POLÍTICA DE RESPOSTA A INCIDENTES ENVOLVENDO DADOS PESSOAIS
​​​
​
Área Responsável: Jurídico e Proteção de Dados Pessoais.
Publicado. 16.09.2024
Classificação da Informação: Uso Interno versão: 1
​
APRESENTAÇÃO
​
Esta Política de Resposta a Incidentes envolvendo Dados Pessoais estabelece providências antecipadas, aprovadas e essenciais para serem tomadas diante de situações que resultem em acesso, perda, divulgação, uso inapropriado ou dano não autorizado aos dados que estejam em posse XXXXXXXXX ou de terceiros relacionados a ela.
​
OBJETIVO
​
A XXXXXXXXX , elaborou esta Política de Respostas a Incidentes envolvendo Dados Pessoais com o objetivo de estabelecer diretrizes para a identificação de incidentes que possam comprometer a confidencialidade, integridade e disponibilidade dos dados tratados pela XXXXXXXXX ou que ela venha a ter acesso.
​
Para que os incidentes sejam resolvidos de forma célere e eficiente, os impactos e a extensão dos danos sejam reduzidos e os dados protegidos, os procedimentos aqui estruturados devem ser estritamente seguidos pelos Colaboradores.
​
ABRANGÊNCIA
​
Esta Política é aplicável a todos os processos realizados pela XXXXXXXXX , por meio de seus Colaboradores, que resultem em Incidentes envolvendo Dados Pessoais e Dados Pessoais Sensíveis e deve ser executada em harmonia com as demais políticas da XXXXXXXXX .
PRAZO DE VIGÊNCIA
​
Esta Política entrará em vigor em 16.09.2024 e permanecerá válida por período indeterminado.
TERMOS E DEFINIÇÕES
​
Nesta Política, os termos e expressões terão as definições e significados a seguir expostos sempre que iniciados com letras maiúsculas, no singular ou no plural, independentemente de gênero:
​
“Agentes de Tratamento” corresponde ao Controlador e Operador em conjunto.
“Anonimização” é a utilização de meios técnicos razoáveis e disponíveis por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
“Autoridade Nacional de Proteção de Dados” ou “ANPD” é um órgão da administração pública nacional responsável por fiscalizar e zelar pelo cumprimento da Lei Geral de Proteção de Dados em todo o território brasileiro.
“Canal de Reporte” faz referência ao e-mail “LGPD@XXXXXXXXX .COM” utilizado como meio de comunicação entre os Colaboradores e a área de Proteção de Dados para o envio de dúvidas acerca dos processos que envolvam o Tratamento de Dados e para relatar, informar ou comunicar todo e qualquer caso de Problemas de Segurança, Violação de Privacidade, perda, extravio, roubo ou furto de equipamentos fornecidos pela XXXXXXXXX .
“Colaborador” corresponde a todos os trabalhadores contratados pela XXXXXXXXX , incluindo administradores, CCs, estagiários, aprendizes, funcionários temporários e qualquer outra pessoa que possua vínculo direto com a XXXXXXXXX
“Controlador” é toda pessoa física ou jurídica, de direito público ou privado, a quem competem decisões referentes ao Tratamento de Dados.
​
“Dados” referem-se aos Dados Pessoais e Dados Pessoais Sensíveis em conjunto.
“Dados Pessoais” significa qualquer informação relacionada a um indivíduo que possa ser usada para identificá-lo, direta ou indiretamente, ou para entrar em contato, por conta própria ou quando combinada com outras informações sob a responsabilidade da XXXXXXXXX . O conceito de Dados Pessoais pode incluir, mas não estará limitado a nome completo do indivíduo, endereço de e-mail, endereço, informações de geolocalização (GPS), endereço de IP, número de telefone, dados cadastrais, hábitos, preferências, histórico de consumo, avaliações de desempenho em qualquer mídia ou formato, inclusive arquivos impressos e registros eletrônicos.
​
“Dados Pessoais Sensíveis” são Dados Pessoais que digam respeito a origem racial ou étnica, convicção religiosa, prática ou orientação sexual, informações médicas ou de saúde, como histórico médico e prontuário físico ou eletrônico, informações genéticas ou biométricas, crenças políticas ou filosóficas, filiação política ou sindical, número do seguro social, número da carteirinha do plano de saúde e informações bancárias.
​
“Encarregado” ou “Data Privacy Officer (DPO)” é pessoa física designada pela XXXXXXXXX , responsável por assegurar o cumprimento da legislação local aplicável, além de atuar como contato para os Titulares dos Dados e para a Autoridade Nacional de Proteção de Dados Pessoais (“ANPD”).
