PDD.01.001
Rev. 01
Papeis e Responsabilidades
11.1 Comitê RiskCo
É responsabilidade do comitê RiskCo:
a) Indicar o Encarregado de Proteção de Dados.
b) Avaliar desvios de governança reportados pelo comitê de governança de Dados, através do processo de classificação e reporte determinados pela Matriz de Governança.
11.2 Encarregado de proteção de dados
É responsável por:
a) Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
b) Receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar providências cabíveis;
c) Orientar os funcionários e os contratados da CMOC Brasil a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
d) Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares;
e) Organizar, presidir e suportar o comitê de governança de dados na tomada de decisão;
f) Suportar os times nos ajustes aplicáveis às normas e procedimentos internos;
g) Identificar e avaliar possíveis ameaças à proteção de dados;
h) Propor e, se aprovado, suportar a implantação de medidas de mitigação de riscos;
i) Monitorar e garantir tratamento adequado e comunicação das violações de dados, em prazo razoável, à Autoridade Nacional de Proteção de Dados (ANPD) e titulares afetados sempre que houver risco ou dano relevante aos titulares.
§ parágrafo único: A CMOC definiu internamente que a atividade exclusiva de comunicação externa com a ANPD será conduzida pelo Gerente de Relações Governamentais.
11.3 Comitê de Governança de Dados (CGD)
Nomeia-se, através dessa política, o comitê de governança de dados com a participação das gerências das áreas (ou de coordenador indicado pelas áreas): Relações Governamentais, Gestão de Contratadas, Tecnologia da Informação, Jurídico, Governança, RH e Encarregado de Proteção de Dados, sendo o último o responsável pelo comitê.
O Comitê de Governança de Dados é responsável por:
a) Analisar, revisar e aprovar a Política de Proteção de Dados CMOC;
b) Analisar o resultado dos relatórios de impacto de proteção de dados elaborados;
c) Avaliar os incidentes de dados pessoais (efeito/causa/ação);
d) Avaliar a estratégia de divulgação de incidentes junto a diretoria e a área de comunicação institucional;
e) Aprovar ações de mitigação de riscos e novos procedimentos relacionados a proteção de dados;
f) Avaliar a eficácia das ações relacionadas a contenção e reparação de danos;
g) Opinarsobreaformaedimensionamentodaseventuaisreparaçõesdedanos;
h) Garantir a disponibilidade dos recursos necessários para efetiva Gestão de Proteção de Dados Pessoais;
i) Promover a divulgação das políticas e procedimentos e tomar as ações necessárias para disseminar a cultura de proteção de dados pessoais.
11.4 Tecnologia da Informação (TI)
É responsabilidade do time de Tecnologia da Informação:
a) Refletir nas políticas e procedimentos do departamento os requisitos documentados neste documento;
b) Implantar medidas de segurança, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação, ou qualquer forma de tratamento inadequado ou ilícito, conforme padrões mínimos recomendados pela autoridade nacional de proteção de dados pessoais;
c) Apoiar o Encarregado de Proteção de Dados e ao titular dos dados pessoais em casos de ocorrência de incidente de segurança que possam acarretar risco ou dano relevante aos titulares.
11.5 Usuários
É responsável por:
a) Ler, conhecer e cumprir integralmente e sem exceções as definições previstas na Política de Proteção de Dados;
b) Compartilhar qualquer risco relacionado a proteção de dados com o Encarregado de proteção de dados;
c) Comunicar ao Encarregado de proteção de dados qualquer evento que possa infringir a política de proteção de dados;
d) Assinar e seguir as determinações do Termo de Responsabilidade e demais termos a que for submetido.