Institui a Política de Governança de Dados da Comissão de Valores Mobiliários – CVM.
O PRESIDENTE DA COMISSÃO DE VALORES MOBILIÁRIOS – CVM, no uso das atribuições que lhe são conferidas pelo art. 7º, item VIII do Regimento Interno aprovado pela Resolução CVM nº 24, de 05 de março de 2021, resolve:
CAPÍTULO I
DISPOSIÇÕES GERAIS
Seção I
Âmbito e finalidade
Art. 1º Esta Política de Governança de Dados da Comissão de Valores Mobiliários – CVM é aplicável a todas as áreas da Autarquia e abrange os dados e informações digitais recebidas, coletadas, produzidas, armazenadas, mantidas, processadas, compartilhadas ou divulgadas sob a responsabilidade da CVM.
§ 1º Os dados e informações digitais sob responsabilidade da CVM e custodiados por outras instituições também são abrangidos por esta Política.
§ 2º Os processos que envolvem captação, geração, armazenamento, integração, utilização, compartilhamento, divulgação, retenção e descarte de informações e dados devem observar esta Política.
Art. 2º Esta norma estabelece a Política de Governança de Dados da CVM, com os seguintes objetivos:
I – assegurar que os dados tratados possuam os atributos adequados de qualidade, como segurança, disponibilidade, integridade e tempestividade;
II – promover o uso efetivo, a inovação tecnológica, a regulação baseada em evidências e as decisões informadas por dados;
III – favorecer a descoberta, o acesso e o uso seguro dos dados, observados os requisitos legais de privacidade de dados pessoais e de sigilo;
IV – cumprir os regulamentos relativos ao tratamento de dados;
V – promover a responsabilidade compartilhada entre os componentes organizacionais em relação à governança, gestão e decisões sobre dados;
VI – estabelecer a estrutura de governança de dados, incluindo, a elaboração de políticas, padrões, procedimentos, papéis e responsabilidades para a governança e gestão de dados como ativos estratégicos; e
VII – fomentar a transparência pública e a efetividade na implementação de políticas e diretrizes de interesse público.
Seção II
Princípios
Art. 3º São princípios da governança de dados:
I – uso ético: aplicação de valores e normas morais no tratamento de dados;
II – confiabilidade: consistência dos dados em diferentes observações ou medições;
III – democratização no uso dos dados: descoberta, acesso e uso dos dados;
IV – compartilhamento de responsabilidade: divisão de responsabilidades entre os envolvidos na governança e gestão de dados;
V – compartilhamento de dados: gestão de dados voltada ao compartilhamento entre componentes organizacionais e com atores externos;
VI – criticidade: prioridade sobre os dados que oferecem maiores riscos às operações e processos organizacionais;
VII – qualidade dos dados: característica de uma informação que reflete a sua adequação em relação a um determinado conjunto de especificações e requisitos, definidos no contexto de um ou mais cenários de uso;
VIII – transparência: garantia de informações claras, precisas e facilmente acessíveis sobre os dados tratados e os respectivos responsáveis pelo tratamento, observados o sigilo e a privacidade;
IX – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Seção III
Definições
Art. 4º Para fins dessa Política, consideram-se:
I – ativo de dados: recursos digitais que têm e geram valor. Incluem bancos de dados, documentos, arquivos, metadados e qualquer outro conteúdo digital relevante à operação e tomada de decisão da CVM;
II – catálogo de dados: coleção de metadados que descrevem dados com vistas a favorecer a descoberta, entendimento, acesso e análise dos ativos de dados da CVM;
III – curador de dados corporativo: responsável por um agrupamento lógico de dados ou domínios de dados, sobre os quais possui autoridade para tomar decisões, observando o melhor interesse da CVM e do setor regulado;
IV – curador de dados negocial: responsável pelas atividades operacionais de gestão de ativos ou base de dados, designado por curador corporativo;
V – estratégia de dados: conjunto de escolhas e decisões sobre dados que juntas traçam o curso de ação para atingir objetivos do negócio;
VI – estratégia de governança de dados: conjunto de escolhas e decisões que definem o escopo, a abordagem e a priorização de esforços para se implementar e executar ao longo do tempo a governança de dados;
VII – executivo de dados: chefe do escritório de governança de dados, responsável por liderar e coordenar a implementação e manutenção da política de governança de dados, visando que os dados sejam gerenciados como ativos organizacionais;
VIII – gestão de dados: conjunto de práticas e processos que envolvem a coleta, armazenamento, organização, proteção e utilização eficaz dos dados;
