Esta Política de Reporte de Incidentes que Involucren Datos Personales (“Política”) comprende los principios y estándares de conducta que guiarán la actuación de la CÁMARA DE MEDIACIÓN Y ARBITRAJE EMPRESARIAL – BRASIL (CAMARB) (“CAMARB”), con respecto a cualquier incidente de información seguridad, estableciendo las reglas para la continuidad de las actividades de CAMARB.

Esta Política es subordinada y complementaria a la Política de Gobernanza de Privacidad y Protección de Datos Personales de CAMARB y debe interpretarse de conformidad con los lineamientos y principios de dicha política.

 

1. ÁMBITO DE APLICACIÓN

1.1. Los incidentes de seguridad, sujetos a esta Política, incluyen cualquier acceso no autorizado y situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o cualquier forma de tratamiento inadecuado o ilícito de datos personales bajo el control de CAMARB (“Incidentes”).

1.2. Los datos personales sujetos a esta Política, de conformidad con la legislación aplicable, son toda información relativa a una persona física identificada o que pueda ser identificada mediante esfuerzos razonables por CAMARB, o que pueda ser individualizada mediante el tratamiento dado a dicha información por CAMARB. CAMARB, aún sin ser identificado. Esto incluye información sobre directores, trabajadores, clientes, proveedores y prestadores de servicios, así como otras personas que tienen relación con CAMARB.

1.3. El presente documento cubre la respuesta a incidentes de seguridad que involucren datos personales tratados por CAMARB, y su comunicación a las personas físicas o jurídicas afectadas, siguiendo los principios y reglas delineados en la Política de Gobernanza de Privacidad y Protección de Datos Personales de CAMARB con el fin de garantizar la gestión adecuada y oportuna de los mismos. incidentes de seguridad y la mitigación o eliminación de cualquier pérdida derivada de los mismos, incluyendo la eventual disposición y/o eliminación de información y documentos que contengan datos personales en poder de CAMARB, sus contratistas y subcontratistas.

 

2. APLICACIÓN

2.1. La Política se aplica a todos los empleados, directores, asesores, socios, proveedores y prestadores de servicios involucrados en las operaciones de procesamiento de datos personales realizadas por CAMARB. 

 

3. OBJETIVOS

3.1. Los objetivos de esta Política son:

a) Garantizar que CAMARB responda de manera rápida y eficaz a los Incidentes que involucren datos personales, a fin de cumplir con la Ley General de Protección de Datos Personales – LGPD (Ley Nº 13.709, de 14 de agosto de 2018) y demás leyes y reglamentaciones aplicables;

b) Definir objetivamente la evaluación de riesgos y las decisiones sobre la necesidad de reportar Incidentes, según lo determine la ley;

c) Evitar las consecuencias perjudiciales de los Incidentes abordados por esta Política a la privacidad de los titulares de datos personales y a la imagen y valor comercial de CAMARB;

d) Instruir a los empleados, directores, asesores, socios, proveedores y prestadores de servicios de CAMARB sobre la necesidad e importancia de la seguridad de la información y la efectiva respuesta y comunicación de incidentes que involucren datos personales; y

e) Definir las atribuciones, autoridades y responsabilidades en el proceso de intercambio de información.

 

4. COMITÉ DE SEGURIDAD DE LA INFORMACIÓN Y PROTECCIÓN DE DATOS PERSONALES

4.1. Tal como lo definió la dirección de CAMARB, se creó el Comité de Seguridad de la Información y Protección de Datos Personales de CAMARB (“Comité”), con un mandato de dos años e integrado por el Responsable de Tratamiento de Datos Personales y representantes del consejo de administración y de los departamentos. Legal, Humano Recursos y Tecnología en CAMARB.

 

5. RESPUESTA A INCIDENTES DE SEGURIDAD QUE INVOLUCREN DATOS PERSONALES

5.1. El procedimiento de respuesta a incidentes de seguridad se llevará a cabo con la máxima prioridad y urgencia, incluso fuera de los días hábiles y/o del horario normal de trabajo de los miembros del Comité.

5.2. Todo evento que pueda constituir un Incidente deberá ser remitido al Comité, el cual será responsable, dentro de los 2 (dos) días hábiles de tener conocimiento del Incidente, de establecer los procedimientos para su resolución. Por decisión del Comité, podrán participar representantes de otros departamentos de la CAMARB.

5.2.1. Si no fuere posible cumplir con dicho plazo, el Responsable deberá dejar constancia del motivo de la imposibilidad y, si se decide comunicar el Incidente, también deberá informarlo a la Autoridad Nacional de Protección de Datos Personales – ANPD.

5.3. Bajo la dirección del Comité, CAMARB movilizará asesores externos en tecnología de la información, relaciones públicas (prensa) y derecho para ayudar a responder al incidente, según sea necesario.

