Política de Privacidade
Caso prefira fazer o download da Política de Privacidade em versão PDF, clique aqui.- Objetivo
A Política Externa de Privacidade da Construtora e Pavimentadora Concivi Ltda foi criada para demonstrar o seu compromisso com a privacidade e segurança de informações coletadas pelos aplicativos internos da Concivi. - Quais dados pessoais serão tratados pela Concivi?
Cadastro de colaboradores, diretores e prestadores de serviços autônomos, com base no layout do eSocial, mediante consentimento expresso, específico e inequívoco. - Com quais finalidades a Concivi tratará os dados pessoais ?
Os dados pessoais tratados pela Concivi têm como principais finalidades o cumprimento de obrigações acessórias junto ao governo federal (eSocial, gestão do FGTS,etc), recolhimento de impostos e também controle e remuneração dos colaboradores, sócios e autônomos. - Com quem a Concivi compartilhará os seus dados pessoais?
A Concivi utiliza-se de parceria com diversas empresas, visando o bem estar de seus colaboradores. Deste modo, a Concivi poderá compartilhar as informações pessoais sob sua responsabilidade, mediante autorização prévia e granulada por escrito do detentor das informações pessoais. - Como a Concivi mantêm os seus dados pessoais seguros?
Qualquer informação coletada é guardada de acordo com os mais rígidos padrões de segurança. Para tanto, a Concivi adota diversas precauções, em observância às diretrizes sobre padrões de segurança estabelecidas nas legislações e sua Política de Segurança da Informação, tais como:
A. Utiliza os mais recentes métodos e equipamentos disponíveis no mercado para criptografar e anonimizar os seus dados pessoais, quando necessário;
B. Possui proteção contra acesso não autorizado a seus sistemas;
C. Somente autoriza o acesso de pessoas específicas ao local onde são armazenadas as suas informações pessoais, desde que este acesso seja essencial ao desenvolvimento da atividade pretendida;
D. Garante que aqueles agentes, funcionários internos ou parceiros externos que realizarem o tratamento de dados pessoais deverão se comprometer a manter o sigilo absoluto das informações acessadas, bem como de adotar as melhores práticas para manuseio destas informações, conforme determinado nas políticas e procedimentos.
O acesso às informações coletadas é restrito aos colaboradores e às pessoas autorizadas. Aqueles que se utilizarem indevidamente dessas informações, em violação desta Política de Privacidade e a de Segurança da Informação, estarão sujeitos a sanções disciplinares e legais cabíveis.
Além dos esforços técnicos, a Concivi também adota medidas institucionais visando a proteção de dados pessoais, de modo que mantém programa de privacidade aplicado às suas atividades, constantemente atualizado. - Por quanto tempo a Concivi armazenará os seus dados?
Os dados pessoais serão automaticamente eliminados pela Concivi, quando deixarem de ser úteis para os fins que foram coletados e não forem mais necessários para cumprir qualquer obrigação legal direcionada à Concivi, ou quando o usuário solicitar a sua eliminação, exceto se a manutenção do dado for expressamente autorizada por lei.
As informações pessoais poderão ser conservadas para cumprimento de obrigação legal ou regulatória, transferência a terceiro – desde que respeitados os requisitos de tratamento de dados – e uso exclusivo da Concivi, inclusive para o exercício de seus direitos em processos judiciais ou administrativos. - Quais são direitos como titular de dados pessoais?
A Concivi respeita e garante ao Usuário, a possibilidade de apresentar solicitações de tratamento dos seus dados pessoais, baseadas nos seguintes direitos:
A. Confirmação da existência de tratamento;
B. Acesso aos dados pessoais;
C. Correção de dados incompletos, inexatos ou desatualizados;
D. Anonimização , bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
E. Eliminação dos dados tratados com consentimento do Usuário;
F. Obtenção de informações sobre as entidades com as quais compartilhou os seus dados;
G. Informação sobre a possibilidade do Usuário não fornecer o consentimento, bem como de ser informado sobre as consequências em caso de negativa;
H. Revogação do consentimento. - O que são e como a Concivi utiliza a tecnologia cookies?
Cookies são arquivos ou informações que podem ser armazenadas em seus dispositivos quando você visita os websites ou utiliza os serviços on-line da Concivi. Geralmente, um cookie contém o nome do site que o originou, seu tempo de vida e um valor, que é gerado aleatoriamente.
A Concivi utiliza cookies para facilitar o uso e melhor adaptar seu website e aplicações aos interesses e necessidades de seus Usuários, bem como para auxiliar e melhorar suas estruturas e seus conteúdos. Os cookies também podem ser utilizados para acelerar suas atividades e experiências futuras em nossos serviços.
Por meio de cookies, o site armazena informações sobre as atividades do navegador, incluindo endereço IP e a página acessada. Esses registros de atividades (logs) serão utilizados apenas para fins estatísticos e de métricas dos serviços disponibilizados ou para a investigação de fraudes ou de alterações indevidas em seus sistemas e cadastros, não tendo como finalidade o fornecimento dos dados a terceiros sem autorização expressa do Usuário. Esses registros poderão compreender dados como o endereço IP do Usuário, as ações efetuadas no site, as páginas acessadas, as datas e corários de cada ação e de acesso a cada página do site, as informações sobre o dispositivo utilizado, versão de sistema operacional, navegador, dentre outros aplicativos instalados. Os cookies podem ser divididos de acordo com a informação que armazenam e sua finalidade, a saber:
A. Cookies necessários: São essenciais para que o website da Concivi carregue corretamente e permita que você navegue corretamente, bem como faça o uso de todas as funcionalidades disponíveis.
B. Cookies de Desempenho: Ajudam a entender como os visitantes interagem com a página da Concivi, fornecendo informações sobre as áreas visitadas, o tempo de visita ao site e quaisquer problemas encontrados, como mensagens de erro.
C. Cookies Funcionais: Permitem que a página se lembre de suas escolhas, para proporcionar uma experiência personalizada. Possibilitam que os Usuários assistam a vídeos, utilizem ferramentas sociais, campos para comentários, fóruns e dentre outros.
D. Cookies de Marketing: São utilizados para fornecer mais conteúdo relevante e do interesse dos Usuários. Podem ser utilizados para apresentar publicidade com um maior direcionamento ou limitar o número que esta é veiculada, nas páginas da Concivi. Também, permitem a medição da eficácia de uma campanha publicitária lançada.
A qualquer momento você poderá revogar a sua autorização quanto à utilização dos cookies, utilizando, as configurações de seu navegador de preferência.
Contudo, alertamos que, de acordo com a escolha realizada, certas funcionalidades poderão não funcionar da maneira idealmente esperada.
