LGPD

POLÍTICA DE PRIVACIDADE E DE PROTEÇÃO DE DADOS PESSOAIS (PPPD) DO CONSELHO DE ARQUITETURA E URBANISMO DO RIO GRANDE DO SUL – CAU/RS

SUMÁRIO

1. INFORMAÇÕES INSTITUCIONAIS
2. LEIS QUE EMBASAM A PPPD DO CAU/RS
3. ACEITAÇÃO DOS TERMOS DE USO E POLÍTICA DE PRIVACIDADE
4. DEFINIÇÕES
5. DOS PRINCÍPIOS
6. AGENTES DE TRATAMENTO E O ENCARREGADO DO CAU/RS
   1. Controlador
   2. Controlador conjunto
   3. Operador
   4. Encarregado
7. EMBASAMENTO LEGAL PARA O TRATAMENTO DE DADOS PESSOAIS
   1. Acesso aos dados e informações pessoais
   2. Compartilhamento de dados e informações pessoais
      1. Pessoas jurídicas de direito público
      2. Pessoas jurídicas de direito privado
   3. Descrição dos serviços e produtos
8. NATUREZA DOS DADOS PESSOAIS TRATADOS
   1. dados pessoais
   2. dados pessoais sensíveis
   3. dados de crianças e adolescentes
9. OS DIREITOS DOS TITULARES DE DADOS PESSOAIS
   1. Direito à informação
   2. Direito ao livre acesso e correção de dados pessoais
   3. Direito à segurança dos dados pessoais
   4. Direito à não-discriminação
   5. Direito à retificação
   6. Direito ao bloqueio ou eliminação dos dados pessoais
10. RESPONSABILIDADES
    1. Responsabilidades dos agentes de tratamento
    2. Responsabilidades dos titulares de dados pessoais
11. MEDIDAS DE SEGURANÇA DO CAU/RS
    1. Política de compartilhamento
    2. Atendimento ao público via telefone
    3. Monitoramento interno por CCTV
    4. Medidas de segurança dos sistemas e tecnologias de informação
    5. Tempo de armazenamento de dados pessoais
12. BOAS PRÁTICAS DO CAU/RS
13. DINAMICIDADE DA POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS (PPPD) DO CAU/RS
14. CONTATO DO ENCARREGADO DO CAU/RS

1. INFORMAÇÕES INSTITUCIONAIS

O Conselho de Arquitetura e Urbanismo do Estado do Rio Grande do Sul (CAU/RS), autarquia pública, em atenção as competências estabelecidas pela Lei 12.378, de 31 de dezembro de 2010 [1] para orientar, disciplinar e fiscalizar o exercício da profissão de arquitetura e urbanismo, estabelece a sua Política de Privacidade e Proteção de Dados (PPPD).
A PPPD do CAU/RS tem como objetivos: regular e orientar o tratamento de dados pessoais e o respeito ao direito de privacidade na prestação de suas atividades e serviços do CAU/RS; considerando a sede central do CAU/RS em Porto Alegre e seus quatro (4) escritórios localizados nas cidades de Caxias do Sul, Passo Fundo, Pelotas e Santa Maria.
A PPPD do CAU/RS abrange o tratamento de dados pessoais de todos/as os/as registrados/as do CAU/RS, conselheiros/as, terceiros, usuários de sistemas, empregados públicos de carreira e cargos em comissão do CAU/RS, atividades e serviços administrados pelo CAU/RS.

