APRESENTAÇÃO

 

A LGPD - Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) veio para dar mais privacidade, proteção e participação no tratamento de dados pessoais, garantindo aos titulares que seus dados sejam utilizados de forma transparente e segura. Ela foi publicada em agosto de 2018, entrando em vigor em setembro de 2020. As sanções administrativas impostas passaram a valer somente a partir de agosto de 2021.

Essa Lei veio também para mudar a forma como as empresas deverão cuidar dos dados pessoais coletados nas suas atividades, trazendo obrigações para si e direitos para o titular dos dados.

Este Programa de Governança em Privacidade - PGP estabelece as diretrizes para adequação da Terracap quanto ao disposto na Lei Geral de Proteção de Dados Pessoais (LGPD) e demais regulamentos de privacidade e proteção de dados pessoais.

O Programa de Governança em Privacidade - PGP é dinâmico e as ações contempladas necessitam de atualizações permanentes, devendo ser revisto e atualizado sempre que necessário para adequar- se às determinações da Terracap, da Autoridade Nacional de Proteção de Dados (ANPD) e dos órgãos de controle interno e externo, bem como para melhor esclarecer algum trecho específico, ou diante de eventuais atualizações legislativas ou de novos entendimentos sobre a matéria.

 

CAPÍTULO I

DAS DIRETRIZES DO PROGRAMA

 

 Art. 1º O Programa de Governança em Privacidade da Agência de Desenvolvimento do Distrito Federal – Terracap define diretrizes para a gestão da segurança do tratamento dos dados pessoais, nos meios físicos e digitais, em tratamentos manuais ou automatizados, com o propósito de proteger a privacidade de todos os titulares de dados pessoais tratados pela empresa, disciplinando as políticas e as boas práticas sobre privacidade e proteção de dados pessoais, alinhando-se ao Programa de Governança Corporativa da Terracap e terá os seguintes objetivos:

1. - demonstrar o comprometimento da Terracap em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais, assim como todas as ações de conformidade;
2. - orientar que seja aplicável a todo o conjunto de dados pessoais que sejam tratados sob seu controle, independentemente do modo como se realizou sua coleta;
3. - determinar que seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
4. - estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
5. - estabelecer relação de confiança com o titular de dados, por meio de atuação transparente e que assegure mecanismos de participação do titular;
6. - estar integrado à estrutura geral de governança, além de estabelecer e aplicar mecanismos de supervisão internos e externos;
7. - estabelecer o plano de resposta a incidentes de segurança em privacidade e remediação;
8. - estabelecer mecanismos de atualização permanente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

Art. 2º O posicionamento da Agência de Desenvolvimento do Distrito Federal – Terracap, acerca da privacidade e da proteção dos dados pessoais, é pautado na relação de confiança com os titulares dos dados pessoais por meio de uma atuação transparente e no fiel cumprimento aos princípios determinados pela Lei Geral de Proteção de Dados.

Art. 3º A Terracap é considerada Controladora, nos termos do art. 4º do Decreto Distrital nº 42.036, de 27 de abril de 2021.

Art. 4º O Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.

Art. 5º O Registro das Operações de Atividade de Tratamento de Dados Pessoais e Inventário de Dados Pessoais deve ser orientado por processos e serviços, tendo como base os valores da Agência de Desenvolvimento do Distrito Federal – Terracap e como referência os princípios e orientações da LGPD.

Art. 6º A Terracap criará o Comitê de Proteção em Privacidade de Dados Pessoais – CPRID, a ser composto pelo Encarregado Setorial (titular e suplente) pela proteção de dados pessoais e representantes das Diretorias e Presidência da empresa.

Art. 7º As adequações dos processos, subprocessos, procedimentos e dos sistemas que dão suporte são de responsabilidade das áreas que tratam de dados pessoais e podem contar com o apoio técnico do Encarregado Setorial, do Comitê de Proteção em Privacidade de Dados - CPRID, da Ouvidoria, da COJUR - Coordenação jurídica, da COINT – Controladoria interna e da Assessoria de Informática - ASINF.

Art. 8º A proposta de novos processos de negócios, novos regulamentos, procedimentos ou sistemas deve adotar condutas relacionadas à privacidade e proteção de dados desde a sua concepção, devendo ser submetida ao Comitê de Proteção em Privacidade de Dados – CPRID, para verificação de conformidade nos casos em que a área proponente identificar o tratamento de dados pessoais.

