O Plano de Gestão de Incidentes de Violação de Dados Pessoais (“Plano de Incidentes”) traz diretrizes para atuação quando da ocorrência de casos de violação de dados pessoais na empresa. Considerado como documento interno, possui valor jurídico e sua aplicação inicia-se a partir da sua data de divulgação aos Colaboradores SM.

A violação de dados pessoais (“Violação de dados”) é configurada por qualquer perda de confidencialidade, integridade ou disponibilidade de informações pessoais tratadas pela organização. Ela pode ser compreendida também, nos moldes do artigo 46 da LGPD, como “acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.”

O Comitê de Proteção de Dados Pessoais e o Encarregado de Dados Pessoais são os responsáveis pelo zelo no cumprimento desta normativa, necessária para cumprir com o que estabelece a Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018 (“LGPD”).

DEFINIÇÕES 

Para fins de interpretação deste Plano de Incidentes serão aplicadas as definições previstas na Política de Privacidade e as a seguir: 

Autoridade Nacional de Proteção de Dados ou ANPD: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional;

Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus Dados Pessoais para uma finalidade determinada;

Controlador de Dados: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de Dados Pessoais;

Dado Anonimizado: dado relativo ao titular que não permita a sua identificação pela utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

Dado Pessoal: informação relacionada a pessoa natural que permita de qualquer forma a identificar;

Dado Pessoal Sensível: Dado Pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico;

Encarregado de Dados: pessoa indicada pelo Controlador de Dados e pelo Operador de Dados para atuar como canal de comunicação com os Titulares dos Dados e com a Autoridade Nacional de Proteção de Dados (ANPD);

LGPD: Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18);

Operador de Dados: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de Dados Pessoais em nome do Controlador;

Swedish Match: Swedish Match do Brasil S.A. – CNPJ 33.016.338/0002-71 e Swedish Match da Amazônia S.A – 05.458.096/0001-50 – empresas afiliadas;

Titular de Dados: a pessoa natural a quem se referem os Dados Pessoais que são objeto de tratamento; e

Tratamento de Dados ou Tratamento: toda operação realizada com Dados Pessoais, incluindo Dados Pessoais Sensíveis, como as que se referem a: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de Dados Pessoais. 

1. OBJETIVO

1.1. O Plano de Incidentes tem o objetivo de resguardar a Swedish Match no âmbito das suas atividades, estabelecendo diretrizes para a gestão de incidentes de Violação de Dados a fim de  mitigar os riscos referentes aos ativos de Dados Pessoais tratados, bem como ao negócio da Swedish Match.

2. ABRANGÊNCIA

2.1. Este plano é aplicado à Swedish Match em todos os seus departamentos, envolvendo todos os colaboradores internos, independentemente de nível hierárquico.

3. PREVENÇÃO

3.1. Os colaboradores, antes de implementar novos projetos ou tecnologias. devem compartilhar as informações com a área de Privacidade da PMI para que seja avaliada a necessidade de realização de Relatório o Impacto de Dados Pessoais.

 

3.2. Quando verificada a possibilidade de acarretar risco ou dano relevante aos Titulares de Dados, a Swedish Match deve tomar medidas técnicas e organizacionais apropriadas para a proteção de Dados Pessoais contra Violações de dados.

4. IDENTIFICAÇÃO DE INCIDENTE

4.1. São considerados incidentes de Violação de dados qualquer evento que comprometa algum dos princípios básicos de segurança de informação:

1. Confidencialidade;
2. Integridade;

iii. Disponibilidade.

4.2. Violação de dados também contempla ações como:

1. Acessos não autorizados;
2. Situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito de Dados Pessoais que estejam sob responsabilidade da Swedish Match;

iii. Vazamento de Dados Pessoais.

4.3. Os Colaboradores SM devem ser capazes de identificar um incidente de Violação de dados, ou seja, que possa acarretar acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

4.3.1. Os Colaboradores SM têm o dever de notificar qualquer incidente de Violação de dados que venha a ter conhecimento, que deve ser formalmente comunicado para gestor da área e para o e-mail privacidade@swedishmatch.com, conforme item 5 deste Plano de Incidentes.

4.3.2. Qualquer Operador têm o dever de notificar qualquer incidente de Violação de dados que venha a ter conhecimento, que deve ser formalmente comunicado pelo e-mail privacidade@swedishmatch.com para a Swedish Match, Controlador de dados, conforme item 5 deste Plano de Incidentes.