Para mais informações sobre como gerir os cookies diretamente em seu navegador, a Concivi orienta a consulta aos links abaixo:
Internet Explorer:
https://support.microsoft.com/pt-br/help/17442/windowsinternetexplorer-delete-manage-cookies
Mozilla Firefox:
https://support.mozilla.org/pt-BR/kb/ative-e-desative-os-cookies-queos-sitesusam
Chrome:
https://support.google.com/accounts/answer/61416?co=GENIE.Platform%3DDesktop
&hl=pt-BR
Safari:
https://support.apple.com/pt-br/guide/safari/sfri11471/mac - Encarregado de Dados (DPO)
O encarregado de dados – também chamado de DPO (Data Protection Officer) – é o responsável indicado para atuar como canal de comunicação entre a Concivi e os titulares dos dados. O DPO da Concivi é o ISNEI HUDSON DA SILVA e seu contato é isnei.silva@gmail.com. - Legislação aplicável
Esta Política foi elaborada para atendimento e em conformidade com a Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais), Lei Federal nº 12.965/2014 (Marco Civil da Internet) e Lei Federal nº 8.078/1990 (Código de Defesa do Consumidor), sem prejuízo de observância das demais legislações aplicáveis para a Concivi. - Ficha Técnica
Versão do documento: 01 Data de aprovação do Conselho de Administração: 16/11/2021 Previsão da próxima revisão: 16/11/2022
Termos da LGPD
Caso prefira fazer o download dos Termos da LGPD em versão PDF, clique aqui.Contrato de tratamento de dados
São Partes deste instrumento:
Na qualidade de entidade CONTRATADA:
| NOME | ISNEI HUDSON DA SILVA |
| CPF | XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX |
| ENDEREÇO | XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX |
| TELEFONE | XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX |
Na qualidade de CONTRATANTE:
| RAZÃO SOCIAL | CONSTRUTORA E PAVIMENTADORA CONCIVI LTDA |
| CNPJ | 02.487.442/0001-30 |
| ENDEREÇO | RUA BENJAMIN CONSTANT, 3270 – S 2 – Paulista – Piracicaba – SP |
| INSCRIÇÃO ESTADUAL | 535.224.406.110 |
| INSCRIÇÃO MUNICIPAL | 522341 |
| TELEFONE | (19) 3403-1400 |
| REPRESENTANTE LEGAL | JOAO ELICINIO DETONICPF: XXXXXXXXXXXXXXXX |
| E-MAIL DE CONTATO | concivi@concivi.com.br |
doravante denominadas individualmente como “Parte” e, em conjunto, como “Partes”.
CONSIDERANDO QUE:
A entidade CONTRATADA é pessoa física graduada em ciência da computação, com pós graduação em análise de sistemas, atuando no ramo de tecnologia, informática e processamento de dados.
A CONTRATADA, no contexto do Contrato Principal, possui determinadas atribuições e funções que implicam no tratamento de dados pessoais.
As Partes desejam estabelecer a forma, extensão e demais regras no tratamento de dados pessoais que deverão ser observadas pela CONTRATADA, no desempenho das suas atividades em favor da CONTRATANTE.
RESOLVEM, portanto, as Partes, celebrar o presente Contrato que será regido pelas seguintes cláusula e condições:
1. Definições
1.1. Para os fins deste Contrato:
1.1.1. “ANPD” é órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD e demais leis de proteção de dados no Brasil;
1.1.2. “Brasil” significa a República Federativa do Brasil;
1.1.3. “Controlador” significa a pessoa natural ou jurídica, de direito público ou privado, a quem competem as
decisões referentes ao Tratamento de Dados Pessoais;
1.1.4. “Dados Pessoais” significam quaisquer dados ou informações relacionadas a uma pessoa natural
identificada ou identificável, assim como dados pessoais sensíveis, conforme definidos na LGPD;
1.1.5. “Incidente” significa um acesso não autorizado e situação acidental ou ilícita de destruição, perda, alteração, comunicação ou qualquer forma de Tratamento inadequado ou ilícito;
1.1.6. “LGPD” significa a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018);
1.1.7. “Operador” significa pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador;
1.1.8. “Titular” é a pessoa natural a quem se referem os Dados Pessoais que são objeto de Tratamento;
1.1.9. “Tratamento” significa toda e qualquer toda operação realizada com Dados Pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
2. Do Tratamento de Dados Pessoais
2.1. As Partes reconhecem que a CONTRATADA realizará o Tratamento de Dados Pessoais no contexto da prestação dos serviços contratada no Contrato Principal. Nestas atividades de Tratamento, as Partes reconhecem e acordam que a CONTRATANTE é o Controlador dos Dados Pessoais, enquanto a CONTRATADA é o Operador dos Dados Pessoais, conforme detalhado ao longo do presente Contrato.
2.2. A CONTRATADA tratará os Dados Pessoais exclusivamente em nome e sob as instruções lícitas da
CONTRATANTE nos termos deste Contrato ou para cumprir com a legislação aplicável.
2.2.1. A CONTRATANTE garante que o Tratamento dos Dados Pessoais pela CONTRATADA de acordo com as instruções da CONTRATANTE não fará com que a CONTRATADA viole qualquer lei ou regulamento, incluindo, sem limitação, a LGPD.
2.2.2. A CONTRATADA irá cessar o Tratamento dos Dados Pessoais e notificará imediatamente a CONTRATANTE por escrito, a menos que seja proibido de fazê-lo, se tomar conhecimento ou acreditar que qualquer instrução ou Dado Pessoal tratado viola a LGPD ou qualquer outra lei ou regulamento aplicável.
2.3. A CONTRATADA tratará os Dados Pessoais necessários para a prestação dos serviços, nos termos do Contrato Principal.
2.4. A CONTRATADA tratará os Dados Pessoais em conformidade com este Contrato e para:
2.4.1. Prestar os serviços contratados pela CONTRATANTE no Contrato Principal, de acordo com as especificações e limitações ali previstas;
2.4.2. Atender a quaisquer outras instruções ou solicitações enviadas pela CONTRATANTE (por exemplo, por e-mail ou notificação) que sejam consistentes com os termos do presente Contrato e do Contrato Principal;
2.4.3. Cumprimento de qualquer lei ou regulamento aplicável.
3. Obrigações Comuns
3.1. Cada uma das Partes concorda e garante que será individualmente responsável pelo cumprimento de suas obrigações decorrentes da LGPD e de eventuais regulamentações emitidas posteriormente pela ANPD.
