Saltar a contenido

Proteção de dados

English Español

Objetivo

Esta página ajuda a Cafh a cuidar da informação que lhe foi confiada. O foco principal está nos dados de membros usados para registros, coordenação e serviço.

Por que esta página importa

Mesmo um conjunto pequeno de dados merece respeito. A informação de membros é guardada em um marco de confiança, e essa confiança pede clareza, medida e bom registro. Práticas simples sobre acesso, armazenamento, exportação, backup e trabalho com terceiros ajudam a Cafh a cuidar das pessoas de forma constante. Também ajudam o comitê a responder com coerência quando surge uma pergunta ou um incidente.

Riscos que esta página busca reduzir

  • Acesso não autorizado
  • Coleta de dados em excesso
  • Cópias espalhadas em ferramentas pessoais
  • Backups fracos ou recuperação sem sucesso
  • Tratamento fraco de dados por fornecedores
  • Dano a membros por exposição ou perda

Regras centrais

Estas regras dão à Cafh uma disciplina simples de privacidade. A meta não é um grande programa legal. A meta é coletar menos, compartilhar menos e manter registros melhores sobre o que a Cafh guarda e para quê.

  • Classificar a informação de acordo com sua sensibilidade e impacto potencial.
  • Conceder acesso apenas a quem realmente precisa para exercer sua função.
  • Utilizar repositórios aprovados em vez de cópias dispersas ou pessoais.
  • Revogar acessos de imediato após mudança de papel ou vínculo.
  • Manter um registro simples de privacidade para dados de membros, fornecedores, país de armazenamento, datas de retenção e notas de segurança.

Base de dados de membros

A base de dados de membros pede cuidado constante. Ela é um dos poucos lugares onde dados pessoais, operação diária e confiança se encontram no mesmo sistema. Uma propriedade fraca ou registros fracos podem causar dano mesmo com uma plataforma técnica sólida.

  • Manter um responsável claro pela base de dados.
  • Manter um contato técnico ou fornecedor para suporte.
  • Usar senhas fortes e autenticação multifator.
  • Revisar acessos a cada 3 meses.
  • Registrar exportações, mudanças em massa e mudanças de estrutura.
  • Testar backups e recuperação em um ritmo definido.

Dispositivos pessoais e cópias locais

A maior parte das pessoas da Cafh usa dispositivos pessoais. Essa realidade aumenta o risco de cópias espalhadas, perda, roubo e proteção desigual. Por isso a Cafh deve manter dados restritos dentro de sistemas aprovados e reduzir cópias locais em dispositivos pessoais.

Para dispositivos pessoais:

  • Guardar dados restritos em local só para tarefa breve e clara
  • Apagar cópias locais ao encerrar a tarefa
  • Evitar pastas pessoais de sincronização para dados restritos
  • Evitar perfis familiares ou compartilhados para arquivos da Cafh
  • Registrar exportações de dados de membros e outros arquivos sensíveis
  • Escalar qualquer dispositivo perdido, roubado ou comprometido que tenha dados da Cafh

Consciência de GDPR para dados de membros da UE

Para registros de membros ligados a pessoas da UE ou do EEE, o comitê deve tratar o caso como sensível ao GDPR. Essa revisão deve ocorrer mesmo com a Cafh ou um fornecedor operando fora da UE. O comitê deve registrar o propósito do uso dos dados, a base legal, os sistemas envolvidos e os fornecedores que recebem os dados.

Para esses registros:

  • Dar ao membro um aviso de privacidade claro e em linguagem simples
  • Guardar só os dados necessários para o propósito declarado
  • Manter os dados atualizados
  • Definir datas de revisão ou eliminação
  • Registrar país de armazenamento e caminho de transferência

Direitos de membros da UE

Estes direitos são práticos. Dão às pessoas um caminho para pedir o que a Cafh guarda, como usa esses dados e como corrige erros. O comitê deve tratar cada pedido com cuidado e com registro escrito.

Sob o GDPR, membros da UE podem pedir:

  • Informação sobre o uso de seus dados
  • Acesso aos seus dados
  • Correção de dados inexatos
  • Eliminação em casos nos quais os dados já não precisem ser guardados ou tenham sido usados de forma ilícita
  • Limitação do tratamento em casos específicos
  • Portabilidade quando esse direito se aplicar
  • Oposição em casos específicos

Procedimento para pedidos de privacidade da UE

Um processo sereno protege tanto a pessoa quanto a organização. Ajuda a responder com exatidão e evita que a revisão dependa de memória ou mensagens informais.

  1. Registrar data do pedido, pessoa e direito solicitado.
  2. Confirmar identidade antes de revelar ou alterar dados.
  3. Enviar o caso ao comitê no mesmo dia.
  4. Identificar cada sistema e fornecedor que tenha esses dados.
  5. Responder sem demora e com meta de 1 mês.
  6. Registrar a ação tomada, a data e os dados que precisem ficar guardados por razões legais ou operacionais.
  7. Quando a Cafh não puder conceder todo o pedido, registrar o motivo e informar o caminho de reclamação.

Processamento por terceiros

Muitas falhas de privacidade começam fora da base principal. Começam em exportações, canais de suporte, backups ou ferramentas de terceiros. Por isso a revisão de fornecedores faz parte da proteção de dados.

Com cada fornecedor externo que trate dados da Cafh, confirmar:

  • Quais dados são coletados
  • Onde ficam armazenados
  • Quem pode acessá-los
  • Como podem ser exportados ou eliminados
  • O que acontece ao encerrar o serviço

Para dados de membros da UE, o comitê deve confirmar ainda:

  • Se o fornecedor atua só sob instruções da Cafh
  • Se o contrato cobre confidencialidade, segurança, pedidos de direitos e apoio em incidentes
  • Se os dados saem do EEE
  • Qual base de transferência sustenta essa saída, como decisão de adequação ou cláusulas contratuais padrão
  • Quais subprocessadores podem receber esses dados

Resposta

Possíveis perdas de dados, acessos não autorizados ou compartilhamentos acidentais devem ser escalados rapidamente para reduzir impacto e facilitar a contenção.

Para dados de membros da UE, tratar perda, exposição ou acesso não autorizado como caso GDPR desde o início. Registrar quando a Cafh tomou conhecimento do caso. Avaliar de imediato o risco para direitos e liberdades. Quando esse risco existir, preparar aviso à autoridade relevante dentro de 72 horas a partir do conhecimento. Quando o risco for alto, preparar aviso claro para as pessoas afetadas. Manter juntos o registro do incidente, o registro do fornecedor e as correções posteriores.

Dados públicos e restritos

O portal não precisa de um sistema complexo de etiquetas. Precisa de uma linha clara entre material aberto e material que pode afetar membros ou o trabalho interno. Essa linha ajuda a escolher a ferramenta e o canal corretos.

  • O conteúdo do site público é dado público.
  • Perfis de membros e registros internos são dados restritos.
  • Toda nova forma de compartilhar dados restritos deve passar pelo comitê.

Outras normas de privacidade a observar

GDPR não é a única regra que pode importar. A Cafh trabalha entre países, línguas e fornecedores. Essa realidade pode trazer mais de um dever legal para o mesmo caso.

  • O UK GDPR pode importar para registros ligados a pessoas do Reino Unido.
  • A LGPD do Brasil pode importar para registros, fornecedores ou operações ligadas ao Brasil.
  • Regras nacionais sobre arquivos, tributos, trabalho e entidades sem fins lucrativos podem afetar retenção e avisos.
  • Quando duas normas de privacidade apontarem para caminhos distintos, usar o caminho mais estrito até a revisão do comitê.