Adequação LGPD

A FEPWeb, diante da edição da Lei no 13.709/2018 (Lei Geral de Proteção de Dados – “LGPD”), investiu na construção do seu Programa de Proteção de Dados Pessoais, antevendo o possível impacto que a referida legislação traria não somente aos negócios, como também às atividades dos clientes.

Para conduzir tais esforços, foi estruturado um Grupo de Trabalho de LGPD, que, com o auxílio de consultorias especializadas em privacidade e segurança, aprofundou o entendimento interno sobre o tema da proteção de dados pessoais, à luz das particularidades das linhas de negócio conduzidas pela FEPWeb.

Com base no entendimento do Grupo de Trabalho, resultado da interpretação da LGPD realizada a partir do Regulamento Europeu e das decisões do Comitê Europeu para a Proteção de Dados, foram tomadas decisões estratégicas e identificadas ações para adequação de processos, produtos e serviços disponibilizados pela FEPWeb no mercado.

Entre Eles:

No âmbito cultural e de capacitação

• Treinamentos para apresentação da LGPD, contexto e objetivos, inclusive com a participação de profissionais do campo da proteção de dados;
• Treinamentos específicos sobre Segurança da Informação;
• Elaboração de FAQs, cartilhas e demais materiais educativos e orientativos.

No âmbito da tecnologia (produtos e serviços)

• Avaliação dos produtos e serviços para identificação de possíveis pontos de adequação;
• Evolução dos softwares, a partir dos parâmetros definidos pelo Grupo de Trabalho;
• Realização de mapeamento específico para a Unidade de Serviços, com o endereçamento individualizado dos riscos identificados;
• Adoção de ações voltadas ao “Privacy by Design” e “Privacy by Default” em relação a processos e produtos.

No âmbito da segurança da informação

• Utilização do protocolo HTTPS para criptografia de dados em trânsito;
• Adoção de controles de DLP (Data Loss Prevention) nos serviços de caixa de e-mail corporativo e aplicativos de mensageria instantânea;
• Implementação de selos de classificação de informações e de controles sistêmicos correspondentes para o adequado tratamento destas;
• Uso de ferramentas de EDR (Enterprise Detection e Response) no ambiente;
• SOC (Security Operation Center) em modelo 24×7;
• Elaboração e assinatura de termos de responsabilidade e de acesso a ambientes de clientes, para reforço das obrigações de confidencialidade;
• Processo de gestão de vulnerabilidades;
• PenTests regulares com consultorias externas;
• Análises de riscos de segurança com consultorias independentes;
• Envolvimento do Conselho de Administração e Diretoria;
• Processos e políticas de segurança robustos, de acordo com as normas de mercado;
• Adoção de modelo de segurança em camadas, com implementação de controles técnicos e processuais para reduzir o risco de ataques e de sua propagação no ambiente.

No âmbito de estrutura e processos internos

• Criação do Grupo de Trabalho da LGPD, órgão deliberativo e com competência decisória sobre o assunto;
• Nomeação do Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer – DPO);
• Criação de pontos de governança em cada uma das linhas de negócio da FEPWeb;
• Elaboração de políticas e demais normativos internos, voltados à conformidade dos processos e atividades da FEPWeb;
• Estruturação do procedimento de atendimento a requisições de titulares de dados pessoais;
• Aperfeiçoamento do fluxo interno para o atendimento de due diligences e auditorias;
• Estruturação da coordenação de Governança, Riscos e Compliance, que dará suporte e assistência direcionados ao DPO.

No âmbito jurídico-contratual

• Elaboração de documentos para a disciplina contratual da proteção de dados pessoais, contendo normatização específica e adequada ao tipo e complexidade do serviço prestado pela FEPWeb;
• Elaboração de aditivos aos contratos de trabalho de todos os colaboradores, bem como aos contratos dos prestadores de serviços e fornecedores.

No âmbito cultural e de capacitação

• Treinamentos para apresentação da LGPD, contexto e objetivos, inclusive com a participação de profissionais do campo da proteção de dados;
• Treinamentos específicos sobre Segurança da Informação;
• Elaboração de FAQs, cartilhas e demais materiais educativos e orientativos.

No âmbito da tecnologia (produtos e serviços)

• Avaliação dos produtos e serviços para identificação de possíveis pontos de adequação;
• Evolução dos softwares, a partir dos parâmetros definidos pelo Grupo de Trabalho;
• Realização de mapeamento específico para a Unidade de Serviços, com o endereçamento individualizado dos riscos identificados;
• Adoção de ações voltadas ao “Privacy by Design” e “Privacy by Default” em relação a processos e produtos.

