PEREIRA GIONÉDIS ADVOGADOS
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E DADOS
1 INTRODUÇÃO
O Pereira Gionédis Advogados é um escritório comprometido com a privacidade, com a proteção e com a segurança da informação e dados de seus clientes, sócios, associados, estagiários, funcionários, colaboradores, parceiros, terceiros, fornecedores, prestadores de serviços.
Assim, o Pereira Gionédis Advogados institui a presente Política de Segurança da Informação e Dados estabelecendo a forma como se dará o tratamento de informações e dos dados, de acordo com a legislação brasileira, em especial a Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados – LGPD e legislação correlata.
2 OBJETIVO
A Política de Segurança da Informação e Dados tem como objetivo estabelecer orientações gerais, diretrizes, processos, procedimentos, responsabilidades, indicadores, para a proteção da informação e dados, que promovam a segurança, uma vez que, no desenvolvimento de suas atividades, o Pereira Gionédis Advogados coleta, manuseia e trata informações e dados que podem estar relacionados a pessoas físicas identificadas e/ou identificáveis.
Esta política visa:
- adotar um conjunto de estratégias para proteger dados e informações relacionadas à tecnologia, evitando o acesso de pessoas não autorizadas a dispositivos físicos, computadores, redes, internet e sistemas computacionais, bem como a realização de backups de informações;
- assegurar que as informações e dados estejam acessíveis somente aos seus responsáveis de direito ou as pessoas às quais foram enviados;
- adequar o Pereira Gionédis Advogados às leis e regulamentos, seguindo as melhores práticas na proteção da informação e dados pessoais;
- proteger as informações e dados dos clientes, de advogados, de colaboradores, de estagiários, de fornecedores, de parceiros e de terceiros;
- a transparência com relação aos procedimentos no tratamento de informações e dados pessoais; e
- promover a conscientização do público interno em relação à proteção de informações e dados pessoais, em especial a confidencialidade, a integridade, a transparência e a disponibilidade destes.
3 REFERÊNCIAS
As principais normas observadas na confecção deste instrumento foram:
- Código de Ética e Conduta do Pereira Gionédis Advogados;
- Código de Ética da Ordem dos Advogados do Brasil;
- Lei Geral de Proteção de
4 GLOSSÁRIO
Definição de termos e palavras no sentido em que são utilizadas neste instrumento, em ordem não alfabética:
- política da informação: conjunto de regras que dizem sobre o acesso, o controle e a comunicação da informação e dados pelo Pereira Gionédis Advogados, com o objetivo de propiciar a integridade do sistema de informações, alterável por conta de atualizações e inovações tecnológicas e legislativas;
- garantia da segurança da informação: capacidade de sistemas e organizações assegurarem a disponibilidade, integridade, confidencialidade e autenticidade da informação;
- informação: recepção de um conhecimento, reunião ou conjunto de conhecimentos que contenham dados;
- documentação orientadora: documentos formais contendo diretrizes e regras que orientam as boas práticas do Pereira Gionédis Advogados no desenvolvimento da atividade profissional, alinhada com o modo, a conduta, a honestidade e o cumprimento da lei, os quais devem ser observados e praticados pelos seus clientes, sócios, associados, estagiários, funcionários, colaboradores, parceiros, terceiros, fornecedores, prestadores de serviços;
- dado pessoal: informação relacionada a pessoa natural identificada ou identificável, nos termos do artigo 5º, inciso I, da LGPD;
- dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, nos termos do artigo 5º, inciso II, da LGPD;
- dado anonimizado: informação relativa a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento, nos termos do artigo 5º, inciso III, da LGPD;
- titular: pessoa natural a quem se refere o dado pessoal que é objeto de tratamento, nos termos do artigo 5º, inciso V, da LGPD;
- controlador: pessoa natural ou jurídica de direito privado, a quem compete as decisões referentes ao tratamento de dados pessoais, nos termos do artigo 5º, inciso VI, da LGPD;
- operador: pessoa natural ou jurídica de direito privado, que realiza o tratamento de dados pessoais em nome do controlador, nos termos do artigo 5º, inciso VII, da LGPD;
- encarregado: pessoa indicada pelo controlador e/ou operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados, nos termos do artigo 5º, inciso VIII, da LGPD;
- tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, nos termos do artigo 5º, inciso X, da LGPD;
- anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, nos termos do artigo 5º, inciso XI, da LGPD;
- consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada, nos termos do artigo 5º, inciso XII, da LGPD;
- bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados, nos termos do artigo 5º, inciso XIII, da LGPD;
- eliminação ou descarte: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado, nos termos do artigo 5º, inciso XIV, da LGPD;
- login: significa “se conectar”, iniciar sessão, resultado de várias credenciais que servem para identificar os usuários, permitindo o acesso de um usuário a um site, e-mail, plataforma, rede privada ou pública, ou ainda a uma rede social;
- acesso: estabelecer conexão à internet ou a um dispositivo, conectar, ligar, entrar, comunicar, logar;
- senha ou password: palavra ou código privado, previamente convencionado entre as partes como forma de reconhecimento para autenticar usuários, permitindo-lhes o acesso a informações e dados armazenados em determinado sistema ou a agir como administrador e a identificar o próprio computador;
- senha compartilhada: senha criada, cadastrada e fornecida aos profissionais do Pereira Gionédis Advogados por clientes que possuem portal/programa específico para registro de suas informações, esta senha é compartilhada pelos diversos profissionais que atendem ao cliente, porque este não disponibiliza senhas individuais suficientes para a quantidade de usuários necessários ao efetivo desenvolvimento das atividades profissionais pelo escritório;
- senha forte: senha que contém no mínimo oito caracteres, contendo letras maiúsculas, minúsculas, numerais e caracteres especiais.