Art. 9º Os incidentes de segurança relacionados à violação de privacidade ou que gerem danos aos titulares de dados devem ser encaminhados ao Comitê de Proteção em Privacidade de Dados Pessoais - CPRID, que tomará as providências em conjunto com a Assessoria de Informática - ASINF, obedecendo ao protocolo do plano de respostas a incidentes de segurança da Terracap.

Art. 10. As revisões de processos de negócio e sistemas envolvendo dados pessoais devem considerar o nível de risco registrado no Relatório de Impacto à Proteção de Dados Pessoais - RIPD, sendo este um dos elementos a serem considerados na definição de prioridades na alocação de recursos de segurança da informação.

Art. 11. Os processos e documentos físicos, inclusive os arquivados, e os processos eletrônicos, sempre que analisados, devem ser atualizados quanto aos níveis de acesso em que se encontram, nos casos de desarquivamento ou reabertura por solicitação da área interessada ou para atendimento de pedido de acesso, vistas e/ou cópias, realizados pelos interessados, para que atendam à Lei nº 12.527, de 18 de novembro de 2011 (Lei de acesso à Informação - LAI), a Lei Distrital nº 4.990 de 12 de dezembro de 2012 (Lei de acesso à Informação - LAI) e a Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados - LGPD).

Art. 12. Os sistemas em desuso devem ser analisados para adequação à LGPD apenas nos casos em que houver solicitação de compartilhamento de base de dados, na qual estejam contidos dados pessoais.

Art. 13. O compartilhamento de dados pessoais entre o Controlador e os Operadores deverão estar documentados no Relatório de Impacto à Proteção de Dados Pessoais (RIPD).

 

 

CAPÍTULO II

DO PROGRAMA DE GOVERNANÇA EM PRIVACIDADE

  

Art. 14. O Programa de Governança em Privacidade da Agência de Desenvolvimento do Distrito Federal – Terracap norteará suas ações no sentido de permitir melhoria do nível de maturidade e de conformidade à Lei Geral de Proteção de Dados Pessoais (LGPD).

Art. 15. São etapas do Programa de Governança em Privacidade - PGP a serem implementadas pelo Comitê de Proteção em Privacidade de Dados Pessoais – CPRID:

1. - iniciação e planejamento;
2. - execução;
3. - monitoramento.

        § 1º As etapas estabelecidas nos incisos I ao III do caput sãos constituídas de marcos, que não exigem sua execução de forma sequencial, podendo as etapas ocorrerem inclusive simultaneamente.

        § 2º Os projetos, normativos internos, entre outras ações, são aqueles definidos no Plano de Ação, para alcance dos resultados esperados no Programa.

 

Seção I

Da Etapa de iniciação e Planejamento

 

 Art. 16. A etapa de iniciação e planejamento busca compreender as primeiras informações e os dados importantes que devem ser conhecidos, sendo constituída pelos seguintes marcos:

1. - nomeação do Encarregado Setorial pela proteção de dados pessoais;
2. - formação do Comitê de Proteção em Privacidade de Dados Pessoais – CPRID;
3. - alinhamento de expectativas com a alta gestão;
4. - diagnóstico do nível de maturidade em proteção de dados pessoais;
5. - mapeamento, análise de risco e adoção de medidas de segurança;
6. - Registro das Operações de Atividade de Tratamento de Dados Pessoais e Inventário de Dados Pessoais;

Art. 17. No alinhamento de expectativas com a alta gestão, devem ser analisadas e priorizadas as ações mais urgentes para adequação à LGPD.

Art. 18. Para levantamento dos contratos relacionados a dados pessoais, deve ser realizado o mapeamento dos contratos que coletam, transferem e processam dados pessoais.         

 

Subseção I

Do Registro das Operações de Atividade de Tratamento de Dados Pessoais e Inventário de Dados Pessoais

 

Art. 19. O Registro das Operações de Atividade de Tratamento de Dados Pessoais e Inventário de Dados Pessoais deve ser realizado nos processos de negócios e sistemas para contemplar informações relacionadas ao cumprimento da LGPD, incluindo campos específicos para classificação dos dados, informações para facilitar a elaboração de Relatórios de Impacto à Proteção de Dados Pessoais - RIPD, informações sobre compartilhamento de dados pessoais com terceiros e retenção e descarte de dados pessoais, incluindo a tabela de temporalidade dos dados e demais informações necessárias.

