SEI/ANATEL - 5896727

Ações complementares ao Informe nº 3/2020/SUE realizadas para avaliação e implantação da Lei Geral de Proteção de Dados Pessoais (LGPD) no âmbito da Anatel.

Identificação da necessidade de definição do Encarregado para a continuidade dos trabalhos.

Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de 2018.

O presente Informe, em complemento às informações contidas no Informe nº 3/2020/SUE, em resposta ao Memorando nº 21/2020/GPR, dispõe sobre as ações realizadas no âmbito da Superintendente Executiva (SUE) e da Superintendência de Gestão Interna da Informação (SGI) com o objetivo de dar continuidade aos trabalhos de compreensão da Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), avaliação de sua extensão e aplicabilidade na Agência, bem como o avanço de sua implementação, considerando o guia fornecido pelo Gartner (empresa de consultoria).

A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Inicialmente, sua entrada em vigor havia sido estabelecida para o dia 14 de agosto de 2020, tendo sido prorrogada para 3 de maio de 2021, nos termos da Medida Provisória nº 959, de 29 de abril de 2020. Entretanto, a citada MP, caso não seja apreciada pelo Congresso Nacional, caducará em 26 de agosto de 2020, fazendo com que a LGPD passe a viger imediatamente.

Entre as definições constantes no art. 5º da LGPD, merecem destaque as figuras do Controlador, do Operador e do Encarregado, conforme segue:

VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);”

Ou seja, nos termos da LGPD, a Agência, a depender do processo de negócio envolvido, assumirá o papel tanto de Controlador quanto de Operador e, como tal, necessita nomear o Encarregado para atuar como interlocutor com os titulares dos dados e com a Autoridade Nacional de Proteção de Dados (ANPD), conforme disposto em seu artigo 5º, inciso VIII.

De acordo com o Informe nº 3/2020/SUE (SEI nº 5299658), algumas ações estavam em andamento no intuito de adequar a Anatel ao que estabelece a LGPD. Dando continuidade aos trabalhos, o grupo formado pela SUE e SGI utilizou como guia o passo-a-passo para implantação de um Programa de Gestão da Privacidade, fornecido pelo Gartner, cujos itens se reproduz abaixo:

Conforme guia do Gartner, cada tópico destacado na figura possui uma série de atividades, a seguir detalhadas:

A adequação da Anatel à LGPD foi comunicada às áreas por meio de publicações no TEIA e de realização de reuniões; (1.5)

Foi criada uma primeira versão do Aviso de Privacidade da Anatel, o qual ainda não foi publicado, tendo em vista a necessidade de sua revisão e aprovação pelo Encarregado. (1.6)

A maioria dos processos de negócio já estão mapeados e disponíveis na Central de Processos; (2.1)

Através de questionário enviado a todas as áreas da Anatel, de ferramentas para descoberta de dados pessoais e de reuniões com as Superintendências, foi possível identificar: quais dados pessoais são tratados nos respectivos processos de negócio (2.2); a motivação do tratamento dos dados pessoais (2.3); determinar e documentar os fundamentos legais para tratamento dos dados pessoais (2.4); identificar os processadores de dados envolvidos nos processos (2.6); e identificar os subprocessos aplicáveis. Todas essas informações estão documentadas nos Relatórios de Impacto à Privacidade de Dados (RIPD).

Foi desenhado o processo para que o titular exerça seus direitos junto ao Encarregado da Anatel, tendo-se definido o sistema Anatel Consumidor como a melhor opção para tal.

De acordo com o mapeamento das soluções utilizadas pelas áreas, identificou-se que os dados pessoais são armazenados predominantemente em bases de dados ou servidores de arquivo na rede. Em alguns casos, detectou-se também o armazenamento de dados pessoais em mídias, como CD, DVD, pendrives e HDs; (4.1)

Com base nesse mapeamento dos armazenamentos, uma análise de risco à privacidade foi realizada. Essa análise de risco encontra-se nos RIPD de cada área (4.2), assim como a identificação de medidas técnicas que visam a proteção dos dados (4.3). No entanto, algumas dessas medidas requerem a aprovação do Encarregado, conforme consta no Guia de Boas Práticas, publicado no portal Gov.br;

Algumas medidas técnicas já são possíveis de serem implementadas e estão sendo providenciadas, tais como: a anonimização das bases de dados do ambiente de desenvolvimento que possuem dados pessoais; a revisão de acessos concedidos tanto aos sistemas de informação quanto às bases de dados que tratam dados pessoais (4.4).

