INSTITUTO CONAB DE SEGURIDADE SOCIAL

NR Nº 003/2020 - PROGRAMA DE GOVERNANÇA E PROTEÇÃO DE DADOS

PESSOAIS

1. DO OBJETIVO

1.1. Este Programa busca garantir a proteção dos dados pessoais acessíveis no âmbito das
operações do Cibrius, assegurando que sejam sempre tratados em observância aos
princípios da boa-fé, finalidade, adequação e necessidade, livre acesso, segurança,
prevenção e não discriminação, de modo a preservar a transparência ao titular dos
dados sobre o tratamento de seus dados pessoais, conforme as melhores práticas de
governança e mitigação de riscos.

2. DA APLICAÇÃO

2.1. Este Programa consolida os princípios e práticas de proteção e governança de dados

pessoais a serem adotados pelo Instituto Conab de Seguridade Social - Cibrius
(Entidade), em observância aos preceitos da Lei nº 13.709, de 14 de agosto de 2018 -
Lei Geral de Proteção de Dados Pessoais (LGPD) e às disposições contratuais e
práticas relativas ao sigilo e à confidencialidade, bem como às ações para mitigação
de riscos de incidentes envolvendo dados pessoais.
2.2. O Programa abrange medidas técnicas de segurança da informação, bem como ações
de boas práticas e de governança, que envolvem o desenvolvimento de ações
preventivas, educacionais e medidas organizacionais estruturadas pelo Cibrius, na
difusão e aprimoramento da cultura de privacidade e proteção de dados pessoais pelos
colaboradores da Entidade e/ou profissionais que agem em seu nome.
2.3. O presente Programa é aplicável e deve ser observado por todos aqueles que atuem
em nome do Cibrius nas atividades e funções que envolvam dados pessoais sob o
controle da Entidade.

3. DAS CONCEITUAÇÕES

3.1. Para efeitos deste Programa, são considerados os seguintes termos e seus respectivos
significados:
3.1.1. Dado Pessoal: é qualquer informação, de qualquer natureza e
independentemente do suporte (incluindo som e imagem), relativa à pessoa
natural identificada ou identificável, inclusive dado pessoal de crianças e
adolescentes;
3.1.2. Dado pessoal sensível: informação relativa à origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual,
dado genético ou biométrico do titular do dado;
3.1.3. Dado pseudoanonimizado: informação sobre um titular de dados que somente
o identifica quando associada a informação adicional relativa ao titular,
mantida separadamente pelo controlador em ambiente controlado e seguro;

1
 INSTITUTO CONAB DE SEGURIDADE SOCIAL

3.1.4. Titular dos dados pessoais: pessoa natural a quem se referem os dados
pessoais objeto de tratamento, inclusive participantes, assistidos, beneficiários,
colaboradores, conselheiros, diretores e fornecedores - quando pessoas físicas
- e demais prepostos do Cibrius;
3.1.5. Tratamento de dados pessoais: toda operação realizada com dados pessoais,
que abarca a coleta, produção, recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração;
3.1.6. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem
competem as decisões referentes ao tratamento de dados pessoais;
3.1.7. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza
o tratamento de dados pessoais em nome ou a pedido do controlador;
3.1.8. Agentes de tratamento: o controlador e o operador;
3.1.9. Encarregado (Data Protection Officer - DPO): pessoa indicada pelo
controlador ou operador para atuar como canal de comunicação com os
titulares dos dados e com a Autoridade Nacional de Proteção de Dados
(ANPD);
3.1.10. Autoridade Nacional de Proteção de Dados (ANPD): órgão da
administração pública responsável por zelar, implementar e fiscalizar o
cumprimento da LGPD.
3.1.11. Privacy by design: metodologia que define que todas as etapas do processo de
desenvolvimento de um produto ou serviço devem considerar a privacidade em
primeiro lugar, não restringindo a sua aplicação à fase final do processo.
3.1.12. Fornecedores: fornecedores de materiais e equipamentos e prestadores de
serviços para o Cibrius.

4. DOS CRITÉRIOS E PROCEDIMENTOS

4.1. Princípios
4.1.1. Todo e qualquer tratamento de dados pessoais no âmbito do Cibrius ou
mediante solicitação deste deve ser realizado de acordo com as regras e
procedimentos estipulados em normas relativas à proteção de dados pessoais,
pautadas na boa-fé, lealdade, respeito e transparência ao tratamento dos dados
pessoais, e nos seguintes princípios:
4.1.1.1. Finalidade: os dados pessoais coletados e processados são
utilizados para realização do tratamento para propósitos legítimos,
específicos, explícitos e informados ao titular, não sendo utilizados
de forma incompatível com tais objetivos;
4.1.1.2. Adequação: os dados pessoais são tratados em compatibilidade com
as finalidades informadas ao seu titular ou pertinentes ao contrato
por ele firmado com o Cibrius, no contexto do tratamento realizado;

2
 INSTITUTO CONAB DE SEGURIDADE SOCIAL

4.1.1.3. Necessidade: o tratamento deve se limitar ao mínimo possível de

dados pessoais indispensáveis à realização das finalidades
objetivadas, observada a sua pertinência e proporcionalidade;
4.1.1.4. Livre acesso: é assegurada ao titular a realização de consulta
facilitada e gratuita sobre seus os dados pessoais tratados, bem como
sobre a forma e a duração do seu tratamento;
4.1.1.5. Qualidade dos dados: os dados pessoais tratados devem ser exatos,
claros, relevantes e atualizados, de acordo com a necessidade e para
o cumprimento da finalidade do tratamento;
4.1.1.6. Transparência: é assegurado ao titular o acesso facilitado a
informações claras e precisas sobre o tratamento de seus dados
pessoais e os respectivos agentes de tratamento;
4.1.1.7. Segurança: no tratamento de dados pessoais devem ser aplicadas
medidas técnicas e administrativas aptas a protegê-los de acessos
não autorizados e de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou difusão;
4.1.1.8. Prevenção: no tratamento de dados pessoais devem ser adotadas
medidas técnicas, operacionais e contratuais adequadas para
prevenir a ocorrência de danos ou riscos em virtude das atividades
de tratamento de dados pessoais;
4.1.1.9. Não discriminação: é vedada a realização de qualquer tratamento
de dados pessoais de forma discriminatória, ilícita ou abusiva;
4.1.1.10. Responsabilização e prestação de contas: está disponível ao titular
a demonstração da adoção de medidas eficazes e capazes de
comprovar a observância, o cumprimento e a eficácia das normas de
proteção de dados pessoais.
4.2. Dimensões
4.2.1. Pautado nos princípios estabelecidos pela LGPD, especialmente em
observância aos princípios de segurança e prevenção, as diretrizes e ações
constantes neste Programa visam assegurar a proteção de dados nas seguintes
dimensões:
4.2.1.1. Segurança: utilização, para tratamento de dados pessoais, de
medidas técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou
ilícitas de destruição, perda, alteração, comunicação ou difusão;
4.2.1.2. Prevenção: aplicação, para tratamento de dados pessoais, de
medidas técnicas, operacionais e contratuais adequadas para
prevenir a ocorrência de danos ou riscos em virtude das atividades
de tratamento de dados pessoais.
4.2.2. Desenvolvimento do ambiente de gestão do Programa de Governança e
Proteção de Dados Pessoais.
4.2.2.1. A dimensão trata do apoio inequívoco à promoção da cultura de
privacidade e proteção de dados pessoais demonstrada pelos órgãos

