Política de Privacidade de Dados
OBJETIVO
Definir uma expectativa da instituição e estabelecer princípios e diretrizes para o tratamento de dados pessoais realizados pelo Conselho, criando um Sistema de Gestão da Privacidade da Informação — SGPI, visando garantir os direitos dos titulares de dados pessoais e cumprir as obrigações impostas aos agentes de tratamento.
Este documento deverá ser utilizado em conjunto com a Política de Segurança da Informação – PSI do CONAPRA, uma vez que contém diretrizes adicionais aplicadas aos processos de tratamentos de dados pessoais
ÂMBITO
Este documento contém um conjunto de resoluções que, juntas, determinam o papel da instituição nos processos de tratamentos de dados pessoais. Portanto, entende-se como uma política que estabelece os limites comportamentais e medidas a serem tomadas para visar adequação legal.
- REFERÊNCIAS
- NBR ISO/IEC 27701:2019 – Técnicas de segurança – Extenção da ABNT NBR ISO/27001 e 27002 para Sistema de Gestão da Privacidade – Requerimentos e orientações
- NBR/ISO/IEC 27002:2013, que institui o código de melhores práticas para gestão de segurança da informação;
- NBR/ISO/IEC 27001:2013, que estabelece os elementos de um Sistema de Gestão de Segurança da Informação
- DEFINIÇÕES
Além das definições da Política de Segurança da Informação, entende-se:
CONTROLADOR: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
TITULAR: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
TRATAMENTO: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
CONSENTIMENTO: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
ELIMINAÇÃO: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
DADO PESSOAL: informação relacionada a pessoa natural identificada ou identificável;
DADOPESSOALSENSÍVEL: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
INCIDENTE DESEGURANÇA: situação de violação da segurança que pode levar à destruição, perda, alteração, divulgação não-autorizada ou acesso não-autorizado a dados pessoais
CONTEXTO DA ORGANIZAÇÃO
O CONAPRA está sujeito a aplicação da Lei Geral de Proteção de Dados Pessais – Lei n°13.709/2018, além de normativas específicas da Marinha do Brasil e da Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis – CONPORTOS do Ministério da Justiça que se apliquem à atividade fim da instituição e versem sobre dados pessoais (dados que devem ser coletados, tempo de armazenamento, requisitos de segurança etc.).
O CONAPRA é considerado na maioria dos processos de tratamento de dados pessoais como CONTROLADOR de dados pessoais dos práticos, funcionários, figuras políticas, agentes da imprensa e terceiros interessados na praticagem, uma vez que decide os dados pessoais que deve coletar ou estão sujeitos a legislações que obriguem a coleta de determinados dados, além de definir a finalidade da utilização dos dados pessoais utilizados e a maneira como atingi-la.
Como controlador, o CONAPRA deve:
- Manter registros atualizados de processos que realizam tratamentos de dados pessoais;
- Definir o objeto de tratamento de dados pessoais para os operadores, mediante cláusula contratual, além das intruções para atingir a finalidade do tratamento;
- Indicar um Encarregado de proteção de dados pessoais, se obrigatório;
- Observar os princípios aplicáveis aos tratamentos de dados pessoais;
- Observar os direitos dos titulares de dados pessoais e manter um sistema de resposta à requerimentos;
- Adotar medidas de segurança, técnicas e administrativas para evitar violações à confidencialidade, integridade e disponibilidade dos dados pessoais;
- Manter um programa de governança com a adoção de regras de boas práticas para segurança da informação e privacidade;
- Observar demais obrigações na LGPD e normativas da Autoridade Nacional de Proteção de Dados, além das obrigações setoriais específicas que porventura se apliquem;
- A DIREÇÃO NOS TRATAMENTOS DE DADOS PESSOAIS EM RESPOSTAS À IMPRENSA
Ocasionalmente o CONAPRA é instado a elaborar respostas a veículos de imprensa que envolvam dados pessoais de práticos ou terceiros ligados ao CONAPRA.
Nessas situações as respostas deverão possuir o aval escrito e explícito de um diretor do CONAPRA antes do envio ao solicitante. O diretor, nesse caso, deverá levar em conta: a legalidade da solicitação, os direitos individuais daqueles que porventura sejam objeto da solicitação/constem na resposta, os possíveis impactos jurídicos ou não ao CONAPRA e à classe dos Práticos da resposta.
