Politica de Privacidade

ESTRUTURA DE GESTÃO DE RISCOS DE PRIVACIDADE

PIPEK ADVOGADOS 

  1. Definição de Papéis e Responsabilidades

1.1. Nomeação do Encarregado (DPO – Data Protection Officer)

  • Documento: Termo de Nomeação do DPO com suas responsabilidades e qualificações.

1.2. Estabelecer um Comitê de Privacidade.

  • Documento: Ata de Criação do Comitê e definição de membros.

  1. Avaliação de Risco de Privacidade (Privacy Impact Assessment – PIA)

2.1. Identificar todos os processos que envolvem dados pessoais.

  • Documento: Lista de processos e categorias de dados pessoais tratados.

2.2. Avaliar riscos associados a cada processo.

  • Documento: Relatório de Avaliação de Risco de Privacidade para cada processo.

  1. Políticas e Procedimentos de Privacidade

3.1. Criar ou revisar a Política de Privacidade e Proteção de Dados do escritório.

  • Documento: Política de Privacidade atualizada.

3.2. Estabelecer procedimentos para direitos dos titulares (acesso, retificação, exclusão, etc.).

  • Documento: Procedimentos para Atendimento dos Direitos dos Titulares.

  1. Formação e Conscientização

4.1. Criar um programa de treinamento em privacidade para todos os funcionários.

  • Documento: Material de Treinamento e registro de participação dos funcionários.

  1. Processos de Resposta a Incidentes

5.1. Definir um processo claro de resposta a incidentes de segurança.

  • Documento: Procedimento de Resposta a Incidentes e Formulário de Registro de Incidentes.

  1. Revisão e Monitoramento

6.1. Estabelecer uma frequência de revisão da avaliação de riscos e políticas.

  • Documento: Calendário de Revisão de Privacidade.

  1. Acordos de Processamento

7.1. Certificar-se de que todos os prestadores de serviço e correspondentes tenham acordos que cumprem a LGPD e a GDPR (se aplicável).

  • Documento: Modelos de Acordos de Processamento de Dados.

  1. Mecanismos de Auditoria

8.1. Implementar processos de auditoria regular para garantir a conformidade.

  • Documento: Procedimento de Auditoria e Checklist de Conformidade com a LGPD.

  1. Revisão Legal

9.1. Avaliar as obrigações legais específicas relacionadas a processos judiciais e como eles se alinham à LGPD.

  • Documento: Relatório de Conformidade Legal.

  1. Comunicação com Stakeholders

10.1. Estabelecer canais claros de comunicação com partes interessadas em relação a questões de privacidade.

  • Documento: Diretrizes de Comunicação em Privacidade.

TRATATIVA DE INCIDENTES DE PRIVACIDADE

PIPEK ADVOGADOS 

  1. Objetivo:

Estabelecer um processo estruturado e eficaz para gerenciar e responder a incidentes de privacidade, garantindo a conformidade com a Lei Geral de Proteção de Dados (LGPD) e minimizando potenciais impactos adversos.

  1. Âmbito de Aplicação:

O presente procedimento se aplica a todos os colaboradores, prestadores de serviços, correspondentes e advogados, sejam sócios, associados ou sociedades unipessoais, que tenham acesso, manipule ou esteja envolvida no tratamento de dados pessoais no âmbito do escritório.

  1. Definições:

  • Incidente de Privacidade: Evento não planejado que resulta em acesso não autorizado, divulgação, alteração, destruição ou perda de dados pessoais.

  • Equipe de Resposta: Grupo multidisciplinar designado para gerir incidentes, incluindo membros da área jurídica, TI, e comunicação.

  1. Procedimentos:

4.1. Detecção e Reporte:

  • Responsabilidade de Reporte: Todo membro da organização, incluindo temporários, terceirizados e prestadores de serviço, tem o dever de reportar incidentes. Essa responsabilidade deve ser claramente comunicada durante processos de integração e treinamentos.

