Política de governança da informação
Objetivo
Implementar o modelo de governança de informações na Saúdevianet que assegure o aumento da eficiência na gestão de dados e minimize os riscos operacionais, zelando:
- – pela existência, consistência, integridade, precisão e relevância das informações;
- – pela racionalização dos processos de captação de dados e de utilização das informações.
Descrição
- Introdução
Considerando a necessidade da adoção de um modelo de governança da informação, para fins de cumprimento aos pilares da Lei Geral de Proteção de Dados e legislação correlata, especialmente considerando ser imperioso que se mantenha diuturnamente a realização de boas práticas envolvendo dados pessoais e todo tipo de informação, informatizada ou não, seja de clientes, colaboradores, terceirizados, estagiários e outros titulares de dados bem como dados relacionados ao próprio negócio da instituição, aliado ainda à avalanche de casos de ataques cibernéticos que podem comprometer a segurança da informação e até mesmo a continuidade do negócio, faz-se necessário estabelecer o presente Programa de Governança da Informação.
- Estrutura
A estrutura da Governança da Informação no âmbito da Saúdevianet visa assegurar a execução das melhores práticas de gestão, tendo por atividades avaliar, medir e dirigir a atuação corporativa e será composta por:
- Comitê de Governança da Informação (CGI);
- Encarregado de Proteção de Dados (DPO);
- Operadores de Dados;
- Comitê de Governança da Informação:
- O Comitê de Governança da Informação (CGI) visa a coordenação e aplicação de diretrizes estratégicas para liderança, estrutura organizacional e processos que garantam a atuação da empresa em conformidade com a LGPD e será composto pelo Gestor de Tecnologia da Informação – CTO, pela Gestora Administrativa/Financeira/RH da Saúdevianet, mais um suplente, terá a coordenação do Encarregado de Proteção de Dados ELIANDRO GOMES e ficará responsável por:
- implementar a Política de Governança da Informação;
- dirimir dúvidas quanto à sua implementação;
- auxiliar na definição de controles para garantir a integridade, confidencialidade e disponibilidade dos dados pessoais e registros auditáveis de todo ciclo de vida dos dados pessoais;
- decidir sobre assuntos relacionados à prestação recorrente de informações à Saúdevianet;
- decidir acerca de eventuais conflitos relacionados à proteção de dados nos setores da empresa, bem como os casos omissos;
- propor alterações na Política que se fizerem necessárias, quando puderem afetar a realização de atividades inerentes ao próprio negócio da empresa;
- orientar as áreas da empresa em caso de mudanças de finalidades de tratamento;
- Apoiar na resposta aos incidentes de segurança que envolvam dados pessoais;
- Realizar acompanhamento legislativo/regulatório sobre o tema;
- determinar a realização de levantamentos de impactos da captação de novos dados e dos já existentes na base da Saúdevianet.
- Os critérios de divulgação de informações da Saúdevianet serão definidos pelo CGI, respeitada a legislação correlata.
- O CGI definirá sobre a suspensão da captação de informações e a extinção das bases de dados que não estejam em conformidade com esta Política de Governança ou quando houver a necessidade de alteração ou revogação de algum normativo.
- O CGI se reunirá conforme calendário a ser definido pelo Encarregado de Proteção de Dados, ou em caráter extraordinário por convocação do mesmo.
- As Decisões do Comitê serão tomadas por maioria simples e, no caso de empate, compete ao Encarregado de Proteção de Dados o voto qualitativo.
