Política de Governança
em Privacidade e Proteção de Dados Pessoais

1. Finalidade e Destinatários

A presente Política tem como objetivo estabelecer diretrizes claras e princípios para o tratamento de dados pessoais no âmbito da MARLUVAS, em sua matriz e filiais, aplicando-se, portanto, a todas as atividades relacionadas à coleta, processamento e armazenamento de dados pessoais realizadas pela organização, em formato físico ou digital. Isso inclui, mas não se limita, dados de clientes, fornecedores, colaboradores e visitantes.

Esta política é dirigida a todos os colaboradores, fornecedores, prestadores de serviços, parceiros e demais agentes que, de alguma forma, têm acesso ou estão envolvidos no tratamento de dados pessoais em nome da MARLUVAS.

2. Documentos de Referência

  • Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018);
  • Política de Segurança da Informação.

3. Criação e Atualização

O Encarregado pelo tratamento de dados pessoais (DPO) é o responsável pela Política, bem como por mantê-la atualizada.

Esta Política entra em vigor na data de sua publicação e tem validade de dezoito meses a partir da data de sua publicação, podendo ser alterada a qualquer tempo e critério antes do prazo estabelecido.

4. Termos e Definições

  • Autoridade Nacional de Proteção de Dados: Autarquia Federal responsável pela fiscalização, sanção, educação e edição de normas infralegais sobre a Lei Geral de Proteção de Dados;
  • Dados pessoais: Qualquer informação relativa a uma pessoa natural que possa identificá-la ou torná-la identificável;
  • Diretoria Executiva: Órgão responsável pela tomada de decisões em maior nível dentro da organização;
  • Encarregado pelo tratamento de dados pessoais (DPO): Colaborador ou prestador de serviço responsável por supervisionar a aplicação e revisar esta Política bem como sugerir mudanças, usar corretamente dados pessoais para desempenho de suas funções, monitorar a ocorrência de incidentes de segurança da informação e propor orçamento para ela;
  • Gestor: Todo colaborador que lidera um determinado número de colaboradores da MARLUVAS;
  • Política de Segurança da Informação: Conjunto de regras definidas para garantir a proteção, integridade e sigilo dos sistemas de tecnologia da informação;
  • Controlador: Pessoa jurídica a quem compete as decisões de tratamento de dados pessoais;
  • Operador: Pessoa natural ou jurídica que realiza o tratamento de dados pessoais a mando do controlador;
  • Política: Conjunto de regras definidas para um determinado fim;
  • Titulares de dados pessoais: Pessoa natural identificada ou identificável a quem se refere um dado pessoal;
  • Tratamento de dados pessoais: Toda operação realizada com dados pessoais como por exemplo: coleta, recepção, produção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

5. Diretrizes Gerais

5.1  Princípios norteadores do tratamento de dados na MARLUVAS

Todo tratamento de dados realizado no âmbito da MARLUVAS deverá seguir os seguintes princípios:

  1. Finalidade: todo tratamento de dados pessoais dever ter uma finalidade específica;
  2. Necessidade: somente os dados essenciais à finalidade pretendida serão tratados;
  3. Adequação: todo tratamento ocorrerá de acordo com as finalidades informadas e utilizará meios e dados adequados;
  4. Transparência: garantir, aos titulares, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
  5. Qualidade dos dados: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
  6. Não Discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
  7. Livre Acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
  8. Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
  9. Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
  10. Responsabilização e Prestação de Contas: demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

5.2  Privacy by design e Padrões de Segurança

A MARLUVAS se compromete a implementar medidas para garantir a proteção dos dados pessoais desde o processo de criação de novos projetos, processos, procedimentos ou sistemas que de alguma forma envolvam operações de tratamento de dados pessoais, bem como durante sua execução. Também se compromete a implementar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;

Todos os colaboradores com acesso a dados pessoais estão obrigados aos deveres de confidencialidade.

5.3  Prestadores de Serviços Terceirizados

Quando houver tratamento de dados pessoais operado por terceiros sob as instruções da MARLUVAS, aqueles estarão sujeitos às obrigações impostas aos Operadores de Dados Pessoais, de acordo com as normas aplicáveis sobre proteção de Dados Pessoais.

