Introdução
A REGIUS Sociedade Civil de Previdência Privada estabeleceu seu programa de adequação e governança em privacidade, objetivando fornecer orientação e supervisão para o gerenciamento de dados, estabelecendo um programa para adequação, execução e monitoramento contínuo de decisão sobre dados que atenda às necessidades da organização buscando promover o compliance e atuar na prevenção a sanções administrativas e judiciais, fornecendo garantias significativas e impactos positivos na operações de toda a organização.
Conceitos
Privacidade: Direito à reserva de informações pessoais e da própria vida pessoal. Pode ser também entendida como a vontade de controlar a exposição e a disponibilidade de informações acerca de si mesmo.
Dado Pessoal: Qualquer informação relacionada a pessoa natural, direta ou indiretamente, identificada ou identificável, seja em meio digital ou físico.
Dado Pessoal Sensível: Categoria especial de dados pessoais referentes a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de carácter religioso, filosófico ou político, referentes à saúde ou à vida sexual, dados genéticos ou biométricos relativos à pessoa natural.
Tratamento: Todo tipo de operação realizada com dados pessoais, que se referem a coleta, produção, classificação, utilização, transferência, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, descarte.
Agentes de tratamento: Os Agentes de tratamento de dados (Controlador e/ou Operador) são conhecidos como as entidades participantes do processo, que realizam o tratamento de dados pessoais, sendo o Operador o responsável pelo tratamento de dados pessoais em nome do Controlador.
Objetivo
A REGIUS definiu e implementou a sua política de governança em privacidade baseada na estratégia para atuar preventivamente nas frentes de segurança da informação e privacidade de dados, com o intuito de fomentar a cultura de proteção de dados, implementando ações que visam avançar no processo de adequação à LGPD, minimizando os riscos, baseando-se nos requisitos aplicáveis da Lei 13.709 (Lei Geral de Proteção de Dados – LGPD).
Aspectos da Lei
- A sanção e publicação da Lei n. 13.709, de 14 de agosto de 2018;
- Possui embasamento no GPDR (General Data Protection Regulation) em vigor na União Europeia desde maio de 2018;
- A ANPD (Autoridade Nacional de Proteção de Dados) é a autoridade supervisora no Brasil, com estrutura aprovada pelo Decreto n. 10.474, de 26 de agosto de 2020.
Princípios da Lei Geral de Proteção de Dados Pessoais (LGPD)
O tratamento de dados pessoais no âmbito da REGIUS será realizado de acordo com as regras e procedimentos estipulados em normas internas relativas à proteção de dados pessoais, pautadas na boa-fé, lealdade, respeito e transparência ao tratamento dos dados pessoais, observando, ainda, os seguintes princípios:
Princípio da Adequação: Está previsto no inciso II, do artigo 6.º da LGPD e prevê a “compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento”. A coleta de dados será compatível e adequada com a atividade fim do tratamento. Os dados serão tratados de acordo
com a sua finalidade.
Princípio da Necessidade: A coleta e tratamento de dados deve ocorrer de forma restritiva, observada a realização das finalidades das atividades da REGIUS.
Princípio da Transparência: Objetiva garantir aos titulares informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento dos dados.
Princípio do Livre Acesso: Possibilita que o titular dos dados consulte livremente, de forma facilitada e gratuita, a forma e a duração do tratamento dos dados, bem como sobre a integralidade deles.
Princípio da Qualidade dos Dados: Visa garantir aos titulares dos dados a exatidão, clareza, relevância e a atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade do tratamento.
Princípio da Segurança: Compreende medidas técnicas e administrativas para proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Princípio da Prevenção: Busca a antecipação de eventualidades, com a adoção de medidas para prevenir a ocorrência de danos em razão do tratamento de dados pessoais.
Princípio da Responsabilização e Prestação de Contas: Visa garantir que o controlador e/ou o operador demonstrem todas as medidas eficazes e capazes de comprovar o cumprimento da lei e a eficácia das medidas aplicadas.
