Programa de Governança em Privacidade Implantação da Lei Geral de Proteção de Dados Pessoais (LGPD)
Justificativa: A Lei n.º 13.709, de 14 de agosto de 2018, que trata da Lei Geral de Proteção de Dados Pessoais (LGPD), dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. As normas gerais contidas na LGPD são de interesse nacional e devem ser observados pela União, Estados, Distrito Federal e Municípios. Por esse motivo e considerando a normatização dessa temática no cenário mundial, o presente programa visa à adequação do CRCSE à Lei Geral de Proteção de Dados. O CRCSE tem compromisso com a segurança das informações e a responsabilidade em adotar o conjunto de regras e boas práticas de governança para promover a cultura da privacidade e da proteção de dados pessoais dos titulares da informação no âmbito dos Conselhos de Contabilidade, por meio de publicações, seminários, palestras, cursos, campanhas, entre outras ações para tratar desse tema.
Objetivo geral: Definir as diretrizes e regras gerais para o tratamento de dados pessoais no âmbito do CRCSE, com o objetivo de proteger a privacidade dos profissionais da contabilidade, das organizações contábeis, empregados, parceiros, fornecedores e sociedade tendo como foco à gestão de dados pessoais e à gestão de incidentes de Segurança da Informação no ambiente convencional ou de tecnologia, em conformidade com a LGPD.
Objetivos Específicos: a) Orientar as suas Unidades Organizacionais e os Conselhos de Contabilidade quanto à adequação e aplicação da LGPD; b) Garantir que a privacidade e a proteção de dados pessoais seja parte do cotidiano das atividades e funções desempenhadas pelo CRCSE de forma a proteger o titular da informação quanto ao processamento, tratamento e livre circulação de seus dados pessoais; c) Contratar empresa especializada na prestação de serviços de consultoria para auxiliar a efetiva implantação da LGPD; d) Adquirir software especializado para gerenciar e conduzir a aplicação da LGPD; e) Elaborar políticas e planos de proteção de dados pessoais e privacidade do CRCSE.
Dados do Encarregado (art. 41 da LGPD) Funcionária: MARYLIA GRAZIELLE BARRETO OLIVEIRA
Proprietário dos dados pessoais; é a pessoa natural.
Direitos
Confirmação da existência de tratamento;
Acesso aos dados;
Correção de dados incompletos, inexatos ou desatualizados;
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
Revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
Controlador
Definição
Pessoa física ou jurídica, de direito público ou privado, a quem competem às decisões referentes ao tratamento dos dados pessoais (é o “dono” do banco de dados).
Obrigações
O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.
O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
Considera-se controlador o CRCSE, ao gestor caberá o exercício das atribuições de controlador nas esferas de sua competência.
Operador
Definição
Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, possui responsabilidade compartilhada.
Pessoa externa ao quadro funcional do CRCSE, que realiza o tratamento de dados pessoais em nome e por ordem do controlador
Encarregado
Definição
Atua como canal de comunicação entre o controlador (instituição), os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Atividades
Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
Receber comunicações da autoridade nacional e adotar providências;
Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Glossário
A
Agentes de tratamento: o controlador e o operador - Art. 5º incisos VI e VII.
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo - Art. 5º inciso XI.
Autoridade nacional: órgão da Administração Pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional – Art. 5º inciso XIX.
B
Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico – Art. 5º inciso VI.
Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados – Art. 5º inciso XIII.
C
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada – Art. 5º inciso XII.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais – Art. 5º inciso VI.
D
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento – Art. 5º inciso III.
Dado pessoal: informação relacionada à pessoa natural identificada ou identificável – Art. 5º inciso I.
Dado pessoal de criança e de adolescente: o Estatuto da Criança e do Adolescente (ECA) considera criança a pessoa até 12 anos de idade incompletos e adolescente aquela entre 12 e 18 anos de idade. Em especial, a LGPD determina que as informações sobre o tratamento de dados pessoais de crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e acessível de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança – Art. 14º § 1º ao § 6º.
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural – Art. 5º inciso II.
E
Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado – Art. 5º inciso XIV.
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) – Art. 5º inciso VIII.
G
Garantia da segurança da informação: capacidade de sistemas e organizações assegurarem a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. A Política Nacional de Segurança da Informação (PNSI) dispõe sobre a governança da segurança da informação aos órgãos e às entidades da Administração Pública Federal em seu âmbito de atuação Decreto n 9.637/2018.
Garantia da segurança de dados: ver garantia da segurança da informação.
I
Interoperabilidade: Capacidade de sistemas e organizações operem entre si. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, além dos padrões de interoperabilidade de governo eletrônico (ePING) - Art. 40.
O
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador – Art. 5º inciso VII.
Órgão de pesquisa: órgão ou entidade da Administração Pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico – Art. 5º inciso XVIII.
R
Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco – Art. 5º inciso XVII.
T
Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento – Art. 5º inciso V.
Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro – Art. 5º inciso XV.
Tratamento: toda operação realizada com dados pessoais; como as que se referem a: (Art. 5º inciso X)
Acesso: Possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade de rede, memória, registro, arquivo etc., visando receber, fornecer, ou eliminar dados.
Armazenamento: Ação ou resultado de manter ou conservar em repositório um dado.
Arquivamento: Ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotada a sua vigência.
Avaliação : Ato ou efeito de calcular valor sobre um ou mais dados.
Classificação: Maneira de ordenar os dados conforme algum critério estabelecido.
Coleta: Recolhimento de dados com finalidade específica.
Comunicação: Transmitir informações pertinentes a políticas de ação sobre os dados.
Controle: Ação ou poder de regular, determinar ou monitorar as ações sobre o dado.
Difusão: Ato ou efeito de divulgação, propagação, multiplicação dos dados.
Distribuição Ato ou efeito de dispor de dados de acordo com algum critério estabelecido.
Eliminação Ato ou efeito de excluir ou destruir dado do repositório.
Extração Ato de copiar ou retirar dados do repositório em que se encontrava.
Modificação Ato ou efeito de alteração do dado.
Processamento Ato ou efeito de processar dados.
Produção: Criação de bens e de serviços a partir do tratamento de dados.
Recepção: Ato de receber os dados ao final da transmissão.
Reprodução: Cópia de dado preexistente obtido por meio de qualquer processo.
Transferência: Mudança de dados de uma área de armazenamento para outra, ou para terceiro.
Transmissão: Movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc.
Utilização Ato ou efeito do aproveitamento dos dados