- criptografia: mecanismo de segurança que visa proteger a informação, tornando-a ininteligível para os que não tenham acesso às convenções combinadas, por meios próprios ou esforços razoáveis;
- CPJ: programa utilizado pelo Pereira Gionédis Advogados para cadastro, atualização de informações, lançamento de tarefas, controle de prazos, auditorias, audiências, agendas, pagamentos, faturamento e eliminação/descarte;
- transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o Brasil seja membro, nos termos do artigo 5º, inciso XV, da LGPD;
- relatório de impacto à proteção de dados pessoais: documentação produzida pelo controlador, que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco, nos termos do artigo 5º, inciso XVII, da LGPD;
- Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional, nos termos do artigo 5º, inciso XIX, da LGPD;
- sócio: profissional que participa da sociedade de advogados como membro;
- associado: advogado que integra o escritório participando das atividades profissionais do Direito e aufere seus honorários com base no contrato de associação;
- prestador de serviço: profissional que realiza atividades sem vínculo empregatício;
- funcionário/empregado: aquele que executa uma função com vínculo empregatício;
- estagiário: acadêmico que faz estágio, prática e aprimoramento profissional no escritório;
- colaborador: aquele que colabora, integrando-se à equipe e ao trabalho, isto é, não executam apenas função ou atividade;
- terceiro: pessoa física ou jurídica que não participa diretamente do Pereira Gionédis Advogados, em um contrato, ato jurídico ou negócio, ou que, para além das partes envolvidas, pode ter interesse no processo;
- fornecedor: pessoa ou empresa que abastece ou provê o Pereira Gionédis Advogados de bens e/ou serviços;
- parceiro: pessoa física ou jurídica não integrante do Pereira Gionédis Advogados, com quem se mantém parceria visando alcançar um objetivo comum;
- cliente: pessoa física ou jurídica para a qual o Pereira Gionédis Advogados presta serviços;
- usuário: agente externo ao sistema de informação que usufrui da tecnologia para realizar um trabalho específico, ou a sua função em determinada prestação de serviços, ou ainda desenvolver um serviço, podendo ser desde o usuário comum do sistema até administradores, programadores ou analistas de sistemas, em suma qualquer pessoa física ou jurídica para quem o produto ou serviço é concebido e que explora pelo menos uma das suas funções, em qualquer momento do seu ciclo de vida;
- líder: pessoa que lidera equipe;
- Spiders PGA: todos os colaboradores que auxiliam na verificação do cumprimento da Política da Segurança da Informação e Dados do Pereira Gionédis Advogados;
- Alta Direção – AD: sócios do Pereira Gionédis Advogados;
- Comitê Gestor da LGPD: grupo perene de membros do Pereira Gionédis Advogados responsável pela Política de Segurança da Informação e Dados, classificação e estrutura de dados pessoais, constituído para adequar o escritório à LGPD e legislação relativa à informação e dados;
- Tecnologia da Informação – TI: setor responsável pelas atividades e soluções providas por recursos de computação que visam a produção, o tratamento, a transmissão, o acesso, a segurança e o uso de informações e dados;
- Segurança da Informação – SI: proteção de dados contra ameaças diversas, esforço pautado por ações que objetivam mitigar riscos e garantir a continuidade das operações;
- Segurança da Tecnologia em Informação – STI: medidas de proteção adotadas para proteger a integridade das tecnologias de informação usadas, adquiridas, desenvolvidas pelo Pereira Gionédis Advogados, como sistemas de computadores, software, hardware, redes e suas informações, contra incidentes de segurança;
- auditoria interna: processo de exame de validação da Política de Segurança da Informação e Dados do Pereira Gionédis Advogados, levada a cabo por um comitê de auditores escolhidos dentre os seus integrantes;
- indicadores: levantamentos, números e relatórios, que indicam se uma política, programa ou sistema está alcançando ou alcançou seus objetivos;
- Comitê de Descarte/Eliminação: grupo constituído para orientar e zelar pelo adequado descarte/eliminação das informações e dados tratados pelo Pereira Gionédis Advogados;
- Comitê de Desastre: grupo constituído para prever as possibilidades de incidentes de segurança que poderão atingir as informações, os dados, tratados do Pereira Gionédis Advogados, e apresentar soluções para estas hipóteses;
- Comitê de Mitigação de Risco: grupo constituído para, quando da ocorrência de incidentes de segurança, atuar, avisar, diminuir ao menor número percentual ou zerar os efeitos de um desastre às informações e aos dados do Pereira Gionédis Advogados;
- prestação de contas/accountability: informação sobre a adequação do tratamento da informação e dos dados pessoais pelo Pereira Gionédis Advogados;
- Governança Corporativa: é a maneira pela qual o Pereira Gionédis Advogados é administrado, dirigido, estabelece seu sistema de direção, reflete a sua cultura, política, metas e regulamento interno, visando a excelência em gestão e estratégia junto a seus clientes.
