- OBJETIVO
Toda informação deve ter regras claramente definidas pelo seu proprietário para proteção contra perda, alteração e acesso, seja ela armazenada em meio eletrônico (servidores de rede, estações de trabalho e notebooks), em papel (correspondências, atas, relatórios, manuscritos, etc.) ou outros meios.
Toda informação deve ter usuários explicitamente definidos (instituições, áreas, pessoas) e os tipos de direitos que cada um terá para acessá-la.
Toda informação deverá ter procedimentos para protegê-la do acesso de pessoas não autorizadas.
Toda informação que garanta a continuidade das atividades do sistema do Escritório de Advocacia S. F. C Dias, deverá ter cópia de segurança em local físico distinto, devidamente protegido para essa finalidade ou outro meio eficiente para permitir sua pronta recuperação em caso de perda ou danos.
As informações contidas em material que se tornar disponível para descarte deverão ser destruídas ou mantidas em locais fechados, protegidas do acesso de pessoas não autorizadas.
Todo colaborador do é responsável pela segurança da informação a que tem acesso.
Toda informação encontrada extraviada deverá ser, imediatamente, devolvida a sua origem.
Os equipamentos que contiverem informações, somente poderão ser deslocados para venda, manutenção, etc., quando certificado de que as informações neles contidos estejam tenham sidos destruídas.
2. RECOMENDAÇÕES PARA O TRATAMENTO DA INFORMAÇÃO
Os funcionários não devem efetuar tentativas de obter acesso às informações que não lhe são permitidos, devendo solicitá-las ao respectivo proprietário da informação, pasta ou arquivo.
A elaboração das normas e procedimentos de acesso deverá levar em consideração os riscos do acesso e alteração não autorizados, divulgação indevida e indisponibilidade dos dados, que tem por consequência às fraudes, problemas legais, perdas de negócios, danos à imagem e dificuldade na Recuperação da informação.
3. OBJETIVO E DIRETRIZES PARA CLASSIFICAÇÃO DA INFORMAÇÃO
A classificação da Informação tem o objetivo de proporcionar ao usuário a possibilidade de analisar suas informações, facilitando a definição do seu nível de acesso e condições de armazenamento, considerando sua confidencialidade, integridade e disponibilidade.
Todas as informações devem ser classificadas.
Toda a informação deverá ser considerada sigilosa e de alto risco até que se tenha estabelecido sua classificação.
A proteção proporcionada à informação, tanto em termos de acesso quanto de conservação, deve estar de acordo com sua classificação.
Quando em um mesmo meio físico existirem informações classificadas de formas diferentes, deve-se adotar, para fins de segurança, a classificação mais restrita.
Sempre que forem efetuadas alterações significativas em um sistema informatizado, ou nas características de uma informação, deverá ser comunicado aos usuários com antecedência e efetuada uma revisão de classificação.
4. CONCEITOS DE CONFIDENCIALIDADE
Os tipos de informações podem ser:
I. Informações Sigilosas: Informações extremamente restritas quanto a sua divulgação. São de alto valor por motivos estratégicos e/ou com grande possibilidade de provocar prejuízos, razão pela qual seu nível de proteção deve ser o mais alto possível;
II. Informações Confidenciais: Informações de caráter setorial e para divulgação a um reduzido grupo de pessoas de uma área ou setor de atividade;
III. Informações Internas: São aquelas que têm sua circulação restrita ao âmbito interno do escritório;
IV. Informações Públicas: São aquelas que circulam livremente, interna e externamente, singulares não havendo interesse em controlar sua divulgação e acesso.
