MANUAL DE BOAS PRÁTICAS
EM PROTEÇÃO DE DADOS PESSOAIS 

TRANSPRESSERV SERVIÇOS DE LINHAS DE TRANSMISSÃO ELÉTRICA LTDA
MANUAL DE BOAS PRÁTICAS DE PROTEÇÃO DE DADOS PESSOAIS

Primeira versão em agosto de 2023.

I – INTRODUÇÃO

A TRANSPRESSERV SERVIÇOS DE LINHAS DE TRANSMISSÃO ELÉTRICA LTDA é uma Empresa que presta serviços de construção civil e possui seu Programa de Integridade, composto pelo conjunto de mecanismos e procedimentos de prevenção, detecção e combate a irregularidades e ilegalidades, bem como Código de Conduta Ética, Políticas e Manuais sobre os temas mais relevantes para sua atuação no mercado.

A Política de Proteção e Tratamento de Dados Pessoais da Construtora tem como objetivo proteger os direitos fundamentais de liberdade e de preservação da intimidade, além de promover o livre desenvolvimento da personalidade, explicitando os fundamentos e princípios para colher, tratar e utilizar dados pessoais que estejam sob sua responsabilidade.

O presente Manual de Boas Práticas de Proteção de Dados Pessoais, por sua vez, expõe os procedimentos adotados pela Empresa relacionados à (1) segurança da informação, (2) governança de dados e (3) gestão de riscos.

II – CONCEITOS ESSENCIAIS

* Dado Pessoal é a informação relacionada a uma pessoa natural.

Este dado pessoal é considerado um dado sensível se estiver relacionado com a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, ou, ainda, se for referente à vida sexual, saúde, genética ou um biométrico, vinculado a uma pessoa natural.

  1. Tratamento de dados é toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, ou controle da informação, modificação, comunicação, transferência, difusão de um dado pessoal. Os prazos para a eliminação de dados pessoais, assim como a fundamentação legal que autoriza os descartes, encontram-se elencados no Anexo.
  2. Agentes de Tratamento de dados pessoais são o Controlador e o Operador. O Controlador é quem toma as decisões referentes ao tratamento de dados pessoais e o Operador realiza o tratamento de dados pessoais em nome do Controlador.
  3. Segurança da Informação é o conjunto de ações de preservação
    da confidencialidade, integridade e disponibilidade da informação
    pessoal dos titulares dos dados.
  4. Governança de Dados são as regras que estabelecem as condições de organização, regime de funcionamento,
    procedimentos, normas de segurança, padrões técnicos,
  5. obrigações especificas para os diversos envolvidos no tratamento,
  6. ações educativas e mecanismos internos de supervisão e de
    mitigação de riscos.
  7. Gerenciamento de Riscos consiste no processo de identificar, quantificar e gerenciar os riscos relacionados à segurança da informação dentro da Empresa, para minimizar as vulnerabilidades inerentes ao uso de dados pessoais.

    III – SEGURANÇA DA INFORMAÇÃO


    A TRANSPRESSERV SERVIÇOS DE LINHAS DE TRANSMISSÃO ELÉTRICA LTDA disporá de uma gama de documentos que formam a Política de Segurança da Informação. Esse arcabouço documental destaca os principais instrumentos no seu site, https://www.transpresserv.com.br/. O restante das peças que completam a Política acima citada são documentos internos da Empresa: Relatório de Impacto à Proteção de Dados (RIPD); Inventário de Operadores de Dados – (Record Of Processing Activities –
    ROPA    ); Cláusulas Base da LGPD e Integridade para Contratos de Pessoa Física e Jurídica.

    PRINCÍPIO DA SEGURANÇA DOS DADOS

    Um dos princípios norteadores da Política de Proteção de dados da Empresa é o Princípio da Segurança, do qual decorre a adoção de medidas técnicas e também no âmbito administrativo para proteção das informações dos titulares contra tentativas de acesso não autorizado e de situações acidentais, ilícitas ou outras formas de tratamento inadequado dos dados pessoais.

    PRINCÍPIO DA PREVENÇÃO

    O Princípio da Prevenção garante a adoção e implementação das mais atualizadas medidas para prevenir a ocorrência de danos no tratamento dos dados pessoais colhidos pela Empesa.

    PRINCÍPIO DA TRANSPARÊNCIA

    A atuação transparente da Empresa estabelece mecanismos de participação do titular e de supervisão, internos e externos, de forma que este monitoramento contínuo possibilita atualização constante do Programa.

    A TRANSPRESSERV SERVIÇOS DE LINHAS DE TRANSMISSÃO ELÉTRICA LTDA tem uma estrutura enxuta e segura para a proteção de dados pessoais, tanto pelos meios físicos, quanto pelos meios digitais.

    IV – SEGURANÇA DE DADOS ARMAZENADOS EM MEIOS FÍSICOS

    Pelos meios físicos, os dados são protegidos pela guarda dos documentos em arquivos com acesso restrito, sempre sob a responsabilidade das coordenações diretas das áreas e da Alta Administração da Empresa.