5 ATRIBUIÇÕES E RESPONSABILIDADES
São comuns aos integrantes do Pereira Gionédis Advogados as seguintes atribuições e responsabilidades:
- usar adequadamente as informações e/ou dados pessoais no desenvolvimento de suas atividades;
- cumprir a legislação e regulamentação aplicáveis, bem como toda a documentação orientadora do Pereira Gionédis Advogados relativa à proteção de informação e dados pessoais, bem como aplicação das medidas adequadas de segurança de TI;
- relatar ao Comitê Gestor a ocorrência de incidente de segurança, assim como as deficiências identificadas relacionadas a adequação da LGPD, por e-mail, para o endereço eletrônico gestor.lgpd@pereiragionedis.com.br , além de reportar também para a AD e a qualquer líder;
- participar das atividades de treinamento de proteção de dados conforme informado e solicitado pela AD, pelo Comitê Gestor da LGPD ou pela administração.
- CONTROLADOR 1
Controlador é a pessoa jurídica do Pereira Gionédis Advogados, representada na forma de seu estatuto a quem compete tomar as decisões referente ao tratamento de dados pessoais.
1Guia orientativo para definições dos agentes de tratamento de dados pessoais e do encarregado – No contexto de uma pessoa jurídica, a organização é o agente de tratamento para os fins da LGPD, já que é esta que estabelece as regras para o tratamento de dados pessoais, a serem executadas por seus representantes ou prepostos. 7. Mas, além disso, o agente de tratamento é definido para cada operação de tratamento de dados pessoais, portanto, a mesma organização poderá ser controladora e operadora, de acordo com sua atuação em diferentes operações de tratamento. 8. Conforme se verificará adiante, pessoas naturais podem ser consideradas controladoras ou operadoras de dados pessoais. Serão controladoras quando atuarem de acordo com os próprios interesses, com poder de decisão sobre as finalidades e os elementos essenciais de tratamento. Serão operadoras quando atuarem de acordo com os interesses do controlador, sendo-lhes facultada apenas a definição de elementos não essenciais à finalidade do tratamento. O operador deve ser uma entidade distinta do controlador, isto é, que não atua como profissional subordinado a este ou como membro de seus órgãos.
7 ALTA DIREÇÃO – AD
São atribuições da Alta Direção do Pereira Gionédis Advogados:
- criar e aprovar esta Política e suas futuras alterações, a partir de sugestões apresentadas pelo comitê gestor da LGPD, instituído para o fim de adequação do escritório à LGPD;
- responsabilizar-se pelo uso adequado de informações e dados no desenvolvimento das atividades de todos os integrantes do Pereira Gionédis Advogados e demais pessoas físicas ou jurídicas com quem estes tenham vínculo;
- avaliar o impacto no negócio quando da classificação e reclassificação da informação e dados, juntamente com o Comitê Gestor da LGPD;
- garantir a conformidade do escritório com a LGPD e demais leis e normas que tratam da matéria;
- decidir sobre o compartilhamento das informações e dados do Pereira Gionédis Advogados;
- participar e orientar, os projetos que envolvam privacidade e tratamento de dados pessoais, a fim de validar o respeito aos requisitos da legislação aplicável;
- deliberar sobre treinamentos, programas de conscientização e comunicação interna do tema de privacidade de informação e dados;
- manter atualizada a documentação orientadora que serve de base à segurança de informação e dados do Pereira Gionédis Advogados;
- monitorar, através do Comitê Gestor da LGPD, as ações para prevenir e/ou interromper o uso indevido da informação, considerando os atributos da confidencialidade, integridade, transparência, privacidade e disponibilidade;
- alinhar, periodicamente, as definições e critérios com o Comitê Gestor da LGPD, o Comitê de Descarte/Eliminação e os Spiders PGA
- deliberar sobre a definição, revisão e atualização de avisos de privacidade, juntamente com o Comitê Gestor da LGPD e a Auditoria Interna;
- conduzir, periodicamente, através do Comitê Gestor da LGPD, avaliações de maturidade do Pereira Gionédis Advogados em relação às iniciativas de privacidade, identificando melhorias, assim como analisando a sua evolução;
- acompanhar e apoiar a implementação dos planos de ação instituídas pelo Comitê Gestor da LGPD, para correção de lacunas das iniciativas de privacidade;
- aprovar a contratação do Encarregado, Data Protection Officer (DPO), conforme a LGPD;
- exigir de todos os integrantes do Pereira Gionédis Advogados, sócios, associados, estagiários, funcionários, colaboradores, parceiros, terceiros, fornecedores, prestadores de serviços, e clientes a assinatura de termo de confidencialidade referente às informações a que terão acesso;
- definir as regras para instalação de software e hardware no escritório, a serem executadas sob a responsabilidade da TI e do Comitê Gestor da LGPD;
- indicar o Encarregado, dentre os seus integrantes, e formalizar a indicação mediante instrumento próprio;
- comunicar à ANPD e ao titular de dados, em caso de incidente de segurança nos termos do artigo 48 da LGPD, no prazo legal.
