SEI/ANATEL - 6979874 - Resolução Interna

O CONSELHO DIRETOR DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das atribuições que lhe foram conferidas pelo art. 133 do Regimento Interno da Anatel, aprovado pela Resolução nº 612, de 29 de abril de 2013,

CONSIDERANDO o Guia do Programa de Governança em Privacidade do Governo Federal;

CONSIDERANDO deliberação tomada por meio do Circuito Deliberativo nº 103, de 2 de junho de 2021;

Art. 1º Aprovar, na forma do Anexo, o Programa de Governança em Privacidade da Agência Nacional de Telecomunicações.

Art. 2º Esta Resolução Interna entra em vigor a partir de 1º de julho de 2021, em consonância com o disposto no art. 4º, incisos I e II, do Decreto nº 10.139, de 28 de novembro de 2019.

Documento assinado eletronicamente por Leonardo Euler de Morais, Presidente do Conselho, em 07/06/2021, às 14:03, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 6979874 e o código CRC 181348EC.

Art. 1º O Programa de Governança em Privacidade da Agência Nacional de Telecomunicações define diretrizes para a gestão da segurança do tratamento dos dados pessoais, nos meios físicos e digitais, em tratamentos manuais ou automatizados, com o propósito de proteger a privacidade dos titulares de dados pessoais.

Art. 2º O posicionamento da Anatel acerca da privacidade e da proteção dos dados pessoais é pautado na relação de confiança com os titulares dos dados pessoais por meio de uma atuação transparente.

Art. 3º A identificação dos tratamentos dos dados pessoais deve ser orientada por processos e serviços, tendo como base a Cadeia de Valor da Anatel e como referência o Inventário de Dados Pessoais.

Art. 4º As adequações dos processos, subprocessos, procedimentos e dos sistemas que dão suporte são de responsabilidade das áreas que tratam de dados pessoais e podem contar com o apoio técnico do encarregado pelo tratamento de dados pessoais, da estrutura de apoio ao encarregado e da Coordenação de Projetos e Processos.

Art. 5º A proposta de novos processos de negócios, novos regulamentos, procedimentos ou sistemas deve adotar condutas relacionadas à privacidade e proteção de dados desde a sua concepção, podendo ser submetidas ao encarregado para verificação de conformidade nos casos em que a área proponente identificar o tratamento de dados pessoais.

Art. 6º Os incidentes relacionados à violação de privacidade ou que gerem danos aos titulares de dados devem ser encaminhados ao encarregado, que deve realizar o tratamento em conjunto com a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais da Anatel (ETIR/Anatel).

Art. 7º As revisões de processos de negócio e sistemas devem considerar o nível de risco que os Relatórios de Impacto à Proteção de Dados apresentarem, sendo este um dos elementos a serem considerados na definição de prioridades na alocação de recursos de segurança da informação.

Art. 8º Os processos e documentos físicos arquivados e os processos eletrônicos concluídos devem ser analisados quanto à restrição de acesso, conforme a Lei nº 12.527, de 18 de novembro de 2011 (LAI), e a Lei nº 13.709, de 14 de agosto de 2018 (LGPD), nos casos de desarquivamento ou reabertura por solicitação da área interessada ou para atendimento de pedido de vista.

Art. 9º Os sistemas em desuso devem ser analisados para adequação à LGPD apenas nos casos em que houver solicitação de compartilhamento de base de dados, na qual estejam contidos dados pessoais.

Art. 10. O Programa de Governança em Privacidade da Anatel (PGP) norteará as ações da Anatel no sentido de permitir melhoria do nível de maturidade e de conformidade à Lei Geral de Proteção de Dados Pessoais (LGPD).

Art. 11. São etapas do Programa de Governança em Privacidade, a serem implementadas sob a coordenação do encarregado:

§ 1º As etapas estabelecidas nos incisos I ao III do caput sãos constituídas de marcos, que não exigem sua execução de forma sequencial, inclusive entre etapas.

