POLÍTICA DE GOBIERNO DE DATOS PERSONALES

CNAGA, buscando reflejar el apoyo que su alta dirección concede a sus directrices de privacidad y protección de datos personales, creó la presente Política de Gobierno de Datos Personales (“POLÍTICA”), que se dará por los términos y condiciones consignados a continuación:

1. ¿Qué es gobierno de datos personales? 
Gobierno de datos personales es un conjunto de prácticas que tiene por finalidad optimizar la gestión de los flujos de datos personales que circulan en una determinada organización, con el objetivo de garantizar la privacidad y la protección de estos datos a través de la atribución de responsabilidades a una estructura organizativa, creada especialmente para mitigar los riesgos a las libertades civiles y proteger los derechos fundamentales de los respectivos titulares.
 
Para los fines de la legislación brasileña, dato personal es toda información relacionada a persona natural identificada o identificable. Ellos pueden ser directos, o sea, que pueden ser atribuidos a un titular específico sin el uso de información adicional (ej. nombre completo, Clave Fiscal, foto, biometría, ADN); o indirectos, que necesitan de información adicional para poder determinar al titular (ej. nombre incompleto, género, país de residencia, sistema operativo).
 
La ley define también los llamados datos personales sensibles, que son aquellos sobre origen racial o étnico, convicción religiosa, opinión política, filiación a sindicato o a organización de carácter religioso, filosófico o político, dato referente a la salud o a la vida sexual, entre otros. También para los fines de la legislación, controlador es la persona natural o jurídica a quien competen las decisiones referentes al tratamiento de datos personales; mientras operador es la persona natural o jurídica que realiza el tratamiento de datos personales en nombre del controlador
 
De acuerdo con el artículo 50 de la Ley General de Protección de Datos (“LGPD”), “los controladores y operadores, en el ámbito de sus competencias, por el tratamiento de datos personales, individualmente o por medio de asociaciones, podrán formular reglas de buenas prácticas y de gobierno que establezcan las condiciones de organización, el régimen de funcionamiento, los procedimientos, incluyendo reclamaciones y peticiones de titulares, las normas de seguridad, los estándares técnicos, las obligaciones específicas para los diversos involucrados en el tratamiento, las acciones educativas, los mecanismos internos de supervisión y de mitigación de riesgos y otros aspectos relacionados al tratamiento de datos personales.”

2. ¿Cómo CNAGA aplica el Gobierno de Datos en sus acciones? 
CNAGA practica el gobierno de datos diariamente en sus procesos y flujos, internos y externos. Para tanto, lista y organiza todos los datos personales existentes en la empresa, incluyendo todos los procesos y operaciones de tratamiento de estos datos. Ejerce el gobierno, además, a través de los siguientes procedimientos: 

  • Cultura y concientización: CNAGA fomenta la concientización de sus administradores, colaboradores, asociados y proveedores, con relación a las buenas prácticas de privacidad y protección de datos. Son incluso practicados conforme las mejores prácticas de mercado, programas de concientización y entrenamientos habituales referentes a este tema. 
  • Implementación de diversas Políticas de Privacidad y Protección de Datos Personales: CNAGA posee 5 (cinco) políticas aplicables a la Privacidad y Protección de Datos Personales, en consonancia con la LGPD, ellas son: 
    • La presente POLÍTICA, que abarca directrices sobre (i) las prácticas adoptadas para la gestión de datos personales en la organización; (ii) las políticas aplicables al tema; y (iii) la composición y atribuciones de la estructura de gobierno de datos personales de CNAGA, trayendo además información sobre el DPO, sobre su respectiva estructura de soporte y sobre el Comité de Privacidad y Protección de Datos Personales;
    • La Política General de Privacidad y Protección de Datos Personales, que abarca directrices sobre (i) la LGPD y sus principios básicos; (ii) los derechos de los titulares de datos personales y cómo ejercerlos; (iii) los tipos de datos personales que son tratados en CNAGA; y (iv) el proceso de gestión del consentimiento;
    • La Política de Cookies, que abarca directrices sobre (i) qué son cookies y cuáles son los tipos existentes y cuáles son sus respectivas funciones; (ii) cuáles tipos de cookies son utilizados en el websitio de CNAGA; y (iii) cómo hacer y cuáles son las consecuencias para el caso de deshabilitación de estos cookies;
    • La Política de Tratamiento de Incidentes, que abarca directrices sobre (i) los principios y conceptos referentes a la gestión de incidentes y fugas de datos personales; (ii) la cultura de prevención; y (iii) los procedimientos a ser tomados en el caso de incidentes y fugas de datos personales; y
    • La Política de Seguridad de la Información, que trata sobre cómo CNAGA debe proceder con relación a la gestión de la seguridad de la información que circula bajo su guarda y abarca directrices generales sobre (i) atribuciones y responsabilidades; (ii) penalidades; (iii) uso de recursos tecnológicos, Internet, e-mail corporativo y redes sociales; (iv) acceso físico; (v) descarte de multimedia; entre otros. 
  • Creación de estructura responsable del gobierno de datos: CNAGA desarrolló una estructura para hacer la gestión del gobierno de datos, incluyendo la indicación de un encargado de datos responsable del proceso (DPO), y la creación de un Comité de Privacidad, conforme es detallado en el ítem 3 de esta Política, transcrito a continuación. 
  • Incorporación de la privacidad a las operaciones: CNAGA utiliza el principio del “Privacy by Design” para todos sus nuevos proyectos y operaciones; así como el principio del “Privacy by Default” para todos sus procesos y operaciones en desarrollo o ya implementados.
3. Pilares del Gobierno de Datos:
La estructuración de gobierno de datos no puede prescindir del total apoyo de la Alta Dirección a las cuestiones relacionadas a este tema, así como de la representatividad del encargado de protección de datos (DPO), indicado por la empresa.
 
