O objetivo desse capítulo é estabelecer uma síntese dos principais aspectos e conceitos ligados à Lei Geral de Proteção de Dados, nº 13.709, de 14 de agosto de 2018. Serão apresentadas as suas principais motivações, conceitos, preocupações, exigências e recomendações.

A LGPD representa um avanço para o ordenamento jurídico do Brasil, que no mesmo caminho das grandes nações desenvolvidas, traz um conjunto de normas jurídicas que visam regular as relações entre titulares de dados pessoais com as pessoas naturais e jurídicas que realizam o tratamento desses dados, proporcionando, assim, uma harmonização dos interesses como também maior segurança jurídica.

A importância de uma legislação que discipline, regule e coordene o tratamento de dados pessoais salta aos olhos quando se percebe que todos nós estamos inseridos nessa relação. Um determinado indivíduo pode não integrar uma relação empregatícia durante toda sua vida, pode também não realizar contratos empresariais etc., mas certamente terá seus dados pessoais coletados e tratados para os mais diversos fins, daí surge a relevância e necessidade de uma lei que venha conferir mais segurança e proteção aos dados pessoais. É por essa razão que o parágrafo único do art. 1º, da LGPD, dispõe “As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios”.

É preciso salientar que, 

A edição de uma Lei Geral de Proteção de Dados Pessoais no Brasil não é assunto recente. Há cerca de 8 (oito) anos, o tema proteção de dados pessoais foi lançado para consulta pública pelo Ministério da Justiça, por meio da plataforma online (culturadigital.org) que permitia ampla contribuição dos indivíduos, empresas, academia e terceiro setor. Ao longo desses anos, diversos fatores políticos e econômicos impulsionaram a criação de três Projetos de Leis principais: 4.060/2012, 330/2013 e 5.276/2016, os quais foram essenciais para a construção do
Projeto de Lei n° 53/2018 [...]. Dentre esses fatores, podemos citar a CPI da Espionagem, a aprovação do Marco Civil da Internet e a entrada em vigor, em maio de 2018, do Regulamento Geral de Proteção de Dados da União Europeia (GDPR).
(Cartilha Conhecendo a Lei Geral de Proteção de Dados do Brasil, p.02, 2019).

Muito se discutiu a respeito da LGPD travar, impedir e dificultar o desenvolvimento de tecnologias, produtos e serviços, mas com certeza esse não é o seu intuito, como deixa claro o art. 2, V, da LGPD que estabelece que um de seus fundamentos é “o desenvolvimento econômico e tecnológico e a inovação”. Logo, a finalidade da Lei é harmonizar, equilibrar uma relação marcadamente desigual, onde de um lado estava o
titular dos dados pessoais sem qualquer conhecimento a respeito de seus direitos e garantias, e do outro, empresas, muitas vezes de grande porte, com alto poder econômico, se utilizando de maneira ilimitada, abusiva, irresponsável dos dados pessoais para os mais diversos fins.

Nesse sentido, “A LGPD foi regida com o intuito de mitigar os riscos relacionados ao tratamento indevido e/ou abusivo de dados e, ao mesmo tempo, viabilizar que novos negócios e tecnologias sejam desenvolvidas em um ambiente de segurança jurídica” (Cartilha Conhecendo a Lei Geral de Proteção de Dados do Brasil, p. 01, 2019).

A Lei está tem foco especial sobre os processos de tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Seu cumprimento tem abrangência nacional (União, Estados, Distrito Federal e Municípios).

A lei tem como fundamentos: I - o respeito à privacidade; II - a autodeterminação informativa; III - a liberdade de expressão, de informação, de comunicação e de opinião; IV - a inviolabilidade da intimidade, da honra e da imagem; V - o desenvolvimento econômico e tecnológico e a inovação; VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII - os direitos humanos, o livre
desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Os fundamentos da LGPD encontram-se dispostos no art. 2º e, em síntese, estabelecem que a Lei é construída sob a premissa do respeito à privacidade e à liberdade (inclusive de expressão). Enquanto isso, o conceito de autodeterminação informativa – inciso II – entende que o cidadão é soberano sobre suas próprias informações pessoais e deve ser o protagonista de quaisquer temas relacionados ao tratamento de seus dados.