2. LEIS QUE EMBASAM A PPPD do CAU/RS

A PPPD do CAU/RS foi elaborada considerando, prioritariamente, as seguintes normas:

• Lei Geral de Proteção de Dados (LGPD), Lei n. 13.709, de 14 de agosto de 2018.

  https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

• Marco Civil da Internet (MCI), Lei 12.965, de 23 de abril de 2014.

  https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm

• Lei de Acesso à Informação (LAI), Lei n. 12.527, de 18 de novembro de 2011.

  https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2011/lei/l12527.htm

• Lei sobre a governança e compartilhamento de dados no âmbito da administração pública, Lei 10.046, de 9 de outubro de 2019.

  http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D10046.htm

• Decreto 9.637, de 26 de dezembro de 2018, que institui a Política Nacional de Segurança da Informação (PNSI).

  https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/decreto/D9637.htm

• Lei 9.784, de 29 de janeiro de 1999, que regula o processo administrativo no âmbito da Administração Pública.

  https://www.planalto.gov.br/ccivil_03/LEIS/L9784.htm

• Plano Diretor de Tecnologia da Informação do CAU/RS – PDIT

  https://caurs.gov.br/pdti

3. ACEITAÇÃO DOS TERMOS DE USO E POLÍTICA DE PRIVACIDADE

Ao utilizar os sistemas e serviços do CAU/RS, você confirma que leu, compreendeu os termos da Política de Privacidade e Proteção de Dados aplicáveis ao serviço solicitado e concorda em ficar a eles vinculado.

4. DEFINIÇÕES

Apresenta-se conceitos centrais para compreensão da PPPD do CAU/RS, conforme define a LGPD, artigo 5º:

• dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
• dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
• dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
• banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
• titular: pessoa natural (=indivíduo) a quem se referem os dados pessoais que são objeto de tratamento;
• controlador (agente de tratamento de dados pessoais): pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; agente de tratamento de dados pessoais
• controlador conjunto (agente de tratamento de dados pessoais): ocorre quando uma mesma operação de tratamento de dados pessoais pode envolver mais de um controlador. Conforme a LGPD, art. 42, §1º, II, quando mais de um controlador estiver diretamente envolvido no tratamento do qual decorram danos ao titular de dados, estes responderão de forma solidária, à exceção das hipóteses previstas no art. 43.”

  A figura do controlador conjunto não está prevista na LGPD, mas é reconhecida pela Autoridade Nacional de Proteção de Dados (ANPD), no documento denominado Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais, Brasília/DF, maio de 2021. Acessível em

  https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-guia-orientativo-sobre-agentes-de-tratamento-e-encarregado

• operador (agente de tratamento de dados pessoais): pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
• encarregado (agente de tratamento de dados pessoais): pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

5. DOS PRINCÍPIOS

Os dados coletados e tratados respeitam os princípios legais, estabelecidos no artigo 6º da Lei Geral de Proteção de Dados (LGPD), Lei 13.709/ 2018, destacamos os princípios da boa-fé, da finalidade, da necessidade, da transparência e da segurança.
Princípio da Boa-fé: o equilíbrio nas relações jurídicas e sociais, com base na honestidade e na transparência, garantido aos titulares de dados pessoais informações precisas, claras e acessíveis;
Princípio da Finalidade: o tratamento de dados pessoais deve estar restrito e circunscrito à finalidade necessária para o controlador cumprir com a seu dever legal, em vista de realizar as atividades e prestar os serviços de sua competência, com agilidade, adequação e excelência.
Princípio da Necessidade: conjugado com o princípio da finalidade, o princípio da necessidade visa limitar o tratamento de dados pessoais ao necessário para a manutenção adequada das atividades e prestação de serviços do controlador, tais como a elaboração de documentos, contratos ou aqueles exigidos por lei ou por obrigação regulatória de órgãos de Governo.
Princípio da Segurança: o princípio busca orientar e induzir o controlador a tomar medidas técnicas e administrativas adequadas, internas e externas, para proteger os dados pessoais dos titulares no tratamento de dados. Estas medidas devem ocorrer em três estágios: 1) prévio e durante o planejamento de implementação de sistemas de informações; 2) durante o uso dos sistemas nas atividades regulares e 3) na ocorrência de incidentes de segurança. Em todos os estágios medidas de reversão ou mitigação de crises, devem ser organizadas pelo controlador.
Princípio da transparência: este princípio orienta os controladores organizarem meios de informar e de dar acesso de seus processos e sistemas ao conhecimento do titular de dados. No caso, de entes públicos, como as autarquias, deve observar igualmente a Lei de Acesso à Informação, Lei 12.527/2011 e a Lei 12.378/2010.

