Segurança e maior controle da administração do ambiente em tempo real.
Para desenvolver importantes projetos você precisa de um ambiente estruturado.
Contempla o atendimento pontual às situações emergenciais e incidentes.
Oferecemos consultoria de alto nível para sua infraestrutura de redes.
Possibilita a utilização de profissionais de diferentes níveis pela sua empresa.
O sistema de portal de autenticação para a rede de visitantes dispõe de diversas características.
Criada com o objetivo de oferecer serviços de consultoria routing & swithing, comunicações unificadas, segurança da informação e wireless, a It'smore possui uma visão diferenciada. Tal diferenciação se dá por meio da disponibilização de consultorias estratégicas com foco nas necessidades especificas de cada cliente, sempre buscando soluções inteligentes e confiáveis para as comunicações, redes e segurança das empresas.
Temos experiências em importantes projetos de clientes que fazem uso intensivo de tecnologia de redes nos mais diferentes ramos de atividade: Saúde, Instituições Financeiras, Service Providers, Corporativo, Indústria e Governo.
Entre os principais clientes destacam-se: Fleury Medicina e Saúde, Unimed Seguros, Hospital Samaritano, Natura, Guardian, Omni Financeira, Atlas Transportadora, S.I.N - Sistema de Implantes, CTP Advogados, entre outros.
POLÍTICA DE
GOVERNANÇA DE DADOS
POLÍTICA DE
PRIVACIDADE E
PROTEÇÃO DE DADOS
POLÍTICA DE
COOKIES
POLÍTICA DE
TRATAMENTO DE
INCIDENTES
A It'smore, buscando refletir o apoio que a sua alta direção concede às suas diretrizes de privacidade e proteção de dados pessoais, criou a presente Política de Governança de Dados Pessoais, que se dará pelos termos e condições a seguir consignadas:
1. O que é governança de dados pessoais?
Governança de dados pessoais é um conjunto de práticas que têm por finalidade otimizar a gestão dos fluxos de dados pessoais que circulam em uma determinada organização, com o objetivo de garantir a privacidade e a proteção desses dados através da atribuição de responsabilidades a uma estrutura organizacional, criada especialmente para mitigar os riscos às liberdades civis e proteger os direitos fundamentais dos respectivos titulares.
Para fins da legislação brasileira, dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável. Eles podem ser diretos, ou seja, que podem ser atribuídos a um titular específico sem o uso de informações adicionais (ex. nome completo, CPF, foto, biometria, DNA); ou indiretos, que precisam de informações adicionais para conseguir determinar o titular (ex. nome incompleto, gênero, país de residência, sistema operacional). A lei define ainda os chamados dados pessoais sensíveis, que são aqueles sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, entre outros. Ainda para fins da legislação, controlador é a pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais; enquanto operador é a pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.
De acordo com o artigo 50 da Lei Geral de Proteção de Dados (“LGPD”), “os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.”
2. Como a It'smore aplica a Governança de Dados em suas ações?
A It'smore pratica a governança de dados diariamente em seus processos e fluxos, internos e externos. Para tanto, lista e organiza todos os dados pessoais existentes na empresa, incluindo todos os processos e operações de tratamento desses dados. Exercita a governança, ainda, através dos seguintes procedimentos:
a. Cultura e conscientização: A It'smore fomenta a conscientização de seus administradores, colaboradores, parceiros e fornecedores, em relação às boas práticas de privacidade e proteção de dados. São inclusive praticados, conforme melhores práticas de mercado, programas de conscientização e treinamentos habituais referentes a esse tema.