Os itens IV e VII estabelecem que a LGPD se preocupa com a preservação da imagem do cidadão.

Finalmente, os itens V e VI especificam que a LGPD não se propõe a prejudicar as atividades das empresas que realizam tratamento de dados. 

O objetivo das regras é proteger o cidadão, e isso compreende como entendê-lo como soberano de seus dados.
Ou seja, a lei não impede o tratamento, e sim estabelece meios para que cidadão saiba exatamente o que será feito com os seus dados. Dessa forma, ele tem autonomia e capacidade para consentir, ou não, com o uso que a empresa deseja fazer de suas informações pessoais.

Isso preserva a competitividade e as estratégias das empresas, desde que elas se preocupem com a  comunicação e uso transparente dos dados pessoais tratados no decorrer dessas atividades.

Para tal, a lei estabelece uma série de princípios para que seja possível a realização do tratamento dos dados em decorrência dos processos administrativos naturais e de interesse legítimo das organizações ou para o cumprimento de outras legislações vigentes.

Os princípios de sua aplicação são: I - finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; II - adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; III - necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; V - qualidade dos dados: garantia, aos titulares, de exatidão, clareza,relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; VI - transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; VIII - prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; IX - não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Observados os princípios para o tratamento dos dados cabe posicionar sobre quais as hipóteses em que ele pode ocorrer: I - mediante o fornecimento de consentimento pelo titular; II - para o cumprimento de obrigação legal ou regulatória pelo controlador; III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei; IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados; VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ; VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro; VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (Redação dada pela Lei nº 13.853, de 2019) Vigência IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

O titular dos dados tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara e adequada. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I - apoio e promoção de atividades do controlador; e II - proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.

O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: I - confirmação da existência de tratamento; II - acesso aos dados; III - correção de dados incompletos, inexatos ou desatualizados; IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; (Redação dada pela Lei nº 13.853, de 2019) Vigência VI - eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; IX - revogação do consentimento, nos termos do § 5º do art. 8º desta Lei. § 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.

Em caso de impossibilidade de adoção imediata da providência de que trata a lei, o controlador enviará ao titular resposta em que poderá: I - comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou II - indicar as razões de fato ou de direito que impedem a adoção imediata da providência.

Cuidados com o consentimento

O tratamento de dados pessoais só pode ser realizado segundo um conjunto de hipóteses estabelecidas pela LGPD. Essas hipóteses são conhecidas como bases legais de tratamento. Uma das bases legais de tratamento é o consentimento do titular, ou seja, a concordância com o tratamento de seus dados pessoais para uma finalidade determinada.

O consentimento, no entanto, precisa respeitar alguns requisitos para que seja considerado válido: Livre: o consentimento deve refletir uma manifestação livre da vontade do titular. Ou seja, o titular dos dados não pode ser compelido a consentir com o tratamento. Informado: o titular deve ter recebido informações claras, objetivas e suficientes para decidir de maneira consciente se concorda com o tratamento de seus dados pessoais para as finalidades mencionadas. Inequívoco: o  consentimento deve ser demonstrado de maneira inequívoca. Isso pode ser feito por escrito ou por outros meios que demonstrem a vontade do titular, desde que não deixem dúvidas (por exemplo, gravação de uma ligação telefônica). Consentimentos implícitos, que não tenham sido registrados, ou que deixem por algum motivo dúvidas sobre a vontade do titular, poderão ser desconsiderados.