​
“Expurgo de Dados” significa destruição segura e definitiva de informações, ou seja, quando os Dados não existem mais ou não podem mais ser acessados pelo Controlador de qualquer forma.
​
“Incidente” significa qualquer ato, suspeita, ameaça ou circunstância que comprometa a confidencialidade, integridade ou a disponibilidade de informações que estão em posse da XXXXXXXXX ou que ela venha a ter acesso.
​
“LGPD” é o acrônimo utilizado para identificação da Lei Geral de Proteção de Dados, a Lei nº 13.709 de 14 de agosto de 2018, que regula as atividades de Tratamento de Dados no Brasil.
​
“Liderança” é pessoa física ou conjunto de pessoas físicas designadas pela XXXXXXXXX para coordenar uma área específica e orientar os demais Colaboradores nas execuções das suas atividades e alcance dos objetivos da XXXXXXXXX
​
“Operador” é toda pessoa física ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados em nome do Controlador.
​
“Parceiros” significa toda pessoa física ou jurídica que possui relações comerciais com a XXXXXXXXX , independentemente de como essa relação se estabeleceu, seja por contrato de parceria, prestação de serviços ou outros.
​
“Política” refere-se a esta Política de Resposta a Incidentes envolvendo Dados Pessoais.
​
“Sistemas” significa hardware, software, network de dados, armazenador de mídias e demais sistemas usados, adquiridos, desenvolvidos, acessados, controlados, cedidos ou operados pela XXXXXXXXX para dar suporte na execução de suas atividades.
​
“Time de Governança” significa conjunto de pessoas físicas designadas pela XXXXXXXXX para instituir processos e políticas relacionados à proteção de Dados, além de coordenar investigações, monitorar e prestar todo o suporte necessário aos Colaboradores.
​
“Titular dos Dados” é toda pessoa física a que se referem os Dados.
“Tratamento”, “Tratar” ou “Tratado” significam qualquer operação ou conjunto de operações efetuadas sobre os Dados, por meios automatizados ou não, incluindo, mas não se limitando a coleta, gravação, organização, estruturação, alteração, uso, acesso, divulgação, cópia, transferência, armazenamento, exclusão, combinação, restrição, adaptação, recuperação, consulta, destruição ou anonimização.
“Vazamento de Dados” qualquer quebra de sigilo ou vazamento de Dados que possa resultar, criminosamente ou não, na perda, alteração, compartilhamento não autorizado, acesso, transmissão, armazenamento ou processamento de Dados.
​
“Violação de Privacidade” significa qualquer violação à legislação aplicável ou conduta e evento que resultem na destruição acidental ou ilícita dos Dados, bem como sua perda, roubo, alteração, divulgação não autorizada, acesso, danos ou desvio de finalidade em seu Tratamento.
PROCEDIMENTO
​
Em caso de Incidente, a XXXXXXXXX seguirá os seguintes passos:
· Notificação do Incidente: o Colaborador que identificar qualquer Incidente, interno ou externo, deverá relatá-lo à sua Liderança imediata, com a maior brevidade possível e no prazo máximo de 24 (vinte e quatro) horas, por meio do e-mail corporativo/site. Caso prefira, o Colaborador poderá reportar o Incidente diretamente ao Encarregado pelo e-mail, disponível nesta Política.
​
· Identificação do Incidente: a Liderança acionará o Encarregado, em até 24 (vinte e quatro) horas, para que, em conjunto, façam a análise do Incidente e concluam se ele envolve ou não Dados Pessoais e/ou Dados Pessoais Sensíveis. Caso positivo, os procedimentos estabelecidos nesta Política e na legislação aplicável devem ser seguidos rigorosamente.
​
· Comunicação: quando os Parceiros da XXXXXXXXX estiverem diretamente envolvidos no Incidente e já tiverem conhecimento da situação, será enviado comunicado, aprovado pelo Jurídico, informando que a XXXXXXXXX está adotando todas as medidas necessárias para reduzir os impactos e, assim que possível, retornará com maiores informações a respeito.
​
· Obtenção de Informações: o Encarregado, quando necessário, solicitará mais detalhes do Incidente ao notificante. Por este motivo, visando a celeridade no procedimento, é imprescindível que o e-mail reúna todas as informações que o Colaborador teve acesso a respeito do Incidente, mesmo que ele não as considere relevantes.
​
· Classificação da XXXXXXXXX : o Encarregado, depois de analisar o Incidente, deverá identificar o papel que a XXXXXXXXX exerce neste caso, isto é, se ela é Controladora ou Operadora dos Dados.