A MARLUVAS deve garantir que haja cláusulas de proteção de dados nos contratos de prestação de serviços que exijam que o fornecedor/prestador de serviços adote medidas de segurança adequadas, visando garantir a confidencialidade e segurança dos dados pessoais, e especificando que o Operador está autorizado a tratar Dados Pessoais somente dentro dos limites do que for determinado pela MARLUVAS.

Além disso, a MARLUVAS promoverá periodicamente as diligências necessárias com o objetivo de garantir que seus parceiros que atuem na figura de Operadores de dados pessoais estejam em conformidade com as normas regulamentares sobre proteção de dados pessoais e privacidade.

5.4 Monitoramento e revisão

A MARLUVAS poderá promover auditorias a fim de garantir a manutenção do programa de proteção aos dados pessoais e privacidade.

As políticas que integram ou se relacionam com a proteção dos dados pessoais e privacidade serão revisadas periodicamente e sempre que houver modificação de processos, identificação de novos riscos e atualização de normas e regulamentos.   

6. Atribuições e Responsabilidades

6.1 Compete ao Encarregado pelo tratamento de dados pessoais (DPO):

  1. Revisar periodicamente esta Política e recomendar alterações à Direção Executiva; 
  2. Monitorar constantemente a observação desta política e a efetiva implementação das ações necessárias para a proteção dos dados pessoais e privacidade; 
  3. Manter o registro das operações de tratamento de dados pessoais atualizado;
  4. Promover treinamento periódico sobre a temática de proteção de dados pessoais e privacidade, bem como prestar assistência e orientação na elaboração de campanhas de conscientização e comunicação sobre este mesmo tema;
  5. Prestar assistência e orientação na implementação medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
  6. Supervisionar e promover a manutenção das ações do programa de proteção de dados pessoais e privacidade da MARLUVAS, orientando os liderados, sobre esta Política e demais normas;
  7. Orientar o plano estratégico da MARLUVAS quando este envolver o tratamento de dados pessoais, com o intuito de garantir que a proteção de dados pessoais e privacidade seja estabelecida por padrão e que seja considerada desde a concepção de novos serviços e/ou produtos;
  8. Quando necessário, coordenar a execução do relatório de impacto a proteção de dados pessoais (RIPD);
  9. Promover periodicamente avaliação do nível de maturidade do programa de proteção de dados e privacidade da MARLUVAS, identificando possíveis gaps e endereçando melhorias;
  10. Receber e endereçar para os setores responsáveis as solicitações de Titulares de Dados Pessoais, de acordo as normas e regulamentos legais vigentes e normas internas;
  11. Atuar, em nome da MARLUVAS, perante a Autoridade Nacional de Proteção de Dados; contando, quando necessário, com o auxílio da assessoria jurídica;
  12. Manter registros e evidências de todas as ações relacionadas ao programa interno de proteção de dados pessoais e privacidade, em respeito ao princípio da prestação de contas (accountability);
  13. Prestar todo o apoio necessário em caso de ocorrência de algum incidente de segurança da informação que envolva dados pessoais;
  14. Reportar à Direção Executiva a ocorrência de eventuais incidentes de segurança da informação que envolvam dados pessoais;
  15. Auxiliar na interpretação das normas relativas à proteção de dados pessoais e privacidade;
  16. Auxiliar na elaboração, renegociação ou aditamento de contratos com fornecedores e clientes, a fim de garantir a implementação de instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais.

6.2 Compete aos gestores:

  1. Fazer e promover o uso adequado de dados pessoais em suas atividades, e em suas respectivas áreas;
  2. Garantir que seus liderados cumpram integralmente esta e as demais Políticas da MARLUVAS;
  3. Comunicar ao Encarregado pelo tratamento de dados pessoais eventuais mudanças em processos internos que venham a afetar o mapeamento de dados pessoais, em especial,, mas não somente, mudanças que alterem a coleta, compartilhamento e armazenamento dos dados pessoais;
  4. Quando a operação de tratamento de dados pessoais depender de consentimento do seu titular, garantir que este seja obtido de maneira correta seguindo os parâmetros estabelecidos pelas normas de proteção de dados pessoais. Sempre que precisar, o Gestor deverá buscar auxílio do Encarregado de tratamento de dados pessoais (DPO). 

