Política de governança da informação

Objetivo

Implementar o modelo de governança de informações na Saúdevianet que assegure o aumento da eficiência na gestão de dados e minimize os riscos operacionais, zelando:

  1. – pela existência, consistência, integridade, precisão e relevância das informações;
  1. – pela racionalização dos processos de captação de dados e de utilização das informações.

Descrição

  1. Introdução

Considerando a necessidade da adoção de um modelo de governança da informação, para fins de cumprimento aos pilares da Lei Geral de Proteção de Dados e legislação correlata, especialmente considerando ser imperioso que se mantenha diuturnamente a realização de boas práticas envolvendo dados pessoais e todo tipo de informação, informatizada ou não, seja de clientes, colaboradores, terceirizados, estagiários e outros titulares de dados bem como dados relacionados ao próprio negócio da instituição, aliado ainda à avalanche de casos de ataques cibernéticos que podem comprometer a segurança da informação e até mesmo a continuidade do negócio, faz-se necessário estabelecer o presente Programa de Governança da Informação.

  1. Estrutura

A estrutura da Governança da Informação no âmbito da Saúdevianet visa assegurar a execução das melhores práticas de gestão, tendo por atividades avaliar, medir e dirigir a atuação corporativa e será composta por:

  1. Comitê de Governança da Informação (CGI);
  2. Encarregado de Proteção de Dados (DPO);
  3. Operadores de Dados;
  1. Comitê de Governança da Informação:
  1. O Comitê de Governança da Informação (CGI) visa a coordenação e aplicação de diretrizes estratégicas para liderança, estrutura organizacional e processos que garantam a atuação da empresa em conformidade com a LGPD e será composto pelo Gestor de Tecnologia da Informação – CTO, pela Gestora Administrativa/Financeira/RH da Saúdevianet, mais um suplente, terá a coordenação do Encarregado de Proteção de Dados ELIANDRO GOMES e ficará responsável por:
  1. implementar a Política de Governança da Informação;
  1. dirimir dúvidas quanto à sua implementação;
  1. auxiliar na definição de controles para garantir a integridade, confidencialidade e disponibilidade dos dados pessoais e registros auditáveis de todo ciclo de vida dos dados pessoais;
  1. decidir sobre assuntos relacionados à prestação recorrente de informações à Saúdevianet;
  1. decidir acerca de eventuais conflitos relacionados à proteção de dados nos setores da empresa, bem como os casos omissos;
  1. propor alterações na Política que se fizerem necessárias, quando puderem afetar a realização de atividades inerentes ao próprio negócio da empresa;
  1. orientar as áreas da empresa em caso de mudanças de finalidades de tratamento;
  1. Apoiar na resposta aos incidentes de segurança que envolvam dados pessoais;
  1. Realizar acompanhamento legislativo/regulatório sobre o tema;
  1. determinar a realização de levantamentos de impactos da captação de novos dados e dos já existentes na base da Saúdevianet.
  1. Os critérios de divulgação de informações da Saúdevianet serão definidos pelo CGI, respeitada a legislação correlata.
  2. O CGI definirá sobre a suspensão da captação de informações e a extinção das bases de dados que não estejam em conformidade com esta Política de Governança ou quando houver a necessidade de alteração ou revogação de algum normativo.
  3. O CGI se reunirá conforme calendário a ser definido pelo Encarregado de Proteção de Dados, ou em caráter extraordinário por convocação do mesmo.
  4. As Decisões do Comitê serão tomadas por maioria simples e, no caso de empate, compete ao Encarregado de Proteção de Dados o voto qualitativo.
  1. Encarregado de Proteção de Dados
  1. O Encarregado de Proteção de Dados (DPO) tem como atribuição específica (i) atender os titulares de dados; (ii) receber comunicações da Autoridade Nacional de Proteção de Dados Pessoais – ANPD, (iii) orientar os funcionários e contratados da organização e executar as demais atribuições determinadas pelo controlador e pelo Comitê de Governança da Informação ou estabelecidas em normas complementares, e também será responsável por:

a) Organizar e/ou ministrar treinamentos em proteção de dados pessoais aos colaboradores ou prestadores de serviço, promovendo a cultura de proteção de dados pessoais na Saúdevianet;