6. AGENTES DE TRATAMENTO E O ENCARREGADO DO CAU/RS

A LGPD determina que os agentes de tratamento são o controlador e o operador, conforme artigo 5º, incisos VI, VII e IX. No caso do CAU/RS, estes agentes são:

• o controlador, no caso é o CAU/RS, como pessoa jurídica, de direito público, a quem competem as decisões referentes ao tratamento de dados pessoais, pois detém o poder de tomada de decisão;
• o controlador conjunto, no caso, o CAU/BR é o controlador conjunto com o CAU/RS em todas as operações de tratamento de dados pessoais de registrados/as.
• o operador, poderá ser pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (CAU/RS);
• o encarregado, é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);

A figura do Encarregado é fundamental para a implementação de Programas de adequação à LGPD, conforme prevê o seu artigo 41, e conforme bem ressalta a ANPD: os órgãos públicos devem cumprir os deveres de transparência e de nomeação de encarregado, pois além de atuarem em nome da pessoa jurídica da qual fazem parte, tais obrigações decorrem expressamente da LGPD (art. 23, I e III).
Acessível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-guia-orientativo-sobre-agentes-de-tratamento-e-encarregado

7. EMBASAMENTO LEGAL PARA O TRATAMENTO DE DADOS PESSOAIS

1. Acesso aos dados e informações pessoais

   O CAU/RS poderá tratar dados pessoais dos titulares para realizar o atendimento a sua finalidade pública, na perspectiva do interesse público, com o objetivo de executar as competências legais e cumprir as atribuições legais do serviço público (artigo 23 da LGPD).

   As competências legais e atribuições do CAU/RS, na sua área de competência territorial, são (Lei 12.378/2010)

   • inscrever, registrar e atualizar os arquitetos e urbanistas, estabelecendo controles de acesso com usuário e senha;
   • expedir carteiras profissionais e documentos relacionados à atividade profissional de arquitetos e urbanistas;
   • cancelar ou suspender o registro profissional;
   • promover o registro de projetos e trabalhos técnicos de arquitetos e urbanistas;
   • manter relatórios públicos de suas atividades;
   • fiscalizar o exercício das atividades profissionais de arquiteto e urbanista, inclusive utilizando ferramentas de geolocalização;
   • orientar e disciplinar a atividade de arquiteto e urbanista, com base no Código de Ética Profissional;
   • administrar e estabelecer processos de gestão para possibilitar o adequado exercício profissional de arquitetos e urbanistas sob sua administração.

2. Compartilhamento de dados e informações pessoais

   O CAU/RS a bem de cumprir com suas atribuições e competências, em respeito ao princípio da finalidade, deverá compartilhar dados e informações pessoais no limite da necessidade com as seguintes pessoas de direito público e/ou de direito privado

   1. Pessoas jurídicas de direito público

      O compartilhamento do CAU/RS com pessoas de direito público observará a legislação pertinente, em particular a LGPD, Lei 13.709/2018 e a Lei 10.046/2019 e a Lei 12.378/2010, sem prejuízo de outra norma que seja necessária, para

      • registro e atualização de registros e sua devida publicização;
      • publicização no serviço “Ache um arquiteto e urbanista”, base de dados organizada com o
      • nome, registro no CAU, data de início e fim do registro, situação do registro e localidade; informações exigidas por lei, a exemplo da Receita Federal, coordenada pelo CAU/BR;
      • Instituto Nacional do Seguro Social;
      • publicização de dados e informações pessoais exigidos pela LAI;
      • publicização de dados pessoais decorrentes de processos de fiscalização, licitação e editais específicos;
      • publicização de dados pessoais decorrentes de processos de ética transitados em todas as instâncias de julgamento, conforme o Código e Ética Profissional.