6.3 Compete ao Responsável pela Segurança da Informação:

  1. Fazer e promover o uso adequado de dados pessoais em suas atividades;
  2. Garantir o cumprimento integral esta Política;
  3. Identificar e avaliar a ocorrência de incidentes de segurança da informação que afetem a proteção de dados pessoais e privacidade, coletando evidências técnicas do ocorrido;
  4. Estabelecer procedimentos a serem seguidos no caso de ocorrência de incidentes de segurança da informação que afetem a proteção de dados pessoais e privacidade, bem como definir os documentos necessários para a formalização e registro destes incidentes, em acordo com a Política de Resposta a Incidentes;
  5. Comunicar imediatamente a ocorrência de incidentes de segurança da informação que envolvam dados pessoais ao Encarregado de tratamento de dados pessoais, que tomará as medidas necessárias;
  6. Implementar e monitorar as medidas de segurança necessárias para a proteção de dados pessoais e privacidade, sempre observando as normas legais e regulamentares a este respeito, e o nível de risco de exposição;
  7. Prestar o devido suporte técnico na implementação de novos dispositivos e softwares. 

6.4 Todos a serviço da MARLUVAS:

  1. Fazer e promover o uso adequado de dados pessoais em suas atividades;
  2. Conhecer e respeitar a legislação e regulamentação aplicáveis, bem como as Políticas Internas da MARLUVAS relativos à proteção de dados pessoais e privacidade;
  3. Seguir rigorosamente as determinações previstas na Política de Segurança da Informação e seus anexos (disponíveis no Servidor de Arquivos interno Marluvas, ou via DPO);
  4. Relatar imediatamente para o seu superior a ocorrência de algum incidente de segurança da informação, inclusive os que envolvam dados pessoais e privacidade, bem como as fragilidades que venha a identificar e que ofereçam algum risco à proteção de dados pessoais e à privacidade;
  5. Participar ativamente das atividades de treinamento conforme programação divulgada.

7. Disposições Finais

Esta Política é parte integrante da estratégia de Treinamentos e Comunicação da MARLUVAS.

Os colaboradores que violarem esta Política estarão sujeitas às medidas legais e/ou disciplinares cabíveis, as quais serão endereçadas de acordo com a gravidade da infração. 

Caso algum colaborador tenha dúvidas sobre o conteúdo desta Política deverá procurar o gestor de sua respectiva área e, se necessário, o Encarregado de tratamento de dados pessoais (DPO).

8. Política de Retenção e Descarte de Dados Pessoais

8.1 Objetivo

O objetivo desta Política é orientar o processo de descarte de informações dentro da MARLUVAS.

??????????????8.2 Abrangência

Todas as áreas da MARLUVAS.

??????????????8.3 Criação e Atualização

O (a) Encarregado pela proteção dos dados pessoais (DPO) é o proponente e responsável por mantê-lo atualizado.

Esta Política entra em vigor na data de sua publicação e tem validade de doze meses a partir da data de sua publicação, podendo ser alterada a qualquer tempo e critério antes do prazo estabelecido.

???????8.4 Termos e Definições

  • Período de tratamento: é o tempo em que os dados estão sendo ativamente utilizados para cumprir a finalidade para a qual foram coletados;
  • Período de conservação: após o término do tratamento ativo, os dados podem ser mantidos armazenados por motivos legais, regulatórios ou para o exercício de direitos, mas sem uso ativo para outras finalidades;
  • Prazo de retenção: período total em que os dados pessoais são mantidos pela organização, abrangendo tanto o tempo necessário para o tratamento ativo dos dados quanto o período de conservação;
  • Tabela de temporalidade: guia orientativo que compila os prazos de retenção dos documentos/registros que contenham dados pessoais;
  • Eliminação eletrônica segura: aplicação de técnicas de eliminação de documentos/registros digitais que garantam que as informações originais se tornem irrecuperáveis, ao invés de funções-padrão de apagar ou formatar;
  • Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.

