Política de Comunicação de Incidentes Envolvendo Dados Pessoais
Download em PDF
Esta Política de Comunicação de Incidentes Envolvendo Dados Pessoais (“Política”) compreende os princípios e os padrões de conduta que guiarão a atuação da CÂMARA DE MEDIAÇÃO E ARBITRAGEM EMPRESARIAL – BRASIL (CAMARB) (“CAMARB”), com relação aos eventuais incidentes de segurança da informação, estabelecendo as regras para continuidade dos negócios da CAMARB.
Esta Política está subordinada e é complementar à Política de Governança em Privacidade e Proteção de Dados Pessoais da CAMARB e deve ser interpretada conforme as diretrizes e princípios daquela política.
1. ESCOPO
1.1. São incidentes de segurança, sujeitos a esta Política, quaisquer acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito de dados pessoais sob controle da CAMARB (“Incidentes”).
1.2. São dados pessoais sujeitos a esta Política, na forma de legislação aplicável, toda e qualquer informação relacionada a uma pessoa natural identificada ou que possa ser identificada mediante esforços razoáveis da CAMARB, ou ainda que possa ser individualizada por meio do tratamento dado a essas informações pela CAMARB, mesmo sem que seja identificada. Isso inclui informações sobre diretores, trabalhadores, clientes, fornecedores e prestadores de serviços, além de outras pessoas que se relacionem com a CAMARB.
1.3. Este documento abrange o atendimento a incidentes de segurança envolvendo dados pessoais tratados pela CAMARB, e sua comunicação às pessoas naturais ou jurídicas afetadas, seguindo os princípios e regras delineados na Política de Governança em Privacidade e Proteção de Dados Pessoais da CAMARB de modo a garantir a gestão adequada e tempestiva dos incidentes de segurança e a mitigação ou eliminação dos eventuais prejuízos deles decorrentes, incluindo o eventual descarte e/ou eliminação de informações e documentos que contenham dados pessoais em poder da CAMARB, seus contratados e subcontratados.
2. APLICAÇÃO
2.1. A Política aplica-se a todos os funcionários, diretores, conselheiros, parceiros, fornecedores e prestadores de serviços envolvidos nas operações de tratamento de dados pessoais realizadas pela CAMARB.
3. OBJETIVOS
3.1. São objetivos desta Política:
a) Garantir que a CAMARB responda rápida e efetivamente aos Incidentes envolvendo dados pessoais, de modo a cumprir a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709, de 14 de agosto de 2018) e demais leis e regulamentos aplicáveis;
b) Definir, de forma objetiva, a avaliação de riscos e decisões acerca da necessidade da realização de comunicações de Incidentes, conforme a legislação determina;
c) Evitar consequências danosas dos Incidentes endereçados por esta Política à privacidade dos titulares de dados pessoais e à imagem e valor de mercado da CAMARB;
d) Instruir funcionários, diretores, conselheiros, parceiros, fornecedores e prestadores de serviço da CAMARB a respeito da necessidade e importância da segurança de informação e da efetiva resposta e comunicação de incidentes envolvendo dados pessoais; e
e) Definir as atribuições, autoridades e responsabilidades no processo de compartilhamento de informações.
4. COMITÊ DE SEGURANÇA DA INFORMAÇÃO E PROTEÇÃO DE DADOS PESSOAIS
4.1. Conforme definido pela administração da CAMARB, foi instituído o Comitê de Segurança da Informação e Proteção de Dados Pessoais da CAMARB (“Comitê”), com mandato de dois anos e composto pelo Encarregado pelo Tratamento de Dados Pessoais e por representantes da diretoria e dos setores Jurídico, de Recursos Humanos e de Tecnologia da CAMARB.
5. RESPOSTA A INCIDENTES DE SEGURANÇA ENVOLVENDO DADOS PESSOAIS
5.1. O procedimento de resposta a incidentes de segurança será realizado com a maior prioridade e urgência, inclusive fora de dias úteis e/ou da jornada normal de trabalho dos membros do Comitê.
5.2. Qualquer evento que possa configurar um Incidente deverá ser remetido ao Comitê, ao qual incumbirá, em até 2 (dois) dias úteis contados do conhecimento do Incidente, estabelecer procedimentos para sua resolução. Por deliberação do Comitê, poderão ser envolvidos representantes de outros departamentos da CAMARB.
5.2.1. Caso não seja possível cumprir tal prazo, o motivo da impossibilidade deverá ser registrado pelo Encarregado e, caso seja decidido pela comunicação do Incidente, deverá também ser informado à Autoridade Nacional de Proteção de Dados Pessoais – ANPD.
5.3. Por orientação do Comitê, a CAMARB mobilizará assessores externos em tecnologia de informação, em relações públicas (imprensa) e em direito, para auxiliá-lo no atendimento ao Incidente, conforme seja necessário.