  • Mecanismos de Detecção: Implementar soluções de detecção, como sistemas de detecção de intrusões (IDS) e soluções de monitoramento de segurança que gerem alertas automáticos diante de atividades suspeitas.

  • Canais de Comunicação: Estabelecer canais claros e acessíveis para reportar incidentes, como linhas diretas, e-mails específicos e formulários online.

  • Treinamento: Realizar treinamentos periódicos para que os funcionários reconheçam sinais de possíveis incidentes de segurança e saibam como e quando reportar.

4.2. Avaliação Inicial:

  • Critérios de Avaliação: Além da gravidade, avaliar o tipo de dados envolvidos, o número de pessoas afetadas e o potencial impacto reputacional.

  • Equipe de Avaliação: A equipe deve ser multidisciplinar, envolvendo especialistas em segurança da informação, jurídicos e comunicação, para uma avaliação holística.

  • Documentação: Criar um registro detalhado do incidente, incluindo data, hora, quem reportou, natureza do incidente, dados envolvidos e ações iniciais tomadas.

4.3. Contenção:

  • Resposta Rápida: Estabelecer uma equipe de resposta rápida que possa ser mobilizada imediatamente após a detecção do incidente.

  • Backup de Evidências: Antes de qualquer alteração, faça cópias de segurança de todos os sistemas afetados para análise forense posterior.

  • Planos de Contingência: Ter planos pré-definidos para diferentes cenários de incidentes, permitindo uma ação rápida e eficaz.

4.4. Investigação e Análise:

  • Ferramentas Forenses: Utilizar ferramentas apropriadas para coletar e analisar evidências sem comprometer sua integridade.

  • Especialistas Externos: Em casos complexos, considere contratar especialistas externos em análise forense.

  • Relatório Detalhado: Este relatório deve incluir cronologia dos eventos, métodos de ataque, vulnerabilidades exploradas, dados comprometidos e recomendações para evitar incidentes futuros. Recomenda-se a utilização do modelo disponibilizado pela ANPD

4.5. Notificação À ANPD e aos Titulares:

  • Comunicação Clara: As notificações devem ser claras, transparentes e em linguagem acessível, evitando termos técnicos complicados.

  • Informações Relevantes: Incluir o que aconteceu, quais dados foram afetados, quais as consequências, o que a organização está fazendo a respeito e como os indivíduos podem se proteger.

  • Consultoria Jurídica: Antes de enviar qualquer notificação, consulte a equipe jurídica para garantir que todas as obrigações legais estão sendo atendidas.

4.6. Mitigação e Recuperação:

  • Plano de Ação: Estabelecer um plano de ação específico para cada tipo de incidente, levando em consideração o tipo de dado comprometido, a quantidade de titulares afetados e a natureza do incidente.

  • Recuperação de Dados: Caso haja perda de dados, inicie a recuperação a partir dos backups mais recentes, assegurando-se de que esses backups não estejam comprometidos. Verifique a integridade dos dados recuperados.

  • Remediação de Vulnerabilidades: Identifique e corrija as vulnerabilidades que causaram o incidente, seja por meio de atualizações de software, mudanças de configuração ou revisões de processos. Conduza testes de penetração ou auditorias para confirmar a resolução eficaz das falhas.

  • Comunicação Interna: Informe os departamentos e equipes relevantes sobre o status da mitigação e recuperação, garantindo que todos estejam cientes das ações tomadas e de quaisquer implicações para suas operações.

4.7. Revisão Pós-Incidente:

  • Análise Crítica: Convoque a equipe multidisciplinar para uma sessão de revisão pós-incidente. O objetivo é avaliar o que funcionou, o que não funcionou e por quê.

  • Feedback dos Envolvidos: Colete feedback de todas as partes envolvidas na gestão do incidente. Isso inclui equipes de TI, jurídica, comunicação, entre outros.

  • Relatório Detalhado: Prepare um relatório detalhado do incidente, incluindo cronologia, causas identificadas, ações tomadas e resultados. Esse relatório deve ser arquivado e estar disponível para revisões futuras ou inspeções regulatórias.