b. Implementação de diversas Políticas de Privacidade e Proteção de Dados Pessoais: A It'smore possui 4 (quatro) políticas aplicáveis à Privacidade e Proteção de Dados Pessoais, em consonância com a LGPD, são elas:
• A presente Política de Governança de Dados Pessoais, que engloba diretrizes sobre (i) as práticas adotadas para gestão de dados pessoais na organização; (ii) as políticas aplicáveis ao tema; e (iii) a composição e atribuições da estrutura de governança de dados pessoais da It'smore, trazendo ainda informações sobre o DPO, sobre a sua respectiva estrutura de suporte e sobre o Comitê de Privacidade e Proteção de Dados Pessoais;
• A Política Geral de Privacidade e Proteção de Dados Pessoais, que engloba diretrizes sobre (i) a LGPD e seus princípios básicos; (ii) os direitos dos titulares de dados pessoais e como exercitá-los; (iii) os tipos de dados pessoais que são tratados na It'smore; e (iv) o processo de gestão do consentimento;
• A Política de Cookies, que engloba diretrizes sobre (i) o que são cookies e quais os tipos existentes e quais as suas respectivas funções; (ii) quais tipos de cookies são utilizados pela It'smore; e (iii) como fazer e quais as consequências para o caso de desabilitação desses cookies; e
• A Política de Tratamento de Incidentes, que engloba diretrizes sobre (i) os princípios e conceitos referentes à gestão de incidentes e vazamentos de dados pessoais; (ii) a cultura de prevenção; e (iii) os procedimentos a serem tomados no caso de incidentes e vazamentos de dados pessoais.
c. Criação de estrutura responsável pela governança de dados: A It'smore desenvolveu uma estrutura para fazer a gestão da governança de dados, incluindo a indicação de um encarregado de dados responsável pelo processo (DPO), e a criação de um Comitê de Privacidade, conforme detalhado, no item 3 desta Política, abaixo transcrito.
d. Segurança da Informação: A It'smore desenvolveu um sistema de segurança da informação alinhado às diretrizes de privacidade e proteção de dados.
e. Incorporação da privacidade às operações: A It'smore utiliza o princípio do “Privacy by Design” para todos os seus novos projetos e operações; assim como o princípio do “Privacy by Default” para todos os seus processos e operações em desenvolvimento ou já implementados.
Pilares da Governança de Dados:
A estruturação de governança de dados não pode prescindir do total apoio da alta direção às questões relacionadas a esse tema, bem como da representatividade do encarregado de proteção de dados (DPO), indicado pela empresa. Deste modo, tem-se como os dois principais pilares da governança de dados da It'smore o total comprometimento e apoio da alta direção; além da criação de uma estrutura responsável pela gestão dessa governança.
Assim, a alta direção da It'smore, representada pelos seus sócios-administradores, manifesta-se neste ato declarando seu total comprometimento e apoio:
• Ao plano de governança de dados da empresa e com aos princípios que o norteiam;
• Às políticas de privacidade e proteção de dados pessoais da empresa;
• Às diversas legislações de proteção de dados pessoais, especialmente à Lei 13.709/2018, também conhecida como Lei Geral de Proteção de Dados (LGPD), que é a lei brasileira responsável pela regulamentação do tratamento de dados pessoais;
• À supervisão e acompanhamento de todas as ações necessárias ao cumprimento da legislação e das melhores práticas em privacidade e proteção de dados pessoais;
• À prática de ações de engajamento, com a respectiva disponibilização de tempo e dedicação para promover e manter efetivo o processo de conformidade à legislação e às melhores práticas em privacidade e proteção de dados pessoais; e
• À prática de ações de suporte, com a respectiva disponibilização de estrutura e recursos para promover e manter efetivo o processo de conformidade à legislação e às melhores práticas em privacidade e proteção de dados pessoais.
Para tanto, são instituídos os seguintes recursos para compor nossa estrutura de Governança de Dados:
a. DPO ou Encarregado de Proteção de Dados: O DPO responde pela organização e tem o papel de coadunar áreas como TI, jurídico e desenvolvimento de negócios em torno das políticas de privacidade e proteção de dados. É uma função que chave que exige habilidades multidisciplinares, e que possui como responsabilidades:
o Fazer a gestão dos processos da organização para atendimento à LGPD;
o Atuar como canal de comunicação entre a organização e os titulares de dados, aceitando reclamações e comunicações, prestando esclarecimentos e adotando providências;
o Atuar como canal de comunicação entre a organização e a Autoridade Nacional de Proteção de Dados (ANPD), prestando esclarecimentos e adotando providências;
o Orientar os funcionários e os contratados da organização a respeito das práticas a serem tomadas em relação à privacidade e proteção de dados pessoais;
o Definir e revisar as normas que possuam impacto direto em iniciativas de privacidade e proteção de dados pessoais;
o Responder tempestivamente, quando acionado, na identificação de riscos de privacidade e proteção de dados pessoais que possam violar legislações ou causar impactos sobre os direitos dos respectivos titulares;
o Acompanhar a implantação das iniciativas que estejam associadas ao cumprimento das demandas legais ou legislações de privacidade;
o Deliberar sobre ações de remediação e documentar incidentes de segurança que estejam relacionados a dados pessoais; e
o Fomentar a cultura de privacidade e proteção de dados da organização.
