Na finalidade de garantir a privacidade e segurança dos Dados Pessoais dos Titulares, Colaboradores e clientes, bem como o adequado gerenciamento de eventuais crises e Incidentes relacionados à proteção de Dados Pessoais, a Libercon Engenharia Ltda. (“Libercon”), por meio do presente documento, apresenta o Procedimento de Gestão de Crises e Incidentes (“PGCI” ou “Procedimento”), que seguirá anexo à Política de Privacidade, corroborando todas as premissas e diretrizes nela dispostas.
Este Procedimento tem como escopo instituir a estrutura organizacional responsável pela análise e deliberação acerca de eventuais crises e/ou Incidentes, bem como estabelecer, na forma do art. 48, da Lei 13.709/18, a Lei Geral de Proteção de Dados (“LGPD”), regras claras e objetivas, que possibilitem a realização da gestão, mitigação e aplicação de um plano de resposta desses eventos.
Considerando a necessidade de atendimento às exigências legais de comunicação e transparência no Tratamento de Dados Pessoais, a implantação PGCI é fundamental na medida em que a realização de uma análise assertiva da situação enfrentada – e sua gravidade -, possibilitará uma resposta célere, proporcional e eficaz, produzindo, ao mesmo tempo, lastro probatório e um arcabouço de lições aprendidas, que ao fim e ao cabo, auxiliarão na prevenção de novos Incidentes, bem como propiciarão a melhoria contínua dos processos relacionados ao Tratamento de Dados Pessoais.
Este Procedimento é dirigido a todos os Colaboradores que atuam em nome da Libercon.
Para fins do presente Procedimento, as seguintes palavras ou termos, no singular ou no plural, no gênero masculino ou feminino, quando grafados com a primeira letra maiúscula, terão os respectivos significados aqui atribuídos:
I. Autoridade Nacional de Proteção de Dados (“ANPD”): órgão da Administração Pública responsável por fiscalizar o cumprimento da LGPD em todo território nacional;
II. Base Legal: fundamentação legal que torna legítimo o Tratamento de Dados Pessoais para uma determinada Finalidade;
III. Bloqueio: suspensão temporária de qualquer operação de Tratamento de Dados Pessoais;
IV. Colaboradores: todos os empregados da Libercon, efetivos ou temporários, os parceiros, prestadores de serviços e Terceiros que atuem em nome da empresa;
V. Comitê de Privacidade e Proteção de Dados da Libercon (“CPPD”): grupo formado por Colaboradores da Libercon, responsável por deliberar acerca de circunstâncias que envolvam Privacidade, Tratamento de Dados Pessoais, Crises e Incidentes na Libercon;
VI. Controlador de Dados ou Controlador: Agente de Tratamento. Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados Pessoais. Para fins desta Política de Privacidade, a Libercon;
VII. Dados Pessoais: toda informação relacionada a uma pessoa natural identificada ou identificável, que abrange, mas não se limita ao nome, sobrenome, apelido, idade, endereço residencial ou eletrônico, podendo incluir dados de localização, placas de automóvel, perfis de compras, número do Internet Protocol (“IP”), dados acadêmicos, histórico de compras, entre outros;
VIII. Dados Pessoais Sensíveis: são dados relacionados a características da personalidade do indivíduo e/ou suas escolhas pessoais, tais como origem racial ou étnica, convicção religiosa, opinião Política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente a saúde ou a vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
IX. Data Protection Officer (“DPO” ou “Encarregado”): pessoa física ou jurídica indicada pela Libercon, como elo de comunicação entre o Controlador, os Titulares dos dados e a ANPD. É responsável, ainda, por responder e dar efetividade à eventuais requisições e solicitações dos Titulares, bem como orientar os colaboradores do Controlador sobre a maneira adequada de Tratamento de Dados Pessoais;
X. Eliminação de Dados Pessoais (“Eliminação”): exclusão de dado ou de conjunto de Dados Pessoais, independentemente do procedimento empregado, após o término do Tratamento dos Dados Pessoais, cumprimento da(s) Finalidade(s), por determinação legal e/ou requisição do Titular;
XI. Hacking: aplicação de tecnologia ou o conhecimento técnico para suplantar algum tipo de problema ou obstáculo;
XII. Incidente de Segurança com Dados Pessoais (“Incidente”): qualquer evento adverso ou um conjunto desses, confirmado ou sob suspeita, capaz de impactar a disponibilidade, integridade, confidencialidade ou a autenticidade de um ativo de informação, no caso, Dados Pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de Tratamento inadequado ou ilícito de Dados Pessoais, e possa ocasionar risco para os direitos e liberdades do Titular;
