I. INTRODUÇÃO

1. Em concordância com as Diretrizes emanadas de sua entidade Mantenedora, a União Cristã – Associação Social e Educacional, a FLT – Faculdade Luterana de Teologia (CNPJ 73.794.810/0002-11) tem como missão promover o ensino, a pesquisa e a extensão a partir de princípios educacionais e teológicos evangélico-luteranos e pietistas, contribuindo para a formação integral de pessoas que sejam livres para servir; e tem como visão ser uma Instituição de Ensino Superior de referência na formação teológica e humana e na gestão estratégica, de caráter cristão, em todos os níveis e espaços de sua atuação.
2. A partir de sua missão e visão a FLT entende que a privacidade é, nos termos da legislação internacional e brasileira vigentes, um direito fundamental da pessoa humana.
3. Em decorrência disso, a FLT compreende que em seus processos internos, onde existe tratamento de dados pessoais, as informações coletadas de titulares de dados passam por diferentes meios de suporte, armazenamento e comunicação, sendo estes vulneráveis a fatores externos e internos que podem comprometer a proteção de dados pessoais e afetar negativamente a privacidade destes seus titulares;
4. Visando fazer frente aos desafios da proteção de dados pessoais, bem como visando implantar os dispositivos exigidos pela Lei n° 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (LGPD), a FLT estabelece sua POLÍTICA GERAL DE PROTEÇÃO DE DADOS PESSOAIS – doravante PGPDP-FLT -, como parte integrante do seu sistema de gestão corporativo, compatível com os requisitos da legislação brasileira, além de boas práticas e normas internacionalmente aceitas, com o objetivo de garantir níveis adequados de proteção para os dados pessoais tratados pela organização.

II. PROPÓSITOS

1. Esta política tem por propósito formalizar os conceitos e estabelecer diretrizes de proteção de dados e de segurança da informação que permitam a FLT realizar o tratamento de dados pessoais, bem como proteger os ativos de informação de modo garantir a confidencialidade, integridade e disponibilidade das informações, bem como a privacidade e proteção de dados pessoais.
2. A política visa, ainda:
   1. orientar quanto à adoção de controles técnicos e administrativos para atendimento dos requisitos para proteção de dados pessoais em conformidade com a legislação vigente;
   2. resguardar os titulares dos dados pessoais que são tratados pela FLT, garantindo direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa humana;
   3. prevenir possíveis causas de violações de dados pessoais e incidentes de segurança da informação relacionados ao tratamento de dados pessoais; e
   4. minimizar os riscos de perdas financeiras, da confiança de clientes ou de qualquer outro impacto negativo no negócio da FLT como resultado de violações de dados.

III. ABRANGÊNCIA

Esta Política destina-se a todos os colaboradores, parceiros, fornecedores e prestadores de serviços da FLT.

IV. ESCOPO

Esta política se aplica a qualquer operação de tratamento de dados pessoais realizada pela FLT, independentemente do meio ou do país onde estejam localizados os dados, desde que:

1. a operação de tratamento seja realizada em território nacional brasileiro, ou por meio de entidade com a qual a FLT mantém parceria no exterior;
2. tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional ou em outros países;
3. os dados pessoais, objeto do tratamento, tenham sido coletados no território nacional.

V. DIRETRIZES E PRINCÍPIOS

O objetivo da proteção de dados na FLT é garantir a gestão sistemática e efetiva de todos os aspectos relacionados à proteção de dados pessoais e dos direitos dos seus titulares, provendo suporte às operações críticas do negócio e minimizando riscos identificados e seus eventuais impactos na organização.

