Lei Geral de Proteção de Dados e seus Impactos para asEntidades Fechadas de Previdência Complementar

Apresentação

✓ Formação superior nas áreas de direito, de TI, com MBA Executivo Internacional pela FIA/USP.

✓ Experiência de 15 anos na área de TI, desenvolvimento e implantação de sistemas, tendo exercido a função de Superintendente de Informática da Itaipu Binacional.

✓ Por 21 anos atuou como diretor da Fundação Itaipu Brasil de Previdência Complementar (FIBRA), nas posições de diretor administrativo e financeiro, diretor de seguridade e diretor superintendente.

✓ Foi também presidente da PREVIPAR, membro do Conselho de Administração e da Comissão Técnica Nacional de Investimentos da ABRAPP, da Comissão de Ética do SINDAPP, coordenou as comissões AD HOC de Precificação e Solvência e de CNPJ por plano, e participou da comissão temática de transferência de gerenciamento.

✓ Autor do livro "Previdência Social na Sociedade de Risco: o desafio da solidariedade com sustentabilidade", coautor do livro "PREVIDENCIA COMPLEMENTAR: Estudos em homenagem aos 15 anos da Legislação Federal".

✓ Em 2016 recebeu o Prêmio Nacional de Seguridade Social, na categoria Dirigente Nacional, concedido pela ABRAPP/ ICSS / SINDAPP, e também foi eleito Dirigente do Ano pela ANCEP.

✓ Atualmente atua como Consultor Independente e como Professor de cursos de pós-graduação na PUC/PR, EMATRA IX, Universidade Positivo, Uniabrapp (FIA e IBMEC).

Silvio Renato Rangel Silveira

Painel 1: A LGPC e os dados pessoais na área de previdência complementar

❑ Qual é nosso cuidado com a segurança dos dados e das informações?

❑ Reflexões iniciais sobre situações corriqueiras...

INFORMAÇÕES E DADOS TÊM ALGUM VALOR?

“são bens jurídicos a vida, a liberdade a propriedade, o casamento, a família, a honra, a saúde, enfim, todos os valores importantes para a sociedade”Teles (2004 p. 46)

“bens jurídicos são valores éticos sociais que o Direito seleciona, com o objetivo de assegurar a paz social, e coloca sob a sua proteção para que não sejam expostos a perigo de ataque ou a lesões efetivas.”(TOLEDO, 1994, p. 16).

O QUE TEM VALOR DEVE SER PROTEGIDO

COFRE (proteção)

DINHEIRO (valor)

Controle de acesso

O QUE TEM VALOR DEVE SER PROTEGIDO

“PERGUNTA:

Independente de aspectos legais, sua empresa entende que os dados pessoais têm valor?

Sua empresa adota, para os dados pessoais, as mesmas proteções que adota para outros bens ou recursos que têm valor?

O QUE TEM VALOR DEVE SER PROTEGIDO

“PERGUNTA:

Independente de aspectos legais, sua empresa entende que os dados pessoais têm valor?

Sua empresa adota, para os dados pessoais, as mesmas proteções que adota para outros bens ou recursos que têm valor?

SE SIM → sua adaptação para a LGPD será tranquila

SE NÃO → provavelmente seu esforço para atender a LGPD será maior

O QUE TEM VALOR DEVE SER PROTEGIDO

MUDANÇA DE CULTURA: O PONTO DE PARTIDA

SITUAÇÃO ANTERIOR: desprezo pela proteção aos dados pessoais

Se o dado pessoal não tem valor para você, haverá alguém disposto a pagar por ele...

MUDANÇA DE CULTURA: O PONTO DE PARTIDA

SITUAÇÃO ANTERIOR: desprezo pela proteção aos dados pessoais

MUDANÇA DE CULTURA: O PONTO DE PARTIDA

CRIAÇÃO DE UMA NOVA CULTURA DE VALORIZAÇÃO DO “DADO PESSOAL”

Todos na organização devem entender que os dados pessoais devem ser protegidos, utilizando, entre outros, os princípios fundamentais do respeito à privacidade, a inviolabilidade da intimidade, da honra e da imagem, os direitos humanos, entre outros.

Dado pessoal desprotegido, desamparado, desprezado

Dado pessoal valorizado, protegido, resguardado

Isso é mais do que processo: é cultura organizacional!

RISCOS E COMPLIANCE

GESTÃO DE RISCOS

COMPLIANCE

LGPD LGPD

RISCOS (CGPC 13)

Art. 12. Todos os riscos que possam comprometer a realização dos objetivos da EFPC devem ser continuamente identificados, avaliados, controlados e monitorados.

§ 1º Os riscos serão identificados por tipo de exposição e avaliados quanto à sua probabilidade de incidência e quanto ao seu impacto nos objetivos e metas traçados.

...

Art. 13. Os sistemas de controles internos devem ser continuamente reavaliados e aprimorados pela EFPC, com procedimentos apropriados para os riscos mais relevantes identificados nos processos de seus diferentes departamentos ou áreas.

