1. Propósito
Este procedimento tem como propósito estabelecer uma abordagem sistematizada e eficiente para o gerenciamento de violações de dados na eqdeal. Detalha os passos necessários para a identificação, contenção e mitigação de danos decorrentes de uma violação.
Além disso, define claramente os processos para notificação das partes impactadas e assegura a conformidade com todas as obrigações legais e regulatórias pertinentes.
2. Escopo
Este Procedimento se aplica a:
todos os empregados, sejam efetivos ou temporários, da eqdeal,
todos os contratados e terceiros que trabalham para a eqdeal,
todos os dados pessoais que tratamos de clientes, funcionários, parceiros e outros, onde a eqdeal é o Controladora de Dados, bem como todos os dados pessoais que tratamos em nome de nossos clientes, onde a eqdeal é a Operadora de Dados,
dados pessoais armazenados eletronicamente ou de forma física, seja em formato estruturado ou não,
quaisquer dados processados e armazenados em e-mails, conversas de chat online, gravações de áudio e vídeo, bem como dados gerados por nós, como perfis de usuários.
3. Objetivo
O principal objetivo deste documento é minimizar os danos resultantes de violações de dados.
Com um procedimento bem definido, a eqdeal estará preparada para agir imediatamente frente a uma violação, com o intuito de limitar quaisquer danos adicionais e atenuar o impacto sobre as partes afetadas.
4. Definições
Para este procedimento, você deve considerar as seguintes definições dos termos:
Termo | Definição |
ANPD | Autoridade Nacional de Proteção de Dados do Brasil |
Autoridades Reguladoras | Autoridades de Proteção de Dados da União Europeia |
Board | significa o grupo de liderança da eqdeal |
CTO | Chief Technology Officer/Chefe da área de tecnologia |
Controlador (GDPR) | significa pessoa natural ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determina os propósitos e meios do tratamento de dados pessoais; quando os propósitos e meios desse tratamento são determinados pela lei da União ou do Estado-Membro, o controlador ou os critérios específicos para sua nomeação podem ser fornecidos pela lei da União ou do Estado-Membro |
Controlador de Dados (LGPD) | significa pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais |
DPA | Lei de Proteção de Dados das Ilhas Cayman |
Dados da eqdeal | significa informações ou dados de qualquer forma tratados, recebidos ou gerados em conexão com a prestação de serviços da eqdeal |
Dados pessoais | significa qualquer dado que possa ser vinculado a um indivíduo e identificá-lo, seja por conta própria ou quando combinado com outros dados |
DPO (Data Protection Officer/Encarregado da Proteção de Dados) | é o responsável por supervisionar a conformidade com as leis de proteção de dados, orientando e aconselhando a organização em relação às práticas adequadas de tratamento de dados pessoais |
eqdeal | significa a empresa eqdeal, representada por sócios e empregados da empresa e/ou por terceiros contratados para atuar como representantes da eqdeal |
GDPR | Regulamento Geral de Proteção de Dados da União Europeia |
Leis de proteção de dados | são as legislações que estabelecem diretrizes para a coleta e tratamento de dados pessoais as quais a eqdeal está submetida, como o GDPR e a LGPD |
LGPD | Lei Geral de Proteção de Dados brasileira |
Operador de Dados (GDPR) | significa uma pessoa natural ou jurídica, autoridade pública, agência ou outro órgão que processa dados pessoais em nome do controlador |
Operador de Dados (LGPD) | significa pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador |
Segurança da Informação | é a proteção da informação contra uma ampla gama de ameaças para minimizar o risco do negócio, é a preservação da confidencialidade, integridade e disponibilidade da informação. |
Tratamento de dados | toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. |
Titular de dados | pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. |
Violação de Dados | qualquer evento adverso confirmado, relacionado à violação na segurança de dados, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais. |
Você | refere-se a todos os colaboradores da eqdeal, incluindo empregados, consultores, contratados e estagiários. |
5. Responsabilidades
A eqdeal é responsável por assegurar que todas as violações de dados sejam gerenciadas de maneira eficiente, justa e em conformidade com as leis de proteção de dados e as diretrizes das autoridades locais, como a ANPD, no Brasil.