XIII. Legítimo Interesse: Base Legal que pode fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, conforme art. 10 da LGPD;
XIV. Medidas Mitigatórias: estabelecidas no PPMR, são medidas que visam a minimização ou extinção de um Risco, materializado ou não;
XV. Notificação: meio pelo qual as partes interessadas são informadas acerca do Incidente. A Notificação de um Incidente poderá ser efetivada por meio de sistema próprio, e-mail, ligação, por qualquer Colaborador ou cliente que identificar o Incidente, ou ainda pelo membro da equipe de Tecnologia da Informação (“TI”) que identificar qualquer Incidente nos sistemas;
XVI. Plano de Comunicação de Incidentes (“PCI”): documento que instrumentaliza o Procedimento de Resposta de Incidentes, objetivando consolidar as próximas ações de comunicação da Libercon considerando a participação dos atores/interessados envolvidos (e.g. Colaboradores, clientes, DPO, Titulares e/ou Imprensa);
XVII. Phishing: técnica de engenharia social usada para enganar usuários e obter informações confidenciais como (i) nome de usuário, (ii) senha, (iii) detalhes do cartão de crédito.
XVIII. Procedimento de Prevenção e Mitigação de Riscos (“PPMR”): procedimento estabelece, de forma clara e objetiva, os meios e métodos padronizados para produzir o Relatório de Impacto à Proteção de Dados Pessoais;
XIX. Procedimento de Resposta de Incidentes (“PRI”): procedimento que estabelece um fluxo de trabalho desde a Notificação de um Incidente até a comunicação do Incidente;
XX. Risco: situação, materializada ou não, que cause ou possa causar prejuízo à segurança das informações e Privacidade dos Dados Pessoais Tratados pela Libercon;
XXI. Terceiros: todos aqueles que não integrem a estrutura organizacional da Libercon;
XXII. Titular de Dados Pessoais (“Titular”): pessoa natural a quem se referem os Dados Pessoais objetos de Tratamento pelo Controlador ou Operador, e que tenham seus Dados Pessoais tratados nos termos da LGPD; e
XXIII. Tratamento de Dados Pessoais (“Tratamento”): toda operação realizada com Dados Pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, Eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Para os fins deste Procedimento, é considerado um Incidente qualquer evento adverso ou um conjunto desses, confirmado ou sob suspeita, capaz de impactar a disponibilidade, integridade, confidencialidade ou a autenticidade de um ativo de informação, no caso, Dados Pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de Tratamento inadequado ou ilícito de Dados Pessoais, e possa ocasionar risco para os direitos e liberdades do Titular
Este Procedimento pode incluir os seguintes Incidentes, mas não se limitam a:
I. Perda, sequestro, furto ou roubo de um registro físico de dados;
II. Perda, sequestro, furto ou roubo de equipamentos de informática (e.g. laptop), dispositivos móveis (e.g. smartphone ou tablet), dispositivos portáteis de armazenamento de dados (e.g. unidade USB) ou outros dispositivos de armazenamento de dados;
III. Falha do equipamento;
IV. Acesso não autorizado, uso ou modificação de Dados, controles de acesso inadequados que permitem acesso não autorizado, uso ou modificação;
V. Divulgação não autorizada de dados;
VI. Erro humano (e.g. envio de dados para o destinatário errado);
VII. Circunstâncias imprevistas (e.g. incêndio ou inundação);
VIII. Hacking, phishing, engenharia social e outras técnicas empregadas com o objetivo de violar Dados Pessoais.
Neste sentido, ocorrendo Incidente(s), o Comitê de Privacidade e Proteção de Dados (“CPPD”), instaurado por meio de convocação extraordinária, irá deliberar e adotar as providencias cabíveis, na forma deste Procedimento.
Conforme Regimento Interno do Comitê de Privacidade e Proteção de Dados (“Regimento Interno”), o CPPD será composto pelos seguintes membros:
I. DPO nomeado, Carlos Magno da Silva Junior.
II. Gestor Jurídico e/ou representante por ele indicado;
III. Gestor de TI e/ou representante por ele indicado;
IV. Gestor de DHO e/ou representante por ele indicado; e
V. Gestor da área afetada e/ou representante por ele indicado.
Em linhas gerais, o CPPD atuará como órgão consultivo, possuindo funções operacionais e/ou executivas dentro da estrutura organizacional interna da Libercon.