Relacionado a uma finalidade determinada: o titular de dados deverá autorizar o tratamento de dados para uma finalidade específica. Autorizações genéricas ou vagas podem ser consideradas nulas.

Tratamento de dados sem o consentimento do titular

É possível tratar dados pessoais sem obter o consentimento do titular. Para tanto cabe observar o conjunto da lei e todos os aspectos relacionados a esse fundamento.
Em observância à essa possibilidade, destacam-se as situaçoes que possuem maior relevância às sociedades de crédito, financiamento e investimento bem como o cumprimento de obrigação legal ou regulatória. Se uma lei ou uma regulamentação setorial exige determinada atividade de tratamento de dados, não é preciso solicitar a autorização do titular de dados. É o caso, por exemplo, de registros de acesso a aplicações online para cumprir com as obrigações de retenção previstas no Marco Civil da Internet, legislação que exige que os últimos seis meses de atividade do usuário sejam registrados pelas empresas que oferecem funcionalidades online. Também é o caso para as hipóteses de quebra de sigilo previstas na Lei de Sigilo Bancário. Outro exemplo é a execução de contrato ou procedimento preliminare celebrado com o titular de dados pessoais: a entrega de um produto ou um serviço adquirido após a conclusão da compra, onde, naturalmente é preciso conhecer o nome completo, o endereço e outras informações de contato do consumidor. O tratamento desses dados pessoais é feito justamente para cumprir o contrato celebrado.

Para o exercício regular de direitos em processo judicial, administrativo ou arbitral. Ou seja, o armazenamento ou outra forma de tratamento de dados pessoais para utilização em eventual processo judicial é possível, independente de autorização do titular: pode ser necessário guardar o histórico de compras e dados de contato de consumidores em casos de litígios pós-venda.

Para atender aos interesses legítimos da empresa responsável pelo tratamento ou aos interesses legítimos de terceiros, desde que o tratamento de dados não ofereça um risco importante aos direitos e liberdades fundamen- tais dos titulares de dados. Esses pontos são detalhados na seção seguinte, que trata especificamente do legítimo interesse, mas é importante compreen- der que a LGPD exige a análise do impacto à privacidade do titular de dados e a documentação dessa análise quando se utiliza o legítimo interesse.

Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. A lei brasileira inovou ao definir a proteção do crédito como uma base legal autônoma que autoriza o tratamento de dados pessoais. Ainda que a lei não tenha definido o conceito de “proteção do crédito”, entendemos que a expressão deve ser interpretada 
extensivamente, autorizando o tratamento de dados pessoais tanto para atividades inerentes à concessão de crédito quanto para atividades de apoio, incluindo, portanto, o oferecimento de produtos e serviços de crédito e o gerenciamento de riscos dessas operações.

As outras hipóteses previstas na LGPD envolvem tratamentos de dados para a proteção da vida ou da incolumidade física do titular dos dados ou de terceiro, para a tutela da saúde, ou situações específicas de tratamento de dados pela administração pública ou por órgão de pesquisa. No caso de dados pessoais sensíveis, nem todas essas bases legais estão disponíveis – por exemplo, o legítimo interesse, a execução de contrato e a proteção do crédito não autorizam o tratamento de dados pessoais sensíveis.

Nessas hipóteses, é recomendável avaliar se o tratamento de dados sensíveis realmente compensa a necessidade de cumprir com as exigências adicionais previstas na LGPD para esses casos.

Violações e sanções

Violações à LGPD estão sujeitas a sanções administrativas, a serem aplicadas pela Autoridade Nacional de Proteção de Dados, após processo administrativo, sem prejuízo de outras sanções ou penalidades civis ou criminais.

As duas principais sanções são: multa de até 2% do faturamento do grupo econômico no Brasil no último exercício, até o limite de R$ 50.000.000,00 por infração, e publicização da infração, ou seja, determinação da Autoridade Nacional de Proteção de Dados para que a violação da LGPD seja amplamente divulgada em meios de comunicação, para conheci- mento do público.

