Plano de Contingência

 

O objetivo deste Plano de Contingência LGPD é garantir que o Grupo Styllus Vistorias (A.F.L Vistorias Automotivas Ltda, FCAL Vistorias Veicular Ltda, L&A Vistorias Ltda e AFAJ Vistorias Veicular Ltda)  esteja preparado para lidar com incidentes de segurança de dados e violações de privacidade de acordo com as diretrizes estabelecidas pela Lei Geral de Proteção de Dados (LGPD). Alguns dos objetivos específicos desse plano incluem:

 

Cumprimento Legal: Assegurar que a organização esteja em conformidade com as disposições da LGPD em relação ao tratamento de dados pessoais.

 

Proteção de Dados: Implementar medidas técnicas e organizacionais para proteger os dados pessoais contra acesso não autorizado, uso indevido, perda ou destruição.

 

Prevenção de Incidentes: Identificar e avaliar os riscos relacionados ao tratamento de dados e implementar medidas preventivas para reduzir a probabilidade de incidentes de segurança.

 

Resposta a Incidentes: Estabelecer procedimentos claros e eficazes para responder rapidamente a incidentes de segurança de dados, incluindo a notificação às autoridades competentes e a comunicação transparente com os titulares dos dados afetados.

 

Minimização de Danos: Minimizar os danos causados por incidentes de segurança de dados, tanto em termos de impacto na organização quanto na confiança dos clientes e parceiros.

 

Aprimoramento Contínuo: Realizar revisões regulares do plano, avaliar sua eficácia e fazer ajustes conforme necessário para garantir a melhoria contínua das práticas de proteção de dados.

 

Neste documento serão estabelecidas funções e responsabilidades individuais e de equipes, bem como, as medidas a serem adotadas para que o Grupo Styllus Vistorias (A.F.L Vistorias Automotivas Ltda, FCAL Vistorias Veicular Ltda,  L&A Vistorias Ltda e AFAJ Vistorias Veicular Ltda)   responda adequadamente a um incidente, sempre prezando pela integridade dos sistemas/processos, proteção de informações e privacidade dos seus titulares, possibilitando manter a confiabilidade dos serviços prestados.

 

O presente PRI (Plano de Resposta a Incidentes) se aplica em qualquer caso de incidentes envolvendo Dados Pessoais e deverá ser observado em conjunto com as demais políticas da empresa por todas as áreas, servidores, colaboradores e prestadores de serviços que possam vir a ter acesso às informações, arquivos e dados sob a responsabilidade do Grupo Styllus Vistorias.

 

 

Termos e Definições

 

Lei Geral de Proteção de Dados (LGPD): Legislação brasileira que estabelece regras sobre a coleta, armazenamento, tratamento e compartilhamento de dados pessoais, visando proteger a privacidade dos cidadãos, da Lei Geral de Proteção de Dados, a Lei nº 13.709/2018.

 

Dados Pessoais: Informações relacionadas a uma pessoa identificada ou identificável, como nome, endereço, número de identificação, dados de localização, entre outros.

 

Dados pessoais sensíveis: são dados pessoais que digam respeito a origem racial ou étnica, convicção religiosa, prática ou orientação sexual, informações médicas ou de saúde, como histórico médico e prontuário físico ou eletrônico, informações genéticas ou biométricas, crenças políticas ou filosóficas, filiação política ou sindical, número do seguro social, número da carteirinha do plano de saúde e informações bancárias;

 

Controlador: Pessoa física ou jurídica responsável pelas decisões referentes ao tratamento de dados pessoais.

 

Operador: Pessoa física ou jurídica que realiza o tratamento de dados em nome do controlador.

 

Encarregado (DPO - Data Protection Officer): Pessoa indicada pelo controlador para atuar como ponto de contato entre a organização, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), conforme exigido pela LGPD.

 

Titular dos Dados: Pessoa a quem os dados pessoais se referem.

 

Tratamento de Dados: Operações realizadas com dados pessoais, como coleta, armazenamento, utilização, compartilhamento e exclusão.

 

Vazamento de Dados (Data Breach): qualquer quebra de sigilo ou disseminação de dados que possa resultar, criminosamente ou não, na perda, alteração, compartilhamento, acesso, transmissão, armazenamento ou processamento de dados não autorizado;

 

Ataque: evento de exploração de vulnerabilidades. Ocorre quando um atacante tenta executar ações maliciosas, como invadir um sistema, acessar informações confidenciais ou tornar um serviço inacessível,

 

Plano de Respostas a Incidentes (PRI): Documento que estabelece procedimentos a serem seguidos em caso de incidentes de segurança de dados, incluindo vazamentos de dados, violações de privacidade, entre outros.

