Política de Privacidade

POLÍTICA GERAL DE SEGURANÇA DA INFORMAÇÃO E PROTEÇÃO DE DADOS PESSOAIS DA UNIVERSIDADE CATÓLICA DE PERNAMBUCO

 
  1. INTRODUÇÃO

Este documento estabelece as diretrizes e as responsabilidades gerais para a proteção dos ativos de informação e dados pessoais sob controle e operação da Universidade Católica de Pernambuco (UNICAP).
A Universidade Católica de Pernambuco, empresa de direito privado sem fins lucrativos, certificada como entidade beneficente de assistência tem por finalidade a promoção, a difusão e o desenvolvimento da educação, e da assistência social.
O sucesso na gestão da segurança da informação e proteção a dados pessoais está diretamente relacionado à combinação de diversos elementos, dentre eles a estrutura organizacional, as normas e os procedimentos relacionados à segurança da informação e à maneira como são implantados e monitorados os sistemas tecnológicos utilizados, os mecanismos de controle/fiscalização desenvolvidos, assim como o comportamento de todos os seus usuários.
O presente documento define o comportamento institucional relacionado à segurança da informação e proteção de dados, adequado às atividades da UNICAP, bem como a sua proteção legal e de seus usuários, à luz da LGPD, marco civil da internet e outros diplomas normativos. Portanto, as diretrizes e responsabilidades descritas nesse documento deverão ser cumpridas em toda a UNICAP.
A informação ou dado pessoal a ser protegido pode se apresentar sob diversas formas, tais como: arquivos eletrônicos, mensagens eletrônicas, internet, bancos de dados, documentos em meio impresso, verbalmente, em mídias de áudio e de vídeo.

 
  1. DEFINIÇÕES

Para a correta interpretação desse documento, são usadas as seguintes definições:

Dados Pessoais: informação relacionada a pessoa natural identificada ou identificável;
Tratamento de Dados: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Usuário: pessoa que utiliza ou tem acesso a informações da UNICAP, inclusive alunos e outras pessoas prévia e expressamente autorizadas.
Colaborador: pessoa que presta algum serviço à UNICAP, de forma remunerada ou voluntária, tendo vínculo direto com a Instituição.
Prestador de serviço: pessoa física ou jurídica que presta serviço à UNICAP.
Comitê de Segurança da Informação - CSI: órgão suplementar ligado à Auditoria (Reitoria) que tem por função acompanhar, avaliar e priorizar o andamento das questões relacionadas à segurança da informação e proteção de dados pessoais, bem como sugerir políticas, normas e procedimentos. É composto por representantes de diversas áreas da UNICAP, responsabilizando-se por propor melhorias e encaminhá-las à sua Diretoria, quando pertinente, a ser instituído por Portaria específica (art. 50, V, do Estatuto).
Assessoria de Segurança da Informação, Riscos e Proteção de Dados - ASSIRP: órgão de apoio e execução ligado à Auditoria (Reitoria), cujo objetivo é desenvolver ações que visam à segurança e à integridade de toda a estrutura de informações e dados pessoais, apoiando os gestores da UNICAP na gestão da segurança da informação, proteção de dados pessoais e dos riscos corporativos, mediante a execução de políticas e aplicação de normas e procedimentos específicos, a ser instituído por Portaria específica (art. 50, V, do Estatuto).
Gestor de Ativo de Informação: gestor da UNICAP formalmente indicado, responsável pela classificação, concessão, manutenção, revisão e cancelamento de autorizações de acesso a determinado conjunto de informações e dados pessoais sob controle e/ou operação desta.
Controlador de Dados: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Operador de Dados: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Encarregado da Proteção de Dados (DPO): pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Para entrar em contato com o DPO da Universidade Católica de Pernambuco, Dr. Rodrigo Pellegrino de Azevedo, envie e-mail para: dpo@unicap.br

 
  1. OBJETIVOS

Os objetivos dessa Política são: garantir os requisitos indispensáveis para segurança e proteção da informação própria ou sob sua guarda, em toda a UNICAP; nortear a definição de outras políticas, normas e procedimentos inerentes à temática, bem como estabelecer os controles e processos para o seu efetivo cumprimento; preservar e proteger as informações da UNICAP ou sob sua guarda no que tange à:
 
    1. Confidencialidade: acesso somente aos usuários devidamente autorizados;
 
    1. Integridade: garantia da informação correta e atualizada, protegendo-a contra alterações, supressões e adições indevidas;
 
    1. Disponibilidade: a informação deve estar disponível para os usuários autorizados, na forma estabelecida.
 
  1. ESTRUTURA NORMATIVA DA SEGURANÇA DA INFORMAÇÃO
 
    1. DEFINIÇÃO

A estrutura normativa da segurança da informação e proteção de dados pessoais da UNICAP é composta por um conjunto de documentos com níveis hierárquicos distintos, assim compreendidos:
 