O encarregado de dados ou DPO da It'smore poderá ser contatado a qualquer momento, para questões de privacidade e proteção de dados pessoais, através do e-mail dpo@itsmore.com.br.
b. Comitê de Privacidade: Para ajudar a organização nas decisões sobre questões de privacidade e proteção de dados, bem como na hipótese de ocorrer um episódio de vazamento de dados, a It'smore criou um comitê de ética, composto por seus sócios-administradores e pelo DPO, que serão acionadas em casos graves ou que demandem o aprofundamento de eventual investigação específica para esse tema.
1. Objetivo
Padronizar a forma como os dados pessoais são tratados pela It'smore, em consonância com a Lei Federal 13.709, de 14 de agosto de 2018, a Lei de Proteção de Dados Pessoais (“LGPD”), incluindo diretrizes sobre (i) a LGPD e seus princípios básicos; (ii) os direitos dos titulares de dados pessoais e como exercitá-los; (iii) os tipos de dados pessoais que são tratados na organização e (iv) a gestão do consentimento.
2. Definições
Para todos os fins e direitos dessa política, deverão ser aplicados os seguintes sentidos para as definições abaixo transcritas
LGPD: A Lei 13.709/2018, também conhecida como Lei Geral de Proteção de Dados, responsável pela regulamentação do tratamento de dados pessoais no Brasil.
Titular de Dados: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (conforme definição de titular, inserida na LGPD).
Dados Pessoais: Informações relacionadas a pessoa natural identificada ou identificável. Podem ser (i) de identificação (ex. nome, sobrenome, estado civil, assinatura autografada e eletrônica, local e data de nascimento, nacionalidade, fotografia, idade, etc.); (ii) de contato (ex. domicílio, e-mail, telefone fixo ou celular, etc.); (iii) profissionais (ex. cargo, local de trabalho, e-mail e telefone institucional, data de ingresso e saída do emprego, salário, etc.); (iv) características físicas (ex. cor da íris, cor do cabelo, senhas particulares, tipo de sangue, etc.); (v) acadêmicos (trajetória acadêmica, diplomas, certificados, reconhecimentos, etc.; (vi) patrimoniais (propriedades, bens móveis e imóveis, histórico de crédito, receitas e despesas, contas bancárias, seguros, número de cartão de crédito, etc.); e (vii) sensíveis, conforme definição subsequente.
Dados Pessoais Sensíveis: Dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Podem ser (i) ideológicos (ex. posturas ideológicas, filosóficas, religiosas ou morais. Posturas político-partidárias ou de filiação sindical, etc.); (ii) de saúde (ex. valorização, preservação, cuidado, melhoramento e recuperação sobre o estado de saúde físico ou mental, informação genética, etc.); (iii) sobre a vida sexual (ex. comportamento, preferências, práticas ou hábitos sexuais, etc.); (iv) de origem étnica (ex. etnia ou região com condições e identidade sociais, culturais e econômicas. Costumes, tradições e crenças); e (v) biométricos (ex. forma da íris, impressões digitais, forma da palma da mão, padrão de voz ou outras características únicas).
Banco de Dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico (conforme definição de anonimização, inserida na LGPD).
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo (conforme definição de anonimização, inserida na LGPD).
Pseudoanonimização: é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro (conforme definição de anonimização, inserida na LGPD).
Controlador: Pessoa a quem compete as decisões referentes ao tratamento de dados pessoais.
Operador: Pessoa que realiza o tratamento de dados pessoais em nome do controlador.
ANPD: Autoridade Nacional de Proteção de Dados, que é o órgão do governo federal responsável pela proteção, regulamentação e fiscalização dos processos de tratamento de dados pessoais no Brasil, envolvendo principalmente, mas não apenas, as searas de proteção e privacidade.