      Todos os dados e informações pessoais compartilhadas, tanto o órgão solicitante de dados, como o órgão recebedor de dados, deverá atentar às condições de compartilhamento – restrições legais (como as situações de sigilos); requisitos de segurança da informação e comunicação; autenticidade, interoperabilidade, observando em especial artigos 3o e 4o da Lei 10.046/2019, o Decreto 9.637/2018 para atender a Política Nacional de Segurança da Informação – PNSI e os artigos 18, 23, 25, 26, 46 e 50 da LGPD, Lei 13.709/2018.

      Os dados e informações pessoais dos registados são compartilhados com o CAU/BR, via o Sistema de Informação e Comunicação do CAU (SICCAU), entre outras bases de dados como “Ache um arquiteto e urbanista” e outros sistemas contratados e fiscalizados diretamente, conforme determina a Lei 12.378/2010.

   2. Pessoas jurídicas de direito privado

      O compartilhamento do CAU/RS com pessoas jurídicas de direitos privados, respeitam as limitações impostas pela LGPD, àqueles previstos nos artigos 26, § 1º, em particular ao inciso IV, que autoriza o compartilhamento de dados pessoais quando

      • autorizados por lei;
      • respaldados por contratos, convênios ou instrumentos jurídicos semelhantes para prestação de serviços e produtos necessários ao funcionamento e ao cumprimento das finalidades do CAU/RS.

      Deve ser destacado que o CAU/RS no caso de contratos, convênios ou instrumentos jurídicos assegurará que todos os parceiros tenham adotado medidas de segurança, boas práticas e estejam alinhados com a LGPD, para proteção de dados pessoais dos titulares.

   3. Descrição dos serviços e produtos utilizados

      Programas e serviços para gestão descritos no Plano Diretor de Tecnologia da Informação do CAU/RS – PDIT [2], biênio 2022-2024, há a descrição precisa da Estrutura Organizacional da TI – arquitetura tecnológica atual, o catálogo de serviços e de sistemas, pautados pela missão e objetivos institucionais.

Fonte: PDIT [3], biênio 2022-2024

Sistema	Descrição
SICCAU	Sistema de Informação e Comunicação do CAU, permite o registro de profissionais e empresas, emissão de RRT´s, cadastro e acompanhamento de denúncias, Eleições
Implanta	Sistema Administrativo Implanta Informática – Sistema de Gestão Administrativa, Financeira e Contábil
Redmine	Sistema de Gestão de Projetos, demandas e Wiki
Biblivre	Sistema de Biblioteca
GAD	Gerenciador Avançado de Demandas
Igeo	Georreferenciamento e Estatísticas

Ainda:

• Microsoft 365 e Microsoft Teams e softwares necessários as atividades de gestão (PDTI do CAU/RS – Softwares e Sistemas);
• Ativos de rede; servidores e acessórios;
• CAU/BR – Armazenamentos de nuvem do SICCAU;
• Sigma (software Omnichanel) – armazenamento de nuvem da central telefônica;
• Estabelece atividades de segurança de acesso, com usuário e senha.

8. NATUREZA DOS DADOS PESSOAIS TRATADOS

O Controlador, CAU/RS trata os seguintes dados pessoais e dados pessoais sensíveis, considerando o conceito previsto na LGPD, art. 5º, X:

1. Dados pessoais:

   • Nome e prenome; filiação, documento de identidade e CPF; endereço; telefone celular, e-mail, eventualmente dados bancários e de cartão de crédito; ID registrado no acesso via internet de registrados/as, entre eles conselheiros/as, assim como de empregados públicos de carreira e em cargo em comissão e de terceiros para realização e cumprimento das finalidades legais do CAU/RS.
   • Os dados pessoais referidos têm sua base de tratamento na Lei 12.378/2010 no caso de registrados/as; no caso de empregado público de carreira e cargo em comissão, submetidos ao regime da CLT, e de terceiros via contrato específico.