b) Elaborar e/ou revisar os procedimentos internos relativos à proteção de dados pessoais;

c) Realizar a comunicação do Programa de Proteção de Dados ao CGI nas reuniões;

d) Apoiar na manutenção atualizada do mapeamento dos fluxos de dados pessoais pelos colaboradores e  decidir pela aplicação de eventual medida corretiva ou punitiva;

e) Zelar para que os titulares de dados sejam informados sobre seus direitos, obrigações e responsabilidades sobre a proteção de dados, além de aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências de acordo com a política de governança;

f) Responder às consultas e apresentar recomendações sobre a aplicação das regras de privacidade junto às Áreas de Negócios e demais Agentes de Tratamento;

g) acompanhar os processos administrativos correspondentes, deliberando sobre a suspensão das ações coercitivas quando do restabelecimento da normalidade na prestação das informações.

  1. Operadores de Dados
  1. O Operador de uma base de dados será todo colaborador ou pessoa que, de qualquer forma, tenha acesso a dados pessoais, sejam em modalidade física ou informatizada, ainda que eventualmente, por atender os seguintes critérios:

a) possuir interesse direto na utilização da fonte de dados para execução de subprocessos ou atividades na cadeia de atividades da empresa;

b) demonstrar conhecimento e comprometimento suficientes que assegurem a qualidade dos dados sob sua responsabilidade;

  1. Os Operadores são responsáveis por:
  1. garantir e controlar a qualidade dos dados;
  1. definir e manter requisitos, regras de negócio e métricas para a qualidade de dados;
  1. prover auxílio quanto à análise de dados e à melhoria de sua qualidade;
  1. identificar e resolver eventuais problemas dos dados sob sua responsabilidade;
  2. manter atualizada a documentação sobre a base de dados sob sua responsabilidade no relatório de informações;
  1. definir as regras de acesso aos dados em conjunto com o Encarregado de Proteção de Dados.
  1. DISPOSIÇÕES GERAIS FINAIS

Disposições gerais finais

  1. Os Integrantes são responsáveis por conhecer e entender toda a Documentação Orientadora aplicável a eles.
  2. Da mesma forma, os gestores são responsáveis por garantir que todos os seus colaboradores entendam e sigam as Documentações Orientadoras aplicáveis da Saúdevianet.
  1. As definições acerca da base de dados, bem como dos novos fluxos de informações da Saúdevianet devem ser estabelecidas por meio de instrumento normativo adequado e ser submetidas ao CGI, para avaliação da adequação à Política de Governança da Informação;
  1. Uma base de dados está de acordo com a Política de Governança somente se:

– Há Operadores formalmente orientados sobre as diretrizes da Política de Privacidade de Dados;

– Está documentada na Política de Privacidade de Dados;

  1. As ações necessárias à execução do Modelo de Governança da Informação serão desenvolvidas no âmbito da Política de Privacidade de Dados e no Plano de Continuidade do Negócio e obedecerão ao cronograma de ações a serem empreendidas a partir de ___/___/___, sob a coordenação do Encarregado de Proteção de Dados.

Registro

OrdemCódigoNome do Registro
001001Política de Gestão de Incidentes à Segurança da Informação
  1. COMITÊ DE SEGURANÇA DA INFORMAÇÃO
  1. O Comitê de Segurança da Informação é a instância maior para as decisões referentes às ações de segurança da informação;
  2. Os casos omissos serão resolvidos pelo Comitê de Segurança da Informação.

Violações de qualquer Documentação Orientadora da Saúdevianet podem resultar em consequências graves para esta instituição e para os Integrantes envolvidos. Portanto, a não observância desta Política ou a qualquer outra Norma relacionada à Segurança da Informação assim como a omissão de uma violação deste instrumento poderá resultar em uma ação disciplinar contra qualquer(qualquer) integrante(s) envolvido(s).

Os Integrantes que apresentarem dúvidas ou preocupações com relação a esta Política, inclusive o escopo, os termos ou as obrigações deste documento, devem entrar em contato com sua respectiva área de TI ou com seu Líder.