Sumário
1. INTRODUÇÃO
1.1 APLICABILIDADE
1.2 DEFINIÇÕES ESSENCIAIS
2. PRINCÍPIOS DE PROTEÇÃO DE DADOS
2.1 FINALIDADE LEGÍTIMA E INFORMADA
2.2 ADEQUAÇÃO E COMPATIBILIDADE
2.3 NECESSIDADE E MINIMIZAÇÃO
2.4 LIVRE ACESSO E TRANSPARÊNCIA
2.5 QUALIDADE E EXATIDÃO DOS DADOS
2.6 SEGURANÇA E PREVENÇÃO
2.7 NÃO DISCRIMINAÇÃO
2.8 RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS
2.9 PRIVACIDADE POR DESIGN E POR PADRÃO
2.10 ONFIDENCIALIDADE E SIGILO PROFISSIONAL
2.11 ONSENTIMENTO E AUTONOMIA DO TITULAR
3. COLETA E TRATAMENTO DE DADOS PESSOAIS
3.1 BASES LEGAIS PARA O TRATAMENTO
3.2 PRINCÍPIO DA MINIMIZAÇÃO DE DADOS
3.3 REGISTRO DAS ATIVIDADES DE TRATAMENTO
3.4 AVALIAÇÃO DE IMPACTO À PROTEÇÃO DE DADOS (DPIA)
3.5 TRANSPARÊNCIA E INFORMAÇÃO AOS TITULARES
3.6 REVISÃO E ATUALIZAÇÃO
4. DIREITOS DOS TITULARES
4.1 DIREITOS ASSEGURADOS AOS TITULARES
4.2 PROCEDIMENTO PARA ATENDIMENTO ÀS SOLICITAÇÕES
4.3 PRAZOS DE ATENDIMENTO
4.4 GRATUIDADE
4.5 LIMITAÇÕES AO EXERCÍCIO DOS DIREITOS
4.6 MEDIDAS TÉCNICAS E ORGANIZACIONAIS
4.7 REVISÃO E ATUALIZAÇÃO
5. SEGURANÇA DA INFORMAÇÃO
5.1 CONTROLE DE ACESSO
5.2 PROTEÇÃO DE DADOS NO MICROSOFT 365
5.3 DISPOSITIVOS MÓVEIS E TRABALHO REMOTO
5.4 TREINAMENTO E CONSCIENTIZAÇÃO
5.6 GESTÃO DE INCIDENTES DE SEGURANÇA
5.7 AUDITORIA E CONFORMIDADE
5.8 REVISÃO E ATUALIZAÇÃO
6. COMPARTILHAMENTO DE DADOS
6.1 AVALIAÇÃO DE TERCEIROS
6.2 CONTRATOS COM OPERADORES E OUTROS AGENTES DE TRATAMENTO
6.3 TRANSFERÊNCIA INTERNACIONAL DE DADOS
6.4 COMPARTILHAMENTO EM SITUAÇÕES ESPECÍFICAS
6.5 TRANSPARÊNCIA E DIREITOS DOS TITULARES
6.6 MONITORAMENTO E AUDITORIA
6.7 TREINAMENTO E CONSCIENTIZAÇÃO
6.8 REVISÃO E ATUALIZAÇÃO
7. RETENÇÃO E ELIMINAÇÃO DE DADOS
7.1 POLÍTICA DE RETENÇÃO DE DADOS
7.2 PROCEDIMENTOS DE ELIMINAÇÃO SEGURA
7.3 TREINAMENTO E CONSCIENTIZAÇÃO
7.4 AUDITORIA E CONFORMIDADE
7.5 REVISÃO E ATUALIZAÇÃO
8. RESPOSTA A INCIDENTES
8.1 PLANO DE RESPOSTA A INCIDENTES
8.2 NOTIFICAÇÃO DE INCIDENTES
8.3 GESTÃO PÓS-INCIDENTE
8.4 TREINAMENTO E CONSCIENTIZAÇÃO
8.5 MANUTENÇÃO E ATUALIZAÇÃO DO PLANO
8.6 CONFORMIDADE LEGAL E REGULATÓRIA
9. GOVERNANÇA E COMPLIANCE
9.1 ESTRUTURA DE GOVERNANÇA EM PROTEÇÃO DE DADOS
9.2 PROGRAMA DE COMPLIANCE EM PROTEÇÃO DE DADOS
9.3 AUDITORIAS E MONITORAMENTO
9.4 TREINAMENTO E CONSCIENTIZAÇÃO
9.5 GESTÃO DE FORNECEDORES E TERCEIROS
9.6 MELHORIA CONTÍNUA
9.7 REVISÃO E ATUALIZAÇÃO DA POLÍTICA
10. RESPONSABILIDADES
10.1 TODOS OS COLABORADORES
10.2 GESTORES E LÍDERES DE EQUIPE
10.3 DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO (TI)
10.4 RECURSOS HUMANOS (RH)
10.5 ENCARREGADO DE PROTEÇÃO DE DADOS (DPO)
10.6 DEPARTAMENTO JURÍDICO
10.7 ALTA ADMINISTRAÇÃO
11. CONSEQUÊNCIAS DO NÃO CUMPRIMENTO
11.1 CONSEQUÊNCIAS PARA O ESCRITÓRIO
11.2 CONSEQUÊNCIAS PARA INDIVÍDUOS
11.3 PROCESSO DE APLICAÇÃO DE MEDIDAS DISCIPLINARES
11.4 MEDIDAS CORRETIVAS E PREVENTIVAS
11.5 COMUNICAÇÃO E TRANSPARÊNCIA
11.6 REVISÃO E ATUALIZAÇÃO
12. CONTATO
Esta Política Interna de Proteção de Dados estabelece diretrizes, procedimentos e boas práticas para garantir a conformidade do escritório Vinciguera & Reic Advogados Associados com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD), o Marco Civil da Internet (Lei nº 12.965/2014), o Código de Ética e Disciplina da OAB, bem como outras legislações e regulamentações aplicáveis à proteção de dados pessoais no âmbito da advocacia.
Nosso compromisso é assegurar o mais alto nível de proteção e privacidade para os dados pessoais de nossos clientes, colaboradores, parceiros e demais titulares com os quais interagimos, mantendo a confidencialidade inerente à atividade advocatícia.
Esta política se aplica, sem exceção, a:
Todos os sócios do escritório
Advogados associados
Colaboradores em regime CLT
Estagiários
Prestadores de serviços que tenham acesso a dados pessoais
Parceiros e correspondentes que atuem em nome do escritório
Fornecedores que processem dados pessoais em nome do escritório
Todos os abrangidos por esta política devem aderir formalmente aos seus termos, comprometendo-se a seguir rigorosamente as diretrizes aqui estabelecidas no desempenho de suas funções.
Para os fins desta política, consideram-se as seguintes definições, alinhadas com a LGPD e o contexto específico da advocacia:
Dados Pessoais: Qualquer informação relacionada a uma pessoa natural identificada ou identificável, incluindo, mas não se limitando a: nome, RG, CPF, endereço, e-mail, telefone, dados bancários, número de processos, e informações contidas em petições e documentos legais.
Dados Pessoais Sensíveis: Categoria especial de dados pessoais referentes a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Tratamento: Toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Nosso escritório adota e aplica rigorosamente os seguintes princípios em todas as operações que envolvam o tratamento de dados pessoais:
2.1.1 Todos os dados pessoais devem ser tratados para propósitos legítimos, específicos e explícitos.
2.1.2 As finalidades do tratamento devem ser informadas ao titular de forma clara e inequívoca.
2.1.3 Exemplos de finalidades legítimas incluem: representação legal do cliente, cumprimento de obrigações contratuais, gestão de recursos humanos, e marketing jurídico (com consentimento).