1. Diretrizes gerais para a proteção de dados pessoais

A FLT adota por política as seguintes diretrizes gerais de proteção de dados pessoais:

1. Estar e atuar, em todos os níveis institucionais, em conformidade com as leis e regulamentações aplicáveis de proteção de dados pessoais e seguir as melhores práticas;
2. Proteger os direitos dos colaboradores, clientes, fornecedores e parceiros contra os riscos de violações de dados pessoais;
3. Ser transparente com relação aos procedimentos no tratamento de dados pessoais, e sempre que necessário, fornecer ao titular explicações suficientes sobre o tratamento de seus dados pessoais, conforme previsto na legislação vigente;
4. Garantir ao titular a escolha de permitir ou não o tratamento de seus dados pessoais, excetuando-se casos onde a lei aplicável permitir especificamente o processamento de dados pessoais sem o consentimento do titular;
5. Comunicar, de forma clara e adequadamente adaptada às circunstâncias, o tratamento de dados pessoais ao titular, antes do momento em que os dados são coletados ou usados pela primeira vez para um novo propósito;
6. Limitar a coleta de dados pessoais estritamente ao que é permitido de acordo com a legislação vigente, e os objetivos especificados na coleta do consentimento do titular dos dados pessoais, minimizando, onde possível, a coleta dos referidos dados pessoais;
7. Limitar o uso, retenção, divulgação e transferência de dados pessoais ao necessário para cumprir com objetivos específicos, explícitos e legítimos;
8. Reter dados pessoais apenas pelo tempo necessário para cumprir os propósitos declarados e, posteriormente, destruí-los, bloqueá-los ou anonimizá-los com segurança;
9. Bloquear o acesso a dados pessoais e não realizar mais nenhum tratamento quando os propósitos declarados expirarem, mas a retenção dos dados pessoais for exigida pela legislação vigente;

10.Garantir a precisão e qualidade dos dados pessoais tratados, excetuando-se casos onde exista uma base legal para manter dados desatualizados;

11.Fornecer aos titulares dos dados pessoais tratados, informações claras e facilmente acessíveis sobre as políticas, procedimentos e práticas com relação ao tratamento de dados pessoais realizado pela organização, incluindo quais dados são efetivamente tratados, a finalidade desse tratamento e informações sobre como entrar em contato para obter maiores detalhes;

12.Notificar titulares quando ocorrerem alterações significativas no tratamento dos seus dados pessoais;

13.Garantir que titulares tenham a possibilidade de acessar e revisar seus dados pessoais, desde que sua identidade seja autenticada com um nível apropriado de garantia, e que não exista nenhuma restrição legal a esse acesso ou a revisão dos dados pessoais;

14.Garantir a rastreabilidade e prestação de contas durante todo o tratamento de dados pessoais, incluindo quando dados pessoais forem compartilhados com terceiros;

15.Garantir que, na ocorrência de uma violação de dados, todas as partes interessadas serão notificadas, conforme requisitos e prazos previstos na legislação vigente;

16.Documentar e comunicar, conforme apropriado, todas as políticas, procedimentos e práticas relacionadas à privacidade e proteção de dados;

17.Tratar integralmente violações de dados, garantindo que sejam adequadamente registradas, classificadas, investigadas, corrigidas e documentadas;

18.Garantir a existência de um responsável por documentar, implementar e comunicar políticas, procedimentos e práticas relacionadas à privacidade e proteção de dados;

19.Adotar controles de segurança da informação, tanto técnicos quanto administrativos, suficientes para garantir níveis de proteção adequados para dados pessoais;

20.Disponibilizar políticas, normas e procedimentos para proteção de dados pessoais a todas as partes interessadas e autorizadas, tais como: empregados, terceiros contratados e, onde pertinente, clientes;

21.Garantir a educação e conscientização de empregados, terceiros contratados e, onde pertinente, parceiros e clientes, sobre as práticas de proteção de dados pessoais adotadas pela FLT;

22.Melhorar continuamente a gestão de proteção de dados pessoais através da definição e revisão sistemática de objetivos de privacidade e proteção de dados pessoais em todos os níveis da organização;

23.Garantir a não discriminação no tratamento de dados pessoais, impossibilitando que estes sejam usados para fins discriminatórios, ilícitos ou abusivos; e

24.Garantir o descarte de dados físicos e eletrônicos em consonância com as regulamentações específicas.

2. Princípios da Segurança da Informação

O compromisso com o tratamento adequado das informações da FLT, está fundamentado nos seguintes princípios:

1. Integridade: garantia de que a informação seja mantida em seu estado original, visando protegê-la, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais;
2. Confidencialidade: garantia de que o acesso à informação seja obtido somente por pessoas autorizadas; e
3. Disponibilidade: garantia de que os usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário.