 

Seção II

Da Etapa de Execução

 

 Art. 20. A etapa de Execução busca promover o gerenciamento de direitos individuais, o consentimento, quando necessário, e a redução de responsabilidade por violação, sendo constituída pelos seguintes marcos:

1. - estabelecimento de políticas e boas práticas para proteção da privacidade do cidadão;
2. - disseminação da cultura de segurança e proteção de dados pessoais e Privacy by Design;
3. - elaboração de Relatório de Impacto à Proteção de Dados Pessoais (RIPD);
4. - instituição de Política de Privacidade (interna e externa) e Política de Segurança da Informação;
5. - adequação de cláusulas contratuais;
6. - elaboração de Termos de Uso;
7. - execução de demais marcos de conformidades estabelecidas no Plano de Ação elaborado pelo GT/LGPD (Grupo de Trabalho instituído pela Portaria n° 037/2021 – PRESI), para alcance dos resultados esperados no Programa.

Art. 21. Será estabelecida Política de Privacidade e Proteção de Dados Pessoais, com a finalidade de estabelecer diretrizes para a proteção dos dados pessoais no âmbito interno e externo.

Art. 22. O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) deve descrever os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

 

Subseção I

Da Comunicação com os Titulares dos Dados

  

Art. 23. A Terracap deve dispor, em seu site, no mínimo, das seguintes informações:

1. - Política de Privacidade de Dados;
2. - informações sobre o Encarregado Setorial pela proteção de dados pessoais, incluindo os dados de contato;
3. - link para o mecanismo de comunicação com o cidadão;
4. - informações sobre o requerimento para o titular dos dados exercer seus

Art. 24. A Terracap, para garantir o exercício dos direitos dos titulares, recepciona o Procedimento Operacional Padrão - POP, estabelecido pela Ouvidoria Geral do Distrito Federal, por meio da Circular n.º 6/2021 - CGDF/OGDF, devendo os canais de atendimento estar preparados para receber, realizar a triagem e responder consultas e reclamações dos titulares de dados, nos termos da LGPD.

Art. 25. Todos os sistemas e aplicativos acessados por usuários externos e que contenham dados pessoais devem disponibilizar Termos de Uso e Política de Privacidade para conhecimento do usuário.

Art. 26. Todos os editais publicados para venda de imóveis em licitação pública, regularização fundiária por venda direta ou editais de compras e serviços deverão dispor de cláusulas de orientação ao titular sobre as hipóteses legais de tratamento de dados e princípios elencados na LGPD.

Art. 27. As orientações dispostas neste Programa deverão ser seguidas pelos empregados, bem como quanto ao contido na Cartilha de adequação da Terracap à LGPD – Lei Geral de Proteção de Dados Pessoais.

Art. 28. Em caso de ocorrência de incidente de segurança em privacidade que possa acarretar risco ou dano relevante ao titular, tal fato deverá ser comunicado, nos prazos orientados pela Lei e pela ANPD – Autoridade Nacional de Proteção de Dados, na forma do protocolo estabelecido no plano de respostas a incidentes de segurança da Terracap.

Art. 29. O Programa de Governança em Privacidade deverá ser atualizado e divulgado periodicamente para conhecimento dos empregados e titulares de dados pessoais sobre as regras de boas práticas e de governança utilizadas pela empresa.

 

Subseção II

Da Segurança da Informação

 

Art. 30. A utilização de medidas técnicas e administrativas que aprimorem a segurança, a privacidade e a proteção dos dados pessoais deve ser pautada preferencialmente pela avaliação de risco.                                                                             

Art. 31. A Segurança da Informação e das Comunicações é definida pela Política de Segurança da Informação na Terracap – POSIC.