No âmbito da segurança da informação

• Utilização do protocolo HTTPS para criptografia de dados em trânsito;
• Adoção de controles de DLP (Data Loss Prevention) nos serviços de caixa de e-mail corporativo e aplicativos de mensageria instantânea;
• Implementação de selos de classificação de informações e de controles sistêmicos correspondentes para o adequado tratamento destas;
• Uso de ferramentas de EDR (Enterprise Detection e Response) no ambiente;
• SOC (Security Operation Center) em modelo 24×7;
• Elaboração e assinatura de termos de responsabilidade e de acesso a ambientes de clientes, para reforço das obrigações de confidencialidade;
• Processo de gestão de vulnerabilidades;
• PenTests regulares com consultorias externas;
• Análises de riscos de segurança com consultorias independentes;
• Envolvimento do Conselho de Administração e Diretoria;
• Processos e políticas de segurança robustos, de acordo com as normas de mercado;
• Adoção de modelo de segurança em camadas, com implementação de controles técnicos e processuais para reduzir o risco de ataques e de sua propagação no ambiente.

No âmbito de estrutura e processos internos

• Criação do Grupo de Trabalho da LGPD, órgão deliberativo e com competência decisória sobre o assunto;
• Nomeação do Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer – DPO);
• Criação de pontos de governança em cada uma das linhas de negócio da FEPWeb;
• Elaboração de políticas e demais normativos internos, voltados à conformidade dos processos e atividades da FEPWeb;
• Estruturação do procedimento de atendimento a requisições de titulares de dados pessoais;
• Aperfeiçoamento do fluxo interno para o atendimento de due diligences e auditorias;
• Estruturação da coordenação de Governança, Riscos e Compliance, que dará suporte e assistência direcionados ao DPO.

No âmbito jurídico-contratual

• Elaboração de documentos para a disciplina contratual da proteção de dados pessoais, contendo normatização específica e adequada ao tipo e complexidade do serviço prestado pela FEPWeb;
• Elaboração de aditivos aos contratos de trabalho de todos os colaboradores, bem como aos contratos dos prestadores de serviços e fornecedores.

Também como resultado dos esforços do Grupo de Trabalho de LGPD, foram estabelecidas algumas premissas, dentre as quais se destacam:

Os clientes FEPWeb são Controladores dos dados pessoais que imputem nos softwares licenciados ou que forneçam à FEPWeb para fins de suporte aos produtos/sistemas.

Nos casos em que o software seja licenciado na modalidade SaaS/Cloud, a FEPWeb figurará como Operadora de dados, assumindo a mesma posição na hipótese de prestação de serviços (outsourcing ou serviços gerenciados), quando, para tanto, houver necessidade de acesso a dados pessoais de seus clientes.

Nos casos em que o software seja licenciado na modalidade On Premises, a FEPWeb, em princípio, não terá acesso a dados pessoais e, portanto, não figurará como agente de tratamento de dados em relação ao cliente. Nas situações em que, para a sustentação do produto licenciado, seja necessário o acesso a dados pessoais, a FEPWeb assumirá a condição de Operadora de dados.

Nos casos em que haja tratamento de dados pessoais pela FEPWeb, os seus deveres estarão delimitados à figura de Operador, conforme determinação legal, e condicionados às limitações técnicas existentes;

A FEPWeb está atenta à movimentação do cenário normativo brasileiro, acompanhando de perto as exigências do mercado em que está inserida. Eventuais inovações ou alterações legislativas serão apreciadas pelo Grupo de Trabalho, podendo alterar o entendimento até então adotado e resultar em modificações estruturais (ambiente, aplicações e soluções) em prol da manutenção do nível de aderência às exigências legislativas, com a consequente revisão de seus processos.

Fale Conosco

Em caso de dúvidas ou sugestões sobre o assunto, entre em contato com a FEPWeb através do seu Encarregado (DPO), pelos canais abaixo:

Nome: Adriana Burgos
Endereço de e-mail: dpo@fepweb.com.br

Fale Conosco

Em caso de dúvidas ou sugestões sobre o assunto, entre em contato com a FEPWeb através do seu Encarregado (DPO), pelos canais abaixo:

Nome: Adriana Burgos
Endereço de e-mail:dpo@fepweb.com.br