2.2.1 Compatibilidade com Finalidades Informadas: O tratamento de dados pessoais deve ser realizado de forma estritamente compatível com as finalidades previamente informadas ao titular dos dados. Isso assegura que os dados sejam utilizados conforme o que foi acordado, garantindo transparência e confiança.
2.2.2 Uso Alternativo e Consentimento: Caso haja a necessidade de utilizar os dados pessoais para finalidades diferentes das inicialmente estabelecidas, é imprescindível obter uma nova base legal e/ou consentimento explícito do titular para a manter a conformidade com as leis de proteção de dados e respeitar o direito à informação.
2.2.3 Avaliação Contínua da Adequação: Para assegurar que o tratamento de dados permaneça adequado às finalidades originalmente declaradas, é essencial realizar avaliações periódicas, o que permite ajustes necessários frente a mudanças nos objetivos ou nas circunstâncias, garantindo que a prática de tratamento de dados permaneça atual e correta.
2.3.1 Coleta e Tratamento Limitados: A coleta e o tratamento de dados pessoais devem ser restritos ao mínimo necessário para atender às finalidades específicas previamente definidas, assegurando que apenas a quantidade necessária de dados seja utilizada, alinhando-se aos princípios de privacidade.
2.3.2 Princípio do “Need-to-Know“: Dentro do escritório, o acesso aos dados deve ser regulado pelo princípio do “need-to-know“, ou seja, somente pessoas essenciais ao tratamento das informações devem ter acesso a elas. Essa prática protege a confidencialidade e a segurança dos dados dos titulares.
2.3.3 Auditorias e Revisões Regulares: É fundamental conduzir auditorias regulares para identificar e remover dados que sejam excessivos ou desnecessários, o que garante a eliminação de informações pessoais não essenciais, mantendo o foco nos dados relevantes e respeitando as diretrizes de proteção de dados.
2.4.1 Acesso Facilitado aos Titulares: Garantir que os titulares tenham acesso fácil e gratuito para consultar o tratamento dos seus dados, reforçando a transparência e a confiança, permitindo que os titulares estejam cientes sobre como suas informações são utilizadas.
2.4.2 Canal de Comunicação Eficiente: Criar um canal de comunicação eficiente para atender prontamente as solicitações dos titulares. Isso inclui esclarecimentos, solicitações de acesso ou qualquer outra necessidade relacionada ao tratamento dos dados.
2.4.3 Informação Clara e Acessível: É essencial fornecer informações de maneira clara, precisa e de fácil acesso sobre o tratamento dos dados, incluindo informações sobre os agentes de tratamento envolvidos, assegurando que os titulares compreendam o ciclo completo de uso dos seus dados.
2.5.1 Garantia da Exatidão e Atualização: Processos devem ser implementados para assegurar a exatidão, clareza e constante atualização dos dados pessoais para manter a integridade das informações e a confiança dos titulares.
2.5.2 Correção de Dados Inexatos: Devem ser estabelecidos procedimentos para a correção de dados inexatos ou desatualizados para facilitar a atualização rápida e precisa das informações, evitando dados equivocados no tratamento.
2.5.3 Verificações Regulares: Realizar verificações periódicas da qualidade dos dados armazenados para identificar e corrigir quaisquer inconsistências ou erros nas informações processadas.
2.6.1 Proteção Avançada dos Dados: Medidas técnicas e administrativas avançadas devem ser aplicadas para proteger os dados pessoais contra acessos não autorizados, além de prevenir destruição, perda, alteração, comunicação ou difusão acidental ou ilícita.
2.6.2 Programa de Segurança da Informação: Um programa robusto de segurança da informação deve ser implementado, incorporando tecnologias como criptografia, controles de acesso rigorosos e monitoramento contínuo.
2.6.3 Prevenção Proativa de Incidentes: Medidas proativas devem ser adotadas para prevenir incidentes de segurança, assim como estabelecer estratégias para mitigar potenciais danos antes que se tornem um problema.
2.7.1 Proibição de Uso Discriminatório: O uso dos dados pessoais para fins discriminatórios ilícitos ou abusivos deve ser expressamente proibido, assegurando respeito equânime a todos os titulares.
2.7.2 Garantia de Processos Justos: É necessário garantir que algoritmos e processos automatizados não resultem em tratamentos discriminatórios, promovendo equidade na automação.
2.7.3 Promoção da Igualdade: Promover a igualdade e a diversidade em todas as práticas de tratamento de dados é fundamental para uma abordagem justa e inclusiva em nosso escritório.
2.8.1 Documentação das Operações de Tratamento: Todas as operações de tratamento de dados pessoais devem ser documentadas de forma detalhada, assegurando transparência e permitindo a rastreabilidade das ações em relação à proteção de dados.
2.8.2 Avaliações de Impacto à Proteção de Dados (DPIA): Realizar e manter atualizadas as Avaliações de Impacto à Proteção de Dados (DPIA) para identificar e mitigar riscos associados ao tratamento de dados pessoais.
2.8.3 Adoção de Medidas Eficazes: Medidas eficazes devem ser implementadas para estarem em conformidade com as normas de proteção de dados, garantindo o cumprimento das obrigações legais.
2.8.4 Registros de Decisões: Manter registros detalhados de todas as decisões tomadas em relação à proteção de dados.
2.9.1 Proteção de Dados na Concepção: A proteção de dados deve ser incorporada desde o início na concepção de novos projetos, serviços ou produtos, assegurando que a privacidade seja parte integrante do desenvolvimento.
2.9.2 Configuração Padrão Restritiva: Configurar sistemas e processos utilizando as opções de privacidade mais restritivas de maneira padrão, protegendo os dados pessoais por design.
2.9.3 Avaliações de Privacidade Pré-Implementação: Realizar avaliações de privacidade antes da implementação de novos tratamentos de dados, garantindo a identificação e a mitigação de riscos antecipadamente.
2.10.1 Reforço do Sigilo Profissional: Reforçar o dever de sigilo profissional inerente à advocacia em todas as operações de tratamento de dados é fundamental para proteger a confidencialidade dos dados dos clientes.
2.10.2 Compreensão e Respeito ao Sigilo: Garantir que todos os colaboradores compreendam e respeitem a natureza confidencial dos dados tratados pelo escritório, sendo isso uma responsabilidade essencial de cada membro da equipe.
2.10.3 Medidas de Segurança Adicionais: Implementar medidas de segurança adicionais para proteger dados sujeitos ao sigilo profissional, garantindo um nível elevado de proteção.
2.11.1 Obtenção de Consentimento: Sempre que necessário, obter o consentimento livre, informado e inequívoco do titular dos dados, garantindo que estejam plenamente cientes e de acordo com o tratamento dos seus dados.
2.11.2 Facilidade de Retirada de Consentimento: Assegurar que o consentimento possa ser retirado com a mesma facilidade com que foi dado, respeitando a autonomia e os direitos dos titulares.
2.11.3 Respeito à Autonomia do Titular: Respeitar a autonomia do titular, proporcionando opções claras e acessíveis para que exerçam seus direitos de maneira plena e eficaz.