2. Dados pessoais sensíveis:

   • dados referentes à saúde de registrados/as, entre eles conselheiros/as, assim como de empregado público de carreira, cargo em comissão, o tratamento desta espécie de dados pessoais está sustentado pela finalidade legal das atividades e competências do CAU/RS;
   • dados pessoais sensíveis de registrados/as e servidores para fins de concessão de licença médica; dados biométricos, quando necessários para garantir a segurança de acesso à espaços físicos do controlador ou a sistemas de informação. Este tratamento de dados tem a finalidade estrita de garantir e promover medidas de segurança para todos os envolvidos em atividades laborais e sua base legal está sustentada na relação contratual de trabalho;
   • dados de geolocalização, imagem, voz decorrentes de atividades de fiscalização do exercício profissional e de controle de câmeras estabelecidas nas sedes do CAU/RS, em Porto Alegre e escritórios do CAU/RS no interior do Rio Grande do Sul, nas cidades de Caxias do Sul, Passo Fundo, Pelotas e Santa Maria.
   • dados pessoais de terceiros autorizados e indicados pelo titular de dados pessoais, sejam contratantes e filiados, parceiros ou colaboradores de terceiro/a pessoa (nome e contato telefônico), que seja autorizada a representar, decidir ou receber informações, exclusivamente, em caso de urgência e emergência.
   • dados pessoais de terceiros poderão ser tratados sempre que exigido por lei, por medidas regulatórias, para atividades contábeis, tributárias, de licenciamento e fiscalização, por autoridades governamentais.

3. Dados de crianças e adolescentes:

   Os dados de crianças e adolescentes são tratados pelo controlador de forma restrita, nas seguintes situações

   • quando os dados pessoais de crianças e adolescentes, dependentes de servidores ou cargos de confiança, sejam por estes fornecidos à área de RH para concessão de benefício legal, social ou previdenciário; garantir direito e/ou integrar Convênio Médico.
   • quando por exigido por lei ou por medidas regulatórias e para atividades contábeis, tributárias, de licenciamento e fiscalização por autoridades governamentais.

9. DIREITOS DOS TITULARES DE DADOS PESSOAIS

O CAU/RS mantém canal de comunicação diretamente com o Encarregado de Dados Pessoais para respeitar e atender aos direitos dos titulares de dados mantidos em seu sistema, em especial os/as registrados/as. Destacamos os seguintes direitos dos titulares, sem prejuízos de outros direitos, conforme prevê os artigos 18 e 19 da LGPD:

1. Direito de informação:

   Nossa Política de Privacidade oferece todas as informações referentes ao tratamento de dados pessoais pelo CAU/RS. Em razão disso, a operação dos dados ficará vinculada às finalidades legais e necessárias. No caso de qualquer tratamento de dados pessoais que não estejam neste escopo, o titular será informado e será solicitado ao informado o seu consentimento.

2. Direito ao livre acesso e correção de dados pessoais:

   O titular tem o direito de livre acesso às informações sobre o tratamento de seus dados (artigos. 6º, IV e 18, II e III). Da mesma forma, é garantido o direito à correção de dados pessoais que estejam cadastrados de forma incompleta, inexata ou desatualizada.

   A consulta pelo titular quanto à forma e duração do tratamento, assim como à exatidão dos seus dados pessoais é gratuita (art. 18, §5º). Os dados deverão ser armazenados em formato que facilite o exercício do direito ao livre acesso, sendo possível solicitar as informações desejadas aos agentes de tratamento, em particular ao Encarregado, por via eletrônica, por meio de sistemas institucionais ou impressa (art. 19, §1º e 2º, I, II).

   O CAU/RS segue fluxo interno para a gestão do Direito de Acesso aos Titulares, assim caso o titular tenha alguma solicitação ou questionamento, esta pode ser encaminhada para o Encarregado de Dados Pessoais através do e-mail executiva@caurs.gov.br.

   O titular, a partir da solicitação de acesso ou informações de seus dados pessoais, receberá a confirmação da existência e da natureza de tratamento de seus dados pessoais por parte do CAU/RS. O CAU/RS responderá com brevidade ou no prazo de 15 dias da consulta, se as informações requeridas forem complexas (art. 19, I, II).