3. Ciclo de Vida da Informação

Para efeito desta política, será considerado o seguinte ciclo de vida da informação:

1. Tratamento: é a etapa onde a informação é coletada, criada ou manipulada a fim de atingir as finalidades definidas para o tratamento;
2. Armazenamento: consiste na guarda da informação, seja em um banco de dados, em um papel, em mídia eletrônica externa, entre outros;
3. Transferência: ocorre quando a informação é transferida para um Operador ou compartilhada com outro Controlador, não importando o meio no qual ela está armazenada; e
4. Descarte: essa fase refere-se à eliminação de documento impresso (depositado na lixeira e/ou mantido em empresa de armazenagem), eliminação de arquivo eletrônico ou destruição de mídias de armazenamento (por exemplo, CDs, DVDs, disquetes, pen-drives).

VI. INSTÂNCIAS DE RESPONSABILIDADE E SUAS RESPONSABILIDADES

Para efeito desta política, A FLT, em sintonia com sua entidade mantenedora, União Cristã – Associação Social e Educacional, estabelece e esclarece abaixo as seguintes instâncias de responsabilidade, com as seguintes respectivas responsabilidades:

1. Conselho da Administração da União Cristã – Associação Social e Educacional

É de responsabilidade do Conselho da Administração da mantenedora União Cristã Associação Social e Educacional:

1. Definir o encarregado de proteção de dados, o DPO – Data Protection Officer;
2. Estabelecer o mandato do DPO; e
3. Garantir que a organização atenda aos requisitos desta política e a Lei Geral de Proteção de Dados.
4. Diretoria da FLT – Faculdade Luterana de Teologia É de responsabilidade da Diretoria da FLT:
5. Definir e aprovar a estrutura de governança para os assuntos de privacidade e proteção de dados;
6. Fazer o monitoramento permanente e efetivo da implementação das iniciativas de privacidade, incluindo os eventos relacionados a vazamento de dados pessoais; e
7. Garantir que no orçamento estejam previstos os recursos necessários para a implementação e gerenciamento das iniciativas de privacidade.

3. Encarregado de Proteção de Dados (DPO)

É de responsabilidade do Encarregado de Proteção de Dados (DPO – Data Protection

Officer):

1. Garantir a cultura de proteção de dados na empresa, a partir de treinamentos e

programas de capacitação sobre a importância da Segurança da Informação e

Proteção de Dados;

2. Investigar riscos e incidentes de segurança;
3. Garantir a privacidade como um padrão, e a incorporação de medidas de segurança, participando e orientando os projetos que envolvam Tratamento de dados pessoais a fim de validar a aderência aos requisitos da legislação e da regulamentação aplicáveis;
4. Promover a evolução do programa de proteção de dados, identificando riscos e oportunidades de melhoria;
5. Comunicar imediatamente incidentes de proteção de dados que causem danos aos direitos dos titulares de dados, para a ANPD e para os titulares de dados atingidos;
6. Atender as demais atribuições, conforme orientação da autoridade nacional de proteção de dados, definidas em normas complementares publicadas pelo referido órgão;
7. Preparar os relatórios de impacto à proteção de dados pessoais caso solicitado pela ANPD;
8. Integrar Comitê(s) de Trabalho de Assuntos ligados à LGPD e apoiá-lo em suas atribuições e deliberações;
9. Aceitar reclamações e comunicações e monitorar as solicitações dos Titulares de dados pessoais, a fim de garantir que sejam respondidas dentro do prazo, bem como prestar esclarecimentos e adotar as providências necessárias;

10.Apoiar a gestão das violações de dados pessoais, garantindo tratamento adequado e comunicando, em prazo razoável, a autoridade nacional e titulares afetados pela violação sempre que esta representar risco ou dano relevante aos titulares;

11.Receber comunicações da autoridade nacional de proteção de dados e adotar as providências necessárias;

12.Orientar os colaboradores, terceiros contratados e demais partes da FLT a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

13.Atuar junto a todas as demais instâncias de responsabilidade no ajuste das normas e procedimentos de segurança da informação, necessários para se fazer cumprir a presente Política no âmbito da instituição.

