1. Objetivo
Esta política tem como objetivo definir diretrizes para o tratamento de incidentes de segurança envolvendo dados pessoais, assegurando a proteção dos direitos dos titulares e a conformidade com a legislação vigente, como a Lei Geral de Proteção de Dados (LGPD).
2. Abrangência
Esta política se aplica a todos os colaboradores, prestadores de serviços, parceiros e terceiros que manuseiem, acessem ou processem dados pessoais sob a responsabilidade da empresa.
3. Definições
- Incidente de Segurança: Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança da informação, que possa comprometer a confidencialidade, integridade ou disponibilidade dos dados pessoais.
- Dados Pessoais: Informações relacionadas a uma pessoa natural identificada ou identificável.
- Dados Sensíveis: Dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, dados relativos à saúde ou à vida sexual, entre outros, conforme definido pela legislação.
4. Diretrizes para o Tratamento de Incidentes
4.1 Identificação e Notificação de Incidentes
- Todos os colaboradores e terceiros devem notificar imediatamente a equipe de segurança da informação ou o encarregado de proteção de dados (DPO) sobre qualquer suspeita ou confirmação de incidente de segurança.
- A notificação deve incluir informações detalhadas sobre a natureza do incidente, sistemas afetados e as ações tomadas até o momento.
4.2 Resposta a Incidentes
- A equipe de segurança da informação deve iniciar uma investigação imediata para identificar a causa raiz do incidente, o impacto sobre os dados pessoais e a extensão do comprometimento.
- As ações corretivas e preventivas devem ser implementadas o mais rápido possível para mitigar os efeitos do incidente e prevenir ocorrências futuras.
4.3 Comunicação aos Titulares e Autoridades
- Caso o incidente envolva risco significativo aos direitos e liberdades dos titulares, a empresa deve notificar os titulares dos dados pessoais afetados e a autoridade competente (como a ANPD no Brasil) em tempo hábil, conforme exigido pela legislação.
- A comunicação aos titulares deve ser clara e conter detalhes sobre a natureza do incidente, dados comprometidos, medidas adotadas e recomendações para mitigar possíveis danos.
4.4 Documentação e Registro
- Todos os incidentes de segurança devem ser registrados em um relatório de incidentes, que incluirá detalhes sobre a natureza do incidente, medidas corretivas adotadas, comunicação realizada e lições aprendidas.
- Esse registro deve ser mantido por um período mínimo de cinco anos ou conforme exigido pela legislação aplicável.
5. Treinamento e Conscientização
- A empresa deve promover regularmente treinamentos e campanhas de conscientização para garantir que todos os colaboradores e terceiros compreendam a importância da segurança da informação e saibam como agir em caso de incidentes.
6. Revisão da Política
Esta política será revisada anualmente ou sempre que houver mudanças significativas na legislação aplicável, nas operações da empresa ou em resposta a incidentes relevantes.
7. Penalidades
O descumprimento desta política pode resultar em medidas disciplinares, que podem incluir advertências, suspensão ou rescisão do contrato de trabalho ou parceria, além de responsabilizações legais cabíveis.
8. Contato
Em caso de dúvidas sobre esta política ou sobre como proceder em caso de incidentes, entre em contato com o Encarregado de Proteção de Dados (DPO) pelo e-mail [email protected]