3
 INSTITUTO CONAB DE SEGURIDADE SOCIAL

de governança, bem como a garantia ao acesso a canais de reporte

institucional aos eventos de desconformidade com as orientações de
proteção de dados adotadas pelo Cibrius.
4.2.3. Análise periódica dos riscos.
4.2.3.1. Consiste na identificação, avaliação, tratamento e monitoramento
das vulnerabilidades e dos riscos de ocorrência de incidentes de
violação de proteção de dados pessoais no âmbito do Cibrius, bem
como suas medidas de tratamento e solução.
4.2.3.2. Nesta dimensão, o Cibrius deve manter regular análise de
precedentes nacionais e internacionais aplicáveis, de modo a atuar
preventivamente para adaptação de rotinas, processos, instrumentos
e ferramentas capazes de afastar a ocorrência de irregularidades em
seu ambiente de atuação.
4.2.4. Estruturação e implantação de políticas e procedimentos do Programa de
Governança e Proteção de Dados Pessoais
4.2.4.1. Corresponde à criação e implementação da base para difusão de
conhecimentos relacionados à cultura da privacidade e proteção de
dados pessoais no Cibrius, com a elaboração, validação, adequações
e constante monitoramento da efetividade de políticas e normativos
que abordem o tema no cotidiano da Entidade, testes de aderência e
performance organizacional.
4.2.5. Comunicação e treinamento
4.2.5.1. Disseminação deste Programa por meio de ações de comunicação,
campanhas internas, externas e institucionais, em âmbito interno, na
sociedade civil, no segmento de atuação do Cibrius, perante seus
patrocinadores, participantes e assistidos, bem como treinamentos,
cursos de capacitação, eventos e ferramentas de atualização
periódica.
4.2.6. Monitoramento do Programa de Governança e Proteção de Dados Pessoais e
das medidas de prevenção e remediação de incidentes.
4.2.6.1. Monitoramento contínuo da aplicação deste Programa, suas ações e
resultados quanto à percepção de cultura organizacional,
reputacional e retorno de conformidade.
4.3. Tratamento de Dados Pessoais
4.3.1. Bases legais para o tratamento
4.3.1.1. Todo e qualquer tratamento de dados pessoais realizado no âmbito
do Cibrius, ou a pedido deste, deve ter por preceito mínimo a
observância aos princípios indicados neste Programa, com devido
enquadramento de cada processo, rotina, atividade ou procedimento
em bases legais autorizadas pela LGPD.
4.3.1.2. A LGPD estabelece um rol taxativo de hipóteses que autorizam o
tratamento de dados pessoais. Como regra, o consentimento

4
 INSTITUTO CONAB DE SEGURIDADE SOCIAL

expresso do titular é necessário, não sendo admitido, em nenhuma

hipótese, consentimento implícito.
4.3.1.3. No entanto, a lei prevê a possibilidade de dispensa de autorização
expressa da pessoa natural titular dos dados nas seguintes hipóteses:
(i) cumprimento de obrigação legal (como para cumprimento de
obrigações legais decorrentes da Lei Complementar n°
109/2001 ou regulatórias perante PREVIC, Receita Federal,
COAF, e demais órgãos públicos);
(ii) execução de políticas públicas pelo Estado;
(iii) realização de estudos por órgãos de pesquisa;
(iv) execução de contrato ou procedimentos preliminares ao
contrato com o titular, a pedido do titular dos dados;
(v) exercício regular de direitos em processo judicial, ad-
ministrativo ou arbitral;
(vi) proteção da vida ou da incolumidade física do titular ou de
terceiro;
(vii) tutela da saúde;
(viii) atender aos interesses legítimos do controlador ou de
terceiro;
(ix) proteção de crédito.
4.3.1.4. Quando o tratamento de dados pessoais for baseado no
consentimento, o controlador deve manter documentação
comprobatória da sua obtenção em conformidade com a legislação.
4.3.1.5. O tratamento de dados pessoais necessário para atender ao interesse
legítimo do controlador ou de terceiro é permitido pela LGPD, desde
que tal tratamento se dê em observância dos direitos e liberdades
fundamentais do titular dos dados e que sejam adotadas medidas para
garantir a transparência de tal tratamento.
4.3.1.6. Na ocorrência de tratamento com base em legítimo interesse, são
requisitos indispensáveis:
(i) a proteção, em relação ao titular, do exercício regular de seus
direitos ou prestação de serviços que o beneficiem,
respeitadas as legítimas expectativas dele e os direitos e
liberdades fundamentais;
(ii) utilização dos dados pessoais estritamente necessários para o
atendimento à finalidade pretendida;
(iii) adoção das medidas para garantir, ao titular, a transparência
do referido tratamento de dados.
4.3.2. Coleta de dados pessoais
4.3.2.1. A coleta de dados pessoais deve ser destinada a atender propósitos
específicos e legítimos, observada a limitação aos dados pessoais
5
 INSTITUTO CONAB DE SEGURIDADE SOCIAL