8.5 Documentos de Referência

  • Lei Geral de Proteção de Dados– Lei n.13.709/2018;   
  • Marco Civil da Internet – Lei n. 12.695/2014;
  • Consolidação das Leis do Trabalho;
  • Código Civil;
  • Normas Regulamentadoras do MTE;
  • Código Tributário Nacional;
  • Política de Governança em Privacidade;
  • Política de Segurança da Informação;   
  • Avisos de Privacidade.
  • NBRISO/IEC 27701/2019, itens 7.4.6 a 7.4.8

8.6 Retenção e Descarte

???9Do término do tratamento e da conservação dos dados                                                                        

9.1 O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

  1. Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
  2. Fim do período de tratamento;
  3. Revogação de consentimento por parte do titular;
  4. Determinação da ANPD, quando houver violação ao disposto na LGPD.

9.2 Os dados pessoais deverão ser eliminados após o término de seu tratamento, autorizada a conservação para as seguintes finalidades:

  1. Cumprimento de obrigação legal ou regulatória pelo controlador;
  2. Exercício regular de direito em processo judicial, administrativo ou arbitral;
  3. Uso exclusivo da MARLUVAS, vedado seu acesso por terceiro, e desde que anonimizados os dados.

???????9.3 Regras Gerais de Retenção

9.3.1 A Gerência definira o período de retenção dos documentos e registros eletrônicos utilizados nos processos de sua responsabilidade que tratam informações pessoais. Para tanto, convém que sejam considerados requisitos legais, regulamentares e de negócio. A temporalidade da retenção dos registros será indicada na Tabela de Temporalidade.

9.3.2 Caso haja alguma categoria de documento/registro que não tenha sido mencionada na Tabela de Temporalidade, o período de retenção aplicado a esse documento/registro será definido pela Gerência responsável pelo processo que trata as informações, nos termos do item 6.2.1, devendo-se considerar, para tanto, os interesses da empresa, a necessidade da retenção do documento/registro para uma finalidade específica ou eventual exigência legal de retenção. O Encarregado pelo tratamento de dados (DPO) poderá ser consultado para auxiliar.

9.3.3 Todos os procedimentos e sistemas que garantem o acesso à informação durante o período de retenção (tanto no que diz respeito ao portador da informação quanto na legibilidade dos formatos) serão resguardados de maneira a proteger as informações contra perdas decorrentes de futuras mudanças tecnológicas.

9.4 Regras Gerais de Descarte

9.4.1 Os colaboradores devem consultar sua respectiva Gerência sobre a temporalidade de guarda de um registro/documento e regularmente rever todos os processos de sua responsabilidade que envolvam tratamento de dados pessoais a fim de verificar se os registros atingiram as finalidades para os quais foram criados e eram utilizados, e, assim, apurar se estão aptos a serem eliminados.

9.4.2 Uma vez tomada a decisão de eliminar um registro de dados, estes devem ser eliminados tendo em conta o seu valor para outros setores da empresa e o seu nível de confidencialidade.

9.4.3 Para garantir a eliminação dos documentos/registros, inclusive daqueles que eventualmente sejam baixados de servidores em nuvem para terminais do colaborador/prestador de serviço, deverão ser utilizadas técnicas de eliminação eletrônica segura.

9.4.4 Em relação aos documentos/registros baixados de servidores em nuvem para um terminal particular, o colaborador/prestador de serviços que não esteja apto a promover a eliminação adequada (item 6.3.3) deverá conceder acesso ao responsável pela área de Tecnologia da Informação para que seja promovida a eliminação eletrônica segura.

9.4.5 No caso de dispositivos defeituosos que contenham dados pessoais ou informações sensíveis, é recomendável que se avalie se convém destruir fisicamente e/ou desmagnetizar (se for o caso) o dispositivo em vez de mandá-lo para o conserto ou descartá-lo. As informações podem ser comprometidas por um descarte feito sem os devidos cuidados ou pela reutilização do equipamento.

9.4.6 Para dados armazenados com parceiros contratados, verifique se a exclusão ocorre no prazo definido internamente ou em virtude de lei. Caso a MARLUVAS tenha obrigação de manter esses dados, solicite à empresa contratada uma cópia completa antes do prazo final, armazene-a em local seguro e, em seguida, formalize o pedido de exclusão dos dados no banco do parceiro. A responsabilidade da MARLUVAS será considerada cumprida somente após o recebimento de uma comprovação formal da exclusão dos dados pelo parceiro.

