Política Interna de Segurança de Dados

POLÍTICA INTERNA DE SEGURANÇA DE DADOS “Boas práticas de Segurança de Dados”

APRESENTAÇÃO E OBJETIVO

A criação deste documento tem por objetivo estabelecer orientações gerais para a proteção e segurança de dados pessoais dentro das atividades exercidas pela WEDOC, e com isso promover e motivar a cultura de proteção de dados de forma consciente e efetiva, cumprindo a Lei e garantindo Direitos dos titulares dos dados pessoais.

Toda e qualquer ação que envolva tratamento de dados que possam relacionar pessoas físicas, identificáveis ou identificadas, deverão estar cientes e sujeitos deste material, que chamaremos de POLÍTICA INTERNA DE DE SEGURANÇA DE DADOS ou apenas “POLÍTICA”.

Esta POLÍTICA foi desenvolvida visando cumprimento das normas aplicáveis, não somente, mas especialmente:

Proteger os Direitos pertinentes dos titulares de dados, sejam eles: membros do aplicativo, parceiros, prestadores de serviços, colaboradores, advisors e corpo societário da WEDOC;
Promover a conscientização em toda a empresa sobre a Lei Geral de Proteção de Dados – LGPD¹ LEI 13.709/18, bem como formas, limites e procedimentos específicos de segurança quanto à forma de tratamento de Dados Pessoais;
Utilizar de total transparência sobre uso e tratamento de dados pessoais a todos os envolvidos (internos e externos);

Para que todos tenham ciência, esta POLÍTICA será disponibilizada em nossos canais e meios de comunicação, para facilitar a consulta e qualquer procedimento adicional poderá ser criado e adequado neste documento de acordo com a criação de normas, exigências legais e outras ações aplicáveis.

E o nosso compromisso será o comprometimento em promover esforços e recursos para estabelecer, implementar, manter e conscientizar de forma abrangente e transparente, tudo quanto está disposto nesta POLÍTICA.

REFERÊNCIAS LEGAIS E NORMAS APLICÁVEIS

LEI GERAL DE PROTEÇÃO DE DADOS – LPGD (13.708/19);
GENERAL DATA PROTECTION REGULATION (“GDPR”) NA EUROPA;
NORMA ISO – 19600
NORMA ISSO – 31000

ATRIBUIÇÕES E RESPONSABILIDADES

ADMINISTRAÇÃO E COMITÊ DE RISCO, SEGURANÇA E PRIVACIDADE DE DADOS

É função da Administração e COMITÊ:

– Aprovar esta Política e suas futuras alterações;

– Responsabilizar-se pela publicação deste documento e comprometer-se ao uso adequado de Dados Pessoais em suas atividades;

– Aprovar a estrutura de governança para os assuntos de privacidade e proteção de dados;

– Fazer o monitoramento permanente e efetivo da implementação das iniciativas de privacidade, incluindo os eventos relacionados a vazamento de Dados Pessoais e as decisões do Comitê;

– Revisar anualmente, ou em prazo menor quando necessário, as iniciativas de privacidade adotadas pela WEDOC;

– Discutir e tomar decisões técnicas sobre novas atividades de Tratamento de Dados Pessoais, com base em Procedimentos Operacionais Padrão – POP ́S, Relatórios de Data Mapping e Relatório de impacto à proteção de Dados Pessoais;

– Decidir sobre as medidas técnicas a serem aplicadas para eventos alto risco, assim como as medidas disciplinares;

– Reportar à Administração e a todos os envolvidos (internos e externos) os eventos relacionados a vazamento de Dados Pessoais e as suas decisões;

– Submeter à Administração e empresas especializadas de Segurança de Dados a resolução ou orientação sobre as medidas técnicas relativas a eventos de alto risco que não sejam de sua alçada;

O Comitê poderá ainda, nomear pessoa(s), para eventualmente representá-lo em circunstâncias determinadas, desde que tal decisão ocorra através de votação da maioria absoluta dos membros, devidamente registrada em Ata (digital ou física) com a assinatura de todos os participantes.

A referida nomeação ocorrerá através de procuração ou documento similar, devidamente assinado por representante legal da WEDOC.