8 COMITÊ GESTOR DA LGPD
Cabe ao Comitê Gestor da LGPD:
- revisar e recomendar a aprovação desta política e suas alterações à AD;
- definir, classificar e reclassificar as informações e dados sempre que necessário;
- avaliar o impacto no negócio quando da reclassificação da informação e dados, conjuntamente com a AD e o operador;
- responsabilizar-se pelo uso adequado de informações e dados no desenvolvimento das atividades do Pereira Gionédis Advogados;
- definir como serão classificados e tratados os assuntos relacionados à privacidade, proteção das informações e dados e incidentes de segurança, inclusive templates;
- monitorar e verificar, de forma permanente, a implementação das iniciativas de privacidade, a política de incidente de segurança, a mitigação de riscos, incluindo-se as verificações periódicas, em conjunto com os Comitês de Desastre e de Mitigação de Riscos;
- apresentar para a governança corporativa a necessidade de aquisição de bens, softwares e programas, que venham a garantir a política de privacidade de informação e dados, envidando esforços, tanto no planejamento como para a aquisição e instalação, uma vez comprovada a necessidade;
- propor à AD a solução de algum evento de alto risco não previsto ou extraordinário;
- reportar à AD, na forma dos estatutos, os eventos relacionados a incidentes de segurança e as medidas adotadas;
- responder solicitações de titulares de dados pessoais, de acordo com a legislação e regulamentação vigente, tempestivamente e seguindo as orientações estabelecidas pela AD;
- receber as comunicações da Autoridade Nacional de Proteção de Dados Pessoais e atender aos proprietários de informações e aos titulares de dados;
- assegurar que os contratos que contemplem o uso ou o tratamento de informações e dados contenham cláusulas de privacidade adequadas à legislação e regulamentação aplicáveis;
- prestar suporte e informações na ocorrência de incidente de segurança, aos sócios ou a quem estes indicarem;
- prestar apoio técnico na interpretação da legislação e regulamentação relativas a LGPD;
- apoiar a renegociação de contratos e aditivos com fornecedores e clientes que realizam o tratamento de informações e dados;
- exigir a atualização, constante e periódica, do inventário atualizado dos ativos de informação (documentais e informacionais eletrônicos e não eletrônicos);
- criar um canal de comunicação para o recebimento de solicitações de Titulares de Dados.
9 OPERADOR
Operador é a pessoa natural ou jurídica que realizará o tratamento de dados pessoais em nome do Pereira Gionédis Advogados de acordo com a Política de Segurança da Informação e Dados definida, a quem cabe:
- monitorar os acessos às informações, dados e os ativos de tecnologia (sistemas, bancos de dados, recursos de rede);
- avaliar incidentes de segurança e propor ações corretivas ao Comitê Gestor da LGPD;
- monitorar e sugerir ações, pelo Comitê Gestor da LGPD, para prevenir e/ou interromper o uso indevido do acesso, considerando os atributos da confidencialidade, integridade, transparência e disponibilidade da informação;
- somente tratar as informações e dados para a finalidade previamente estabelecida2 e seguir as instruções determinadas pela AD, bem como pelo seu Comitê Gestor da LGPD.
10 AUDITORIA INTERNA
2 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. IN: . OPERADOR. Guia Orientativo
para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília, DF: Maio,2021. p. 16-17. Disponível em: <encurtador.com.br/mqNZ4>. Acesso em: 23/07/2021.
Cabe à Auditoria Interna:
- em dia, hora e mês por ela escolhidos e comunicados ao Comitê Gestor da LGPD, com antecedência mínima de sete dias, e no mínimo duas vezes ao ano, realizar uma auditoria, cujo objetivo é verificar a adequação do Pereira Gionédis Advogados à LGPD e demais normas aplicáveis;
- elaborar e encaminhar para a AD e para o Comitê Gestor da LGPD, a avaliação de aderência à documentação orientadora de trato da informação e dados e se há caso para registro de oportunidade e/ou de adequação fundamentando na documentação orientadora e/ou na legislação, o que não está adequado;
- apoiar no preparo dos relatórios de impacto à proteção de Dados Pessoais (DPIA – Data Protection Impact Analysis) e na tomada de decisão para a manutenção desta Política;
- verificar e auxiliar, as atividades e consultas desenvolvidas pelo
11 ENCARREGADO
Encarregado é a pessoa física ou jurídica, com conhecimentos de segurança da informação e proteção de dados, necessários ao desenvolvimento da atividade, responsável por garantir a conformidade do Pereira Gionédis Advogados à LGPD3, a quem cabe:
- aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
3 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. IN: . SUBOPERADOR. Guia
Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília, DF: Maio,2021. p. 18-22. Disponível em: <encurtador.com.br/mqNZ4>. Acesso em: 23/07/2021.
- receber comunicações da Autoridade Nacional de Proteção de Dados e adotar providências;
- orientar os funcionários e os contratados do Pereira Gionédis Advogados a respeito das práticas a serem tomadas em relação à proteção informações e dados;
- executar as demais atribuições determinadas pelo Pereira Gionédis Advogados ou estabelecidas na legislação aplicável;
- fornecer ao Pereira Gionédis Advogados e ao seu Comitê Gestor da LGPD4, todas as possibilidades de contato, que pode ser feito por e-mail, através do endereço encarregado@pereiragionedis.com.br; telefone fixo (41) 3028-4022; celular (41) 99284-9472; ou no endereço Rua David Carneiro, 270, bairro São Francisco, CEP 80530-040, informações que serão divulgadas através do site do Pereira Gionédis Advogados, no sítio eletrônico pereiragionedis.com.br ;
- em caso de incidente de segurança que possa acarretar risco ou dano relevantes aos titulares, o Encarregado do Pereira Gionédis Advogados, em conjunto com o Comitê Gestor da LGPD, deverá preencher o formulário de comunicação de incidente de segurança com dados pessoais da ANPD, com as informações que constam da Política de Incidente de Segurança.
12 COMITÊ DE DESASTRE
Cabe ao comitê de Gestão de Incidente de Segurança:
4 AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. IN: . ENCARREGADO. Guia
Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília, DF: Maio,2021. p. 16-17. Disponível em: <encurtador.com.br/mqNZ4>. Acesso em: 23/07/2021.
- avaliar internamente o incidente de segurança, a natureza, a categoria e a quantidade de titulares de dados afetados, consequências concretas e prováveis;
- comunicar a ocorrência de desastre ao encarregado, aos representantes legais da AD estabelecidos no estatuto, ao Comitê Gestor da LGPD e ao Operador;
- elaborar documentação com a avaliação interna do incidente, medidas tomadas e análise de risco, para fins de cumprimento do princípio de responsabilização e prestação de contas/accountability, nos termos do artigo 6º, inciso X, da LGPD;
- fazer a verificação diária, semanal e mensal do checklist de segurança.
13 COMITÊ DE MITIGAÇÃO DE RISCOS
Cabe ao Comitê de Mitigação de Riscos:
- identificado o incidente de segurança, acionar as ações para mitigar o risco interna e externamente;
- informar ao Pereira Gionédis Advogados, pela intranet, endereços eletrônicos e números telefônicos, a ocorrência do desastre e as atitudes que foram tomadas;
- verificar as linhas de ação para a continuidade das atividades do Pereira Gionédis Advogados;
- cumprir todos os checklist para a continuação do desenvolvimento das atividades do Pereira Gionédis Advogados.
14 LÍDERES
Líderes são os responsáveis pelo uso adequado de informações e dados no âmbito das respectivas atividades e áreas de atuação, a quem cabe:
- garantir que os requisitos da legislação referente as informações e dados sejam atendidos, bem como que os seus liderados atuem de acordo com esta política e a legislação pertinente;
- ajudar a manter e revisar a classificação das informações e dados conforme a política de segurança da informação e dados do Pereira Gionédis Advogados;
- apresentar ao AD, através do Comitê Gestor da LGPD, quaisquer mudanças ou desconformidade substanciais, tão logo verificarem estas situações;
- adotar medidas administrativas e técnicas de modo a obter o consentimento para o tratamento de informações e dados, de forma clara e objetiva, de modo a não gerar dúvidas;
- auxiliar na verificação do cumprimento da Política da Segurança da Informação e Dados.
- SPIDERS PGA
Cabe aos Spiders PGA:
- auxiliar na verificação do cumprimento da Política da Segurança da Informação e Dados;
- prestar suporte ao Comitê Gestor da LGPD, em virtude dos treinamentos recebidos e a receber daquele comitê;
- facilitar a coleta de evidências sobre a aplicação das regras internas de privacidade e proteção de dados pessoais e a boa prática no trato da informação e dados;
- auxiliar na disseminação da cultura de privacidade de informações e proteção de dados pessoais nas respectivas áreas de atuação.
16 DIREITOS DOS PROPRIETÁRIOS DE INFORMAÇÃO E TITULARES DE DADOS PESSOAIS
O Pereira Gionédis Advogados está permanentemente empenhado na proteção dos direitos dos proprietários de informação e dos titulares de dados pessoais, os quais incluem:
- a informação sobre o tratamento dos dados pessoais até o descarte/eliminação;
- o direito a informação de acesso aos dados pessoais;
- a correção de dados pessoais se estiverem imprecisos, incorretos ou incompletos;
- a exclusão, bloqueio e/ou anonimização de dados pessoais em determinadas circunstâncias, também de acordo com o interesse legítimo do Pereira Gionédis Advogados;
- revogar o consentimento a qualquer momento, se o tratamento de dados pessoais se basear em um propósito específico que não estiver de acordo com o previsto nesta política e na legislação que trata da matéria.