Art. 14. A EFPC deve adotar regras e procedimentos voltados a prevenir a sua utilização, intencional ou não, para fins ilícitos, por parceiros de negócios, dirigentes, empregados e participantes e assistidos.

Art. 18. Os sistemas de informações, inclusive gerenciais, devem ser confiáveis e abranger todas as atividades da EFPC.

§ 1º Deve haver previsão de procedimentos de contingência e segregação de funções entre usuários e administradores dos sistemas informatizados, de forma a garantir sua integridade e segurança, inclusive dos dados armazenados.

RISCOS

RISCOS DA FALTA DE PROTEÇÃO A DADOS PESSOAIS

❑ FINANCEIROS✓ Multa de até R$ 50 milhões por evento (até 2% faturamento)✓ Demandas judiciais de eventuais afetados por vazamentos

❑ REPUTACIONAL (repercussão de vazamento sobre a confiança dos participantes. Se não tem processo para cuidar dos dados pessoais, será que tem processo para cuidar do dinheiro?)

Em um ambiente que a CONFIANÇA e a gestão de RECURSOS são a base do negócio, os riscos decorrentes da LGPD para fundos de pensão não devem ser desprezados.

Ressalva: Qual faturamento será base de cálculo para EFPC?

COMPLIANCE

COMPLIANCE

❑ Vem do inglês “to comply”, e visa assegurar o cumprimento das regras estabelecidas, a estar em conformidade com legislação, normas ou políticas, internas ou externas.

❑ Diferente do processo de fiscalização e auditoria, que é caracterizado por um evento determinado no tempo, o compliance se dá permanentemente, e envolve pessoas, processos e tecnologia.

COMPLIANCE

❑ Novas normas LGPD✓ Implantação de programa de compliance (caso não tenha)✓ Revisão do programa de compliance existente, agregando novas

atribuições.

❑ Alguns aspectos relevantes✓ Sistemas próprios x terceirizados✓ Informações em papel x digitalizadas x bancos de dados✓ Fornecedores / prestadores de serviços

GOVERNANÇA

ALGUNS ATORES ENVOLVIDOS

❑ Conselho Deliberativo – estabelecimento de políticas relacionadas ao tema, atribuição de responsabilidades, etc.

❑ Diretoria Executiva – assegurar o cumprimento da LGPD, mediante a introdução de todos os mecanismos necessários.

❑ Encarregado interno LGPD + Áreas + jurídico + TI → revisão dos

processos, para adequação a LGPD. Cumprir e fazer cumprir. ❑ Auditorias, Conselho fiscal – fiscalização da suficiência dos controles

introduzidos para atendimento a LGPD

DIAGNÓSTICO: PONTO DE PARTIDA

Prazo disponível é suficiente?

❑ Tendência inicial a minimizar o impacto e o esforço➢ “Lei não vai pegar”➢ “Risco de baixa probabilidade”➢ Projeto de simples implantação

❑ Diagnóstico qualificado pode fazer mudar a percepção➢ Dados pessoais diluídos em diferentes bases de dados e sistemas➢ Sistemas internos com equipe reduzida para manutenção➢ Dificuldades para ajustes nos processos, nos sistemas e na tecnologia➢ Ambiente tecnológico precário, com baixo nível de proteção a ataques➢ Falta de política de segurança de informação

❑ Planos de ação deverão ser diferentes para cada entidade, dependendo da estrutura existente e dos GAPs identificados.

❑ Sugestão: comece pela nomeação de um encarregado interno, pela criação de um grupo de trabalho envolvendo esse encarregado, a área jurídica, de TI, de riscos e de compliance, e elaborem um diagnóstico inicial.

❑ Esse diagnóstico será o ponto de partida, e dirá o quando vc deve ou não ficar preocupado.

DIAGNÓSTICO: PONTO DE PARTIDA

SUGESTÃO DE ETAPAS

❑ Preparação do ambiente: ✓ Investimento na mudança de cultura: “dado pessoal” tem valor e deve ser protegido ✓ Definição de um encarregado interno✓ Criação de um grupo de trabalho com encarregado + jurídica + TI + riscos + compliance

❑ Elaboração de Diagnóstico: ✓ Mapeamento dos dados pessoais armazenados na EFPC (participantes, empregados, fornecedores,

beneficiários, visitantes, etc)✓ Mapeamento do processo de obtenção, guarda e tratamento desses dados pessoais✓ Avaliação, para os dados obtidos, qual o enquadramento legal (consentimento, legítimo interesse,

execução de contrato, etc)

❑ Implantação das medidas necessárias: ✓ Elaboração / Revisão das Políticas de Segurança da Informação, Riscos, Compliance✓ Revisão dos processos relacionados✓ Revisão dos sistemas relacionados, e na infraestrutura de TI (se for o caso) ✓ Introdução de controles internos e monitoramento para assegurar o cumprimento do disposto nas

normas internas e externas. ✓ Auditorias periódicas

OBRIGADO!