O Promete trata dados pessoais sensíveis de cidadãos, lideranças e stakeholders políticos. A conformidade com a Lei Geral de Proteção de Dados (LGPD) é um requisito não funcional obrigatório que permeia toda a arquitetura e operação do sistema.
Medidas Técnicas
| Medida | Descrição |
|---|
| Criptografia em trânsito | Toda comunicação via HTTPS/TLS |
| Criptografia em repouso | Dados sensíveis criptografados no banco de dados |
| Controle de acesso | RBAC com permissões granulares por perfil |
| Logs de auditoria | Registro de todas as operações sobre dados pessoais |
| Anonimização | Dados publicados em dashboards públicos são anonimizados |
| Minimização | Coleta apenas dos dados necessários para as finalidades do sistema |
Medidas Organizacionais
A conformidade com a LGPD também exige medidas organizacionais, como a definição de um encarregado de dados (DPO), treinamento da equipe sobre proteção de dados, procedimentos para resposta a incidentes de segurança e processos para atendimento aos direitos dos titulares.
Responsabilidades
No contexto do Promete, existem dois papéis distintos em relação à LGPD:
| Papel | Quem | Responsabilidade |
|---|
| Controlador | O mandato (cliente do Promete) | Define as finalidades e meios do tratamento dos dados de seus contatos |
| Operador | Promete (plataforma) | Processa os dados em nome do controlador, conforme suas instruções |
Um Acordo de Processamento de Dados (DPA) deve ser firmado entre o Promete e cada mandato cliente, definindo responsabilidades, finalidades e medidas de segurança.