ENCARREGADO DE DADOS (DATA PROTECTION OFFICER – DPO)

O Encarregado é a pessoa definida pela Lei como ponte de contato entre a WeDoc e a ANPD (Autoridade Nacional de Proteção de Dados) e entre a WeDoc e os titulares de Dados (recebendo denúncias, reclamações e prestando esclarecimentos), além de fiscalizar e auxiliar a execução da presente POLÍTICA.

Suas atribuições estão elencadas no §2o do artigo 41 da LGPD² e no Guia Orientativo emitido pela Autoridade Nacional de Proteção de Dados – ANPD descrevem as funções do DPO³.

O Encarregado deve trabalhar com autonomia para livre execução de suas atividades, tais como:

– Orientar e treinar colaboradores, prestadores sobre as práticas de tratamento de dados pessoais;

– Executar as determinações (presentes e futuras) estabelecidas pela Autoridade Nacional de Proteção de Dados e outros órgãos;

– Participar e orientar sob a ótica da LGPD os projetos que envolvam Tratamento de Dados Pessoais a fim de validar o cumprimento dos requisitos legais aplicáveis, além de garantir privacidade como padrão cultural da WEDOC e a incorporação no desenho das medidas de segurança necessárias;

– Monitorar, estabelecer processos e criar processos de segurança conforme necessidade das atividades de tratamento de dados pessoais sempre com base na legislação e aplicável e normas vigentes;

– Receber informações sobre eventuais incidentes, auxiliando diretamente nas medidas de mitigação de riscos bem como no plano de respostas;

– Assessorar os responsáveis pelos tratamentos de dados pessoais na emissão de relatórios de impacto a proteção de dados pessoais de acordo com a regulamentação e normas vigentes;

– Responder à ANDP e demais Órgãos de forma hábil, com transparência e exatidão de informações; – Atuar ativamente em casos de incidentes de segurança, auxiliando os envolvidos ao cumprimento do plano de incidente de segurança;

– Estabelecer auditorias internas de segurança e proteção de dados.

Para a execução das atividades acima descritas, as decisões e atividades do Encarregado deverão ser tomadas de forma estratégica, sempre com o devido registro (contendo datas e demais informações pertinentes) em atas de reunião ou relatórios específicos.

Diante da contratação do Encarregado, a WEDOC certificará que o eleito tem competência necessária para a execução das tarefas com base no conhecimento apropriado para o cargo.

As identidades e canais de contato do DPO serão divulgados de forma clara e destacada pela WEDOC em seus canais de comunicação, através do e-mail: dpo@wedoc.com.br;

Eventuais atribuições complementares de atribuições ao DPO pela Autoridade Nacional de Proteção de Dados deverão ser a ele atribuídas, com devida adequação desta POLÍTICA.

DEPARTAMENTO JURÍDICO

O departamento jurídico atuará como um “braço” de apoio a todas as medidas relativas a SEGURANÇA e PROTEÇÃO DE DADOS, empenhando-se, especialmente, para:

– Responsabilizar-se pelo uso adequado de Dados Pessoais em suas atividades;

– Assegurar que os contratos que contemplem cláusulas de segurança de proteção e segurança de dados e/ou acesso ao DPA (Data Processing Agreement);

– Apoiar em caso de elaboração de aditivos de contratos/aditivos com fornecedores, parceiros e prestadores que realizam o Tratamento de Dados Pessoais;

– Apoiar na revisão ou elaboração de Política de Privacidade de Dados para membros do aplicativo WEDOC;

– Prestar apoio jurídico na ocorrência de qualquer incidente de segurança de Dados Pessoais;

– Prestar apoio jurídico na interpretação da legislação e regulamentação relativas a proteção de Dados Pessoais;

– Apoiar na interface com Autoridades Nacionais de Dados Pessoais.

LÍDERES E INTEGRANTES DA WEDOC (INTERNOS, EXTERNOS):

É dever de todo o “time” da WEDOC comprometer-se para:

– Responsabilizar-se pelo uso adequado de Dados Pessoais em suas atividades;

– Cumprir a legislação e regulamentação aplicáveis, bem como todos os guias orientativos, memorandos, circulares e Procedimentos Internos de Segurança de Dados (POP ́s);

– Relatar ao Encarregado de Dados e seus líderes quaisquer incidentes de Dados Pessoais ou segurança de dados, bem como as deficiências identificadas relacionadas ou possíveis riscos de privacidade;

– Participar das atividades de treinamento em proteção de dados conforme orientado.