O CPPD deliberará acerca da ocorrência de Incidente(s) relacionados a Privacidade e Dados Pessoais. As reuniões extraordinárias serão instauradas por meio da convocação do DPO, no prazo máximo de 24 (vinte e quatro) horas contado da Notificação/ciência do Incidente. Advirta-se, porém, que as reuniões extraordinárias serão realizadas após a avaliação do DPO, na forma do PRI (item 07 do presente procedimento).
A deliberação do CPPD terá a finalidade de expedir as diretrizes necessárias para a consolidação do PCI, bem como possibilitar a comunicação do(s) Incidente(s) ao(s) interessado(s) e à ANPD.
O cargo de Presidente do CPPD será, invariavelmente, ocupado pelo DPO. Entretanto, caso não possa comparecer para a deliberação no dia e horário designados, em razão de caso fortuito ou força maior, o seu substituto (ou pessoa indicada previamente) deverá assumir suas funções e prerrogativas.
Atingido o quórum de instalação do CPPD e, na impossibilidade de indicação prévia pelo DPO de substituto, qualquer outro membro do CPPD, escolhido por meio de deliberação em reunião extraordinária, poderá exercer as funções e se valer das prerrogativas do cargo.
Na impossibilidade do(s) Gestor(es) comparecer(em) no dia e horário designados para a realização do CPPD, o(s) representantes deverá(ão) ser indicado(s) com antecedência razoável.
Em havendo quaisquer dúvidas/questionamentos acerca do funcionamento do CPPD, suas atribuições e demais aspectos relacionados, o interessado deverá consultar o Regimento Interno ou o DPO, conforme o caso.
O PRI seguirá, de forma geral e no que couber, o seguinte fluxo de trabalho:
I. Notificação do Incidente: a Notificação do Incidente poderá ser realizada por qualquer Colaborador ou Terceiro, seja por meio de e-mail, telefone, canal de comunicação com o DPO, canal de denúncia, alarme ou quaisquer outros métodos de monitoramento, segundo as diretrizes da Libercon.
• Havendo a Notificação de Incidente, o DPO, por meio dos instrumentos disponíveis e adequados (e.g. comunicado, informativo, e-mail), informará aos Colaboradores da Libercon, conforme o caso, para que não se manifestem acerca do Incidente.
• A comunicação do evento às autoridades competentes e ao Titular deverá ser feita, única e exclusivamente, na pessoa do DPO, após deliberação do CPPD e na forma do presente Procedimento.
• Desde já, fica estabelecido que a Libercon não pagará, sob qualquer motivo ou circunstância, resgaste em caso de Incidente envolvendo sequestro de Dados Pessoais. Caso tal situação ocorra, o DPO deverá ser cientificado imediatamente, para que atue, prioritariamente, nos termos dos subitens III, IV e V do presente PRI, sem prejuízo de eventual comunicação às autoridades competentes (e.g. Polícia).
II. Notificação ao DPO e Gestores: na eventual ocorrência de Incidentes, o DPO, o Gestor da Área e, a depender do caso, o Gestor de TI, deverão ser cientificados acerca do evento. Neste sentido, é importante frisar que a notificação seja realizada prioritariamente ao DPO, objetivando sua ciência imediata, se assim for possível.
III. Avaliação do DPO: compete exclusivamente ao DPO a realização de Avaliação de Risco do Incidente notificado, levando em consideração, dentre outras coisas, (i) a descrição da natureza dos Dados Pessoais afetados, (ii) as informações acerca dos Titulares envolvidos, (iii) a indicação das medidas técnicas e de segurança que garantiam o Tratamento, e (iv) os Riscos relacionados ao incidente e demais informações relevantes, na forma do Relatório abaixo.
• Sempre que possível, após (i) o devido preenchimento do Relatório pela área afetada ou pela área que detêm as informações relativas ao Tratamento de Dados Pessoais/Incidente e (ii) a Avaliação de Risco do Incidente, o DPO submeterá o documento/Incidente à apreciação do Jurídico, para que se manifeste acerca das implicações jurídicas do fato, eventuais medidas a serem aplicadas e a forma mais adequada de comunicação.