5. CONCEITOS DE RESTRIÇÃO AO ACESSO
As restrições ao acesso podem ser:
I. Controlado: O acesso às informações sigilosas, confidenciais e internas, deverá ser determinado pela diretoria, que estabelecerá as áreas, pessoas e o nível desse acesso;
II. Não Controlado: As informações públicas não estarão sujeitas ao controle de acesso.
6. CONCEITOS DE NÍVEIS DE ACESSO
Os níveis de acesso podem ser:
I. Somente para consulta: Nível de acesso do usuário permite somente a leitura das informações.
II. Consulta e alteração: Nível de acesso do usuário permite efetuar mudanças nas informações disponibilizadas, como inclusão de pareceres, informações complementares, valores, etc.
7. TÉRMINO DO TRATAMENTO DE DADOS
Considerando a importância de se delimitar até qual momento há amparo legal para o tratamento de dados pessoais por parte das Autogestões, da leitura da LGPD facilmente chegamos à conclusão de que houve pouca atenção do legislador no que concerne ao tema.
A LGPD traz um rol exemplificativo de situações onde se finda a autorização legal para o tratamento de dado pelo Controlador.
No âmbito das Autogestões, pertinente citar as seguintes:
• verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada, observado eventual prazo prescricional das obrigações pertinentes à Autogestão;
• fim do período de tratamento;
• determinação da autoridade nacional, quando houver violação ao disposto na Lei.
Vale ser feita a ressalva de que os dados poderão ser conservados para fins de cumprimento de obrigação legal ou regulatória pelo Controlador. Pensando no cenário da saúde suplementar, deverão ser observadas as hipóteses legais que determinam o período mínimo de guarda de documentos, e, ante a necessidade de maior exploração do tema, será tratado mais à frente em um tópico específico.
Para fins da Lei, a eliminação de dados deverá ser feita de modo a ser impossível sua restauração ao estado anterior, não cabendo nesses casos a anonimização ou pseudonimização.
8. PERÍODOS PARA GUARDA DOS DOCUMENTOS
Na hipótese do tratamento de dados é feito fundamentado no consentimento do Titular e/ou para cumprimento de obrigação legal ou regulatória, sendo que para este último, tal como é o caso das Autogestões, é necessário se atentar aos prazos máximos para guarda de documentos dos beneficiários.
Quando pensamos na necessidade de guarda da documentação, é fundamental ter em mente que os regimes estabelecidos envolvem uma questão prescricional e/ou decadencial, devendo, portanto, considerar-se o período em que o Beneficiário possui para pleitear em juízo as relações inerentes ao contrato.
A título exemplificativo, vez que os períodos a seguir mencionados não contemplam todas as hipóteses de prazos para guarda de documentação, tem-se que o prazo prescricional relacionado à discussão de responsabilidades das Autogestões em virtude dos contratos por elas firmados, consoante jurisprudência pacífica do STJ, é de 10 (dez) anos.
Ainda, vale dizer que existem alguns documentos que por força de legislação específica possuem prazo diferenciado para armazenamento, como é o caso dos prontuários
médicos, que possuem o prazo para guarda de 20 (vinte) anos contados do último registro realizado.
É de suma importância o entendimento que se extrai do Código Civil prevê que ocorrerá a prescrição da pretensão de reparações na esfera civil no prazo de 3(três) anos.
Sendo assim, deverá ser avaliado caso a caso, a necessidade de tratamento daquele dado e qual o prazo obrigacional para guarda dos documentos pertinentes.
9- ELIMINAÇÃO E DESTRUIÇÃO DAS INFORMAÇÕES
Após o período e cumprido exigências acima os dados deveram ser excluídos de forma automática sem a interferência direta de um funcionário ou operador em meios digitais.
Os documentos em papel devem ser destruídos por trituradores de documentos de forma que fique impossível sua recuperação e o descarte seja feito de maneira segura.
Os equipamentos (computador, servidores e notebooks) terão seus hds removidos e apagados ou destruídos utilizando softwares de formatação específicos (wipe) ou desmagnetizados quando assim estiverem no seu termino de prazo de utilização.
De acordo com este Manual de procedimento para Tratamento de dados:
José Aloísio Leal – Diretora Geral
Milton T. de Souza – Analista de Segurança de Informação