1. Introdução
Este Plano de Resposta a Incidentes de Segurança da Informação Envolvendo Dados Pessoais (“Plano de Resposta a Incidente”, “Plano” ou “PRI”) estabelece o procedimento para a gestão de situações após a identificação da ocorrência, ou suspeita, de um incidente de segurança da informação que envolva dados de pessoa natural identificada ou identificável (“Dados Pessoais”) que são tratados pelo TABELIONATO DE NOTAS DE IRETAMA (“Cartório” ou “Tabelionato”), visando ao combate dos riscos e a mitigação dos efeitos relacionados a incidentes desta natureza.
O presente PRI foi elaborado de acordo com a Lei 13.709/18 (“Lei Geral de Proteção de Dados Pessoais”).
2. Objetivo
Este PRI tem como objetivo estabelecer as funções e responsabilidades do pessoal do Cartório, bem como as medidas a serem tomadas pelos empregados e pelo titular para que o Tabelionato responda adequadamente a um incidente, sempre prezando pela integridade dos sistemas, proteção de todas e quaisquer informações que possam viabilizar, direta ou indiretamente, a identificação de uma pessoa física (“Dados Pessoais”) e privacidade dos seus titulares.
Também estão compreendidas dentro do conceito de Dados Pessoais todas as informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, informações referentes à saúde ou à vida sexual, dados genéticos ou biométricos e quaisquer dados que, quando tratados de forma combinada com outras informações, possam permitir inferir informações dessa natureza (“Dados Sensíveis”).
O presente PRI se aplica em qualquer caso de incidentes envolvendo Dados Pessoais e deverá ser cumprida, em conjunto com as demais políticas e determinações do Controlador, por todas as áreas, setores, empregados e colaboradores do Cartório, que possam vir a ter acesso às áreas, equipamentos, informações, redes e aos arquivos e dados de propriedade da Empresa.
Aplicam-se a este PRI, de forma complementar, as disposições da Política de Segurança da Informação, a fim de mitigar a ocorrência de incidentes de segurança da informação.
3. Conceito de Incidente de Segurança da Informação
Para fins do presente PRI, entende-se por “Incidente” toda e qualquer violação de segurança que, de forma acidental ou dolosa, enseje ou seja capaz de dar ensejo à destruição, perda, alteração, divulgação ou transmissão não autorizada de Dados Pessoais tratados pelo Cartório.
Um Incidente pode ocorrer de forma maliciosa, ser o resultado de um erro humano ou, até mesmo, de falha nos sistemas que processam Dados Pessoais ou nos seus mecanismos de segurança. Isso pode incluir por exemplo, o furto de um documento, o envio de um e-mail contendo Dados Pessoais para destinatários indesejados, tentativas de invasão a sistemas da Empresa ou outras ações, culposas ou dolosas.
Os Incidentes podem ser de vários tipos, como por exemplo:
- Vazamento de Dados Pessoais. É o Incidente no qual Dados Pessoais são indevidamente expostos e disponibilizados, por meios físicos ou digitais, para um número indeterminado de pessoas, no Brasil ou em qualquer país;
- Negação de Serviço. É o Incidente no qual o acesso (lógico ou físico) a um sistema que armazene Dados Pessoais é prejudicado ou impossibilitado, de forma que a integridade dos Dados Pessoais (existência e/ou veracidade) pode ser comprometida permanentemente, dada a indisponibilidade do acesso;
- Acesso Não Autorizado. É o Incidente no qual o acesso (lógico ou físico) a um sistema que possua Dados Pessoais é tentado ou obtido, sem que se tenha a devida autorização para tal acesso. Considera-se acesso não autorizado qualquer acesso cuja permissão para conexão, leitura, gravação, autenticação, modificação, eliminação ou criação não tenha sido concedida; e
- Uso Inapropriado. É o Incidente no qual há a violação das políticas de uso de dados, informações e sistemas da Empresa, incluindo a Política de Segurança da Informação, [inserir todas as políticas da Empresa aplicáveis à segurança da informação, tratamento de dados, confidencialidade, sigilo etc.].
4. Papéis e responsabilidades
Cada setor do Cartório possui obrigações próprias no tratamento e gestão de incidentes de segurança de informação, conforme descritas a seguir:
4.1. Obrigações de Todas as Áreas
- comunicar imediatamente ao Controlador ou ao Encarregado sobre a ocorrência ou a mera suspeita de um Incidente;
- cumprir rigorosamente a Política de Segurança da Informação da Empresa, contribuindo para a mitigação de riscos; e
- participar de treinamentos e programas de conscientização para mitigação de Incidentes.
4.2. Obrigações do Encarregado
- atuar para detectar e corrigir os Incidentes;
- alertar, comunicar e aconselhar os Colaboradores sobre Incidentes emergentes;
- educar e conscientizar os Colaboradores sobre a detecção e resposta aos Incidentes;
- adotar as medidas necessárias para prevenir Incidentes e minimizar o impacto de seus efeitos;
- Comunicar ao Controlador quaisquer incidentes de segurança envolvendo dados pessoais;
- Tratar com titulares de dados, órgãos fiscalizadores e demais interessados no que tange a eventual incidente de segurança da informação.
4.3. Obrigações do Controlador
- Comunicar a Corregedoria-Geral da Justiça e a Corregedoria Permanente sobre quaisquer incidentes ou vazamentos envolvendo dados pessoais;
- Avaliar a dimensão dos incidentes e propor aos prejudicados alternativas de mitigação, solução e/ou indenização;
- Providenciar os mecanismos de resposta necessários, de acordo com o volume de dados afetados pelo incidente.