mínimos necessários para atendimento às respectivas finalidades, de

modo a assegurar que:
(i) o titular dos dados pessoais seja informado em contrato,
telefone, e-mail, mensagem ou outro, de maneira clara e
específica sobre como seus dados serão tratados e para quais
finalidades;
(ii) o consentimento seja fornecido por escrito ou por outro meio
que demonstre a manifestação de vontade do titular. Sendo
por escrito, deverá constar de cláusula destacada, uma vez
que autorizações genéricas são nulas;
(iii) o tratamento é adequado ao contexto em que os dados
pessoais foram coletados; e
(iv) a indispensabilidade dos dados pessoais coletados para
atingir aquela finalidade pretendida.
4.3.3. Coleta de dados pessoais de crianças e adolescentes
4.3.3.1. Na coleta de dados pessoais de crianças e adolescentes, na qualidade
de beneficiários dos participantes, que são tratados para possibilitar
a concessão de benefícios e para fins de cumprimento de obrigações
legais e contratuais, devem ser adotados procedimentos para
certificar que a coleta de dados e o consentimento para o tratamento
destes dados é realizado diretamente pelos pais ou responsáveis
legais.
4.3.4. Nível de compartilhamento de dados pessoais
4.3.4.1. O compartilhamento de dados pessoais no Cibrius é classificado em
três níveis, de acordo com a categoria e a confidencialidade dos
dados, bem como o enquadramento do tratamento realizado:
(i) compartilhamento amplo, quando se tratar de dados
públicos ou tornados manifestamente públicos pelo titular,
que não estão sujeitos a restrição de acesso e
compartilhamento, resguardados os diretos do titular dos
dados e os princípios estabelecidos neste Programa e na
LGPD;
(ii) compartilhamento restrito, quando se tratar de dados
pessoais coletados ou disponibilizados para o cumprimento
de contrato e seus procedimentos preliminares ou para o
cumprimento de obrigação legal ou regulatória; e
(iii) compartilhamento específico, quando se tratar de
compartilhamento de dados confidenciais, sigilosos, dados
sensíveis e dados de crianças e adolescentes.
4.3.4.2. O compartilhamento de dados pessoais com base no legítimo
interesse do controlador enquadra-se em compartilhamento
específico de dados, devendo, nestes casos, o tratamento e
compartilhamento serem precedidos de comunicação prévia ao

