A Libercon Engenharia Ltda. (“Libercon”), apresenta por meio deste, o Procedimento de Prevenção e Mitigação de Riscos (“PPMR” ou “Procedimento”), que seguirá anexo à Política de Privacidade, corroborando as premissas e diretrizes nela dispostas.
O presente Procedimento estabelece, assertivamente, meios/métodos padronizados para auxiliar na redução/extinção dos Riscos referentes ao Tratamento de Dados Pessoais nas relações comerciais, negociais ou envolvendo a própria gestão de segurança da informação, realizados na Libercon. Ainda, dispõe acerca da necessidade da utilização dos mecanismos de identificação, avaliação e mitigação de Riscos na empresa.
Este procedimento estabelece diretrizes/comportamentos esperados nos casos em que forem identificados quaisquer Riscos relacionados ao Tratamento de Dados Pessoais na Libercon, bem como verificar acerca da necessidade de se prevenir e/ou mitigar eventuais Riscos identificados, seja no período de desenvolvimento das atividades na empresa, seja na atuação dos parceiros negociais, empregados e/ou colaboradores na consecução das suas respectivas atividades.
O presente documento é dirigido a todos os empregados e colaboradores da Libercon (efetivos e/ou temporários), bem como Terceiros que atuem em nome da empresa.
Para fins da presente Política, as seguintes palavras ou termos, sejam no singular ou no plural, no gênero masculino ou feminino, quando grafados com a primeira letra maiúscula, terão os respectivos significados atribuídos:
I. Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do Tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
II. Autoridade Nacional de Proteção de Dados (“ANPD”): órgão da Administração Pública responsável por fiscalizar o cumprimento da LGPD em todo território nacional;
III. Base Legal: fundamentação legal que torna legítimo o Tratamento de Dados Pessoais para uma determinada Finalidade;
IV. Comitê de Privacidade e Proteção de Dados (“CPPD”): grupo formado por Colaboradores da Libercon, responsável por deliberar acerca de circunstâncias que envolvam Privacidade, Tratamento de Dados Pessoais, Crises e Incidentes na Libercon;
V. Consentimento: manifestação livre, informada e inequívoca pela qual o Titular concorda com o Tratamento de seus Dados Pessoais para uma Finalidade determinada, sendo, assim, uma das hipóteses de Base Legal;
VI. Controlador de Dados ou Controlador: pessoa física ou jurídica que, individualmente ou em conjunto com outrem, determina as Finalidades e os meios de Tratamento de Dados Pessoais;
VII. Dados Pessoais: toda informação relacionada a uma pessoa natural identificada ou identificável, que abrange, mas não se limita ao nome, sobrenome, apelido, idade, endereço residencial ou eletrônico, podendo incluir dados de localização, placas de automóveis, perfis de compras, número do Internet Protocol (IP), dados acadêmicos, histórico de compras, entre outros;
VIII. Data Protection Officer (“DPO” ou “Encarregado”): pessoa física ou jurídica indicada pela Libercon, como elo de comunicação entre o Controlador, os Titulares dos dados e a ANPD;
IX. Eliminação de Dados Pessoais: exclusão após o término do Tratamento dos Dados Pessoais ou cumprimento das Finalidades, determinações legais e/ou requisições do Titular, sempre que não houver a Anonimização;
X. Incidente de Segurança (“Incidente”): evento ou um conjunto deles, confirmado ou sob suspeita de impactar a disponibilidade, integridade, confidencialidade ou a autenticidade de um ativo de informação, assim como qualquer violação à presente Política, às diretrizes dos sistemas de computação ou das redes de computadores;
XI. Operador: refere-se à uma pessoa física ou jurídica que trata Dados Pessoais em nome do Controlador de Dados;
XII. Titular: pessoa a quem se referem os Dados Pessoais que são objeto de algum Tratamento;
XIII. Tratamento: qualquer operação ou conjunto de operações realizadas com Dados Pessoais, por meios automáticos ou não, tais como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; e
XIV. Violação: qualquer ofensa, real ou suspeita, de Segurança que ocasione tanto a destruição total, quanto a parcial dos dados, além de perda ou alteração em sua composição. Ainda, considera-se Violação de Dados Pessoais, o vazamento, a divulgação ou transmissão não autorizada de Dados Pessoais, armazenamento, transformação ou o acesso indevido de qualquer outro modo;
XV. Privacidade como padrão (“privacy by default”): são as configurações de privacidade colocadas à disposição do Titular, padronizadas, analisados no maior grau de segurança possível, sem afetar, substancialmente, a funcionalidade do produto e/ou serviço;
XVI. Privacidade na concepção (“privacy by design”): se refere à proteção da privacidade como parte integrante de qualquer novo Procedimento desde a sua concepção (e.g. opt-in ao invés de opt-out);
XVII. Procedimento Operacional para elaboração do Relatório de Impacto à Proteção e Dados Pessoais (“PRIPD”): procedimento que visa estabelecer os meios e métodos padronizados para produção do Relatório de Impacto à Proteção e Dados Pessoais (“RIPD”), com fulcro no art. 5º, XVII, da Lei n. 13.709/18, Lei Geral de Proteção de Dados (“LGPD”), como instrumento de conformidade e prestação de informações.
