La presente Politica per la segnalazione di incidenti che coinvolgono dati personali ("Politica") comprende i principi e gli standard di condotta che guideranno le azioni della CAMERA DI MEDIAZIONE E ARBITRATO COMMERCIALE - BRASILE (CAMARB) ("CAMARB"), in relazione a qualsiasi incidente di informazione sicurezza, stabilendo le regole per la continuità aziendale del CAMARB.

La presente Politica è subordinata e complementare alla Politica di governance sulla privacy e sulla protezione dei dati personali del CAMARB e deve essere interpretata in conformità con le linee guida e i principi di tale politica.

 

1. AMBITO DI APPLICAZIONE

1.1. Gli incidenti di sicurezza, soggetti alla presente Politica, includono qualsiasi accesso non autorizzato e situazioni accidentali o illecite di distruzione, perdita, alterazione, comunicazione o qualsiasi forma di elaborazione inadeguata o illecita di dati personali sotto il controllo di CAMARB ("Incidenti").

1.2. I dati personali oggetto della presente Informativa, in conformità alla legislazione applicabile, sono tutte le informazioni relative a una persona fisica identificata o che possono essere identificate mediante ragionevoli sforzi da parte di CAMARB, o che possono essere individuate mediante l'elaborazione di tali informazioni da parte di CAMARB. CAMARB, anche senza essere identificati. Tra queste rientrano informazioni su direttori, lavoratori, clienti, fornitori e prestatori di servizi, nonché altre persone che intrattengono rapporti con CAMARB.

1.3. Il presente documento riguarda la risposta agli incidenti di sicurezza che coinvolgono dati personali trattati da CAMARB e la loro comunicazione alle persone fisiche o giuridiche interessate, seguendo i principi e le regole delineati nella Politica di governance sulla privacy e sulla protezione dei dati personali di CAMARB, al fine di garantire una gestione adeguata e tempestiva di incidenti di sicurezza e l'attenuazione o l'eliminazione di eventuali perdite derivanti dagli stessi, incluso l'eventuale smaltimento e/o eliminazione di informazioni e documenti contenenti dati personali detenuti da CAMARB, dai suoi appaltatori e subappaltatori.

 

2. APPLICAZIONE

2.1. La presente Politica si applica a tutti i dipendenti, amministratori, consulenti, partner, fornitori e prestatori di servizi coinvolti nelle operazioni di trattamento dei dati personali svolte da CAMARB. 

 

3. OBIETTIVO

3.1. Gli obiettivi della presente Politica sono:

a) Garantire che CAMARB risponda in modo rapido ed efficace agli Incidenti che coinvolgono dati personali, al fine di rispettare la Legge generale sulla protezione dei dati personali – LGPD (Legge n. 13.709, del 14 agosto 2018) e altre leggi e regolamenti applicabili;

b) Definire oggettivamente la valutazione del rischio e le decisioni riguardanti la necessità di segnalare gli Incidenti, come stabilito dalla legge;

c) Evitare conseguenze dannose degli Incidenti trattati dalla presente Politica sulla privacy dei titolari dei dati personali e sull'immagine e sul valore di mercato di CAMARB;

d) Istruire i dipendenti, i direttori, i consulenti, i partner, i fornitori e i prestatori di servizi del CAMARB in merito alla necessità e all'importanza della sicurezza delle informazioni e alla risposta e alla comunicazione efficaci degli incidenti che coinvolgono i dati personali; E

e) Definire le attribuzioni, le autorità e le responsabilità nel processo di condivisione delle informazioni.

 

4. COMITATO PER LA SICUREZZA DELLE INFORMAZIONI E LA PROTEZIONE DEI DATI PERSONALI

4.1. Come definito dalla direzione di CAMARB, è stato istituito il Comitato per la sicurezza delle informazioni e la protezione dei dati personali di CAMARB ("Comitato"), con mandato di due anni e composto dal Responsabile del trattamento dei dati personali e da rappresentanti del consiglio di amministrazione e dei dipartimenti. Legale, Umano Risorse e tecnologia presso CAMARB.

 

5. RISPOSTA AGLI INCIDENTI DI SICUREZZA CHE COINVOLGONO I DATI PERSONALI

5.1. La procedura di risposta agli incidenti di sicurezza sarà eseguita con la massima priorità e urgenza, anche al di fuori dei giorni lavorativi e/o del normale orario di lavoro dei membri del Comitato.

5.2. Ogni evento che possa costituire un Incidente dovrà essere segnalato al Comitato, il quale sarà tenuto, entro 2 (due) giorni lavorativi dalla conoscenza dell'Incidente, a stabilire le procedure per la sua risoluzione. Su decisione del Comitato, possono essere coinvolti rappresentanti di altri dipartimenti del CAMARB.

5.2.1. Qualora non sia possibile rispettare tale termine, il Responsabile dovrà annotare il motivo dell’impossibilità e, qualora si decida di comunicare l’Incidente, dovrà segnalarlo anche all’Autorità Garante per la Protezione dei Dati Personali – ANPD.

5.3. Sotto la guida del Comitato, il CAMARB mobiliterà, se necessario, consulenti esterni nei settori dell'informatica, delle relazioni pubbliche (stampa) e del diritto per fornire assistenza nella risposta all'incidente.