Art. 32. Compete aos Operadores:

1. - realizar o tratamento de dados pessoais segundo as instruções fornecidas pelo Controlador;
2. - manter os dados pessoais protegidos de acesso não autorizado, divulgação, destruição, perda acidental ou qualquer tipo de violação de dados pessoais;
3. - manter registros das operações de tratamentos de dados pessoais que realizar;
4. - observar as boas práticas e padrões de governança previstos na LGPD;
5. - comunicar à Terracap a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos termos da LGPD;
6. - quando autorizado pelo Controlador e no pleno exercício de sua capacidade técnica, decidir sobre: 
   1. sistema, método ou ferramentas utilizadas para coletar os dados pessoais;
   2. meios utilizados para transferir os dados pessoais de uma organização para outra;
   3. métodos utilizados para recuperar dados pessoais de determinados indivíduos;
   4. maneira de garantir que o método por trás do cronograma de retenção seja respeitado;
   5. meio de garantir a segurança dos dados;
   6. método de armazenamento de dados pessoais;
   7. diretrizes de tratamento de dados

  

Seção III

Da Etapa de Monitoramento

  

Art. 33. A etapa de monitoramento busca acompanhar a conformidade da Terracap à LGPD, por meio de atividades de coleta, análise de informações, elaboração de relatórios e apresentações de resultados e é constituída pelos seguintes marcos:

1. - estabelecimento de indicadores de performance para a mensuração dos resultados do Programa;
2. - elaboração de procedimento para gestão de incidentes de segurança em privacidade;
3. - análise do nível de maturidade;
4. - análise dos resultados;
5. - reporte de resultados [psdp1] às unidades de Controle Interno e à Direção da 

Art. 34. O monitoramento e a divulgação dos resultados do Programa, interna e externamente, devem ser realizados pelo Comitê de Proteção em Privacidade de Dados Pessoais – CPRID. 

Art. 35. O plano de respostas a incidentes de segurança da Terracap será estabelecido em normativo próprio, contendo o protocolo a ser seguido em caso de ocorrência de violação ou incidente de segurança em privacidade que possa acarretar risco ou dano relevante ao titular.

 

CAPÍTULO III

DAS RESPONSABILIDADES

  

Art. 36. O Conselho de Administração da Terracap – CONAD deliberará sobre as diretrizes estratégicas da governança de privacidade e proteção de dados pessoais.

Art. 37. O Operador responde solidariamente com o Controlador pelos danos causados pelo tratamento de dados pessoais quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções da Terracap quanto à utilização dos dados pessoais compartilhados.

Art. 38. O Presidente da Terracap designará o Encarregado Setorial pela proteção de dados pessoais.

Art. 39. Compete ao Encarregado Setorial pela proteção de dados pessoais da Terracap:

1. - aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
2. - receber comunicações da Autoridade Nacional de Proteção de Dados – ANPD e adotar providências;
3. - orientar as unidades a respeito das práticas a serem tomadas em relação à proteção de dados pessoais, de acordo com os normativos aprovados pela direção da empresa;
4. - propor políticas, programas para aperfeiçoamento das ações da Terracap no tratamento de dados pessoais;
5. - pautar questões relacionadas à privacidade e proteção de dados pessoais no Comitê de Proteção em Privacidade de Dados Pessoais – CPRID;
6. - acompanhar o nível de maturidade da Terracap em privacidade e outros indicadores de desempenho criados para o acompanhamento da evolução da privacidade e proteção de dados na Terracap;
7. - executar demais atribuições a ele designadas pelo Conselho de Administração, pelo Presidente da empresa ou estabelecidas em normas complementares.

Art. 40. É responsabilidade do empregado da Terracap utilizar os dados do titular apenas para os fins específicos, podendo ser responsabilizado em um processo administrativo disciplinar quando de sua ação ou omissão que prejudicar a proteção de dados pessoais na empresa.

Art. 41. Compete ao Comitê de Proteção em Privacidade de Dados Pessoais – CPRID:

1. - auxiliar na operação de conformidade (compliance) em proteção de dados pessoais, em especial nas questões de segurança da informação;
2. - apoiar a implementação de melhorias nos processos e serviços que tratam dados pessoais;
3. - atuar em conjunto com os gestores das unidades para garantir o fiel cumprimento da  legislação;
4. - dar o suporte na elaboração de procedimentos e protocolos internos para ações relacionadas ao tratamento de dados pessoais e proteção à privacidade;
5. - auxiliar na capacitação interna da Terracap e na formação de uma cultura de proteção de dados;
6. - elaborar informes sobre a avaliação de impacto sobre a proteção de dados, efetuada pelo responsável pelo tratamento;
7. - informar e aconselhar o responsável pelo tratamento e os servidores que tratem os dados a respeito das suas obrigações e de outras disposições de proteção de dados;
8. - atuar no monitoramento da conformidade com a Lei Geral de Proteção de Dados – LGPD;
9. - assessorar a promoção de eventos internos de sensibilização sobre proteção de dados pessoais na Terracap.