      • Política Geral de Segurança e Proteção da Informação e Dados Pessoais: constituída neste documento, define a estrutura, as diretrizes e as obrigações gerais referentes à segurança da informação. É aprovada pela Diretoria da UNICAP e deve ser revisada anualmente;
 
      • Políticas de Segurança da Informação e Proteção de Dados Pessoais: constituem documentos de caráter orientador e regulatório geral. São aprovados pela Diretoria da UNICAP e devem ser revisados anualmente;
 
      • Normas de Segurança da Informação: estabelecem obrigações e regras de conduta definidas de acordo com as diretrizes previstas nas Políticas a serem seguidas nas situações em que for tratada qualquer espécie de informação da UNICAP, com base nas NBRs aplicáveis ou padrões definidos internacionalmente. São aprovadas pelo Comitê de Segurança da Informação, com a anuência das diretorias envolvidas, devendo ser revisadas anualmente;
 
      • Procedimentos de Segurança da Informação e Proteção de Dados Pessoais: detalham o disposto nas Políticas e nas Normas e são aplicados nas atividades da UNICAP. São construídos no âmbito das gerências ou coordenações, com orientação e aprovação da ASSIRP, e devem ser revisados anualmente. Versões atualizadas de todos os Procedimentos devem ser mantidas na ASSIRP.
 
    1. DIVULGAÇÃO E ACESSO À ESTRUTURA NORMATIVA

As Políticas e as Normas de segurança da informação e proteção de dados pessoais devem ser divulgadas a todos os colaboradores da UNICAP e disponibilizadas de maneira que seus conteúdos possam ser consultados a qualquer momento, mediante publicação em diretórios compartilhados ou portal de internet. Aos demais usuários, deve ser divulgada a regulação da segurança da informação e proteção de dados pessoais atinente às suas atividades, para que possam atuar de forma consciente e segura, mediante expedição de instrução de serviço específica.
Todo o conteúdo normativo referente à segurança da informação da UNICAP deve ser divulgado às áreas e colaboradores diretamente relacionados à sua aplicação, incluindo prestadores de serviço e operadores que contribuam para as atividades.
Toda a estrutura normativa referente à segurança da informação e proteção de dados pessoais está disponibilizada no portal institucional. 

 
  1. DIRETRIZES GERAIS DE SEGURANÇA DA INFORMAÇÃO E PROTEÇÃO DE DADOS PESSOAIS

As diretrizes da Política Geral de Segurança e Proteção da Informação e Proteção de Dados Pessoais da Universidade Católica de Pernambuco constituem os principais pilares da gestão de segurança da informação, norteando a elaboração das Normas e dos Procedimentos.

São princípios orientadores da segurança da informação e proteção de dados pessoais, no âmbito da UNICAP:
 
    1. Conscientização: o princípio fundamental da segurança da informação e proteção de dados pessoais é a conscientização dos usuários, fazendo-os perceber o seu papel, os riscos, os limites e as consequências dos seus atos no manuseio de informações;
    2. Responsabilidade: a responsabilidade de zelar pela segurança da informação e proteção de dados pessoais é compartilhada por todos os colaboradores e usuários;
    3. Comprometimento: caracteriza-se pela convicção, em todos os níveis, da importância da segurança da informação e proteção de dados pessoais, expressa em um conjunto de atitudes de proteção dos ativos de informação da instituição ou sob sua guarda;
    4. Prevenção: a segurança da informação e proteção de dados pessoais deve estar presente não somente em ações específicas, mas deve permear todas as ações e projetos da UNICAP, de modo a evitar a ocorrência de incidentes;
    5. Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
    6. Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
    7. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
    8. Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;  
    1. Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
    2. Análise de riscos: deve haver análise sistemática das vulnerabilidades e riscos a que a Instituição e os seus usuários estão expostos;
    3. Resposta: agir de forma colaborativa para detectar e responder aos eventuais incidentes de segurança da informação;
    4. Reavaliação: a segurança da informação deve ser continuamente reavaliada, buscando a melhoria contínua.
 
