os integrantes (internos e externos) com acesso a Dados Pessoais formalizados através de documentos específicos⁶;

– Deverá adotar medidas para garantir que as regras de Privacidade e Proteção de Dados sejam seguidas desde a fase de concepção até o lançamento/implantação destes projetos.

TRANSFERÊNCIA INTERNACIONAL DE DADOS

Em caso de tratamento de Dados Pessoais em países diferentes de onde foram coletados, a legislação e regulamentação aplicáveis à transferência internacional de dados de cada país deverá ser observadas. A WEDOC deverá garantir a existência e atualização de contratos de transferência internacional de Dados Pessoais, bem como – se o caso – a prévia notificação aos Titulares.

PRESTADORES DE SERVIÇOS E PARCEIROS:

Prestadores e Parceiros cumprirão as disposições do DPA (Data Processing Agreement) disponíveis no site da empresa, e neste link.

A WEDOC deverá assegurar que as cláusulas descritas no DPA estejam atualizadas com a Legislação e normativas vigentes e, se necessário, contemplar cláusulas adicionais específicas de segurança e privacidade conforme objeto do contrato.

Caberá ainda a WEDOC fiscalizar o cumprimento das medidas de segurança descritas em contrato a fim de garantir a segurança e confidencialidade das informações.

INCIDENTES DE SEGURANÇA

Incidentes de segurança trata-se de qualquer fato como perda, exclusão, roubo, compartilhamento ou acesso não autorizado de Dados Pessoais controlados ou tratados pela WEDOC que coloquem em risco ou causem danos aos titulares dos Dados.

Os incidentes de segurança assim como outras ações potenciais que possam gerar violações de dados deverão sempre ser reportados ao Encarregado de Dados da WEDOC, bem como ao líder imediato que deverá acionar ao Comitê de Risco, Segurança e Proteção de Dados, os quais de forma conjunta deverão acionar ao Plano de Incidentes de Segurança de Dados — PISD.

As comunicações sobre o incidente ou violação de Dados deverão ocorrer sempre de forma célere, a fim de possibilitar as medidas de contenção adequadas e evitar maiores danos aos titulares.

O PISD deverá ser atualizado, atendendo as normativas e publicações orientativas da ANPD e será aplicável aos funcionários designados sob orientações do Encarregado de Dados e aos integrantes do Comitê de Risco e Proteção de Segurança de Dados Pessoais.

Todas as evidências do incidente deverão ser registradas pelo Encarregado de dados em um único documento, de acesso ao COMITÊ, que além das informações básicas sobre o incidente⁷, deverá conter, necessariamente:

– Logs dos sistemas internos e externos;
– Interações do time e ações adotadas;
– Vulnerabilidades encontradas – se o caso;
– Contratações de terceiros, quando houver;
– Os contatos e ações mediatas de Seguradoras – se o caso;
– Atas de reuniões relevantes do Comitê e de outros assuntos que possam ser pertinentes ao incidente;

A comunicação inicial à ANPD será realizada em até 02 dias úteis após o conhecimento do incidente através do Comunicação de incidente de segurança com dados pessoais à ANPD.

Caso o prazo de 02 dias úteis não seja suficiente para coletar todas as informações descritas no rol acima, será enviado um comunicado preliminar, contendo as informações já existentes no levantamento realizado.

AUDITORIAS INTERNAS

A WEDOC através de ações periódicas, se comprometerá ao cumprimento das iniciativas de implementação de Segurança e Privacidade de Dados adotando tanto em seu sistema como em medidas, processos contínuos, e demais atividades necessárias para o efetivo cumprimento, não só da legislação aplicável, quanto das normativas internas existentes.

Tais ações deverão ser direcionadas pelo Encarregado de Dados, ou, na ausência deste, por pessoa indicada pelo COMITÊ.

DISPOSIÇÕES GERAIS

Todos os integrantes da WEDOC deverão conhecer e praticar a presente POLÍTICA, para isto, o Encarregado de Dados ou COMITÊ serão responsáveis por garantir a ciência e compreensão deste documento.

As orientações relativas a esta POLÍTICA deverão ser conduzidas de forma clara e em local de fácil acesso, sendo que, dúvidas e perguntas deverão ser direcionadas aos Encarregado de Dados.

Após as orientações pertinentes e registros de treinamentos, o desconhecimento da presente política não poderá ser alegado e o seu descumprimento poderá resultar em ações disciplinares ou outras medidas legais aplicáveis, conforme entendimento da WEDOC.

Por fim, caso qualquer integrante ou terceiro tenha conhecimento de potencial conduta ou violações a Leis relativas a Proteção de Dados, deverá imediatamente, reportar à ADMINISTRAÇÃO, COMITÊ ou Encarregado de Dados para as medidas cabíveis.

________________________

¹ LEI GERAL DE PROTEÇÃO DE DADOS – LGPD LEI 13.709/18

² § 2o As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de

dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

³ https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-guia-orientativo-sobre-agentes-de-tratamento-e- encarregado

⁴- necessidade para a execução de um contrato do qual o Titular dos Dados é parte; – exigência decorrente de lei ou regulamento ao qual a WEDOC está sujeita;

– interesse legítimo pelo Tratamento, hipótese na qual tal interesse legítimo será comunicado previamente;
– necessidade de prover ao Titular dos Dados o exercício regular de direito em processo judicial, administrativo ou arbitral.

⁵ Dados de pessoas físicas que evidenciem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, referentes à convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso ou político, dados relacionados a saúde, vida sexual, genéticos ou biométricos e dados sobre condenações ou ofensas criminais.

⁶Contratos, acordos de confidencialidade, Termos e Condições Gerais de Contrato, memorandos e circulares dentre outros.

⁷ I – a natureza do incidente e os tipos de Dados Pessoais envolvidos; II – data e hora do incidente e da ciência;

III – números de titulares afetados (número certo ou estimativa);
IV – descrição de consequências ou possibilidades;

V – nome e contato da pessoa responsável pela condução de inspeção do incidente.

Close Bitnami banner
Bitnami