Encarregado ou DPO: Encarregado pelo tratamento de dados pessoais, que é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD.
Tratamento de Dados: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
3. Aplicação e papel da It'smore:
Esta Política se aplica à It'smore como controladora e operadora de dados. Para as situações nas quais a It'smore coleta dados para seus próprios fins, ela está agindo como Controlador. Nas situações em que a coleta ocorre em função de serviço contratado e definido por seus clientes, a It'smore atua como Operador.
4. Responsabilidade
A responsabilidade pela gestão da Governança de Dados da It'smore e aplicação da presente Política de Privacidade e Proteção de Dados é de toda a organização, mas principalmente dos seus administradores e do DPO nomeado, que pode ser contatado a qualquer momento pelo e-mail dpo@itsmore.com.br.
Os administradores, assessorados pelo DPO, serão os responsáveis pela atualização desta Política.
5. Direitos dos Titulares:
São direitos dos titulares de dados que podem ser solicitados à It'smore, pelos detentores das prerrogativas legais, a qualquer momento:
o Confirmação da existência de tratamento de dados pessoais;
o Acesso às informações referentes aos dados pessoais tratados;
o Correção dos dados incompletos, inexatos ou desatualizados;
o Providências para anonimização, bloqueio ou eliminação de dados pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD;
o Portabilidade dos dados pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da ANPD, observados os segredos comercial e industrial;
o Eliminação dos dados pessoais tratados com o consentimento do titular, observadas as exceções (art. 16, LGPD);
o Recebimento das informações das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
o Recebimento de informações sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e
o Revogação do consentimento, nos termos do § 5º do art. 8º da LGPD.
6. Exercício dos Direitos pelos Titulares:
O titular poderá exercer seus direitos por comunicação escrita enviada à It'smore com o assunto “LGPD”, informando: (i) nome completo, número do CPF (Cadastro de Pessoas Físicas) e endereço de e-mail do titular, e se for o caso, do seu representante legal; (ii) direito que deseja exercer junto à It'smore; (iii) data do pedido e assinatura do titular ou seu representante legal; (iv) todo documento que possa demonstrar ou justificar o exercício de seu direito.
A comunicação deverá ser enviada ao e-mail do DPO, referenciado no item 4, acima.
7. Tipos de Dados Coletados:
A It'smore coleta basicamente os seguintes dados pessoais:
o Como Controlador: nome completo e qualificação referente aos seus colaboradores.
o Como Operador: se necessário, quando em razão de prestação de serviços para outros controladores de dados: nome completo, data de nascimento e CPF.
A It'smore não coleta dados de crianças e adolescentes.
8. Consentimento:
A It'smore coleta e trata dados pessoais sem a obtenção do respectivo consentimento, apenas nas hipóteses previstas em lei, tais como:
o Para o cumprimento de obrigação legal ou regulatória;
o Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular dos dados, a seu pedido;
o Quando necessário para atender aos seus interesses legítimos, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular dos dados que exijam a proteção dos dados pessoais;
o Registros obrigatórios conforme Marco Civil da Internet (Lei 12.965/2014).
Quando houver uma situação em que seja necessária a obtenção de consentimento para tratamento de dados pessoais, o titular será informado em relação a:
o Finalidade específica do tratamento;
o Forma e duração do tratamento;
o Dados para contato com a It'smore;
o Caso seu dado seja compartilhado com entidade externa, ser-lhe-á informada qual, e o motivo do compartilhamento;
o Se o compartilhamento externo não for uma obrigação legal, o receptor (Operador) somente poderá tratar os dados na forma como lhe foi informado.
9. Política de Cookies:
Nossa Política de Cookies está disponível em nosso website. Lá estão descritos os cookies que são utilizados, assim como as formas de aceite ou não dessa ferramenta.
Esta é a política de cookies da It'smore. Seu objetivo é esclarecer aos usuários do nosso site, na condição de titulares de dados pessoais, o que são cookies para fins de navegação em website na internet, como funcionam aqueles aplicados em nossa página e quais são os critérios e possibilidades de aceitação quanto à sua utilização.