4. Obrigações da CONTRATANTE
4.1. A CONTRATANTE concorda e garante o seguinte:
4.1.1. Que os Dados Pessoais compartilhados, transferidos ou de qualquer forma disponibilizados para acesso e utilização por parte da CONTRATADA, de acordo com este Contrato, foram coletados, transferidos e de qualquer forma tratados de acordo com as leis de privacidade e proteção de dados aplicáveis no Brasil;
4.1.2. Conforme aplicável, dispõe de uma base legal apropriada para fins da coleta dos Dados Pessoais e posterior Tratamento pela CONTRATADA;
4.1.3. Forneceu todas as informações/avisos necessários aos Titulares a respeito das características relevantes do Tratamento e do seu compartilhamento com a CONTRATADA;
4.1.4. É capaz de cumprir com os direitos dos Titulares garantidos pela LGPD;
4.1.5. Cumpre com todos os princípios para Tratamento de Dados Pessoais estabelecidos pela LGPD, o que significa, dentre outros aspectos, que a CONTRATANTE apenas compartilhará, transferirá ou de qualquer outra forma disponibilizará para acesso da CONTRATADA Dados Pessoais que são (i) atualizados e exatos; e (ii) pertinentes, proporcionais e não excessivos em relação às finalidades do Tratamento;
4.1.6. Comunicará a ANPD conforme os requisitos da LGPD em caso de Incidente;
4.1.7. Será responsável por cumprir todas as leis aplicáveis a quaisquer e-mails ou outro conteúdo criado, enviado ou gerenciado através da CONTRATADA.
5. Obrigações da CONTRATADA
5.1. A CONTRATADA concorda e garante o seguinte:
5.1.1. Realizará o Tratamento dos Dados Pessoais nos limites e para as finalidades permitidas por este Contrato e pelo Contrato Principal;
5.1.2. Notificará a CONTRATANTE, no prazo máximo de 48 (quarenta e oito) horas, por escrito, sobre:
5.1.2.1. Quaisquer pedidos de um Titular em relação aos seus Dados Pessoais, incluindo, mas não se limitando a pedidos de acesso e/ou retificação, solicitações de exclusão, e outros pedidos semelhantes, sendo que a CONTRATADA não responderá a tais pedidos, a menos que expressamente autorizado a fazê-lo pela CONTRATANTE;
5.1.2.2. Qualquer reclamação relacionada ao Tratamento de Dados Pessoais, incluindo alegações de que o Tratamento viola os direitos de Titular;
5.1.2.3. Qualquer Incidente relacionado aos Dados Pessoais objeto deste Contrato; ou
5.1.2.4. Qualquer ordem, emitida por autoridade judicial ou administrativa (incluindo a ANPD), que tenha por objetivo obter quaisquer informações relativas ao Tratamento de Dados Pessoais objeto deste Contrato.
5.1.3. Irá cooperar com a CONTRATANTE com relação às ações tomadas a partir da notificação descrita na Cláusula 5.1.2 acima, e atenderá, dentro dos limites técnicos razoáveis, às solicitações da CONTRATANTE com relação ao atendimento a referidas reinvindicações, provendo as informações solicitadas no menor prazo possível;
5.1.4. Mantem os Dados Pessoais no mais absoluto sigilo e exige dos seus colaboradores, que de qualquer forma tratem os Dados Pessoais, a observância dessas obrigações;
5.1.5. Limita o acesso aos Dados Pessoais ao número mínimo de colaboradores que tenham necessidade de acessar referidas informações para fins de cumprir com suas obrigações junto à CONTRATANTE;
5.1.6. Compromete-se em manter um programa de segurança de dados, que contemple medidas adequadas do ponto de vista técnico, físico e de governança, que tenha por objetivo proteger os Dados Pessoais contra Incidentes, bem como garantir que essas medidas assegurem um nível de segurança condizente com os riscos apresentados pelo Tratamento, a natureza dos Dados Pessoais e as tecnologias de segurança disponíveis e razoavelmente aplicadas no setor de atuação das Partes;
5.1.7. Cooperará com a CONTRATANTE em caso de qualquer Incidente, devendo:
5.1.7.1. Adotar todas medidas necessárias e razoáveis para remediar qualquer Incidente envolvendo os Dados Pessoais objeto deste Contrato e minimizar possíveis efeitos negativos aos Titulares;
5.1.7.2. Prover a CONTRATANTE com todas as informações necessárias à apuração do ocorrido;
5.1.7.3. Abster-se de realizar qualquer comunicação a ANPD, autoridades públicas brasileiras, aos Titulares ou terceiros, sem a prévia e expressa concordância da CONTRATANTE, que deverá controlar a redação final dessas comunicações e quem deverá realizá-las, observadas as disposições da LGPD.
5.1.8. Compromete-se a cumprir com os requisitos da LGPD sempre que for realizar a transferência de Dados Pessoais para fora do território brasileiro e/ou para qualquer terceiro;
5.1.9. Mediante solicitação da CONTRATANTE, a CONTRATADA se compromete a franquear o acesso a documentos e registros razoavelmente necessários para fins de verificação das obrigações previstas nesta Cláusula
6. Responsabilidade
6.1. As Partes concordam que o(s) Titular(es) dos dados que venha(m) a sofrer um dano decorrente do descumprimento das obrigações previstas neste Contrato poderá(ão) ter o direito de receber uma indenização pelos danos sofridos.
6.2. Cada Parte será responsável perante a outra Parte (“Parte Prejudicada”) por quaisquer danos causados em decorrência (i) da violação de suas obrigações no âmbito desde Contrato ou (ii) da violação de qualquer direito dos Titulares de Dados, devendo ressarcir a Parte Prejudicada por todo e qualquer gasto, custo, despesas, honorários de advogados e custas processuais efetivamente incorridos ou indenização/multa paga em decorrência de tal violação.
6.2.1. Para fins do disposto nesta Cláusula, caso a Parte Prejudicada receba qualquer reinvindicação que deva
ser indenizada pela outra Parte, ela deverá: (i) notificar a Parte responsável, conforme Cláusula 5.1.2; (ii) conceder à Parte responsável controle exclusivo sobre a demanda; (iii) abster de praticar qualquer ato ou assinar qualquer acordo, sem a prévia anuência da Parte responsável.
6.2.2. A Parte responsável poderá escolher assessores legais da sua confiança, devendo arcar com todos os custos, despesas e honorários para a defesa da Parte demandada, sem prejuízo da Parte Prejudicada, a seu critério e expensas, contratar assessor próprio.
6.3. Fica certo e ajustado que nenhuma cláusula de limitação de responsabilidade que tenha sido pactuada entre as Partes em outros contratos poderá ser invocada, no sentido de limitar o dever de indenização previsto neste Contrato.
7. Auditoria
7.1. A CONTRATADA se compromete a fornecer à CONTRATANTE toda a informação razoavelmente necessária para demonstrar conformidade com este Contrato.
7.2. A CONTRATADA permitirá que a CONTRATANTE realize auditoria anual para verificar a conformidade com este Contrato, mediante notificação prévia e por escrito, sendo a CONTRATANTE responsável por todos os custos de auditoria. Dentro de 2 (duas) semanas após a conclusão da auditoria, a CONTRATADA deve fornecer à CONTRATANTE uma cópia do relatório de auditoria, a qual será considerada confidencial, podendo a CONTRATANTE compartilhá-la somente com seus assessores legais.
7.3. A CONTRATADA se compromete a tomar todas as medidas para garantir que quaisquer vulnerabilidades de sistema, processos, governança e outros apontados no relatório de auditoria sejam tratados adequadamente.