A medida visa proteger não só os titulares de dados pessoais que porventura sejam objeto da solicitação, mas a classe dos Práticos.
SEGURANÇA DA INFORMAÇÃO
Todos os processos de tratamentos de dados pessoais devem observar os controles que constam na Política de Segurança da Informação.
ANÁLISE DE RISCO
Todos os processos de mapeamentos de dados pessoais devem possuir análise de risco conforme Matriz de Risco com base na possível violação dos princípios da Lei n° 13.709/2018, devendo ser estabelecido uma relação de causa-consequência e possibilidade-impacto, além de indicar os controles para mitigação. A Matriz de Risco proposta é aquela indicada pelo Ministério da Economia do Governo Federal do Brasil no “Guia de Avaliação de Riscos de Segurança e Privacidade”1.
Processos considerados de alto risco devem possuir Relatório de Impacto de Proteção de Dados Pessoais.
SISTEMA DE RESPOSTA À INCIDENTES DE SEGURANÇA
Na hipótese de suspeita de incidentes de segurança que porventura ofereçam risco à confidencialidade, integridade ou disponibilidade de dados pessoais, o CONAPRA deverá registrar o incidente, através de seu Encarregado ou pelo Setor de Informatica, com, no mínimo, as seguintes informações:
- Uma descrição dos fatos que levaram à suspeita/confirmação do incidente;
- O lapso temporal durante o qual os fatos podem ter persistido;
- As possíveis consequências do incidente para o funcionamento do CONAPRA e para os titulares de dados pessoais;
- A identificação de quem levou o conhecimento do incidente para o Encarregado/ Setor de Informatica;
- O responsável pela definição de medidas de mitigação de danos, que documentará todas as medidas adotadas;
- A classificação de qual propriedade dos dados pessoais o incidente afetou com a justificativa pertinente;
- Quais as categorias de dados pessoais foram objeto do incidente e uma definição da amplitude do incidente;
- Demais informações que serão demandadas pela Autoridade Nacional de Proteção de Dados Pessoais ou órgãos fiscalizadores competentes;
Além do registro do incidente com as informações mínimas acima descritas, o CONAPRA deverá decidir se o incidente deverá ser publicizado para os titulares dos dados, conforme orientação do Encarregado ou responsáveis jurídicos, além de registrar os motivos para a adoção da medida ou não adoção, conforme a decisão.
1 Disponível em https://www.gov.br/governodigital/pt-br/governanca-de-dados/guia-de-avaliacao-de-riscos-de- seguranca-e-privacidade.pdf
CONDIÇÕES PARA A COLETA E TRATAMENTO DE DADOS PESSOAIS
Os presentes requisitos devem ser preenchidos em todos os processos de tratamentos de dados pessoais para garantir o registro adequado de informações quanto aos tratamentos de dados pessoais.
FINALIDADE ESPECÍFICA
O CONAPRA deve identificar a finalidade específica para todos os processos de tratamentos de dados pessoais e garantir que ela seja corretamente informada para os titulares dos dados pessoais através de Avisos de Privacidade, Respostas à Requerimentos, além de estar disponível em todos os processos mapeados (ver 9.7).
IDENTIFICAR A BASE LEGAL
Todos os processos de tratamento de dados pessoais devem possuir uma base legal correspondente para justificar o tratamento dos dados pessoais em conformidade com o requisito do art. 7° ou art. 11° da LGPD.
A escolha das bases legais deve ser documentada e justificada com os argumentos pertinentes nos registros de tratamentos de dados pessoais (ver 9.7).
DETERMINAR COMO O CONSENTIMENTO SERÁ OBTIDO
Nos casos em que o consentimento é necessário para o tratamento dos dados pessoais o CONAPRA deverá fornecer as seguintes informações sobre o tratamento:
- A necessidade de transferência para terceiros (internacionalmente ou nacionalmente);
- Deve ser específico para a finalidade do tratamento;
- Possibilidade de revogação do consentimento a qualquer momento;
- Direitos previstos no art. 9° da LGPD;
RELATÓRIO DE IMPACTO DE PROTEÇÃO DE DADOS PESSOAIS
Os processos que oferecerem alto risco a direitos dos titulares de dados pessoais com base em matriz de risco e/ou definições da Autoridade Nacional de Proteção de Dados Pessoais devem possuir um Relatório de Impacto.