17 SEGURANÇA DA TECNOLOGIA DA INFORMAÇÃO – STI
A Segurança da Tecnologia da Informação visa:
- a segurança de sistemas, softwares, plataformas, programas, aplicativos, maquinário, e toda a infraestrutura com que opera o Pereira Gionédis Advogados;
- fazer análises de risco, administrar sistemas de informações e gerenciar redes de computadores, tratando a informação e/ou dados de forma íntegra, confiável, transparente, disponível;
- fazer backups, de forma on line e off line, dos arquivos, bancos de dados e e- mail;
- manter a redundância da rede de informações e dados de forma operante, íntegra, confiável, transparente, disponível;
- manter atualizada a tecnologia de informação, a fim de proteger sistemas de computadores, redes e dados contra ataques, danos e acessos não autorizados;
- assegurar que os dados sejam acessíveis somente aos seus responsáveis de direito ou às pessoas por estes autorizadas;
- responsabilizar-se pelo uso adequado de informações e dados aos quais acessa em virtude do desenvolvimento das atividades da TI, observando as diretrizes estabelecidas pela AD, pelo Comitê Gestor da LGPD;
- analisar incidentes de segurança, bem como efetuar a coleta de evidências técnicas, informando de imediato à AD, ao Comitê de Gestão de Incidente de Segurança, ao Encarregado e ao Comitê Gestor da LGPD;
- monitorar e implementar medidas de segurança para garantir o cumprimento da LGPD;
- revisar e manter atualizada a documentação/planilhas com checklist e check up relativa à segurança da informação que estiver sob sua responsabilidade;
- prestar suporte técnico e analisar novas ferramentas e sistemas com foco na proteção da informação e dados;
- garantir a aplicação das medidas de segurança proporcionais ao risco gerado pelo tratamento de informação e dados, garantindo a integridade, disponibilidade e confidencialidade;
- estruturar e manter atualizado o inventário dos ativos de informação, documentais e informacionais eletrônicos e não eletrônicos;
- definir as regras para instalação de software e hardware no Pereira Gionédis Advogados, em conjunto com a AD e o Comitê Gestor da LGPD.
18 RESPONSABILIDADE DOS USUÁRIOS DA INFORMAÇÃO E DADOS
Ao usuário da informação e dados cabe:
- observar as referências, normas, procedimentos e diretrizes, citadas nesta política, e toda a legislação vigente sobre segurança da informação e dados;
- fazer uso das informações e dados somente no interesse da atividade desenvolvida e no âmbito desta, observadas as limitações contratuais e legais, não podendo utilizar, acessar, reproduzir, transportar, transmitir e distribuir tais informações e dados;
- tratar as informações e dados às quais tiver acesso, de acordo com critérios de tratamento da informação, definidos conforme sua classificação;
- zelar pela proteção e sigilo das senhas vinculadas ao acesso a e-mails e demais sistemas que vier a receber do Pereira Gionédis Advogados para acesso aos ativos da informação e dados, assumindo a responsabilidade por todas as transações efetuadas sob esse código, bem como pela divulgação ou fragilização do sigilo das respectivas credenciais e senhas;
- não acessar informações, arquivos ou ambientes para os quais não esteja autorizado ou que não possuam relação direta com os serviços contratados, com as funções desenvolvidas, e com a atividade do Pereira Gionédis Advogados;
- não distribuir e/ou compartilhar mensagens não solicitadas (spam), em qualquer veículo de comunicação do Pereira Gionédis Advogados, prejudicando o andamento dos serviços e/ou causando excessivo tráfego na rede;
- não enviar mensagens que contenham vírus eletrônico ou códigos maliciosos (malware, spyware ) ou que representem risco à segurança da rede ou que contrariem legislação vigente, podendo causar danos ao Pereira Gionédis Advogados, a seus clientes ou a terceiros;
- não utilizar endereços eletrônicos do Pereira Gionédis Advogados para a distribuição de mensagens que não sejam de estrito interesse profissional ou que não guardem relação com atividade desenvolvida pelo escritório ou função desempenhada no Pereira Gionédis Advogados;
- respeitar os direitos de propriedade intelectual ou autorais, de acordo com a legislação vigente;
- utilizar nos equipamentos do Pereira Gionédis Advogados apenas softwares com as licenças de uso válidas e, no caso de código livre, que tenham sido homologados pelo Pereira Gionédis Advogados;
- não conectar física ou remotamente nenhum dispositivo, tais como modem/roteador, dispositivos de rede, computadores, sistemas de vídeo, disco rígido externo, dispositivos de armazenamento móveis ou pen drive a um recurso computacional do Pereira Gionédis Advogados;
- utilizar recurso de bloqueio de acesso à estação de trabalho que deve ser ativado quando do afastamento temporário, não podendo utilizar-se de artifício para burlar sua ativação;
- desligar a estação de trabalho ao encerrar as atividades, bem como em períodos de ausência junto ao equipamento de uso, ainda que breves;
- proceder a guarda de todas as informações (documentos, relatórios e demais impressos) em local adequado, quando se afastar da estação de trabalho, mesmo que temporariamente.
19 PRINCÍPIOS QUE NORTEIAM A INFORMAÇÃO E DADOS NO PEREIRA GIONÉDIS ADVOGADOS
O Pereira Gionédis Advogados tratará a informação e dados de maneira a respeitar o seu objetivo, adotando medidas razoáveis, técnicas e administrativas, que visem assegurar a atuação de acordo com os seguintes princípios:
- boa fé: ética de conduta, moldada na ideia de proceder com correção, com dignidade no tratamento da informação e dos dados, pautando sua atuação e atitude na honestidade, na boa intenção, na lei, e no propósito de a ninguém prejudicar;
- confidencialidade: informações e sistemas devem ser acessíveis apenas às pessoas que previamente tenham autorização de acesso;
- finalidade: tratamento da informação e dados para propósitos legítimos, específicos, explícitos e informados ao titular, respeitando a sua finalidade;
- adequação: compatibilidade de tratamento com as finalidades informadas ao titular;
- necessidade: limitar o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos, na medida necessária para atingir propósitos específicos;
- livre acesso: titulares devem ter consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
- qualidade dos dados: os titulares de dados devem ter a segurança de que os dados que estejam em posse do escritório sejam mantidos exatos, precisos, claros, atualizados tendo em vista as finalidades para os quais foram tratados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
- transparência: fornecer aos titulares, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
- segurana: proteger a informação e os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
- prevenção: tomar ações prévias, tendentes a evitar a ocorrência de danos em virtude do tratamento de dados pessoais;
- não discriminação: não realizar tratamento para fins discriminatórios, ilícitos ou abusivos.
- RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS/ACCOUNTABILITY
O Pereira Gionédis Advogados deve adotar medidas, técnicas e administrativas, eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas, demonstrando:
- o exercício dos direitos pelos proprietários de informações ou titulares de dados;
- o registro de atividades de mapeamento e tratamento de dados pessoais;
- ter exigido de terceiros agir de acordo com esta política e com a legislação e regulamentação aplicáveis.
21 TRATAMENTO DA INFORMAÇÃO E DADOS – REQUISITOS PARA O TRATAMENTO
O Pereira Gionédis Advogados trata da informação e dados quando o objetivo do tratamento se enquadrar em uma das hipóteses legais permitidas, observando as seguintes bases:
- para a execução de contrato, ou de procedimentos preliminares relacionados a este, do qual seja parte o titular;
- para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
- para atender aos interesses legítimos do controlador ou de terceiro;
- para o cumprimento de obrigação legal ou regulatória pelo controlador;
- mediante o fornecimento de consentimento pelo titular, nas hipóteses legais, por não se enquadrar nos requisitos acima, caso em que o Pereira Gionédis Advogados obterá o consentimento de forma livre, clara e especifica, sendo permitido ao titular de dados retirar o consentimento quando lhe convier;
- para atendimento de outra base legal que se verifique adequada nos termos da lei.
22 CLASSIFICAÇÃO DA INFORMAÇÃO E DADOS
O Pereira Giondis Advogados classifica e identifica as informações e dados conforme segue:
- públicas: aqueles cuja divulgação externa não compromete o proprietário da informação ou o titular de dados e por isso, não necessitam de proteção efetiva ou tratamento específico, porque já foram tornados públicos pelo titular, respeitando a finalidade, a boa-fé, e dispensando o consentimento;
- internas: aqueles disponíveis aos usuários para o desenvolvimento de suas atividades profissionais, funcionais, contratuais, não se destinando ao uso do público externo, pelos quais os usuários que as manipulam tem o dever legal de sigilo, confidencialidade, conforme leis, contratos e termos;
- confidenciais: aqueles de acesso restrito em razão de sigilo empresarial e comercial, pelos quais os usuários que as tratam e/ou manipulam tem o dever legal de sigilo, confidencialidade, conforme leis, contratos e termos;
- confidenciais restritas: informações de acesso restrito a um usuário ou a um grupo de usuários, em geral, associadas ao interesse estratégico do Pereira Gionédis Advogados e/ou do cliente, pelos quais os usuários que as tratam
e/ou manipulam tem o dever legal de sigilo, confidencialidade, conforme leis, contratos e termos;
- dados pessoais: são os cadastrais e aqueles que identificam ou tornam identificável uma pessoa;
- dados pessoais sensíveis: aqueles que revelam a origem racial ou étnica, opiniões políticas e convicções religiosas ou filosóficas; filiação sindical, dados relativos à vida sexual ou orientação sexual da pessoa, dados relativos à saúde, dados genéticos e dados biométricos para identificar um ser humano.
O Pereira Gionédis Advogados adotará medidas administrativas e técnicas conforme sua Política de Segurança da Informação e Dados, na qual somente é possível o tratamento de dados pessoais sensíveis, com padrões de segurança para as seguintes situações:
- cumprimentode obrigação legal ou regulatória;
- exercício regular de direitos como, por exemplo, defesa ou proposição de ações judiciais ou administrativas ou arbitrais;
- cumprimento de obrigações e exercício de direitos em matéria de emprego, previdência social e proteção social;
- para proteção da vida ou da incolumidade física do titular de dados, incluindo dados médicos com fins preventivos e ocupacionais;
- quando houver o consentimento livre e explicito do titular de dados, de acordo com a legislação e/ou contrato;
- outros casos previstos na legislação.
23 DESCARTE/ELIMINAÇÃO DE INFORMAÇÃO E DADOS
O Pereira Gionédis Advogados adotará medidas administrativas e técnicas no sentido de que é de responsabilidade do usuário o descarte/eliminação de informações e dados, impressos ou em meio eletrônico, não necessários ao desenvolvimento de sua atividade, de forma a não permitir sua recuperação, nos termos da política de descarte, observando o seguinte:
- documentos físicos: deverão ser inutilizados em máquina fragmentadora (trituradora) de papéis, observando-se a legislação e o objetivo do tratamento;
- documentos em meio eletrônico: deverão ser inutilizados conforme as medidas administrativas e técnicas nominadas na política de descarte, a fim de garantir a total exclusão de informações e de dados do sistema, cumprindo a legislação e o objetivo do tratamento.