9.4.7 Os requisitos pertinentes ao processo de descarte/eliminação de informações, particularmente os previstos nas normas de proteção de dados aplicáveis e nas políticas internas da MARLUVAS, devem ser integralmente observados.

???????10. Métodos de Descarte/Eliminação

10.1 Os registros/documentos que contenham informações confidenciais e dados pessoais devem ser triturados/fragmentados ou sujeitos a uma eliminação eletrônica segura. A destruição dos documentos deve incluir prova de destruição (ex: termo contendo data, descrição do que está sendo descartado e declaração de acompanhamento do evento por testemunha).

10.2 Os registros/documentos que não contenham informações ou dados pessoais devem ser triturados ou descartados através de uma empresa de reciclagem e incluir, entre outras coisas, anúncios, catálogos, panfletos e boletins informativos. A destruição desses documentos não necessita incluir prova de destruição, embora seja uma boa prática.

11. Atribuições e Responsabilidades

12.  Disposições Finais

  • Qualquer suspeita de violação deste documento deve ser reportada imediatamente ao Encarregado pelo Tratamento de Dados Pessoais (DPO). Todos os casos de suspeita de violações desta Política devem ser investigados e tomadas as medidas apropriadas.
  • Os trabalhadores da MARLUVAS são incentivados a tirar quaisquer dúvidas em relação a esta Política.

13. Política de Resposta a Incidentes de Segurança da Informação

???????13.1.Objetivo

13.1.1 A Política de Respostas a Incidentes de Segurança (PRI) é o documento responsável por direcionar e estabelecer os procedimentos que deverão ser adotados pela MARLUVAS para gerenciar eventuais incidentes de segurança da informação, a fim de mitigar ao máximo os riscos que podem ser causados à empresa e às pessoas, tendo sido elaborada em consideração a RESOLUÇÃO CD/ANPD Nº 15, de 24 de abril de 2024, bem como as principais normas de padronização, tais como as ISO/ABNT  27001 e 27035, além de normas legais como a Lei Geral de Proteção de Dados (Lei 13.709/2018).

13.1.2. Esta política visa estabelecer os procedimentos necessários para garantir o gerenciamento consistente e eficaz de incidentes de segurança da informação que eventualmente sejam enfrentados pela MARLUVAS. O objetivo é conter quaisquer violações, minimizar os riscos associados e considerar quais ações são necessárias para proteger os ativos de informação e evitar novos incidentes.

13.1.3. Esta política se refere a todos os ativos de informação, incluindo os dados pessoais, mantidos pela MARLUVAS, independentemente do formato, e se aplica a todos os colaboradores da MARLUVAS, assim como aos representantes comerciais e prestadores de serviços que tenham acesso aos sistemas da empresa.

13.2 ???????Definições e Tipos de Incidentes

13.2.1. Para os fins desta política, as violações de segurança da informação incluem as que já foram confirmadas e as suspeitas de incidentes.

13.2.2. Um incidente no contexto desta Política é um evento ou ação que pode comprometer a confidencialidade, integridade, disponibilidade ou autenticidade de sistemas ou dados, seja acidental ou deliberadamente, e que tenha causado, ou que tenha potencial para causar, danos aos ativos de informação da MARLUVAS e/ou à sua reputação.

13.2.3. Um incidente inclui, mas não está restrito a:

  1. Perda de acesso, extravio ou roubo de equipamento no qual informações de negócio, dados confidenciais ou sensíveis são armazenados (por exemplo, perda de notebook, pen drive, tablet ou registro de papel);
    1. Falha do equipamento;
    2. Falha do sistema;
    3. Uso não autorizado, acesso ou modificação de dados ou sistemas de informação;
    4. Tentativas (malsucedidas ou bem-sucedidas) de obter acesso não autorizado a informações ou sistema(s) de tecnologia ou ataques de invasores não autorizados;
    5. Divulgação não autorizada de informações sensíveis/confidenciais;
    6. Desfiguração do site;
    7. Circunstâncias imprevistas, como incêndio ou inundação;
    8. Erro humano;
    9. 'Falsa denúncia' onde a informação é obtida enganando a organização que a detém.