IV. Adoção de Medidas Mitigatórias emergenciais: o DPO, sob a aprovação do Diretor responsável, e contando com auxílio de profissionais de Tecnologia da Informação, se assim julgar prudente ou necessário, poderá/deverá adotar Medidas Mitigatórias emergenciais, visando reestabelecer, recuperar e/ou reparar a segurança da atividade e/ou sistema, conforme o caso.
É importante advertir que as Medidas Mitigatórias emergenciais deverão observar as melhores técnicas disponíveis, evitando (i) o comprometimento da integridade, disponibilidade ou confidencialidade do Dado Pessoal, (ii) o agravamento da situação enfrentada, e (iii) a perda, deterioração ou destruição de evidências necessárias à construção de lastro probatório.
V. Convocação para reunião extraordinária do CPPD: o DPO deverá convocar a realização do CPPD no prazo máximo de 24 (vinte e quatro) horas, contado da Notificação/ciência do Incidente.
VI. Deliberação do CPPD: caberá ao CPPD, subsidiado pelas informações reunidas, pela Avaliação de Risco do Incidente realizada pelo DPO, e eventual parecer jurídico, avaliar os Riscos, impactos e repercussões legais do Incidente, bem como avaliar a implementação de eventuais Medidas Mitigatórias suplementares.
VII. Providências do CPPD: caberá ao CPPD, dentre outras questões, expedir as diretrizes para a consolidação do PCI com base em sua deliberação. Tais diretrizes poderão dizer respeito à forma e ao conteúdo do PCI (e.g. qual a melhor estratégia de comunicação; a melhor abordagem; qual o conteúdo, requisitos e informações indispensáveis da resposta).
VIII. Preparação da Comunicação à ANPD e ao Titular: caberá ao DPO comunicar à ANPD e ao Titular, em até 02 (dois) dias úteis, acerca de ocorrência de Incidente, considerando as diretrizes estabelecidas no PCI. A referida comunicação deverá abarcar, segundo o art. 48 da LGPD:
a. a descrição da natureza dos dados pessoais afetados;
b. as informações sobre os Titulares envolvidos;
c. a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial (e.g. política de privacidade estruturada, termos assinados, relatórios de impacto confeccionados);
d. os Riscos relacionados ao Incidente;
e. os motivos da demora, no caso de a comunicação não ter sido imediata; e
f. as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
IX. Comunicação do Incidente: o Incidente deverá ser comunicado na forma do art. 48 da LGPD, e o do subitem VIII do PRI, utilizando o formulário oficial confeccionado pela ANPD, abaixo indicado.
• É importante elucidar que todas as informações necessárias para o preenchimento do formulário de comunicação à ANPD estarão presentes no documento nominado como “Relatório e Ata”, conforme subitem III do PRI.
• Link de acesso: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca
Colhendo da oportunidade, e após realizadas e devidas comunicações relacionadas ao Incidente, caberá ao DPO avaliar necessidade de confeccionar um Relatório de Impacto à Proteção de Dados Pessoais (“RIPD”), na forma do procedimento específico, notadamente nas situações em que o incidente envolver Dados Pessoais Sensíveis e/ou a base legal do Tratamento de Dados Pessoais estiver fundada no Legítimo Interesse, conforme art. 10 e art. 38 da LGPD.
Lado outro, objetivando a melhoria contínua de seus processos, a promoção de ações preventivas, bem como práticas que concretizem as diretrizes de segurança e privacidade previstas na LGPD, a Libercon poderá emitir, conforme a relevância e necessidade, comunicados informando, dentre outras questões, acerca (i) do Incidente, (ii) das medidas aplicadas e (iii) lições aprendidas.
Ainda, na finalidade a avaliar a eficácia do presente Procedimento, bem como atender as diretrizes contidas no Regimento Interno, o CPPD deverá realizar, pelo menos uma vez ao ano, um tabletop exercise (simulação de um caso de Incidente).
Por fim, a Libercon poderá realizar, periodicamente e a seu critério, treinamentos, palestras, workshops, com a finalidade de capacitar e reforçar conceitos, especialmente aqueles que possam auxiliar na prevenção, identificação e resolução de Incidentes.
Para esclarecimentos, dúvidas ou solicitações adicionais, os interessados deverão entrar em contato com o DPO Carlos Magno da Silva Junior, e-mail cmagno@fwcadvogados.com.br ou telefone (31) 3889-9700.