A aplicação desses princípios deve ser contínua e envolver todas as atividades do escritório relacionadas ao tratamento de dados pessoais. Todos os colaboradores têm a responsabilidade de incorporar esses princípios em suas rotinas diárias, assegurando a proteção efetiva dos dados pessoais sob nossa guarda.
O escritório realizará o tratamento de dados pessoais somente quando amparado por uma das bases legais previstas na Lei Geral de Proteção de Dados (LGPD), a saber:
Consentimento do titular: Obtido de forma livre, informada e inequívoca, para finalidades específicas e legítimas.
Cumprimento de obrigação legal ou regulatória: Quando o tratamento for necessário para atender a legislação aplicável ou regulamentações setoriais.
Execução de contrato: Para o cumprimento de obrigações contratuais ou procedimentos preliminares relacionados a contrato do qual seja parte o titular.
Legítimo interesse: Quando necessário para atender aos interesses legítimos do escritório ou de terceiros, respeitados os direitos e liberdades fundamentais do titular.
Exercício regular de direitos: Em processos judiciais, administrativos ou arbitrais.
Proteção da vida ou da incolumidade física: Do titular ou de terceiro.
Tutela da saúde: Em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
Proteção do crédito: Conforme legislação pertinente.
3.2.1 O escritório se compromete a coletar e processar apenas os dados pessoais estritamente necessários para as finalidades específicas e legítimas informadas ao titular.
3.2.2 Serão implementados procedimentos para garantir que:
Apenas dados relevantes e proporcionais à finalidade sejam coletados.
Os dados sejam retidos apenas pelo tempo necessário para cumprir a finalidade específica.
O acesso aos dados seja limitado aos colaboradores que efetivamente necessitem para o desempenho de suas funções.
3.3.1 Em conformidade com a LGPD, o escritório manterá um registro atualizado de todas as atividades de tratamento de dados pessoais realizadas em suas operações.
3.3.2 O registro das operações conterá, no mínimo:
Finalidade específica do tratamento;
Base legal utilizada;
Descrição dos tipos de dados pessoais tratados;
Categoria dos titulares de dados;
Período de retenção dos dados;
Identificação de eventuais operadores e/ou controladores conjuntos;
Informações sobre transferências internacionais de dados, se aplicável;
Descrição geral das medidas de segurança técnicas e organizacionais.
3.3.3 O Encarregado de Proteção de Dados (DPO) será responsável por manter e atualizar regularmente este registro, que deverá estar disponível para consulta pela Autoridade Nacional de Proteção de Dados (ANPD), quando solicitado.
3.4.1 Será realizada uma Avaliação de Impacto à Proteção de Dados (DPIA) antes da implementação de novos projetos ou alterações significativas que envolvam o tratamento de dados pessoais, especialmente quando:
Houver tratamento em larga escala de dados pessoais sensíveis;
O tratamento utilizar tecnologias inovadoras;
Existir potencial de alto risco aos direitos e liberdades fundamentais dos titulares.
3.4.2 A DPIA deverá conter, no mínimo:
Descrição sistemática das operações de tratamento previstas;
Avaliação da necessidade e proporcionalidade do tratamento;
Avaliação dos riscos aos direitos e liberdades dos titulares;
Medidas previstas para mitigar os riscos identificados.
3.5.1 O escritório se compromete a fornecer aos titulares informações claras, precisas e facilmente acessíveis sobre o tratamento de seus dados pessoais, incluindo:
Finalidades específicas do tratamento;
Forma e duração do tratamento;
Identificação do controlador e informações de contato;
Informações sobre o uso compartilhado de dados;
Responsabilidades dos agentes que realizarão o tratamento;
Direitos dos titulares, com menção explícita aos direitos previstos na LGPD.
3.5.2 Estas informações serão disponibilizadas por meio de avisos de privacidade, termos de uso, e outros documentos relevantes, que serão revisados e atualizados periodicamente.
Esta política de coleta e tratamento de dados pessoais será revisada anualmente, ou sempre que houver mudanças significativas nas práticas de tratamento de dados do escritório, para garantir sua contínua adequação à legislação vigente e às melhores práticas de proteção de dados.
O escritório reconhece e garante os direitos dos titulares de dados pessoais, conforme estabelecido na Lei Geral de Proteção de Dados (LGPD) e outras legislações aplicáveis. Esta seção detalha os procedimentos para o exercício desses direitos e as obrigações do escritório em relação a eles.
Os titulares de dados pessoais têm os seguintes direitos em relação aos seus dados tratados pelo escritório:
Confirmação da existência de tratamento;
Acesso aos dados;
Correção de dados incompletos, inexatos ou desatualizados;
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
Portabilidade dos dados a outro fornecedor de serviço ou produto;
Eliminação dos dados pessoais tratados com o consentimento do titular;
Informação sobre entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
Revogação do consentimento.
4.2.1 O escritório disponibilizará um canal específico para recebimento e processamento das solicitações dos titulares, que será gerenciado pelo Encarregado de Proteção de Dados (DPO).
E-mail para solicitações: contato@vinciguerareic.adv.br
Formulário online: Solicitação de Direitos do Titular de Dados
4.2.2 Antes de processar qualquer solicitação, o escritório realizará a verificação da identidade do solicitante para garantir a legitimidade do pedido e a segurança dos dados.
4.2.3 Todas as solicitações recebidas serão registradas em sistema próprio, com data de recebimento, tipo de solicitação e prazo para resposta.
4.2.4 O DPO, em conjunto com as áreas relevantes, analisará cada solicitação para determinar sua viabilidade e os procedimentos necessários para atendê-la.
4.2.5 A resposta será fornecida por escrito, de forma clara e completa, preferencialmente pelo mesmo canal utilizado pelo titular para a solicitação.
4.3.1 O escritório responderá às solicitações dos titulares no prazo de 15 (quinze) dias corridos, contados da data do recebimento da solicitação, conforme estabelecido pela LGPD.
4.3.2 Em casos de alta complexidade, o prazo poderá ser prorrogado por mais 15 (quinze) dias, mediante justificativa expressa enviada ao titular.
Caso não seja possível atender imediatamente à solicitação, o escritório enviará resposta ao titular indicando as razões de fato ou de direito que impedem a adoção imediata da providência.
4.4.1 O exercício dos direitos previstos na LGPD será gratuito para o titular.
4.5.1 O escritório poderá deixar de atender à solicitação do titular nos seguintes casos:
Quando houver obrigação legal ou regulatória que impeça o atendimento;
Quando o atendimento implicar em revelação de segredos comerciais e industriais;
Quando o pedido se referir a dados protegidos por sigilo profissional advocatício.
4.5.2 Nesses casos, o titular será informado sobre os motivos da negativa de atendimento.
4.6.1 O escritório implementará medidas técnicas e organizacionais para garantir o efetivo cumprimento dos direitos dos titulares, incluindo:
Sistemas de gestão de consentimento;
Procedimentos para anonimização, bloqueio e eliminação de dados;
Mecanismos de portabilidade de dados em formato interoperável;
Treinamento regular da equipe sobre os direitos dos titulares e procedimentos de atendimento.
Esta política de direitos dos titulares será revisada anualmente, ou sempre que houver mudanças significativas na legislação ou nas práticas do escritório, para garantir sua contínua adequação e eficácia.
O escritório reconhece a importância da segurança da informação e a proteção de dados pessoais em suas operações. Esta seção estabelece as diretrizes e medidas de segurança adotadas pelo escritório para garantir a confidencialidade, integridade e disponibilidade dos dados sob sua responsabilidade.