1. O que são Cookies?
Um cookie é um arquivo de texto que é armazenado no computador dos usuários da Internet quando estes entram em uma determinada página. O seu objetivo é coletar informações sobre como esses usuários interagem com os esses websites que ingressaram. Eles podem ser:
a. Cookies necessários, cuja finalidade é prover o funcionamento do website. Esses cookies não podem ser desligados nos sistemas de funcionamento do website. Eles são definidos apenas em resposta às ações feitas pelo usuário, definindo preferências de privacidade, de acesso por login ou no preenchimento de formulários;
b. Cookies analíticos, cuja finalidade é fornecer informações sobre como o site está sendo utilizado, melhorando a experiência do usuário; e
c. Cookies de marketing, cuja finalidade é fornecer informações sobre a interação do usuário com o conteúdo do site, ajudando a entender melhor a eficácia do conteúdo de e-mail e website.
Os cookies e as tecnologias análogas garantem a melhor identificação do cliente, comunicação e demais ações de marketing, além de possibilitarem a proteção dos dados coletados. São extremamente úteis e eficazes, pois entregam aos usuários a disponibilização de publicidade, recomendações, mensurações de audiência e recursos e funcionalidades dos canais, análises de segurança para aperfeiçoamento e desenvolvimento de ferramentas antifraude.
2. Como funcionam os nossos cookies?
O site da It'smore possui apenas cookies necessários, cujo objetivo é criar, desenvolver, operar, entregar e aprimorar nossos produtos, processos e serviços, permitindo a entrega de uma experiência personalizada e completa. Ao acessar o site, alguns cookies necessários são gerados automaticamente sem a solicitação do seu consentimento, na medida em que eles são essenciais para a navegação. Ademais, eles ainda nos ajudam a verificar a legitimidade do acesso, evitando ações maliciosas de terceiros.
3. Não quero deixar os cookies ativados. O que fazer?
Os cookies podem ser facilmente desativados nas opções oferecidas na janela pop-up, que surgirá quando do seu primeiro acesso à página inicial do nosso site. Além disso, eles também podem ser desativados através da configuração do seu navegador. É importante ressaltar que a desativação a desativação dos cookies necessários poderá prejudicar a navegação em nosso website.
4. Considerações adicionais:
A It'smore está sempre se atualizando para garantir aos usuários a melhor experiência de navegação em nosso site, cuja excelência se reflete em nossos produtos e serviços. Assim, no reservamos ao direito de alterar esta Política de Cookies a qualquer tempo. Aconselhamos que você sempre verifique os termos dessa Política, assim como da nossa Política de Privacidade e Proteção de Dados Pessoais.
1. OBJETIVO
O objetivo da Política de Tratamento de Incidentes da It'smore é estabelecer princípios, conceitos, diretrizes e responsabilidades sobre a gestão de eventuais vazamentos de dados pessoais ocorridos sob a égide dos tratamentos realizados dentro da organização. Seu escopo ulterior é prescrever ações para (i) cumprir os procedimentos estabelecidos pela Lei 13.709/18, também conhecida como Lei Geral de Proteção de Dados brasileira (LGPD); (ii) mitigar os impactos aos titulares dos dados pessoais eventualmente vazados; e (iii) mitigar os impactos para a organização. Esta Política foi elaborada com foco na legislação competente e nos princípios da transparência, segurança e ampla divulgação.
2. CULTURA DE PREVENÇÃO:
A It'smore fomenta perante seus administradores, colaboradores e parceiros uma cultura de prevenção ao vazamento de dados e tratamento de incidentes. Para tanto, definiu as seguintes responsabilidades sobre esse tema:
a. Em relação aos administradores da organização:
• Empreender todos os esforços para difundir, perante a organização, colaboradores e parceiros, as melhores práticas de as melhores práticas de prevenção e tratamento de incidentes de vazamento de dados.
• Providenciar o suporte necessário para que quaisquer suspeitas, averiguações ou denúncias de vazamento de dados pessoais sejam devidamente apuradas e tratadas, nos termos da legislação em vigor.
• Viabilizar autonomia e independência para que colaboradores e parceiros de negócios da organização possam realizar eventuais denúncias sobre vazamento de dados pessoais sem que sofram qualquer tipo de retaliação.