13.3 Relatando a Ocorrência de um Incidente de Segurança

13.3.1. Qualquer pessoa que acessa, usa ou gerencia as informações da MARLUVAS é responsável por reportar violação de dados e incidentes de segurança da informação imediatamente para o responsável pela Segurança da Informação e para o Encarregado pelo Tratamento de Dados Pessoais (DPO).

13.3.2. Se a violação ocorrer ou for descoberta fora do horário normal de trabalho, deve ser relatada assim que for possível.

13.3.3. No caso de incidente em razão de furto ou roubo de equipamento de propriedade da MARLUVAS a autoridade policial deverá ser comunicada imediatamente e a cópia do boletim de ocorrência deverá ser apresentada ao Gestor.

13.3.4. O relatório deve incluir detalhes completos e precisos do incidente: quando a violação ocorreu (datas e horários); quem está relatando; se os dados se referem a uma pessoa natural; a natureza das informações; a descrição detalhada do problema; quais as consequências estimadas e como foi descoberto.

13.3.5. Todos os colaboradores devem estar cientes de que qualquer violação da legislação de proteção de dados pessoais pode resultar na instalação de procedimento disciplinar.

???????13.4 Contenção e Recuperação

13.4.1. Cabe ao Encarregado pelo Tratamento de Dados Pessoais (DPO) verificar se a violação ofende dados pessoais, e ao responsável pela Segurança da Informação identificar se a violação ainda está ocorrendo. Se sim, medidas apropriadas deverão ser tomadas imediatamente para minimizar o efeito da violação.

13.4.2. Quando se tratar de incidente de segurança da informação que afete dados pessoais, uma avaliação inicial com o fim de apurar a gravidade da violação será feita pelo Encarregado pelo Tratamento de Dados Pessoais (DPO) em conjunto com o responsável pela Segurança da Informação, com quem assumirá conjuntamente a liderança na investigação da violação.

13.4.2.1 A liderança da investigação dependerá da natureza da violação; nos casos em que houver violação a dados pessoais, pode ser o próprio Encarregado pelo Tratamento de Dados Pessoais (DPO), nos demais, é recomendado que seja o responsável pela Segurança da Informação.

13.4.3. O líder da investigação estabelecerá se há algo que pode ser feito para recuperar quaisquer perdas e limitar os danos que a violação poderia causar.

13.4.4. O líder da investigação também estabelecerá quem precisa ser notificado como parte da contenção inicial e informará a polícia, quando for apropriado.

13.4.5. Pode ser solicitado o aconselhamento de especialistas em qualquer setor da MARLUVAS para resolver o incidente prontamente.

13.4.6. O líder da investigação determinará o curso de ação adequado a ser tomado para garantir a resolução do incidente.

??????????????13.5 Investigação e Análise de Risco

13.5.1. Uma investigação será realizada imediatamente e, sempre que possível, dentro de 24 horas da descoberta do incidente ou de sua relatoria.

13.5.2. O líder da investigação investigará o incidente e avaliará os riscos associados a ele; por exemplo, potenciais consequências adversas para as pessoas, o nível de gravidade e a probabilidade de ocorrência.

13.5.3. A investigação deverá levar em consideração e registrar o seguinte:

  1. A data de conhecimento do incidente;
  2. As categorias de dados envolvidos;
  3. A classificação dos dados (se sensíveis, críticos, estratégicos);
  4. Se as proteções estão ativas (por exemplo, criptografias);
  5. O que aconteceu com os dados (por exemplo, foram perdidos ou copiados indevidamente);
  6. Se é possível fazer algum uso ilegal ou impróprio dos dados;
  7. Os titulares de dados pessoais afetados pela violação, número de pessoas envolvidas e o potencial efeito sobre o(s) titular(es) dos dados;
  8. Se existem consequências mais amplas que podem decorrer do incidente;
  9. As medidas de correção e mitigação dos efeitos do incidente, quando aplicável;
  10. a forma e o conteúdo da comunicação, se o incidente tiver sido comunicado à ANPD e aos titulares; e
  11. os motivos da ausência de comunicação, quando for o caso.

