Por Dâmares Vaz
Edição: Andrea Bochi
O SINAIT conduz, desde 2021, projeto de adequação de seus processos à Lei Geral de Proteção de Dados, a LGPD (Lei 13.709, de 14 de agosto de 2018). Pela complexidade, o programa foi adotado com apoio da empresa Athena Security, consultoria especializada em segurança da informação. Os resultados obtidos até agora na implementação da iniciativa foram apresentados, nos dias 31 de março e 4 de abril, à Diretoria Executiva Nacional e aos funcionários do SINAIT, os quais passaram por treinamento sobre práticas de segurança da informação.
A efetivação do plano de ação, que teve 20 etapas, foi concluída. A partir de agora, um acompanhamento se faz necessário para manter a adequação de todo o ambiente. As mudanças foram necessárias para que a entidade não sofresse penalidades no caso de infrações aos termos da lei no tratamento de dados pessoais.
Cabe ressaltar também que o direito à proteção de dados pessoais, inclusive em meios digitais, é agora uma garantia fundamental, inscrita na Constituição Federal pela Emenda Constitucional 115/2022, promulgada em 10 de fevereiro de 2022. “Queremos garantir a nossos filiados, com todo o esforço que estamos empenhando nesse projeto, que o Sindicato está comprometido com o respeito à Constituição e com a plena adoção da LGPD, disposto a fazer o que for preciso para evitar o vazamento de dados pessoais e dados sensíveis”, reforça o presidente do SINAIT, Bob Machado.
A Athena Security mapeou cerca de 130 processos de trabalho do Sindicato que envolvem o tratamento de dados pessoais. Com base nesse mapeamento, foi elaborado um plano de ação, de acordo com princípios de proteção de dados – controle de entrada de dados e informações; controle de armazenamento de dados e informações; conscientização no compartilhamento e divulgação; elaboração de políticas e manuais de ética; padrões mínimos de segurança da informação, e gestão de falhas e vulnerabilidades.
O processo de adequação à LGPD é feito em cinco etapas – inventário, classificação de dados, adequação, agentes de tratamento e relatório de impacto. A mais impactante delas é a de classificação de dados, em que a instituição entende do que se trata cada nível de informações com as quais trabalha. Os dados pessoais podem ser classificados como dados pessoais, dados pessoais sensíveis e anonimizados. Grande parte dos dados manipulados pelo SINAIT são sensíveis.
No parecer apresentado pela empresa de consultoria, foram descritos os pontos que passaram por adequação, incluindo, por exemplo, o processo de gestão de incidentes, o processo de coleta e armazenamento de consentimento, o processo de consulta e exclusão de informação, a política de privacidade e compliance, a avaliação de segurança e proteção de dados, a revisão de contratos, a definição de responsáveis, entre outros.
Leia também: