A ANPD – Autoridade Nacional de Proteção de Dados pessoais, publicou Resolução CD/ANPD N° 2O em 03 de outubro de 2024 a sua Política Interna de Proteção de Dados Pessoais.
O material divulgado pela ANPD normalmente é de excelente qualidade. Mas, para esta política gostaria de destacar pontos que entendo bem positivos e devem ser tomados como base para as politicas internas das organizações que ainda não possuem ou que desejam aprimorar as existentes.
Destaco os seguintes controles e/ou regras fundamentais:
- Política Interna
Sempre defendi e implantei duas políticas de privacidade. Uma para o público externo onde a organização declara que respeita e cumpre a LGPD e demais legislação de proteção de dados pessoais. Outra para o público interno, estabelece diretrizes, responsabilidades, controles e regras de como a proteção de dados pessoais vai acontecer na organização.
- Abrangência
Definição dos usuários obrigados a seguir esta política. No caso da ANPD: aplica-se a todos os servidores, colaboradores e terceiros que possuam algum vínculo com a ANPD
- Alinhamento com os fundamentos e princípios da LGPD
Esta política interna está alinhada com os fundamentos e princípios de proteção de dados definidos pela LGPD.
- Tratamento de Dados Pessoais
O tratamento de dados pessoais:
Tem como propósito o atendimento como órgão de governo
" … será realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
Respeita e cumpre a exigência de só tratar dados pessoais de acordo com as hipóteses legais.
Considerará apenas os dados pessoais necessários para atender às finalidades
específicas do tratamento. Tratamento mínimo.
Tratará apenas os dados pessoais necessários para atender às finalidades
específicas do tratamento.
Observará os fundamentos e princípios de proteção de dados pessoais previstos na LGPD.
- Política Externa de Proteção de Dados Pessoais
Haverá ou há o Aviso de Privacidade para o público externo.
- Segurança da Informação
Os dados pessoais serão tratados de maneira segura seguindo controles de segurança da informação.
- Exclusão de Dados Pessoais
Os dados pessoais serão eliminados quando finalizado o tratamento e verificado a possibilidade legal de sua eliminação
- Compartilhamento de dados
Quando da necessidade de compartilhamento, a ANPD atenderá a finalidades específicas de execução de políticas públicas e atribuição legal, respeitados os princípios de proteção de dados pessoais.
- Controle de Acesso
"O acesso aos dados pessoais ficará restrito às pessoas autorizadas e que necessitem realizar o tratamento desses dados para o desempenho de suas atividades na ANPD."
- Contratos
"Os contratos, convênios ou instrumentos congêneres firmados pela ANPD deverão conter cláusulas específicas de proteção de dados pessoais."
- Gestão de Incidente
"A ANPD adotará medidas de segurança, técnicas e administrativas adequadas para proteger os dados pessoais contra acessos náo autorizados e situações acidentais ou ilícitas que venham a causar a destruição, perda, alteração, ou qualquer forma de tratamento inadequado ou ilícito"
- Relatório de Impacto de Proteção de Dados Pessoais – RIPD
"A ANPD elaborará o Relatório de Impacto de Proteção de Dados Pessoais – RIPD, nos casos em que as operações de tratamento possam gerar alto risco à garantia dos princípios gerais de proteção de dados pessoais, às liberdades civis e aos direitos fundamentais dos titulares."
- Direito dos Titulares
A ANPD respeita o direito dos titulares de Dados Pessoais.
- Conscientização e Capacitação
É necessária a capacitação e conscientização de todos os profissionais envolvidos na operacionalização da ANPD.
- Responsabilidades para a operacionalização
Este último item, entendo como o principal. Descreve quais são as responsabilidades de diversas áreas e funções, possibilitando a implementação e operacionalização da LGPD na organização ANPD.
Nesta política são considerados os seguintes órgãos ou funções: do Conselho Diretor, do Diretor-Presidente, do Encarregado, da Equipe do Encarregado, das Chefias imediata e dos Colaboradores.
CONCLUSÃO
Evidentemente este exemplo da Política Interna de Proteção de Privacidade a ANPD deve ser tomada como uma referência. Não é um dogma. Muitas das políticas internas que desenvolvi tinham a maioria destes controles, mas agora identifico outros controles que avaliarei quando for escrever uma nova política interna.
A sabedoria é observar e adaptar para a sua realidade. Para a realidade da organização em que será aplicada a Política Interna de Proteção de Dados. Nunca esqueça disso!
Edison Fontes, CISO at NAVA – Technology for business.