8. Prazo e Rescisão
8.1. O prazo do presente Contrato está vinculado ao prazo do Contrato Principal.
8.2. Após o término deste Contrato, a CONTRATANTE poderá requerer cópia dos Dados Pessoais que estejam nos sistemas e em posse da CONTRATADA, pelo prazo de 30 (trinta) dias após o término do Contrato.
8.3. Após esse período, caso a CONTRATANTE não se manifeste, a CONTRATADA realizará a eliminação, em definitivo de seu sistema, de qualquer registro dos Dados Pessoais, exceto na medida em que o seu armazenamento pela CONTRATADA seja exigido pela legislação aplicável. Na medida permitida pela legislação aplicável, nos casos de Dados Pessoais arquivados em sistemas de backup que são mantidos de forma isolada e inalterável para garantia da segurança do sistema, a CONTRATADA irá lidar com a exclusão dos Dados Pessoais de acordo com as políticas de exclusão e gestão de backup.
8.4. Caso a CONTRATANTE requeira a cópia dos Dados Pessoais, no momento que a CONTRATADA terminar a devolução, a CONTRATANTE deverá assinar um termo de aceite reconhecendo que a devolução ocorreu nos termos do Contrato e que a CONTRATADA não possui qualquer obrigação adicional em relação a isso. A não assinatura do referido termo e ausência de manifestação, por parte da CONTRATANTE, no prazo de 20 (vinte) dias a contar do fim da devolução representará a aceitação tácita da CONTRATANTE, a partir da qual a CONTRATADA poderá realizar a eliminação, em definitivo de seu sistema, de qualquer registro ou cópia dos Dados Pessoais, exceto na medida em que o seu armazenamento pela CONTRATADA seja exigido pela legislação aplicável.
9. Disposições Gerais
9.1. Este Contrato constitui doravante o meio apropriado para regular o Tratamento de Dados Pessoais e substitui todos previamente celebrados entre a CONTRATANTE e a CONTRATADA para esta finalidade, se houver.
9.2. Sem prejuízo do disposto neste Contrato, a CONTRATADA poderá coletar, utilizar e compartilhar os Dados Pessoais objeto do Contrato para propósitos legítimos como (ii) para fornecer, desenvolver, aperfeiçoar e manter os serviços prestados; (iii) investigar fraudes, atividades ilícitas, spam, uso ilegal dos serviços e/ou (iv) conforme determinado por lei ou regulação aplicável. Nesses casos, a CONTRATADA será responsável pelo Tratamento dos Dados Pessoais e os tratará em conformidade com a Política de Privacidade da empresa e com a legislação aplicável.
9.3. A CONTRATADA disponibiliza o presente Contrato em sua página da internet e, no caso de se fazerem necessárias alterações de disposições contratuais, também serão disponibilizadas as alterações na sua página da internet. Nenhuma das Partes poderá, sem o prévio consentimento escrito da outra Parte, delegar, transferir, cobrar ou tratar de outra maneira este Contrato ou qualquer dos direitos relacionados a ele.
9.4. Pela execução dos Serviços, a CONTRATANTE pagará à CONTRATADA o valor estimado de XXXXXXXXXXXXXXXXX em parcelas mensais com vencimento no 5º dia útil do mês subsequente ao da prestação dos Serviços. Como condição para o pagamento das parcelas mensais, a CONTRATADA deverá entregar à CONTRATANTE, até o último dia útil de cada mês imediatamente anterior ao vencimento da parcela, a Nota Fiscal relativa aos Serviços prestados no mês em curso.
9.4.
9.5. Este Contrato será regido e interpretado de acordo com as leis da República Federativa do Brasil e as Partes submetem-se à jurisdição exclusiva do tribunal da cidade de Piracicaba, estado de São Paulo, para dirimir todas as dúvidas que possam surgir a partir de qualquer das cláusulas deste Contrato, com a exclusão de qualquer outro, por mais privilegiado que seja.
Piracicaba, 18 de Setembro de 2020.
_____________________________________________________
JOAO ELICINIO DETONI
CPF XXXXXXXXXXXXXXXXX
Diretor
_____________________________________________________
ISNEI HUDSON DA SILVA
CPF XXXXXXXXXXXXXXXXX
Consultor
RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS (RIPD)
| Versão | Data | Autor | Notas da Revisão |
| 01 | 18/09/20 | Isnei Hudson da Silva | N/A |
PARTE I
-RESUMO DAS ATIVIDADES DE TRATAMENTO-
⮚ RAZÃO SOCIAL
CONSTRUTORA E PAVIMENTADORA CONCIVI LTDA, com sede à Rua Benjamin Constant, 3270, SALA
2, Bairro Paulista, PIRACICABA , SP, inscrita no CNPJ do MF sob No 02.487.442/0001-30
⮚ DOMÍNIO NA INTERNET
⮚ MODELO DE NEGÓCIO
B2B (business to business | de empresa para empresa)
B2C (business to consumer | da empresa para o consumidor)
B2G (business to government | da empresa para o governo)
⮚ ÁREA DE ATUAÇÃO (SEGMENTO DE MERCADO)
Construção civil, infraestrutura, pavimentação e terraplenagem.
⮚ COLETA DADOS DE COLABORADORES/PRESTADORES DE SERVIÇO
96 colaboradores, 3 diretores e 3 prestadores de serviços autônomos.
Quadro de Funcionário 2020. Contém descrição dos dados pessoais de cada colaborador e da hierarquia de acesso.
✔ Status: Finalizado.
✔ Classificação: Confidencial.
⮚ JURISDIÇÃO COMPETENTE
Jurisdição brasileira.
Aplicar-se-á o artigo 3º, inciso I, da LGPD: operação de tratamento realizada no território nacional.
⮚ PAÍS DO PÚBLICO ALVO
Brasil
⮚ LÍNGUAS DISPONÍVEIS
Português/BR.
⮚ TRANSFERÊNCIA INTERNACIONAL
Não se aplica.
⮚ FONTE DOS DADOS COLETADOS
Cadastro de colaboradores, diretores e prestadores de serviços autônomos, mediante consentimento expresso, específico e inequívoco. Autorizações de compartilhamento de dados pessoais com empresas conveniadas, bancos e tomadores de serviços, devidamente assinadas de maneira granulada, de acordo com a LGPD.
PARTE II
– DESCRIÇÃO DAS ATIVIDADES DE TRATAMENTO-
⮚ MODALIDADES DE TRATAMENTO* DE DADOS PESSOAIS ADOTADAS
Coleta – Cadastro realizado pelo operador do sistema de folha de pagamento.
Armazenamento – Dados e documentos digitalizados ficam no servidor da empresa, com espelhamento de HD e backups diários em unidade externa e nuvem.
Processamento – Apenas no computador do departamento pessoal e do DPO.
Compartilhamento – Mediante autorização prévia do titular, dados específicos são compartilhados com empresas conveniadas, bancos, tomadores de serviços e principalmente com o governo, para cumprimento de obrigações acessórias.