5.1.1 Implementação de MFA: É obrigatória a implementação de autenticação multifator (MFA) para o acesso aos sistemas Microsoft 365, garantindo uma camada adicional de segurança.
5.1.2 Fatores de Autenticação: Recomenda-se o uso de pelo menos dois fatores de autenticação, que podem incluir uma senha forte e um token virtual, para garantir robustez na segurança.
5.1.3 Princípio do Menor Privilégio: Os níveis de acesso devem ser atribuídos seguindo o princípio do menor privilégio e baseado na necessidade de conhecimento, restringindo assim o acesso ao essencial.
5.1.4 Revisões de Acesso: Estabelece-se que revisões trimestrais sejam realizadas nos direitos de acesso de todos os usuários para assegurar que as permissões estejam atualizadas e apropriada
5.1.5 Gerenciamento de Acessos: Deve haver um processo formalizado para a solicitação, aprovação e revogação de acessos, garantindo controle adequado sobre as permissões.
5.1.6 Desativação de Acessos: A política requer a desativação imediata de acessos em casos de desligamento ou mudança de função, para manter a segurança dos dados.
5.2.1 Criptografia de E-mails: Prevê-se que a criptografia de e-mails seja ativada para todas as comunicações externas, sempre que necessário, aumentando a confidencialidade.
5.2.2 Políticas de Retenção: As políticas de retenção devem ser configuradas em conformidade com os requisitos legais e as necessidades do negócio, assegurando a segurança e a conformidade.
5.2.3 Exclusão Segura de Dados: A política inclui a implementação de processos automatizados para a exclusão segura de dados após o período de retenção estabelecido.
5.2.4 Classificação de Documentos: Utiliza-se o Microsoft Information Protection (MIP) para a classificação automática de documentos sensíveis como parte da política de proteção de dados.
5.2.5 Rótulos de Sensibilidade: A aplicação de rótulos de sensibilidade é prevista para gerenciar o acesso e a distribuição de informações confidenciais.
5.2.6 Políticas de DLP: A política estabelece a configuração de políticas de prevenção contra perda de dados (DLP) para identificar e proteger informações sensíveis.
5.3.1 Limpeza Remota: Há a previsão de capacidade para limpeza remota de dados em dispositivos móveis em caso de perda ou roubo.
5.3.2 Monitoramento de Acesso Remoto: O monitoramento e registro de todas as sessões de acesso remoto são atividades contempladas nessa política para reforçar a segurança.
5.3.3 Bloqueio de Dispositivos: Impõe-se a necessidade de bloquear dispositivos quando não estiverem em uso, prevenindo acessos não autorizados.
5.3.4 Proteção de Documentos Físicos: Estipula-se a prevenção contra exposição de documentos sensíveis em mesas ou impressoras.
5.4.1 Treinamentos Obrigatórios: A política determina a oferta de treinamentos obrigatórios sobre proteção de dados e segurança da informação para todos os colaboradores anualmente.
5.4.2 Treinamentos Específicos: Prevê-se treinamentos específicos para equipes que lidam diretamente com dados sensíveis ou têm acesso privilegiado.
5.4.3 Programa de Conscientização: Estabelece-se um programa contínuo de conscientização, incluindo e-mails informativos, pôsteres e workshops, para aumentar o conhecimento sobre segurança.
5.4.4 Simulações de Phishing: A política inclui a realização de simulações de phishing para testar e melhorar a conscientização dos colaboradores.
5.4.5 Cultura de Privacidade e Segurança: Há a promoção ativa de uma cultura de privacidade e segurança no escritório, incentivando a adoção de boas práticas.
5.4.6 Relato de Incidentes: Incentiva-se o reporte imediato de incidentes ou suspeitas de violações de segurança para tratar rapidamente os mesmos.
5.5.1 Plano de Resposta a Incidentes: A política prevê o desenvolvimento e manutenção de um plano detalhado de resposta a incidentes de segurança.
5.5.2 Definição de Papéis e Responsabilidades: Estabelece a necessidade de clara definição de papéis e responsabilidades dentro da equipe de resposta a incidentes.
5.5.3 Procedimentos de Notificação: Procedimentos para notificação interna e externa em caso de incidentes de segurança são contemplados para assegurar a conformidade.
5.5.4 Conformidade Legal: A política reforça a necessidade de conformidade com os requisitos legais de notificação à ANPD e aos titulares de dados afetados.
5.6.1 Auditorias Internas: Estabelecem-se auditorias internas de segurança da informação semestralmente, visando garantir a conformidade contínua.
5.6.2 Auditoria Externa: A política contempla a realização de auditorias externas anualmente para assegurar imparcialidade e detecção de áreas de melhoria.
5.6.3 Sistemas de IDS/IPS: A implementação de sistemas de detecção e prevenção de intrusões (IDS/IPS) é prevista para preservar a integridade dos dados.
5.6.4 Monitoramento Contínuo: O monitoramento contínuo de logs e eventos de segurança é parte integrante da política para garantir a resposta rápida a ameaças.
Esta política de segurança da informação será revisada anualmente, ou sempre que houver mudanças significativas no ambiente tecnológico ou nos requisitos legais, para garantir sua contínua adequação e eficácia.
O escritório reconhece a sensibilidade do compartilhamento de dados pessoais e se compromete a realizá-lo de forma responsável, transparente e em estrita conformidade com a Lei Geral de Proteção de Dados (LGPD) e outras legislações aplicáveis. Esta seção define as diretrizes e procedimentos para o compartilhamento de dados com terceiros e para transferências internacionais.
6.1.1 Due Diligence de Terceiros: Realiza-se uma due diligence rigorosa antes de qualquer compartilhamento de dados com terceiros para garantir que todas as partes envolvidas atendam aos requisitos necessários de proteção de dados.
6.1.2 Conformidade com a LGPD: A conformidade do terceiro com a LGPD e outras legislações de proteção de dados aplicáveis é avaliada para assegurar o alinhamento com as normas legais e regulatórias.
6.1.3 Práticas de Segurança da Informação: As práticas de segurança da informação do terceiro são verificadas, incluindo certificações relevantes, para garantir que os padrões de segurança sejam mantidos.
6.1.4 Capacidade de Proteção: A capacidade técnica e organizacional do terceiro para proteger dados pessoais é um critério fundamental na avaliação.
6.1.5 Histórico de Segurança: O histórico de incidentes de segurança e violações de dados do terceiro é analisado para identificar riscos potenciais.
6.1.6 Políticas e Procedimentos de Proteção: Constata-se a existência de políticas e procedimentos de proteção de dados implementados pelo terceiro.
6.1.7 Treinamento de Funcionários: Verifica-se a existência de programas de treinamento e conscientização dos funcionários sobre proteção de dados.
6.1.8 Subcontratações e Cadeia de Fornecedores: A subcontratação e a cadeia de fornecedores envolvidos no tratamento de dados são avaliadas para assegurar a proteção contínua dos dados.
6.1.9 Reavaliações Anuais: Conduzem-se reavaliações anuais dos terceiros com acesso contínuo a dados pessoais, assegurando a atualização das práticas.
6.1.10 Monitoramento Contínuo: Implementa-se um processo de monitoramento contínuo para identificar mudanças significativas nas práticas do terceiro.