O nosso DPO é responsável pela supervisão e gestão desses incidentes, bem como tem a tarefa de manter o Registro de Violação de Dados devidamente atualizado após cada ocorrência.
Além disso, todas as partes referidas na seção 2 têm a responsabilidade de colaborar com o DPO em situações de violação de dados, auxiliando ativamente nos esforços de contenção e resolução do incidente.
6. Procedimento de Violação de Dados
Em caso de suspeita de violação de dados na eqdeal, siga imediatamente estas etapas:
6.1 Etapa 1: Reportar e Parar a Violação
Todos os funcionários, contratados e terceirizados devem reportar violações de dados imediatamente para o DPO.
Caso suspeite ou descubra uma violação envolvendo dados pessoais, envie um e-mail para o DPO imediatamente ([email protected]) incluindo o DPO como responsável da tarefa compartilhando as informações sobre o caso.
No relatório, inclua, se possível:
Descrição da violação, especificando os dados e titulares afetados.
Um resumo das consequências potenciais da violação.
Anexe quaisquer evidências, como capturas de tela.
Ações Imediatas
O DPO deve notificar o CTO para investigar e interromper a violação. Isso pode incluir desativar sistemas, isolar dispositivos infectados ou restringir o acesso a dados comprometidos.
A rapidez é essencial para limitar danos e proteger dados não afetados.
Registro de Violação de Dados
O DPO é responsável por documentar a violação no Registro de Violação de Dados, atualizando-o ao longo do processo até sua conclusão.
6.2 Etapa 2: Investigação e Avaliação
O DPO, em colaboração com a equipe de GRC/Privacidade, CTO e, se necessário, consultores externos de segurança da informação, realizará uma investigação para determinar o alcance e o impacto potencial da violação nos direitos individuais.
Será conduzida uma Avaliação de Impacto na Proteção de Dados (DPIA) ou Relatório de Impacto à Proteção de Dados (RIPD), conforme necessário.
6.3 Etapa 3: Notificação
Essencialmente, esta seção aborda a obrigação de notificar as autoridades e as partes relevantes em situações em que a eqdeal atua como Controladora de Dados.
Nos casos em que a eqdeal atua como Operadora de Dados e ocorre uma violação de relacionada com os dados pessoais de um cliente, que é o Controlador de Dados, é essencial estabelecer, em conjunto, procedimentos claros de notificação e comunicação.
A eqdeal, por meio do seu DPO, compromete-se a fornecer suporte proativo e eficaz ao Controlador de Dados nestas situações, auxiliando na gestão do incidente e em medidas corretivas necessárias.
União Europeia
Se a violação de dados estiver sob a jurisdição do GDPR, o DPO primeiro identificará os países afetados pela violação. Em seguida:
avaliará se a violação pode resultar em risco alto para os direitos e liberdades dos indivíduos;
havendo risco alto, o DPO notificará as Autoridades de Proteção de Dados competentes (como CNIL na França, AEPD na Espanha ou autoridades alemãs) dentro de 72 horas após a descoberta da violação, a menos que o risco não seja significativo.
O DPO é responsável por identificar a autoridade adequada e gerenciar a coleta todas as informações necessárias para a notificação.
Notificação aos Indivíduos Afetados
Os indivíduos afetados serão informados sem demora indevida.
A comunicação pode ser feita através de anúncio geral no software eqdeal, por e-mail ou pelo canal de comunicação da Intercom, oferecendo informações claras sobre a natureza da violação e seu potencial impacto nos dados pessoais dos titulares.
Ilhas Cayman
Para cumprir com as obrigações perante a Autoridade de Proteção de Dados da Ilha Cayman (Office of the Ombudsmas) em caso de violação de dados, o DPO deve seguir os seguintes passos:
Notificação ao Ombudsman:
O DPO deverá avaliar se a violação pode resultar em risco significativo para os direitos e liberdades das pessoas afetadas.