4. Comitê de Trabalho de Assuntos ligados à LGPD da FLT

1. A FLT institui e mantém, para lidar internamente com todas as questões ligadas à LGPD, um Comitê de Trabalho para Assuntos da LGPD.
2. O Comitê de Trabalho para Assuntos da LGPD é composto pelos seguintes membros, nomeados através de Portaria da Direção Geral da FLT, e homologados pelo Conselho Curador da FLT e pelo Conselho de Administração da Mantenedora União Cristã – Associação Social e Educacional:
   1. Coordenador Geral e representante da Direção Geral;
   2. Representante do      setor  acadêmico   e        do      Comitê         Gestor         do      Acervo

Acadêmico;

1. Representante do setor administrativo-financeiro;
2. Coordenador do setor de Marketing;
3. Representante do setor de TI – Tecnologia da Informação; e
4. Encarregado de Proteção de Dados (DPO).

3. São atribuições e responsabilidades do Comitê de Trabalho para Assuntos da LGPD da FLT:
   1. Cumprir e fazer cumprir todas as diretrizes e princípios da presente PGPDP-FLT, bem como cumprir e fazer cumprir a legislação vigente em todos os âmbitos da instituição;
   2. Garantir que o tratamento de dados pessoais seja realizado em conformidade com a PGPDP-FLT e a legislação vigente
   3. Analisar, revisar e aprovar políticas e normas relacionadas à proteção de dados pessoais;
   4. Garantir a disponibilidade dos recursos necessários para uma efetiva gestão da proteção de dados pessoais;
   5. Promover a divulgação da PGPDP-FLT e tomar as ações necessárias para disseminar uma cultura de proteção de dados pessoais no ambiente corporativo da FLT;
   6. Analisar e deliberar sobre possíveis violações, mesmo que por mera omissão ou tentativa não consumada, desta política, bem como demais normas e procedimentos de proteção de dados pessoais;
   7. Manter e gerir ouvidoria permanente sobre todas questões relacionadas à LGPD e à presente Política, seja recebendo manifestações

presencialmente, seja através do e-mail: contatolgpdflt@flt.edu.br

5. Área de Tecnologia da Informação

É de responsabilidade da área de Tecnologia da Informação da FLT:

1. Implementar salvaguardas e mecanismos de controle para proteção dos recursos de sistema em toda a empresa, reforçando os sistemas críticos quanto à segurança da informação;
2. Garantir a correta configuração dos sistemas para que somente usuários autorizados tenham acesso à informação; e
3. Adotar medidas proativas a fim de detectar riscos ou anormalidades no sistema.

6. Gerência, Coordenações e Líderes de Processo

É de responsabilidade da gerência, coordenação e líderes de processo:

1. Garantir que seus liderados cumpram as regras internas de privacidade e atuem de acordo com esta política;
2. Realizar treinamentos, programas de conscientização e comunicação do tema de privacidade de dados pessoais;
3. Revisar e manter atualizado o mapeamento de dados pessoais, junto com o Encarregado de proteção de dados (DPO); e
4. Monitorar o cumprimento das regras internas de privacidade.

7. Colaboradores

É de responsabilidade dos Colaboradores:

1. Cumprir e fazer cumprir, bem como respeitar a presente Política, o código de conduta e seguir todas as orientações sobre a privacidade e proteção de dados nela contidos, e observar a legislação brasileira em vigor;
2. Ler, compreender e cumprir integralmente os termos da política geral de proteção de dados pessoais, bem como as demais normas e procedimentos de proteção de dados pessoais aplicáveis;
3. Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a política geral de proteção de dados pessoais, suas normas e procedimentos ao Encarregado pelo Tratamento de dados pessoais (DPO) ou, quando pertinente, ao Comitê de Trabalho para Assuntos da LGPD;
4. Comunicar ao encarregado pelo tratamento de dados pessoais qualquer evento que viole esta política ou coloque/possa vir a colocar em risco dados pessoais tratados pela FLT;
5. Responder pela inobservância da política geral de proteção de dados pessoais, normas e procedimentos relacionados ao tratamento de dados pessoais, conforme definido no tópico relativo à sanções e punições;
6. Utilizar os equipamentos de informática e comunicação, sistemas e informações para a realização das atividades profissionais com responsabilidade. O uso pessoal dos recursos é permitido desde que não prejudique o desempenho dos sistemas e serviços; e
7. Relatar qualquer risco ou incidente de segurança da informação e proteção de dados aos responsáveis.