 

Avaliação de Impacto à Proteção de Dados (AIPD): Processo utilizado para identificar e avaliar os riscos relacionados ao tratamento de dados pessoais, conforme exigido pela LGPD.

 

Gerenciamento de Riscos: Processo de identificação, avaliação e mitigação dos riscos associados ao tratamento de dados pessoais, visando garantir a conformidade com a LGPD.

 

Notificação de Incidentes: Comunicação obrigatória à ANPD e, em alguns casos, aos titulares dos dados, em caso de incidentes de segurança que possam comprometer a privacidade dos dados.

 

Autoridade Nacional de Proteção de Dados - ANPD: é o órgão da administração pública nacional responsável por fiscalizar e zelar pelo cumprimento da Lei Geral de Proteção de Dados em todo o território nacional.

 

Vírus: programa ou parte de um programa de computador, normalmente malicioso, que se propaga inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos.

 

Violação de privacidade: qualquer violação à legislação aplicável ou conduta e evento que resulte na destruição acidental ou ilícita dos dados, bem como sua perda, roubo, alteração, divulgação ou acesso não autorizado, danos ou desvio de finalidade em seu tratamento.

 

IP: Protocolo da Internet (Internet Protocol), número utilizado para identificar um dispositivo de tecnologia da informação em uma rede, ou Internet;

 

Incidente: qualquer ato, suspeita, ameaça ou circunstância que comprometa a confidencialidade, integridade ou a disponibilidade de informações que estão em posse do Grupo Styllus Vistorias ou que ele venha a ter acesso;

 

Sistemas: hardware, software, network de dados, armazenador de mídias e demais sistemas usados, adquiridos, desenvolvidos, acessados, controlados, cedidos ou operados pelo Grupo Styllus Vistorias para dar suporte na execução de suas atividades.

 

ATORES E RESPONSABILIDADES

 

          Cada setor do Grupo Styllus Vistorias tem responsabiliades quando da ocorrência ou em suspeita de um incidente, devendo comunicar, imediatamente o fato ao Time de Respostas do Grupo Styllus Vistorias.

 

• Notificador: pessoa ou sistema de monitoração que notifica o incidente;
• Acionador(es): responsável pelo recebimento das notificações e realização do tratamento inicial (triagem) do incidente;
• Time de Resposta a Incidentes (TRI): grupo de servidores do Grupo Styllus Vistorias, com acessos, habilidades, responsabilidades, treinamento e conhecimentos para responder aos mais variados tipos de incidentes. O TRI será designado de acordo com as especificidades de cada incidente, sendo composto pelo Encarregado Dados (DPO) e por servidores de outras áreas que detenham expertise para a abordagem do tema ou cujos processos tenham sido afetados pelo incidente. 
• Responsável por Sistema: indicado, com capacidade de propor soluções de resposta, bem como, autorizar ou vetar procedimentos de emergência;
• Responsável por Processo ou Negócio: gestor do setor identificado na estrutura organizacional, com capacidade de propor soluções de resposta a serem apreciadas pelo TRI;

 

INCIDENTES DE SEGURANÇA COM DADOS PESSOAIS.

 

Conforme o art. 46 da LGPD, devemos adotar medidas de segurança, técnicas e administrativas que protejam os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, e tais medidas de segurança deverão ser observadas desde a concepção do produto ou serviço até a sua execução.

Assim, em caso de incidente que coloque em risco a segurança de dados, deve-se adotar os seguintes procedimentos:

 

Detecção: Um novo incidente é notificado por pessoa interna/externa ao Grupo Styllus Vistorias ou por eventual alarme da monitoração. A comunicação inicial do incidente pode ser proveniente de qualquer fonte, tais como e-mails, telefone, “SAC”, Sistemas internos (incluindo as recebidas pelo Encarregado quando se tratar de notificação do titular dos dados pessoais), devendo todas serem registradas, diretamente pelo Notificador. Se detectado internamente por algum colaborador, deve-se comunicar o gestor do processo em até 48horas da detecção, que fará a comunicação ao DPO não excendendo o total de 72horas da identificação até comunicação com o DPO.

 

Triagem: A Notificação é recebida pelo DPO que deverá fazer a avaliação preliminar ou indicar a necessidade de composição de um Time de Resposta a Incidentes (TRI) para realizar a referida avaliação, descartando as notificações nulas ou claramente improcedentes. Em sendo desnecessária a composição do TRI, o DPO assumirá as fases descritas no fluxo do processo que seriam de responsabilidade do TRI.

Na avaliação preliminar, devem ser buscadas informações sobre os sistemas/processos que foram alegadamente impactados, sua criticidade, quais os danos aparentes e o risco da situação se agravarem se não houver resposta imediata.

Conforme a avaliação preliminar, incidentes que não envolvem sistemas online e que seguramente não apresentam riscos aumentados pela falta de ação imediata podem ser reencaminhados para tramites regulares dos setores pertinentes da organização.

