Informe nº 14/2020/SUE
PROCESSO Nº 53500.001165/2020-86
INTERESSADO: PRESIDENTE EXECUTIVO DA ANATEL
ASSUNTO
Ações complementares ao Informe nº 3/2020/SUE realizadas para avaliação e implantação da Lei Geral de Proteção de Dados Pessoais (LGPD) no âmbito da Anatel.
Identificação da necessidade de definição do Encarregado para a continuidade dos trabalhos.
REFERÊNCIAS
Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de 2018.
Memorando nº 21/2020/GPR (SEI nº 5112909).
Informe nº 3/2020/SUE (SEI nº 5299658).
ANÁLISE
I - DO OBJETO
O presente Informe, em complemento às informações contidas no Informe nº 3/2020/SUE, em resposta ao Memorando nº 21/2020/GPR, dispõe sobre as ações realizadas no âmbito da Superintendente Executiva (SUE) e da Superintendência de Gestão Interna da Informação (SGI) com o objetivo de dar continuidade aos trabalhos de compreensão da Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), avaliação de sua extensão e aplicabilidade na Agência, bem como o avanço de sua implementação, considerando o guia fornecido pelo Gartner (empresa de consultoria).
A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Inicialmente, sua entrada em vigor havia sido estabelecida para o dia 14 de agosto de 2020, tendo sido prorrogada para 3 de maio de 2021, nos termos da Medida Provisória nº 959, de 29 de abril de 2020. Entretanto, a citada MP, caso não seja apreciada pelo Congresso Nacional, caducará em 26 de agosto de 2020, fazendo com que a LGPD passe a viger imediatamente.
Entre as definições constantes no art. 5º da LGPD, merecem destaque as figuras do Controlador, do Operador e do Encarregado, conforme segue:
LGPD
“Art. 5º. Para os fins desta Lei, considera-se:
(...)
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);”
Ou seja, nos termos da LGPD, a Agência, a depender do processo de negócio envolvido, assumirá o papel tanto de Controlador quanto de Operador e, como tal, necessita nomear o Encarregado para atuar como interlocutor com os titulares dos dados e com a Autoridade Nacional de Proteção de Dados (ANPD), conforme disposto em seu artigo 5º, inciso VIII.
II – DO TRABALHO REALIZADO
De acordo com o Informe nº 3/2020/SUE (SEI nº 5299658), algumas ações estavam em andamento no intuito de adequar a Anatel ao que estabelece a LGPD. Dando continuidade aos trabalhos, o grupo formado pela SUE e SGI utilizou como guia o passo-a-passo para implantação de um Programa de Gestão da Privacidade, fornecido pelo Gartner, cujos itens se reproduz abaixo:
Conforme guia do Gartner, cada tópico destacado na figura possui uma série de atividades, a seguir detalhadas:
1 |
Organização e Comunicação |
1.1 |
Nomear Encarregado |
1.2 |
Nomear proprietários do processo de negócio |
1.3 |
Identificar Contratos (jurídico, RH, etc) |
1.4 |
Identificar as funções da própria organização e dos parceiros: Controladores de Dados / Processadores de dados |
1.5 |
Comunicar campanha a todos os grupos e partes interessadas |
1.6 |
Criar Aviso de Privacidade e publicar externamente |
1.7 |
Criar Política de Privacidade e publicar internamente |
2 |
Processos |
2.1 |
Criar inventário de todos os processos de negócio que envolvam dados pessoalmente identificáveis |
2.2 |
Identificar quais dados pessoais são processados em qual processo de negócio |
2.3 |
Motivar processos de dados pessoais (propósito de processamento) para cada processo de negócios |
2.4 |
(Quando aplicável) Determinar e documentar fundamentos legais para processamento |
2.5 |
Identificar os processadores de dados envolvidos nos processos (ver seção 7) |
2.6 |
Identificar por quais meios os dados são processados para cada processo |
2.7 |
Identificar qualquer subprocesso onde aplicável |
2.8 |
Alterar os processos de negócios existentes para garantir a minimização de dados |
2.9 |
Remover quaisquer dados pessoais que não atendam aos critérios de finalidade de processamento (incluindo backups) |
2.10 |
Registrar as assinaturas dos proprietários do processo de negócios, indicando que seu processo é totalmente compatível |