PRINCÍPIOS DE PROTEÇÃO DE DADOS PESSOAIS

A LGPD traz em seu artigo a obrigatoriedade de observação, além da boa-fé, alguns princípios jurídicos que deverão ser utilizados, de forma prática, como norte para todo o tratamento de dados pessoais da WEDOC. Para melhor entendimento, explicamos o significado de cada um deles:

PRINCÍPIO DA LIMITAÇÃO, DA FINALIZADE E ADEQUAÇÃO

Todo tratamento de Dados Pessoais na WEDOC deve ser realizado de maneira compatível com a finalidade original para a qual os Dados Pessoais foram coletados, não podendo ser coletados com um propósito e utilizados para outro. Quaisquer outras finalidades devem ser compatíveis com o propósito original para qual os Dados Pessoais foram coletados.

Em caso de necessidade de tratamento de dados pessoais utilizado fora do contexto a que foi coletado a WEDOC deve informar previamente ao titular e obter o seu consentimento para tanto.

PRINCÍPIO DA NECESSIDADE

A WEDOC só tratará Dados Pessoais na medida em que for necessário para cumprir uma finalidade específica, assim, o compartilhamento de Dados Pessoais entre departamentos ou terceiros deverá observar este princípio para que Dados Pessoais somente sejam compartilhados quando tiver real necessidade, sempre amparados por um fundamento legal.

PRINCÍPIO DO LIVRE ACESSO E QUALIDADE DOS DADOS

A WEDOC deve garantir, através de meios de controle a possibilidade de consulta (gratuita) aos titulares de Dados Pessoais, informando com exatidão e celeridade acerca dos Dados Pessoais sempre que for questionada.

Assim, a WEDOC deve adotar medidas razoáveis para assegurar que quaisquer Dados Pessoais sejam mantidos de forma precisa e atualizados em relação às finalidades para as quais foram coletados, além de permitir ao Titular do Dado Pessoal a possibilidade de requerer a exclusão ou correção de dados imprecisos ou desatualizados.

PRINCÍPIO DA TRANSPARÊNCIA, LEGALIDADE E NÃO DISCRIMINAÇÃO

A WEDOC tratará os Dados Pessoais de forma transparente e em conformidade com a legislação e regulamentação aplicável, isso quer dizer que:

o tratamento só ocorre quando o propósito/finalidade do Tratamento se enquadra em uma das hipóteses legais permitidas⁴, e ainda, deverá informar antes da coleta a razão e a forma pela qual seus Dados Pessoais estão sendo tratados.

Importante dizer que: o tratamento de dados pessoais sensíveis⁵, somente serão possíveis se enquadrados nas hipóteses legais permitidas e utilizados cuidados de segurança ainda mais robustos que os utilizados para os demais dados pessoais.

Observação: se o Tratamento de Dados Pessoais não se enquadrar nas hipóteses legais permitidas, a WEDOC deverá obter um consentimento específico dos Titulares dos Dados para o Tratamento e assegurar que este Consentimento e seja obtido de forma específica, livre e inequívoca.

E para garantir as hipóteses acima, a WEDOC deverá coletar, armazenar e gerenciar todas as respostas de Consentimento de maneira organizada e acessível, para que a comprovação de Consentimento possa ser fornecida quando necessário, e da mesma maneira, o Titular de Dados deve ter a possibilidade de retirar o seu Consentimento a qualquer momento com a mesma facilidade que foi fornecido!

PRINCÍPIO DA SEGURANÇA E DA PREVENÇÃO

A WEDOC através deste documento e de outras medidas, se compromete a implementação constante de medidas de segurança que colaborem proteção de Dados Pessoais para garantir os direitos dos Titulares dos dados.