Eliminação – Apenas após cumprimento do tempo de guarda legal dos documentos pessoais dos colaboradores.
* Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
⮚ FINALIDADE DO TRATAMENTO* DOS DADOS PESSOAIS
Rotinas gerais do departamento de pessoal.
⮚ DADOS PESSOAIS COLETADOS
| Funcionalidade | Dados armazenados | Finalidade do Armazenamento |
| Cadastro de Colaboradores | Cadastro completo, com todos os campos exigidos pelo eSocial | – Cumprir todas as exigências legais trabalhistas, previdenciárias e tributárias. |
| Cadastro de Diretores | Cadastro completo, com todos os campos exigidos pelo eSocial | – Cumprir todas as exigências legais, previdenciárias e tributárias. |
| Cadastro de Prestadores de serviço autônomos | Cadastro completo, com todos os campos exigidos pelo eSocial | – Cumprir todas as exigências legais, previdenciárias e tributárias. |
⮚ DADOS SENSÍVEIS COLETADOS
Filiação sindical, sexo e atestados médicos.
⮚ COLETA DE DADOS PESSOAIS DE MENORES
Sim. Apenas à título de salário família, dependência para IRRF e plano de saúde, com consentimento do titular ou responsável.
PARTE III
– COMPARTILHAMENTO DE DADOS COM TERCEIROS –
⮚ COMPARTILHAMENTO DE DADOS COM DESTINATÁRIOS EXTERNOS (via email)
Apenas com as empresas (abaixo) autorizadas pelo titular de forma granulada, via aplicativo que compacta as
informações (Wetransfer) e as protege com senha (enviada via telefone apenas para a pessoa que irá utilizar
esses dados). Por segurança, esses emails possuem validade de poucos dias e são eliminados em seguida.
01) BANCO SANTANDER (BRASIL) S.A. CNPJ: 90.400.888/0654-30
02) DROGAL FARMACEUTICA LTDA CNPJ: 54.375.647/0001-27
03) Drogaria Takaki S/C LTDA CNPJ: 03.198.724/0001-80
04) J. de Souza Araujo Drogaria EIRELLI (Glória) CNPJ: 07.680.667/0001-21
05) Petropolis Vila Comércio de Alimentos LTDA ME CNPJ: 04.179.007/0001-73
06) Adriele Carvalho Andrade de Souza (Açougue Castelinho) CNPJ: 29.527.976/0001-07
07) Petrogaz Piracicaba Comércio de Gás LTDA – ME CNPJ: 18.975.448/0001-96
08) Nova Ótica Piracicaba LTDA ME CNPJ: 00.733.456/0001-60
09) Melos Segurança e Medicina Ocupacional LTDA CNPJ: 08.059.399/0001-98
10) TUPi – Transporte Urbano Piracicaba CNPJ: 11.137.434/0002-35
11) Irmandade da Santa Casa de Misericórdia Piracicaba CNPJ: 54.370.630/0001-87
⮚ COMPARTILHAMENTO DE DADOS COM DESTINATÁRIOS INTERNOS
Para a transferência de arquivos eletrônicos, para destinatários internos, com informação sensível, devem ser
utilizadas:
– Pastas compartilhadas localizadas em servidor de arquivos sigilosos;
– Biblioteca de documentos no portal da Intranet com o recurso de Gerenciamento de Direitos de Informação
habilitado e localizada na Intranet com configurações de auditoria habilitadas para todos os eventos;
– Mensagem de e-mail com anexo criptografado, com a senha do arquivo sendo transmitida por outro meio, como
telefone, por exemplo.
⮚ BASE LEGAL DO COMPARTILHAMENTO COM TERCEIROS
Execução de contrato, nos termos do artigo 7º, inciso V, da Lei Geral de Proteção de Dados Pessoais,
convênios diversos e crédito bancário em conta de salários.
⮚ BASE LEGAL PARA O TRATAMENTO DE DADOS PESSOAIS
Os colaboradores, diretores e autônomos cadastrados no sistema deverão, necessariamente, fornecer consentimento expresso e específico para o tratamento de dados pessoais, conforme disposto no artigo 7º, inciso I, da Lei Geral de Proteção de Dados, conforme descrito na Polıt́ ica de Privacidade.
⮚ CLASSIFICAÇÃO DE USUÁRIOS (PROFILING, TARGETING, SCORING ETC)
Profiling, targeting e Scoring não são aplicáveis.
PARTE IV
– INVENTÁRIO DE SEGURANÇA DA INFORMAÇÃO –
⮚ INVENTÁRIO DE FERRAMENTAS DE SEGURANÇA DA INFORMAÇÃO UTILIZADAS (SOFTWARES)
Utiliza-se criptografia para garantir a segurança de dados em distintos lugares, como:
1. No armazenamento de senhas dos Usuários;
2. No armazenamento de variáveis sensıveis de configuração das plataformas.
Complementando com o uso de:
1. Firewall no servidor e em todas as estações;
2. Anti-virus Kaspersky Small Office Security no servidor e em todas as estações;
3. Internet para uso na rede e para uso com wifi (celulares e tablets) completamente independentes;
4. Acesso remoto (fora da rede) bloqueado.
Além dos diversos padrões de segurança dos nossos servidores .
⮚ INVENTÁRIO DE HARDWARE
Inventário de Hardware.
Possui listagem de terminais (computadores) e outros dispositivos da empresa (notebook, celular, headset, monitor, cabo de rede etc), com descrição de fabricante/modelo, serial, IMEI 1, IMEI 2 e do processador utilizado em cada terminal.
✔ Status: Finalizado.
✔ Classificação: Confidencial.