3. Direito à segurança dos dados pessoais

   O CAU/RS está constantemente ajustando as medidas de segurança e técnicas para realizar o tratamento de dados pessoais, para evitar acesso indevido, destruição, perda, alteração, comunicação ou difusão de dados pessoais sem os cuidados exigidos por lei.

   Da mesma forma, realiza comunicação ao CAU/BR, controlador conjunto e administrador de sistemas, a exemplo, entre outros, do SICCAU, que afetam diretamente os registados, requerendo informações sobre o estágio e as condições de segurança dos respectivos sistemas.

4. Direito à não-discriminação

   A LGPD reforça em seus princípios que o titular de dados pessoais tem direito a não ser discriminado de forma ilícita ou abusiva com base nos dados pessoais informados (art. 6º, IX).

5. Direito à retificação

   O CAU/RS, em atenção ao princípio da qualidade dos dados pessoais, expresso na LGPD, artigos 6o, V, constante, toma medidas para atualizar e assegurar que os dados pessoais tratados estejam corretos.

   Os titulares igualmente devem buscar o CAU/RS para realizar qualquer ajuste que seja necessário para manter a exatidão e atualização dos dados ou mesmo solicitar a retificação de dados pessoais equivocados, incompletos ou desatualizados como forma de garantir a integridade das informações pessoais.

   As solicitações para retificação de dados pessoais podem ser feitas pelo titular ao Encarregado de Dados Pessoais via e-mail executiva@caurs.gov.br.

   Uma vez requerida a correção ou a retificação de dados pessoais, o CAU/RS providenciará que medida idêntica seja adotada por todos os demais agentes com quem tenha realizado o uso compartilhado.

6. Direito ao bloqueio ou eliminação dos dados pessoais

   O bloqueio de dados consiste na suspensão temporária das operações de tratamento, mediante guarda do dado pessoal ou do banco de dados.

   A eliminação dos dados cuja manutenção não seja obrigatória por lei sempre é possível, mesmo que esses dados sejam tratados em conformidade com a LGPD.

   Uma vez requerida eliminação de dados pessoais, o CAU/RS providenciará para que medida idêntica seja adotada por todos os demais agentes com quem tenha realizado o uso compartilhado.

10.RESPONSABILIDADES

1. Responsabilidade dos agentes de tratamento

   A LGPD, entre outras normas, garante aos titulares de dados pessoais que dados causados sejam reparados, apuradas as condições e formas de tratamento de dados pessoais.

   Ainda, permite aos titulares prestação de contas por parte do CAU/RS e do CAU/BR (nos casos de controladoria conjunta), sobre as medidas que estão sendo adotadas ou que serão adotadas para comprovar a observância e o cumprimento de normas relacionadas a proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

2. Responsabilidade dos titulares de dados pessoais

   Os titulares de dados pessoais igualmente têm o dever de manter íntegros os sistemas que fazem uso do CAU/RS, sem cometer ilícitos, transmitir ou registrar informações incorretas, ou mesmo incorrer em práticas que possam expor a risco esses sistemas, como exemplo transferir sua senha de acesso, no caso de registrados/as, à terceiros; expor os sistemas a infecção de vírus ou divulgar informações falsas ou mentirosas sobre os sistemas e seus respectivos funcionamentos.

   A partir da publicação desta política, o CAU/RS se resguarda ao direito de não aceitar a alegação de desconhecimento dos termos desta Política de privacidade e de proteção de dados pessoais.