6
 INSTITUTO CONAB DE SEGURIDADE SOCIAL

Encarregado (DPO), com observância aos preceitos contidos no item

4.3.8 deste Programa.
4.3.5. Cuidados no compartilhamento de dados pessoais
4.3.5.1. As disposições gerais deste item são aplicáveis em qualquer hipótese
de compartilhamento de dados pessoais pelo Cibrius ou pelos
fornecedores, independentemente do enquadramento de categoria.
4.3.5.2. O compartilhamento de dados pessoais pelo Cibrius deve ocorrer
quando houver consentimento do seu titular ou em alguma das
hipóteses listadas no item 4.3.1 deste Programa.
4.3.5.3. Os contratos e convênios com terceiros, para os quais haja o
compartilhamento de dados pessoais, devem conter cláusulas
específicas dispondo sobre a observância à proteção e governança de
dados pessoais e medidas de minimização de riscos.
4.3.6. Transferência internacional
4.3.6.1. Nos casos em que se fizer necessária a realização de transferência
internacional de dados pessoais (cross-border data transfer), é
cabível conferir previamente a existência, no país de destino, de
norma ou dever de proteção de dados pessoais, em observância ao
fiel cumprimento das disposições e requisitos estabelecidos neste
Programa.
4.3.7. Eliminação de dados pessoais
4.3.7.1. O tratamento e armazenamento de dados pessoais somente estão
autorizados pelo período necessário à realização das finalidades que
motivaram o tratamento de tais dados, bem como para o
cumprimento de obrigações contratuais e legais, observada a sua
indisponibilidade, quando aplicável, ao término do tratamento, em
sistemas, redes ou pastas físicas do Cibrius.
4.3.7.2. Os dados pessoais e/ou dados pessoais sensíveis tratados pelo
Cibrius devem ser mantidos enquanto existir relação jurídica com o
respectivo titular, exceto nos casos em que, por observância a
legislação ou regulamentação, seja necessária a conservação por
prazo superior, findo o qual os dados pessoais serão eliminados.
4.3.7.3. A eliminação de documentos contendo dados pessoais deve seguir o
procedimento especificado na tabela de temporalidade do Cibrius.
4.3.8. Encarregado (Data Protection Officer - DPO)
4.3.8.1. O DPO indicado como responsável pelo canal de comunicação entre
o Cibrius, os titulares de dados pessoais (participantes, assistidos,
beneficiários, colaboradores, fornecedores, dirigentes e prepostos),
partes interessadas e a ANPD, deve prestar os esclarecimentos
necessários sobre o presente Programa e sua aplicação, casos
excepcionais e boas práticas a serem adotadas permanentemente por
participantes, assistidos, beneficiários, funcionários, fornecedores,
diretores e conselheiros da Entidade.

7
 INSTITUTO CONAB DE SEGURIDADE SOCIAL

4.3.8.2. Eventuais incidentes de vazamentos ou riscos de exposição de dados

pessoais tratados pelo Cibrius devem ser reportados ao DPO com a
máxima brevidade possível.
4.4. Direitos dos Titulares
4.4.1. Gerenciamento de solicitações
4.4.4.1. É assegurado o acesso facilitado e claro às informações sobre o
tratamento de dados pessoais realizados pelo Cibrius, sempre que
solicitado pelo titular dos dados.
4.4.4.2. As solicitações relativas aos direitos de privacidade e proteção de
dados dos titulares devem ser efetuadas e encaminhadas ao canal de
gerenciamento de solicitações, conduzido pelo DPO.
4.4.2. Relatório de impacto à proteção de dados pessoais
4.4.2.1. Nos casos em que o tratamento de dados pessoais oferecer riscos às
liberdades civis e aos direitos fundamentais do titular, deve ser
elaborado relatório de impacto à proteção de dados pessoais,
contendo a descrição dos processos de tratamento de dados pessoais
e as medidas, salvaguardas e mecanismos de mitigação de risco
adotados.
4.4.3. Privacy by design
4.4.3.1. A todo projeto ou operação desenvolvido pela ou sob demanda do
Cibrius devem ser incorporados os conceitos e práticas de privacy by
design (privacidade desde a concepção), para garantia da governança
e proteção dos dados pessoais do usuário.
4.4.4. Comitê de Governança de Dados Pessoais
4.4.4.1. O Comitê constituído pelo Cibrius é composto pelo Encarregado
(DPO), pelo responsável pela gestão executiva da área de
previdência, pelo responsável pela tecnologia da informação e por
um indicado pelo Conselho Deliberativo.
4.4.4.2. O Comitê terá o papel de analisar as atividades de tratamento de
dados pessoais pelo Cibrius e eventuais incidentes de modo a
auxiliar o Encarregado no desempenho de suas funções e promover
a conscientização interna sobre os procedimentos envolvendo dados
pessoais.
4.5. Boas Práticas para Governança e Proteção de Dados Pessoais
4.5.1. Além da observância aos preceitos e regras contidas neste Programa, deverão
ser adotadas medidas de boas práticas que assegurem a proteção e a governança
de dados pessoais, inclusive para que:
4.5.1.1. as solicitações de áreas internas e de fornecedores sejam atendidas,
sempre que possível, sem a identificação dos titulares de dados
pessoais ou mediante pseudoanonimização;
4.5.1.2. dados pessoais não sejam expostos em reuniões de comissões,
comitês e grupos de trabalho;