VII. COMUNICAÇÃO DE INCIDENTES

1. De forma geral um incidente de segurança é qualquer evento adverso, confirmado ou sob suspeita, que afete os princípios da segurança da informação: confidencialidade, integridade e disponibilidade dos dados. Alguns exemplos de incidente de segurança são:
   1. Perda ou roubo de dispositivos físicos, tais como notebooks ou dispositivos de armazenamento;
   2. Perda ou roubo de documentos que contenham dados pessoais;
   3. Acesso não autorizado a dados pessoais;
   4. Divulgação invertida de dados pessoais em virtude de “erro humano”;
   5. Divulgação inadvertida de dados pessoais em virtude de golpe, como resultado de procedimentos inadequados de verificação de identidade.
2. Sempre que houver um incidente de segurança é dever daquele que o percebeu comunicar o incidente para o DPO (Data Protection Officer), bem como para o Comitê de Trabalho para Assuntos da LGPD.

VIII. POLÍTICA DE CONFORMIDADE DE FORNECEDORES

As empresas prestadoras de serviços e fornecedores que manuseiem dados ou informações sensíveis, que sejam relevantes para a condução de suas atividades operacionais, devem estar adequadas à Lei Geral de Proteção de Dados e estas devem garantir, em contrato (ou aditivo), que:

1. Os dados transferidos para a empresa serão utilizados somente para os fins definidos no contrato de prestação de serviço e que não são utilizados para outros fins;
2. Os dados armazenados estão seguros e que são seguidas as melhores práticas de Segurança da Informação e Proteção de Dados; e
3. Em caso de vazamento de dados, como Controlador, será comunicado imediatamente para que possa tomar as devidas ações junto à ANPD.

IX. DESCARTE DE DOCUMENTOS FÍSICOS

1. A proteção de dados pessoais extrapola os meios digitais devendo ser aplicada também sobre os dados em meios físicos, como cópias de contrato, formulários de clientes, dados de cartão de crédito, entre outros.
2. Assim, sempre que estes documentos tenham cumprido sua finalidade é necessário que sejam descartados de forma a garantir a proteção de dados. Abaixo as orientações de como deve-se descartar alguns documentos:
   1. Cópias de Contratos – picotados através de uma fragmentadora de papel.
   2. [Outros documentos] – picotados através de uma fragmentadora de papel.
3. Em caso de dúvida deve-se procurar o DPO (Data Protection Officer) ou o Comitê de Trabalho para Assuntos da LGPD através do email: contatolgpdflt@flt.edu.br.

X. ATENDIMENTO AOS TITULARES

1. A Lei Geral de Proteção de Dados estipula alguns direitos aos titulares de dados que devem ser atendidos pelas empresas, são eles:
   1. Direito de conhecer o encarregado de dados – A LGPD determina que o encarregado deverá ter sua identidade e seus dados para contato identificados publicamente;
   2. Direito à informação – O titular de dados pessoais tem direito a informações que dizem respeito à finalidade do tratamento, à sua forma de operação, aos agentes envolvidos e aos direitos que poderá exercer contra o controlador, as quais deverão ser apresentadas de forma clara, adequada e ostensiva;
   3. Direito a solicitações de providência – o titular tem o direito de solicitar providências em relação aos seus dados mediante requisição, a qualquer momento e sem custos, tais como:
      1. confirmação da existência de tratamento;
      2. acesso aos dados pessoais objeto de tratamento;

• correção de dados incompletos, inexatos ou desatualizados;

1. entre outros.

