PRJ-SI-005 — Adequação LGPD e Proteção de Dados
Status: Em andamento Prioridade: Alta Responsável: Ismael Freitas (C&F) · Assis Freitas (Direção) Normativa: PSI - Política de Segurança da Informação Art. 60–61 · LGPD Lei nº 13.709/18 **Projeto-pai:**Conformidade - Segurança e Proteção de Dados]
Objetivo
Adequar as operações da Fortes Sertão Central à Lei Geral de Proteção de Dados (LGPD), garantindo que todo tratamento de dados pessoais de clientes, colaboradores e terceiros tenha base legal, finalidade definida e controles técnicos/gerenciais adequados.
Contexto — Papel da Franquia no Ecossistema de Dados
| Papel LGPD | Situação | Dados envolvidos |
|---|---|---|
| Controladora | Fortes Sertão Central decide sobre dados de seus clientes e colaboradores | Dados cadastrais, contratos, folha |
| Operadora | Fortes Sertão Central trata dados em nome de clientes escritórios (contábeis) | Dados de funcionários dos clientes nos sistemas Fortes |
| Titular | Colaboradores, clientes e usuários | Têm direitos LGPD garantidos |
Como operadora para escritórios contábeis, a franquia deve ter DPA (Data Processing Agreement) com seus clientes.
Etapas do Projeto
1. Mapeamento de Tratamento de Dados (ROPA)
Inventariar todos os fluxos de dados pessoais:
| Dado | Finalidade | Base legal | Operador | Prazo de retenção |
|---|---|---|---|---|
| Dados cadastrais de clientes | Prestação de serviço | Execução de contrato | Fortes Sertão Central | Duração do contrato + 5 anos |
| Dados de colaboradores | Relação de emprego | Obrigação legal (CLT) | Fortes Sertão Central / RH | Duração + 5 anos |
| Dados de funcionários dos clientes | Suporte a sistemas Pessoal/Ponto | Execução de contrato | Fortes Sertão Central (operadora) | Duração do contrato |
| Logs de acesso remoto | Segurança e auditoria | Legítimo interesse | TI/SI | 1 ano |
Tabela a completar durante levantamento com gestores.
2. Definição de Bases Legais
Para cada categoria de dado, identificar a base legal (LGPD Art. 7 e 11):
- Consentimento · Execução de contrato · Obrigação legal · Legítimo interesse · Proteção de crédito
3. Contratos e Instrumentos Jurídicos
| Instrumento | Com quem | Situação |
|---|---|---|
| DPA (Acordo de Processamento de Dados) | Clientes escritórios contábeis | ⬜ A verificar/elaborar |
| NDA com fornecedores | Fornecedores que acessam dados | ⬜ A verificar |
| Declaração de conformidade LGPD | Novos fornecedores | ⬜ A incluir no processo de contratação |
| Política de Privacidade | Clientes e titulares | ⬜ Verificar se existe versão da franqueadora |
4. Direitos dos Titulares
Definir procedimento para atender requisições de titulares (prazo LGPD: 15 dias):
- Acesso · Correção · Anonimização · Portabilidade · Eliminação · Revogação de consentimento
5. Medidas Técnicas de Proteção
- Criptografia em dados sensíveis em trânsito e repouso
- Controle de acesso por necessidade (mínimo privilégio)
- Logs de acesso a dados pessoais sensíveis
- Plano de resposta a vazamentos (ver PRJ-SI-004 - Gestão de Incidentes de Segurança)
Notificação de Incidentes com Dados Pessoais (LGPD Art. 48)
Em caso de incidente com dados pessoais com risco ou dano relevante:
- Notificar a ANPD em prazo razoável (referência: 72 horas da ciência)
- Notificar os titulares afetados
- Notificar a Fortes Tecnologia (matriz) — verificar protocolo no FanFortes On
Checklist de Aderência
| Item | Obrigação | Status |
|---|---|---|
| ROPA (mapa de tratamento de dados) elaborado | LGPD Art. 37 | ⬜ Pendente |
| Base legal definida para cada tratamento | LGPD Art. 7/11 | ⬜ Pendente |
| DPA com clientes operadores elaborado | LGPD Art. 39 | ⬜ Pendente |
| Procedimento de atendimento a direitos dos titulares | LGPD Art. 18 | ⬜ Pendente |
| Fornecedores demonstram conformidade LGPD | PSI Art. 51 | ⬜ Pendente |
| Privacy by design aplicado em novos sistemas | PSI Art. 61 | ⬜ Pendente |
| Protocolo de notificação de incidentes definido | LGPD Art. 48 | ⬜ Pendente |