8
 INSTITUTO CONAB DE SEGURIDADE SOCIAL

4.5.1.3. titulares de dados pessoais não sejam identificados em reuniões dos

Conselhos Deliberativo e Fiscal quando não for essencial à análise
dos assuntos sob debate ou deliberação de tais órgãos de governança,
mantida a pseudoanonimização;
4.5.1.4. arquivos contendo dados pessoais não sejam impressos, exceto
quando imprescindível para assinatura ou outra providência que não
possa ser realizada sem que haja impressão dos dados pessoais -
hipótese em que os papéis devem ser destruídos, de preferência em
picotadeira, após o seu tratamento ou atingimento de finalidade, na
forma prevista neste Programa;
4.5.1.5. papéis, arquivos, dossiês e pastas físicos contendo dados pessoais
sejam guardados com segurança e não sejam reutilizados, ainda que
para rascunho;
4.5.1.6. haja o registro das operações de tratamento de dados pessoais e
dados pessoais sensíveis realizadas pelos operadores de dados
pessoais (fornecedores) em seu nome;
4.5.1.7. sejam utilizados mecanismos para assegurar que o contato telefônico
está sendo realizado diretamente com o titular de dados ou seu
representante legal e que os endereços eletrônicos utilizados para
troca de informações não sejam e-mails de terceiros;
4.5.1.8. sejam solicitados apenas os dados pessoais e documentos
comprobatórios mínimos para a realização da operação em
andamento, inclusive para fins de realização de novas adesões e
prospecções;
4.5.1.9. não haja a disponibilização de dados pessoais de menores de 18 anos
para terceiros, além daquelas situações necessárias ao cumprimento
de obrigação contratual, legal ou regulatória, com o consentimento
dos pais ou representantes legais, quando aplicável;
4.5.1.10. implementação de planos de resposta a incidentes e remediação.
4.6. Gestão de Incidentes Envolvendo Dados Pessoais
4.6.1. Medidas Preventivas
4.6.1.1. O Cibrius deve promover e incentivar, de forma contínua, a
ocorrência de práticas concretas e ações preventivas para a
conscientização e concretização das diretrizes de segurança,
privacidade e proteção de dados pessoais, conforme a seguir
indicado:
a) Capacitação
- Promoção de ações de educação para seus conselheiros,
diretores, colaboradores e fornecedores, para a
conscientização sobre procedimentos de segurança da
informação, envolvendo treinamentos, palestras, simulações,
dentre outros.
b) Comunicação interna

9
INSTITUTO CONAB DE SEGURIDADE SOCIAL

- Amplo canal de comunicação aos colaboradores via

newsletter, informativos na sede do Cibrius, vídeos
institucionais e demais ações de divulgação de boas práticas
sobre procedimentos de segurança da informação englobando
cuidados da proteção de dados pessoais.
c) Canal interno para dúvidas e sugestões de colaboradores,
fornecedores e gestores
- Desenvolvimento de canal para atender às dúvidas dos
colaboradores em procedimentos de tratamento de dados
pessoais, a fim de garantir a adoção das melhores práticas em
todos os procedimentos e operações do Cibrius.
d) Cuidados específicos para o tratamento de dados pessoais
- Implementação de cuidados específicos para o tratamento de
dados pessoais, com atenção especial aos dados pessoais
sensíveis e de crianças e adolescentes, observando a finalidade
do tratamento realizado pelo Cibrius, de acordo com a
necessidade e adequação previamente mapeados.
- Quando do tratamento de dados pessoais de menores de 18
anos, deverão ser tomados cuidados especiais para a
certificação do consentimento adequado dos pais e/ou
responsáveis legais em cadastros, atendimentos, entre outros.
e) Mapeamento e controle de risco
- Mapeamento e controle dos riscos em que o Cibrius possa estar
exposto relativamente à LGPD, com a inclusão de
apontamentos específicos na matriz de risco e seu tratamento,
bem como utilização de ferramentas de gestão do risco (risk
management) e avaliação da sua aderência às práticas (risk
assessment).
f) Políticas e normativos internos
- Revisão de políticas e normativos internos para adequação às
diretrizes e cuidados de proteção de dados pessoais, bem como
a manutenção de política específica a ser seguida pelos
colaboradores e os profissionais que agem em nome do
Cibrius, inclusive os fornecedores.
- Sempre que houver mudança estrutural, conjuntural ou
precedente de falha de segurança ou proteção de dados
pessoais no âmbito do controlador ou operador, é cabível a
antecipação da revisão ou ajuste pontual nos procedimentos,
políticas e normativos aplicáveis.
g) Redução do trâmite de papel
- Adoção de procedimentos para reduzir o uso de papel nas
atividades do Cibrius, buscando a redução dos riscos de
eventual extravio, perda, dano ou vazamento de documentos