Caso haja um alto risco, o DPO notificará o Ombudsman de Proteção de Dados das Ilhas Cayman dentro de um prazo razoável e sem demora indevida, o mais tardar 05 (cinco dias) após a descoberta da violação por meio desse link.
Notificação aos Indivíduos Afetados:
Os titulares de dados afetados pela violação de dados serão informados sem demora indevida.
Como no caso da notificação em contexto da União Europeia, as notificações poderão ser feitas por meio de anúncio geral em plataformas apropriadas, por e-mail ou por outros meios de comunicação apropriados, fornecendo informações claras sobre a natureza da violação e seu potencial impacto nos dados pessoais dos titulares.
Acompanhamento e Documentação:
O DPO deve registrar e documentar cuidadosamente todos os detalhes relacionados à violação de dados e as ações tomadas para resolvê-la.
Isso inclui manter registros atualizados e documentar todas as etapas do processo de gestão da violação.
Comunicação à outras Autoridades Competentes:
Se necessário, a violação de dados também pode ser comunicada às autoridades competentes das Ilhas Cayman, conforme as regulamentações e diretrizes aplicáveis.
Cabe ao DPO analisar minuciosamente as leis locais aplicáveis e decidir se há necessidade de comunicar outra Autoridade para além do Ombudsman.
Avaliação da Gravidade:
É responsabilidade do DPO monitorar atentamente qualquer análise ou diretrizes emitidas pelas autoridades competentes em relação à violação de dados e tomar medidas adicionais, se necessário, para minimizar ou reverter os impactos.
Brasil
Para cumprir com as obrigações perante a ANPD em caso de violação de dados, o DPO deve seguir os seguintes passos:
Acesso e Cadastro no Sistema:
Acesse o link de peticionamento eletrônico da ANPD: ANPD Peticionamento Eletrônico.
Se ainda não for cadastrado, o DPO deve se registrar no sistema SUPER.GOV.BR imediatamente após ciência da ocorrência da violação.
Registro e Documentação:
O cadastro e cada passo no processo de gestão da violação devem ser cuidadosamente registrados e documentados pelo DPO.
O DPO deve manter o Registro de Violação de Dados da eqdeal sempre atualizado.
Também deverá documentar toda a ocorrência e as ações tomadas nos sistemas internos da eqdeal.
Comunicação à ANPD:
A comunicação do incidente deve ser feita em até 2 dias úteis do seu conhecimento.
A notificação deve incluir, se possível:
Descrição da natureza dos dados pessoais afetados.
Informações sobre os titulares envolvidos.
Indicação das medidas técnicas e de segurança adotadas.
Riscos associados ao incidente.
Explicações para qualquer atraso na comunicação.
Medidas adotadas ou planejadas para reverter ou mitigar os danos.
Avaliação da Gravidade:
É responsabilidade do DPO monitorar atentamente a análise da ANPD sobre a violação, verificando se medidas extras, como a divulgação pública do incidente ou ações adicionais para minimizar ou reverter os impactos, serão necessárias conforme determinação da Autoridade.
Se houver necessidade de comunicação pública e ampla aos titulares de dados afetados, o DPO deve adotar a mesma diretriz para violações de dados sob a jurisdição da União Europeia.
6.4 Etapa 4: Ações Corretivas e Medidas Preventivas
Após a conclusão da investigação:
O DPO, em conjunto com o CTO, adotará as medidas corretivas para conter e mitigar a violação.
Serão identificadas e implementadas medidas preventivas para diminuir a chance de violações futuras.
Este processo inclui a revisão e atualização de políticas, procedimentos e controles técnicos de segurança.
O DPO em conjunto com a equipe de Privacidade/GRC desenvolverá um plano de ação abrangente, detalhando:
Estratégias para minimizar o dano causado pela violação.
Iniciativas para prevenir incidentes semelhantes no futuro.
Checklist comprovando o cumprimento de todas as obrigações legais e regulatórias relevantes no incidente, ou, caso contrário, uma justificativa das ações tomadas no gerenciamento da violação.
