Saiba como a Forluz está tratando os seus dados pessoais
Importância do Cadastro
Para entidades como a Forluz, dados pessoais de seus participantes são informações essenciais para o exercício de suas atividades e cumprimento de seu objetivo de assegurar os benefícios previstos nos regulamentos dos planos previdenciários aos participantes e beneficiários.
O cadastro é, portanto, a base de dados mais valiosa e impactante da Fundação, compreendendo informações de participantes, beneficiários e seus respectivos dependentes, assim como, em volume menos expressivo, de outras pessoas naturais com quem a Entidade se relaciona.
Tratar todos esses dados, com segurança e sob sigilo, sempre foi uma preocupação da Forluz e, com a Lei Geral de Proteção de Dados - LGPD (
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm), os cuidados passaram a ser reforçados. Descubra o que já foi feito e as iniciativas que serão implementadas para garantir a proteção deste Cadastro.
Mapeamento do tráfego dos dados
Durante quatro meses, representantes de todas as áreas da Forluz estiveram envolvidos no trabalho de mapear o tráfego de todos os dados pessoais e dados pessoais sensíveis tratadas em suas respectivas áreas. Ao final deste período, chegamos a um número de 332 atividades mapeadas das mais diversas naturezas.
Esta etapa foi fundamental para assegurar a implantação dos mecanismos de proteção dos dados exigidos pela Lei. Afinal, era necessário identificar o que já era praticado e onde havia necessidade de ajuste. O resultado do levantamento foi avaliado por empresa externa de advocacia, especializada no segmento, que validou o trabalho desenvolvido pela equipe interna.
Como era de se esperar, mais da metade das tarefas envolvendo tratamento de dados na Forluz, diz respeito à hipótese prevista no inciso V do artigo 7º da LGPD, in verbis: “V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados”. Ou seja: grande parte das atividades são essenciais para o cumprimento do contrato previdenciário estabelecido entre a Entidade e seus participantes. Já o cumprimento de obrigação legal ou regulatória, hipótese prevista no inciso II do artigo 7º da LGPD, fundamenta quase 1/4 das tarefas envolvendo tratamento de dados pessoais na Fundação, seguida: (i) legítimo interesse, hipótese prevista no inciso IX; (ii) de exercício regular de direitos em processo judicial, hipótese prevista no inciso VI; e de proteção do crédito, hipótese prevista no inciso X.
Vale destacar que não foi identificada a necessidade de consentimento formal do titular de dados pessoais nas tarefas executadas pela Forluz envolvendo dados pessoais.
Segurança da Informação
Os arquivos com os dados pessoais são armazenados em ambiente com acesso restrito aos colaboradores responsáveis pela tarefa, conforme solicitação do setor.
As informações da Forluz são hospedadas em empresa especializada em MSP (Managed Service Provider) – com certificação TIER III – e com os seguintes principais protocolos de segurança para garantia do sigilo e da segurança dos dados pessoais em questão: segurança Endpoint, Firewall gerenciado, backup estruturado, controle de acesso de funcionários a ferramentas de backup e área de armazenamento de servidores, ferramentas IPS (prevenção de intrusão), ferramentas IDS (detecção de intrusão), isolamento de redes por VLAN e Centro de Operações de Segurança (SOC).
Mesmo já possuindo todos estes dispositivos de proteção, a Fundação tomou uma série de medidas com o intuito de cumprir os dispositivos da LGPD e garantir os direitos dos titulares dos dados pessoais por ela tratados, abordadas no tópico a seguir.
Ações realizadas
Primeiramente, vale destacar alguns fatores positivos relacionados com a Governança de entidades fechadas de previdência complementar e, mais especificamente com a Forluz, que criam um ambiente favorável à aderência dessas entidades aos requisitos da LGPD:
- obediência a dispositivos legais, de governança, controles internos, compliance e riscos;
- existência de órgão regulador e fiscalizador, com supervisão baseada em riscos;
- exigência de auditoria independente, conselho fiscal e comitê de auditoria;
- previsão de auditoria realizada pelas patrocinadoras;
- adoção de política de segurança de informação;
- adoção de plano de continuidade de negócios;
- matriz de riscos e controles internos; e
- certificação NBR ISO 31000:2018.
Ações próprias da Entidade para adequação à LGPD:
- Ações próprias da Entidade para adequação à LGPD:
- criação de Grupo de Trabalho específico para mapeamento;
- realização de mapeamento de dados pessoais;
- contratação de assessoria jurídica para avaliação dos dados mapeados;
- reportes periódicos à Alta Administração;
- elaboração e aprovação de Política de Tratamento de Dados Pessoais;
- alteração no Código de Conduta e Ética;
- ações de conscientização e treinamento das equipes; e
- levantamento de todos os riscos relacionados com a LGPD.
Equipe capacitada
Todos os dirigentes, empregados, estagiários e trabalhadores terceirizados foram capacitados com relação às disposições da LGPD e são constantemente submetidos a informações voltadas para a plena consciência do que fazer e de quais são as consequências dos tratamentos de dados pessoais que executam.
Normativos internos
A Política de Segurança da Informação da Forluz apresenta um capítulo específico relacionado com o Tratamento de Dados Pessoais, em conformidade com as exigências da LGPD.
O Relatório de Impacto à Proteção de Dados Pessoais da Forluz completa os três principais documentos normativos da entidade no que diz respeito à referida Lei.
Direitos dos Titulares
Vide artigo 18 da Lei Geral de Proteção de Dados - LGPD (http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm).
Dados do Controlador
Fundação Forluminas de Seguridade Social - FORLUZ, CNPJ nº 16.539.926/0001-90, com sede na Av. do Contorno, 6.500 – 3º andar, Belo Horizonte – MG - www.forluz.org.br e (31) 3215-6700.
Fale com o DPO
- Caso precise de informações sobre a LGPD, tenha sugestões ou críticas fale com o encarregado – Data Protection Officer – DPO através do e-mail dpo@forluz.org.br.
