POLÍTICA DE TRATAMIENTO DE INCIDENTES DE SEGURIDAD RELATIVOS A DATOS PERSONALES
1. OBJETIVO:
1.1. El objetivo de la Política de Tratamiento de Incidentes (“POLÍTICA”) de CNAGA es establecer principios, conceptos, directrices y responsabilidades sobre la gestión de eventuales fugas de datos personales ocurridas bajo la égida de los tratamientos realizados dentro de la organización. Su alcance ulterior es prescribir acciones para:
Cumplir los procedimientos establecidos por la Ley 13.709/18, también conocida como Ley General de Protección de Datos brasileña (LGPD);
Mitigar los impactos a los titulares de los datos personales eventualmente filtrados; y
Mitigar los impactos para la organización.
1.2. Esta POLÍTICA fue elaborada con enfoque en la legislación competente y en los principios de la transparencia, seguridad y amplia divulgación.
2. CULTURA DE PREVENCIÓN:
2.1. CNAGA fomenta ante sus administradores, asociados y colaboradores una cultura de prevención a la fuga de datos y tratamiento de incidentes. Para ello, definió las siguientes responsabilidades sobre este tema:
2.1.1. En relación con los administradores de la organización:
- Emprender todos los esfuerzos para difundir, ante la organización, asociados y colaboradores, las mejores prácticas de las mejores prácticas de prevención y tratamiento de incidentes de fuga de datos.
- Realizar el soporte necesario para que cualesquiera sospechas, averiguaciones o denuncias de fuga de datos personales sean debidamente investigadas y tratadas, de acuerdo con la legislación en vigor.
- Viabilizar la autonomía e independencia para que colaboradores y asociados de negocios de la organización puedan realizar eventuales denuncias sobre fuga de datos personales sin que sufran cualquier tipo de represalia.
- Suministrar los medios para que eventuales incidentes sean debidamente tratados e informados a las autoridades competentes.
- Informarle inmediatamente al DPO de la organización o a los administradores sobre eventuales incidentes que puedan haber ocurrido o que hayan tomado conocimiento.
- Emprender todos los esfuerzos para difundir, ante la organización, colegas y asociados, las mejores prácticas de prevención y tratamiento de incidentes de fuga de datos.
- Tomar todas las medidas necesarias, después de la notificación, para informarles a los titulares de datos y a las autoridades, en los plazos legales, sobre eventual incidente de fuga de datos personales ocurridos en la organización.
- Emprender todos los esfuerzos para difundir, ante la organización, administradores, colaboradores y asociados de negocios, las mejores prácticas de prevención y tratamiento de incidentes de fuga de datos.
3.1. Son considerados incidentes de seguridad relativos a datos personales cualesquiera fragilidades o eventos adversos de seguridad, confirmados o bajo sospecha, que lleven o puedan llevar al comprometimiento de uno o más de los principios básicos de confidencialidad, integridad, disponibilidad y conformidad de los datos personales en tratamiento en la organización.
3.2. Para los fines de esta POLÍTICA, son considerados como ejemplos de incidentes de seguridad relativos a datos personales, incluyendo, pero no limitándose a:
- Indisponibilidad del ambiente tecnológico en virtud de ataque maliciosos interno y externo;
- Fuga de información confidencial (información de clientes, información estratégica, otros);
- Intentos interno o externo de ganar acceso no autorizado a sistemas, a datos o incluso comprometer el ambiente de TI;
- Acto de violar una política de seguridad, explícita o implícita;
- Uso o acceso no autorizado a un sistema;
- Modificaciones en un sistema, sin el conocimiento, instrucciones o consentimiento previo del dueño del sistema;
- Eventos accidentales (fallas de hardware o sistémicas) no intencionales;
- Eventos no maliciosos (error humano o descuido que no infrinja las reglas de privacidad y protección de datos).
3.5. Los eventos de incidente deben ser categorizados y clasificados a través de una matriz de severidad con la intención de tener una mejor visibilidad, tratamiento y prioridad con respecto a su gestión.
3.6. Todos los eventos de incidente deben ser registrados en los controles y/o herramientas específicas elaboradas por la organización para este fin, objetivando la debida clasificación y tratamiento.
3.7. La organización debe realizar activamente la gestión de incidentes de seguridad relativos a datos personales, utilizando los siguientes procedimientos:
- Detección: identificación de incidentes por medio de monitoreo, informes, denuncias, información obtenida de áreas asociadas o cualquier otro análisis de eventos adversos;
- Registro y análisis: registro de los incidentes, análisis, clasificación con respecto al tipo, severidad y priorización;
- Comunicación: comunicación del incidente a las partes involucradas y en el caso que sea necesario, a las autoridades externas;
- Respuesta: contención del incidente, análisis forenses, custodia de evidencias, tratamiento del incidente y de la causa raíz; y
- Finalización: cierre formal y análisis del caso para la identificación de posibles mejorías en procesos, controles y en el propio procedimiento de gestión de incidentes.
3.9. Los incidentes de seguridad relativos a datos personales que puedan acarrear riesgo o daño relevante a los titulares deben ser comunicados por la organización a la Autoridad Nacional de Datos Personales (ANPD).
3.10. La comunicación deberá ser realizada en el plazo exigido por la ley, y deberá mencionar, por lo menos:
- La descripción de la naturaleza de los datos personales afectados;
- La información sobre los titulares involucrados;
- La indicación de las medidas técnicas y de seguridad utilizadas para la protección de los datos, observados los secretos comercial e industrial;
- Los riesgos relacionados al incidente;
- Los motivos de la demora, en el caso que la comunicación no haya sido inmediata; yLas medidas que fueron o que serán adoptadas para revertir o mitigar los efectos del perjuicio.