⮚ PRAZO DE ARMAZENAMENTO
| Comunicação de Acidente de Trabalho (CAT) | 5 anos |
| Comprovante de entrega da Guia da Previdência Social (GPS) ao sindicato representativo da categoria profissional mais numerosa entre os empregados | 5 anos |
| Comprovante de pagamento de benefícios reembolsados pelo INSS | 5 anos |
| Documentos relativos à retenção dos 11% sobre nota fiscal, fatura ou recibo de prestação de serviços | 5 anos |
| Documentos que comprovem a isenção da contribuição previdenciária | 10 anos |
| Folha de pagamento (fins exclusivamente previdenciários) | 5 anos |
| Guia da Previdência Social (GPS) | 5 anos |
| Lançamentos contábeis de fatos geradores das contribuições previdenciárias | 5 anos |
| Perfil Profissiográfico Previdenciário (PPP) | 20 anos |
| Salário-Educação – documentos relacionados ao benefício | 5 anos |
| Salário-família – documentos referentes a concessão, manutenção e pagamento das cotas do salário-família | 10 anos |
| Salário-maternidade – documentos relacionados ao benefício | 5 anos |
| Sistemas e arquivos, em meio digital ou assemelhado das empresas que utilizam sistema eletrônico de dados para o registro de negócios e atividades econômicas, escrituração de livros ou produção de documentos de natureza contábil, fiscal, trabalhista e previdenciária | 5 anos |
| Acordo de compensação de horas* | 5 anos |
| Acordo de prorrogação de horas* | 5 anos |
| Adiantamento salarial – comprovante* | 5 anos |
| Atestado de Saúde Ocupacional (ASO) | 20 anos, no mínimo, após o desligamento do trabalhador. |
| Aviso-Prévio – comunicado* | 5 anos |
| Autorização de descontos* | 5 anos |
| Cadastro Geral de Empregados e Desempregados (CAGED) | 5 anos a contar da data do envio |
| Carta com pedido de demissão* | 5 anos |
| Comissão Interna de Prevenção de Acidentes (CIPA) – Processo eleitoral | 5 anos |
| Contrato de trabalho* | indeterminado |
| Controle de ponto* | 5 anos |
| Folha de pagamento* | 5 anos |
| Fundo de Garantia do Tempo de Serviço (FGTS) – depósitos e documentos relacionados** | 30 anos |
| Guia de Recolhimento do Fundo de Garantia do Tempo de Serviço e Informações à Previdência Social (GFIP)** | 30 anos |
| Guia de Recolhimento Rescisório do FGTS (GRRF)** | 30 anos |
| Livros ou fichas de registro de empregados* | indeterminado |
| Mapa de Avaliação Anual (SESMT) | 5 anos |
| Programa de Controle Médico de Saúde Ocupacional (PCMSO) | 20 anos |
| Programa de Prevenção de Riscos Ambientais (PPRA) – Histórico técnico de desempenho | 20 anos |
| Recibo de pagamento de férias* | 5 anos |
| Recibo de pagamento de salário* | 5 anos |
| Recibo de pagamento do 13º salário* | 5 anos |
| Recibo de pagamento de abono pecuniário* | 5 anos |
| Recibo de entrega, relatório impresso ou cópia dos arquivos da RAIS | 5 anos |
| Seguro Desemprego (Comunicação de Dispensa e Requerimento do Seguro-Desemprego)* | 5 anos |
| Termo de Rescisão do Contrato de Trabalho (TRCT)* | 5 anos |
| Vale-transporte – recibo e documentos relacionados ao direito* | 5 anos |
Os dados acima mencionados serão guardados para o cumprimento das seguintes obrigações legais ou regulatórias:
– Prescrição bienal e quinquenal na seara trabalhista – art. 7º, XXIX da CF e art. 11 da CLT.
– Art. 13 da Lei Complementar nº 128/2008;
– Arts. 45 e 46 da Lei nº 8.212/1991;
– Art. 68, § 1º, da Lei nº 8.213/1991 com redação dada pelo art. 37 da Lei Complementar nº 150/2015;
– Artigo 225, §§ 5º e 7º do Decreto nº 3.048/1999;
– Art. 29, VI da Lei nº 12.101/2009 e arts. 173 e 174 do Código Tributário Nacional;
– Arts. 362, 568 e 573 da Instrução Normativa INSS nº 77/2015 e Súmula Vinculante STF nº 8;
– Art. 23, § 5º, da Lei nº 8.036/1990;
– Art. 8º da Portaria MTE nº 269/2015;
– Art. 2º, § 1º da Portaria MTE nº 1.129/2014;
– Subitem 4.12., “j” da Norma Regulamentadora nº 4;
– Subitem 5.40, “j”, da Norma Regulamentadora nº 5;
– Subitem 7.4.5.1 da Norma Regulamentadora nº 7;
– Subitem 9.3.8.2 da Norma Regulamentadora nº 9.
⮚ FORMA DE ELIMINAÇÃO DOS DADOS PESSOAIS
Informamos que após o cumprimento do prazo legal para guarda de tais dados pessoais e até mesmo dados
pessoais sensíveis, os mesmos serão eliminados observando o correto descarte, garantindo a
confidencialidade e total impedimento de recuperação.
⮚ POLÍTICA DE BACK-UP
Back-up diário às 0h em HD externo e também em nuvem.
⮚ POLÍTICA DE CONTROLE DE ACESSO
Descrita no Quadro de Funcionário 2020, com especificação dos limites de acesso a cada funcionário autorizado.
✔ Status: Finalizado.
✔ Classificação: Confidencial.
⮚ SERVIDOR EM NUVEM UTILIZADO
Google drive.
⮚ PAÍS ONDE ESTÁ SITUADO O SERVIDOR
Sediada na cidade de Mountain View, Califórnia (Estados Unidos)
⮚ ENCARREGADO DE PROTEÇÃO DE DADOS (DATA PROTECTION OFFICER – DPO)
Nome: ISNEI HUDSON DA SILVA Cargo: ANALISTA DE SISTEMAS / CONSULTOR EM TI CPF: XXXXXXXXXXXXXXXXX
Telefone: XXXXXXXXXXXXXX E-mail para contato: isnei.silva@gmail.com
⮚ FERRAMENTAS PARA GARANTIA DOS DIREITOS DO TITULAR
Os titulares dos dados pessoais (Usuários) têm direito à tutela dos direitos fundamentais e, especificamente, ao exercıć io dos direitos previstos no artigo 18 da LGPD:
1) Confirmação da existência de tratamento;
2) Acesso aos dados;
3) Correção de dados incompletos, inexatos ou desatualizados;
4) Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
5) Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
6) Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
7) Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
8) Revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
⮚ HISTÓRICO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
Não possui.
PARTE V
– AVALIAÇÃO DE MATURIDADE EM PROTEÇÃO DE DADOS –
⮚ CONTRATOS E ACORDOS DE CONFIDENCIALIDADE EM CONFORMIDADE COM A LGPD
Possui.
✔ Status: Finalizado.
✔ Classificação: uso interno.
⮚ PROGRAMA DE GOVERNANÇA EM PRIVACIDADE – VIGENTE
Possui. A instituição de Programa de Governança em Privacidade é obrigatória e prevista no artigo 50,
§ 2º, I, da LGPD.
⮚ TERMOS DE USO E POLÍTICA DE PRIVACIDADE
Possui.
✔ Status: Finalizado.
✔ Classificação: Público.
⮚ POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
A segurança da informação é constantemente revista e aprimorada com novas medidas de segurança. Uma das abordagens em discussão atualmente é garantir que os dados estejam protegidos durante todo o seu tratamento (desde a coleta até o descarte). Nesse processo, são utilizados diversos sistemas, tecnologias e ferramentas para permitir a criptografia e o controle de acesso de forma integrada.
✔ Status: Finalizado.
✔ Classificação: Uso Interno.
⮚ PLANO DE RESPOSTA À INCIDENTE DE SEGURANÇA DA INFORMAÇÃO
Possui. A criação de Polıt́ ica de Resposta a Incidente de Segurança objetiva atender à obrigação legal prevista no artigo 48 da LGPD.
✔ Status: Finalizado.
✔ Classificação: Público.