    1. ADOÇÃO DE COMPORTAMENTO ÍNTEGRO E SEGURO

Independentemente do meio ou da forma, a informação está presente em todas as atividades. Portanto, é fundamental, para a proteção e a salvaguarda das informações e dados pessoais sob controle e operação da UNICAP, que os profissionais, colaboradores, prestadores de serviço e operadores adotem comportamento seguro e consistente com o objetivo de proteção das informações e dados pessoais da UNICAP, com destaque para os seguintes itens:
 
      1. Colaboradores e prestadores de serviços devem assumir atitude proativa e engajada no que diz respeito à proteção das informações e dados pessoais na UNICAP, buscando identificar, no dia a dia de trabalho, os potenciais riscos associados à (criação, transporte, acesso, armazenamento e descarte) informações e dados pessoais sob controle e operação da UNICAP;
      2. Os colaboradores devem compreender a existência de ameaças externas que podem afetar a segurança das informações e dados pessoais sob controle e operação da UNICAP, tais como: vírus de computador, interceptação de mensagens eletrônicas, grampos telefônicos, entre outros, bem como fraudes destinadas à identificação de senhas de acesso aos sistemas de informação;
      3. Os colaboradores devem informar, prontamente, à ASSIRP sobre as eventuais falhas de segurança e/ou vulnerabilidades que encontrarem na estrutura de informação da UNICAP;
      4. Todo acesso à informação e dados pessoais sob controle e operação da UNICAP que não for explicitamente autorizado, é expressamente proibido;
      5. Em hipótese alguma, poderá ser divulgada, transmitida, reproduzida, distribuída, ou compartilhada qualquer espécie de informação ou dados pessoais sob controle e operação da UNICAP ou mesmo de terceiros, seja confidencial ou não, sem prévio e expresso consentimento, por escrito, da UNICAP ou do respectivo titular, nos termos da LGPD;
      6. As informações e dados pessoais sob controle e operação da UNICAP devem ser tratadas (armazenadas, acessadas, manipuladas, transportadas e descartadas, por exemplo), mediante cuidados adequados à sua criticidade para a UNICAP;
      7. O armazenamento de informações e dados pessoais sob controle e operação da UNICAP somente pode ser feito em locais físicos ou digitais que estejam sob sua gestão, de acordo com as políticas, normas e procedimentos por ela definidos;
      8. Documentos impressos e arquivos contendo informações confidenciais e dados pessoais sob controle e operação da UNICAP devem ser adequadamente tratados (armazenados, protegidos e descartados, por exemplo), quando for o caso;
      9. Papéis ou mídias de computador, quando não estiverem em uso, devem estar guardados de maneira adequada, preferencialmente em gavetas e armários trancados;
      10. Sempre que o computador não estiver em uso, deve estar bloqueado com senha, impedindo a visualização dos arquivos em uso;
      11. Assuntos confidenciais de trabalho não devem ser discutidos em ambientes públicos ou em áreas expostas (aviões, restaurantes, encontros sociais, entre outras ocasiões);
      12. O uso de senhas de usuário ou outros mecanismos de autenticação para acesso aos ambientes computacionais com informações e dados pessoais sob controle e operação da UNICAP é obrigatório, pessoal e intransferível, não podendo ser compartilhado, divulgado a terceiros (inclusive a colegas de trabalho), anotado em papel ou em sistema visível ou de acesso não protegido;
      13. É expressamente proibido o uso da identificação de outra pessoa;
      14. O usuário alterará a senha inicial imediatamente após recebê-la para uma senha segura (de difícil identificação), devendo trocá-la periodicamente ou quando tiver qualquer indício de que ela possa ser de conhecimento de terceiro(s);
      15. É expressamente proibido desinstalar ou desativar recursos de proteção (exemplo: antivírus) dos equipamentos da UNICAP;
      16. Somente é permitida a instalação de software nos equipamentos da UNICAP mediante a orientação do DTI;
      17. Somente é permitida a utilização ou a retenção de cópias de software ou de quaisquer outros materiais ou documentos com o respectivo licenciamento ou autorização;
      18. Dúvidas sobre as Políticas e Normas de Segurança da Informação devem ser esclarecidas com a ASSIRP, através do telefone (81) 2119 4153 ou pelo e-mail: privacidade@unicap.br
 
    1. ATRIBUIÇÕES E RESPONSABILIDADES GERAIS NA GESTÃO DA SEGURANÇA DA INFORMAÇÃO

Nesse documento, estão descritas as responsabilidades gerais no que tange à segurança da informação e dados pessoais sob controle e operação da UNICAP. Responsabilidades de áreas específicas da UNICAP serão apresentadas de forma mais detalhada na Política do Sistema de Gestão da Segurança da Informação e Dados Pessoais.
 