§ 2º Podem ser definidos projetos, normativos internos, entre outras ações, para alcance dos resultados esperados no Programa.

§ 3º Os marcos de cada etapa podem ser de execução contínua ou pontual, conforme suas características.

§ 4º A estrutura do Programa de Governança em Privacidade da Anatel consta como Anexo.

Art. 12. A etapa de Iniciação e Planejamento busca compreender as primeiras informações e os dados importantes que devem ser conhecidos, sendo constituída pelos seguintes marcos:

V - Instituição de estrutura organizacional para governança e gestão da proteção de dados pessoais;

Art. 13. No alinhamento de expectativas com a Alta Gestão, devem ser analisadas e priorizadas as ações mais urgentes para adequação à LGPD.

Art. 14. Para levantamento dos contratos relacionados a dados pessoais, deve ser realizado o mapeamento dos contratos que coletam, transferem e processam dados pessoais.

Art. 15. A governança de privacidade e proteção de dados inclui as estruturas de gestão de incidentes, a Comissão de Tecnologia da Informação e Comunicação, a Comissão de Gestão de Dados, o Comitê de Gestão de Riscos e o encarregado.

Art. 16. O Catálogo de Dados deve ser adaptado para contemplar informações relacionadas ao cumprimento da LGPD, incluindo campos específicos para classificação dos dados, informações para facilitar a elaboração de Relatórios de Impacto à Proteção de Dados e informações sobre compartilhamento de dados pessoais.

Art. 17. No Inventário de Dados podem ser definidos os canais de publicação externa de bases de dados.

Art. 18. A etapa de Construção e Execução busca promover o gerenciamento de direitos individuais, o consentimento e a redução de responsabilidade por violação, sendo constituída pelos seguintes marcos:

I - Estabelecimento de Políticas e práticas para proteção da privacidade do cidadão;

II - Disseminação da Cultura de segurança e proteção de dados e Privacy by Design;

III - Elaboração de Relatório de Impacto à Proteção de Dados Pessoais (RIPD);

IV - Instituição de Política de Privacidade e Política de Segurança da Informação;

Art. 19. Para o público interno da Anatel, será estabelecida Política de Proteção de Dados Pessoais, com a finalidade de estabelecer diretrizes para a proteção dos dados pessoais.

Art. 20. O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) deve descrever os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Art. 21. A Anatel deve dispor, em seu site, no mínimo, das seguintes informações:

III - Link para o mecanismo de comunicação com o cidadão na esfera do Governo Federal disponível no Gov.br; e,

IV - Informações sobre o sistema Anatel Consumidor - para requerimentos de direitos pelo titular.

Art. 22. O sistema Anatel Consumidor, ou outro que venha a substituí-lo, deve estar preparado para receber, realizar a triagem e responder consultas e reclamações dos titulares de dados.

Art. 23. Todos os sistemas e aplicativos acessados por usuários externos e que contenham dados pessoais devem disponibilizar Termos de Uso para conhecimento do usuário.

Art. 24. Em caso de ocorrência de incidente de segurança que possa acarretar risco ou dano relevante, o titular do dado deverá ser comunicado.

Art. 25. A utilização de medidas técnicas e administrativas que aprimorem a privacidade e a proteção dos dados pessoais deve ser pautada preferencialmente pelo diagnóstico de avaliação de risco.

Art. 26. A necessidade de investimento em segurança da informação, de forma a implementar sistemas de proteção efetivos de prevenção, detecção e remediação de vazamento de dados pessoais, deve ser avaliada para verificar potenciais impactos na implementação do programa de governança em privacidade.

Art. 27. A Segurança da Informação e das Comunicações é definida pela Política de Segurança da Informação e Comunicações da Agência Nacional de Telecomunicações (POSIC/Anatel).

Art. 28. A etapa de Monitoramento busca acompanhar a conformidade da Anatel à LGPD, por meio de atividades de coleta, análise de informações, elaboração de relatórios e apresentações de resultados e é constituída pelos seguintes marcos:

Art. 29. Indicadores de Performance devem ser estabelecidos para a mensuração dos resultados do Programa.