24 UTILIZAÇÃO DA REDE E E-MAILS
A política para utilização da rede e e-mails pelos membros do Pereira Gionédis Advogados adota as seguintes diretrizes:
- ingresso controlado na rede interna, com o objetivo de evitar acessos não autorizados ou indisponibilidade das informações e dados;
- monitoramento e registro do acesso à internet como forma de inibir a proliferação de programas maliciosos, garantindo a integridade da rede, sistemas, informações e dados internos;
- equipamentos, tecnologias e serviços fornecidos aos usuários para o acesso à internet são de propriedade do Pereira Gionédis Advogados, que pode analisar e, se necessário, bloquear qualquer arquivo, site, correio eletrônico, domínio ou aplicação, visando assegurar o cumprimento desta Política de Segurança da Informação e Dados;
- vedar a divulgação ou o compartilhamento de informações e dados pessoais, tratados pelo Pereira Gionédis Advogados, pelos seus integrantes, em listas de discussão, sites, redes sociais, fóruns, comunicadores instantâneos ou qualquer outra tecnologia correlata que use a internet como via, de forma deliberada ou inadvertidamente, sob pena, de sofrer penalidades previstas nos procedimentos internos e/ou na forma da legislação, contrato, e termos;
- o endereço eletrônico de domínio @pereiragionedis.com.br é destinado para fins profissionais e poderá ser monitorado com o objetivo de bloquear spams, vírus ou outros conteúdos maliciosos que violem a Política de Segurança da Informação e Dados.
25 POLÍTICA DE SENHAS
Sobre a política de senhas adotada pelo Pereira Gionédis Advogados:
- a senha é a forma mais convencional de identificação e acesso de usuário, sendo um recurso pessoal e intransferível que protege a identidade do usuário, evitando uma pessoa se passar por outra;
- os usuários internos devem criar e usar senhas de no mínimo oito caracteres, as quais devem conter letras, números e caracteres especiais;
- o acesso do usuário será imediatamente cancelado nas situações de desligamento, mudança de área, no caso de associados, prestadores de serviços, funcionários, ou quando, por qualquer razão, cessar a necessidade de acesso do usuário ao sistema, à informação ou aos dados.
26 SEGURANÇA DO AMBIENTE DE TI
O Pereira Gionédis Advogados deve adotar medidas, técnicas e administrativas para:
- as máquinas (servidores) que armazenam seus sistemas estarem instalados em área protegida, sendo que todos os sistemas ou equipamentos classificados como críticos são mantidos em áreas seguras cujo acesso é devidamente controlado e monitorado por sistemas de alarme, inclusive de
incêndio, portas digitais, senhas fortes, sistemas de proteção de equipamentos, softwares e programas;
- o backup de informação e dados observar os procedimentos, checklist e política de backup (cópia de segurança), permitindo recuperar (restaurar) as informações e dados de forma íntegra, em caso de um incidente de segurança;
- a entrada ou retirada de quaisquer equipamentos somente ser feita por solicitação do TI, mediante autorização prévia e expressa da AD, através do Comitê Gestor da LGPD, com protocolo, contendo dia, hora, ano, a pessoa que retirou, e a justificativa para a retirada;
- o TI manter sempre atualizado o checklist que permite verificar se os processos e procedimentos de segurança da informação e de dados estão sendo realizados de forma a atingir os seus objetivos, estando a verificação deste checklist atualizado a cargo do chefe da TI, com verificação semanal pela(o) sócia(io) do Pereira Gionédis Advogados responsável pela área tecnológica.
- POLÍTICA DE INCIDENTE DE SEGURANÇA E PLANO DE CONTINGENCIAMENTO DE RISCOS
- O Pereira Gionédis Advogados zela pela segurança e proteção de informações e dados.
- Em caso de incidente de segurança, o Pereira Gionédis Advogados observará as medidas administrativas e técnicas constantes em sua política de incidente de segurança e no plano de contingenciamento de riscos.
28 VIOLAÇÃO DA POLÍTICA E PENALIDADES
No caso de não cumprimento das normas estabelecidas nesta Política de Segurança, o sócio, associado, estagiário, funcionário, colaborador, parceiro, terceiro, fornecedor, prestador de serviços poderá sofrer as penalidades previstas em contrato e/ou na legislação.
29 CONSIDERAÇÕES FINAIS
- As dúvidas decorrentes de fatos não descritos nesta Política de Segurança da Informação e Dados deverão ser encaminhadas ao endereço de e-mail gestor.lgpd@pereiragionedis.com.br .
- Todos os integrantes, sócios, associados, estagiários, funcionários, colaboradores, terceiros, fornecedores, prestadores de serviços são responsáveis por conhecer e compreender todos os documentos orientadores do Pereira Gionédis Advogados e legislação aplicável.
- Os líderes são responsáveis por garantir que todos os integrantes de sua equipe compreendam e sigam os documentos orientadores do Pereira Gionédis Advogados sobre informações e dados pessoais.
- Os integrantes, sócios, associados, estagiários, funcionários, colaboradores, prestadores de serviços que tenham conhecimento de uma potencial conduta ilegal ou antiética, devem reportá-la através do endereço de e-mail compliance@pereiragionedis.com.br .
- Esta Política de Segurança da Informação e Dados entra em vigor a partir da data de sua publicação na intranet, ficará disponível para leitura na pasta grupos/PGA – LGPD – POLITICAS – PLANOS, e resumo no site do Pereira Gionédis Advogados, podendo ser alterada a qualquer tempo, pelo Comitê Gestor da LGPD, a partir de orientação da AD.