Princípio da Não Discriminação: O tratamento dos dados não será realizado para fins discriminatórios, ilícitos ou abusivos.
Princípio da Finalidade: Os dados pessoais coletados e processados são utilizados para realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, não sendo utilizados de forma incompatível com tais objetivos.
Papéis e Atribuições na Lei Geral de Proteção de Dados Pessoais (LGPD)
Titular do dado pessoal: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; e
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
Diretrizes do Programa de Privacidade
A REGIUS, por esta política, define ferramentas para apoiar o seu programa de governança em privacidade
conforme descrito adiante:
GESTÃO E GOVERNANÇA E PROTEÇÃO DE DADOS PESSOAIS
Pelos seus órgãos estatutário, precipuamente, a REGIUS apoia a promoção da cultura de privacidade e proteção de dados pessoais.
AVALIAÇÃO E MONITORAMENTO DOS RISCO
Visando prevenir incidentes de violação de proteção de dados pessoais no âmbito da REGIUS, serão implementados procedimentos de identificação, avaliação, tratamento e monitoramento das vulnerabilidades e dos riscos, bem como suas medidas de tratamento e melhoria.
TREINAMENTO
A disseminação da cultura relacionada à proteção dos dados pessoais dar-se-á por meio de ações de comunicação, campanhas internas, externas e institucionais, no âmbito interno, perante seus patrocinadores, participantes e assistidos, inclusive por intermédio de treinamentos, cursos de capacitação, eventos e ferramentas de atualização periódica.
COMUNICAÇÃO
A REGIUS adota Aviso de Privacidade consistente em informativo constante no seu endereço eletrônico, dirigido aos participantes e assistidos, para demonstrar o compromisso e o respeito pela privacidade dos usuários que utilizam o site e o aplicativo REGIUS Mobile, bem como a proteção e a segurança nos sistemas de informação.
O Aviso de Privacidade tem por objetivo informar que na administração dos Planos de Benefícios, faz coleta, armazenamento, utilização, recebimento e transferência de dados pessoais, entre outras formas de tratamento, sem o que é inviável o exercício de suas atividades. Destaca sobre o uso de cookies e a possibilidade de desativação, caso seja de interesse do usuário, bem como sobre ferramentas para monitorar o alcance da prestação de informações por mensagem eletrônica. Ainda, esclarece que a REGIUS pode compartilhar os dados pessoais com terceiros, tais como fornecedores e patrocinadores, conforme for necessário para a consecução de suas atividades, pautado em mecanismos de proteção e cuidado para garantir que os dados que coleta e processa sejam mantidos de forma segura e protegida.
Os dados coletados são conservados enquanto perdurar a relação contratual com o participante ou com seus beneficiários, mantendo-os para o cumprimento de obrigações legais ou interesses legítimos, de acordo com a legislação aplicável à proteção de dados pessoais, valendo-se de medidas de segurança adequadas.
O Aviso de Privacidade deve passar por atualizações periódicas, para o seu contínuo aperfeiçoamento.
DO ENCARREGADO – DATA PROTECTION OFFICER (DPO)
A REGIUS é considerada como controladora do tratamento de dados pessoais. Por esta política a Diretoria Executiva é o órgão competente para indicar a pessoa que desempenhará as funções de Encarregado, por meio de ato formal, sendo dado conhecimento aos Conselhos Deliberativo e Fiscal, sempre que houver alteração da indicação.
Além das responsabilidades decorrentes do cargo estabelecidas pela LGPD, o Encarregado será o responsável pela comunicação entre a REGIUS, os titulares de dados pessoais, partes interessadas e a ANPD e deve prestar os esclarecimentos necessários sobre a presente Política e sua aplicação, casos excepcionais e boas práticas a serem adotadas permanentemente por colaboradores, dirigentes, fornecedores e parceiros.
Considerações Finais
As alterações e os casos omissos na presente Política serão tratados pela Diretoria Executiva. Esta Política entrará em vigor na data de sua aprovação pelo Conselho Deliberativo.