A Libercon seguirá um modelo para realizar a Avaliação dos Riscos, com o intuito de quantificar, em conjunto com a rotina empresarial, a gravidade/probabilidade do eventual Risco, bem como as tipologias apontadas.
Para que a avaliação seja eficaz, o responsável identificará os potenciais Riscos ligados ao caso concreto, segundo rol exemplificativo contido na tabela abaixo, e, posteriormente, multiplicar, segundo a Matriz de Riscos apresentada na sequência.
| Tabela de Riscos | |
|---|---|
| ID – Riscos | Detalhamento |
| R01 | Compartilhamento não autorizado com Terceiros/prestadores de serviços; |
| R02 | Compartilhamento não autorizado em âmbito internacional ou com órgãos públicos; |
| R03 | Ausência de transparência aos Titulares dos Dados; |
| R04 | Tratamento sem o Consentimento; |
| R05 | Falha em informar/considerar os direitos dos Titulares; |
| R06 | Coleta excessiva de Dados para a finalidade prevista; |
| R07 | Coleta indevida de Dados no servidor de empresas contratadas/Matriz; |
| R08 | Coleta indevida de dados no servidor/computador; |
| R09 | Perda dos Dados no armazenamento (documentos físicos); |
| R10 | Não observância à legislação (LGPD e demais regulamentações); |
| R11 | Vinculação indevida dos Dados dos Titulares (finalidade diversa); |
| R12 | Ataque de Malware (e.g. vírus, worm, bot, spyware, ransomware); |
| R13 | Acesso e/ou modificação não autorizado(a); |
| R14 | Engenharia Social; |
| R15 | Ausência de rastreabilidade no armazenamento, ciclo de Dados Pessoais, etc; |
| R16 | Problema com reidentificação de Dados Pseudonimizados; |
| R17 | Vazamento e/ou perda de Dados Pessoais Sensíveis; |
| R18 | Perda/sequestro de Dados e/ou remoção não autorizada; |
| R19 | Titular exposto à perda de serviços/oportunidades; |
| R20 | Titular exposto à discriminação/retaliação; |
| R21 | Titular exposto a sofrer atentado à sua incolumidade física; |
| R22 | Desvio/vazamento de informações referentes ao Titular; |
| R23 | Risco de prejuízo financeiro à Libercon ou ao Mercado/Economia Nacional; |
| R24 | Outros. |
Caso sejam identificados Riscos que, eventualmente, não estejam mapeados na tabela apresentada, o DPO deverá ser informado por um dos meios aqui apresentados, informando acerca da irregularidade apontada e os possíveis mitigadores de aperfeiçoamento.
Em um processo de gestão de Riscos de Dados Pessoais, o diagnóstico e a avaliação, se realizados com excelência, permitirão que a Libercon esteja apta a apontar/contingenciar quaisquer Riscos na empresa, o que irá auxiliar, consequentemente, na prevenção, mitigação ou, até mesmo, a admissão/aceitação de Riscos (conforme melhores interesses e necessidades da empresa).