IX – glossário de termos de negócios: coleção organizada de definições de palavras, termos e jargões específicos usados no contexto da CVM, servindo para que todas as partes interessadas compreendam da mesma forma o significado preciso de termos-chave utilizados em documentos, bases e estruturas de dados, discussões ou projetos relacionados aos negócios;
X – governança de dados: conjunto de estruturas, políticas, processos e controles que garantem a gestão de dados de forma responsável e eficaz;
XI – inventário de dados: levantamento dos dados pessoais tratados no âmbito organizacional;
XII – metadados: atributos técnicos, operacionais e negociais usados para descrever a estrutura conceitual, lógica e física dos dados;
XIII – modelo operacional: definição da estrutura, responsabilidade, processos, tecnologias e formas de interação entre as partes envolvidas na governança e gestão de dados;
XIV – tratamento de dados: toda operação realizada com dados, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Seção IV
Diretrizes
Art. 5º São diretrizes para a governança de dados na CVM:
I – os dados serão geridos como ativos estratégicos;
II – a governança de dados será desenvolvida com vistas a atender às necessidades de negócio, orientando as decisões de negócios e conduzindo as interações do negócio com os dados;
III – as atividades de governança de dados priorizarão ações que visam a qualidade dos dados;
IV – as normas de qualidade dos dados serão incorporadas e implementadas nas atividades de gestão de dados desde a concepção de novos projetos, bem como, na manutenção corretiva ou evolutiva de sistemas e estruturas de dados legados (quality by design);
V – as normas de privacidade de dados pessoais serão incorporadas às atividades de gestão de dados desde a concepção de novos projetos envolvendo dados pessoais, bem como na manutenção corretiva ou evolutiva de sistemas e estruturas de dados legados (privacy by design);
VI – as atividades de gestão de dados serão orientadas pela estratégia de dados, a qual deverá estar alinhada com as estratégias organizacionais;
VII – a governança de dados estabelecerá a responsabilidade compartilhada entre os curadores de dados e as equipes técnicas de gestão de dados;
VIII – os planos, programas, estratégias e atividades de capacitação e treinamento, deverão incorporar conteúdo relativo ao letramento em dados e de governança e gestão de dados de modo a desenvolver capacidade organizacional em uso, governança e gestão de dados;
IX – os planos e projetos de monitoramento e auditoria realizados pela auditoria interna deverão incluir a verificação no cumprimento das normas e processos de governança e gestão de dados e seus resultados deverão ser objeto de melhoria contínua desses processos;
X – as normas editadas pela CVM estabelecerão padrões de qualidade de dados, preferencialmente com mecanismos de incentivo ou penalidade quando de seu descumprimento;
XI – o recebimento de dados de fontes externas, a integração de dados entre aplicações, o processamento e a produção de relatórios e painéis deverão ser preferencialmente automatizados;
XII – a decisão pela coleta de novos dados será precedida de verificações a fim de evitar duplicidade;
XIII – a decisão pela coleta de dados pessoais será precedida de análise a fim de identificar a presença de requisitos de finalidade e hipótese legal de tratamento de dados pessoais; e
XIV – a descoberta, acesso e uso de dados serão facilitados pela implementação, comunicação e disponibilização de catálogo de dados que inclua, entre outros, a origem, descrição, estrutura, destinação e identificação da curadoria dos dados.
CAPÍTULO II
MODELO OPERACIONAL: PAPÉIS, RESPONSABILIDADES E PROCESSO DECISÓRIO
Art. 6º São partes integrantes da estrutura da governança de dados na CVM:
I – Comitê de Governança Digital e Segurança da Informação – CGD;
II – Escritório de Governança de Dados – EGD;
III – Superintendência de Tecnologia da Informação- STI;
IV – curadores de dados; e
V – encarregado de dados pessoais.
§ 1º O CGD é a instância de decisão superior para os assuntos relacionados à governança de dados, tendo suas competências descritas em normativo próprio que trata dos Comitês da CVM.
§ 2º O Escritório de Governança de Dados- EGD é órgão orientador da gestão de dados, será chefiado pelo Executivo de Dados, e deverá possuir estrutura compatível com suas atribuições.
§ 3º A STI é órgão executor no âmbito do Programa de Governança e Gestão de Dados, atuando em conjunto com o EGD para garantir a governança e conformidade.
