Multicompliance | Abraecorp

Política de governança de dados

Home
Política de governança de dados

Política de governança de dados

Entenda mais sobre o assunto

A MultiCompliance, buscando refletir o apoio que a sua alta direção concede às suas diretrizes de privacidade e proteção de dados pessoais, criou a presente Política de Governança de Dados Pessoais, que se dará pelos termos e condições a seguir consignadas:

O que é governança de dados pessoais?

Governança de dados pessoais é um conjunto de práticas que têm por finalidade otimizar a gestão dos fluxos de dados pessoais que circulam em uma determinada organização, com o objetivo de garantir a privacidade e a proteção desses dados através da atribuição de responsabilidades a uma estrutura organizacional, criada especialmente para mitigar os riscos às liberdades civis e proteger os direitos fundamentais dos respectivos titulares.

Para fins da legislação brasileira, dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável. Eles podem ser diretos, ou seja, que podem ser atribuídos a um titular específico sem o uso de informações adicionais (ex. nome completo, CPF, foto, biometria, DNA); ou indiretos, que precisam de informações adicionais para conseguir determinar o titular (ex. nome incompleto, gênero, país de residência, sistema operacional). A lei define ainda os chamados dados pessoais sensíveis, que são aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, entre outros. Ainda para fins da legislação, controlador é a pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais; enquanto operador é a pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador

De acordo com o artigo 50 da Lei Geral de Proteção de Dados (“LGPD”), “os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.”

Como a MultiCompliance aplica a Governança de Dados em suas ações?

A MultiCompliance pratica a governança de dados diariamente em seus processos e fluxos, internos e externos. Para tanto, lista e organiza todos os dados pessoais existentes na empresa, incluindo todos os processos e operações de tratamento desses dados. Exercita a governança, ainda, através dos seguintes procedimentos:

a. Cultura e conscientização: A MultiCompliance fomenta a conscientização de seus administradores, colaboradores, parceiros e fornecedores, em relação às boas práticas de privacidade e proteção de dados. São inclusive praticados, conforme melhores práticas de mercado, programas de conscientização e treinamentos habituais referentes a esse tema.

b. Implementação de diversas Políticas de Privacidade e Proteção de Dados Pessoais: A MultiCompliance possui 4 (quatro) políticas aplicáveis à Privacidade e Proteção de Dados Pessoais, em consonância com a LGPD, são elas:

A presente Política de Governança de Dados Pessoais, que engloba diretrizes sobre (i) as práticas adotadas para gestão de dados pessoais na organização; (ii) as políticas aplicáveis ao tema; e (iii) a composição e atribuições da estrutura de governança de dados pessoais da MultiCompliance, trazendo ainda informações sobre o DPO, sobre a sua respectiva estrutura de suporte e sobre o Comitê de Privacidade e Proteção de Dados Pessoais;
A Política Geral de Privacidade e Proteção de Dados Pessoais, que engloba diretrizes sobre (i) a LGPD e seus princípios básicos; (ii) os direitos dos titulares de dados pessoais e como exercitá-los; (iii) os tipos de dados pessoais que são tratados na MultiCompliance; e (iv) o processo de gestão do consentimento;
A Política de Cookies, que engloba diretrizes sobre (i) o que são cookies e quais os tipos existentes e quais as suas respectivas funções; (ii) quais tipos de cookies são utilizados pela MultiCompliance; e (iii) como fazer e quais as consequências para o caso de desabilitação desses cookies;
A Política de Tratamento de Incidentes, que engloba diretrizes sobre (i) os princípios e conceitos referentes à gestão de incidentes e vazamentos de dados pessoais; (ii) a cultura de prevenção; e (iii) os procedimentos a serem tomados no caso de incidentes e vazamentos de dados pessoais.

c. Criação de estrutura responsável pela governança de dados: A MultiCompliance desenvolveu uma estrutura para fazer a gestão da governança de dados, incluindo a indicação de um encarregado de dados responsável pelo processo (DPO), e a criação de um Comitê de Privacidade, conforme detalhado, no item 3 desta Política, abaixo transcrito.

d. Segurança da Informação: A MultiCompliance desenvolveu um sistema de segurança da informação alinhado às diretrizes de privacidade e proteção de dados.

e. Incorporação da privacidade às operações: A MultiCompliance utiliza o princípio do “Privacy by Design” para todos os seus novos projetos e operações; assim como o princípio do “Privacy by Default” para todos os seus processos e operações em desenvolvimento ou já implementados.