2.11 |
Criar ou alterar o Processo de Avaliação de Impacto da privacidade (PIA) |
2.12 |
Criar ou alterar o processo de avaliação de risco |
2.13 |
Realizar avaliações de risco e privacidade para identificar lacunas iniciais |
2.14 |
Implementar a repetição periódica e orientada ao gerenciamento de mudanças / projetos de varreduras rápidas do PIA |
2.15 |
Implementar a repetição periódica e controlada por gerenciamento de mudança / projeto de varreduras rápidas DPIA |
3 |
Direitos do Titular |
3.1 |
(Quando aplicável) Criar processo para tratar o direito de acesso por pessoa de dados |
3.2 |
(Quando aplicável) Criar processo para tratar o direito de retificação |
3.3 |
(Quando aplicável) Criar processo para tratar o direito de apagar |
3.4 |
(Quando aplicável) Criar um processo para tratar direito a restrição do processo |
3.5 |
(Quando aplicável) Criar processo para tratar a notificação |
3.6 |
(Quando aplicável) Criar processo para tratar o direito à portabilidade de dados |
3.7 |
(Quando aplicável) Criar processo para tratar direito para objetar |
3.8 |
(Quando aplicável) Criar processo para tratar o direito de não estar sujeito a uma decisão baseada em perfis, etc. |
3.9 |
(Quando aplicável) Criar portal de autoatendimento onde os sujeitos de dados podem executar ações para executar seus direitos |
3.10 |
Garantir que os detalhes de contato do DPO estejam disponíveis para todos os assuntos de dados |
4 |
Proteção dos Dados |
4.1 |
Rever o armazenamento atual de dados pessoais |
4.2 |
Realizar uma avaliação de risco quando apropriado |
4.3 |
Identificar medidas técnicas e organizacionais adequadas para proteger dados pessoais |
4.4 |
Implementar medidas técnicas e organizacionais adequadas para proteger dados pessoais |
4.5 |
Preparar documentação para registrar os controles de segurança e desenvolver processos para gerenciar o uso de (sub) processadores |
5 |
Gestão de Consentimento |
5.1 |
Identificar todos os pontos de contato em que o consentimento do assunto dos dados é obtido |
5.2 |
Identificar processos para os quais é necessário o consentimento |
5.3 |
Identificar controladores de dados e processadores envolvidos com dados para os quais é necessário o consentimento |
5.4 |
Revisar o gerenciamento de consentimento existente no site e alterar para LGPD |
5.5 |
Revisar a gestão de consentimento existente em formulários em papel e alterar para LGPD |
5.6 |
Desenvolver o processo para obter o consentimento dos pais, caso os dados sobre menores sejam coletados |
5.7 |
Criar repositório para gerenciamento de consentimento para garantir que o ônus da prova possa ser facilitado |
6 |
Retenção de Dados e Backup |
6.1 |
Revisar os requisitos de retenção de dados existentes |
6.2 |
Revisar os processos de backup existentes |
6.3 |
Alterar as políticas de retenção de dados e os processos de backup |
6.4 |
Remover dados inicialmente de acordo com os esquemas revisados de retenção de dados na produção |
6.5 |
Remover todos os dados pessoais existentes em backups |
7 |
Contratos |
7.1 |
Criar acordos controlador-processador onde ainda não estiverem em vigor |
7.2 |
Atualizar os acordos do controlador-processador (uso intencional e requisitos de segurança) |
7.3 |
Atualizar outros acordos existentes, quando aplicável |
7.4 |
Atualizar o processo de aquisição (critérios de seleção para novos serviços) |
7.5 |
Atualizar o processo de aquisição (novos requisitos incluídos em novos contratos) |
8 |
Plano de Resposta à Violação de Dados |
8.1 |
Identificar detalhes de contato da Autoridade Nacional de Proteção de Dados (DPA) |
8.2 |
Identificar representante da UE para lidar com a notificação de violação (apenas para organizações não pertencentes à UE) |
8.3 |
Desenvolver playbook para o cenário de violação de dados, realizar exercício de mesa (tabletop exercise) para prep. treinamento (repita periodicamente) |
8.4 |
Desenvolver processo de gerenciamento de violações para permitir a notificação dentro de 72 horas |