Em uma análise inicial, verificou-se que, nos processos de negócio em que a Anatel trata dados pessoais, não será necessário o consentimento do titular dos dados para seu tratamento. Conforme a LGPD, uma das hipóteses que permite o referido tratamento dos dados pessoais refere-se ao cumprimento de obrigação legal ou regulatória pelo controlador. Portanto, em um primeiro momento, não será necessária a criação de sistema/repositório para Gestão de Consentimento.

Em reuniões realizadas com as áreas, não foi possível precisar o tempo legal necessário para armazenamento dos dados pessoais. As áreas atualmente armazenam os dados sem um prazo de retenção definido. Essa questão requer uma análise das normas e processos de negócio, caso a caso, junto ao Encarregado da Anatel, para definição dos prazos de retenção.

Recomendamos que o Encarregado da Anatel revise junto à Superintendência de Administração e Finanças (SAF) as cláusulas que resguardem o tratamento de dados pessoais pelas contratadas, tanto para os contratos existentes quanto para os que venham a ser firmados. Para os contratos da SGI, estabeleceu-se que as empresas contratadas são obrigadas a assinar o Termo de Responsabilidade para Acesso às Soluções de TI da Anatel.

Em relação ao grupo de atividades 8. Resposta a Incidentes de Violação de Dados:

Atualmente já existe o processo de Resposta a Incidentes de TI. Quando o encarregado da Anatel for nomeado, recomenda-se que esse processo seja modificado, prevendo uma especificação do incidente com dados pessoais. Situação em que o Encarregado deverá ser comunicado a fim de que sejam adotadas as devidas providências, conforme dispõe a LGPD.

Todos os documentos citados no presente Informe se encontram atualmente disponibilizados no espaço “Equipe”, ambiente de trabalho virtual disponível no Microsoft Teams, com acesso restrito representantes da SUE e SGI, passíveis de compartilhamento, caso solicitado.

Em abril de 2020, foi disponibilizado o Guia de Boas Práticas – Lei Geral de Proteção de Dados (LGPD). Elaborado pelo Comitê Central de Governança de Dados, o Guia fornece orientações de boas práticas aos órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional para as operações de tratamento de dados pessoais, conforme previsto no art. 5º da LGPD.

Entre os destaques do Guia, está o modelo para elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), que foi utilizado por este grupo para confecção dos relatórios das Superintendências da Agência e Assessorias.

De acordo com as boas práticas já conhecidas, e conforme sugerido no Guia do Gartner, é recomendado que a figura do Encarregado seja definida desde o início do processo de implantação para condução dos trabalhos de adequação à Lei Geral de Proteção de Dados e, posteriormente, no acompanhamento do processo de Gestão da Privacidade.

Considerando que a LGPD se encontra na iminência de entrar em vigor, considera-se de suma importância a nomeação do Encarregado para a continuidade aos trabalhos iniciados, em especial, para a criação da Política de Privacidade da Agência e do fluxo de tratamento dos questionamentos que venham a ser recebidos.

Dentre as obrigações do Encarregado, destacamos o explicitado no art. 41 da referida lei:

“Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.

§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.”

Além das atividades expressamente citadas no art. 41 transcrito acima, outras também recaem sobre o Encarregado, como se observa do teor do art. 50, §2º, incisos I e II, nos quais se fala da possibilidade de criação de um Programa de Privacidade e da garantida de seu cumprimento.

Nesse sentido, expõem-se a seguir algumas considerações sobre o papel do Encarregado e as opções vislumbradas pelo grupo.

Considerando que diversas áreas da Anatel tratam dados pessoais, é essencial que a figura do Encarregado esteja alocada em uma área transversal, próxima à alta direção.

Em adição, conforme exigência da LGPD, é fundamental que essa pessoa/área mantenha bom relacionamento com a sociedade, atue de forma transparente e promova atividades de conscientização e educação dos funcionários em relação aos princípios da lei.

Outra questão importante na definição do Encarregado, que inclusive fazia parte da versão original da lei, mas que foi retirada, é que o encarregado deveria ser detentor de conhecimento jurídico-regulatório e possuir a garantia da autonomia técnica e profissional no exercício do cargo. Portanto, apesar de não mais constar essa exigência, é fortemente recomendado pelas boas práticas que o Encarregado possua esses atributos.

O titular de uma área existente na Agência seria nomeado como Encarregado e poderia ainda ter o apoio de uma comissão. A área do Encarregado teria de ser acrescida de mão de obra e o Encarregado contaria com o apoio de uma comissão formada pelos titulares das demais áreas envolvidas. Esta opção mantém as decisões quanto ao tema no âmbito da Agência, além de garantir a participação das demais áreas nas decisões tomadas pelo Encarregado.