10
INSTITUTO CONAB DE SEGURIDADE SOCIAL

que contenham dados pessoais e custos financeiros (malotes,

correios, tempo de colaboradores para transporte de
documentos, armazenamento interno e externo).
- Para tanto, poderão ser adotadas ferramentas alternativas de
trabalho (multiplicidade de monitores, entre outros) e de
estímulo à redução do papel por meio de metas, premiações,
fiscalização de mesas ou outro.
h) Gestão documental e exclusão/minimização de dados pessoais
- Revisão dos procedimentos de gestão documental do Cibrius,
da política de retenção e eliminação de dados pessoais
dispondo sobre diretrizes aplicáveis aos casos de eliminação
de dados pessoais ao término do tratamento ou a minimização
de tais dados nos documentos e sistemas da Entidade.
i) Registro das atividades com dados pessoais
- Registro das atividades desenvolvidas pelo Cibrius
envolvendo dados pessoais, devidamente documentado por
meio de relatórios, fluxos e inventários de dados pessoais,
arquivos magnéticos (gravação de voz, tela ou outro) para
evidenciar a adequação de procedimentos à proteção de dados
pessoais e subsidiar eventual elaboração de Relatórios de
Impacto à Proteção de Dados Pessoais, quando aplicável.
j) Resolução de conflitos
- Adoção de procedimentos para a criação de um ambiente de
mediação de conflitos decorridos de incidentes de vazamento
ou exposição indevida de dados pessoais, através de
plataforma de mediação online, para propiciar uma célere
resolução entre o titular de dados e o Cibrius.
k) Interface com terceiros
- Implementação de cuidados específicos na interface com
terceiros, inclusive os fornecedores que atuam como
operadores de dados pessoais em nome do Cibrius, com
expressa manifestação, sempre que aplicável, sobre a
aderência desta Entidade às exigências legais, bem como a
indicação de quais as providências foram ou estão sendo
adotadas pelo fornecedor para cumprimento das orientações de
proteção de dados pessoais e mitigação de riscos inerentes,
inclusive, mas não somente, no tocante a:
(i) medidas organizacionais e administrativas visando
garantir cultura de privacidade e proteção de dados
pessoais;
(ii) mecanismos internos de supervisão, de mitigação de
riscos, normas de segurança e padrões técnicos
destinados a dar segurança ao processo de tratamento de