Capítulo – Governança

A adoção de políticas de boas práticas e governança não apenas auxilia a instituição a cumprir com as obrigações estabelecidas pela LGPD, como evidencia os esforços nesse sentido e será considerada (como um atenuante) na aplicação de penalidades em caso de descumprimento da lei.

Do ponto de vista prático, um programa de governança em privacidade deve:
- demonstrar o comprometimento da instituição em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
- ser aplicável a todo o conjunto de dados pessoais que estejam sob o controle da empresa, independentemente do modo como se realizou sua coleta;
- ser adaptado à estrutura, à escala e ao volume das operações da instituição, bem como à sensibilidade dos dados tratados;
- estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
- ter o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
- estabelecer e aplicar mecanismos de supervisão internos e externos;
- contar com planos de resposta a incidentes e remediação; e
- ser atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

Processos administrativos

Todo e qualquer processo administrativo deverá ser revisto de forma que SATISFAÇA todas as exigências da lei geral de proteção de dados no que tange aos seus principais capítulos, definições e recomendações:
- Os processos devem garantir os direitos e a privacidade dos dados do titular
- Os processos devem ter aderência ao legado regulatório para a operação dos controladores
- Os processos precisam ser mapeados e controlados
- Os processos devem ser designados a responsáveis nominados
- Devem existir mecanismos de contingenciamento aos riscos estabelecidos para cada processo no que tange ao escopo da lei
- Os arquivos gerados para o processo durante sua consecução ou que sejam produto dele devem ser administrados por um conjunto de práticas de segurança que fazem parte da governança da companhia
- A documentação dos processos deve estar disponível para todos as partes
interessadas na preservação e garantias da lei
- Os executantes (operadores) dos processos de tratamento deverão obrigatoriamente informar ao responsável pelo controlador toda e qualquer
anomalia ou irregularidade na execução dos processos, que possa implicar no descumprimento da lei ou riscos à segurança da privacidade dos dados
- Um ciclo de revisão dos processos deverá fazer parte da política de qualidade ligada à manutenção dos princípios da lei
- Toda mudança em qualquer processo que possa gerar riscos ao cumprimento da lei deverá ser analisada e comunicada às partes interessadas como forma de promover transparência aos processos de tratamento de dados executados pelo controlador
- O acesso às informações será dado mediante autorização formal a cada operador em conformidade com o processo que executa por meio de perfil de
acesso
- Os acessos deverão ser respaldados pelos consentimentos expressos dos titulares dos dados, conforme aplicação
- Todo membro da companhia deve conhecer e ter acesso à política de proteção e controle de acesso aos dados bem como participar de treinamento acerca de eventuais alterações da lei, sua aplicação e reflexos nessa política

Tecnologia

Para o cumprimento de seus processos, a companhia poder se utilizar de diversas tecnologias, sejam físicas ou digitais. Quaisquer que sejam devem dispor de mecanismos e métodos que garantam a segurança aos dados, ao seu tratamento e aos princípios estabelecidos pela lei.

A utilização de quaisquer tecnologias deverá obedecer a legislação vigente, atender ao conjunto de práticas e recomendações da ANPD e aos processos de governança da companhia.

O acesso a rede de computadores, servidores de arquivos, sistemas de informação, bases de dados, fichários e arquivos físicos, será controlado e monitorado por processos que estejam atrelados à finalidade de cada processo e legitimado por práticas que respeitem a lei vigente.

Apenas usuários e seus dispositivos de acesso, devidamente autorizados, poderão cumprir as rotinas de tratamento de dados por meio das tecnologias disponíveis pela companhia.

Deverá ser estabelecida uma rotina para troca e/ou atualização de senhas de acesso a dispositivos (computadores, tablets, portas de controle, arquivos, etc).

As senhas de acesso são de responsabilidade de cada operador e tem no controlador o agente de fomento e guarda.