6.2.1 Cláusulas específicas sobre proteção de dados são incluídas em todos os contratos envolvendo compartilhamento de dados pessoais, abordando aspectos como:
Objeto e duração do tratamento
Natureza e finalidade do tratamento
Tipos de dados pessoais envolvidos
Direitos e obrigações das partes
Medidas de segurança técnicas e organizacionais
Dever de confidencialidade
Assistência ao controlador no atendimento dos direitos dos titulares
Notificação de incidentes de segurança
Devolução ou eliminação dos dados ao término do contrato
Auditorias e inspeções
Responsabilidade e indenização em caso de violações
6.2.2 Autorização Prévia para Subcontratação: Exige-se autorização prévia e expressa do escritório para qualquer subcontratação.
6.2.3 Obrigações dos Subcontratados: Garante-se que subcontratados assumam as mesmas obrigações de proteção de dados.
6.2.4 Acordos de Nível de Serviço (SLA): Estabelecem-se SLAs específicos para proteção de dados, incluindo:
Tempo de resposta para incidentes de segurança
Disponibilidade e integridade dos dados
Prazos para atendimento de solicitações de titulares
6.3.1 Verificação de Nível de Proteção: Verifica-se se o país ou organização internacional de destino possui nível adequado de proteção de dados reconhecido pela ANPD.
6.3.2 Salvaguardas na Ausência de Adequação: Na ausência de decisão de adequação, implementam-se salvaguardas apropriadas.
6.3.3 Mecanismos de Transferência: Utiliza-se um ou mais dos seguintes mecanismos para transferências internacionais:
Cláusulas-padrão contratuais aprovadas pela ANPD
Normas corporativas globais (Binding Corporate Rules – BCRs)
Selos, certificados e códigos de conduta regularmente emitidos
Cláusulas contratuais específicas aprovadas pela ANPD
6.3.4 Consentimento para Transferências Internacionais: Obtém-se consentimento específico do titular para transferências internacionais, quando aplicável.
6.3.5 Informações sobre Riscos: Fornecem-se informações claras sobre os riscos envolvidos na transferência.
6.3.6 Registro de Transferências Internacionais: Mantém-se registro detalhado de todas as transferências internacionais realizadas.
6.3.7 Documentação de Salvaguardas: Documentam-se as salvaguardas implementadas para cada transferência.
6.4.1 Avaliação de Requisições: Todas as requisições de compartilhamento de dados devem passar por uma avaliação criteriosa pela equipe jurídica interna, garantindo que sejam fundamentadas e legalmente justificáveis.
6.4.2 Limitação de Dados Compartilhados: Os dados compartilhados devem ser limitados ao estritamente necessário para atender à requisição, minimizando o risco de exposição indevida das informações.
6.4.3 Notificação ao Titular: Sempre que possível e quando o sigilo legal não for imposto, deve-se notificar o titular sobre o compartilhamento de seus dados.
6.4.4 Due Diligence em Fusões e Aquisições: Deve-se realizar uma due diligence de proteção de dados em processos de fusão ou aquisição para avaliar riscos e garantir conformidade com a LGPD.
6.4.5 Garantias em Acordos de Transação: Inclui-se garantias de proteção de dados em todos os acordos de transação, assegurando que ambas as partes respeitem obrigações de proteção de dados.
6.4.6 Notificação de Mudanças no Controlador: Os titulares devem ser notificados sobre mudanças no controlador, quando aplicável, para manter a transparência e permitir o exercício de seus direitos.
6.5.1 Informações em Avisos de Privacidade: Os avisos de privacidade devem incluir informações claras sobre o compartilhamento de dados para garantir que os titulares estão cientes de como suas informações são utilizadas.
6.5.2 Listagem de Destinatários: Se solicitado pelo titular, fornece-se uma lista atualizada de categorias de destinatários dos dados, promovendo a transparência do processo de compartilhamento.
6.5.3 Mecanismos de Consentimento: Devem ser implementados mecanismos eficazes para a obtenção e gestão do consentimento para compartilhamentos específicos, permitindo controle ativo dos titulares sobre seus dados.
6.5.4 Direito de Revogação de Consentimento: As políticas devem garantir que os titulares possam revogar seu consentimento a qualquer momento, sem entraves, exercendo seu direito de manter o controle sobre suas informações pessoais.
6.6.1 Logs de Compartilhamento de Dados: Deve-se manter logs detalhados de todos os compartilhamentos de dados realizados, permitindo o rastreamento e auditoria das operações.
6.6.2 Revisões Periódicas: Realizam-se revisões periódicas dos registros para assegurar conformidade contínua com as políticas internas e a legislação vigente, corrigindo quaisquer desajustes detectados.
6.6.3 Auditorias Internas: Devem-se realizar auditorias internas anuais sobre práticas de compartilhamento de dados, garantindo que todos os procedimentos estejam de acordo com as normas de proteção de dados.
6.6.4 Auditorias Externas: Submissão a auditorias externas é prevista quando exigido por lei ou contrato, para validação imparcial das práticas de compartilhamento de dados.
6.7.1 Treinamento Específico: Os colaboradores envolvidos em operações de compartilhamento de dados devem receber treinamento específico para assegurar que suas práticas sejam adequadas e seguras.
6.7.2 Atualizações Anuais: Promovem-se atualizações anuais sobre melhores práticas e requisitos legais em proteção de dados, garantindo que toda a equipe esteja ciente das mudanças e exigências regulatórias.
Esta política de compartilhamento e transferência de dados será revisada anualmente, ou sempre que houver mudanças significativas na legislação ou nas práticas do escritório, para garantir sua contínua adequação e eficácia.
O escritório reconhece a importância de manter os dados pessoais apenas pelo tempo necessário para cumprir as finalidades específicas de seu tratamento, em conformidade com a Lei Geral de Proteção de Dados (LGPD) e outras legislações aplicáveis. Esta seção estabelece as diretrizes e procedimentos para a retenção e eliminação segura de dados pessoais.
7.1.1 Princípios Gerais
Minimização: Reter apenas os dados pessoais necessários para cumprir as finalidades específicas do tratamento.
Limitação temporal: Manter os dados apenas pelo período necessário para atender às finalidades do tratamento, obrigações legais ou interesses legítimos do escritório.
Revisão periódica: Avaliar regularmente a necessidade de continuar retendo os dados pessoais.
7.1.2 Estabelecem-se períodos de retenção específicos para diferentes categorias de dados, tais como:
Dados de Clientes Ativos: Duração do relacionamento contratual + 5 anos após o término.
Dados de Clientes Inativos: 5 anos após o término do último contrato ou interação.
Dados de Prospecção: 2 anos após o último contato se não houver relação contratual.
Dados de Colaboradores: Duração do vínculo empregatício + 5 anos após o término.
Dados de Candidatos a Vagas: 6 meses após o encerramento do processo seletivo.
Registros Contábeis e Fiscais: 10 anos, conforme legislação tributária.
Registros de Acesso (Logs): 6 meses, conforme o Marco Civil da Internet.
Gravações de Câmeras de Segurança: 30 dias, salvo em caso de incidentes.
7.1.3 Documentação e Justificação
Documentação: Mantém-se registro das razões para os períodos de retenção estabelecidos.
Bases Legais: Documenta-se a justificativa legal para retenção prolongada quando aplicável.
Revisão Anual: Realiza-se revisão anual da política de retenção para garantir sua adequação.
7.1.4 Ajuste e Atualização: Os períodos de retenção são ajustados conforme mudanças na legislação ou nas necessidades do negócio identificadas.
7.2.1 Princípios de Eliminação
Irreversibilidade: Garantir que os dados eliminados não possam ser recuperados.