PRINCÍPIO DA PRESTAÇÃO DE CONTAS

Sempre que se fizer necessário, a WEDOC deverá demonstrar o cumprimento desta Política, assegurando a implementação das medidas aqui descritas, dentre outras, tais como:

– Garantia de que os Titulares dos Dados Pessoais possam exercer os seus direitos;
– Registro de Dados Pessoais (data mapping/inventário de dados);
– Garantia de que os Terceiros que sejam Processadores de Dados Pessoais também estejam agindo de acordo com esta Política e com a legislação e regulamentação aplicáveis;
– Garantia de que a WEDOC esteja cumprindo todas as exigências e solicitações de qualquer Autoridade de Supervisão à qual esteja sujeita, especialmente atenta as normativas da Autoridade Nacional de Proteção de Dados – ANPD;

MAPEAMENTO DE DADOS

O mapeamento de dados é o documento que nos permitirá COMPREENDER, AVALIAR, LIMITAR e DEFINIR todo o fluxo de dados pessoais existentes, registrando todo o caminho em que um dado percorre dentro de todas as áreas da WEDOC, desde a sua coleta à sua eliminação.

A compreensão do ciclo de vida dos dados por meio do Inventário de Dados (Data Mapping) permitirá a WeDoc o controle e ciência de quais áreas e colaboradores e prestadores estão envolvidos com dados pessoais, o que permitirá, além da prestação de contas (accountability) aos titulares e a ANPD, a exposição controlada de acesso aos dados, por todos os envolvidos com a WeDoc.

O mapeamento conterá, não de forma limitada, mas inicialmente as seguintes informações:

Tipo de informações coletadas ou manuseadas por departamento
Volume de dados (frequência de coleta);
Localidade de tratamento;
Descrição de etapas de fluxo de dados (coleta, armazenagem, compartilhamento,
eliminação etc.)
Classificação dos dados (dados gerais e dados sensíveis)
Descrição de ciclo de vida dos dados;
Descrição e detalhamento de acessos (Internos e Externos);
Base legal de tratamento;
Finalidade e Tratamento;
Para mapear o fluxo de dados, serão realizadas medidas constantes de atualização por meio de treinamentos, orientações pessoais/departamento, preenchimento de planilhas para identificação e classificação de tratamento dos dados executados e emissão de Relatório descritivo.

SEGURANÇA DOS DADOS – PADRÕES

A WEDOC deverá implicar seus esforços constantemente para garantir a segurança dos Dados Pessoais. Para isso, deverá empenhar-se para:

– Garantir a confidencialidade, integridade e disponibilidade dos dados, através de medidas técnicas aplicáveis, com rígido controle de segurança de todos envolvidos e devidos registros e procedimentos estabelecidos;

– Obrigação do sigilo de dados pessoais a todos os integrantes (internos e externos) com acesso a Dados Pessoais formalizados através de documentos específicos⁶;

– Deverá adotar medidas para garantir que as regras de Privacidade e Proteção de Dados sejam seguidas desde a fase de concepção até o lançamento/implantação destes projetos.

TRANSFERÊNCIA INTERNACIONAL DE DADOS

Em caso de tratamento de Dados Pessoais em países diferentes de onde foram coletados, a legislação e regulamentação aplicáveis à transferência internacional de dados de cada país deverá ser observadas. A WEDOC deverá garantir a existência e atualização de contratos de transferência internacional de Dados Pessoais, bem como – se o caso – a prévia notificação aos Titulares.

PRESTADORES DE SERVIÇOS E PARCEIROS:

Prestadores e Parceiros cumprirão as disposições do DPA (Data Processing Agreement) disponíveis no site da empresa, e neste link.

A WEDOC deverá assegurar que as cláusulas descritas no DPA estejam atualizadas com a Legislação e normativas vigentes e, se necessário, contemplar cláusulas adicionais específicas de segurança e privacidade conforme objeto do contrato.

Caberá ainda a WEDOC fiscalizar o cumprimento das medidas de segurança descritas em contrato a fim de garantir a segurança e confidencialidade das informações.

INCIDENTES DE SEGURANÇA

Incidentes de segurança trata-se de qualquer fato como perda, exclusão, roubo, compartilhamento ou acesso não autorizado de Dados Pessoais controlados ou tratados pela WEDOC que coloquem em risco ou causem danos aos titulares dos Dados.

Os incidentes de segurança assim como outras ações potenciais que possam gerar violações de dados deverão sempre ser reportados ao Encarregado de Dados da WEDOC, bem como ao líder imediato que deverá acionar ao Comitê de Risco, Segurança e Proteção de Dados, os quais de forma conjunta deverão acionar ao Plano de Incidentes de Segurança de Dados — PISD.