​
· Investigação: em até 48 (quarenta e oito) horas, o Encarregado reunirá o Time de Governança para conduzir as investigações do Incidente e, assim, classificá-lo, conforme o item 6, mensurar o seu impacto e determinar quais medidas serão adotadas.
​
· Classificação do Incidente: o Incidente será classificado de acordo com a severidade e o seu potencial impacto. Para esta classificação devem ser considerados os seguintes fatores:
​
· Tipo de incidente de acordo com os três pilares da segurança da informação (confidencialidade, integridade ou disponibilidade);
​
Confidencialidade quebra de sigilo ou acesso não autorizado de Dados
Integridade perda, alteração ou Expurgo não autorizado
Disponibilidade restrição de acesso aos Dados
​
· Natureza e sensibilidade dos Dados envolvidos;
· Volume dos Dados envolvidos;
· Magnitude do impacto para os Titulares envolvidos;
· Consequência à reputação da XXXXXXXXX , interna ou externamente.
​​
Resposta ao Incidente: a cada Incidente será elaborado um plano de ação, em até 72 (setenta e duas) horas, contadas a partir do término da reunião do Time de Governança, que dependerá das informações coletadas nos passos anteriores e do impacto causado à XXXXXXXXX . O plano de resposta poderá apresentar os seguintes passos:
Notificar terceiros: avaliar a necessidade de notificar terceiros sobre o Incidente. São eles:
(i) a ANPD; (ii) os Titulares e (iii) a parte Controladora, quando este papel não for desempenhado pela XXXXXXXXX . Entretanto, todas as vezes que o Incidente for passível de causar risco ou dano aos Titulares dos Dados, essa notificação será obrigatória e deverá conter as informações abaixo:
1. Descrição da natureza dos Dados afetados;
2. Titulares envolvidos;
3. Indicação das medidas técnicas e de segurança utilizadas para a proteção dos Dados, observados os segredos comercial e industrial;
4. Riscos relacionados ao Incidente;
5. Os motivos da demora, caso a comunicação não tenha sido feita de forma imediata;
6. Medidas adotadas para reverter ou mitigar os efeitos do prejuízo.
Contratação de terceiros: avaliar a necessidade de contratar terceiros para auxiliarem na elaboração do plano de ação e identificação da origem e motivo do Incidente como, por exemplo, peritos técnicos.
Execução da investigação: (i) endereçar os recursos necessários para realizar a investigação, incluindo a contratação de terceiros; (ii) compartilhar, detalhadamente, com os experts todas as informações que a XXXXXXXXX possui.
Contenção, erradicação e recuperação: orientações para conter o Incidente, prevenir sua expansão, mitigar seus efeitos malignos, recuperar os Dados e normalizar as operações, como, por exemplo: restauração de Sistemas, mudança de senhas, controle de acesso, erradicação das brechas de segurança, entre outras ações que se fizerem necessárias.
​
Seguro: acionar, quando necessário, o seguro contratado para este tipo de risco e criar uma rotina de revisão e atualização dos termos e condições gerais da apólice, a fim de garantir que a XXXXXXXXX esteja sempre protegida.
Divulgação do Incidente: dependendo da gravidade do Incidente, a Autoridade Nacional poderá determinar que a XXXXXXXXX divulgue o fato em meios de comunicação e adote medidas para reverter ou mitigar seus efeitos.
Notificar indivíduos afetados: caso a comunicação disposta no item 7.1. não tenha sido feita e, considerando os desdobramentos do Incidente, o Time de Governança julgue necessário que a XXXXXXXXX entre em contato com os indivíduos que possam ser ou foram afetados pelo Incidente, mesmo que ele não apresente risco ou dano aos Titulares, ela deverá: (i) detalhar o ocorrido; (ii) indicar quais medidas foram adotadas para mitigar os efeitos malignos e resolver a situação; (iii) orientá-los sobre como se prevenir; (iv) prestar todo o suporte necessário e (v) informar o nome e o contato do Encarregado, caso queiram tirar dúvidas.
​
Na hipótese de a legislação aplicável determinar prazos inferiores aos estabelecidos nesta Política para resolução do Incidente e/ou comunicação às autoridades, serão considerados os que forem menores.
​
Pela natureza sensível e confidencial das informações e comunicações relacionadas ao Incidente, todas as comunicações ocorrerão através de meios seguros, preferencialmente, por e-mail corporativo para que fique documentado e sob a coordenação do Time de Governança.