Abrangência: Aplicar procedimentos a todas as cópias e backups.
Segurança: Proteger dados contra acesso não autorizado durante a eliminação.
7.2.2 Métodos de Eliminação para Dados Digitais
Sobrescrita Segura: Utilização de software especializado para dados em mídias reutilizáveis.
Desmagnetização: Aplicável a mídias magnéticas.
Destruição Física: Para mídias não reutilizáveis ou sensíveis.
Criptografia e Descarte de Chaves: Para dados em nuvem ou sistemas de difícil acesso direto.
7.2.3 Métodos de Eliminação para Dados Físicos
Trituração: Uso de trituradores de corte cruzado para papel.
Incineração: Para documentos ou mídias altamente sensíveis.
Descaracterização: Para itens que não possam ser triturados ou incinerados.
7.2.4 Procedimentos Específicos
Dados em Sistemas Ativos: Rotinas automatizadas e verificações manuais periódicas.
Dados em Backups: Garantir que dados eliminados também sejam removidos dos backups.
Dados em Poder de Terceiros: Incluir cláusulas contratuais e solicitar certificados de destruição.
7.2.5 Registro e Documentação: Manter logs detalhados de todas as operações de eliminação, documentando métodos, datas e responsabilidades.
7.2.6 Exceções à Eliminação
Anonimização: Onde possível, optar pela anonimização em vez de eliminação.
Obrigações Legais: Manter dados necessários para conformidade legal, documentando a base legal.
7.3.1 Treinamento Geral: Treinar todos os colaboradores sobre a importância da retenção limitada e eliminação segura de dados.
7.3.2 Treinamento Específico: Fornecer treinamento direcionado para equipes responsáveis pela execução dos procedimentos de eliminação.
7.4.1 Auditorias Internas: Realizar auditorias internas semestrais para verificar a conformidade com a política de retenção e eliminação.
7.4.2 Medidas Corretivas: Implementar medidas corretivas para corrigir não conformidades identificadas.
7.4.3 Avaliações de Risco: Conduzir avaliações de risco anuais relacionadas à retenção e eliminação de dados, atualizando procedimentos conforme necessário.
Esta política de retenção e eliminação de dados será revisada anualmente, ou sempre que houver mudanças significativas na legislação ou nas práticas do escritório, para garantir sua contínua adequação e eficácia.
O escritório reconhece a importância crítica de uma resposta rápida e eficaz a incidentes de segurança e violações de dados pessoais. Esta seção estabelece as diretrizes e procedimentos para a gestão de incidentes, em conformidade com a Lei Geral de Proteção de Dados (LGPD) e outras legislações aplicáveis.
8.1.1 Estabelecer uma equipe multidisciplinar de resposta a incidentes, incluindo representantes de TI, Jurídico, Compliance e Comunicação.
8.1.2 Definir claramente os papéis e responsabilidades de cada membro da equipe.
8.1.3 Designar um líder de equipe responsável pela coordenação geral da resposta a incidentes.
8.1.4 Estabelecer critérios claros para identificação de incidentes de segurança e violações de dados.
8.1.5 Implementar um sistema de classificação de incidentes baseado em severidade e impacto potencial.
8.1.6 Definir níveis de escalação com base na classificação do incidente.
8.1.7 Procedimentos de Resposta
Contenção: Medidas imediatas para conter o incidente e prevenir danos adicionais.
Investigação: Processo detalhado para determinar a causa, extensão e impacto do incidente.
Mitigação: Ações para reduzir o impacto do incidente e restaurar a normalidade das operações.
Documentação: Registro detalhado de todas as ações tomadas durante a resposta ao incidente.
8.1.8 Estabelecer protocolos de comunicação interna para notificar stakeholders relevantes.
8.1.9 Definir modelos de comunicação para diferentes tipos e níveis de incidentes.
8.1.10 Realizar simulações semestrais de resposta a incidentes para testar a eficácia do plano.
8.1.11 Conduzir revisões pós-simulação para identificar áreas de melhoria.
8.2.1 Estabelecer critérios claros para determinar quais incidentes são de notificação obrigatória à Autoridade Nacional de Proteção de Dados (ANPD).
8.2.2 Definir um processo para preparar e submeter notificações à ANPD dentro do prazo legal de 2 dias úteis.
8.2.3 Conteúdo mínimo da notificação:
Descrição da natureza dos dados pessoais afetados.
Informações sobre os titulares envolvidos.
Indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados.
Riscos relacionados ao incidente.
Medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do prejuízo.
8.2.4 Estabelecer critérios para determinar quando a notificação aos titulares é necessária.
8.2.5 Desenvolver modelos de comunicação claros e transparentes para diferentes tipos de incidentes.
8.2.6 Implementar canais de comunicação eficientes para notificar os titulares (e-mail, SMS, correspondência).
8.2.7 Conteúdo da notificação aos titulares:
Descrição clara da natureza da violação.
Informações de contato para obtenção de mais detalhes.
Descrição das possíveis consequências da violação.
Medidas tomadas ou planejadas para mitigar os efeitos da violação.
8.2.8 Identificar outras partes que possam precisar ser notificadas (clientes corporativos, parceiros, seguradoras).
8.2.9 Estabelecer protocolos de comunicação específicos para cada grupo.
8.3.1 Conduzir uma análise detalhada pós-incidente para identificar causas raiz e lições aprendidas.
8.3.2 Documentar todo o processo de resposta ao incidente, incluindo timeline de eventos e ações tomadas.
8.3.3 Desenvolver um plano de ação para implementar melhorias baseadas nas lições aprendidas.
8.3.4 Atualizar políticas, procedimentos e controles de segurança conforme necessário.
8.3.5 Implementar medidas de monitoramento adicional após um incidente para detectar possíveis recorrências.
8.3.6 Realizar avaliações de vulnerabilidade e testes de penetração pós-incidente.
8.4.1 Conduzir treinamentos regulares sobre resposta a incidentes para todos os membros da equipe.
8.4.2 Realizar workshops específicos para a equipe de resposta a incidentes.
8.4.3 Desenvolver programas de conscientização sobre segurança da informação e proteção de dados para todos os colaboradores.
8.4.4 Incentivar a cultura de reporte imediato de suspeitas de incidentes.
8.5.1 Revisar e atualizar o plano de resposta a incidentes anualmente.
8.5.2 Realizar atualizações adicionais após incidentes significativos ou mudanças relevantes na infraestrutura de TI ou processos de negócio.
8.5.3 Manter um controle rigoroso de versões do plano de resposta a incidentes.
8.5.4 Garantir que todos os membros relevantes tenham acesso à versão mais recente do plano.
8.6.1 Manter-se atualizado sobre mudanças na legislação e regulamentações relacionadas à notificação de incidentes.
8.6.2 Ajustar os procedimentos conforme necessário para garantir conformidade contínua.
8.6.3 Manter registros detalhados de todos os incidentes e respostas para fins de auditoria e conformidade.
8.6.4 Estar preparado para fornecer documentação às autoridades reguladoras, se solicitado.
O escritório está comprometido com a implementação de uma estrutura robusta de governança e compliance em proteção de dados, garantindo a conformidade contínua com a Lei Geral de Proteção de Dados (LGPD) e outras legislações aplicáveis. Esta seção estabelece as diretrizes e procedimentos para assegurar uma gestão eficaz da proteção de dados no escritório.