 

CAPÍTULO IV

DA ATUALIZAÇÃO E VIGÊNCIA

  

Art. 42. O Programa de Governança em Privacidade da Terracap deve ser contínuo e constantemente monitorado pelo Comitê de Proteção em Privacidade de Dados Pessoais – CPRID, devendo ser atualizado sempre que necessário, considerando, no mínimo, os resultados e informações constantes de relatórios, resultados dos Indicadores de Performance, da Gestão de Incidentes, entre outros.

Art. 43. O Programa de Governança em Privacidade deve ser implementado por todas as unidades organizacionais, de acordo com as instruções estabelecidas nos documentos de privacidade e orientação do Comitê de Proteção em Privacidade de Dados Pessoais – CPRID. Art. 44. O Cronograma de implementação do Programa será elaborado pelo Comitê de Proteção em Privacidade de Dados Pessoais – CPRID de forma a contemplar responsabilidades e prazos e ser elemento de prestação de contas.

Art. 45. Este Programa entra em vigor na data de sua aprovação pelo CONAD.

 

REFERÊNCIAS E NORMAS RELACIONADAS

 

1. Constituição da República Federativa do Brasil de 1988;
2. Lei nº 709, de 14 de agosto de 2018- Lei Geral de Proteção de Dados Pessoais – LGPD;
3. Guias operacionais para adequação à LGPD: https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias-operacionais-para-adequacao-a-lei-geral-de-protecao-de-dados-pessoais-lgpd
4. Guia de Boas Práticas - Lei Geral de Proteção de Dados Pessoais (LGPD) - https://gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guia-boas-praticas-lgpd;
5. Ministério da Economia - Secretaria de Governo Digital - Guia de Elaboração de Programa  de  Governança  em  Privacidade  - https://gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/guias/guia_governanca_privacidade.pdf;
6. Decreto Distrital nº 036, de 27 de abril de 2021 ;
7. Manual GDF da        Lei         Geral        de        Proteção         de        dados         (LGPD)        - http://lgpd.df.gov.br/Manual1.pdf
8. Cartilha GDF  -  http://lgpd.df.gov.br/CartilhaGDF.pdf;
9. Resolução CD/ ANPD Nº 1 , / 2021 : https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-1-de-28-de-outubro-de-2021-355817513;
10. Guia orientativo para o tratamento de dados pessoais pelo Poder Público - https://gov.br/anpd/pt-br/documentos-e-publicacoes/guia-poder-publico-anpd-versao-final.pdf;
11. ANPD - Autoridade Nacional de Proteção de Dadoa Pessoais - https://gov.br/anpd/pt-br;
12. Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado: https://gov.br/anpd/pt-br/documentos-e-publicacoes/2021.05.27Guia AgentesdeTratamento_Final.pdf

 

IBANEIS ROCHA

Governador

 

GUSTAVO ROCHA

Casa Civil

 

ALBERTO PÉRES NETO

Encarregado Governamental em Proteção de Dados Pessoais

 

COMPOSIÇÃO DO CONSELHO DE ADMINISTRAÇÃO DA TERRACAP

 

Espedito Henrique de Souza Júnior

Presidente - Representante do Distrito Federal

 

Izidio Santos Júnior

Conselheiro - Representante do Distrito Federal

 

Raphael Vianna de Menezes

Conselheiro - Representante do Distrito Federal

 

Ney Ferraz Júnior

Conselheiro - Representante do Distrito Federal

 

Arthur Cezar da Silva Junior

Conselheiro - Representante do Distrito Federal

 

Aliendres Souto Sousa

Conselheiro - Representante dos Empregados

 

Mauro Benedito de Santana Filho

Conselheiro - Representante da União

 

Jônathas Assunção Salvador Nery de Castro

Conselheiro - Representante da União

 

Erick Moura de Medeiros

Conselheiro - Representante da União

 

Ricardo Soriano de Alencar

Conselheiro - Representante da União