5. Detecção do Incidente
Detectar um Incidente de forma rápida e eficiente é essencial para uma resolução bem-sucedida. São várias as formas de detecção, de modo que é impossível desenvolver uma metodologia que contemple cada uma. Desta forma, todos os empregados, colaboradores e demais envolvidos devem atentar-se, principalmente, aos sinais mais comuns que podem desencadear um Incidente, como invasões de rede, perda ou furto de documentos, arquivos ou dispositivos, phishing, malware, instabilidades sistêmicas etc.
Uma vez detectado um Incidente ou detectada a mera suspeita de um Incidente, o colaborador deverá comunicar imediatamente ao Encarregado, por meio do e-mail dpo@bqadvocacia.com.
Na medida do possível, essa comunicação deverá conter (i) a hora e a data em que a suspeita do Incidente foi descoberta; (ii) o tipo de informações envolvidas; (iii) a causa e a extensão do Incidente; (iv) o contexto do ocorrido; bem como (v) qualquer informação adicional que sirva para facilitar o entendimento do evento, suas causas e consequências.
5.1. Priorização do Incidente e Procedimentos para Resposta
Uma vez que o Incidente seja identificado e classificado, é necessário priorizá-lo conforme o nível de risco oferecido à Empresa e aos titulares dos Dados Pessoais eventualmente afetados e a gravidade da ocorrência. O impacto do Incidente deve ser aferido da seguinte forma:
Para identificação do grau de sensibilidade e do volume de dados pessoais expostos, devem ser levados em conta os seguintes parâmetros:
De acordo com a matriz acima definida, o Controlador e o Encarregado deverão tomar as seguintes providências, simultaneamente ou, quando não for possível, em rápida sucessão:
Baixa Gravidade
- tão logo tenham ciência, trabalhar prioritariamente na resolução do Incidente;
- tomar as medidas adequadas para minimizar os efeitos causados pelo Incidente e para promover sua rápida correção;
- comunicar o Juízo Corregedor Permanente;
- uma vez que as medidas de resolução sejam tomadas, documentar o Incidente; e
- reunir-se para analisar o Incidente e antecipar, prevenir e melhor identificar Incidentes semelhantes no futuro.
Média Gravidade
- tão logo tenham ciência, trabalhar de forma exclusiva na resolução do Incidente;
- tomar as medidas imediatas para minimizar os efeitos causados pelo Incidente e para promover sua rápida correção e, se a correção não for possível de forma imediata, deve adotar as medidas temporárias para minimização de riscos;
- comunicar o Juízo Corregedor Permanente;
- uma vez que as medidas de resolução sejam tomadas, documentar o Incidente, o mais breve possível;
- reunir-se o mais breve possível para analisar o Incidente e antecipar, prevenir e melhor identificar Incidentes semelhantes no futuro;
- realizar, imediatamente, treinamento interno com as áreas afetadas para conscientizar os colaboradores e demais envolvidos sobre o Incidente e medidas preventivas.
Alta Gravidade
- tão logo tenham ciência, trabalhar de forma exclusiva na resolução do Incidente;
- tomar as medidas imediatas para minimizar os efeitos causados pelo Incidente e para promover sua rápida correção e, se a correção não for possível de forma imediata, deve adotar as medidas temporárias para minimização de riscos;
- comunicar o Juízo Corregedor Permanente;
- uma vez que as medidas de resolução sejam tomadas, documentar o Incidente, o mais breve possível;
- reunir-se o mais breve possível para analisar o Incidente e antecipar, prevenir e melhor identificar Incidentes semelhantes no futuro;
- realizar, imediatamente, treinamento interno com as áreas afetadas para conscientizar os colaboradores e demais envolvidos sobre o Incidente e medidas preventivas.
5.2. Comunicação do Incidente
Em cumprimento à legislação brasileira, Incidentes considerados relevantes devem ser comunicados à Autoridade Nacional de Proteção de Dados (ANPD). A avaliação sobre quais Incidentes são materialmente relevantes cabe ao Controlador, em conjunto com o Encarregado.
Caso um Incidente seja identificado como relevante e a sua comunicação à ANPD seja determinada pelo Comitê de Proteção de Dados, o Encarregado deverá elaborar a documentação aplicável à comunicação, contendo:
- a descrição da natureza e da categoria dos Dados Pessoais afetados (ex. Dados Sensíveis, dados de criança, dados cadastrais etc.);
- As informações sobre os titulares dos Dados Pessoais envolvidos, a relação dos titulares dos Dados Pessoais afetados com a Empresa, o número de titulares afetados e o país de residência dos titulares dos Dados Pessoais afetados;
- a indicação das medidas técnicas e de segurança utilizadas para a proteção dos Dados Pessoais, observados os segredos comercial e industrial;
- os riscos relacionados ao Incidente;
- os motivos da demora, no caso de a comunicação não ter sido feita de forma imediata; e
- as medidas que foram e as que serão adotadas para reverter ou mitigar os efeitos do Incidente.
Caso seja avaliado que o incidente deverá ser comunicado aos titulares dos Dados Pessoais afetados, caberá ao Encarregado desenvolver a mensagem da comunicação, priorizando (i) os fatos ocorridos; (ii) as medidas já tomadas pela Empresa para minimizar o impacto dos efeitos; (iii) as eventuais medidas que possam ser tomadas pelos próprios titulares dos Dados Pessoais afetados para mitigar riscos; e (iv) os canais de contato para sanar dúvidas.
6. Disposições Finais
Em caso de dúvidas, comentários e/ou sugestões relacionadas a este PRI, entre em contato com o DPO (encarregado) do Cartório, que está à disposição nos seguintes endereços de contato:
DPO (encarregado): Dr. Henrique Almeida Bazan Castanheira – OAB/MG 215.984
E-mail para contato: dpo@bqadvocacia.com
Início de Vigência: 20/02/2023.
Status da Política: Vigente.