POLÍTICA DE GOVERNANÇA DE DADOS

A CNAGA, buscando refletir o apoio que a sua alta direção concede às suas diretrizes de privacidade e proteção de dados pessoais, criou a presente Política de Governança de Dados Pessoais (“POLÍTICA”), que se dará pelos termos e condições a seguir consignadas:

1. O que é governança de dados pessoais? 
Governança de dados pessoais é um conjunto de práticas que têm por finalidade otimizar a gestão dos fluxos de dados pessoais que circulam em uma determinada organização, com o objetivo de garantir a privacidade e a proteção desses dados através da atribuição de responsabilidades a uma estrutura organizacional, criada especialmente para mitigar os riscos às liberdades civis e proteger os direitos fundamentais dos respectivos titulares.
 
Para fins da legislação brasileira, dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável. Eles podem ser diretos, ou seja, que podem ser atribuídos a um titular específico sem o uso de informações adicionais (ex. nome completo, CPF, foto, biometria, DNA); ou indiretos, que precisam de informações adicionais para conseguir determinar o titular (ex. nome incompleto, gênero, país de residência, sistema operacional).
 
A lei define ainda os chamados dados pessoais sensíveis, que são aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, entre outros. Ainda para fins da legislação, controlador é a pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais; enquanto operador é a pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador
 
De acordo com o artigo 50 da Lei Geral de Proteção de Dados (“LGPD”), “os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.”

2. Como a CNAGA aplica a Governança de Dados em suas ações?
A CNAGA pratica a governança de dados diariamente em seus processos e fluxos, internos e externos. Para tanto, lista e organiza todos os dados pessoais existentes na empresa, incluindo todos os processos e operações de tratamento desses dados. Exercita a governança, ainda, através dos seguintes procedimentos:
 

  • Cultura e conscientização: A CNAGA fomenta a conscientização de seus administradores, colaboradores, parceiros e fornecedores, em relação às boas práticas de privacidade e proteção de dados. São inclusive praticados, conforme melhores práticas de mercado, programas de conscientização e treinamentos habituais referentes a esse tema. 
  • Implementação de diversas Políticas de Privacidade e Proteção de Dados Pessoais: A CNAGA possui 5 (cinco) políticas aplicáveis à Privacidade e Proteção de Dados Pessoais, em consonância com a LGPD, são elas: 
    • A presente POLÍTICA, que engloba diretrizes sobre (i) as práticas adotadas para gestão de dados pessoais na organização; (ii) as políticas aplicáveis ao tema; e (iii) a composição e atribuições da estrutura de governança de dados pessoais da CNAGA, trazendo ainda informações sobre o DPO, sobre a sua respectiva estrutura de suporte e sobre o Comitê de Privacidade e Proteção de Dados Pessoais;
    • A Política Geral de Privacidade e Proteção de Dados Pessoais, que engloba diretrizes sobre (i) a LGPD e seus princípios básicos; (ii) os direitos dos titulares de dados pessoais e como exercitá-los; (iii) os tipos de dados pessoais que são tratados na CNAGA; e (iv) o processo de gestão do consentimento;
    • A Política de Cookies, que engloba diretrizes sobre (i) o que são cookies e quais os tipos existentes e quais as suas respectivas funções; (ii) quais tipos de cookies são utilizados no website da CNAGA; e (iii) como fazer e quais as consequências para o caso de desabilitação desses cookies;
    • A Política de Tratamento de Incidentes, que engloba diretrizes sobre (i) os princípios e conceitos referentes à gestão de incidentes e vazamentos de dados pessoais; (ii) a cultura de prevenção; e (iii) os procedimentos a serem tomados no caso de incidentes e vazamentos de dados pessoais; e
    • A Política de Segurança da Informação, que versa sobre como a CNAGA deve proceder em relação à gestão da segurança das informações que circulam sob sua guarda e engloba diretrizes gerais sobre (i) atribuições e responsabilidades; (ii) penalidades; (iii) uso de recursos tecnológicos, internet, e-mail corporativo e redes sociais; (iv) acesso físico; (v) descarte de mídia; entre outros. 
  • Criação de estrutura responsável pela governança de dados: A CNAGA desenvolveu uma estrutura para fazer a gestão da governança de dados, incluindo a indicação de um encarregado de dados responsável pelo processo (DPO), e a criação de um Comitê de Privacidade, conforme detalhado, no item 3 desta Política, abaixo transcrito. 
  • Incorporação da privacidade às operações: A CNAGA utiliza o princípio do “Privacy by Design” para todos os seus novos projetos e operações; assim como o princípio do “Privacy by Default” para todos os seus processos e operações em desenvolvimento ou já implementados.
3. Pilares da Governança de Dados: 
A estruturação de governança de dados não pode prescindir do total apoio da Alta Direção às questões relacionadas a esse tema, bem como da representatividade do encarregado de proteção de dados (DPO), indicado pela empresa.
 