§ 4º Os curadores de dados são servidores responsáveis pela gestão de ativos de dados no melhor interesse da CVM, sendo categorizados em curadores corporativos e curadores negociais.
§ 5º O encarregado de dados pessoais compõe a estrutura da governança de dados, atuando pela proteção e privacidade dos dados pessoais, promovendo boas práticas e orientando em conformidade com a legislação pertinente.
Art. 7º Compete ao EGD:
I – coordenar a implementação da governança de dados;
II – elaborar, com a participação da STI e dos curadores de dados, a Estratégia de Dados;
III – elaborar a Estratégia de Governança de Dados;
IV – encaminhar ao CGD as propostas de estratégias e planos necessários à implementação da presente Política;
V – implantar, coordenar e orientar a curadoria de dados;
VI – elaborar e comunicar aos curadores de dados a descrição das atividades de curadoria;
VII – elaborar, em conjunto com a STI, e encaminhar para aprovação no CGD, as políticas, padrões e procedimentos de gestão de dados;
VIII – conceber e implementar junto às equipes de gestão de bancos de dados o processo de levantamento e manutenção do catálogo de dados, inclusive do inventário de dados pessoais;
IX – analisar e decidir, sobre conjuntos de dados, incluindo a captação de novos conjuntos, a interrupção do recebimento ou, quando envolver entidades externas, alterações na responsabilidade pela custódia;
X – encaminhar para a STI solicitações de arquivamento ou exclusão de conjuntos de dados obsoletos;
XI – definir, em conjunto com a STI, os requisitos das ferramentas corporativas para a governança, gestão, descoberta, acesso e uso dos dados;
XII – definir e implementar processo para identificação e resolução de questões de dados, inclusive de não conformidades que forem identificadas e encaminhadas ao EGD, dando o devido encaminhamento para cada questão até sua solução;
XIII – definir e implementar processo de levantamento, manutenção e atualização do glossário de termos de negócios;
XIV – elaborar e implementar indicadores e métricas de verificação da efetividade das políticas, padrões, procedimentos relacionados à gestão de dados;
XV – definir e implementar, comunicar e encaminhar o plano de ajustes elaborado a partir do processo de monitoramento periódico relativo ao cumprimento das metas, princípios, políticas, padrões e procedimentos de gestão de dados.
Parágrafo único. A elaboração da Estratégia de Dados será realizada a cada dois anos e contemplará metas a serem atingidas no período, com revisão durante o período de sua vigência.
Art. 8º Os curadores corporativos são os titulares de Superintendência, ou equivalente com autoridade delegada, para tomar decisões sobre os dados que estão sob sua gestão, aos quais compete:
I – indicar os curadores negociais para os ativos de dados sob sua responsabilidade, provendo os meios que estiverem ao seu alcance para a adequada gestão desses ativos;
II – levar ao conhecimento do CGD questões de dados que requerem discussões e decisões, entre outros pedidos de encaminhamentos que se fizerem necessários;
III – manter atualizada, junto ao EGD, a relação de curadores negociais sob sua supervisão;
IV – manter canal de comunicação com os curadores sob sua supervisão a fim de acompanhar as atividades e questões de dados que requerem sua atenção e decisão; e
V – definir, em conjunto com os curadores negociais, as regras de acessos aos dados sob sua responsabilidade.
§ 1º Na definição das regras de acesso aos dados, os curadores observarão a publicidade como preceito geral e o sigilo como exceção, apenas quando houver normativo que suporte eventual restrição de acesso.
§ 2º Decisões sobre alteração da responsabilidade pela custódia, sobre o início de coleta ou de interrupção ou alteração da periodicidade do recebimento de dados devem ser submetidas ao EGD no prazo de até 10 (dez) dias úteis.
Art. 9º Os curadores negociais são servidores com interesse direto e com entendimento aprofundado dos dados sob sua responsabilidade, aos quais competem:
I – realizar a gestão dos dados com vistas a promover a adequada qualidade;
II – manter atualizado inventário, catálogo de dados e regras de negócio, inclusive metadados, sob sua curadoria;
III – identificar e resolver questões de dados sob sua curadoria;
IV – solicitar, junto ao EGD, a coleta de novos conjuntos de dados, bem como, encaminhar para a EGD a solicitação de arquivamento ou exclusão de conjuntos de dados obsoletos ou em desuso;
V – informar ao EGD, após ciência do titular de seu componente organizacional, eventuais afastamentos temporários ou definitivos e seu substituto; e
VI – informar nos fóruns adequados questões de dados que impactem os processos de negócios sob sua responsabilidade, participar das decisões e solicitar providências ou apoio na solução delas.