 

Avaliar internamente o incidente:  Esta fase tem o objetivo de obter informações mais detalhadas sobre o impacto do evento; natureza, categoria e quantidade de titulares de dados pessoais afetados; categoria e quantidade de dados afetados, consequências do incidente para o Grupo Styllus Vistorias, criticidade e probabilidade; além disso, é importante preservar todas as evidências do incidente e identificar a criticidade contendo no mínimo as informações abaixo:

 

1. Sensibilidade dos Dados Comprometidos:
   • A natureza dos dados pessoais comprometidos é um fator crucial. Por exemplo, dados financeiros, informações de saúde, números de identificação pessoal (como CPF ou RG), ou qualquer informação considerada sensível pela LGPD podem aumentar significativamente a criticidade do incidente
2. Quantidade de Dados Afetados:
   • A quantidade de dados comprometidos também influencia a criticidade do incidente. Quanto mais dados forem expostos, maior será o potencial impacto na privacidade dos indivíduos e na reputação da organização.
3. Potencial de Dano aos Titulares de Dados:
   • Avalie o potencial de dano aos titulares de dados afetados pelo incidente. Isso pode incluir riscos financeiros, riscos à saúde, possibilidade de roubo de identidade, entre outros.
4. Exposição a Terceiros Não Autorizados:
   • Se houver evidências de que os dados foram acessados por terceiros não autorizados, isso aumenta a criticidade do incidente, pois pode indicar violações significativas de segurança e privacidade.
5. Impacto nas Operações da Organização:
   • Considere como o incidente afeta as operações e a continuidade dos negócios da organização. Incidentes que interrompem serviços essenciais, causam perda de dados críticos ou prejudicam a reputação da empresa são considerados mais críticos.
6. Obrigações Legais e Regulatórias:
   • Verifique se o incidente viola obrigações legais, como as estabelecidas pela LGPD, ou outras leis de proteção de dados. O não cumprimento dessas obrigações pode resultar em penalidades significativas.
7. Reputação e Confiança do Cliente:
   • Considere o impacto na reputação da organização e na confiança dos clientes. Incidentes de dados podem afetar a confiança dos clientes e a percepção pública da empresa, resultando em danos à imagem e à marca.
8. Elaborar documentação com todas as informações coletadas:
   •  Deve se elaborar documento com todas as ações realizadas para o tratamento efetivo do incidente e as considerações necessárias para promover a melhoria contínua no atendimento de tais eventos, para atualizar o RIPD (Relatório de Impacto à Proteção dos Dados Pessoais) e para fins de cumprimento do princípio de responsabilização e prestação de contas (art. 6º, X da LGPD).

 

A criticidade do incidente pode ser definida de acordo com as seguintes classificações:

 

Deve-se procurar identificar a causa do incidente, atores e ações envolvidas, vulnerabilidades exploradas, visando determinar ações para as demais fases. Pode ser importante engajar especialistas dos setores afetados para colaborar e isso deve ser feito a critério do DPO/TRI a qualquer momento que julgar adequado e viável.

 

PROCESSO DE RESPOSTA A INCIDENTE

          Os responsáveis pelos processos impactados, devem ser acionados para se manifestarem sobre o procedimento de respostas, contenção e erradicação.

O objetivo das medidas de contenção e erradicação é limitar o dano e isolar os sistemas/processos afetados para evitar mais danos. Todos os cuidados devem ser adotados para não impactar evidências que poderiam ser usadas para identificar autoria, origem e método usado para quebrar a segurança conforme descrito abaixo:

1. Isolamento do Incidente:
   • Isolar imediatamente o incidente para evitar que se espalhe e cause danos adicionais aos dados pessoais. Isso pode envolver desconectar sistemas comprometidos da rede, alterar senhas, bloquear roteamento de equipamentos de rede, desabilitar serviços vulneráveis, inibindo comprometimento de outros sistemas, suspender temporariamente atividades, restringir o acesso aos dados comprometidos e bloquear atividades suspeitas.
      
2. Preservação de Evidências:
   • Certifique-se de preservar evidências relevantes relacionadas ao incidente para apoiar a investigação posterior. Isso pode incluir logs de atividades, registros de acesso, capturas de tela e outros dados relevantes.
      
3. Notificação Interna e Mobilização da Equipe de Resposta a Incidentes:
   • Comunique imediatamente a equipe de resposta a incidentes e as partes interessadas relevantes dentro da organização, incluindo profissionais de TI, segurança da informação, conformidade e jurídico.
      
4. Análise e Investigação Detalhada:
   • Conduza uma investigação detalhada para determinar a causa raiz do incidente, identificar as partes afetadas e avaliar o escopo completo da violação de dados.
      