 

Cabe a cada colaborador e prestador de serviços da UNICAP:
 
      1. Estar constantemente atualizado no que se refere à normatização de segurança da informação e dados pessoais, publicada pela UNICAP;
      2. Cumprir as Políticas, as Normas e os Procedimentos de Segurança da Informação e Proteção de Dados Pessoais da UNICAP;
      3. Buscar orientação do superior hierárquico imediato, bem como junto ao Encarregado da Proteção de Dados (DPO), em caso de dúvidas relacionadas à segurança da informação e dados pessoais sob controle e operação da UNICAP;
      4. Assinar termo de responsabilidade, a fim de formalizar a ciência e o aceite das Políticas, das Normas e dos Procedimentos de Segurança da Informação e Proteção de Dados Pessoais da UNICAP, assumindo a responsabilidade sobre os seus efetivos cumprimentos;
      5. Proteger todas as informações e dados pessoais que estiverem a seu alcance contra acesso, modificação, destruição ou divulgação não autorizadas, inadequadas ou que fujam à finalidade para a qual foram coletadas;
      6. Assegurar que os recursos tecnológicos e de informação à sua disposição sejam utilizados apenas para as finalidades decorrentes do seu exercício profissional, aprovadas e determinadas pela UNICAP;
      7. Cumprir o disposto na legislação de regência, nas prescrições legais e normativas pertinentes à segurança da informação e dados pessoais, bem como aos direitos de propriedade intelectual e industrial e relativos à proteção de dados pessoais;
      8. Comunicar imediatamente à ASSIRP qualquer descumprimento ou violação das Políticas, das Normas ou dos Procedimentos de Segurança da Informação e Proteção de Dados Pessoais da UNICAP.
Cabe às Diretorias, Chefias, Gerências e Coordenações:
 
  1. Cumprir exemplarmente e fazer cumprir as Políticas, as Normas e os Procedimentos de Segurança da Informação e Proteção de Dados Pessoais da UNICAP, bem como a legislação de regência e as prescrições legais e normativas pertinentes à segurança da informação e proteção de dados pessoais;
  2. Assegurar que sua(s) equipe(s) possua(m) acesso e conhecimento pleno das Políticas, Normas e Procedimentos de Segurança da Informação e Proteção de Dados Pessoais da UNICAP;
  3. Assegurar-se que os instrumentos jurídicos firmados com outras organizações/instituições possuam cláusulas referentes à segurança da informação e proteção de dados pessoais, garantindo o seu cumprimento;
  4. Redigir ou sugerir Procedimentos de Segurança da Informação e Proteção de Dados Pessoais da UNICAP, relacionados às suas áreas, mantendo-os atualizados na periodicidade estabelecida, com o arquivamento de uma cópia da versão atualizada na ASSIRP;
  5. Comunicar imediatamente à ASSIRP eventuais situações que possam representar risco e/ou vulnerabilidades relacionadas à segurança da informação e proteção de dados pessoais;
  6. Em eventuais casos de violação de segurança da informação e proteção a dados pessoais sob controle e operação da UNICAP, tomar, imediatamente, as ações cabíveis junto aos seus colaboradores e/ou usuários, comunicando o fato, prontamente, à ASSIRP.
 
  1. MONITORAMENTO E CONTROLE

As informações e dados sob controle e operação da UNICAP, bem como os seus arquivos físicos, equipamentos, recursos e serviços de informática destinam-se, exclusivamente, ao desenvolvimento das suas atividades precípuas, de natureza educacional, de assistência social e de apoio, sendo expressamente vedado o respectivo uso para fins pessoais ou de interesse de outras organizações/instituições.
Portanto, todos os profissionais e colaboradores devem ter expressa ciência de que o uso e tratamento das informações, dados pessoais e dos sistemas de informação da UNICAP podem ser monitorados e os registros assim obtidos poderão ser utilizados para detecção de não conformidade com as Políticas, Normas e Procedimentos de Segurança da Informação e Proteção de Dados Pessoais da UNICAP e, conforme o caso, haverá sindicância interna como evidência da falta cometida, sem prejuízo da instauração de processos administrativos e/ou legais cabíveis à situação, com possível aplicação de penalidade à luz do poder diretivo da UNICAP.

 
  1. DESRESPEITO ÀS POLÍTICAS DE SEGURANÇA DA INFORMAÇÃO E SANÇÕES

O desrespeito às Políticas ou a quaisquer Normas ou Procedimentos de Segurança da Informação e Proteção de Dados Pessoais da UNICAP, bem como à legislação de regência e às prescrições legais e normativas pertinentes à matéria, é considerado infração grave, acarretando – sem prejuízo das ações disciplinares previstas nas normas internas da UNICAP – a instauração contra o infrator, de ações administrativas e judiciais cíveis e criminais, além da suspensão provisória e imediata dos direitos de acesso e uso dos equipamentos, recursos e serviços de informática da UNICAP, em todos os seus vínculos, até a apuração da gravidade dos fatos ou a suspensão definitiva.

Recife, 09 de agosto de 2021.