  • Recomendações de Melhoria: Com base na análise crítica e feedback, liste recomendações específicas para melhorar a prevenção, detecção e resposta a incidentes futuros.

Com base na LGPD e nas melhores práticas de segurança da informação e proteção de dados, o item 5, “Treinamento e Conscientização”, pode ser aprimorado da seguinte forma:

  1. Treinamento e Conscientização:

5.1. Programa Contínuo de Conscientização: Estabelecer um programa contínuo de treinamento e conscientização em proteção de dados pessoais e segurança da informação, visando garantir a atualização contínua de todos os envolvidos frente às mudanças de cenário, riscos emergentes e atualizações legais.

5.1.1. Frequência de Sessões: Realizar sessões de treinamento a cada 6 meses, ou em menor intervalo se necessário, especialmente após a atualização de políticas, procedimentos ou em caso de incidentes relevantes.

5.1.2. Público-alvo Específico: Os treinamentos devem ser segmentados de acordo com a função e nível de acesso à informação do participante, garantindo que cada indivíduo receba instruções relevantes para sua função e responsabilidades.

5.1.3. Conteúdo Atualizado: Garantir que o conteúdo do treinamento reflita as últimas atualizações da LGPD, bem como outras legislações aplicáveis, e incorpore as melhores práticas do mercado.

5.1.4. Métodos Interativos: Utilizar métodos interativos, como simulações e cenários práticos, para melhor engajamento e compreensão do público.

5.1.5. Avaliação e Feedback: Ao final de cada sessão, realizar uma avaliação para medir a compreensão dos participantes sobre o conteúdo apresentado e coletar feedback para aprimoramento contínuo.

5.1.6. Documentação e Registro: Manter um registro detalhado de todos os treinamentos realizados, incluindo datas, participantes, conteúdos abordados e resultados das avaliações, para fins de auditoria e comprovação de conformidade com a LGPD.

5.1.7. Recursos Digitais: Considerar a implementação de plataformas de e-learning para facilitar o acesso e a frequência de treinamentos, permitindo maior flexibilidade aos colaboradores e garantindo cobertura mais ampla.

5.1.8. Alertas e Comunicações: Estabelecer uma rotina de comunicações e alertas periódicos sobre questões de segurança e proteção de dados, reforçando a importância da conscientização no dia a dia e promovendo uma cultura de proteção de dados na organização.

  1. Monitoramento e Atualização:

  • Rever o procedimento trimestralmente, ou sempre que houver mudanças significativas no ambiente tecnológico, operacional ou legal da organização. Adicionalmente, uma revisão é necessária imediatamente após cada incidente significativo.

  • Estabelecer um comitê de revisão composto por representantes das áreas jurídica, de segurança da informação e de operações para garantir que todas as perspectivas sejam consideradas na revisão.

  • Monitorar proativamente as alterações legais relacionadas à proteção de dados e segurança da informação para garantir a conformidade contínua com a LGPD e outras legislações relevantes.

  • Participar de fóruns e grupos de discussão especializados para se manter atualizado quanto às melhores práticas e tendências na gestão de incidentes de segurança.

  1. Documentação e Registro:

  • Manter registros detalhados de todos os incidentes, incluindo a natureza do incidente, os dados pessoais afetados, as medidas tomadas para conter e remediar o incidente, e todas as comunicações relacionadas ao incidente.

  • Assegurar que os registros de incidentes sejam mantidos de forma segura, criptografada e acessível apenas a indivíduos autorizados, para proteger a integridade e confidencialidade das informações.

  • Estabelecer um prazo de retenção para os registros de incidentes, levando em consideração as obrigações legais e regulatórias, bem como as necessidades operacionais da organização.

  • Documentar todos os processos e procedimentos de revisão, incluindo as datas, os participantes e as mudanças recomendadas e implementadas.

  • Estabelecer uma trilha de auditoria robusta para todos os registros, garantindo transparência e responsabilidade em relação à gestão de incidentes.