Deste modo, tem-se como os dois principais pilares da governança de dados da CNAGA o total comprometimento e apoio da Alta Direção; além da criação de uma estrutura responsável pela gestão dessa governança.
 
Assim, a Alta Direção da CNAGA, representada pelos seus sócios-administradores, manifesta-se neste ato declarando seu total comprometimento e apoio aos seguintes pontos fundamentais:
  • Plano de governança de dados da empresa e princípios que o norteiam;
  • Políticas de privacidade e proteção de dados pessoais da empresa;
  • Diversas legislações de proteção de dados pessoais, especialmente à Lei 13.709/2018, também conhecida como Lei Geral de Proteção de Dados (LGPD), que é a lei brasileira responsável pela regulamentação do tratamento de dados pessoais;
  • Supervisão e acompanhamento de todas as ações necessárias ao cumprimento da legislação e das melhores práticas em privacidade e proteção de dados pessoais;
  • Fomento e prática de ações de engajamento, com a respectiva disponibilização de tempo e dedicação para promover e manter efetivo o processo de conformidade à legislação e às melhores práticas em privacidade e proteção de dados pessoais; e
  • Prática de ações de suporte, com a respectiva disponibilização de estrutura e recursos para promover e manter efetivo o processo de conformidade à legislação e às melhores práticas em privacidade e proteção de dados pessoais.
Para tanto, foram instituídos os seguintes recursos para compor a estrutura de Governança de Dados da CNAGA:
  • DPO ou Encarregado de Proteção de Dados: O DPO responde pela organização e tem o papel de coadunar áreas como TI, jurídico e desenvolvimento de negócios em torno das políticas de privacidade e proteção de dados. É uma função que chave que exige habilidades multidisciplinares, e que possui como responsabilidades: 
    • Fazer a gestão dos processos da organização para atendimento à LGPD;
    • Atuar como canal de comunicação entre a organização e os titulares de dados, aceitando reclamações e comunicações, prestando esclarecimentos e adotando providências;
    • Atuar como canal de comunicação entre a organização e a Autoridade Nacional de Proteção de Dados (ANPD), prestando esclarecimentos e adotando providências;
    •  Orientar os funcionários e os contratados da organização a respeito das práticas a serem tomadas em relação à privacidade e proteção de dados pessoais;
    • Definir e revisar as normas que possuam impacto direto em iniciativas de privacidade e proteção de dados pessoais;
    • Responder tempestivamente, quando acionado, na identificação de riscos de privacidade e proteção de dados pessoais que possam violar legislações ou causar impactos sobre os direitos dos respectivos titulares;
    • Acompanhar a implantação das iniciativas que estejam associadas ao cumprimento das demandas legais ou legislações de privacidade;
    • Deliberar sobre ações de remediação e documentar incidentes de segurança que estejam relacionados a dados pessoais; e
    • Fomentar a cultura de privacidade e proteção de dados da organização. 
    • O encarregado de dados ou DPO da CNAGA foi devidamente nomeado e está indicado formalmente no website da empresa, podendo ser contatado a qualquer momento, para questões de privacidade e proteção de dados pessoais, através do e-mail dpo@cnaga.com.br.
  • Comitê de Privacidade: Para ajudar a organização nas decisões sobre questões de privacidade e proteção de dados, bem como na hipótese de ocorrer um episódio de vazamento de dados, a CNAGA criou um comitê de ética, composto por seu Gerente Administrativo, pelo Gerente Financeiro e pelo DPO, que serão acionadas em casos graves ou que demandem o aprofundamento de eventual investigação específica para esse tema.