Desde o início do mês de outubro, o Grupo Tiradentes implantou uma nova gerência que atenderá todas as unidades do grupo: a Gerência de Proteção de Dados. Com a implementação, Suzan Kelly Oliveira, que atuava na Coordenação de Qualidade, será a responsável pelo setor.
Suzan trabalha na instituição de ensino desde 2009 e já estruturou setores importantes como os escritórios de processos e o de auditoria interna. Graduada em Administração com habilitação em Marketing, a gestora possui MBA em Responsabilidade Social e Sistemas Integrados de Gestão, possui cursos em Gestão de Processos, Auditorias de Risco, Compliance além de certificação Black belt.
“Durante esses dez anos na empresa sempre trabalhei com informações e dados sigilosos. Trabalhar com processos realmente é um exercício analítico. Isso me forneceu uma visão sistêmica, conhecimento do negócio e da estratégia. Estes pilares são muito importantes no contexto da implementação do modelo de governança da gerência”, declara Suzan Kelly.
Mesmo sendo implantado oficialmente no mês de outubro, o Grupo Tiradentes já vem realizando um planejamento desde o final do ano passado. “Enquanto estava atuando na área de Compliance e planejando o programa, já estávamos em sintonia com a legislação e a partir de reuniões com o Departamento de Tecnologia e Informação do Grupo, que fomentou esse movimento dentro da instituição por conta do pilar relacionado ao controle de segurança de dados na parte de sistemas. Trabalhamos em parceria com uma consultoria para um diagnóstico inicial”, enfatiza.
A nova Lei Geral de Proteção de Dados entra em vigor em agosto de 2020, mas o Grupo Tiradentes já trabalha para garantir a adequação dos processos que envolvem a privacidade dos dados do seu público interno e externo. “Por conta do trabalho que realizamos ao longo desse tempo, estamos adiantados em relação ao Brasil. Por se tratar de algo extremamente novo, muitas empresas ainda não se deram conta da importância da adequação à LGPD. Saímos na frente porque já temos um diagnóstico e um projeto de implementação aprovado”, explica Suzan.
A lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
A legislação traz pontos importantes que são comuns a todas as empresas. O cuidado com os dados e informações dos clientes, colaboradores e terceiros/parceiros vai receber mais atenção. “A lei trará uma maior transparência e, para o titular dos dados, uma maior segurança com relação as suas informações pessoais”, assegura.
Entenda o modelo de governança
O modelo de governança da Gerência de Proteção de Dados é baseado em seis pilares. O primeiro é o de Governança e Conscientização, que tratam, entre outros aspectos, a própria implantação da gerência, indicação do nome do responsável pela área e sua formalização junto ao órgão regulador, a Agência Nacional de Proteção de Dados. A definição da política de privacidade, a formalização do Comitê Executivo de Proteção de Dados e a criação de um plano de conscientização têm por objetivo trabalhar a importância e o compromisso de todos os colaboradores com os dados a que têm acesso.
“Precisamos trabalhar e fazer com o que a alta gestão e a operação entendam que é importante ter comprometimento com qualquer informação e dados da instituição. Estamos trabalhando na construção deste plano de conscientização para capacitar todas as unidades do Grupo”, salienta Suzan Kelly.
Já o segundo pilar é o de Gestão do Consentimento. “Todas as vezes que precisarmos coletar dados dos nossos alunos para qualquer situação, que não esteja amparada na questão contratual ou no arcabouço legal do MEC, a instituição precisará pedir este consentimento. Precisaremos pedir a autorização de forma clara e objetiva e destacando a finalidade para o uso do dado”, exemplifica.
No terceiro pilar, denominado de Ciclo de Vida da Informação, será realizado um mapeamento dos dados, depois a categorização; o registro do dia da coleta; o consentimento; a finalidade; o local de armazenamento do dado; quem possuirá acesso, dentre outros monitoramentos. O ciclo inicia na coleta, depois passa pelo processamento e termina com o descarte do dado.
O quarto pilar, o Mapeamento e Classificação dos Dados, inicia a partir da identificação do ciclo de vida, realizando a gestão dos dados e a classificação entre dados pessoais e dados sensíveis. O quinto pilar trabalha no Controle e Segurança dos Dados e é gerido pelo DTI, que deve garantir toda a privacidade dos servidores e sistemas por meio de uma gestão de riscos constante.
Por fim, o sexto pilar trabalha com a Gestão de Incidentes. Por meio do monitoramento do DTI, todo e qualquer vazamento de dado deverá seguir protocolos em parceria com a Gerência de Proteção de Dados com a finalidade de sanar eventuais prejuízos para a instituição. “Um fator importante que precisamos evidenciar é que a legislação exige transparência das ações. Caso ocorra um vazamento de dados, precisamos notificar a Agência Nacional de Proteção de Dados e as pessoas envolvidas. Atualmente, com o nosso modelo de governança, trabalhamos para evitar ao máximo que isto aconteça”, assegura.
Próximos passos
Com o projeto já aprovado pelo Conselho de Administração, a gerência trabalha com a execução das ações, como estruturação do instrumento para mapeamento dos dados, atualização do contrato de prestação de serviços com os alunos para coletar o consentimento do titular durante a assinatura do contrato. Além disso, a formalização do Comitê Executivo de Proteção de Dados, que vai ajudar na construção da política de privacidade.
“Este trabalho é muito robusto. Nós vamos trabalhar com oficinas, workshops, campanhas, reuniões junto às áreas para nos ajudar nesse projeto. O setor precisa que os representantes das principais áreas que trabalham dados dentro da instituição estejam em consonância com a legislação, e o nosso primeiro passo é trabalhar o entendimento da legislação e a conscientização”, finaliza.