    V – SEGURANÇA DE DADOS ARMAZENADOS EM MEIOS DIGITAIS

    Pelos meios digitais, a TRANSPRESSERV SERVIÇOS DE LINHAS DE TRANSMISSÃO ELÉTRICA LTDA conta com a Política de Segurança da Informação, com servidores e diversos procedimentos de segurança no tratamento dos dados sob sua responsabilidade.

    VI – REDE LOCAL

    O Servidor de Arquivos da Rede Local armazena arquivos como documentos, planilhas e vídeos, os quais são acessados por PCs e notebooks devidamente autorizados. Sendo assim, somente os funcionários terão acesso ao Servidor. Com base na Política de Segurança da Informação, o servidor local armazena os dados, identifica os processos, respeitando sua estrutura hierárquica, gerencia as transferências e demais operações que envolvem as informações, como leitura e gravação, isso de forma organizada pelos seus respectivos usuários.

    VII – SERVIDOR DE REDE ADDS

    O Servidor Active Directory Domais Services (ADDS) é utilizado para armazenamento de dados das contas dos usuários da rede e dispõe de autenticação e acesso por meio de senhas. Ele fornece os métodos para armazenar dados e disponibiliza para os usuários e administradores da rede.

    VIII – SERVIDOR DE REDE FIREWALL – PFSENSE

    Considerado equivalente a uma Central Unificada de Gerenciamento de Ameaças (UTM) – Unified Threat Management), o Servidor funciona de acordo com a Política de Segurança da Informação. Possui relatórios em Gráficos RRD, com modelagem de tráfego e filtragem.

    IX – SERVIDOR DE APLICAÇÃO

    O Servidor de aplicação é responsável pela execução de várias funções corporativas e por atender os diversos usuários. O Servidor mantém as bases de dados centralizadas, atualizadas e armazenadas.

    X – GOVERNANÇA DE DADOS

    A Política de Segurança da Informação da     TRANSPRESSERV SERVIÇOS DE LINHAS DE TRANSMISSÃO ELÉTRICA LTDA aborda a governança em privacidade de dados e tem como objetivo estabelecer relação de confiança com o titular dos dados pessoais, é também aplicável a todo o conjunto de dados que estejam sob responsabilidade da Empresa. 

    A Governança também é responsável por supervisionar processos internos, com base     nos procedimentos de avaliação sistemática de impactos e riscos à privacidade, que asseguram o cumprimento das normas e das boas práticas relativas à proteção dedados.

    O monitoramento contínuo dos procedimentos e as avaliações periódicas mantém a     Política de Segurança da Informação e a governança em privacidade de dados constantemente atualizada.

    XI – MECANISMOS DE SUPERVISÃO

    A Política de Segurança da Informação da Empresa, por meio dos documentos citados no Item III, elenca mecanismos de supervisão que podem ser direta ou indiretamente utilizados na avaliação dos processos de tratamento de dados pessoais dos colaboradores da TRANSPRESSERV SERVIÇOS DE LINHAS DE TRANSMISSÃO ELÉTRICA LTDA. Esses mecanismos devem ser implantados e atualizados pela Alta Direção, coordenadorias e, caso necessário, assessorias externas.

    Os mecanismos de supervisão estão diretamente ligados à gestão da Política de Segurança da Informação. A Empresa conta com auditorias internas e externas que avaliam tanto o Programa de Integridade como o de Conformidade à LGPD.

    XII – BOAS PRÁTICAS

    São consideradas boas práticas para a TRANSPRESSERV SERVIÇOS DE LINHAS DE TRANSMISSÃO ELÉTRICA LTDA:

    • Coleta e tratamento de dados em estrita obediência ao Princípio da Finalidade, da Adequação e da Necessidade;
    • Controles de acesso e controles de segurança, inclusive relacionados ao trabalho diário;
    • Uso de senhas fortes para o acesso e tratamento de dados;
    • Vedação à reutilização de senhas;
    • Utilização de autenticação multi fatores (MFA), como o envio de código de segurança por short message service (SMS) ou por e-mail, o uso de aplicativos autenticadores e o uso de tokens de segurança;
    • Acesso a dados compatível com a necessidade e finalidade da permissão do acesso;
    • Procedimentos de autenticação, que identifica quem acessa o sistema ou os dados, e procedimentos de autorização, que determinam o que o usuário identificado pode fazer;
    • Manutenção da confidencialidade dos logins e das senhas de acesso das estações de trabalho;
    • Bloqueio os computadores quando se afastar das estações de trabalho;
    • Confirmação da identidade do titular de dados e dar a ele o acesso às suas informações e sobre a forma de tratamento de seus dados pela Empresa;
    • Garantia ao titular o acesso e o gerenciamento de seus dados;
    • tratamento e compartilhamento de dados com transparência e segurança;
    • Atualização de Softwares e Hardwares;
    • Utilização de rede interna de computadores;
    • Uso de serviços de armazenamento de dados no servidor interno da Empresa;
    • Correto uso do correio eletrônico;
    • Correto uso de dispositivos móveis (celular e laptops);
    • Utilização de antivírus;
    • Restrição de acesso a determinados sites;
    • Identificação de phishing;
    • Cuidados com pop-up e com acesso à links enviados à Empresa sob diversas formas;
    • Manutenção constante de atualização de cópias de segurança das informações;
    • Realização de transferência segura de dados pessoais para da estação de trabalho, para dispositivo de armazenamento externo com pendrive ou disco rígido externo, caso estritamente necessário e mediante controles adicionais de segurança;
    • Manutenção dos documentos físicos que contenham dados pessoais dentro de arquivos com chaves e com acesso restrito;
    • Gerenciamento dos contratos da Empresa no que toca às obrigações de confidencialidade, sigilo dos dados pessoais, segurança da informação, compartilhamento de dados, bem como quanto à distribuição de funções e responsabilidades das partes;
    • Ficha de solicitação de contrato que contém declaração de ciência sobre o tratamento dos dados para fins de contratação;
    • Treinamento dos colaboradores sobre como utilizar os controles de segurança de dados;
    • Manutenção de uma Política de Proteção de Dados e Política de Privacidade, para garantir a segurança da informação;
    • Zelo pelos princípios éticos da empresa e pelo cumprimento da Política de Proteção de Dados da Empresa e medidas de segurança da informação;
    • Divulgação do Programa de Integridade da Empresa;
    • Obediência à legislação sobre proteção de dados e às regras da Agência Nacional de Proteção de Dados – ANPD;
    • Manutenção de procedimentos de monitoramento do tratamento dos dados, procedimentos de Auditoria, com registro do que foi feito pelo titular dos dados;
    • Monitoramento dos riscos e vulnerabilidades;
    • Disseminar a cultura ética da Empresa quanto ao tratamento dos dados pessoais, para que operações sejam realizadas com a máxima segurança;
    • Gerenciamento de riscos, com a adoção de medidas adequadas para reverter ou mitigar os riscos envolvidos em caso de ocorrência de incidente de dados; 
    • Realização da comunicação de ocorrência de incidente de segurança o próprio titular dos dados e à Autoridade Nacional;

    XIII – GERENCIAMENTO DE RISCOS

    A TRANSPRESSERV SERVIÇOS DE LINHAS DE TRANSMISSÃO ELÉTRICA LTDA adota as medidas adequadas para reverter ou mitigar danos em caso de ocorrência de incidente, além de seguir seus planos de resposta e remediação imediata destes incidentes.

    XIV – COMUNICAÇÃO DE INCIDENTES

    Caso ocorra um incidente de segurança que possa acarretar risco ou dano relevante ao titular dos dados, a Empresa comunicará imediatamente a Autoridade Nacional de Proteção de dados e o próprio titular.

    A comunicação conterá a descrição da natureza dos dados pessoais afetados, informações sobre os titulares envolvidos e indicará as medidas técnicas e de segurança utilizadas para a proteção dos dados, assim como os riscos relacionados ao incidente.

    XVI – PLANOS DE RESPOSTA A INCIDENTES E REMEDIAÇÃO

    Em caso de falha no tratamento de dados, a primeira medida a ser tomada consiste em corrigir a irregularidade. A segunda medida trata de indicar a razão da inconsistência na contenção de riscos e as providências quanto às correções que possam mitigar futuras violações. Esses processos estão dispostos na Política de Segurança da Informação da Empresa.

    XVII – CANAL DE DENÚNCIA

    Por meio de um Canal de Denúncia, que será amplamente divulgado no site da TRANSPRESSERV SERVIÇOS DE LINHAS DE TRANSMISSÃO ELÉTRICA LTDA, é possível informar a ocorrência de incidentes e também a existência de vulnerabilidades, de forma a contribuir com o aprimoramento contínuo da Política de Segurança de Dados e da Política de Proteção de Dados.

    O Canal de Denúncia será administrado por instituição externa independente. As denúncias, sugestões, reclamações e mensagens afins são recebidas de forma independente, sem conhecimento ou ingerência da Alta Direção e dos colaboradores da TRANSPRESSERV SERVIÇOS DE LINHAS DE TRANSMISSÃO ELÉTRICA LTDA.

    Sendo recebida denúncia de violação de dados pessoais sob responsabilidade da Empresa, a instituição externa independente apresentará a situação à Oficial de Compliance, que deverá convocar o Comitê de Ética para a avaliação, e possível instauração investigativa sobre a denúncia.

    XVIII – CONCLUSÃO

    A TRANSPRESSERV SERVIÇOS DE LINHAS DE TRANSMISSÃO ELÉTRICA LTDA preza pela aplicação das ferramentas contidas em sua Política de Segurança da Informação, assim como em suas Políticas de Integridade, mantendo foco em medidas preventivas e reativas a fim de proporcionar segurança e transparência para seus clientes e para todos que mantém um relacionamento profissional com a Empresa.

    POLÍTICA DE PRIVACIDADE

    Nosso site busca oferecer uma navegação com conteúdos de qualidade mantendo a segurança e integridade dos dados coletados dos seus usuários, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD). Acesse a Política aqui