Uma nova área seria criada e contaria com a designação de servidores para sua composição. Esta opção também mantém as decisões quanto ao tema no âmbito da Agência, sendo possível ainda a criação de uma comissão com titulares das demais áreas envolvidas para apoiar o Encarregado.

A LGPD permite que as atribuições do Encarregado sejam desempenhadas por uma pessoa jurídica. Nestes termos, seria contratada empresa especializada na prestação de serviço do Encarregado. Essa opção é a menos sugerida, em razão de alguns fatores, como: a dúvida quanto à eficiência que a atuação de uma empresa contratada teria, tendo em vista o tempo necessário para que a empresa aprendesse o domínio de negócio; o nível de qualidade do serviço a ser contratado, considerando-se tratar-se de uma nova área de atuação no país, ainda sem referências; e a transferência da gestão de um tema sensível para uma empresa contratada.

Relevante destacar que, a partir de apresentações, reuniões^[1] e webinars, foram identificadas algumas características que favorecem o desempenho das funções do Encarregado, conforme destacado abaixo:

Salienta-se que não há hierarquização nas características citadas, elas atuam como facilitadores no desempenho das atividades pelo Encarregado.

Por fim, apresentam-se algumas nomeações realizadas por outros órgãos, com destaque para os cargos ocupados pelos nomeados em seus respectivos órgãos:

Destarte, com base nas atividades até o momento desenvolvidas pela SUE e SGI, bem como a indicação preliminar dos requisitos do Encarregado, sugere-se a nomeação do Encarregado para continuidade da condução das atividades de implementação da Lei como próximo passo a ser adotado pela Agência.

^[1] Reunião realizada em 16 de julho de 2020, com o Coordenador da Unidade Especial de Proteção de Dados e Inteligência Artificial – ESPEC do Ministério Público do Distrito Federal e Territórios – MPDFT, Dr. Frederico Meinberg Ceroy, foi destacado pelo membro do Parquet que é recomendável que o Encarregado tenha fácil acesso à cúpula do órgão, forte relação com a área de relações públicas, habilidade política interna e excelente capacidade de comunicação externa. Essas características visam proporcionar agilidade na comunicação interna e externa do órgão, mormente nos casos de violação aos preceitos da LGPD, bem como proteger-lhe de danos quanto à reputação profissional e institucional.

Ante o exposto, encaminha-se atualização dos trabalhos realizados pelo grupo, bem como sugestão de definição e nomeação do Encarregado para a continuidade dos trabalhos.

Documento assinado eletronicamente por André Gustavo Farias Gonçalves, Superintendente de Gestão Interna da Informação, Substituto(a), em 25/08/2020, às 12:29, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Revailton de Souza Castro Junior, Coordenador de Processo, em 25/08/2020, às 13:25, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por Karla Crosara Ikuma Rezende, Superintendente Executivo, em 25/08/2020, às 13:35, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

Documento assinado eletronicamente por André Garcia Pena, Assessor(a), em 25/08/2020, às 13:37, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 5896727 e o código CRC 5CA4B9CB.