11.MEDIDAS DE SEGURANÇA DO CAU/RS

As medidas de segurança tomadas pelo CAU/RS têm como perspectiva atender às regras previstas nos artigos de 46 a 49 da LGPD. Da mesma forma, as políticas de segurança e boas práticas referentes às tecnologias de informação, o controlador, CAU/RS, segue o seu Plano Diretor de Tecnologia da Informação do CAU/RS – PDIT, biênio 2022-2024 [4]. No plano há a descrição precisa da Estrutura Organizacional da TI – arquitetura tecnológica atual, processo de aquisição de ativos, processo de desfazimento de bens, Recursos Humanos em TI, Catálogo de serviços e de sistemas; Análise e práticas de governança de TI e análise SWOT da TI, pautados pela missão e objetivos institucionais.
Destaca-se:

1. Política de compartilhamento

   NA PPPD do CAU/RS não permite o compartilhamento ou a transmissão de suas informações pessoais publicamente ou a terceiros, exceto quando isso for exigido por lei, por contrato ou outros instrumentos jurídicos afins ou quando for expressamente consentido pelo titular de dados pessoais.

2. Atendimento ao público via telefone

   As ligações telefônicas referentes ao atendimento do público são gravadas e os dados são armazenados em nuvem, gerenciadas pelo operador Sigma (software Omnichanel), para garantir a segurança de todos/as os envolvidos, o conteúdo destas ligações fica armazenadas em ambiente seguro por 5 (cinco) anos;

3. Monitoramento Interno por CCTV:

   O CAU/RS conta com sistemas de circuito interno de TV para garantir a segurança de todos/as.

   Estamos empenhados em respeitar as expectativas razoáveis de privacidade dos usuários individuais em relação ao uso de nossos sistemas e equipamentos de vigilância.

   O CAU/RS se reserva no direito de registrar e monitorar por vídeo câmera, todos os atendimentos presenciais, observando padrão de uso aceitável para garantir a segurança de todos/as.

4. Medidas de segurança dos sistemas e tecnologias de informação

   O CAU/RS não utiliza cookies maldosos, isso é, não recolhemos dados pessoais quando há visitas na nossa página de internet. Dados pessoais serão tratados, a partir do site, unicamente com o consentimento do próprio titular, isto é, quando o próprio titular registra os seus dados pessoais.

   Outro serviço e facilidade ofertado pelo controlador é o Aplicativo do CAU/RS, que está atrelado a vontade do própria do titular, que por meio de consentimento expresso, baixa referido aplicativo para acompanhar as notícias publicadas no site do CAU/RS, interagir enviando fotografias de bens de interesse cultural, procurar por profissionais de Arquitetura e Urbanismo, cadastrar denúncias para verificar indícios de irregularidades e ler QR Codes de RRTs (impressos ou em placas de obra).

   O CAU/RS constantemente atualiza e introduz ferramentas eficientes para atender a sua necessidade e finalidade, considerando a sua adequação com a LGPD, conforme determina o seu Plano Diretor de Tecnologia da Informação do CAU/RS, 2022-2024.

5. Tempo de armazenamento de dados pessoais

   O CAU/RS armazenará dados e informações pessoais de registrados/as, em respeito a sua finalidade, nos termos exigidos por lei. Nas demais situações, durante o prazo necessário para que tenham sido que justificou sua coleta.

12. BOAS PRÁTICAS DO CAU/RS

O CAU/RS implementou o Programa de Implementação e Adequação à LGPD, artigos 49, 50 e 51, personalizado, por meio de consultoria especializada, a fim de ajustar processos, fluxos e práticas em prol de uma cultura de proteção de dados pessoais e de respeito à privacidade.
De forma dinâmica, o Programa tem como prática e como metas:

• realizar treinamento e campanhas informativas;
• fiscalizar operadores, parceiros e contratados quanto às suas práticas em respeito à LGPD (due diligence);
• revisar e ajustar documentos, contratos, normas e políticas, considerando a sua adequação à LGPD;

13. DINAMICIDADE DA POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS (PPPD) DO CAU/RS

A PPPD do CAU/RS é dinâmica e deve ser ajustada à realidade e aos desafios tecnológicos que possam afetar a devida e eficaz proteção a proteção de dados e a privacidade.

14. CONTATO DO ENCARREGADO DO CAU/RS

Fausto Leiria Loureiro
Gerente Executivo e Data Protection Officer – DPO
e-mail: fausto.leiria@caurs.gov.br