O documento deve indicar a metodologia adotada e possui, no mínimo:
- Descrição do tratamento realizado;
- Possíveis riscos aos titulares de dados pessoais;
- Mapeamento de vulnerabilidades à confidencialidade, integridade e/ou disponibilidade dos dados pessoais;
- Indicação das medidas de mitigação de riscos e danos;
- O autor do Relatório de Impacto;
- RELAÇÃO COM OPERADORES
O CONAPRA deve manter contratos com todos os OPERADORES que realizem tratamentos de dados pessoais em nome do CONAPRA.
O contrato com os OPERADORES deve conter, no mínimo: diretrizes de tratamento, subcontratações, disposições sobre observância de direitos dos titulares, disposições sobre sistema de resposta à incidentes de segurança, eliminação de dados pessoais e previsões sobre boas práticas em segurança da informação além de sistema de governança e auditorias.
TRATAMENTO EM CONJUNTO COM OUTROS CONTROLADORES
Nos casos de tratamento em conjunto, o contrato com o outro controlador deve prever, no mínimo, disposições sobre: compartilhamento de dados pessoais com terceiros, adoção de medidas de segurança da informação, observância de normativas setoriais específicas, descrição e especificação dos limites de tratamentos de dados pessoais para cada controlador, responsabilidades de cada controlador, observância de direitos do titular, disposições para responsabilidades em incidentes de segurança e discorrer sobre eliminação de dados pessoais, quando aplicável.
REGISTROS DE TRATAMENTOS DE DADOS PESSOAIS
O CONAPRA deve manter um inventário com registro dos processos de tratamento de dados pessoais realizados por cada área que deve ser atualizado periodicamente pelo responsável designado.
Os registros deverão seguir uma metodologia de mapeamento de processos de que constem, no mínimo, as seguintes informações: maneira como os dados são coletados, finalidade específica do tratamento, partes que possuem acesso aos dados pessoais no tratamento, sistemas que são utilizados para o tratamento, dados pessoais que são utilizados, base legal que justifica o tratamento, avaliação de risco e prazo previsto para eliminação.
DIREITOS DOS TITULARES DE DADOS PESSOAIS
O CONAPRA realiza tratamento de dados pessoais de práticos e sempre preza pela máxima segurança e privacidade nos processos de tratamentos de dados pessoais. Tendo em vista os tipos de tratamentos de dados pessoais que são realizados, a eficiência na observância de direitos dos titulares também é chave para manter a relação entre o Conselho e os titulares dos dados.
As seguintes medidas serão sempre adotadas perante os titulares de dados pessoais.
SISTEMA DE TRANSPARÊNCIA
A LGPD demanda que algumas informações sejam concedidas aos titulares antes da coleta de dados pessoais conforme art. 9º e após a coleta dos dados o titular pode requerer fazer uso de algum direito previsto no art. 18.
No caso de direitos previstos no art.18, o CONAPRA deverá estar atento que o titular pode requerer a resposta de forma simplificada ou completa, em formato físico ou digital, conforme art. 19, incisos I e II e §2°, incisos I e II.
O titular ainda pode requerer a revisão de decisões tomadas unicamente com base em sistemas automatizados, de acordo com o art. 20.
AVISO DE PRIVACIDADE
Um “Aviso de Privacidade” será disponibilizado no site do CONAPRA para garantir transparência constante ao titular sobre os tratamentos de dados pessoais que a instituição realiza.
O Aviso deve conter, no mínimo: finalidade específica dos tratamentos, forma e duração dos tratamentos, identificação do Controlador, informações de contato do Controlador, informação acerca do uso compartilhado/transferências de dados pessoais com a respectiva finalidade, responsabilidade de cada agente de tratamento (se existente), direitos do titular.
Além do Aviso de Privacidade, o titular de dados pessoais ainda pode desejar fazer uso de algum dos direitos previstos no art. 18, hipótese em que o pedido será encaminhado para o setor de Tecnologia ou para o Encarregado (se existente), que irá responder em até 5 dias úteis ou informar o titular sobre a impossibilidade de cumprimento do requerimento, com a devida justificação.