6.5 Etapa 5: Registro de Violação de Dados
A eqdeal manterá um registro completo de todas as violações de dados. Esse registro, a ser continuamente atualizado pelo DPO, conterá informações essenciais como a natureza da violação, os dados pessoais impactados e as medidas corretivas adotadas, desde o início do incidente até sua resolução completa.
Tais informações são vitais para garantir respostas ágeis e eficientes tanto às Autoridades de Proteção de Dados quanto aos titulares dos dados afetados.
7. Treinamento
Este Procedimento estabelece a necessidade de um treinamento interno anual.
A responsabilidade pela organização e supervisão do Treinamento em Proteção de Dados para os nossos colaboradores recai sobre o DPO da eqdeal.
8. Método de comunicação e disseminação
Este Procedimento, juntamente com o Registro de Violação de Dados e a orientação sobre Como Identificar uma Violação de Dados, está acessível a todos os colaboradores da eqdeal.
Ele é destinado exclusivamente ao uso interno, qualquer compartilhamento externo requer prévia autorização da Gabriela Capobianco Palhares, que pode ser contatada pelo e-mail [email protected]
Notificações de Atualizações:
Sempre que houver atualizações neste Procedimento, todos os colaboradores da eqdeal serão prontamente notificados por e-mail.
9. Referência a documentos externos
A eqdeal cumpre toda a legislação de proteção de dados brasileira e da União Europeia em vigor, tais como:
Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018), em especial, os artigos 46 a 49.
Regulamento Geral de Proteção de Dados da União Europeia (Diretiva 2016/679), em especial, os artigos 32 a 34.
Lei de Proteção de Dados da Ilhas Cayman, em especial, os artigos 15 e 16.
10. Exceções
Como regra, este Procedimento é aplicável sem exceções.
No entanto, caso você identifique uma situação particular que, em sua opinião, possa constituir uma exceção à regra, por favor, preencha o formulário disponível no Anexo 1.
Após preenchê-lo, encaminhe-o para Gabriela Capobianco Palhares para uma análise detalhada e consideração de uma possível aprovação.
11. Descumprimento
Para assegurar a adesão às normas de proteção de dados, é essencial que os Contratos de Trabalho ou de Prestação de Serviços dos colaboradores e parceiros da eqdeal contenham cláusulas específicas.
Estas cláusulas devem estabelecer claramente a obrigatoriedade de cumprir este Procedimento desde o início da relação com a eqdeal.
Isso inclui quaisquer atualizações ou modificações que nós possamos implementar periodicamente.
O descumprimento deste procedimento por parte dos colaboradores ou parceiros pode resultar na aplicação de medidas disciplinares apropriadas.
12. Revisão
Este Procedimento passará por uma revisão anual ou sempre que ocorrerem alterações significativas, garantindo assim sua implementação de forma eficaz e consistente.
13. Dúvidas
Caso tenha alguma dúvida ou necessite de esclarecimentos sobre este documento, não hesite em entrar em contato com o DPO, por meio do e-mail indicado nas seções acima.
Anexo 1 – Formulário de Solicitação de Exceção
Data da solicitação |
|
Nome completo do solicitante |
|
Departamento e cargo |
|
| |
Nome da Política/Procedimento |
|
Tipo de Exceção |
|
Data de início |
|
Data final |
|
Explique a razão da exceção |
|
O que acontecerá se o pedido for negado? Como isso afetará a eqdeal? |
|
Quais são os detalhes do não cumprimento da política/procedimento? |
|
Seção de aprovação:
( ) Aprovado ( ) Negado ( ) Em andamento
Nome de quem aprovou |
|
Departamento e cargo |
|
| |
Assinatura |
|
Data |
|
Proprietário do Documento
Departamentos necessários para atestar este Procedimento | Departamento Legal |
Frequência que deve ser atestada | (x) Mediante contratação (x) Quando as importantes atualizações forem publicadas ( ) Anualmente |
Proprietário do documento | Gabriela Capobianco Palhares |
Localização do documento | help.eqdeal.com e google drive |
Nome de quem aprovou, cargo e data de aprovação |
|