Escolar Documentos
Profissional Documentos
Cultura Documentos
1 – OBJETIVO
Este documento tem por finalidade determinar a forma de atuação em caso de ocorrência de incidentes de
privacidade envolvendo dados pessoais tratados pela Unimed - Rio.
2 – CAMPO DE APLICAÇÃO
Este documento destina-se a todas as empresas do Grupo Unimed-Rio e demais partes interessadas.
3 – REFERÊNCIAS
POL.002 - Segurança da Informação
4 – CONCEITOS
LGPD: Lei Federal nº 13.709/2018, Lei Geral de Proteção de Dados Pessoais.
Dados Pessoais: qualquer informação relativa a uma pessoa singular identificada ou identificável (“TITULAR ou
TITULAR DOS DADOS”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou
indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de
identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da
identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa singular;
Tratamento: qualquer operação ou conjunto de operações efetuadas com dados pessoais ou sobre conjuntos de
dados pessoais, por meios automatizados ou não automatizados, tais como a coleta, o registro, a organização, a
estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por
transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, a
eliminação ou a destruição;
Titular dos dados: pessoa natural a quem se referem os Dados Pessoais que são objeto de tratamento;
Controlador: parte a quem competem as decisões referentes ao tratamento de dados pessoais, especialmente
relativas às finalidades e aos meios de tratamento de dados pessoais;
Operador: parte que trata dados pessoais de acordo com as instruções do Controlador;
Página 1 de 13
Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX
Encarregado de Dados: pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação
entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
Incidente de Privacidade: qualquer ação, proposital ou acidental que possa permitir o acesso não autorizado ou
causar a destruição, perda, alteração, comunicação, difusão, concretizando ou gerando potencialidade à quebra
de confidencialidade, integridade e disponibilidade de uma informação pessoal.
Autoridade Nacional de Proteção De Dados: Órgão pertencente à administração pública federal, responsável
pela fiscalização do cumprimento das disposições da LGPD.
Quebra De Confidencialidade. O processo no qual um ou mais dados pessoais de um ou mais titulares sejam
divulgados, revelados ou disponibilizados a qualquer pessoa, ou grupo de pessoas, sem a devida autorização.
Quebra De Integridade. Processo no qual o conteúdo e precisão (validade) dos dados pessoais ao longo do seu
ciclo de vida (coleta, uso, armazenamento, compartilhamento e exclusão) estão comprometidos. Em outras
palavras, a informação não está correta e é apresentada incorretamente para quem a consulta.
Quebra De Disponibilidade. O comprometimento dos meios de acesso à informação pessoal, sempre que
necessário para quem precisa utilizá-la.
Página 2 de 13
Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX
6 – DIRETRIZES
É responsabilidade de todos os colaboradores conhecer as políticas que se aplicam a seu trabalho. Medidas
disciplinares podem ser aplicadas a qualquer colaborador que violar nosso Código de Ética, a legislação aplicável
ou políticas e procedimentos da empresa.
Um Incidente de Segurança Envolvendo Dados Pessoais (“Incidentes”) é a potencial quebra da confidencialidade,
integridade e disponibilidade de uma informação pessoal tratada pela Unimed- Rio.
As respostas dos incidentes na Unimed – Rio devem passar pelas seguintes fases:
Página 3 de 13
Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX
Envio de um e-mail contendo uma lista de dados pessoais de clientes ou colaboradores para o
destinatário errado.
Arquivos de currículo de candidatos a uma vaga expostos em um diretório aberto na internet, com acesso
sem necessidade de identificação (usuário e senha).
Extração de dados pessoais de servidores da empresa por um terceiro, utilizando de falhas técnicas e
engenharia social (“ataque hacker”).
Exposição e disponibilização indevida de dados pessoais, por meios físicos ou digitais, para um número
indeterminado de pessoas, no Brasil ou em qualquer país;
Negação de serviço ocasionada por incidente no qual o acesso (lógico ou físico) a um sistema que
armazene Dados Pessoais seja prejudicado ou impossibilitado, de forma que a integridade dos Dados
Pessoais (existência e/ou veracidade) seja comprometida permanentemente, dada a indisponibilidade do
acesso;
Acesso (lógico ou físico) tentado ou obtido a um sistema que possua Dados Pessoais cuja autorização para
conexão, leitura, gravação, autenticação, modificação, eliminação ou criação não tenha sido concedida; e
Uso inapropriado de dados pessoais ensejando a violação das políticas relacionadas a tratamento de
dados pessoais, e que possa acarretar risco ou dano relevante aos titulares.