9.1.1 Estabelecer um Comitê de Proteção de Dados multidisciplinar, composto por representantes das áreas Jurídica, TI, Compliance, Recursos Humanos e Gestão.
9.1.2 O Comitê será responsável por:
Supervisionar a implementação da estratégia de proteção de dados do escritório
Aprovar políticas e procedimentos relacionados à proteção de dados
Avaliar e aprovar projetos que envolvam tratamento significativo de dados pessoais
Analisar relatórios de conformidade e incidentes de segurança
9.1.3 Designar formalmente um Encarregado de Proteção de Dados (DPO) com as seguintes responsabilidades:
Atuar como ponto de contato entre o escritório, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)
Orientar funcionários e contratados sobre as práticas de proteção de dados
Supervisionar a conformidade com a LGPD e outras leis de proteção de dados aplicáveis
Conduzir avaliações de impacto à proteção de dados (DPIAs)
Monitorar e reportar o desempenho em proteção de dados ao Comitê
9.1.4 Garantir que o DPO tenha acesso direto à alta administração do escritório.
9.1.5 Fornecer ao DPO os recursos necessários para o desempenho eficaz de suas funções.
9.1.6 Definir claramente as responsabilidades de proteção de dados para cada área do escritório.
9.2.1 Desenvolver e manter um conjunto abrangente de políticas e procedimentos de proteção de dados, incluindo:
Política geral de proteção de dados
Procedimentos para exercício dos direitos dos titulares
Política de retenção e eliminação de dados
Procedimentos de resposta a incidentes
Política de segurança da informação
9.2.2 Revisar e atualizar todas as políticas e procedimentos anualmente ou conforme necessário.
9.2.3 Manter um inventário atualizado de todas as atividades de tratamento de dados pessoais realizadas pelo escritório.
9.2.4 Documentar as bases legais, finalidades, categorias de dados e destinatários para cada atividade de tratamento.
9.2.5 Estabelecer critérios claros para determinar quando uma DPIA é necessária.
9.2.6 Implementar um processo estruturado para conduzir DPIAs.
9.2.7 Revisar e atualizar as DPIAs periodicamente ou quando houver mudanças significativas nos processos de tratamento.
9.2.8 Integrar a proteção de dados ao processo geral de gestão de riscos do escritório.
9.2.9Realizar avaliações regulares de riscos relacionados à proteção de dados.
9.2.10 Implementar e monitorar medidas de mitigação de riscos identificados.
9.3.1 Conduzir auditorias internas semestrais para avaliar a conformidade com as políticas de proteção de dados e a legislação aplicável.
9.3.2 Desenvolver um plano anual de auditoria, abrangendo todas as áreas relevantes do escritório.
9.3.3 Documentar os resultados das auditorias e apresentá-los ao Comitê de Proteção de Dados.
9.3.4 Implementar ferramentas e processos para monitoramento contínuo da conformidade em proteção de dados.
9.3.5 Estabelecer KPIs (Indicadores-Chave de Desempenho) relacionados à proteção de dados e monitorá-los regularmente.
9.3.6 Considerar a realização de auditorias externas periódicas por especialistas independentes em proteção de dados.
9.3.7 Implementar as recomendações resultantes das auditorias externas.
9.4.1 Desenvolver um programa abrangente de treinamento em proteção de dados para todos os colaboradores.
9.4.2 Fornecer treinamento especializado para equipes que lidam diretamente com dados pessoais sensíveis ou em grande volume.
9.4.3 Conduzir treinamentos de reciclagem anuais e sempre que houver mudanças significativas nas políticas ou na legislação.
9.4.4 Implementar campanhas regulares de conscientização sobre proteção de dados.
9.4.5 Utilizar diversos canais de comunicação (e-mails, intranet, pôsteres) para reforçar mensagens-chave.
9.5.1 Realizar due diligence em proteção de dados antes de contratar fornecedores que processarão dados pessoais.
9.5.2 Incluir cláusulas robustas de proteção de dados em todos os contratos com fornecedores e parceiros.
9.5.3 Estabelecer um processo para monitorar continuamente a conformidade de fornecedores e parceiros com os requisitos de proteção de dados.
9.5.4 Conduzir auditorias periódicas em fornecedores críticos.
9.6.1 Realizar uma revisão anual abrangente do programa de governança e compliance em proteção de dados.
9.6.2 Identificar áreas de melhoria e desenvolver planos de ação para endereçá-las.
9.6.3 Manter-se atualizado sobre as melhores práticas e tendências em proteção de dados no setor jurídico.
9.6.4 Participar de fóruns e grupos de trabalho relevantes sobre proteção de dados.
9.7.1 Conduzir uma revisão completa desta política de governança e compliance anualmente.
9.7.2 Envolver todas as partes interessadas relevantes no processo de revisão.
9.7.3 Atualizar a política sempre que houver mudanças significativas na legislação, nas práticas do escritório ou no ambiente de ameaças à proteção de dados.
9.7.4 Comunicar prontamente quaisquer alterações na política a todos os colaboradores e partes interessadas relevantes.
O escritório reconhece que a proteção de dados é uma responsabilidade compartilhada por todos os membros da organização. Esta seção detalha as responsabilidades específicas de diferentes funções e departamentos em relação à implementação e manutenção das práticas de proteção de dados.
Todos os colaboradores do escritório, independentemente de sua posição ou função, têm as seguintes responsabilidades:
Ler, compreender e aderir rigorosamente a esta política de proteção de dados e todas as políticas e procedimentos relacionados.
Participar ativamente e concluir todos os treinamentos obrigatórios sobre proteção de dados e segurança da informação.
Tratar os dados pessoais com o devido cuidado e confidencialidade, seguindo o princípio do “need-to-know”.
Reportar imediatamente ao Encarregado de Proteção de Dados (DPO) ou ao superior imediato qualquer suspeita de violação de dados, incidentes de segurança ou não conformidade com esta política.
Consultar o DPO ou o departamento jurídico em caso de dúvidas sobre o tratamento de dados pessoais.
Manter-se atualizado sobre as comunicações internas relacionadas à proteção de dados.
Garantir que os dados pessoais sejam coletados e processados apenas para finalidades legítimas e autorizadas.
Respeitar os direitos dos titulares de dados e encaminhar prontamente quaisquer solicitações ao DPO.
Além das responsabilidades gerais, os gestores e líderes de equipe devem:
Garantir que todos os membros de sua equipe estejam cientes, compreendam e cumpram esta política e os procedimentos relacionados à proteção de dados.
Conduzir avaliações regulares dos riscos de proteção de dados em seus departamentos ou áreas de responsabilidade.
Implementar e monitorar medidas de mitigação de riscos identificados, em colaboração com o DPO e a equipe de TI.
Promover uma cultura de privacidade e proteção de dados dentro de suas equipes.
Garantir que novos projetos ou iniciativas em suas áreas considerem a proteção de dados desde a concepção (Privacy by Design).
Colaborar com o DPO na realização de Avaliações de Impacto à Proteção de Dados (DPIAs) quando necessário.
Assegurar que os membros da equipe participem dos treinamentos obrigatórios e atividades de conscientização sobre proteção de dados.
Reportar regularmente ao Comitê de Proteção de Dados sobre o status de conformidade em sua área.
A equipe de TI tem responsabilidades cruciais na implementação técnica da proteção de dados:
Implementar, manter e atualizar regularmente as medidas técnicas de segurança descritas nesta política.
Desenvolver e manter uma arquitetura de sistemas que incorpore princípios de privacidade por design e por padrão.
