Você está na página 1de 3

Caro Senhor/Senhora:

Estou escrevendo para você em sua condição enquanto DPO de sua empresa. Sou um cliente seu,
e à luz dos acontecimentos recentes, estou fazendo este pedido de acesso a dados pessoais nos
termos do artigo 18 da Lei Geral de Proteção de Dados. Estou preocupado que as práticas da sua
empresa possam estar colocando minhas informações pessoais em risco indevido de exposição
ou, de fato, tenha violado sua obrigação de proteger minhas informações pessoais de acordo com
<último evento de cibersegurança noticiado>.

Estou incluindo uma cópia da documentação necessária para verificar minha identidade. Se você
precisar de mais informações, entre em contato comigo no meu email acima.

Gostaria de receber a resposta ao meu pedido dentro de 15 dias, conforme exigido nos termos do
artigo 19, caso contrário, encaminharei meu inquérito com uma carta de reclamação à ANPD.

Por favor, informe quanto ao seguinte:

1. Por favor, confirme-me se meus dados pessoais estão sendo processados ou não. Se for, por
favor, me forneça as categorias de dados pessoais que você tem sobre mim em seus arquivos e
bancos de dados.

a. Em particular, por favor, diga-me o que você sabe sobre mim em seus sistemas de informação,
incluindo ou não em bancos de dados, e incluindo e-mail, documentos em suas redes, gravações
de voz ou outra mídia que você pode armazenar.

b. Além disso, por favor, informe-me em quais países meus dados pessoais são armazenados ou
acessíveis. No caso de você fazer uso de serviços em nuvem para armazenar ou processar meus
dados, inclua os países em que os servidores estão localizados onde meus dados estão ou foram
(nos últimos 12 meses) armazenados.

c. Por favor, forneça-me uma cópia ou acesso aos meus dados pessoais que você tem ou está
processando.

2. Por favor, forneça-me um informe detalhado dos usos específicos que você fez, está fazendo
ou estará fazendo dos meus dados pessoais.

3. Por favor, forneça uma lista de todos os terceiros com quem você tem (ou pode ter)
compartilhado meus dados pessoais.

a. Se você não puder identificar com certeza os terceiros específicos a quem você divulgou meus
dados pessoais, forneça uma lista de terceiros a quem você pode ter divulgado meus dados
pessoais.

b. Identifique também quais jurisdições você identificou em 1(b) acima de que esses terceiros
com quem você tem ou podem ter compartilhado meus dados pessoais, dos quais esses terceiros
armazenaram ou podem acessar meus dados pessoais. Por favor, também forneça informações
sobre os motivos legais para transferir meus dados pessoais para essas jurisdições. Quando você
tiver feito isso, ou estiver fazendo isso, com base em salvaguardas apropriadas, por favor forneça
uma cópia.

c. Além disso, gostaria de saber quais salvaguardas foram colocadas em relação a esses terceiros
que você identificou em relação à transferência dos meus dados pessoais.

4. Por favor, informe quanto tempo você armazena meus dados pessoais e se a retenção for
baseada na categoria de dados pessoais, identifique por quanto tempo cada categoria será retida.

5. Se você estiver coletando adicionalmente dados pessoais sobre mim de qualquer fonte que não
seja eu, por favor, me forneça todas as informações sobre a sua fonte.

6. Se você está tomando decisões automatizadas sobre mim, incluindo a criação de perfil, com
base ou não no artigo 20 da LGPD, por favor, forneça-me informações sobre a base da lógica na
tomada de tais decisões automatizadas, e a importância e as consequências de tal processamento.

7. Gostaria de saber se meus dados pessoais foram ou não divulgados inadvertidamente pela sua
empresa no passado, ou como resultado de uma violação de segurança ou privacidade.

a. Se assim for, por favor, informe quanto aos seguintes detalhes de cada violação:

i. uma descrição geral do que ocorreu;

ii. a data e a hora da violação (ou a melhor estimativa possível);

iii. a data e a hora em que a brecha foi descoberta;

iv. a fonte da violação (seja sua própria organização, ou um terceiro para quem você transferiu
meus dados pessoais);

v. detalhes dos meus dados pessoais que foram divulgados;

vi. avaliação de sua empresa sobre o risco de dano a mim mesmo, como resultado da violação;

vii. uma descrição das medidas tomadas ou que serão tomadas para evitar novo acesso não
autorizado aos meus dados pessoais;

viii. informações de contato para que eu possa obter mais informações e assistência em relação a
tal violação, e

ix. informações e conselhos sobre o que eu posso fazer para me proteger contra quaisquer danos,
incluindo roubo de identidade e fraude.

b. Se você não for capaz de afirmar com certeza se tal exposição ocorreu, através do uso de
tecnologias apropriadas, informe quais medidas mitigadoras você tomou, como
i. Criptografia dos meus dados pessoais;

ii. Estratégias de minimização de dados; Ou

iii. Anonimização ou pseudonimização;

iv. Quaisquer outros meios

8. Gostaria de conhecer suas políticas de informação e padrões que você segue em relação à
salvaguarda dos meus dados pessoais, como se você adere à ISO27001 ou ISO27701 para
segurança da informação e, mais particularmente, suas práticas em relação às seguintes:

a. Informe-me se você fez backup dos meus dados pessoais para fita, disco ou outras mídias, e
onde ele é armazenado e como ele é protegido, incluindo quais medidas você tomou para
proteger meus dados pessoais contra perdas ou roubos, e se isso inclui criptografia.

b. Informe também se você possui alguma tecnologia que lhe permita com certeza razoável saber
se meus dados pessoais foram ou não divulgados, incluindo, mas não se limitando ao seguinte:

i. Sistemas de detecção de intrusões;

ii. Tecnologias de firewall;

iii. Tecnologias de acesso e gestão de identidade;

iv. Ferramentas de auditoria e/ou segurança de banco de dados; Ou

v. Ferramentas de análise comportamental, ferramentas de análise de log ou ferramentas de


auditoria;

9. Em relação aos empregados e contratantes, por favor, informe quanto ao seguinte:

a. Quais tecnologias ou procedimentos de negócios você tem para garantir que os indivíduos
dentro de sua organização serão monitorados para garantir que eles não divulguem
deliberadamente ou inadvertidamente dados pessoais fora de sua empresa, por e-mail, web-mail
ou mensagens instantâneas, ou de outra forma.

b. Você teve alguma circunstância em que funcionários ou contratados foram demitidos, e/ou foi
acusado criminalmente por acessar meus dados pessoais inapropriadamente, ou se você não for
capaz de determinar isso, de quaisquer clientes, nos últimos doze meses.

c. Informe sobre quais medidas de treinamento e conscientização você tomou para garantir que
funcionários e contratados estejam acessando e processando meus dados pessoais em
conformidade com a Lei Geral de Proteção de Dados

Sinceramente,