5. Avaliação de Risco e Impacto:
   • Avalie o risco para os direitos e liberdades dos titulares de dados afetados pelo incidente, considerando fatores como a sensibilidade dos dados, a quantidade de dados comprometidos e o potencial impacto nos indivíduos.
      
6. Erradicação:
   • Garanta que as causas do incidente foram removidas, assim como todas as atividades e arquivos associados ao incidente e assegure a remoção de todos os métodos utilizados pelo invasor ou pela ação que causou o incidente. Isso pode incluir a exclusão dos dados de sistemas de armazenamento, a remoção de cópias de backup e a garantia de que não existam réplicas dos dados em nenhum sistema.
      
7. Implementação de Medidas de Contenção Adicionais:
   • Com base na análise de risco, implemente medidas adicionais de contenção, como atualizações de segurança, redefinição de credenciais, bloqueio de acesso e outras ações necessárias para proteger os dados pessoais.
      
8. Notificação às Autoridades e Titulares de Dados:
   • Se necessário e de acordo com os requisitos legais, notifique a autoridade de proteção de dados e os titulares de dados afetados sobre o incidente, conforme os prazos e procedimentos estabelecidos pela LGPD.
      
9. Registro e Documentação:
   • Mantenha registros detalhados de todas as etapas do processo de contenção do incidente, incluindo ações tomadas, análises de risco, comunicações realizadas e resultados da investigação.
      
10. Análise Pós-Incidente e Melhoria Contínua:
    • Após a contenção do incidente, conduza uma análise pós-incidente para identificar lições aprendidas e áreas de melhoria nos processos de segurança e resposta a incidentes. Use essas informações para fortalecer as medidas de proteção de dados e prevenir futuros incidentes, como treinamento de membros da equipe, revisão dos procedimentos existentes, atualização de sistemas.

 

 

COMUNICAÇÃO À ANPD E AO TITULAR DE DADOS PESSOAIS

A ANPD é o órgão responsável por zelar pela proteção dos dados pessoais e fiscalizar o cumprimento da LGPD (Lei Geral de Proteção de Dados) no Brasil. A comunicação com a ANPD para notificar um incidente de segurança de dados, deve ser realizado através do canal oficial de comunicação.

Ao se comunicar com a ANPD em conformidade com a LGPD, é importante fornecer informações claras, precisas e abrangentes para garantir uma comunicação eficaz. Aqui estão informações mínimas que deve incluir na comunicação com a ANPD:

 

1. Identificação da Organização:
   • Nome completo da organização (pessoa jurídica) ou do responsável (pessoa física).
   • Número de identificação (CNPJ para empresas ou CPF para pessoas físicas).
2. Detalhes de Contato:
   • Endereço completo da sede da organização.
   • Telefone e e-mail de contato direto do responsável pela comunicação.
3. Contexto da Comunicação:
   • Esclareça o motivo da comunicação (notificação de incidente, consulta sobre interpretação da LGPD, solicitação de orientação, etc.).
   • Descreva brevemente o assunto em questão e os principais pontos a serem abordados.
4. Informações sobre o Incidente (se aplicável):
   • Em caso de notificação de incidente de segurança de dados, forneça informações detalhadas sobre o incidente, incluindo:
     • Data e hora de detecção do incidente.
     • Descrição da natureza do incidente (vazamento de dados, acesso não autorizado, etc.).
     • Tipo de dados pessoais envolvidos.
     • Estimativa do número de indivíduos afetados.
     • Medidas adotadas para conter o incidente e mitigar seus impactos.
5. Documentação Adicional:
   • Anexe documentos relevantes à comunicação, como relatórios de investigação interna, análises de impacto, notificações aos titulares de dados (se já foram realizadas), entre outros documentos que possam esclarecer o contexto da comunicação.
6. Prazos e Solicitações Específicas:
   • Se houver prazos específicos ou solicitações especiais relacionadas à comunicação, mencione-os claramente na sua mensagem.
   • Esteja ciente dos prazos estabelecidos pela LGPD para notificação de incidentes e outras obrigações legais.
7. Assinatura e Declaração de Veracidade:
   • Assine a comunicação com o nome completo e cargo do responsável pela organização ou pelo assunto em questão.
   • Inclua uma declaração de veracidade, afirmando que as informações fornecidas são verdadeiras e precisas.

 

 

REFERÊNCIAS

 

 

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Disponível em: < https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/guia_agentes_de_tratamento_e_encarregado___defeso_eleitoral.pdf

 

BRASIL. Presidência da República. Casa Civil. Subchefia para Assuntos Jurídicos. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

 

 

 

CONTROLE DE REVISÕES

 

 

Histórico de Alterações
Data	Descrição	Elaborado por	Aprovado por
10/03/2025	Emissão.	DMG Consultoria	Aristoteles Ferreira Lira