1. Propósito
Este documento tem como finalidade orientar a equipe da eqdeal na identificação e notificação de violações de dados, seguindo o Procedimento de Gestão de Violação de Dados vigente.
2. Escopo
Este documento se aplica a:
todos os empregados, sejam efetivos ou temporários, da eqdeal,
todos os contratados e terceiros que trabalham para a eqdeal,
todos os dados pessoais de clientes, funcionários, parceiros e outros, dos quais a eqdeal é a Controladora de Dados, bem como todos os dados pessoais tratamos em nome de nossos clientes, dos quais a eqdeal é a Operadora de Dados.
3. Definições
Para este documento, você deve considerar as seguintes definições dos termos:
Termo | Definição |
ANPD | Autoridade Nacional de Proteção de Dados do Brasil |
Autoridades Reguladoras | Autoridades de Proteção de Dados da União Europeia |
Board | significa o grupo de liderança da eqdeal |
Controlador (GDPR) | significa pessoa natural ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determina os propósitos e meios do tratamento de dados pessoais; quando os propósitos e meios desse tratamento são determinados pela lei da União ou do Estado-Membro, o controlador ou os critérios específicos para sua nomeação podem ser fornecidos pela lei da União ou do Estado-Membro |
Controlador de Dados (LGPD) | significa pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais |
DPA | Lei de Proteção de Dados das Ilhas Cayman |
Dados da EqDeal | significa informações ou dados de qualquer forma tratados, recebidos ou gerados em conexão com a prestação de serviços da eqdeal |
Dados pessoais | significa qualquer dado que possa ser vinculado a um indivíduo e identificá-lo, seja por conta própria ou quando combinado com outros dados. |
DPO (Data Protection Officer/Encarregado da Proteção de Dados) | é o responsável por supervisionar a conformidade com as leis de proteção de dados, orientando e aconselhando a organização em relação às práticas adequadas de tratamento de dados pessoais. |
EqDeal | significa a empresa eqdeal, representada por sócios e empregados da empresa e/ou por terceiros contratados para atuar como representantes da eqdeal |
GDPR | Regulamento Geral de Proteção de Dados da União Europeia |
Leis de proteção de dados | são as legislações que estabelecem diretrizes para a coleta e tratamento de dados pessoais as quais a EqDeal está submetida, como o GDPR e a LGPD |
LGPD | Lei Geral de Proteção de Dados brasileira |
Operador de Dados (GDPR) | significa uma pessoa natural ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome do controlador |
Operador de Dados (LGPD) | significa pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador |
Segurança da Informação | é a proteção da informação contra uma ampla gama de ameaças para minimizar o risco do negócio, é a preservação da confidencialidade, integridade e disponibilidade da informação |
Tratamento de dados | toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração dos dados pessoais |
Titular de dados | pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. |
Violação de Dados | qualquer evento adverso confirmado, relacionado à violação na segurança de dados, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais |
Você | refere-se a todos os colaboradores da eqdeal, incluindo empregados, consultores, contratados e estagiários. |
4. Sobre Violação de Dados
4.1 Incidentes vs Violação de Dados Pessoais
Primeiramente, é essencial compreender a diferença entre os seguintes termos:
Evento de Segurança: Qualquer ocorrência registrável em sistemas ou redes, como mudanças de configuração, erros de sistema ou logins de usuários.
Incidente de Segurança: Um evento com impacto negativo na confidencialidade, integridade ou disponibilidade de informações ou sistemas. Representa uma ameaça à segurança dos ativos ou dados da organização, como uma infiltração por malware ou tentativas de acesso não autorizado.
Uma violação de dados é um tipo específico de incidente de segurança, caracterizado pelo acesso ou exposição não autorizados de informações pessoais. No entanto, incidentes de segurança podem incluir uma variedade mais ampla de eventos, não limitados a violações de dados pessoais.
Violação de Dados: Refere-se especificamente ao acesso, aquisição, divulgação ou perda não autorizada ou não intencional de dados que identificam uma pessoa natural, que podem ser confidenciais ou sensíveis, como dados de identificação, financeiros, registros de saúde, acadêmicos ou profissionais.
4.2 Identificação de uma Violação de Dados Pessoais
Como identificar se houve uma violação de dados pessoais na eqdeal?
Entender o que constitui dados pessoais é o primeiro passo. Isso abrange informações que identificam um indivíduo diretamente ou indiretamente, incluindo:
Identificadores: Nome, endereço, telefone, e-mail, número de segurança social ou de passaporte.
Informações Demográficas: Idade, data de nascimento, identidade de gênero, raça, nacionalidade, estado civil.
Dados Financeiros: Números de contas bancárias, cartões de crédito, renda, identificação fiscal.
Saúde e Dados Médicos: Histórico médico, informações de seguro saúde, dados genéticos, DNA.
Dados Biométricos: Impressões digitais, reconhecimento facial, dados de íris, voz ou DNA.
Identificadores Online: Endereços IP, cookies, IDs de dispositivo, nomes de usuário.
Informações de Emprego: Cargos, histórico do colaborador, salário, promoções, ID do colaborador no sistema, avaliações de desempenho.
Sinais de uma Violação de Dados Pessoais
Uma violação ocorre quando há acesso, divulgação, perda ou alteração não autorizada de dados pessoais. Fique atento a:
Acesso Não Autorizado: Entrada ilegítima em sistemas ou dados por indivíduos ou entidades não autorizadas. Atenção! Acesso não autorizado a dados pessoais em formato físico também constitui uma violação de dados.
Exposição de Dados: Divulgação acidental ou intencional de informações a partes não autorizadas.
Perda de Dados: Perda física (como dispositivos roubados) ou digital (como exclusão acidental) de dados.
Alteração de Dados: Modificações não autorizadas que afetam a precisão ou integridade dos dados.
Atividade Suspeita no Sistema: Tentativas de login fracassadas, acessos não autorizados ou padrões de tráfego de rede anormais.
4.3 Como Reportar uma Violação de Dados Pessoais
Se você, como integrante da equipe da EqDeal, identificar ou suspeitar de uma violação de dados, é essencial reportá-la imediatamente. Para fazer isso, consulte as diretrizes no Procedimento de Violação de Dados, disponível nos sistemas internos da eqdeal.
Se você enfrentar dificuldades para acessá-lo, notifique o DPO imediatamente, envie um e-mail para o endereço [email protected] detalhando o problema encontrado.
5. Método de comunicação e disseminação
Esse documento, juntamente com o Procedimento de Gestão de Violação de Dados e o Registro de Violação de Dados, está acessível a todos os colaboradores da EqDeal em nossos sistemas internos.
Notificações de Atualizações:
Sempre que houver atualizações neste documento, todos os colaboradores da eqdeal serão prontamente notificados por e-mail.
6. Dúvidas
Caso tenha alguma dúvida ou necessite de esclarecimentos sobre este documento, não hesite em entrar em contato com o DPO, por meio do e-mail indicado nas seções acima.