O Encarregado de Dados será responsável por monitorar os canais internos e fazer a análise inicial dos reportes
recebidos, de forma imediata. E se identificada a ocorrência de incidente, deve-se informar os terceiros que
possuam obrigações contratuais de mútua cooperação.
Página 4 de 13
Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX
Contratos com terceiros que possuam cláusula referente à necessidade de notificação quanto a situações de
incidentes, por esta ou aquela parte, devem prever canais como pontos para reporte dos incidentes, sem prejuízo
de outras responsabilidades que poderão ser previstas, considerando as obrigações contratuais.
A Área de Segurança da Informação deverá conduzir monitoramento preventivo mensalmente, cujas definições
estão prescritas na POL.002- Política de Segurança da Informação, bem como em procedimentos relacionados à
Área técnica.
Página 5 de 13
Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX
Para a classificação do incidente, deve ser considerada a classificação e o volume dos dados afetados,
observando-se os seguintes conceitos:
Dados pessoais que que remetam ou revelem qualquer aspecto da vida financeira do
Financeiros titular. Exemplos: número de conta, cartão de crédito, código verificador, renda,
salário, benefícios.
Dados pessoais que demonstrem ou revelem o comportamento do titular. Exemplos:
Comportamentais dados de localização, consumo, hábitos, preferências, endereço IP, cookies, logs de
conexão, logs de acesso.
Dados Pessoais sobre origem racial, étnica, convicção religiosa, opinião política,
filiação a sindicato ou a organização de caráter religioso, filosófico ou político,
Sensíveis
referente à saúde, ou à vida sexual, dado genético ou biométrico, quando vinculados
a uma pessoa natural.
Como referencial à classificação quanto ao risco ou dano ao titular, o Encarregado de Dados deve valer-se,
também, dos critérios presentes no Anexo III - do Procedimento de Relatório de Impacto à Proteção de Dados
Pessoais, considerando como risco ou dano Irrelevante os definidos naquele documento como “Negligenciável”, e
os demais (“Limitado”, “Considerável” e “Alto”) como Relevante.
Página 6 de 13
Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX
Os gestores das áreas abaixo, sejam integrantes ou não do Comitê de Privacidade, devem ser envolvidos
conforme regras determinadas nesta norma. Além das situações previstas abaixo, o Encarregado de Dados
poderá definir a necessidade de atuação destas áreas ou de qualquer outra área da empresa, além dos
integrantes do time de resposta aqui estabelecidos.
É possível o envolvimento dos participantes do time de resposta em momentos anteriores a esta etapa, como
definido em suas atribuições correspondentes ou quando entender pertinente o Encarregado de Dados.
Para situações nas quais não seja possível acionar o participante titular do time de resposta, será definido
suplente que exercerá suas atribuições, ambos identificados no Anexo I deste procedimento.
6.6. NOTIFICAÇÃO
A comunicação da ocorrência de um incidente será obrigatória nos casos em que o incidente seja classificado
como de gravidade média ou alta, e o impacto às informações envolvidas puder gerar riscos ou danos relevantes
aos Titulares dos Dados (conforme item 6.4, tabela 01).
O Encarregado de Dados deverá listar, além da classificação dos dados pessoais, quais os possíveis riscos e danos
que os titulares impactados pelo incidente poderão sofrer e indicar se há o entendimento de que estes são
relevantes, considerando os parâmetros dispostos no Anexo III - Relatório de Impacto à Proteção de Dados
Pessoais. Tanto a listagem dos riscos e danos quanto sua decisão sobre a relevância dos mesmos devem ser
evidenciados, possibilitando sua auditoria e checagem, quando e se necessário.
Entendido que os riscos e danos aos titulares são relevantes, será necessário notificá-los, além da a Autoridade
Nacional de Proteção de Dados. Estas notificações devem conter, no mínimo, as seguintes informações:
Página 7 de 13
Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX
A indicação de medidas técnicas e de segurança utilizadas para a proteção dos dados impactados,
observados os segredos comercial e industrial;
Os riscos relacionados ao incidente;
Os motivos da demora do envio da notificação, caso a comunicação não tenha sido imediata ao
conhecimento do incidente;
As medidas adotadas pela empresa para reverter ou mitigar os efeitos do prejuízo.