PARTE VI
– GERENCIAMENTO DE RISCOS –
⮚ AVALIAÇÃO DE RISCO
No levantamento dos riscos operacionais à proteção de dados pessoais, os eventos potenciais são analisados
nas categorias a seguir:
1. Acesso não autorizado: Acesso aos dados pessoais sem o prévio consentimento expresso, inequívoco e informado do titular, salvo exceções legais;
2. Modificação não autorizada: Modificação de dados pessoais sem a anuência do titular. Viola o princípio da segurança;
3. Perda Destruição ou extravio de dados pessoais: Viola os princípios da segurança e da prevenção;
4. Apropriação ou uso indébito de dados de pessoais. Possibilidades de fraude e vazamento intencional de dados. Viola os princípios da segurança e da prevenção;
5. Remoção não autorizada. Retirada de dados pessoais sem autorização do titular;
6. Coleção excessiva: Extração de mais dados do que o necessário para a realização do trabalho, ou do que é previsto em Lei ou foi autorizado pelo usuário. Viola o princípio da necessidade;
7. Informação insuficiente sobre a finalidade do tratamento: A finalidade declarada para o uso das informações pessoais é insatisfatória, não é específica ou pode suscitar interpretações diversas;
8. Tratamento sem consentimento do titular dos dados pessoais: Tratamento dos dados pessoais sem a devida prévia permissão expressa, inequívoca e informada do titular, salvo exceções legais;
9. Compartilhar ou distribuir dados pessoais com terceiros sem o consentimento do titular dos dados pessoais;
10. Retenção prolongada de dados pessoais sem necessidade: Manter os dados pessoais do titular para além do necessário ou do que estava consentido/autorizado. Viola o princípio da necessidade;
11. Vinculação ou associação indevida, direta ou indireta, dos dados pessoais ao titular: Erro ao vincular dados do verdadeiro titular a outro. Viola o princípio da qualidade dos dados;
12. Falha ou erro de processamento: Processamento dos dados de forma imperfeita ou equivocada. Ex.: execução de script de banco de dados que atualiza dado pessoal com informação equivocada, ausência de validação dos dados de entrada etc. Viola o princípio da qualidade dos dados;
13. Reidentificação de dados pseudonimizados: Anonimização insatisfatória de dados pessoais sensíveis possibilitando inferir quem é a pessoa em questão. Viola o direito à anonimização.
Apresentam-se a seguir exemplos iniciais não exaustivos de riscos identificados e mensurados, de acordo com a metodologia de gerenciamento de riscos operacionais à proteção de dados pessoais:
1. Vazamento intencional de dados pessoais;
2. Alteração intencional de dados pessoais;
3. Permissão indevida para acesso a dados pessoais;
4. Furto de informações confidenciais;
5. Divulgação não autorizada de dados pessoais contidos nos documentos e arquivos;
6. Invasão de sistemas para coleta de dados pessoais;
7. Invasão do site da empresa por hackers.
A aplicação da metodologia de identificação e avaliação dos riscos permite classificá-los de acordo com critérios de priorização. Assim, após a validação do tratamento pela alta administração, as ações necessárias para mitigar os riscos são formalizadas pelos departamentos em Planos de Mitigação de Riscos (PMR). Dessa forma, vários planos de mitigação estão em andamento com o objetivo de reduzir a probabilidade de ocorrência e/ou os impactos dos riscos mapeados. A condução desses planos possui suporte organizacional, em termos de recursos, e apoio da alta administração.
⮚ RECOMENDAÇÕES PROPOSTAS
Os gestores do processo devem avaliar a resposta apropriada a cada risco identificado, com o objetivo de adequar a exposição a risco a níveis aceitáveis. Dessa forma, deve-se indicar a ação de tratamento para cada risco, dentre as listadas a seguir:
1. Mitigar o risco: planejar ações de resposta visando reduzir a ocorrência e/ou o impacto do risco, podendo ser, por exemplo, por meio da melhoria dos controles;
2. Aceitar a exposição ao risco: o risco residual está no nível aceitável ou o risco é conhecido e não haverá um tratamento devido a fatores como relação custo-benefício não favorável;
3. Transferir o risco a uma terceira parte: repasse total ou parcial do risco para outra unidade de negócio, órgão ou terceiro;
4. Eliminar o risco: implica a decisão de eliminar a atividade geradora do risco. Esse tratamento pode ser entendido como um instrumento de gestão que permite identificar um processo ou uma atividade desnecessária, sendo uma fonte causadora de risco e, assim, deve ser descontinuado.
A metodologia desse processo de avaliação de risco, ferramenta fundamental para a gestão de riscos, traz como vantagens: facilitar o entendimento do negócio e suas vulnerabilidades, apontar atividades críticas com controles frágeis ou inexistentes, gerar maior qualidade nas informações de risco e trazer flexibilidade ao processo de avaliação.
Em comum acordo, os responsáveis assinam.
_____________________________________________________
JOAO ELICINIO DETONI
CPF XXXXXXXXXXXXXX
Diretor
_____________________________________________________
ISNEI HUDSON DA SILVA
CPF XXXXXXXXXXXXXX
Consultor
POLÍTICA DE RESPOSTA A INCIDENTES DE SEGURANÇA DIGITAL
Esta Política tem como objetivo preparar a empresa para lidar com a gestão de um incidente de segurança garantindo que responda de forma mais rápida, organizada e eficiente ao evento, minimizando suas consequências para todos os envolvidos. O nível da resposta dependerá do tipo de dados e da complexidade do tratamento aplicado. Antes de mais nada, é necessário definir o que é um incidente. De maneira geral, um incidente é uma situação inesperada, capaz de alterar a ordem normal das coisas e, no caso da proteção de dados, colocar em risco dados pessoais dos indivíduos que se relacionam com a empresa. O National Institute of Standards and Technology (NIT), define um incidente de segurança como uma violação ou ameaça de violação da política de segurança computacional, política de uso aceitável ou padrões de prática de segurança. De acordo com o artigo 46 da Lei Geral de Proteção de Dados (LGPD),
Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito.
Seguindo o disposto no artigo 48 da referida Lei, é obrigação do controlador comunicar à autoridade nacional e ao titular dos dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Devendo esta comunicação ser feita em prazo razoável, conforme definição da autoridade nacional, tendo em seu conteúdo, no mínimo:
- A descrição da natureza dos dados pessoais afetados;
- As informações sobre os titulares envolvidos;
- A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados;
- Os riscos relacionados ao incidente;
- Os motivos da demora, no caso de a comunicação não ter sido imediata;
- As medidas que foram ou que estão sendo tomadas para reverter ou mitigar os efeitos do prejuízo.
Com base no exposto, a Política de Resposta a Incidentes da CONSTRUTORA E PAVIMENTADORA CONCIVI LTDA, seguirá as etapas ilustradas na figura abaixo e descritas na sequência:
Figura 1: Etapas da Resposta a Incidentes.