8.5 |
Processo de gerenciamento de violações de teste (anualmente) |
Até o momento, as seguintes atividades foram realizadas:
Em relação ao grupo de atividades 1. Organização e Comunicação:
A adequação da Anatel à LGPD foi comunicada às áreas por meio de publicações no TEIA e de realização de reuniões; (1.5)
Foi criada uma primeira versão do Aviso de Privacidade da Anatel, o qual ainda não foi publicado, tendo em vista a necessidade de sua revisão e aprovação pelo Encarregado. (1.6)
Em relação ao grupo de atividades 2. Processos:
A maioria dos processos de negócio já estão mapeados e disponíveis na Central de Processos; (2.1)
Através de questionário enviado a todas as áreas da Anatel, de ferramentas para descoberta de dados pessoais e de reuniões com as Superintendências, foi possível identificar: quais dados pessoais são tratados nos respectivos processos de negócio (2.2); a motivação do tratamento dos dados pessoais (2.3); determinar e documentar os fundamentos legais para tratamento dos dados pessoais (2.4); identificar os processadores de dados envolvidos nos processos (2.6); e identificar os subprocessos aplicáveis. Todas essas informações estão documentadas nos Relatórios de Impacto à Privacidade de Dados (RIPD).
Em relação ao grupo de atividades 3. Direitos do Titular:
Foi desenhado o processo para que o titular exerça seus direitos junto ao Encarregado da Anatel, tendo-se definido o sistema Anatel Consumidor como a melhor opção para tal.
Em relação ao grupo de atividades 4. Proteção de Dados:
De acordo com o mapeamento das soluções utilizadas pelas áreas, identificou-se que os dados pessoais são armazenados predominantemente em bases de dados ou servidores de arquivo na rede. Em alguns casos, detectou-se também o armazenamento de dados pessoais em mídias, como CD, DVD, pendrives e HDs; (4.1)
Com base nesse mapeamento dos armazenamentos, uma análise de risco à privacidade foi realizada. Essa análise de risco encontra-se nos RIPD de cada área (4.2), assim como a identificação de medidas técnicas que visam a proteção dos dados (4.3). No entanto, algumas dessas medidas requerem a aprovação do Encarregado, conforme consta no Guia de Boas Práticas, publicado no portal Gov.br;
Algumas medidas técnicas já são possíveis de serem implementadas e estão sendo providenciadas, tais como: a anonimização das bases de dados do ambiente de desenvolvimento que possuem dados pessoais; a revisão de acessos concedidos tanto aos sistemas de informação quanto às bases de dados que tratam dados pessoais (4.4).
Em relação ao grupo de atividades 5. Gestão de Consentimento:
Em uma análise inicial, verificou-se que, nos processos de negócio em que a Anatel trata dados pessoais, não será necessário o consentimento do titular dos dados para seu tratamento. Conforme a LGPD, uma das hipóteses que permite o referido tratamento dos dados pessoais refere-se ao cumprimento de obrigação legal ou regulatória pelo controlador. Portanto, em um primeiro momento, não será necessária a criação de sistema/repositório para Gestão de Consentimento.
Em relação ao grupo de atividades 6. Retenção de Dados e Backup:
Em reuniões realizadas com as áreas, não foi possível precisar o tempo legal necessário para armazenamento dos dados pessoais. As áreas atualmente armazenam os dados sem um prazo de retenção definido. Essa questão requer uma análise das normas e processos de negócio, caso a caso, junto ao Encarregado da Anatel, para definição dos prazos de retenção.
Em relação ao grupo de atividades 7. Revisão de Contratos:
Recomendamos que o Encarregado da Anatel revise junto à Superintendência de Administração e Finanças (SAF) as cláusulas que resguardem o tratamento de dados pessoais pelas contratadas, tanto para os contratos existentes quanto para os que venham a ser firmados. Para os contratos da SGI, estabeleceu-se que as empresas contratadas são obrigadas a assinar o Termo de Responsabilidade para Acesso às Soluções de TI da Anatel.