4.3.3. Qualquer interessado que tenha ciência de evento que possa configurar um incidente de Violação de Dados, deve comunicá-lo no e-mail privacidade@swedishmatch.com, conforme item 6 deste Plano de Incidentes.

4.4. Os Colaboradores SM devem ser capazes de identificar situações ou atos que gerem qualquer situação de vulnerabilidade e possam causar uma Violação de dados que tenha conhecimento, ou seja, que possa acarretar acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de Tratamento inadequado ou ilícito.

4.4.1. Os Colaboradores SM têm o dever de notificar quaisquer situações ou atos que possam gerar vulnerabilidade, nos termos do item 4.3, que deverão ser formalmente comunicados para o gestor da área e pelo e-mail privacidade@swedishmatch.com, conforme item 5 deste Plano de Incidentes.

4.5. Após a comunicação ter sido realizada, a área de Privacidade da PMI e o Comitê de Proteção de Dados Pessoais, quando necessário, devem avaliar se o caso relatado trata efetivamente de incidente de Violação de dados, podendo requerer mais informações do Departamento de Tecnologia da Informação, do gestor da área, bem como do Colaborador SM que realizou o comunicado.

4.6. Em caso de o incidente de Violação de dados ter ocorrido sob responsabilidade de um Operador, este deverá formalizar o registro do incidente destinado ao Controlador, encaminhando uma comunicação para o e-mail privacidade@swedishmatch.com, conforme item 6 deste Plano de Incidentes.

5. REGISTRO DO INCIDENTE

5.1. O Colaborador SM, Operador ou interessado que efetuar uma notificação de incidente de Violação de dados, deve realizá-la de forma clara e simples, com as informações necessárias para a identificação do problema e da ação requerida, devendo também incluir, sempre que possível:

1. Nome, telefone e e-mail;
2. Descrição do evento que causou o incidente;
3. Descrição dos Dados Pessoais afetados, bem como volume de Titulares envolvidos;
4. Informações sobre os Titulares envolvidos;
5. Data do suposto incidente ou data provável, caso não haja certeza em relação à data;
6. Se o comunicado ocorreu após 2 (dois) dias da data do incidente, o motivo pelo qual a comunicação não ocorreu nas primeiras 48 (quarenta e oito) horas seguintes ao fato. 

5.2. Uma vez recebido o comunicado, a área de Privacidade da PMI e o Comitê de Proteção de Dados Pessoais devem analisar a veracidade e confirmar a relevância do incidente, nos termos do item 7 deste Plano de Incidentes.

5.3. Os incidentes de Violação de dados devem ser registrados para controle e tratamento pela área de Privacidade da PMI e pelo Comitê de Proteção de Dados Pessoais, com suas ferramentas de apoio.

5.4. O registro de incidentes de Violação de dados deve ser realizado imediatamente após a conclusão do tratamento do evento.

5.5. Em caso que configure hipótese legal ou reputacional de comunicação a quaisquer partes ou autoridades, é recomendável o envolvimento da área de Privacidade da PMI, do Comitê de Proteção de Dados, a fim de prestarem apoio para a elaboração de notificação a ser encaminhada à Autoridade Nacional de Proteção de Dados (“ANPD”).

6. CONTENÇÃO

6.1. A gestão de incidentes de Violação de dados deve contemplar processos com a finalidade de contenção de danos e controle e tratamento, de modo a atender os seguintes objetivos:

1. Detecção: identificação do incidente com base em monitoramento, relatório, denúncia, informação obtida pelas áreas da organização;
2. Registro: registro do incidente;
3. Análise: classificação quanto ao nível de risco, em especial com análise sobre a possibilidade de o incidente acarretar risco ou dano relevante aos dos Titulares de Dados envolvidos;
4. Comunicação: informar o incidente de forma adequada às partes envolvidas e a entidades externas à organização quando for o caso;
5. Resposta: ação de contenção do incidente, análise do evento, tratamento do incidente de Violação de dados e de suas causas;
6. Finalização: encerramento formal da gestão do incidente, após análise de possíveis melhorias em processos e controles.

6.2. A área de Privacidade da PMI e o Comitê de Proteção de Dados Pessoais devem orientar gestores dos departamentos envolvidos no incidente a respeito das medidas corretivas a serem tomadas, inclusive, inserindo o incidente no arquivo de registro de incidentes, conforme o item 5.4.