5.4. Configurado o Incidente, caberá ao Comitê adotar os atos necessários à interrupção do incidente, à recuperação de dados pessoais afetados e à comunicação do incidente na forma desta Política e em conformidade com a Resolução CD/ANPD nº 15/2024.
5.5. Em paralelo à deliberação sobre medidas de emergência, o Comitê designará funcionário do setor de Tecnologia da Informação da CAMARB para verificar os repositórios e sistemas comprometidos, cabendo ao Encarregado verificar nos Registros das Operações de Tratamento de Dados Pessoais as categorias de dados pessoais controlados pela CAMARB e respectivos titulares afetados, de modo a delimitar a extensão do Incidente e o potencial risco a titulares de dados pessoais, terceiros e à CAMARB.
5.6. O Encarregado preparará relatório das medidas tomadas pela CAMARB para responder ao Incidente, inclusive no tocante a sua extensão e potenciais riscos. Com base nesse relatório o Comitê emitirá parecer fundamentado a respeito do Incidente para a administração da CAMARB, com as recomendações pertinentes, em especial com seu entendimento a respeito dos potenciais riscos aos titulares e à necessidade de comunicação do Incidente na forma do art. 48 da LGPD. Referido parecer adotará a matriz de risco recomendada pela ANPD ou, na falta desse, outra matriz de risco, que, no seu entender, seja consistente e adequada.
5.7. Caberá à Diretoria da CAMARB decidir pelo acolhimento, total ou parcial, do parecer do Comitê, ou sua rejeição, conforme sua impressão sobre os riscos à imagem da CAMARB. A decisão será informada prontamente ao Comitê, cabendo ao Encarregado registrá-la.
5.8. Em caso de comunicação do Incidente, caberá ao Comitê, em conjunto com assessores externos de relações públicas e imprensa preparar a minuta do comunicado, que será validado pela administração da CAMARB e, em seguida, divulgado ao mercado e/ou aos titulares afetados ou potencialmente afetados, conforme o caso.
5.9. No mesmo caso, o Comitê, em conjunto com os assessores departamento jurídicos da CAMARB, providenciarão a comunicação do Incidente à ANPD pelos meios e canais institucionais, notadamente o “Formulário de comunicação de incidente de segurança de dados pessoais à Autoridade Nacional de Proteção de Dados Pessoais”, devendo realizar as providências requeridas pela ANPD.
5.10. O Encarregado, em nome do Comitê, será o porta-voz da CAMARB para efeito desta Política e a única pessoa autorizada a comentar e realizar comunicados ao público com relação a Incidentes. Todos os demais funcionários, diretores, conselheiros e sócios da CAMARB são proibidos de comentar publicamente sobre o assunto.
6. OPERADORES E DEMAIS CONTROLADORES DE DADOS PESSOAIS
6.1. Quaisquer terceiros que atuem como operadores ou controladores de dados pessoais atinentes à CAMARB, ou obtidos por seu intermédio, deverão se comprometer a seguir essa Política no caso de Incidentes, assim como a:
a) Informar o Encarregado imediatamente após a ciência de um Incidente;
b) Cooperar com a CAMARB para o atendimento do Incidente, providenciando imediatamente todas as informações e o auxílio necessário;
c) Abster-se de responder ao Incidente por conta própria, devendo respondê-lo de forma conjunta com a CAMARB caso se trate de um controlador de dados pessoais, ou limitar-se a seguir as instruções da CAMARB, caso se trate de um operador.
6.2. Se a CAMARB funcionar como operadora de dados pessoais controlados por terceiros, caber-lhe-á cooperar com o terceiro na comunicação do Incidente, aplicando-se esta Política de forma subsidiária, nos casos em que haja risco de perdas, danos ou prejuízos à CAMARB, ou de responsabilização da CAMARB pela inércia do terceiro controlador.
6.3. A CAMARB deverá providenciar os mecanismos de assentimento de terceiros a essa Política.
7. RESPONSABILIDADES
7.1. Cada colaborador, diretor, conselheiro, prestador de serviço e contratado da CAMARB é responsável pelos próprios atos com relação ao comprimento desta Política, de acordo com as atividades que desempenham na CAMARB, pelo cumprimento desta Política e demais normas aplicáveis, bem como por possibilitar a boa realização dos trabalhos do Encarregado e do Comitê. Os diretores, conselheiros e gestores respondem, ainda, pela garantia do cumprimento desta Política pelos funcionários e terceiros sob sua responsabilidade, de acordo com suas atribuições.
7.2. O descumprimento desta Política será punido conforme a natureza da relação do infrator com a CAMARB, a gravidade da infração e as normas internas da CAMARB, podendo levar ao desligamento ou dispensa do infrator, sem prejuízo da reparação pelas perdas e danos causados à CAMARB.
8. DIVERSOS
8.1. Essa Política será comunicada aos colaboradores da CAMARB e será objeto de revisão em periodicidade mínima anual.