Em relação ao grupo de atividades 8. Resposta a Incidentes de Violação de Dados:
Atualmente já existe o processo de Resposta a Incidentes de TI. Quando o encarregado da Anatel for nomeado, recomenda-se que esse processo seja modificado, prevendo uma especificação do incidente com dados pessoais. Situação em que o Encarregado deverá ser comunicado a fim de que sejam adotadas as devidas providências, conforme dispõe a LGPD.
Todos os documentos citados no presente Informe se encontram atualmente disponibilizados no espaço “Equipe”, ambiente de trabalho virtual disponível no Microsoft Teams, com acesso restrito representantes da SUE e SGI, passíveis de compartilhamento, caso solicitado.
Em abril de 2020, foi disponibilizado o Guia de Boas Práticas – Lei Geral de Proteção de Dados (LGPD). Elaborado pelo Comitê Central de Governança de Dados, o Guia fornece orientações de boas práticas aos órgãos e entidades da Administração Pública Federal direta, autárquica e fundacional para as operações de tratamento de dados pessoais, conforme previsto no art. 5º da LGPD.
Entre os destaques do Guia, está o modelo para elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), que foi utilizado por este grupo para confecção dos relatórios das Superintendências da Agência e Assessorias.
De acordo com as boas práticas já conhecidas, e conforme sugerido no Guia do Gartner, é recomendado que a figura do Encarregado seja definida desde o início do processo de implantação para condução dos trabalhos de adequação à Lei Geral de Proteção de Dados e, posteriormente, no acompanhamento do processo de Gestão da Privacidade.
Considerando que a LGPD se encontra na iminência de entrar em vigor, considera-se de suma importância a nomeação do Encarregado para a continuidade aos trabalhos iniciados, em especial, para a criação da Política de Privacidade da Agência e do fluxo de tratamento dos questionamentos que venham a ser recebidos.
III – DAS ATIVIDADES DO ENCARREGADO
Dentre as obrigações do Encarregado, destacamos o explicitado no art. 41 da referida lei:
LGPD
“Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
§ 2º As atividades do encarregado consistem em:
I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II - receber comunicações da autoridade nacional e adotar providências;
III - orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
IV - executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.”
Além das atividades expressamente citadas no art. 41 transcrito acima, outras também recaem sobre o Encarregado, como se observa do teor do art. 50, §2º, incisos I e II, nos quais se fala da possibilidade de criação de um Programa de Privacidade e da garantida de seu cumprimento.
Nesse sentido, expõem-se a seguir algumas considerações sobre o papel do Encarregado e as opções vislumbradas pelo grupo.
IV - CONSIDERAÇÕES GERAIS SOBRE O ENCARREGADO
Considerando que diversas áreas da Anatel tratam dados pessoais, é essencial que a figura do Encarregado esteja alocada em uma área transversal, próxima à alta direção.
Em adição, conforme exigência da LGPD, é fundamental que essa pessoa/área mantenha bom relacionamento com a sociedade, atue de forma transparente e promova atividades de conscientização e educação dos funcionários em relação aos princípios da lei.
Outra questão importante na definição do Encarregado, que inclusive fazia parte da versão original da lei, mas que foi retirada, é que o encarregado deveria ser detentor de conhecimento jurídico-regulatório e possuir a garantia da autonomia técnica e profissional no exercício do cargo. Portanto, apesar de não mais constar essa exigência, é fortemente recomendado pelas boas práticas que o Encarregado possua esses atributos.
V - DAS OPÇÕES VISLUMBRADAS
a) Encarregado em uma área já existente
O titular de uma área existente na Agência seria nomeado como Encarregado e poderia ainda ter o apoio de uma comissão. A área do Encarregado teria de ser acrescida de mão de obra e o Encarregado contaria com o apoio de uma comissão formada pelos titulares das demais áreas envolvidas. Esta opção mantém as decisões quanto ao tema no âmbito da Agência, além de garantir a participação das demais áreas nas decisões tomadas pelo Encarregado.
b) A criação de uma nova área
Uma nova área seria criada e contaria com a designação de servidores para sua composição. Esta opção também mantém as decisões quanto ao tema no âmbito da Agência, sendo possível ainda a criação de uma comissão com titulares das demais áreas envolvidas para apoiar o Encarregado.
