No próximo dia 1 de julho, o Programa de governança em privacidade da Agência Nacional de Telecomunicações (Anatel) entrará em vigor. O programa é baseado na resolução interna aprovada por unanimidade pelo Conselho Diretor da organização, do qual é responsável por determinar as diretrizes da iniciativa, que tem por objetivo adequar a autarquia à Lei Geral de Proteção de Dados (LGPD).
Resolução Interna da Anatel (nº 25/21): Governança em Privacidade e Proteção de Dados
A Resolução Interna (nº 25/21) traz consigo a Governança em Privacidade e Proteção de Dados embasada na estrutura de gestão de incidentes, na Comissão de Tecnologia da Informação e Comunicação, na Comissão de Gestão de Dados, no Comitê de Gestão de Riscos e no encarregado. Dessa forma, a Política de Proteção de Dados Pessoais da Anatel também entrará em vigor a partir de 01 de julho.
Além disso, três superintendências terão responsabilidades diferentes com relação ao programa:
Superintendência de Gestão Interna da Informação (SGI)
Superintendência que irá atender aos pedidos dos titulares dos dados para descarte, após o tratamento desses dados pela agência. Outra atribuição importante está na responsabilização pela anonimização, propondo normas de controle de acesso a dados pessoais nos sistemas da Anatel, a fim de definir os mecanismos de auditoria do fluxo dos dados internamente e os mecanismos de segurança da informação e proteção de dados.
Superintendência de Relações com Consumidores (SRC)
Superintendência que poderá solicitar adaptações à SGI para comportar os requerimentos dos titulares dos dados e apoiar o encarregado nas atividades de receber, realizar a triagem e responder consultas e reclamações dos titulares de dados. Diante disso, verifica-se que todas as superintendências que tratarem algum dado pessoal deverão elaborar um Relatório de Impacto à Proteção de Dados, como exigido pela LGPD. Depois de tratados os dados, deverão solicitar seu descarte à SGI, nos casos em que não tenha relação com o propósito identificado e declarado do material coletado.
Superintendência de Administração e Finanças (SAF)
Superintendência que será responsável por rever procedimentos de tratamento de dados pessoais de servidores, colaboradores e fornecedores da agência, sempre com apoio do encarregado da agência.
Já a Comissão de Gestão de Dados terá como objetivo realizar o mapeamento de dados dentro da agência e manter o inventário de dados atualizado. O Comitê de Gestão de Riscos vai dizer se alguma operação de dados pessoais dentro da agência pode ferir os direitos dos titulares. Já a ETIR (Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais) será responsável por emitir os alertas em caso de identificação de vazamentos.Também terá de elaborar um Plano de Resposta à Violação de Dados e desenvolver um processo de gerenciamento de violações para permitir a notificação dentro de 72 horas.
Como será realizado o tratamento de dados de acordo com a Política de Proteção de Dados da Anatel?
Toda a Política de Proteção de Dados da agência foi concretizada a partir da Resolução Interna nº 24/21, a qual determina que o tratamento de dados coletados visa:
O cumprimento de obrigação legal ou regulatória e para a execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.
Resolução Interna nº 24/21 ANATEL
O tratamento de dados será feito nas seguinte formas:
I – processamento de pagamentos dos tributos recolhidos pela Agência;
II – processamento dos requerimentos de obtenção e renovação de outorga dos serviços de telecomunicações e de uso de radiofrequência;
III – processamento das solicitações dos consumidores dos serviços de telecomunicações;
IV – processamento das solicitações de homologação de produtos de telecomunicações;
V – processamento de requerimentos de informação para fiscalização da prestação dos serviços de telecomunicações;
VI – recebimento e processamento de comentários e sugestões às Consultas Públicas e demais instrumentos de participação social;
VII – processamento de dados relativos às empresas fornecedoras de bens e serviços; e,
VIII – processamento de solicitações feitas à Agência pelo usuário.
É importante ressaltar que, segundo a Resolução Interna nº 24/21, os dados anonimizados não serão considerados pessoais, exceto nos casos em que a anonimização possa ser revertida. Além disso, as demandas do titular serão atendidas no prazo de 15 (quinze) dias, resguardados casos específicos expressos em normativos.
Como implementar um programa de governança em privacidade e proteção de dados na sua empresa?
Um programa bem estruturado de governança em privacidade consiste na consolidação dos requisitos de privacidade e segurança, tomando por base a LGPD (Lei 13.709), com o intuito de ditar e influenciar como os dados pessoais são manuseados durante o seu ciclo de vida na organização.
Para realizar a implementação de um programa de governança, é necessário uma “iniciação e planejamento” para que, primeiro, haja a compreensão das informações que serão utilizadas no programa. Posteriormente, deve-se construir e executar marcos que visem a proteção dos direitos do cidadão relacionados à privacidade da informação.
Por fim, outro segmento que faz parte do arcabouço do programa está relacionado com o monitoramento, ou seja, com o desenvolvimento de práticas que alinhem as atividades desenvolvidas pela empresa com os requisitos legais que estão dispostos na Lei Geral de Proteção de Dados.
Como estruturar um Programa de Governança em Privacidade e Proteção de Dados?
Confira a Resolução 25/21 da Anatel que estabelece o programa de governança em privacidade e proteção de dados da agência
Confira a Resolução 25/21 da Anatel na íntegra no link.
Fonte: Tele Síntese