- Encarregado de Proteção de Dados
- O Encarregado de Proteção de Dados (DPO) tem como atribuição específica (i) atender os titulares de dados; (ii) receber comunicações da Autoridade Nacional de Proteção de Dados Pessoais – ANPD, (iii) orientar os funcionários e contratados da organização e executar as demais atribuições determinadas pelo controlador e pelo Comitê de Governança da Informação ou estabelecidas em normas complementares, e também será responsável por:
a) Organizar e/ou ministrar treinamentos em proteção de dados pessoais aos colaboradores ou prestadores de serviço, promovendo a cultura de proteção de dados pessoais na Saúdevianet;
b) Elaborar e/ou revisar os procedimentos internos relativos à proteção de dados pessoais;
c) Realizar a comunicação do Programa de Proteção de Dados ao CGI nas reuniões;
d) Apoiar na manutenção atualizada do mapeamento dos fluxos de dados pessoais pelos colaboradores e decidir pela aplicação de eventual medida corretiva ou punitiva;
e) Zelar para que os titulares de dados sejam informados sobre seus direitos, obrigações e responsabilidades sobre a proteção de dados, além de aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências de acordo com a política de governança;
f) Responder às consultas e apresentar recomendações sobre a aplicação das regras de privacidade junto às Áreas de Negócios e demais Agentes de Tratamento;
g) acompanhar os processos administrativos correspondentes, deliberando sobre a suspensão das ações coercitivas quando do restabelecimento da normalidade na prestação das informações.
- Operadores de Dados
- O Operador de uma base de dados será todo colaborador ou pessoa que, de qualquer forma, tenha acesso a dados pessoais, sejam em modalidade física ou informatizada, ainda que eventualmente, por atender os seguintes critérios:
a) possuir interesse direto na utilização da fonte de dados para execução de subprocessos ou atividades na cadeia de atividades da empresa;
b) demonstrar conhecimento e comprometimento suficientes que assegurem a qualidade dos dados sob sua responsabilidade;
- Os Operadores são responsáveis por:
- garantir e controlar a qualidade dos dados;
- definir e manter requisitos, regras de negócio e métricas para a qualidade de dados;
- prover auxílio quanto à análise de dados e à melhoria de sua qualidade;
- identificar e resolver eventuais problemas dos dados sob sua responsabilidade;
- manter atualizada a documentação sobre a base de dados sob sua responsabilidade no relatório de informações;
- definir as regras de acesso aos dados em conjunto com o Encarregado de Proteção de Dados.
- DISPOSIÇÕES GERAIS FINAIS
Disposições gerais finais
- Os Integrantes são responsáveis por conhecer e entender toda a Documentação Orientadora aplicável a eles.
- Da mesma forma, os gestores são responsáveis por garantir que todos os seus colaboradores entendam e sigam as Documentações Orientadoras aplicáveis da Saúdevianet.
- As definições acerca da base de dados, bem como dos novos fluxos de informações da Saúdevianet devem ser estabelecidas por meio de instrumento normativo adequado e ser submetidas ao CGI, para avaliação da adequação à Política de Governança da Informação;
- Uma base de dados está de acordo com a Política de Governança somente se:
– Há Operadores formalmente orientados sobre as diretrizes da Política de Privacidade de Dados;
– Está documentada na Política de Privacidade de Dados;
- As ações necessárias à execução do Modelo de Governança da Informação serão desenvolvidas no âmbito da Política de Privacidade de Dados e no Plano de Continuidade do Negócio e obedecerão ao cronograma de ações a serem empreendidas a partir de 04/05/2022, sob a coordenação do Encarregado de Proteção de Dados.
Registro
Ordem | Código | Nome do Registro |
001 | 001 | Política de Gestão de Incidentes à Segurança da Informação |
- COMITÊ DE SEGURANÇA DA INFORMAÇÃO
- O Comitê de Segurança da Informação é a instância maior para as decisões referentes às ações de segurança da informação;
- Os casos omissos serão resolvidos pelo Comitê de Segurança da Informação.
Violações de qualquer Documentação Orientadora da Saúdevianet podem resultar em consequências graves para esta instituição e para os Integrantes envolvidos. Portanto, a não observância desta Política ou a qualquer outra Norma relacionada à Segurança da Informação assim como a omissão de uma violação deste instrumento poderá resultar em uma ação disciplinar contra qualquer(qualquer) integrante(s) envolvido(s).
Os Integrantes que apresentarem dúvidas ou preocupações com relação a esta Política, inclusive o escopo, os termos ou as obrigações deste documento, devem entrar em contato com sua respectiva área de TI ou com seu Líder.