c) Contratar empresa
A LGPD permite que as atribuições do Encarregado sejam desempenhadas por uma pessoa jurídica. Nestes termos, seria contratada empresa especializada na prestação de serviço do Encarregado. Essa opção é a menos sugerida, em razão de alguns fatores, como: a dúvida quanto à eficiência que a atuação de uma empresa contratada teria, tendo em vista o tempo necessário para que a empresa aprendesse o domínio de negócio; o nível de qualidade do serviço a ser contratado, considerando-se tratar-se de uma nova área de atuação no país, ainda sem referências; e a transferência da gestão de um tema sensível para uma empresa contratada.
Relevante destacar que, a partir de apresentações, reuniões[1] e webinars, foram identificadas algumas características que favorecem o desempenho das funções do Encarregado, conforme destacado abaixo:
Proximidade à cúpula do órgão;
Habilidade política interna;
Capacidade de comunicação externa;
Relacionamento com a área de relações públicas;
Enforcement (força para impor mudanças, regras);
Conhecimento em proteção de dados pessoais; e
Conhecimento jurídico regulatório.
Salienta-se que não há hierarquização nas características citadas, elas atuam como facilitadores no desempenho das atividades pelo Encarregado.
Por fim, apresentam-se algumas nomeações realizadas por outros órgãos, com destaque para os cargos ocupados pelos nomeados em seus respectivos órgãos:
Nomeado (a) |
Órgão |
Cargo |
TJSC |
Desembargadora |
|
TJPB |
Assessor da Vice-Presidência |
|
Procuradoria Geral RJ |
Procurador do Estado |
|
Ministério da Infraestrutura |
Ouvidor |
|
ANS |
Viculação à Chefia de Gabinete da Presidência |
Destarte, com base nas atividades até o momento desenvolvidas pela SUE e SGI, bem como a indicação preliminar dos requisitos do Encarregado, sugere-se a nomeação do Encarregado para continuidade da condução das atividades de implementação da Lei como próximo passo a ser adotado pela Agência.
____________________________________
Notas:
[1] Reunião realizada em 16 de julho de 2020, com o Coordenador da Unidade Especial de Proteção de Dados e Inteligência Artificial – ESPEC do Ministério Público do Distrito Federal e Territórios – MPDFT, Dr. Frederico Meinberg Ceroy, foi destacado pelo membro do Parquet que é recomendável que o Encarregado tenha fácil acesso à cúpula do órgão, forte relação com a área de relações públicas, habilidade política interna e excelente capacidade de comunicação externa. Essas características visam proporcionar agilidade na comunicação interna e externa do órgão, mormente nos casos de violação aos preceitos da LGPD, bem como proteger-lhe de danos quanto à reputação profissional e institucional.
DOCUMENTOS RELACIONADOS/ANEXOS
Apresentação SGI sobre o Estudo da Gartner (SEI nº 5416261);
Resultado do Diagnóstico e Coleta de Dados (SEI nº 5416290);
Benchmarking com outros Órgãos (SEI nº 5416306);
Apresentação Gartner (SEI nº 5416318).
CONCLUSÃO
Ante o exposto, encaminha-se atualização dos trabalhos realizados pelo grupo, bem como sugestão de definição e nomeação do Encarregado para a continuidade dos trabalhos.
Documento assinado eletronicamente por André Gustavo Farias Gonçalves, Superintendente de Gestão Interna da Informação, Substituto(a), em 25/08/2020, às 12:29, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel. |
Documento assinado eletronicamente por Revailton de Souza Castro Junior, Coordenador de Processo, em 25/08/2020, às 13:25, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel. |
Documento assinado eletronicamente por Karla Crosara Ikuma Rezende, Superintendente Executivo, em 25/08/2020, às 13:35, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel. |
Documento assinado eletronicamente por André Garcia Pena, Assessor(a), em 25/08/2020, às 13:37, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel. |
A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 5896727 e o código CRC 5CA4B9CB. |
Referência: Processo nº 53500.001165/2020-86 | SEI nº 5896727 |