2. A divulgação dos dados do Encarregado de Dados (DPO), bem como todas as informações sobre os tratamentos de dados realizados e como o titular pode solicitar providências, deve ser solicitado/requerido unicamente através do e-mail: contatolgpdflt@flt.edu.br. Desta forma, a FLT faz o registro de todas as movimentações inerentes à LGPD.

XI. GESTÃO DE RISCOS

1. Risco é a combinação da probabilidade de determinado evento ocorrer e o seu impacto no ativo e na operação da empresa, onde:
   1. Ativo é qualquer coisa que tenha valor para a organização (pessoas, equipamentos, sistemas, etc.);
   2. Evento é quando uma ameaça explora uma ou mais vulnerabilidades associadas a um ativo;
   3. Probabilidade consiste na medição de o quão provável é a ocorrência de um evento;
   4. Impacto traz a dimensão das consequências decorrentes do evento para o negócio caso determinada ameaça venha a explorar uma vulnerabilidade.
2. A avaliação de riscos é realizada sobre a lista de ativos, onde são identificados os possíveis eventos de proteção de dados e segurança da informação, que são avaliados quanto à probabilidade e impacto conforme as definições abaixo:
3. Essas definições resultam na matriz de risco, que é uma tabela de duas dimensões: probabilidade e impacto, por meio da qual é possível calcular e visualizar a classificação do risco e, com isso, identificar quais são os riscos que devem receber mais atenção.
4. A partir da classificação dos riscos conforme a matriz de riscos, são identificados quais riscos são mais críticos e determinada a estratégia de tratamento que podem ser:
   1. Diminuir o risco: esta opção inclui  a        implementação     de         salvaguardas

(controles) – por exemplo: implantar sistemas de firewall, antivírus etc;

1. Evitar o risco: parar de realizar certas tarefas ou processos se eles incorrerem em riscos que são muito grandes para mitigar com quaisquer outras opções – por exemplo: proibir a entrada de smartphones na área de desenvolvimento e pesquisa;
2. Compartilhar o risco: significa você transferir o risco para outra parte – por exemplo: mudar seu servidor local para um data center, assim são diminuídos os riscos físicos a que ele está exposto. Esta opção, por si só, pode não ser suficiente, então a melhor estratégia é usá-la em conjunto com uma das opções anteriores; e
3. Aceitar o risco: neste caso, a sua organização aceita o risco sem fazer nada a respeito. Esta opção deveria ser usada apenas se os custos de mitigação forem maiores do que o dano que um incidente poderia causar.

5. Após concluídas as ações de tratamento de riscos, é feita uma nova avaliação dos riscos para calcular o risco residual.
6. A avaliação de riscos é revisada anualmente ou na aquisição de um novo ativo.

XII. PLANO DE RESPOSTA AOS INCIDENTES GRAVES

O objetivo deste plano é reagir de forma rápida e assertiva a incidentes de segurança que violam os direitos dos titulares de dados de modo a limitar seus danos, reduzir o tempo de recuperação, evitar ou diminuir possíveis custos e aumentar a transparência e confiança dos titulares quanto ao tratamento dos seus dados pessoais. Observando as seguintes fases:

1. Constituição do Comitê de Crise (Comitê de Trabalho para Assuntos da LGPD)

1. Sempre que identificado um incidente de segurança, constitui-se o

comitê de crise formado pelos integrantes do Comitê de Trabalho para Assuntos da LGPD. Este comitê terá a duração necessária para superar a crise e será liderado pela Presidência da empresa.

1. O trabalho do Comitê de Crise deve prever as seguintes atividades que podem ser adaptadas conforme o caso:
   1. Definir o problema para ter clareza sobre o que exatamente está acontecendo. Qual é o grupo de titulares foi afetado, a extensão do problema e quais os tipos de dados foram afetados;
   2. Levantar informações relevantes para identificar os fatos, descartar boatos, conversar com quem for diretamente responsável pelo problema e entender o que realmente aconteceu a fim de definir o que poderá ser feito;

• Centralizar a comunicação para que todas as comunicações acerca do incidente partam deste comitê. Tal medida se faz indispensável para minimizar informações desencontradas;

1. Comunicar o mais breve possível e com frequência, o público interno e externo com informações relevantes, a fim de demonstrar transparência nas ações e mantê-los seguros de que o problema está sendo tratado com todo o cuidado e responsabilidade;
2. Definir as estratégias de mídia mais adequadas para que a comunicação chegue aos titulares atingidos pelo incidente.