5.4. Una volta configurato l'incidente, il Comitato sarà responsabile dell'adozione delle azioni necessarie per interromperlo, recuperare i dati personali interessati e comunicare l'incidente in conformità con la presente Politica e nel rispetto della Risoluzione CD/ANPD n. 15/2024.

5.5. Parallelamente alla deliberazione sulle misure di emergenza, il Comitato designerà un dipendente del settore Information Technology del CAMARB per verificare i repository e i sistemi compromessi, con la Persona incaricata responsabile della verifica delle categorie di dati personali controllate dal CAMARB nei Registri dei dati personali. Operazioni di elaborazione dei dati. e rispettivi titolari interessati, al fine di delimitare l'entità dell'incidente e il potenziale rischio per i titolari dei dati personali, terze parti e CAMARB.

5.6. Il funzionario redigerà un rapporto sulle misure adottate dal CAMARB per rispondere all'incidente, inclusa la sua portata e i potenziali rischi. Sulla base di tale relazione, il Comitato emetterà un parere motivato in merito all'incidente all'amministrazione del CAMARB, con raccomandazioni pertinenti, in particolare con la sua comprensione dei potenziali rischi per i titolari e della necessità di comunicare l'incidente in conformità con l'art. 48 della LGPD. Tale parere adotterà la matrice dei rischi raccomandata dall'ANPD o, in mancanza di questa, un'altra matrice dei rischi che, a suo giudizio, sia coerente e adeguata.

5.7. Spetterà al Consiglio di amministrazione del CAMARB decidere se accettare, in tutto o in parte, il parere del Comitato oppure respingerlo, a seconda della sua opinione sui rischi per l'immagine del CAMARB. La decisione verrà tempestivamente comunicata al Comitato e il Responsabile sarà tenuto a verbalizzarla.

5.8. In caso di comunicazione dell'Incidente, spetterà al Comitato, insieme ai responsabili delle relazioni pubbliche e della stampa esterni, predisporre la bozza della comunicazione, che verrà convalidata dalla direzione del CAMARB e poi divulgata al mercato e/o ai titolari interessati o potenzialmente interessati, a seconda dei casi.

5.9. Nello stesso caso, il Comitato, insieme ai consulenti del dipartimento legale del CAMARB, provvederà a che l'incidente venga comunicato all'ANPD attraverso mezzi e canali istituzionali, in particolare il "Modulo di comunicazione dell'incidente di sicurezza dei dati personali all'Autorità nazionale per la protezione dei dati personali" Personale e deve attuare le misure richieste dall'ANPD.

5.10. Il Funzionario responsabile, per conto del Comitato, sarà il portavoce del CAMARB ai fini della presente Politica e l'unica persona autorizzata a commentare e a comunicare al pubblico in merito agli Incidenti. A tutti gli altri dipendenti, direttori, consulenti e partner del CAMARB è vietato commentare pubblicamente la questione.

 

6. OPERATORI E ALTRI TITOLARI DEL TRATTAMENTO DEI DATI PERSONALI

6.1. Tutti i soggetti terzi che agiscono in qualità di operatori o titolari del trattamento dei dati personali relativi a CAMARB, o ottenuti tramite la stessa, devono impegnarsi a rispettare la presente Politica in caso di Incidenti, nonché a:

a) Informare immediatamente il Responsabile dopo essere venuto a conoscenza di un Incidente;

b) Collaborare con CAMARB per rispondere all'incidente, fornendo immediatamente tutte le informazioni e l'assistenza necessarie;

c) Astenersi dal rispondere all'incidente autonomamente e rispondere congiuntamente a CAMARB se si è un titolare del trattamento dei dati personali oppure limitarsi a seguire le istruzioni di CAMARB se si è un operatore.

6.2. Se CAMARB agisce in qualità di responsabile del trattamento dei dati personali controllati da terze parti, sarà responsabile della cooperazione con la terza parte nella comunicazione dell'Incidente, applicando la presente Politica in modo sussidiario, nei casi in cui vi sia un rischio di perdita, danno o danni a CAMARB o ritenere CAMARB responsabile dell'inerzia del terzo responsabile del trattamento.

6.3. CAMARB deve fornire meccanismi per il consenso di terze parti alla presente Politica.

 

7. RESPONSABILITÀ

7.1. Ogni dipendente, direttore, consulente, fornitore di servizi e appaltatore di CAMARB è responsabile delle proprie azioni in relazione alla conformità con la presente Politica, in conformità con le attività che svolgono presso CAMARB, per la conformità con la presente Politica e altri standard applicabili, nonché per consentire il buon andamento del lavoro del Responsabile e del Comitato. Gli amministratori, i consulenti e i dirigenti sono inoltre tenuti a garantire il rispetto della presente Politica da parte dei dipendenti e dei terzi sotto la loro responsabilità, conformemente alle proprie mansioni.

7.2. Il mancato rispetto della presente Politica sarà sanzionato in base alla natura del rapporto del trasgressore con CAMARB, alla gravità della violazione e alle norme interne di CAMARB e potrà comportare il licenziamento o l'espulsione del trasgressore, fatto salvo il risarcimento delle perdite e dei danni causati a CAMARB. CAMARB.

8. VARIE

8.1. La presente Politica verrà comunicata ai dipendenti del CAMARB e sarà soggetta a revisione almeno una volta all'anno.