5.4. Una vez configurado el Incidente, el Comité será responsable de adoptar las acciones necesarias para interrumpir el incidente, recuperar los datos personales afectados y comunicar el incidente de acuerdo con esta Política y en cumplimiento de la Resolución CD/ANPD N° 15/2024.

5.5. Paralelamente a la deliberación sobre las medidas de urgencia, el Comité designará a un empleado del sector de Informática de la CAMARB para verificar los repositorios y sistemas comprometidos, siendo el Responsable encargado de verificar las categorías de datos personales controlados por la CAMARB en los Registros de Datos Personales. Operaciones de Tratamiento de Datos. y respectivos titulares afectados, con el fin de delimitar el alcance del Incidente y el riesgo potencial para los titulares de datos personales, terceros y CAMARB.

5.6. El Oficial preparará un informe sobre las medidas adoptadas por CAMARB para responder al Incidente, incluyendo su alcance y riesgos potenciales. Con base en este informe, el Comité emitirá un dictamen motivado sobre el Incidente a la administración de CAMARB, con recomendaciones pertinentes, en particular con su comprensión sobre los riesgos potenciales para los tenedores y la necesidad de comunicar el Incidente de conformidad con el art. 48 de la LGPD. Dicha opinión adoptará la matriz de riesgos recomendada por la ANPD o, en ausencia de ella, otra matriz de riesgos que, a su juicio, sea consistente y adecuada.

5.7. Corresponderá al Consejo de Administración de la CAMARB decidir si acepta, total o parcialmente, el dictamen del Comité o lo rechaza, en función de su impresión de los riesgos para la imagen de la CAMARB. La decisión será comunicada prontamente al Comité y el Responsable será responsable de dejar constancia de la misma.

5.8. En caso de comunicación del Incidente, corresponderá al Comité, junto con los asesores externos de relaciones públicas y prensa, elaborar el borrador de la comunicación, que será validado por la dirección de CAMARB y luego divulgado al mercado y/o a los titulares afectados o potencialmente afectados, según sea el caso.

5.9. En el mismo caso, el Comité, junto con los asesores del departamento jurídico de CAMARB, dispondrá que el Incidente sea comunicado a la ANPD a través de los medios y canales institucionales, en particular el “Formulario de comunicación de incidentes de seguridad de datos personales a la Autoridad Nacional de Protección de Datos Personales”. , y deberá llevar a cabo las medidas que le requiera la ANPD.

5.10. El Oficial a Cargo, en nombre del Comité, será el portavoz de CAMARB para los efectos de esta Política y la única persona autorizada para comentar y realizar comunicaciones al público respecto de Incidentes. Todos los demás empleados, directores, asesores y socios de CAMARB tienen prohibido hacer comentarios públicos sobre el asunto.

 

6. OPERADORES Y OTROS RESPONSABLES DEL TRATAMIENTO DE DATOS PERSONALES

6.1. Cualquier tercero que actúe como operador o responsable del tratamiento de datos personales relativos a CAMARB, u obtenidos a través de ella, deberá comprometerse a seguir la presente Política en caso de Incidentes, así como a:

a) Informar al Gerente inmediatamente después de tener conocimiento de un Incidente;

b) Cooperar con CAMARB para responder al Incidente, proporcionando inmediatamente toda la información y asistencia necesaria;

c) Abstenerse de responder al Incidente por su cuenta, debiendo responder de forma conjunta con CAMARB si es responsable del tratamiento de datos personales, o limitarse a seguir las instrucciones de CAMARB si es operador.

6.2. Si CAMARB actúa como encargado del tratamiento de datos personales controlados por terceros, será responsable de cooperar con el tercero en la comunicación del Incidente, aplicando subsidiariamente esta Política, en los casos en que exista riesgo de pérdida, daño o daño a CAMARB. , o responsabilizar a CAMARB por la inercia del tercero responsable del tratamiento.

6.3. CAMARB debe proporcionar mecanismos para el consentimiento de terceros a esta Política.

 

7. RESPONSABILIDADES

7.1. Cada empleado, director, asesor, prestador de servicios y contratista de CAMARB es responsable de sus propias acciones en relación con el cumplimiento de esta Política, de acuerdo con las actividades que desempeña en CAMARB, por el cumplimiento de esta Política y demás normas aplicables, así como para posibilitar el buen desempeño de la labor del Encargado y del Comité. Los directores, asesores y gerentes también son responsables de garantizar el cumplimiento de esta Política por parte de los empleados y terceros bajo su responsabilidad, de conformidad con sus funciones.

7.2. El incumplimiento de esta Política será sancionado de acuerdo a la naturaleza de la relación del infractor con CAMARB, la gravedad de la infracción y las normas internas de CAMARB, pudiendo dar lugar a la destitución o despido del infractor, sin perjuicio de la indemnización por los daños y perjuicios ocasionados. CAMARÓN.

8. VARIOS

8.1. Esta Política será comunicada a los empleados de CAMARB y estará sujeta a revisión al menos una vez al año.