2. Ação imediata para interromper ou minimizar o incidente

1. O primeiro passo para a interrupção do incidente é avaliar se existem planos de contingência formalizados para tomar as ações já previstas para o tipo de incidente;
2. Caso o incidente não esteja previsto neste documento, é necessário avaliar com rapidez as possíveis ações para interrompê-lo, sempre levando em consideração o menor impacto nos direitos dos titulares.

3. Investigar o incidente

1. A liderança sobre o processo de investigação do incidente é do Encarregado de Dados, que deverá buscar o apoio de todas as áreas da empresa para esclarecer o ocorrido;
2. A área de TI deve auxiliar no rastreamento e investigação das questões de segurança assim como para analisar os sistemas comprometidos para levantar a extensão dos danos.

4.Restaurar os recursos afetados

1. Novamente o primeiro ponto de consulta para as ações a serem tomadas deve ser o Plano de Contingências, se houver;
2. Caso o incidente não tenha sido previsto em nenhum destes dois documentos, deve-se levantar as possíveis ações e levar para a decisão do comitê de crise.

5. Comunicar o incidente

Imagem, reputação e credibilidade são ativos muito importantes para qualquer negócio. Assim, determinar as estratégias de mídia e comunicação é atribuição do Comitê de Crise, que será responsável por elaborar as mensagens chaves, as quais devem incluir informações sobre o que aconteceu, o que a organização está fazendo a respeito e como está cooperando com as autoridades relevantes.

6. Comunicar titulares

1. Primeira comunicação: num primeiro momento, é possível, que não se tenham todas as informações sobre o incidente, porém, para uma maior transparência na relação com os titulares de dados deve-se fazer uma comunicação informando que se está ciente do problema e que está tomando todas as providências para resolver a questão.
2. Por exemplo: “Apesar de todas as ações de Segurança da Informação e Proteção de Dados que promovemos, fomos vítimas de um incidente de vazamento de dados. Ainda não temos informações suficientes para determinar a extensão do problema, porém já tomamos as seguintes ações a fim de contê-lo: [enumerar as ações]. Pautamos nossa atuação na Ética e Transparência, e por isso nosso objetivo é deixar tudo esclarecido o mais breve possível. Outras comunicações serão enviadas com o desenrolar dos fatos.”
3. Outras comunicações: Todas as outras comunicações com os titulares de dados deverão ser definidas pelo Comitê de Crise, levando-se em conta todo o cenário do incidente.

7. Comunicar a Agência Nacional de Proteção de Dados

1. A LGPD define que a comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:
2. A descrição da natureza dos dados pessoais afetados ii. As informações sobre os titulares envolvidos;
   • A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

1. Os riscos relacionados ao incidente;
2. Os motivos da demora, no caso de a comunicação não ter sido imediata; e
3. As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

1. A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:
   1. Ampla divulgação do fato em meios de comunicação; e
   2. Medidas para reverter ou mitigar os efeitos do incidente.

XIII. DEFINIÇÃO DO ENCARREGADO DE DADOS (DPO)

A Lei Geral de Proteção de Dados determina que o encarregado deverá ter sua identidade e seus dados para contato identificados publicamente. O DPO (Data Protection Officer) será nomeado(a) através de ata do Conselho de Administração, com período de mandato estabelecido, e independentemente do(a) selecionado(a), os temas relacionados à LGPD e esta política, deverão ser tratados através do e-mail: contatolgpdflt@flt.edu.br e forma a evidenciar e registrar todas as ocorrências.

