POLÍTICA DE TRATAMENTO DE INCIDENTES
1. OBJETIVO:
1.1. O objetivo da Política de Tratamento de Incidentes (“POLÍTICA”) da CNAGA é estabelecer princípios, conceitos, diretrizes e responsabilidades sobre a gestão de eventuais vazamentos de dados pessoais ocorridos sob a égide dos tratamentos realizados dentro da organização. Seu escopo ulterior é prescrever ações para:
- Cumprir os procedimentos estabelecidos pela Lei 13.709/18, também conhecida como Lei Geral de Proteção de Dados brasileira (LGPD);
- Mitigar os impactos aos titulares dos dados pessoais eventualmente vazados; e
- Mitigar os impactos para a organização.
2. CULTURA DE PREVENÇÃO:
2.1. A CNAGA fomenta perante seus administradores, colaboradores e parceiros uma cultura de prevenção ao vazamento de dados e tratamento de incidentes. Para tanto, definiu as seguintes responsabilidades sobre esse tema:
2.1.1. Em relação aos administradores da organização:
- Empreender todos os esforços para difundir, perante a organização, colaboradores e parceiros, as melhores práticas de as melhores práticas de prevenção e tratamento de incidentes de vazamento de dados.
- Providenciar o suporte necessário para que quaisquer suspeitas, averiguações ou denúncias de vazamento de dados pessoais sejam devidamente apuradas e tratadas, nos termos da legislação em vigor.
- Viabilizar autonomia e independência para que colaboradores e parceiros de negócios da organização possam realizar eventuais denúncias sobre vazamento de dados pessoais sem que sofram qualquer tipo de retaliação.
- Providenciar os meios para que eventuais incidentes sejam devidamente tratados e informados às autoridades competentes.
2.1.2. Em relação aos colaboradores da organização:
- Informar imediatamente ao DPO da organização ou aos administradores sobre eventuais incidentes que possam ter ocorrido ou que tenham tomado conhecimento.
- Empreender todos os esforços para difundir, perante a organização, colegas e parceiros, as melhores práticas de prevenção e tratamento de incidentes de vazamento de dados.
2.1.3. Em relação ao DPO da organização:
- Tomar todas as providências necessária, após ciência, para informar aos titulares de dados e às autoridades, nos prazos legais, sobre eventual incidente de vazamento de dados pessoais ocorridos na organização.
- Empreender todos os esforços para difundir, perante a organização, administradores, colaboradores e parceiros de negócios, as melhores práticas de prevenção e tratamento de incidentes de vazamento de dados.
3.1. São considerados incidentes de segurança relativos a dados pessoais quaisquer fragilidades ou eventos adversos de segurança, confirmados ou sob suspeita, que levem ou possam levar ao comprometimento de um ou mais dos princípios básicos de confidencialidade, integridade, disponibilidade e conformidade dos dados pessoais em tratamento na organização.
3.2. Para fins desta POLÍTICA, são considerados como exemplos de incidentes de segurança relativos a dados pessoais, incluindo, mas não se limitando:
- Indisponibilidade do ambiente tecnológico em virtude de ataque maliciosos interno e externo;
- Vazamento de informações confidenciais (informações de clientes, informações estratégicas, outros);
- Tentativas interna ou externa de ganhar acesso não autorizado a sistemas, a dados ou até mesmo comprometer o ambiente de TI;
- Ato de violar uma política de segurança, explícita ou implícita;
- Uso ou acesso não autorizado a um sistema;
- Modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema;
- Eventos acidentais (falhas de hardware ou sistêmicas) não intencionais;
- Eventos não maliciosos (erro humano ou descuido que não infrinja as regras de privacidade e proteção de dados).
3.4. Todos os incidentes devem ser registrados com informações as necessárias para a rápida e correta identificação do problema e da ação necessária para mitigá-lo.
3.5. Os eventos de incidente devem ser categorizados e classificados através de uma matriz de severidade com intuito de se ter uma melhor visibilidade, tratamento e prioridade quanto a sua gestão.
3.6. Todos os eventos de incidente devem ser registrados nos controles e/ou ferramentas específicas elaboradas pela organização para esse fim, objetivando a devida triagem e tratamento.
3.7. A organização deve realizar ativamente a gestão de incidentes de segurança relativos a dados pessoais, utilizando os seguintes procedimentos:
- Detecção: identificação de incidentes por meio de monitoração, relatórios, denúncias, informações obtidas de áreas parceiras ou qualquer outra análise de eventos adversos;
- Registro e análise: registro dos incidentes, análise, classificação quanto ao tipo, severidade e priorização;
- Comunicação: comunicação do incidente às partes envolvidas e caso necessário, às autoridades externas;
- Resposta: contenção do incidente, análises forenses, custódia de evidências, tratamento do incidente e da causa raiz; e
- Finalização: encerramento formal e análise do caso para identificação de possíveis melhorias em processos, controles e no próprio procedimento de gestão de incidentes.
3.9. Os incidentes de segurança relativos a dados pessoais que possam acarretar risco ou dano relevante aos titulares devem ser comunicados pela organização à Autoridade Nacional de Dados Pessoais (ANPD).
3.10. A comunicação deverá ser realizada no prazo exigido pela lei, e deverá mencionar, no mínimo:
- A descrição da natureza dos dados pessoais afetados;
- As informações sobre os titulares envolvidos;
- A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
- Os riscos relacionados ao incidente;
- Os motivos da demora, no caso de a comunicação não ter sido imediata; e
- As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.