Parágrafo único. O curador negocial contará com ferramentas adequadas, orientação do EGD e apoio de equipe de desenvolvimento.
Art. 10. Ao Encarregado de Dados Pessoais, sem prejuízo das definições, atribuições e demais regramento trazidos pela Lei nº 13.709, de 14 de agosto de 2018, e pela Autoridade Nacional de Proteção de Dados (ANPD), caberá:
I – atuar junto aos demais órgãos da estrutura na emissão de orientações, verificações de conformidade e proposição de políticas, padrões e procedimentos com vistas a fazer cumprir os termos desta Política com pleno resguardo da privacidade dos titulares de dados pessoais;
II – analisar e orientar quanto à conformidade aos normativos relativos aos dados pessoais quando as solicitações de coletas de novos dados incluírem essa categoria de dados;
III – orientar os curadores de dados responsáveis também, ou exclusivamente, por dados pessoais, quanto à obrigatoriedade de manter atualizado o inventário de dados, sinalizando os atributos dessa categoria de dados de forma explícita;
IV – orientar nos planos e programas de capacitação e treinamento de ações com vistas a conscientizar e manter informado o conjunto de servidores e colaboradores sobre os cuidados e responsabilidades com dados pessoais.
CAPÍTULO III
MONITORAMENTO
Art. 11. O EGD estabelecerá indicadores e métricas para avaliar a efetividade do Programa de Governança de Dados.
§ 1º O resultado do monitoramento será levado ao conhecimento do CGD e divulgado a toda a CVM.
§ 2º O monitoramento subsidiará planos, processos e projetos com vistas à melhoria contínua.
Art. 12. Periodicamente, o EGD promoverá a aplicação de instrumento de avaliação de maturidade em governança de dados a fim de aferir a evolução da CVM nesse tema. CAPÍTULO IV – Instrumentos
Art. 13. O Programa de Governança de Dados deverá contar com pelo menos as ferramentas, instrumentos e recursos a seguir, a serem implementados conforme as competências estabelecidas nesta Política:
I – a estratégia e o plano de implementação da governança de dados;
II – o portal da governança de dados;
III – o glossário de termos de negócios;
IV – o catálogo de dados e respectivos metadados técnicos e negociais;
V – o programa de capacitação e treinamento para a implementação da Política de Governança de Dados;
VI – o instrumento de avaliação de maturidade em governança de dados; e
VII – métricas e indicadores para monitoramento da efetividade do programa.
CAPÍTULO V
DISPOSIÇÕES FINAIS
Art. 14. O EGD auxiliará na elaboração do programa de capacitação e treinamento que contemplará os temas de governança de dados, gestão de dados e letramento em dados a ser disponibilizado para os servidores e colaboradores da CVM.
Art. 15. O EGD deverá implementar portal na intranet da CVM com vistas a comunicar, sem prejuízo de outros temas:
I – o organograma da governança de dados;
II – os documentos que instituírem os princípios, políticas, padrões e procedimentos da gestão de dados como ativos estratégicos;
III – a relação dos curadores corporativos e negociais e os respectivos conjuntos de dados por eles curados;
IV – o catálogo de dados e seus metadados técnicos e negociais;
V – a relação de novos conjuntos de dados solicitados e a situação da solicitação, inclusive se indeferido;
VI – o portfólio de projetos de dados sob acompanhamento do EGD.
Art. 16. O EGD deverá elaborar e comunicar a descrição do papel e das responsabilidades dos curadores de dados a ser atribuída aos curadores corporativos e negociais de cada componente organizacional.
Art. 17. Sem prejuízo da elaboração de outros regramentos a serem aplicados na gestão de dados, o EGD deverá elaborar as políticas de gestão da qualidade de dados e de gestão de dados de referência.
Art. 18. As ações necessárias à implementação desta política serão desenvolvidas no âmbito do Plano de Implementação da Governança de Dados, sob a coordenação do EGD e supervisão do CGD.
Art. 19. Os casos omissos e as dúvidas sobre a Política de Governança de Dados devem ser submetidos ao CGD.
Art. 20. Esta portaria entra em vigor na data de sua publicação.
JOÃO PEDRO BARROSO DO NASCIMENTO
Carrinho de compras