XIV. SANÇÕES E PUNIÇÕES

1. As violações, mesmo que por mera omissão ou tentativa não consumada, desta Política Geral de Proteção de Dados Pessoais da FLT, bem como demais normas e procedimentos de proteção de dados pessoais, serão passíveis de penalidades previstas no Regimento Interno da FLT;
2. Cabe ao Comitê de Trabalho para Assuntos da LGPD analisar as infrações, devendo-se considerar a gravidade, efeito alcançado, recorrência e as hipóteses previstas no estatuto do servidor ou artigo 482 da consolidação das Leis do Trabalho, e recomendar a abertura de processos Administrativo de Sindicância, quando cabível;
3. No caso de terceiros contratados ou prestadores de serviço, o Comitê de Trabalho para Assuntos da LGPD deve analisar a ocorrência e deliberar sobre a efetivação das sanções e punições conforme termos previstos em contrato;
4. Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em riscos aos titulares de dados pessoais, ou dano à FLT, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes sem prejuízo aos termos descritos nos itens XIV 1, 2 e 3 (acima), desta política.

XV. CASOS OMISSOS

1. Os casos omissos serão avaliados pelo Comitê de Trabalho para Assuntos da LGPD para posterior deliberação.
2. As diretrizes estabelecidas nesta Política e nas demais normas e procedimentos de proteção de dados pessoais, não se esgotam em razão da contínua evolução tecnológica, da legislação vigente e constante surgimento de novas ameaças e requisitos. Desta forma, não se constitui rol enumerativo, sendo obrigação do usuário da informação da FLT adotar, sempre que possível, outras medidas de segurança além das aqui previstas, com o objetivo de garantir proteção de dados pessoais tratados pela

FLT.

XVI. DOCUMENTOS RELACIONADOS OU COMPLEMENTARES

Faz parte da presente Política a Política de Privacidade da FLT.

XVII. GLOSSÁRIO

1. Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
2. Autoridade Nacional de Proteção de Dados Pessoais: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados Pessoais (LEI Nº 13.709, DE 14 DE AGOSTO DE 2018) em todo território nacional brasileiro;
3. Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
4. Comitê de Trabalho para Assuntos da LGPD: Grupo de trabalho multidisciplinar permanente, efetivado pelos órgãos deliberativos da Mantenedora União Cristã e pela Direção Geral da FLT, que tem por finalidade tratar questões ligadas à proteção de dados pessoais;
5. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
6. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
7. Dado Anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
8. Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
9. Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável;

10.Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

11.Incidente: um incidente, evento ou atividade real ou suspeita que comprometa a segurança dos sistemas de TI da Empresa ou de seus dados.

12.Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

13.Segurança da informação: A preservação das propriedades de confidencialidade, integridade e disponibilidade das informações da FLT;

14.Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

15.Tratamento de dados pessoais: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

16.Usuário da informação: Colaboradores com vínculo empregatício de qualquer área dos setores e departamentos que compõem a FLT ou terceiros alocados na prestação de serviços à FLT, indiferente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizadas a utilizar manipular qualquer ativo de informação da FLT para o desempenho de suas atividades profissionais;

17.Violação de dados pessoais: situação em que dados pessoais são processados violando um ou mais requisitos relevantes de proteção da privacidade;

18.Encarregado de dados (DPO – Data Protection Officer): é uma pessoa nomeada pelo controlador que terá como uma de suas funções a mediação entre a organização, os titulares dos dados pessoais e o governo por meio da ANPD. Também conhecido como DPO – Data Protection Officer.

XVIII. GESTÃO DA POLÍTICA – REVISÕES E ATUALIZAÇÕES

1. Esta política é revisada e atualizada com periodicidade anual ou sempre que necessário ou requerido por lei, conforme o entendimento do Comitê de Trabalho para Assuntos da LGPD, ou ainda por iniciativa da Direção Geral da FLT, bem como dos órgãos deliberativos superiores da mantenedora União Cristã – Associação Social e Educacional (Conselho Curador da FLT; Conselho de Administração da mantenedora União Cristã Associação Social e Educacional).
2. A presente atualização da Política entra em vigor na data de sua aprovação pela Diretoria da FLT.

Documento aprovado (a) pelo Comitê de Trabalho para

Assuntos da LGPD da FLT em 26 de janeiro de 2024; (b) pela Diretoria da FLT em 26 de janeiro de 2024.

*** FIM ***