As eventuais medidas que possam ser tomadas pelos próprios titulares dos Dados Pessoais afetados para
mitigar riscos; e
Os canais de contato para sanar dúvidas.
Identificada a viabilidade de tentativa de conciliação com os titulares, deverá ser comunicada, igualmente, a
Autoridade Nacional de Proteção de Dados.
A notificação deve ser enviada tão logo se tenha informações confiáveis sobre o incidente, capazes de abordar os
tópicos mencionados acima.
Página 8 de 13
Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX
privacidade@unimedrio.com.br
Suplente do Encarregado Contato:
Em situações nas quais seja necessário o acionamento do time de respostas, o Encarregado de Dados, ou aquele
sob a responsabilidade de suas atribuições, deverá contatar os seguintes colaboradores da Unimed-Rio:
Jurídico Contato:
Suplente Jurídico Contato:
Comunicação e Marketing Contato:
Suplente Comunicação e Marketing Contato:
Gente e Gestão Contato:
Suplente Gente e Gestão Contato:
Área de Regulação Contato:
Suplente Área de Regulação Contato:
Superintendente Geral Contato:
Suplente Superintendente Geral Contato:
Caso não seja possível o acionamento dos membros acima indicados, deverá ser envolvido no plano de resposta
integrante das respectivas áreas, disponíveis no momento, que tenham maior senioridade na empresa.
7. RESPONSABILIDADES
Possuem responsabilidades mencionadas neste documento:
Papéis e responsabilidades:
Receber e Analisar Reportes de Incidentes.
Determinar se há Indícios suficientes da existência do incidente, o envolvimento de dados pessoais, e
acionar o plano de resposta.
Definir medidas mitigadoras preliminares.
Manter as evidências de todos os passos adotados para resposta ao incidente.
Classificar o nível de criticidade do incidente e risco ou danos aos titulares envolvidos.
Página 9 de 13
Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX
7.2. Jurídico
Papéis e responsabilidades:
Auxiliar na elaboração das notificações para ANPD e titulares dos dados.
Auxiliar na revisão de posicionamentos públicos sobre o incidente, tanto para imprensa e mercado
quanto para comunicações internas.
Identificar obrigações contratuais e regulatórias de reporte sobre o incidente para ou por terceiros, para
órgãos reguladores/governamentais (que não a ANPD), além de elaborar e enviar as respectivas
notificações.
Auxiliar na condução do processo de investigação do incidente, visando garantir a validade legal deste
procedimento e das evidências produzidas.
Contratar assessoria externa jurídica, quando necessário, para apoiar na resposta ao incidente.
Papéis e responsabilidades:
Página 10 de 13
Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX
Papéis e responsabilidades:
Papéis e responsabilidades:
Definir o posicionamento oficial perante a ANS, alinhado com as demais frentes de comunicação.
Papéis e responsabilidades:
Definir o tom da empresa em como o incidente será comunicado em todas as frentes necessárias.
Atuar como porta-voz da empresa sobre o incidente, quando necessário.
Auxiliar na tomada de decisões de contratação de terceiros e/ou serviços e que necessitem de maior
alçada de decisão pelo valor ou urgência necessários.
Página 11 de 13
Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX
8- ANEXOS
Anexo 01: Formulário Para Comunicação de Incidentes À Autoridade Nacional De Proteção De Dados
9- APROVAÇÕES
Elaborado por:
Área de Compliance, Auditoria e Riscos – Januária Lopes
Verificado por:
Área de Tecnologia da Informação - Paulo Macedo
Aprovado por:
Diretoria Médica – Drª Denise Durão
Página 12 de 13
Grupo Unimed-Rio Norma
Aprovação: Mês/Ano Expiração: Mês/Ano Versão: 00
Processo: PROGRAMA DE PRIVACIDADE Código: XXX-00X
Título: RESPOSTAS A INCIDENTES DE PRIVACIDADE DE DADOS PESSOAIS Núm.º: NOR.XXX
Página 13 de 13