As comunicações sobre o incidente ou violação de Dados deverão ocorrer sempre de forma célere, a fim de possibilitar as medidas de contenção adequadas e evitar maiores danos aos titulares.

O PISD deverá ser atualizado, atendendo as normativas e publicações orientativas da ANPD e será aplicável aos funcionários designados sob orientações do Encarregado de Dados e aos integrantes do Comitê de Risco e Proteção de Segurança de Dados Pessoais.

Todas as evidências do incidente deverão ser registradas pelo Encarregado de dados em um único documento, de acesso ao COMITÊ, que além das informações básicas sobre o incidente⁷, deverá conter, necessariamente:

– Logs dos sistemas internos e externos;
– Interações do time e ações adotadas;
– Vulnerabilidades encontradas – se o caso;
– Contratações de terceiros, quando houver;
– Os contatos e ações mediatas de Seguradoras – se o caso;
– Atas de reuniões relevantes do Comitê e de outros assuntos que possam ser pertinentes ao incidente;

A comunicação inicial à ANPD será realizada em até 02 dias úteis após o conhecimento do incidente através do Comunicação de incidente de segurança com dados pessoais à ANPD.

Caso o prazo de 02 dias úteis não seja suficiente para coletar todas as informações descritas no rol acima, será enviado um comunicado preliminar, contendo as informações já existentes no levantamento realizado.

AUDITORIAS INTERNAS

A WEDOC através de ações periódicas, se comprometerá ao cumprimento das iniciativas de implementação de Segurança e Privacidade de Dados adotando tanto em seu sistema como em medidas, processos contínuos, e demais atividades necessárias para o efetivo cumprimento, não só da legislação aplicável, quanto das normativas internas existentes.

Tais ações deverão ser direcionadas pelo Encarregado de Dados, ou, na ausência deste, por pessoa indicada pelo COMITÊ.

DISPOSIÇÕES GERAIS

Todos os integrantes da WEDOC deverão conhecer e praticar a presente POLÍTICA, para isto, o Encarregado de Dados ou COMITÊ serão responsáveis por garantir a ciência e compreensão deste documento.

As orientações relativas a esta POLÍTICA deverão ser conduzidas de forma clara e em local de fácil acesso, sendo que, dúvidas e perguntas deverão ser direcionadas aos Encarregado de Dados.

Após as orientações pertinentes e registros de treinamentos, o desconhecimento da presente política não poderá ser alegado e o seu descumprimento poderá resultar em ações disciplinares ou outras medidas legais aplicáveis, conforme entendimento da WEDOC.

Por fim, caso qualquer integrante ou terceiro tenha conhecimento de potencial conduta ou violações a Leis relativas a Proteção de Dados, deverá imediatamente, reportar à ADMINISTRAÇÃO, COMITÊ ou Encarregado de Dados para as medidas cabíveis.

________________________

¹ LEI GERAL DE PROTEÇÃO DE DADOS – LGPD LEI 13.709/18

² § 2o As atividades do encarregado consistem em:
I – aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II – receber comunicações da autoridade nacional e adotar providências;
III – orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de

dados pessoais; e
IV – executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

³ https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-guia-orientativo-sobre-agentes-de-tratamento-e- encarregado

⁴- necessidade para a execução de um contrato do qual o Titular dos Dados é parte; – exigência decorrente de lei ou regulamento ao qual a WEDOC está sujeita;

– interesse legítimo pelo Tratamento, hipótese na qual tal interesse legítimo será comunicado previamente;
– necessidade de prover ao Titular dos Dados o exercício regular de direito em processo judicial, administrativo ou arbitral.

⁵ Dados de pessoas físicas que evidenciem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, referentes à convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso ou político, dados relacionados a saúde, vida sexual, genéticos ou biométricos e dados sobre condenações ou ofensas criminais.

⁶Contratos, acordos de confidencialidade, Termos e Condições Gerais de Contrato, memorandos e circulares dentre outros.

⁷ I – a natureza do incidente e os tipos de Dados Pessoais envolvidos; II – data e hora do incidente e da ciência;

III – números de titulares afetados (número certo ou estimativa);
IV – descrição de consequências ou possibilidades;

V – nome e contato da pessoa responsável pela condução de inspeção do incidente.

POLÍTICA INTERNA DE SEGURANÇA DE DADOS “Boas práticas de Segurança de Dados”

Entrar