Toda resposta de requerimento de direito do titular deverá ser realizada preferencialmente na maneira como o titular elaborou o requerimento (físico/digital), podendo ser enviado por e‑mail conforme conveniência do titular.
REVOGAÇÃO DE CONSENTIMENTO
Em tratamentos de dados pessoais com base no consentimento (seja por escolha do CONAPRA, seja por imposição de obrigação legal/regulatória), o titular poderá revogar o consentimento para a continuidade do tratamento dos respectivos dados pessoais.
O pedido de revogação do consentimento será enviado para o Setor de Tecnologia ou para o Encarregado (se existente), que deverá comunicar o setor responsável para que cesse a utilização dos dados pessoais, devendo-se eliminar os dados pessoais se não existir fator impeditivo (exemplo: obrigação regulatória de manter registro).
MODIFICAÇÕES NOS DADOS PESSOAIS EM TRATAMENTOS COM TERCEIROS
Nos casos em que o titular revogar o consentimento, desejar a anonimização/eliminação dos dados pessoais que foram compartilhados com operadores ou outros controladores, o CONAPRA irá contatar o terceiro informando do pedido do titular para que as devidas providências sejam tomadas.
Todas as comunicações com os terceiros deverão ser registradas com, no mínimo: natureza do pedido, data/hora do pedido e da comunicação, a fim de resguardar o CONAPRA em caso de não observância pelo terceiro.
FORNECIMENTO DE CÓPIAS DOS DADOS PESSOAIS
O titular de dados pessoais pode requerer cópia dos seus dados pessoais, principalmente em casos de portabilidade, motivo pelo qual o CONAPRA sempre manterá os dados pessoais armazenados em formatos que permitam o envio para o titular ou para o controlador que o titular indicar.
Nos casos em que os dados pessoais foram eliminados/anonimizados, o CONAPRA irá informar o titular com as devidas justificativas (exemplo: limitação de tempo de armazenamento).
SISTEMA DE REQUERIMENTOS DOS TITULARES
Os titulares de dados pessoais poderão enviar requerimentos via website do CONAPRA em campo indicado para a finalidade ou mediante os atendentes das unidades. Em ambos os casos os requerimentos serão encaminhados para a Informática ou para o Encarregado (se existente), que irá, juntamente com auxílio jurídico, se necessário, responder o titular ou dar as devidas justificativas em até 5 dias úteis.
PRIVACIDADEBYDEFAULTEBYDESIGN
O CONAPRA adota mecanismos de garantia que a privacidade seja padrão em todos seus processos de tratamentos de dados pessoais e esteja sempre presente na elaboração de novos processos. Isso se dá mediante observância de limitações de uso, transferências, tempo de armazenamento e eliminação através da adoção das medidas abaixo.
LIMITAÇÃO DE COLETA DE DADOS PESSOAIS
Todos os tratamentos de dados pessoais utilizam somente os dados pessoais extritamente necessários para atingir sua finalidade, sempre observando, quando aplicável, a imposição de coleta/armazenamento/transferência de dados pessoais por legislações ou regulações setoriais específicas.
LIMITAÇÃO DE TRATAMENTO
O CONAPRA só utiliza os dados pessoais para atingir a finalidade específica de cada tratamento, previamente identificada, além de garantir que somente os setores que realizam o respectivo tratamento tenham acesso.
As transferências para terceiros só são realizadas conforme a atividade de tratamento e imposições legais, com a prévia identificação da justificativa para transferência.
ELIMINAÇÃO
Todos os registros de tratamentos de dados pessoais devem identificar o tempo de armazenamento dos dados pessoais, que deverão ser eliminados após o lapso temporal.
Quando os dados pessoais estão armazenados em formato físico a eliminação será responsabilidade de cada área, que irá realizar a eliminação conforme processo específico e garantindo o registro das eliminações.
Qando os dados pessoais estão armazenados em formato eletrônico a eliminação será responsabilidade do Setor de Informatica, que irá realizar a eliminação e registrar o evento para controle futuro.
A exceção para a determinação de eliminação está no processo identificado como “Registro Histórico”, onde o CONAPRA armazena dados pessoais com a finalidade específica de registrar o histórico da praticagem no Brasil e não realiza eliminações. No processo em questão é considerada imperativa transparência máxima para os dados que são tratados e possibilidade de os titulares realizarem requerimentos com base no art. 18 da LGPD.