Art. 30. O procedimento de gestão de incidentes de dados da Anatel será estabelecido em normativo próprio.

Art. 31. Cabe ao encarregado coordenar a divulgação dos resultados do Programa, interna e externamente.

Art. 32. O Conselho Diretor da Anatel deliberará sobre as diretrizes estratégicas da governança de privacidade e proteção de dados pessoais.

Art. 33. O Presidente da Anatel designará o encarregado pelo tratamento de dados pessoais.

Art. 34. O encarregado pelo tratamento de dados pessoais da Anatel possui as seguintes atribuições:

I - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

III - orientar os servidores e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

IV - orientar as áreas responsáveis pelo processo/serviço no mapeamento dos dados tratados e na elaboração do Relatório de Impacto à Proteção de Dados - RIPD;

V - propor Políticas, Programas e ações para aperfeiçoamento das ações da Anatel no tratamento de dados pessoais;

VI - manter atualizados os normativos internos acerca da privacidade e proteção de dados pessoais;

VII - referendar o Plano de Resposta a Incidentes relacionados à privacidade e à proteção de dados pessoais;

VIII - verificar a aderência das atividades de tratamento (art. 5º, X) de dados (coleta, controle, eliminação, etc.) aos princípios gerais previstos no art. 6º da LGPD, mediante revisão e proposição de criação de documentos (contratos, termos, políticas) para uso interno e externo;

X - pautar questões relacionadas à privacidade e proteção de dados pessoais no Comitê Interno de Governança;

XI - acompanhar o nível de maturidade da Anatel em Privacidade e outros indicadores de desempenho criados para o acompanhamento da evolução da privacidade e proteção de dados na Anatel;

XII - acompanhar o número de servidores capacitados em privacidade e proteção de dados;

XIII - incorporar o risco à privacidade na estrutura de gerenciamento de riscos corporativos e controles internos; e,

XIV - executar demais atribuições a ele designadas pelo Conselho Diretor, pelo Presidente ou estabelecidas em normas complementares.

Art. 35. O Escritório de Apoio à Proteção de Dados, instituído por intermédio da Portaria nº 1.197, de 25 de agosto de 2020, deve dar suporte ao encarregado para o exercício das atividades de tratamento de dados pessoais da Anatel, por meio das seguintes atribuições:

I - auxiliar na operação de conformidade (compliance) em proteção de dados pessoais, em especial nas questões de segurança da informação;

II - apoiar a implementação de melhorias nos processos da Cadeia de Valor que tratam dados pessoais;

III - atuar em conjunto com os agentes de tratamento de dados para garantir o fiel cumprimento da legislação;

IV - dar o suporte na elaboração de procedimentos e protocolos internos para ações relacionadas ao tratamento de dados pessoais e proteção à privacidade;

V - auxiliar na capacitação interna da Anatel e na formação de uma cultura de proteção de dados;

VI - elaborar informes sobre a avaliação de impacto sobre a proteção de dados, efetuada pelo responsável pelo tratamento;

VII - informar e aconselhar o responsável pelo tratamento e os servidores que tratem os dados, a respeito das suas obrigações e de outras disposições de proteção de dados;

VIII - atuar no monitoramento da conformidade com a Lei Geral de Proteção de Dados - LGPD;

IX - estabelecer protocolos de comunicação imediata entre o Encarregado, a equipe de Apoio ao Encarregado e a Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais da Anatel (ETIR/Anatel), para que tome rapidamente ciência de qualquer violação, que envolva qualquer processo de tratamento de dados pessoais ou base de dados correspondente;

X - assessorar a promoção de eventos internos de sensibilização sobre proteção de dados pessoais na Anatel; e,

XI - promover a realização de outras atividades necessárias ao andamento regular das atividades do Encarregado nas demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Art. 36. São atribuições da Superintendência de Gestão Interna da Informação (SGI) nas questões relacionadas à proteção de dados:

I - promover, após solicitação da área custodiante dos dados, o descarte dos dados pessoais, que estiverem em formato digital, após o término do tratamento, em observância aos arts. 15 e 16 da LGPD;

II - viabilizar tecnicamente, após solicitação da área custodiante dos dados, a anonimização dos dados pessoais, quando necessária sua manutenção para além da finalidade original;

III - apoiar tecnicamente a Comissão de Tecnologia da Informação e Comunicação (CTIC) na proposição de normas de controle de acesso aos dados pessoais em sistemas e aplicativos, bem como primar por mecanismos de auditoria de log e rastreabilidade do fluxo dos dados;

IV - implementar mecanismos de segurança da informação e proteção de dados pessoais em sistemas e aplicativos;

VI - propor medidas técnicas de segurança em conformidade com a Política de Segurança da Informação e Comunicação (POSIC).

Art. 37. São atribuições da Superintendência de Relações com Consumidores (SRC) nas questões relacionadas ao atendimento às demandas dos titulares de dados:

I - demandar à SGI as adaptações no Sistema Anatel Consumidor para comportar os requerimentos dos titulares dos dados; e,

II - apoiar o encarregado nas atividades de receber, realizar a triagem e responder consultas e reclamações dos titulares de dados.

I - viabilizar ao titular de dados, com apoio da SGI e orientação do encarregado, mecanismos que permitam a revogação do consentimento a qualquer momento, mediante manifestação expressa do titular, nos casos que couber;

II - elaborar Relatório de Impacto à Proteção de Dados, de acordo com o art. 32 da LGPD, com orientação do encarregado e suporte do Escritório de apoio à proteção de dados;

III - atender às demandas do encarregado, das áreas de segurança da informação, e do atendimento aos requerimentos do titular, acerca dos dados sob sua responsabilidade;

IV - compartilhar dados respeitando os princípios de proteção de dados pessoais especificados na LGPD e normativos pertinentes;

V - assegurar que os requisitos dos sistemas e aplicativos sob sua reponsabilidade estabeleçam que a coleta e o tratamento de dados pessoais estejam limitados ao propósito identificado e declarado;

VI - solicitar à SGI o descarte dos dados pessoais, que estiverem em formato digital, após o término do tratamento, em observação aos arts. 15 e 16 da LGPD; e,

VII - solicitar à SGI a anonimização dos dados pessoais, quando necessária sua manutenção para além da finalidade original.

I - avaliar as cláusulas contratuais em conjunto com as áreas gestoras e a Procuradoria Federal Especializada junto à Anatel, contando com o apoio do encarregado e observados os modelos disponibilizados pela Câmara Nacional de Modelos de Licitações e Contratos – CNMLC, da Consultoria Geral da União/AGU, para adequação à LGPD; e,

II - rever os procedimentos de tratamento de dados pessoais de servidores, colaboradores e fornecedores para adequação à LGPD, contando com o apoio do encarregado.

Art. 40. A Assessoria de Relações Institucionais (ARI), na esfera da proteção de dados, se incumbe de:

I - quando da manifestação quanto à conveniência e à oportunidade da celebração de instrumentos de cooperação, bem como da realização de seus respectivos termos aditivos, alertar o titular da unidade gestora sobre a necessidade de submeter o instrumento de cooperação à análise do encarregado, caso a parceria envolva compartilhamento de dados pessoais; e,

II - informar ao encarregado, quando tomar conhecimento, a existência de instrumentos de cooperação com dispositivos relacionados a compartilhamento, para comunicação à autoridade nacional, como previsto no art. 26, § 2º, da LGPD.

Art. 41. Compete ao titular da unidade gestora do instrumento de cooperação naquilo que diz respeito à privacidade e à proteção dos dados:

I - submeter à análise do encarregado a minuta de instrumento de cooperação quando a parceria pretendida envolver compartilhamento de dados pessoais; e,

II - observar a vedação da LGPD à transferência a entidades privadas de dados pessoais constantes de bases de dados a que a Anatel tenha acesso, observadas as exceções.