11
 INSTITUTO CONAB DE SEGURIDADE SOCIAL

dados pessoais com o fim de evitar incidentes de

segurança;
(iii) providências de natureza técnica e organizacional
necessárias para proteger os dados pessoais contra a
destruição, acidental ou ilícita, a perda acidental, a
alteração, a difusão ou o acesso não autorizado, bem
como contra qualquer forma de tratamento ilícito ou
irregular;
(iv) acesso a dados pessoais e dados pessoais sensíveis
estritamente necessários e exclusivamente para
atendimento às finalidades do contrato mantido;
(v) atendimento às bases legais previstas na LGPD para
tratamento de dados pessoais e ou dados pessoais
sensíveis, conforme o caso;
(vi) eliminação de dados pessoais após o término de seu
tratamento, no âmbito e nos limites técnicos das
atividades objeto do contrato, observada a conservação
nas hipóteses autorizadas por lei;
(vii) adequação dos processos e atividades que envolvam
transferência internacional de dados pessoais às
condições previstas na LGPD;
(viii) manutenção de registro das operações de tratamento de
dados pessoais que realizarem, inclusive quando
baseado no legítimo interesse; e
(ix) atendimento de requisitos de segurança nos sistemas
utilizados.
4.6.2. Plano de Resposta a Incidentes
4.6.2.1. Não obstante a implementação das referidas ações e práticas para
evitar a ocorrência de violações a dados pessoais, o Cibrius deve
dispor de plano de resposta a incidentes, que congreguem o
monitoramento, comunicação e resposta a incidentes de segurança
da informação envolvendo dados pessoais.
4.6.2.2. Para salvaguarda dos direitos dos titulares de dados, o Cibrius deve
deliberar sobre os meios técnicos de monitoramento de incidentes,
bem como sobre os procedimentos em caso de eventual violação de
dados pessoais e a previsão dos componentes sobre o procedimento
de comunicação de incidentes, em observância às seguintes
diretrizes:

Equipes Planejamento Durante incidente

Fornecer orientação sobre detecção,
Seg. da Endereçar os dados comprometidos para
isolamento, remoção e preservação de
Informação/TI a condução de investigações internas.
sistemas e arquivos afetados.

12
 INSTITUTO CONAB DE SEGURIDADE SOCIAL

Equipes Planejamento Durante incidente

Limitar responsabilidade e Orientar em respostas, principalmente à
Jurídico
consequências econômicas (contratos). autoridade e partes interessadas.
Fornecer uma perspectiva dos
Servir de canal de comunicação com os
RH/Comunicação colaboradores e realizar treinamentos
colaboradores.
e palestras.
Administrativo/ Calcular e gerenciar o impacto Assegurar recursos para financiar a
Financeiro financeiro das contenções e correções. resolução do incidente.
Planejar comunicação estratégica e Assumir posição na linha de frente do
tática para informar e influenciar. incidente
Comunicação Estabelecer e manter uma mensagem
Aconselhar em como manter um bom
consistente e positiva aos participantes e
relacionamento com o público.
assistidos.
Diretoria Executiva,
Demonstrar valor na prevenção de Imediatamente alocar recursos e pessoal,
Compliance e
incidentes por meio de ações. publicamente comentar o incidente.
Controles Internos

4.6.3. Procedimentos pós-incidente

4.6.3.1. Quando da ocorrência de incidentes de segurança envolvendo dados
pessoais, independentemente do grau ou natureza do incidente, fica
a cargo do Encarregado conduzir investigação interna, com auxílio
das demais áreas que se fizerem necessárias, documentando toda a
extensão do incidente.
4.6.3.2. Portanto, caberá ao encarregado avaliar, quando necessário, a
comunicação de incidentes de segurança aos órgãos competentes
(Autoridade Nacional de Proteção de Dados - ANPD e o Ministério
Público do Distrito Federal e Territórios - MPDFT) e aos titulares,
quando aplicável, devendo comunicar:
(i) a descrição da natureza dos dados pessoais afetados;
(ii) as informações sobre os titulares envolvidos;
(iii) a indicação das medidas técnicas e de segurança utilizadas
para a proteção dos dados, observados os segredos comercial
e industrial;
(iv) os riscos relacionados ao incidente;
(v) os motivos da demora, no caso de a comunicação não ter sido
imediata; e
(vi) as medidas que foram ou serão adotadas para reverter ou
mitigar os efeitos do prejuízo ou novos incidentes.

13
 INSTITUTO CONAB DE SEGURIDADE SOCIAL

5. DISPOSIÇÕES GERAIS

5.1. Este Programa deverá ser revisado e atualizado a cada 2 (dois) anos, ou em menor
tempo, quando necessária a implementação de melhorias imediatas.

6. DA VIGÊNCIA

6.1. Esta norma entra em vigor a partir da data de sua aprovação pelo Conselho
Deliberativo do Instituto.

APROVADA

08ª Reunião Ordinária do

Conselho Deliberativo - Exercício
2020

EM 30/09/2020

14