Ainda, além do próprio business inerente à atividade operacional da empresa, todas as áreas da Libercon são responsáveis pelo monitoramento e avaliação dos Riscos, sendo imprescindível que o DPO tenha ciência acerca de qualquer dúvida, suspeita ou evidência de Risco.
Caso sejam verificadas quaisquer hipóteses de Riscos apresentadas no item 5 (cinco) do presente Procedimento, o DPO deverá ser acionado, imediatamente, via e–mail cmagno@fwcadvogados.com.br, para que todas as medidas que se fizerem necessárias, sejam adotadas.
Por fim, segundo os critérios de mensuração de Riscos abaixo, caberá ao DPO verificar todos os departamentos negociais da empresa semestralmente, ou em prazo inferior (caso entenda necessário), para (i) realizar a classificação/quantificação/avaliação de Riscos; (ii) aplicar Medidas Mitigatórias à salvaguarda da Libercon e (iii) adotar outras providências.
Na oportunidade, o DPO também poderá avaliar eventual necessidade de mudança/aperfeiçoamento da metodologia de Avaliação de Riscos.
Conforme apresentado, existe a necessidade de quantificação/mensuração dos Riscos (e.g. grau do risco), bem como a respectiva probabilidade de ocorrência nos principais setores da Libercon, quais sejam:
I. Insignificante: danos não podem ocorrer (e.g. presença de Malware em computador autônomo, não conectado a uma rede da Libercon, e ao qual nenhuma outra mídia pode ser conectada);
#FFFD01
II. Limitado: danos podem ocorrer, no entanto, diante do cenário identificado, a probabilidade/ocorrência parece improvável (e.g. presença de Malware em computador usado/equiparado com software antivírus atualizado e conectado a apenas uma rede da Libercon);
III. Significativo: a ocorrência dos danos parece ser possível com base na experiência adquirida e/ou devido às circunstâncias apuradas, mas, ainda assim, pode não ocorrer (e.g. presença de Malware em computador atualizado e equipado com software antivírus e conectado diretamente à Internet); e
IV. Máximo: a ocorrência é possível e muito provável com base na experiência adquirida e/ou devido às circunstâncias apuradas (e.g. presença de Malware em computador com Windows XP desatualizado, sem software antivírus atualizado e conectado diretamente à Internet).
Conforme demonstrado, a quantificação/mensuração dos Riscos é extremamente importante para a determinação da gravidade, bem como os possíveis danos que poderão ser decorrentes de cada risco identificado. Nesse sentido, as graduações são:
I. Insignificante: àqueles que são afetados podem experimentar algum inconveniente, no entanto, poderão superá-los sem maiores problemas (e.g. intangível: inconveniente leve; material: perda de tempo; física: leve mal-estar);
II. Limitado: àqueles que são afetados podem experimentar algum inconveniente significativo, no entanto, eles poderão superá-los com alguns problemas (e.g. intangível: inconveniente considerável; material: perda considerável de tempo; física: considerável mal-estar);
III. Significativo: àqueles que são afetados podem experimentar consequências significativas, que poderão ser superadas com a adoção de medidas reparatórias (e.g. intangível e física: queixas psicológicas consideráveis; material: dificuldade financeira); e
IV. Máximo: àqueles que são afetados podem sofrer consequências significativas, e, até mesmo, irreversíveis (e.g. intangível e física: queixas psicológicas graves/permanentes; e material: prejuízo financeiro considerável capaz de gerar reflexos negativos em outros âmbitos da vida civil).
Realizada a análise de Risco, caberá ao DPO:
Será, ainda, permitido ao DPO, a reavaliação do Risco em relação à sua classificação/ quantificação. Inclusive, auditores e/ou prestadores de serviço também poderão ser contatados para avaliar, junto ao DPO, a gestão de Riscos.
Em contrapartida, ocorrendo um “Incidente de Segurança envolvendo Dados Pessoais, Dados Pessoais Sensíveis e/ou de menores/vulneráveis”, independentemente do nível de Risco (pontuação), a análise deverá ser submetida à deliberação do CPPD, na forma do PGCI.
