Anatel define programa de governança em privacidade e política de proteção de dados
O programa de governança em privacidade da Agência Nacional de Telecomunicações (Anatel) entra em vigor no próximo 1º de julho. Resolução interna aprovada por unanimidade pelo Conselho Diretor determinou as diretrizes da iniciativa, que tem por objetivo adequar a autarquia à Lei Geral de Proteção de Dados (LGDP). Também a política de proteção de dados pessoais entra em vigor na mesma data.
De acordo com a Resolução interna nº 25/21, a governança de privacidade e proteção de dados inclui as estruturas de gestão de incidentes, a Comissão de Tecnologia da Informação e Comunicação, a Comissão de Gestão de Dados, o Comitê de Gestão de Riscos e o encarregado.
O encarregado é Maria Lucia Valadares e Silva, definida pela presidência da Anatel ainda em agosto de 2020, que terá como braço auxiliar o Escritório de Apoio à Proteção de Dados.
Três superintendências terão responsabilidades diferentes com relação ao programa: a Superintendência de Gestão Interna da Informação (SGI), a Superintendência de Relações com Consumidores (SRC), e a Superintendência de Administração e Finanças (SAF).
A SGI vai atender aos pedidos dos titulares dos dados para descarte, após o tratamento desses dados pela agência. Também será responsável pela anonimização, vai propor normas de controle de acesso a dados pessoas nos sistemas da Anatel, definir os mecanismos de auditoria do fluxo dos dados internamente e os mecanismos de segurança da informação e proteção de dados.
Já a SRC poderá solicitar adaptações à SGI para “comportar os requerimentos dos titulares dos dados” e apoiar o encarregado nas atividades de receber, realizar a triagem e responder consultas e reclamações dos titulares de dados.
Todas as superintendências que mexerem com algum dado pessoas deverão elaborar um Relatório de Impacto à Proteção de Dados, como exigido pela LGPD. Depois de tratados os dados, deverão solicitar seu descarte à SGI, nos casos em que não tenha relação com o propósito identificado e declarado do material coletado.
A SAF será responsável por rever procedimentos de tratamento de dados pessoais de servidores, colaboradores e fornecedores da agência, sempre com apoio do encarregado da agência.
A Comissão de Gestão de Dados fará o mapeamento de dados dentro da agência e manter o inventário de dados atualizado. O Comitê de Gestão de Riscos vai dizer se alguma operação de dados pessoais dentro da agência pode ferir os direitos dos titulares. Já a ETIR (Equipe de Tratamento e Resposta a Incidentes em Redes Computacionais) será responsável por emitir os alertas em caso de identificação de vazamentos.
O programa que se inicia terá ainda várias etapas a serem cumpridas, antes que a agência chegue de fato no funcionamento final idealizado, em que faz o monitoramento das atividades e reporta os resultados. A Anatel ainda fará um inventário de dados pessoais, levantamento de contratos relacionados com dados pessoais.
Também terá de elaborar um Plano de Resposta à Violação de Dados e desenvolver um processo de gerenciamento de violações para permitir a notificação dentro de 72 horas.
Política de proteção de dados pessoais da Anatel
A política de proteção de dados da agência foi definida na resolução interna nº 24/21. Determina que o tratamento de dados coletados visa “o cumprimento de obrigação legal ou regulatória e para a execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres”.
O tratamento de dados será feito nas seguinte formas:
I – processamento de pagamentos dos tributos recolhidos pela Agência;
II – processamento dos requerimentos de obtenção e renovação de outorga dos serviços de telecomunicações e de uso de radiofrequência;
III – processamento das solicitações dos consumidores dos serviços de telecomunicações;
IV – processamento das solicitações de homologação de produtos de telecomunicações;
V – processamento de requerimentos de informação para fiscalização da prestação dos serviços de telecomunicações;
VI – recebimento e processamento de comentários e sugestões às Consultas Públicas e demais instrumentos de participação social;
VII – processamento de dados relativos às empresas fornecedoras de bens e serviços; e,
VIII – processamento de solicitações feitas à Agência pelo usuário.
Dados anonimizados não serão considerados pessoais, exceto nos casos em que a anonimização possa ser revertida. As demandas do titular serão atendidas no prazo de 15 (quinze) dias, resguardados casos específicos expressos em normativos.