- PLANEJAMENTO
Consiste em identificar, prever e descrever possíveis situações de violação de dados, bem como as respectivas ações que deverão ser tomadas, os prazos e as formas de registro, garantindo que em situações reais se tenha um plano de ação previamente traçado. O planejamento deverá conter, no mínimo:
- a previsão de possíveis situações de sinistros bem como as formas de monitoramento e a ação que deverá ser tomada em caso de sua ocorrência;
- a definição da área que deverá ser informada em situação de ocorrência do sinistro e como reportar;
- o detalhamento das ações necessárias deve levar em conta a criticidade do evento.
Exemplo de detalhamento de incidente:
|
Incidente |
Criticidade |
Categoria Dado Digital ou Físico |
Como é monitorado |
A quem reportar |
Ações para contenção |
Ações para erradicação |
Ações de Recuperação |
|
|
|
|
|
|
|
|
|
- IDENTIFICAÇÃO
Deve-se definir os critérios para detectar, identificar e registrar as situações de incidentes e descrever os recursos utilizados para a identificação de alertas de segurança e acionamento das equipes responsáveis para que sejam tomadas as devidas providências. Devem ser avaliadas todas as possíveis fontes capazes de representar uma ameaça à proteção de dados. Abaixo, algumas situações que devem ser consideradas suspeitas:
- Recebimento de e-mails com caracteres e/ou arquivos anexos suspeitos;
- Comportamento inadequado de dispositivos;
- Problema no acesso a determinados arquivos ou serviços;
- Roubo de dispositivos de armazenamento ou computadores com informações;
- Alerta de software antivírus;
- Consumo excessivo e repentino de memória em servidores ou computadores;
- Tráfego de rede incomum;
- Conexões bloqueadas por firewall;
Análise dos logs de tentativas de acesso não autorizado aos servidores. Situações de não cumprimento dos procedimentos internos também podem oferecer riscos à segurança dos dados pessoais, deste modo, a observação da Cartilha de Boas Práticas é de extrema importância. Todos os colaboradores e parceiros da empresa são responsáveis por reportar qualquer tipo de eventos e fragilidades, que possam causar danos à segurança da informação. A notificação deve ser registrada por e-mail ao Encarregado de Proteção de Dados.
2.1 CATEGORIAS DA VIOLAÇÃO DE SEGURANÇA
A violação de segurança será classificada dentre as categorias citadas a seguir:
- Material: quando o incidente envolve dados armazenados em dispositivos físicos. Exemplos: perda de portadores de dados, pastas de arquivos perdidas, smartphones perdidos, etc.
- Verbal: quando há vazamento de dados de forma verbal, seja por indiscrição (comentários acerca de dados pessoais que são percebidos por terceiros e utilizados em má-fé) ou de forma intencional, repassando indevidamente informações sigilosas.
- Ciberespaço: quando o incidente está relacionado à Tecnologia da Informação. Nessa categoria enquadram-se o hackeamento, mau gerenciamento de patches, codificação incorreta, medidas de segurança insuficientes, etc.
2.2 AVALIAÇÃO DA CRITICIDADE DE SEGURANÇA
Alguns fatores serão determinantes na definição da criticidade de um incidente:
- A categoria da criticidade: de maneira genérica, o incidente será classificado em uma das categorias abaixo:
- Risco Baixo: classificação utilizada quando o incidente de segurança de dados afetar apenas dados pessoais, não incluído o número do CPF;
- Risco Moderado: classificação utilizada quando o incidente de segurança de dados afetar dados pessoais, incluído o número do CPF, e/ou pelo menos um dado sensível, não incluído raça, religião, nome social e dados de saúde;
- Risco Alto: classificação utilizada quando o incidente de segurança de dados afetar dados pessoais, incluído o número do CPF e/ou mais que um dado sensível, incluindo raça, religião, nome social e dados de saúde.
- Dados legíveis/ilegíveis: dados protegidos por algum sistema de pseudonimização (criptografia, por exemplo).
III. Volume de dados pessoais: expresso em quantidade de registros, arquivos, documentos e/ou em períodos de tempo (uma semana, um ano, etc.).
- Facilidade de identificação de indivíduos: facilidade com que se pode deduzir a identidade das pessoas a partir dos dados envolvidos no incidente.
- Indivíduos com características especiais: se o incidente afeta pessoas com características ou necessidades especiais.
- Número de indivíduos afetados: dentro de uma determinada escala, por exemplo, mais de 100 indivíduos.
- CONTENÇÃO
Após um incidente ser identificado como uma violação de segurança, o mesmo deverá ser contido para evitar que outros sistemas sejam afetados ou que ocasionem danos maiores, deve ser previsto ações para a contenção de curto prazo, backup do sistema e contenção a longo prazo. Durante a contenção, deve haver o registro do incidente e das medidas de contenção que foram adotadas, evitando ao máximo a perda de evidências e as provas do ocorrido. É importante lembrar da necessidade de trabalho colaborativo de toda a empresa, sobretudo dos membros destacados a seguir:
Figura 2: Fluxo da resposta a Incidentes.
Responsável pelo tratamento de dados da área afetada pelo incidente: a partir do momento que foi identificado um possível incidente de segurança de dados, a área responsável pela categoria de dados deve imediatamente informar o encarregado de dados para iniciar o processo de contenção.
- Operador: os operadores de dados, assim como os colaboradores internos, têm a responsabilidade de informar a ocorrência de incidente de segurança ao encarregado de dados, imediatamente.
- Encarregado da Proteção de Dados: após ser informado, o encarregado de proteção de dados deverá avaliar a existência do plano de ação para tal incidente e inicia-lo, e caso identifique o fato concreto de vazamento de dados pessoais, preencher o documento de Comunicação de Incidente de Segurança, para notificação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados.
- Procuradoria Jurídica: deve ser comunicada no intuito de auxiliar no processo de comunicação à ANPD e titulares de dados e tomar as medidas jurídicas cabíveis.
- Coordenadoria de Tecnologia da Informação: será comunicada sempre que o incidente for relacionado a segurança da informação e que seja necessário medidas técnicas de tecnologia.
- Administração: deve validar as medidas propostas no Plano de Respostas a Incidentes e oferecer subsídios para que as mesmas sejam efetivamente cumpridas.
- ERRADICAÇÃO
Após a ameaça ter sido contida, é necessário proceder com a sua remoção e a restauração dos sistemas que foram afetados, de modo que voltem a operar em sua normalidade.
- RECUPERAÇÃO
Os sistemas afetados são restabelecidos e voltam a operar em ambiente de produção. É necessário definir as ações que devem ser tomadas para que o sistema volte a sua normalidade. Deve ser realizada uma varredura para identificar as perdas ocorridas e como recuperar o que foi perdido.
- LIÇÕES APRENDIDAS
É fundamental que os mesmos erros não voltem a acontecer. Assim, é necessário que os incidentes sejam documentados, especificando quais foram os procedimentos de respostas utilizadas para contorna-los, de forma a manter um histórico das ocorrências e das ações tomadas.