​
RELATÓRIO DE INCIDENTE
​
Após a resolução do Incidente: o Time de Governança conduzirá uma avaliação de todos os procedimentos adotados e o que foi possível adquirir de aprendizado. Para isso, será elaborado um Relatório de Incidente, conforme modelo exposto no Anexo I desta Política, com o intuito de documentar o que foi feito e possibilitar a consulta sempre que necessário.
​
No relatório devem constar, no mínimo, os seguintes itens:
· Descrição detalhada do Incidente;
· Categoria dos Dados envolvidos (se pessoais ou pessoais sensíveis);
· Classificação da XXXXXXXXX (como Operadora ou Controladora);
· Classificação do Incidente (não observação à confidencialidade, integridade ou disponibilidade);
· Quais Titulares estão envolvidos;
· Possíveis riscos decorrentes do Incidente, principalmente em relação aos Titulares;
· Descrição do plano de ação (se houve a notificação do Incidente às autoridades, se houve a contratação de terceiros, quais medidas foram utilizadas, etc.);
· ​Consequências suportadas pela XXXXXXXXX , Titulares ou terceiros.
​
Todos os documentos e relatórios relacionados aos Incidentes serão arquivados pelo Encarregado pelo período de 5 (cinco) anos para que, em caso de fiscalização das autoridades competentes, seja possível demonstrar o que foi feito e para que eles sirvam de prova para eventuais defesas e como material de apoio para a revisão de processos e adequação do negócio da XXXXXXXXX .
MELHORAMENTO DE PROCESSOS
​
Todos os processos, produtos, contratos e Sistemas da XXXXXXXXX que envolvam atividade igual ou semelhante a do Incidente, devem ser revisitados para que sejam realizadas as adequações necessárias, a fim de evitar que a mesma situação ocorra em outra área. Para isso, devem servir como material de apoio: o Relatório de Incidente e outros documentos pertinentes.
PROIBIÇÕES: É terminantemente proibido:
Tentar interferir, obstruir ou dissuadir qualquer Colaborador a não realizar a notificação do Incidente;
Toda e qualquer forma de retaliação do Colaborador que reportar ou que estiver investigando o Incidente;
Agir em desconformidade com o estabelecido nesta Política ou sem a orientação do Time de Governança. Caso alguma medida seja adotada sem a análise e sem a autorização do Time de Governança, o ato será considerado como renúncia a esta Política e a área será responsável, exclusivamente, por todos os riscos assumidos.
Qualquer violação ao estabelecido nesta Política será analisada, em conjunto, pelas áreas de Proteção de Dados, Jurídica e pela Diretoria, podendo acarretar na aplicação de sanções previstas nos regulamentos internos, nas disposições contratuais e em lei.
RESPONSABILIDADES
​
Para administrar, coordenar e responder, de maneira eficaz e ágil, aos Incidentes, a XXXXXXXXX criou um Time de Governança que poderá, eventualmente, contar com o auxílio de outros Colaboradores e de terceiros, conforme a necessidade.
O Time de Governança será composto pelo:
Encarregado: tem papel central no Time de Governança. Suas responsabilidades incluem, mas não se limitam a: (i) ser o contato para receber e realizar denúncias e comunicados; (ii) avaliar se o Incidente envolve ou não Dados Pessoais e Dados Pessoais Sensíveis; (iii) coordenar as reuniões relativas aos Incidentes; (iv) supervisionar a elaboração dos relatórios; (v) armazenar os documentos e (vi) conduzir outras atividades que dependem das particularidades do Incidente em questão.
​
Jurídico: (i) auxiliará o Encarregado na elaboração do plano de ação e nas investigações; (ii) estimará os riscos envolvidos no Incidente; (iii) estudará as possibilidades de serem propostas contra a XXXXXXXXX processos, administrativos ou judiciais, e sanções.
Membros rotativos: poderá ser requerida a contratação de terceiros ou o auxílio de outros Colaboradores que não integram, originalmente, o Time de Governança para que o plano de ação seja completo e eficaz.
CANAL DE REPORTE DE DÚVIDAS
​
Todas as dúvidas acerca do conteúdo exposto nesta Política e denúncias de Incidentes devem ser encaminhadas ao e-mail XXXXXXXXX.lgpd@gmail.com.
A XXXXXXXXX garante a confidencialidade e anonimato das informações reportadas, bem como a não retaliação dos denunciantes que estiverem agindo de boa-fé, mesmo que o relato não configure incidente envolvendo Dados Pessoais e Dados Pessoais Sensíveis.
​
REVISÃO
​
Esta Política poderá ser revisada e modificada a qualquer momento, sempre que a XXXXXXXXX julgar necessário e conforme a necessidade de adequação com o disposto na legislação aplicável.