A atualização da tecnologia não deve sob hipótese alguma, reduzir ou comprometer os níveis de controle e segurança das informações por ela suportadas.

Caberá ao controlador prover meios de capacitação e suporte para uso das tecnologias de forma que não haja descontinuidade de solução no que tange às

garantias de integridade, confidencialidade, acuracidade dos dados manipulados nos processos de tratamento.

Treinamento

Todo funcionário, colaborador parceiro, terceiros e fornecedor receberá instrução sobre as normas de conduta estabelecidas para o cumprimento de suas obrigações no exercício de suas funções e que estejam relacionadas com a lei geral de proteção de dados.

Constará do programa de acolhimento a novos funcionários um capítulo específico sobre a lei geral de proteção de dados e sobre a política de proteção e controle de acesso a dados da companhia.

Também fará parte do programa de treinamento e desenvolvimento pessoal, sessões que tratem expliquem e exemplifiquem os principais objetivos da lei.

O conteúdo dos programas de treinamento e desenvolvimento estarão disponíveis para consulta de qualquer funcionário, a qualquer tempo.

O conteúdo dos programas de treinamento deverá ser atualizado de forma periódica em consonância com as alterações da lei.

Sempre que ocorrer uma alteração na lei que tenha impacto sobre os processos do controlador, deverá tal alteração entrar no programa de treinamento e desenvolvimento pessoal.

Gestão

A aplicação de qualquer política, requer para seu bom cumprimento, um conjunto de práticas e medidas capazes de promovê-la.
Caberá esta política, cuidar de forma assertiva o cumprimento de tais práticas e medidas por meio de uma gestão focada em 04 pilares:
- Qualidade
- Segurança
- Conhecimento
- Transparência
Os processos de gestão para cumprimento da política de controle de acesso a dados deverão:
- Observar os aspectos físicos das instalações da companhia
- Observar os aspectos jurídicos das relações entre todas as partes interessadas no cumprimento da lei
- Observar a periodicidade de acompanhamento e avaliação da rotina que envolve o tratamento dos dados
- Observar a periodicidade de acompanhamento do treinamento e desenvolvimento de pessoas

- Observar os registros de incidentes, riscos e soluções de contorno
- Observar as necessidades de evolução dos processos estabelecidos
- Observar a atualização de toda a documentação que suporta a gestão o que inclui, essa política e a própria lei

Consentimento

O cumprimento da lei geral de proteção de dados é em essência a consecução de uma rotina administrativa que precisa ser realizada com base nos legítimos interesses do controlador desde que não firam os interesses primários, a privacidade e todo direito de que trata a lei, do titular do dado.

É, portanto, requisito e matéria prima para a aplicação dessa política, o entendimento sobre o que é, onde e como se aplica o CONSENTIMENTO para que aquela rotina seja executada.

Fará parte de todo e qualquer processo dessa companhia, desde que, devidamente mapeado e comprovada sua necessidade em função do tipo de dado e da finalidade de tratamento, o estabelecimento formal da atividade de “obtenção do consentimento formal para uso e tratamento dos dados pessoais”.

No tocante aos “dados pessoais” sensíveis, estabelece essa política que sejam tratados ou arquivados através de mecanismos e métodos seguros que possuam garantias de rastreabilidade e que sejam realizados no cumprimento do legítimo interesse do controlador no exercício de suas atividades desde que não firam os princípios da privacidade e da integridade dos dados titular em seus interesses.

As autorizações consentimento de tratamento de dados serão padronizadas e orientadas à finalidade.

Deve ser informado ao titular do dado que ele tem o direito de revogar seu consentimento a qualquer tempo e como podem exercer esse direito por meio de um procedimento rápido e simplificado. Cabe observar que para casos em que um processo específico da operação do controlador esteja vinculado è exigência regulatória de outra lei, tal solicitação poderá ser dispensada e/ou não se aplicará.

Capítulo Acesso

Deve-se entender por acesso todo e qualquer movimento por parte de um agente controlador e/ou operador, no cumprimento de suas obrigações corporativas, regulatórias e de acordo com a lei de proteção a dados, para efetuar qualquer tipo de TRATAMENTO aos referidos dados.

Os acessos para tratamento dos dados devem observar:
- A existência de uma autoridade de segurança
- A obrigatoriedade da identificação
- A autorização do acesso
- A finalidade
- O princípio da rastreabilidade
- Os processos de gestão ligados ao acesso e tratamento dos dados
- Os riscos ligados ao acesso e/ou processo de tratamento

A Existência de Uma Autoridade

O processo de guarda e tratamento dos dados estabelece por lei a necessidade de identificação de uma autoridade corporativa. A Autoridade será a guardiã da política e será responsável por sua aplicação e cumprimento. Será responsável por administrar quaisquer problemas originados do não cumprimento dessa política e poderá fazer uso de suas prerrogativas para, se necessário invocar a aplicação da legislação vigente para casos percebidos pelos direitos civil e penal.

Deve promover a política e mantê-la atualizada em consonância com a lei.

A Obrigatoriedade da identificação

Estabelece essa política que todo e qualquer indivíduo, seja ele funcionário, terceiro, visitante, fornecedor, parceiro, ou qualquer outra designação ou categoria, está expressamente obrigado a ter sua identificação atrelada aos processos de TRATAMENTO de dados pertinentes à operação da companhia.

Para isso, qualquer que seja a natureza do acesso e/ou tratamento, estabelece essa política que, por meio de controles físicos ou digitais tais atividades sejam obrigatoriamente realizadas através de uma identificação válida para a organização e aplicável ao cumprimento da lei.

A Autorização do Acesso

Para que os acessos sejam realizados será obrigatória a correspondente autorização do DONO do dado bem como do gestor do processo a que se refere.

As autorizações deverão preceder a identificação e poderão ser pontuais, para fins momentâneos, ou de rotina, quando o processo fizer parte do cumprimento das obrigações do operador e do cumprimento regulatório do controlador.

No caso de terceiros ou fornecedores, as autorizações serão complementares ao procedimento de acesso que prevê o acompanhamento por um operador responsável que garanta o manuseio dos dados em total conformidade com essa política e a legislação vigente.

A finalidade

O acesso aos dados para fins de tratamento presume uma finalidade específica que deve ser caracterizada pela NATUREZA DO PROCESSO e/ou circunstância em que o tratamento ocorrerá.

Assim podemos citar como finalidades válidas:
- Regulatória
- Interesse legítimo do controlador

O princípio da rastreabilidade

Para efeito de governança e provimento da transparência ligada ao processo de tratamento de dados, compete aplicar ao citado processo, mecanismos de rastreabilidade e auditoria de forma que seja possível verificar em tempo toda e qualquer informação pertinente ao evento.

Os processos de gestão ligados ao acesso e tratamento dos dados

Estabelece esta política, que devem ser observados todos os mecanismos de gestão no que diz respeito ao acesso e/ou tratamento de dados.

Os processos de gestão devem garantir entre outras coisas:
- Sua constante evolução e melhoria
- Sua relação direta com a legislação
- Dispor de indicadores e evidências sobre sua execução
- Possuir responsáveis designados para sua aplicação

Riscos ligados ao acesso e /ou processo de tratamento

Os riscos ligados ao acesso e/ou processo de tratamento devem estar mapeados e definidos. Devem fazer parte da rotina de gestão e ser uma preocupação constante da governança.

Devem fornecer uma visão clara a respeito da natureza da operação, quais os impactos sobre a companhia e que medidas devem ser adotadas em caso de ocorrência.

O mapa de riscos deve ser atualizado de forma permanente para que o maior número de eventos possível esteja mapeado e suporte a governança.