Pilares da Governança de Dados:

A estruturação de governança de dados não pode prescindir do total apoio da alta direção às questões relacionadas a esse tema, bem como da representatividade do encarregado de proteção de dados (DPO), indicado pela empresa. Deste modo, tem-se como os dois principais pilares da governança de dados da MultiCompliance o total comprometimento e apoio da alta direção; além da criação de uma estrutura responsável pela gestão dessa governança.

Assim, a alta direção da MultiCompliance, representada pelos seus sócios-administradores, manifesta-se neste ato declarando seu total comprometimento e apoio:

Ao plano de governança de dados da empresa e com aos princípios que o norteiam;
Às políticas de privacidade e proteção de dados pessoais da empresa;
Às diversas legislações de proteção de dados pessoais, especialmente à Lei 13.709/2018, também conhecida como Lei Geral de Proteção de Dados (LGPD), que é a lei brasileira responsável pela regulamentação do tratamento de dados pessoais;
À supervisão e acompanhamento de todas as ações necessárias ao cumprimento da legislação e das melhores práticas em privacidade e proteção de dados pessoais;
À prática de ações de engajamento, com a respectiva disponibilização de tempo e dedicação para promover e manter efetivo o processo de conformidade à legislação e às melhores práticas em privacidade e proteção de dados pessoais;
À prática de ações de suporte, com a respectiva disponibilização de estrutura e recursos para promover e manter efetivo o processo de conformidade à legislação e às melhores práticas em privacidade e proteção de dados pessoais.

Para tanto, são instituídos os seguintes recursos para compor nossa estrutura de Governança de Dados:

a. DPO ou Encarregado de Proteção de Dados: O DPO responde pela organização e tem o papel de coadunar áreas como TI, jurídico e desenvolvimento de negócios em torno das políticas de privacidade e proteção de dados. É uma função que chave que exige habilidades multidisciplinares, e que possui como responsabilidades:

Fazer a gestão dos processos da organização para atendimento à LGPD;

Atuar como canal de comunicação entre a organização e os titulares de dados, aceitando reclamações e comunicações, prestando esclarecimentos e adotando providências;

Atuar como canal de comunicação entre a organização e a Autoridade Nacional de Proteção de Dados (ANPD), prestando esclarecimentos e adotando providências;

Orientar os funcionários e os contratados da organização a respeito das práticas a serem tomadas em relação à privacidade e proteção de dados pessoais;

Definir e revisar as normas que possuam impacto direto em iniciativas de privacidade e proteção de dados pessoais;

Responder tempestivamente, quando acionado, na identificação de riscos de privacidade e proteção de dados pessoais que possam violar legislações ou causar impactos sobre os direitos dos respectivos titulares;

Acompanhar a implantação das iniciativas que estejam associadas ao cumprimento das demandas legais ou legislações de privacidade;

Deliberar sobre ações de remediação e documentar incidentes de segurança que estejam relacionados a dados pessoais;

Fomentar a cultura de privacidade e proteção de dados da organização.

O encarregado de dados ou DPO da MultiCompliance poderá ser contatado a qualquer momento, para questões de privacidade e proteção de dados pessoais, através do e-mail dpo@multicompliance.com.br.

b. Comitê de Privacidade: Para ajudar a organização nas decisões sobre questões de privacidade e proteção de dados, bem como na hipótese de ocorrer um episódio de vazamento de dados, a MultiCompliance criou um comitê de ética, composto por seus sócios-administradores e pelo DPO, que serão acionadas em casos graves ou que demandem o aprofundamento de eventual investigação específica para esse tema.