Gerenciar os controles de acesso aos sistemas e dados, garantindo o princípio do menor privilégio.
Implementar e manter sistemas de detecção e prevenção de intrusões.
Conduzir testes regulares de segurança, incluindo testes de penetração e avaliações de vulnerabilidade.
Gerenciar o processo de backup e recuperação de dados, garantindo a integridade e disponibilidade dos dados.
Fornecer suporte técnico para questões relacionadas à proteção de dados e segurança da informação.
Colaborar com o DPO na investigação e resposta a incidentes de segurança.
Manter-se atualizado sobre as melhores práticas e tecnologias emergentes em segurança da informação e proteção de dados.
O departamento de RH desempenha um papel fundamental na proteção de dados relacionados aos colaboradores:
Incorporar os princípios de proteção de dados em todos os processos de RH, incluindo recrutamento, seleção, contratação e desligamento.
Garantir que os registros de funcionários sejam mantidos em conformidade com esta política e a legislação aplicável.
Implementar medidas de segurança adequadas para proteger dados pessoais sensíveis dos colaboradores.
Obter e gerenciar consentimentos dos colaboradores quando necessário para o tratamento de seus dados pessoais.
Colaborar com o DPO na elaboração e atualização de políticas e procedimentos relacionados à proteção de dados dos colaboradores.
Coordenar a inclusão de cláusulas de confidencialidade e proteção de dados nos contratos de trabalho.
Auxiliar na organização e promoção de treinamentos e campanhas de conscientização sobre proteção de dados.
O DPO tem um papel central na supervisão e coordenação das atividades de proteção de dados:
Monitorar e avaliar continuamente a conformidade do escritório com esta política, a LGPD e outras legislações de proteção de dados aplicáveis.
Aconselhar a alta administração e o Comitê de Proteção de Dados sobre questões relacionadas à proteção de dados.
Atuar como ponto de contato principal para questões de proteção de dados, tanto internamente quanto para titulares de dados e autoridades reguladoras.
Coordenar a resposta a solicitações de titulares de dados e garantir que sejam atendidas dentro dos prazos legais.
Supervisionar a realização de Avaliações de Impacto à Proteção de Dados (DPIAs).
Gerenciar o programa de treinamento e conscientização em proteção de dados.
Manter-se atualizado sobre desenvolvimentos legais e regulatórios em proteção de dados e privacidade.
Coordenar a resposta a incidentes de segurança envolvendo dados pessoais.
Elaborar e manter atualizados os registros das operações de tratamento de dados.
Realizar auditorias internas de proteção de dados e recomendar melhorias.
Reportar regularmente à alta administração sobre o status de conformidade em proteção de dados.
O departamento jurídico desempenha um papel crucial na interpretação e aplicação das leis de proteção de dados:
Fornecer orientação jurídica sobre questões de proteção de dados e privacidade.
Auxiliar na elaboração e revisão de políticas, procedimentos e contratos relacionados à proteção de dados.
Colaborar com o DPO na interpretação e aplicação da legislação de proteção de dados.
Assessorar na resposta a solicitações complexas de titulares de dados ou autoridades reguladoras.
A alta administração do escritório tem a responsabilidade final pela conformidade em proteção de dados:
Demonstrar compromisso visível com a proteção de dados e privacidade.
Aprovar e apoiar a implementação desta política e das iniciativas de proteção de dados.
Alocar recursos adequados para o programa de proteção de dados.
Supervisionar o Comitê de Proteção de Dados e receber relatórios regulares sobre o status de conformidade.
O Vinciguera & Reic Advogados Associados reafirma que a proteção de dados é uma responsabilidade compartilhada e essencial para o sucesso e a integridade do escritório. Todos os colaboradores, em todos os níveis, devem estar comprometidos com a implementação efetiva desta política e com a promoção de uma cultura de privacidade e proteção de dados.
O não cumprimento dessa política pode resultar em graves consequências para o escritório e os indivíduos envolvidos. Esta seção detalha as possíveis consequências e o processo de aplicação de medidas disciplinares.
O não cumprimento desta política e das leis de proteção de dados pode resultar em:
Sanções legais e regulatórias, incluindo multas significativas conforme previsto na LGPD (até 2% do faturamento, limitado a R$ 50 milhões por infração).
Danos reputacionais e perda de confiança de clientes, parceiros e do público em geral.
Custos financeiros associados à remediação de violações de dados e possíveis litígios.
Perda de oportunidades de negócios devido à reputação comprometida.
Interrupção das operações do escritório em caso de incidentes graves.
Colaboradores, incluindo sócios, advogados associados, estagiários e funcionários, que não cumprirem esta política estarão sujeitos a:
Ações disciplinares, que podem variar desde advertências verbais até a rescisão do contrato de trabalho ou parceria, dependendo da gravidade e frequência da violação.
Responsabilização pessoal por danos causados ao escritório ou a terceiros.
Possíveis ações legais por parte do escritório ou de terceiros afetados.
Impacto negativo na carreira e reputação profissional.
11.3.1 Qualquer suspeita de violação desta política deve ser imediatamente reportada ao DPO ou ao superior imediato.
11.3.2 O escritório manterá um canal de denúncias anônimas para reportar violações.
11.3.3 Todas as alegações de não conformidade serão investigadas prontamente e de forma imparcial.
11.3.4 O DPO, em conjunto com o departamento de Recursos Humanos e, quando necessário, o departamento Jurídico, conduzirá a investigação.
11.3.5 Durante a investigação, poderão ser tomadas medidas preventivas, como suspensão temporária de acessos.
11.3.6 A gravidade da violação será avaliada considerando fatores como:
Natureza e extensão da violação
Intencionalidade ou negligência
Impacto potencial ou real sobre os titulares dos dados e o escritório
Histórico de conformidade do indivíduo
Cooperação durante a investigação
11.3.7 As medidas disciplinares serão aplicadas de forma consistente e proporcional à gravidade da violação.
11.3.8 As medidas podem incluir, mas não se limitam a:
Advertência verbal
Advertência escrita
Suspensão temporária
Rescisão do contrato de trabalho ou parceria
Ações legais, quando aplicável
11.3.9 Todas as ações disciplinares serão devidamente documentadas e registradas nos arquivos de RH.
11.3.10 A confidencialidade será mantida na medida do possível, respeitando os direitos de privacidade dos envolvidos.
11.4.1 Após cada incidente significativo, será realizada uma análise de causa raiz para identificar falhas sistêmicas ou organizacionais.
11.4.2 Com base na análise, serão implementadas medidas corretivas e preventivas para evitar recorrências.
11.4.3 Isso pode incluir revisões de políticas, treinamentos adicionais ou melhorias nos controles técnicos.
11.5.1 O escritório comunicará regularmente a importância do cumprimento desta política e as possíveis consequências do não cumprimento.
11.5.2 Casos anônimos de violações e suas consequências poderão ser compartilhados como exemplos educativos.
11.5.3 O DPO reportará regularmente à alta administração sobre o status de conformidade e quaisquer ações disciplinares significativas.
Esta seção sobre consequências do não cumprimento e medidas disciplinares será revisada anualmente para garantir sua eficácia e alinhamento com as práticas do escritório e requisitos legais.
Para dúvidas, sugestões ou denúncias relacionadas a esta política, entre em contato através do e-mail: contato@vinciguerareic.adv.br
Esta política entra em vigor a partir de 05 de março de 2025
7Unity Copyright © 2025 – Todos os Direitos Reservados