De este modo, se tiene como los dos principales pilares del gobierno de datos de CNAGA el total comprometimiento y apoyo de la Alta Dirección; además de la creación de una estructura responsable de la gestión de ese gobierno.
 
Así, la Alta Dirección de CNAGA, representada por sus socios-administradores, se manifiesta en este acto declarando su total comprometimiento y apoyo a los siguientes puntos fundamentales: 
  • Plan de gobierno de datos de la empresa y principios que lo guían;
  • Políticas de privacidad y protección de datos personales de la empresa;
  • Diversas legislaciones de protección de datos personales, especialmente la Ley 13.709/2018, también conocida como Ley General de Protección de Datos (LGPD), que es la ley brasileña responsable de la reglamentación del tratamiento de datos personales;
  • Supervisión y seguimiento de todas las acciones necesarias para el cumplimiento de la legislación y de las mejores prácticas en privacidad y protección de datos personales;
  • Fomento y práctica de acciones de comprometimiento, con el respectivo suministro de tiempo y dedicación para promover y mantener efectivo el proceso de conformidad a la legislación y a las mejores prácticas en privacidad y protección de datos personales; y
  • Práctica de acciones de soporte, con el respectivo suministro de estructura y recursos para promover y mantener efectivo el proceso de conformidad a la legislación y a las mejores prácticas en privacidad y protección de datos personales. 
Para tanto, fueron instituidos los siguientes recursos para componer la estructura de Gobierno de Datos de CNAGA: 
  • DPO o Encargado de Protección de Datos: El DPO responde por la organización y tiene el papel de coadunar áreas como TI, jurídico y desarrollo de negocios en torno de las políticas de privacidad y protección de datos. Es una función clave que exige habilidades multidisciplinarias, y que posee como responsabilidades: 
    • Hacer la gestión de los procesos de la organización para el cumplimiento de la LGPD;
    • Actuar como canal de comunicación entre la organización y los titulares de datos, aceptando reclamaciones y comunicaciones, prestando esclarecimientos y adoptando medidas;
    • Actuar como canal de comunicación entre la organización y la Autoridad Nacional de Protección de Datos (ANPD), prestando esclarecimientos y adoptando medidas;
    •  Orientar a los empleados y a los contratados de la organización al respecto de las prácticas a ser tomadas con relación a la privacidad y protección de datos personales;
    • Definir y revisar las normas que posean impacto directo en iniciativas de privacidad y protección de datos personales;
    • Responder tempestivamente, cuando sea accionado, en la identificación de riesgos de privacidad y protección de datos personales que puedan violar legislaciones o causar impactos sobre los derechos de los respectivos titulares;
    • Supervisar la implantación de las iniciativas que estén asociadas al cumplimiento de las demandas legales o legislaciones de privacidad;
    • Deliberar sobre acciones de remediación y documentar incidentes de seguridad que estén relacionados a datos personales; y
    • Fomentar la cultura de privacidad y protección de datos de la organización. 
    • El encargado de datos o DPO de CNAGA fue debidamente nombrado y está indicado formalmente en el websitio de la empresa, pudiendo ser contactado en cualquier momento, para cuestiones de privacidad y protección de datos personales, a través del e-mail dpo@cnaga.com.br.
  • Comité de Privacidad: Para ayudar a la organización en las decisiones sobre cuestiones de privacidad y protección de datos, así como ante la hipótesis de que ocurra un episodio de fuga de datos, CNAGA creó un comité de ética, compuesto por su Gerente Administrativo, por el Gerente Financiero y por el DPO, que serán accionadas en casos graves o que demanden la profundización de eventual investigación específica para este tema.