Cette politique de signalement des incidents impliquant des données personnelles (« Politique ») comprend les principes et les normes de conduite qui guideront les actions de la CHAMBRE DE MÉDIATION ET D’ARBITRAGE DES AFFAIRES – BRÉSIL (CAMARB) (« CAMARB »), en ce qui concerne tout incident d’information sécurité, établissant les règles de continuité des activités de la CAMARB.

Cette politique est subordonnée et complémentaire à la politique de gouvernance de la confidentialité et de la protection des données personnelles de CAMARB et doit être interprétée conformément aux lignes directrices et aux principes de cette politique.

 

1. CHAMP D'APPLICATION

1.1. Les incidents de sécurité, soumis à la présente Politique, incluent tout accès non autorisé et toute situation accidentelle ou illicite de destruction, perte, altération, communication ou toute forme de traitement inadéquat ou illicite de données personnelles sous le contrôle de CAMARB (« Incidents »).

1.2. Les données personnelles soumises à la présente Politique, conformément à la législation applicable, sont toutes les informations relatives à une personne physique identifiée ou qui peuvent être identifiées grâce à des efforts raisonnables de la part de la CAMARB, ou qui peuvent être individualisées grâce au traitement accordé à ces informations par la CAMARB. CAMARB, même sans être identifié. Cela comprend des informations sur les directeurs, les travailleurs, les clients, les fournisseurs et les prestataires de services, ainsi que sur d’autres personnes ayant une relation avec CAMARB.

1.3. Ce document couvre la réponse aux incidents de sécurité impliquant des données personnelles traitées par CAMARB, et sa communication aux personnes physiques ou morales concernées, conformément aux principes et règles décrits dans la politique de gouvernance de la confidentialité et de la protection des données personnelles de CAMARB afin de garantir la gestion adéquate et opportune des les incidents de sécurité et l’atténuation ou l’élimination de toute perte en découlant, y compris l’élimination éventuelle des informations et des documents contenant des données personnelles détenus par CAMARB, ses contractants et sous-traitants.

 

2. APPLICATION

2.1. La Politique s’applique à tous les employés, administrateurs, conseillers, partenaires, fournisseurs et prestataires de services impliqués dans les opérations de traitement de données personnelles effectuées par CAMARB. 

 

3. OBJECTIFS

3.1. Les objectifs de cette politique sont :

a) Veiller à ce que la CAMARB réponde rapidement et efficacement aux incidents impliquant des données personnelles, afin de se conformer à la loi générale sur la protection des données personnelles - LGPD (loi n° 13.709 14 du 2018 août XNUMX) et aux autres lois et réglementations applicables ;

b) Définir objectivement l’évaluation des risques et les décisions concernant la nécessité de signaler les incidents, comme le prévoit la loi ;

c) Éviter les conséquences préjudiciables des incidents abordés par la présente politique sur la confidentialité des détenteurs de données personnelles et sur l'image et la valeur marchande de CAMARB ;

d) Informer les employés, les administrateurs, les conseillers, les partenaires, les fournisseurs et les prestataires de services de CAMARB sur la nécessité et l’importance de la sécurité de l’information et sur la réponse et la communication efficaces des incidents impliquant des données personnelles ; et

e) Définir les attributions, les autorités et les responsabilités dans le processus de partage de l’information.

 

4. COMITÉ DE SÉCURITÉ DE L'INFORMATION ET DE PROTECTION DES DONNÉES PERSONNELLES

4.1. Conformément à la définition donnée par la direction de CAMARB, le Comité de sécurité de l'information et de protection des données personnelles de CAMARB (« Comité ») a été créé pour une durée de deux ans et composé du délégué au traitement des données personnelles et de représentants du conseil d'administration et des services. Ressources et technologies au CAMARB.

 

5. RÉPONSE AUX INCIDENTS DE SÉCURITÉ IMPLIQUANT DES DONNÉES PERSONNELLES

5.1. La procédure de réponse aux incidents de sécurité sera mise en œuvre avec la plus grande priorité et urgence, y compris en dehors des jours ouvrables et/ou des heures normales de travail des membres du Comité.

5.2. Tout événement pouvant constituer un Incident doit être transmis au Comité qui sera chargé, dans les 2 (deux) jours ouvrables suivant la prise de connaissance de l’Incident, d’établir les procédures permettant sa résolution. Sur décision du Comité, des représentants d’autres départements du CAMARB peuvent être impliqués.

5.2.1. S’il n’est pas possible de respecter ce délai, le motif de l’impossibilité doit être enregistré par le Responsable et, s’il est décidé de communiquer l’Incident, celui-ci doit également être signalé à l’Autorité Nationale de Protection des Données Personnelles – ANPD.

5.3. Sous la direction du Comité, le CAMARB mobilisera des conseillers externes en technologies de l'information, en relations publiques (presse) et en droit pour aider à répondre à l'incident, si nécessaire.