• Providenciar os meios para que eventuais incidentes sejam devidamente tratados e informados às autoridades competentes.
b. Em relação aos colaboradores da organização:
• Informar imediatamente ao DPO da organização ou aos administradores sobre eventuais incidentes que possam ter ocorrido ou que tenham tomado conhecimento.
• Empreender todos os esforços para difundir, perante a organização, colegas e parceiros, as melhores práticas de prevenção e tratamento de incidentes de vazamento de dados.
c. Em relação ao DPO da organização:
• Tomar todas as providências necessária, após ciência, para informar aos titulares de dados e às autoridades, nos prazos legais, sobre eventual incidente de vazamento de dados pessoais ocorridos na organização.
• Empreender todos os esforços para difundir, perante a organização, administradores, colaboradores e parceiros de negócios, as melhores práticas de prevenção e tratamento de incidentes de vazamento de dados.
3. PROCEDIMENTOS SOBRE INCIDENTES DE SEGURANÇA RELATIVOS A DADOS PESSOAIS:
São considerados incidentes de segurança relativos a dados pessoais quaisquer fragilidades ou eventos adversos de segurança, confirmados ou sob suspeita, que levem ou possam levar ao comprometimento de um ou mais dos princípios básicos de confidencialidade, integridade, disponibilidade e conformidade dos dados pessoais em tratamento na organização. Para fins desta política, são considerados como exemplos de incidentes de segurança relativos a dados pessoais, incluindo, mas não se limitando:
• Indisponibilidade do ambiente tecnológico em virtude de ataque maliciosos interno e externo;
• Vazamento de informações confidenciais (informações de clientes, informações estratégicas, outros);
• Tentativas interna ou externa de ganhar acesso não autorizado a sistemas, a dados ou até mesmo comprometer o ambiente de TI;
• Ato de violar uma política de segurança, explícita ou implícita;
• Uso ou acesso não autorizado a um sistema;
• Modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema;
Para fins desta política, não são considerados como exemplos de incidentes de segurança relativos a dados pessoais:
• Eventos acidentais (falhas de hardware ou sistêmicas) não intencionais;
• Eventos não maliciosos (erro humano ou descuido que não infrinja as regras de privacidade e proteção de dados).
Todos os incidentes devem ser registrados com informações as necessárias para a rápida e correta identificação do problema e da ação necessária para mitigá-lo. Os eventos de incidente devem ser categorizados e classificados através de uma matriz de severidade com intuito de se ter uma melhor visibilidade, tratamento e prioridade quanto a sua gestão.
Todos os eventos de incidente devem ser registrados nos controles e/ou ferramentas específicas elaboradas pela organização para esse fim, objetivando a devida triagem e tratamento. A organização deve realizar ativamente a gestão de incidentes de segurança relativos a dados pessoais, utilizando os seguintes procedimentos:
• Detecção: identificação de incidentes por meio de monitoração, relatórios, denúncias, informações obtidas de áreas parceiras ou qualquer outra análise de eventos adversos;
• Registro e análise: registro dos incidentes, análise, classificação quanto ao tipo, severidade e priorização;
• Comunicação: comunicação do incidente às partes envolvidas e caso necessário, às autoridades externas;
• Resposta: contenção do incidente, análises forenses, custódia de evidências, tratamento do incidente e da causa raiz; e
• Finalização: encerramento formal e análise do caso para identificação de possíveis melhorias em processos, controles e no próprio procedimento de gestão de incidentes.
A investigação de incidentes de segurança relacionados a dados pessoais deve ser realizado exclusivamente pelo DPO da organização, com apoio das áreas de que este considerar necessárias de forma a garantir a privacidade e o sigilo das informações obtidas. Os incidentes de segurança relativos a dados pessoais que possam acarretar risco ou dano relevante aos titulares devem ser comunicados pela organização à Autoridade Nacional de Dados Pessoais (ANPD). A comunicação deverá ser realizada no prazo exigido pela lei, e deverá mencionar, no mínimo:
• A descrição da natureza dos dados pessoais afetados;
• As informações sobre os titulares envolvidos;
• A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
• Os riscos relacionados ao incidente;
• Os motivos da demora, no caso de a comunicação não ter sido imediata; e
• As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.