1	Organização e Comunicação
1.1	Nomear Encarregado
1.2	Nomear proprietários do processo de negócio
1.3	Identificar Contratos (jurídico, RH, etc)
1.4	Identificar as funções da própria organização e dos parceiros: Controladores de Dados / Processadores de dados
1.5	Comunicar campanha a todos os grupos e partes interessadas
1.6	Criar Aviso de Privacidade e publicar externamente
1.7	Criar Política de Privacidade e publicar internamente
2	Processos
2.1	Criar inventário de todos os processos de negócio que envolvam dados pessoalmente identificáveis
2.2	Identificar quais dados pessoais são processados em qual processo de negócio
2.3	Motivar processos de dados pessoais (propósito de processamento) para cada processo de negócios
2.4	(Quando aplicável) Determinar e documentar fundamentos legais para processamento
2.5	Identificar os processadores de dados envolvidos nos processos (ver seção 7)
2.6	Identificar por quais meios os dados são processados para cada processo
2.7	Identificar qualquer subprocesso onde aplicável
2.8	Alterar os processos de negócios existentes para garantir a minimização de dados
2.9	Remover quaisquer dados pessoais que não atendam aos critérios de finalidade de processamento (incluindo backups)
2.10	Registrar as assinaturas dos proprietários do processo de negócios, indicando que seu processo é totalmente compatível
2.11	Criar ou alterar o Processo de Avaliação de Impacto da privacidade (PIA)
2.12	Criar ou alterar o processo de avaliação de risco
2.13	Realizar avaliações de risco e privacidade para identificar lacunas iniciais
2.14	Implementar a repetição periódica e orientada ao gerenciamento de mudanças / projetos de varreduras rápidas do PIA
2.15	Implementar a repetição periódica e controlada por gerenciamento de mudança / projeto de varreduras rápidas DPIA
3	Direitos do Titular
3.1	(Quando aplicável) Criar processo para tratar o direito de acesso por pessoa de dados
3.2	(Quando aplicável) Criar processo para tratar o direito de retificação
3.3	(Quando aplicável) Criar processo para tratar o direito de apagar
3.4	(Quando aplicável) Criar um processo para tratar direito a restrição do processo
3.5	(Quando aplicável) Criar processo para tratar a notificação
3.6	(Quando aplicável) Criar processo para tratar o direito à portabilidade de dados
3.7	(Quando aplicável) Criar processo para tratar direito para objetar
3.8	(Quando aplicável) Criar processo para tratar o direito de não estar sujeito a uma decisão baseada em perfis, etc.
3.9	(Quando aplicável) Criar portal de autoatendimento onde os sujeitos de dados podem executar ações para executar seus direitos
3.10	Garantir que os detalhes de contato do DPO estejam disponíveis para todos os assuntos de dados
4	Proteção dos Dados
4.1	Rever o armazenamento atual de dados pessoais
4.2	Realizar uma avaliação de risco quando apropriado
4.3	Identificar medidas técnicas e organizacionais adequadas para proteger dados pessoais
4.4	Implementar medidas técnicas e organizacionais adequadas para proteger dados pessoais
4.5	Preparar documentação para registrar os controles de segurança e desenvolver processos para gerenciar o uso de (sub) processadores
5	Gestão de Consentimento
5.1	Identificar todos os pontos de contato em que o consentimento do assunto dos dados é obtido
5.2	Identificar processos para os quais é necessário o consentimento
5.3	Identificar controladores de dados e processadores envolvidos com dados para os quais é necessário o consentimento
5.4	Revisar o gerenciamento de consentimento existente no site e alterar para LGPD
5.5	Revisar a gestão de consentimento existente em formulários em papel e alterar para LGPD
5.6	Desenvolver o processo para obter o consentimento dos pais, caso os dados sobre menores sejam coletados
5.7	Criar repositório para gerenciamento de consentimento para garantir que o ônus da prova possa ser facilitado
6	Retenção de Dados e Backup
6.1	Revisar os requisitos de retenção de dados existentes
6.2	Revisar os processos de backup existentes
6.3	Alterar as políticas de retenção de dados e os processos de backup
6.4	Remover dados inicialmente de acordo com os esquemas revisados de retenção de dados na produção
6.5	Remover todos os dados pessoais existentes em backups
7	Contratos
7.1	Criar acordos controlador-processador onde ainda não estiverem em vigor
7.2	Atualizar os acordos do controlador-processador (uso intencional e requisitos de segurança)
7.3	Atualizar outros acordos existentes, quando aplicável
7.4	Atualizar o processo de aquisição (critérios de seleção para novos serviços)
7.5	Atualizar o processo de aquisição (novos requisitos incluídos em novos contratos)
8	Plano de Resposta à Violação de Dados
8.1	Identificar detalhes de contato da Autoridade Nacional de Proteção de Dados (DPA)
8.2	Identificar representante da UE para lidar com a notificação de violação (apenas para organizações não pertencentes à UE)
8.3	Desenvolver playbook para o cenário de violação de dados, realizar exercício de mesa (tabletop exercise) para prep. treinamento (repita periodicamente)
8.4	Desenvolver processo de gerenciamento de violações para permitir a notificação dentro de 72 horas
8.5	Processo de gerenciamento de violações de teste (anualmente)

Nomeado (a)	Órgão	Cargo
Denise de Souza Luiz Francoski	TJSC	Desembargadora
Rodrigo Antônio Nóbrega Guimarães	TJPB	Assessor da Vice-Presidência
Rodrigo Borges Valadão	Procuradoria Geral RJ	Procurador do Estado
Carlos Vinícius Reis	Ministério da Infraestrutura	Ouvidor
Luiz Gustavo Meira Homrich	ANS	Viculação à Chefia de Gabinete da Presidência