5.4. Une fois l'incident configuré, le Comité sera chargé d'adopter les actions nécessaires pour interrompre l'incident, récupérer les données personnelles affectées et communiquer l'incident conformément à la présente politique et en conformité avec la résolution CD/ANPD n° 15/2024.

5.5. Parallèlement à la délibération sur les mesures d'urgence, le Comité désignera un employé du secteur des technologies de l'information de la CAMARB pour vérifier les référentiels et systèmes compromis, le responsable étant chargé de vérifier les catégories de données personnelles contrôlées par la CAMARB dans les registres des données personnelles. Opérations de traitement des données. et les titulaires concernés respectifs, afin de délimiter l'étendue de l'incident et le risque potentiel pour les titulaires de données personnelles, les tiers et CAMARB.

5.6. L'agent préparera un rapport sur les mesures prises par la CAMARB pour répondre à l'incident, y compris son ampleur et ses risques potentiels. Sur la base de ce rapport, le Comité émettra un avis motivé concernant l'Incident à l'administration de la CAMARB, avec des recommandations pertinentes, notamment avec sa compréhension des risques potentiels pour les titulaires et la nécessité de communiquer l'Incident conformément à l'art. 48 de la LGPD. Cet avis adoptera la matrice de risques recommandée par l'ANPD ou, à défaut, une autre matrice de risques qui, à son avis, est cohérente et adéquate.

5.7. Il appartiendra au Conseil d'Administration de la CAMARB de décider d'accepter, en tout ou en partie, l'avis du Comité, ou de le rejeter, en fonction de son impression des risques pour l'image de la CAMARB. La décision sera communiquée sans délai au Comité et le responsable sera chargé de l’enregistrer.

5.8. En cas de communication de l'Incident, il appartiendra au Comité, en collaboration avec les conseillers externes en relations publiques et presse, de préparer le projet de communication, qui sera validé par la direction de CAMARB puis divulgué au marché et/ou aux détenteurs concernés ou potentiellement concernés, selon le cas.

5.9. Dans le même cas, le Comité, en collaboration avec les conseillers du service juridique de la CAMARB, fera en sorte que l'incident soit communiqué à l'ANPD par les moyens et canaux institutionnels, notamment le « Formulaire de communication d'incident de sécurité des données personnelles à l'Autorité nationale de protection des données personnelles » , et doit mettre en œuvre les mesures exigées par l'ANPD.

5.10. L'agent responsable, au nom du Comité, sera le porte-parole du CAMARB aux fins de la présente politique et la seule personne autorisée à commenter et à communiquer au public concernant les incidents. Il est interdit à tous les autres employés, administrateurs, conseillers et partenaires de CAMARB de commenter publiquement cette affaire.

 

6. OPÉRATEURS ET AUTRES RESPONSABLES DU TRAITEMENT DES DONNÉES PERSONNELLES

6.1. Tout tiers agissant en qualité d'opérateur ou de responsable de données personnelles relatives à CAMARB, ou obtenues par son intermédiaire, doit s'engager à respecter la présente Politique en cas d'Incident, ainsi qu'à :

a) Informer le gestionnaire immédiatement après avoir pris connaissance d’un incident ;

b) Coopérer avec le CAMARB pour répondre à l’incident, en fournissant immédiatement toutes les informations et l’assistance nécessaires ;

c) Vous abstenir de répondre seul à l'Incident et devez répondre conjointement avec CAMARB si vous êtes un responsable du traitement des données personnelles, ou vous limiter à suivre les instructions de CAMARB si vous êtes un opérateur.

6.2. Si CAMARB agit en tant que sous-traitant de données personnelles contrôlées par des tiers, il sera responsable de coopérer avec le tiers pour communiquer l'incident, en appliquant cette politique de manière subsidiaire, dans les cas où il existe un risque de perte, de dommage ou porter préjudice à CAMARB., ou tenir CAMARB responsable de l'inertie du responsable tiers du traitement.

6.3. La CAMARB doit fournir des mécanismes pour permettre aux tiers de consentir à cette politique.

 

7. RESPONSABILITÉS

7.1. Chaque employé, directeur, conseiller, prestataire de services et entrepreneur de CAMARB est responsable de ses propres actions en ce qui concerne le respect de la présente politique, conformément aux activités qu'il exerce à CAMARB, du respect de la présente politique et des autres normes applicables, ainsi que pour permettre le bon déroulement des travaux du Responsable et du Comité. Les administrateurs, conseillers et gestionnaires sont également responsables de veiller au respect de la présente Politique par les employés et les tiers sous leur responsabilité, conformément à leurs fonctions.

7.2. Le non-respect de cette politique sera sanctionné en fonction de la nature de la relation du contrevenant avec CAMARB, de la gravité de la violation et des règles internes de CAMARB, et pourra entraîner le licenciement ou la révocation du contrevenant, sans préjudice de l'indemnisation des pertes et dommages causés à CAMARBE.

8. DIVERS

8.1. Cette politique sera communiquée aux employés du CAMARB et sera sujette à révision au moins une fois par an.