13. 6 Avaliação Sobre a Necessidade de Notificação

13.6.1. Cabe ao Encarregado pelo Tratamento de Dados Pessoais (DPO) verificar a necessidade de se notificar a ANPD (Autoridade Nacional de Proteção de Dados), o Ministério Público ou outro ente interessado a respeito do incidente ocorrido; em caso afirmativo, o ente responsável deverá ser notificado dentro de 3 dias úteis, após a empresa ter tomado conhecimento do incidente de segurança, conforme art. 6º da Resolução CD/ANPD Nº 15/2024.

13.6.2. Cada incidente será avaliado caso a caso, no entanto, os seguintes pontos deverão ser considerados:

  1. Se há um alto risco de o incidente de segurança afetar negativamente os direitos individuais e liberdades civis de titulares de dados, de acordo com a legislação de proteção de dados;
  2. Se a notificação ajudaria e/ou seria útil ao(s) indivíduo(s) afetado(s) (por exemplo, eles poderiam agir para mitigar riscos?);
  3. Se a notificação ajudaria a prevenir o uso não autorizado ou ilegal de dados;
  4. Se há quaisquer requisitos de notificação legal ou contratual;
  5. Os perigos de notificação excessiva. Nem todo incidente exige notificação e muitas notificações podem causar consultas e trabalho desproporcionais.

13.6.3. Caso se considere que há um alto risco de o incidente afetar negativamente os direitos e liberdades dos indivíduos afetados, estes serão informados sem demora injustificada.  A notificação incluirá uma descrição de como e quando o incidente ocorreu e quais os dados envolvidos.

13.6.4. A notificação conterá orientação clara e específica sobre o que os indivíduos podem fazer para se protegerem, além de indicar as ações já tomadas para mitigar os riscos.

13.6.5. Os indivíduos afetados pelo incidente deverão ser informados sobre como entrar em contato com a MARLUVAS para mais obter maiores informações ou para fazer perguntas sobre o que aconteceu.

12.6.6. Será mantido registro de qualquer incidente de segurança da informação e/ou violação de dados pessoais, independentemente da necessidade de notificação, pelo prazo mínimo de 5 anos, conforme disposto no Art. 10 da RESOLUÇÃO CD/ANPD Nº 15, de 24 de abril de 2024.

???????13.7 Revisão

13.7.1. Uma vez que o incidente inicial seja contido, o responsável pela Segurança da Informação (próprio ou contratado), em conjunto com o Encarregado pelo Tratamento de Dados Pessoais (DPO), irá realizar uma revisão completa das causas da violação; a eficácia da(s) resposta(s); e se há alterações nos sistemas, políticas e procedimentos que devem ser realizados.

13.7.2. Os controles existentes serão revisados para determinar sua adequação e se há alguma ação corretiva que deva ser tomada para minimizar o risco de ocorrência de incidentes semelhantes.

13.7.3. A revisão deverá considerar:

  1. Onde e como as informações e dados pessoais são mantidos e onde e como são armazenados;
  2. Onde estão os maiores riscos, incluindo a identificação de potenciais pontos fracos dentro das medidas de segurança existentes;
  3. Se os métodos de transmissão de informações são seguros;
  4. Se se compartilha apenas a quantidade mínima de dados necessários;
  5. A conscientização da equipe;
  6. Implementar um plano de violação de ativos de informação e identificar um grupo de indivíduos responsáveis por reagir às violações de segurança relatadas.

13.7.4. Se necessário, um relatório recomendando quaisquer mudanças nos sistemas, políticas e procedimentos será avaliado pela Direção da MARLUVAS.

13.7.5. Em caso de necessidade de mais detalhes e/ou dúvidas sobre o incidente, as partes envolvidas devem solicitar esclarecimentos pelo e-mail: <[email protected]>.???????

13.8 Revisão desta Política

13.8.1. Esta política será atualizada conforme necessário para refletir as melhores práticas e para garantir a conformidade com quaisquer alterações ou emendas à legislação pertinente.

 

Encontre os produtos
Marluvas
ideais
para seu segmento
calçados | luvas
Notícias, novidades e
muito mais no blog
Marluvas
Mais do que conhecimento, um compromisso.
Procurando produtos Marluvas? Clique aqui para encontar nossos produtos pertinho de você!
Receba nossas
novidades no seu e-mail!