O endereçamento e avaliação deverão ser realizados seguindo o seguinte formulário:
Conforme regras definidas no item 05 (cinco) do presente documento, para cada Risco identificado, Medidas Mitigatórias podem/devem ser aplicadas visando reduzir, reparar ou extinguir a exposição da Libercon a quaisquer Riscos.
Nesse sentido, o quadro exemplificativo a seguir, apresenta as principais Medidas Reparatórias que podem ser aplicadas, sem prejuízo de outras que se mostrem adequadas ao mesmo, a saber:
| Risco | Medidas Preventivas | Medidas Reparatórias |
|---|---|---|
| Compartilhamento não autorizado com Terceiros | Elaborar termos/contratos de conformidade à LGPD | Revisar termos/contratos; revisar o controle da gestão de dados |
| Compartilhamento internacional (caso existente) ou com órgãos públicos não autorizado | Elaborar termos/contratos de conformidade à LGPD | Revisar termos/contratos; Revisar o controle de gestão dos dados pessoais |
| Ausência de transparência aos Titulares | Adotar medidas de transparência/ publicidade dos dados aos Titulares | Dar publicidade; revisar conforme prevê a LGPD |
| Tratamento sem o Consentimento dos Titulares | Suspender o tratamento; elaborar termos/disclaimers | Revisar os procedimentos; treinar os colaboradores |
| Falha em informar/considerar os direitos dos Titulares | Elaborar termos/disclaimers | Auditar/revisar procedimentos; realizar treinamentos |
| Coleta excessiva de Dados Pessoais para os fins previstos | Suspender o Tratamento; elaborar termos/disclaimers; adotar medidas de transparência | Revisar procedimentos em observância à LGPD |
| Coleta não autorizada de Dados Pessoais (e.g. servidor, computador) | Elaborar novos termos/disclaimers; realizar revisão contratual; adequar controle de acesso e gestão de dados | Realizar revisão documental (e.g. termos/contratos); elaborar procedimentos em observância à LGPD; realizar treinamentos |
| Coleta não autorizada de Dados no servidor de empresas contratadas/Matriz | Elaborar termos/disclaimers; realizar a revisão contratual; adequar controle de acesso e gestão de dados | Realizar revisão documental (e.g. termos/contratos); realizar treinamentos |
| Perda de Dados Pessoais no armazenamento da documentação Prestadores de Serviços (documento físico) | Realizar melhorias contínuas de Segurança da informação; armazenamento em cofre/registro; revisar o controle de acesso/gestão dos dados | Revisar procedimentos LGPD e de Segurança da informação; treinar; comunicar o fato, se for o caso. |
| Informação escassa acerca da finalidade | Adotar medidas de transparência e publicidade | Revisar procedimentos, termos e disclaimers |
| Vinculação não autorizada de dados dos Titulares (finalidade diversa) | Suspender o Tratamento; elaborar termos/disclaimers; adotar medidas de transparência | Revisar procedimentos LGPD; realizar treinamento |
| Ataque de Malware | Atualizar o Firewall; Atualizar antivírus; Adotar criptografia/chave de acesso; Criar lixo eletrônico | Realizar auditoria; bloquear Banco de dados, suspender o Tratamento; aprimorar a segurança |
| Acesso/modificação não autorizado(a) | Filtrar, registrar e implantar medidas de controle de acessos | Auditar; revisar acessos; realizar treinamento |
| Engenharia Social | Realizar treinamentos; elaborar cartilhas/pílulas institucionais | Realizar auditoria; Solicitar afastamento temporário ou a demissão |
| Ausência de rastreabilidade, armazenamento e ciclo Dados | Realizar registros; Controlar o acesso e gestão de dados | Aprimorar sistemas e gestão de dados |
| Óbice com a reidentificação de dados pseudonimizados | Realizar melhorias contínuas da Segurança da informação; adotar criptografia avançada | Aprimorar sistemas/ procedimentos |
| Ausência de treinamentos periódicos dos colaboradores e parceiros comerciais | Realizar treinamentos periódicos | Reanalisar a conformidade em observância à LGPD |