Art. 42. A Comissão de Gestão de Dados, em função dos normativos relativos à privacidade e proteção de dados, passa a incorporar às suas atividades:

I - elaborar o mapeamento de dados pessoais para gerar o Inventário de Dados, segundo o Guia Inventário de Dados Pessoais e sob a coordenação do encarregado;

III - inserir no Inventário de Dados Pessoais elementos facilitadores para a elaboração do Relatório de Impacto à Proteção de Dados (RIPD);

IV - inserir informações no Inventário de Dados que permitam o atendimento aos requerimentos dos titulares de dados pessoais à luz dos normativos;

V - interagir com os curadores dos dados para tratar das definições relacionadas à divulgação dos dados ao público, respeitando o direito à reserva de informações pessoais;

VI - interagir com os curadores dos dados para a definição da temporalidade da guarda dos dados pessoais, respeitando as necessidades de regulação e fiscalização e as legislações pertinentes; e,

VII - propor ao encarregado de medidas administrativas e técnicas, que permitam ampliar o nível de proteção dos dados custodiados pela Anatel.

Art. 43. O Comitê de Gestão de Riscos, em função dos normativos relativos à privacidade e proteção de dados, passa a incorporar as seguintes atividades:

I - avaliar se determinada operação de dados pessoais é suscetível de oferecer risco aos direitos e liberdades dos titulares de dados;

II - elaborar Relatório de Risco Consolidado Anatel para fins de apresentação à Autoridade Nacional de Proteção de Dados; e,

III - submeter o Relatório de Risco ao conhecimento do encarregado e dos Superintendentes envolvidos no tratamento de dados.

Art. 44. A Assessoria Parlamentar e de Comunicação Social (APC) atuará na divulgação de informações relacionadas com a privacidade e proteção de dados:

I - divulgar informações nos canais próprios que ampliem o conhecimento de todos os servidores acerca do tema privacidade e proteção dos direitos pessoais;

II - atuar na comunicação com o titular do dado quando da ocorrência de um incidente de privacidade; e,

III - atuar junto à mídia especializada para expor o posicionamento da Anatel em questões relacionadas à privacidade e proteção de dados pessoais, contando com o suporte do encarregado quanto ao conteúdo e mérito das matérias.

I - tratar dos eventos de forma a minimizar os efeitos para a Anatel e para o titular do dado;

II - manter base de dados dos incidentes de privacidade e proteção de dados, de modo a documentar as vulnerabilidades e otimizar a prevenção;

III - informar ao encarregado da ocorrência de incidentes para providências junto à ANPD e ao titular do dado; e,

IV - elaborar o Plano de Resposta a Incidentes relacionados à privacidade e à proteção de dados pessoais.

Art. 46. Os gestores devem registrar no RIPD os riscos inerentes à sua atividade de tratamento de dados pessoais, avaliando impactos e probabilidades de ocorrência.

Art. 47. Os responsáveis pelos sistemas e aplicativos, em função das exigências de maior transparência no tratamento de dados, devem:

I - elaborar e manter atualizados os Termos de Uso dos sistemas e aplicativos que estão sob sua responsabilidade; e,

II - demandar à SGI adequações nos sistemas que tratem dados pessoais, caso necessário, para ampliar sua aderência à LGPD e a este Programa, especialmente para deixar de tratar ou minimizar o tratamento de dados pessoais, necessário para o atendimento do fim público objeto do sistema.

Art. 48. O Programa de Governança em Privacidade da Anatel deve ser contínuo e constantemente monitorado, devendo ser atualizado sempre que necessário, considerando, no mínimo, os resultados e informações constantes de relatórios, resultados dos Indicadores de Performance, da Gestão de Incidentes, entre outros.

Art. 49. O Cronograma de implementação do Programa será elaborado e atualizado, sob coordenação do encarregado, de forma a contemplar responsabilidades e prazos e ser elemento de prestação de contas.

Anexo ao Programa de Governança em Privacidade da Agência Nacional de Telecomunicações