| Vazamento/perda de Dados Pessoais Sensíveis | Realizar treinamentos/auditorias; verificar o controle de acesso/gestão dos dados | Realizar o bloqueio do Banco de Dados; dar publicidade (e.g. mídias sociais e à ANPD) |
| Perda/sequestro e difusão de dados não autorizada | Realizar treinamentos/auditorias; verificar o controle de acesso/gestão dos dados | Realizar o bloqueio do Banco de Dados; Auditar/revisar os acessos, dar publicidade (mídias sociais e à ANPD) |
| Perda/sequestro de dispositivos móveis ou mídias removíveis | Realizar treinamentos/auditorias; verificar o controle de acesso/gestão dos dados | Realizar o bloqueio do Banco de Dados; Auditar/revisar os acessos, dar publicidade (mídias sociais e à ANPD) |
| Titular exposto à perda de serviços ou oportunidades | Elaborar termos; realizar a revisão contratual | Realizar o bloqueio do Banco de Dados; realizar a reversão técnica do Incidente; retratar; informar a ANPD |
| Titular exposto à discriminação, retaliação e/ou atentado à sua incolumidade física/moral | Elaborar termos; realizar a revisão contratual | Realizar o bloqueio do Banco de Dados; suspender o Tratamento; realizar a reversão técnica do Incidente; retratar; informar a ANPD |
| Risco de ocorrer desequilíbrio, desvantagem ou prejuízo à Libercon ou ao mercado/economia | Elaborar termos; realizar a revisão contratual; contingenciar o prejuízo | Realizar o bloqueio do Banco de Dados; suspender o Tratamento; realizar a reversão técnica do Incidente; provisionar o prejuízo |
Caso seja aplicada a Medida Reparatória no caso concreto, o responsável deverá indicar se a mitigação reduzirá/extinguirá o Risco (Medida Preventiva), ou se irá reparar o dano (Medida Reparatória).
Ainda, cumpre ressaltar a importância da análise dos Riscos identificados. Isso porque, o DPO nomeado deverá realizar todas as análises cabíveis, bem como as possíveis consequências identificadas e os níveis de impacto à empresa.
Por fim, para a respectiva análise, o DPO deverá considerar (i) a categoria dos Dados Pessoais; (ii) os ativos de suporte que possam estar em Risco e as suas possíveis vulnerabilidades; (iii) as ameaças que podem explorar essas vulnerabilidades; (iv) a probabilidade (e.g. frequência de ocorrência do Risco), o (v) impacto, e (vi) o risco residual.
É indiscutível que a ANPD, poderá, eventualmente, solicitar a elaboração de um RIPD, conforme prevê os arts. 10 e 38 da LGPD, especialmente em relação aos processos que envolvem o Tratamento de Dados Pessoais, e que possam gerar Riscos às liberdades civis e direitos fundamentais dos Titulares.
Por essa razão, e na finalidade de (i) prevenir/mitigar eventuais Riscos relacionados ao Tratamento; (ii) produzir lastro probatório e (iii) prestar contas à ANPD e à sociedade civil como um todo, após a conclusão de todas as etapas do workflow contidas no item 7 (sete) do presente Procedimento, caberá ao DPO a elaboração de um RIPD quando forem identificados Riscos iguais ou superiores a 12 pontos (Significativo/Máximo).
Contudo, ainda que não se enquadrem nas hipóteses legais aplicáveis – ou na hipótese sobredita –, será facultada ao DPO a possibilidade da elaboração do RIPD, caso seja necessário ou verificado que o Tratamento de Dados Pessoais (ou Risco a ele relacionado) carece de um assessment e/ou de uma avaliação detalhada.
Por fim, o RIPD deverá ser elaborado na forma do PRIPD, procedimento integrante do Programa de Proteção de Dados Pessoais da Libercon.
O PPMR tem vigência por prazo indeterminado, não se extinguindo ou se dissolvendo mesmo que em período de inatividade.
Para esclarecimentos, dúvidas ou solicitações adicionais, acesse nossa Política de Privacidade por meio do link Política de Privacidade ou entre em contato com nosso DPO, por meio do e-mail cmagno@fwcadvogados.com.br.
| Revisão | Data da revisão | Motivo da revisão | |||
|---|---|---|---|---|---|
| 0 | XX/0X/2022 | Emissão inicial | |||
| Responsável pela revisão | Responsável pela aprovação | ||||