6.3. O gestor do departamento em que ocorreu o incidente deve buscar, em conjunto com sua equipe, a recuperação de quaisquer dados, incluindo Dados Pessoais, que tenham sido comprometidos, bem como deve procurar mitigar o risco dele decorrentes, podendo contar com o apoio da área de Privacidade da PMI e do Comitê de Proteção de Dados Pessoais.

6.4. A área de Privacidade da PMI e o Comitê de Proteção de Dados Pessoais devem estabelecer quem precisa ser comunicado internamente sobre a Violação dos dados e quais ações devem ser tomadas.

6.5. O Departamento de Tecnologia da Informação deve dar suporte às ações de contenção, empregando as medidas técnicas necessárias para conter o incidente, ou efetuar a recuperação das informações violadas.

6.6. A área de Privacidade da PMI e o Comitê de Proteção de Dados Pessoais devem atuar na preservação de provas, a fim que tenham validade jurídica em eventual necessidade de uso em demandas administrativas ou judiciais decorrentes do incidente.

6.7. O Departamento de Tecnologia da Informação tem autonomia para efetuar ações de contenção de incidentes de Violação de dados, podendo inclusive, se necessário, realizar corte de acesso de Colaboradores SM aos sistemas, até que sejam realizadas todas as ações ou investigações necessárias.

7. ANÁLISE DE RISCO OU DANO AOS TITULARES

7.1. Em caso de incidente de Violação de dados, o representante do departamento originário do incidente, a área de Privacidade da PMI e o Comitê de Proteção de Dados Pessoais devem efetuar análise da relevância de risco ou do dano ao Titular dos Dados violados, levando em conta:

1. A sensibilidade dos Dados Pessoais e a gravidade de possíveis consequências ao Titular;
2. A vulnerabilidade dos Titulares;

iii. O potencial de causar danos físicos, materiais ou morais, como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade;

1. O potencial de perda de controle sobre os Dados Pessoais, quebra de confidencialidade de Dados Pessoais protegidos por sigilo profissional, limitação de direitos, ou qualquer outro prejuízo econômico ou social significativo;
2. O potencial de violação de direitos fundamentais e liberdades civis;
3. O volume de Dados Pessoais afetados e de Titulares envolvidos;

vii. O potencial de dano por uso de novas tecnologias ou métodos de processamento ou em casos de não ter sido realizada uma avaliação de impacto.

7.2. O representante do departamento originário do incidente, com o apoio da área de Privacidade da PMI e do Comitê de Proteção de Dados Pessoais, deve também avaliar as medidas de segurança aplicáveis ao departamento em que ocorreu o incidente, bem como se foi possível identificar os envolvidos.

7.3. O representante do departamento originário do incidente, com o apoio da área de Privacidade da PMI e do Comitê de Proteção de Dados Pessoais, deve avaliar, em caso de compartilhamento indevido de informações, o que um terceiro que as acesse poderá obter ou extrair delas.

8. NOTIFICAÇÃO À ANPD

8.1. A área de Privacidade da PMI e o Comitê de Proteção de Dados Pessoais devem estabelecer um plano de comunicação de incidentes de Violação de dados que esteja de acordo com o nível de risco ou dano relevante aos Titulares a por conta dos Dados Pessoais violados.

8.2. Não havendo risco ou dano relevante aos Titulares de Dados não há necessidade de notificação à ANPD.

8.2.1. Em casos de inexistência de risco ou inexistência de dano relevante aos Titulares de Dados, devem ser informados os gestores responsáveis pelos Dados Pessoais.

8.2.2. Dano relevante a interesses e direitos fundamentais das pessoas podem ser caracterizados, entre outras situações, quando:

1. Há Tratamento de Dados Pessoais Sensíveis, de crianças, de adolescentes ou de idosos;
2. Há a possibilidade de causar impacto irreversível ou de difícil reversão sobre os Titulares afetados, de ordem material ou moral;

iii. Há risco para a ocorrência de situações de discriminação, de violação à integridade física, ao direito à imagem e à reputação;

1. Há risco de fraudes financeiras ou uso indevido de identidade.

8.3. Havendo risco ou dano relevante aos Titulares de Dados a ANPD deve ser comunicada pelo Encarregado de Dados, conforme modelo disponibilizado pela Agência Nacional de Proteção de Dados, caso em que a notificação deve conter no mínimo:

 

1. A descrição da natureza dos Dados Pessoais afetados;
2. As informações sobre os Titulares envolvidos;

iii. A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

1. Os riscos relacionados ao incidente;
2. Os motivos da demora, no caso de a comunicação não ter sido imediata;
3. As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

 8.3.1. Em casos de risco ou dano relevante aos Titulares, devem ser também informados os gestores responsáveis pelos Dados Pessoais, o Encarregado de Dados, a área de Privacidade da PMI e o Comitê de Proteção de Dados Pessoais, bem como a alta gestão da organização.

8.4. A comunicação à ANPD deve ser feita em até 2 (dois) dias úteis a contar da data de conhecimento do incidente, devendo a demora para notificação ser fundamentada.

9. NOTIFICAÇÃO PARA TITULARES DE DADOS PESSOAIS

9.1. O Encarregado de Dados, apoiado por integrantes da área de Privacidade da PMI e do Comitê de Proteção de Dados Pessoais, deve notificar os titulares de dados que tiveram seus dados violados em um incidente que possa acarretar risco ou dano relevante.

9.2. A notificação aos Titulares deve conter:

1. Quais os Dados Pessoais afetados e se são Dados Pessoais Sensíveis;
2. As informações sobre os Titulares envolvidos;

iii. A indicação das medidas técnicas e de segurança usadas para a proteção dos dados;

1. Os riscos relacionados ao incidente;
2. Os motivos da demora, no caso de a comunicação não ter sido imediata;
3. As medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do prejuízo;

vii. Dados de contato do Encarregado de dados e outros necessários para a prestação de mais informações;

viii. A descrição de possíveis consequências do incidente;

1. A descrição das medidas adotadas para mitigar possíveis efeitos adversos do incidente.

9.3. A comunicação com os titulares de dados deve ocorrer de modo a maximizar as chances de todos os afetados serem contatados.

9.4. Em caso de a violação afetar um grande volume de dados, a organização pode fazer uma notificação pública, a fim de agilizar o processo de comunicação.

10. DECISÃO DE NÃO NOTIFICAÇÃO

10.1. Em caso de risco baixo de danos aos Titulares, a Swedish Match não realizará a comunicação aos Titulares ou à ANPD, em especial quando se tratar de Dados Pessoais já publicamente disponíveis ou que estejam protegidos por senha ou criptografia.

10.2. A decisão de não notificação aos Titulares ou à ANPD, será registrada, com apoio da área de Privacidade da PMI e do Comitê de Proteção de Dados Pessoais, nos termos do item 5.4.

11. PÓS-INCIDENTE

11.1. Após a ocorrência de um incidente de Violação de dados, a área de Privacidade da PMI e o Comitê de Proteção de Dados Pessoais devem se reunir para discutir medidas e procedimentos de segurança que precisem ser implementados para aprimorar a proteção de dados com base no aprendizado prático.

11.2. A área de Privacidade da PMI e o Comitê de Proteção de Dados Pessoais podem também estabelecer medidas mais amplas, para a melhoria de reações futuras à novas Violações de dados, estimulando a detecção, correção, monitoramento, aprimoramento e treinamento sobre incidentes.

12. RESPONSABILIDADES

12.1. As responsabilidades da área de Privacidade da PMI Comitê de Proteção de Dados são:

1. Conduzir o processo de gestão de incidentes de Violação de dados;
2. Apoiar a investigação de incidentes de Violação de dados;

iii. Acompanhar planos de ação de tratamento de riscos junto ao Departamento de Tecnologia da Informação e aos departamentos responsáveis por incidentes;

1. Elaborar indicadores e relatórios, bem como monitorar continuamente o ambiente tecnológico de segurança da informação;
2. Comunicar incidentes aos gestores responsáveis;
3. Apoiar a organização, junto com o Comitê de Proteção de Dados, em todos os casos de incidente de Violação de dados, bem como quando da necessidade de notificação à ANPD;

vii. Realizar análises após os incidentes, a fim de identificar e tratar suas causas, bem como de aprimorar processos de trabalho e processos de gestão de incidentes de Violação de dados.

viii. Orientar os Colaboradores SM a respeito das práticas a serem tomadas para garantir a proteção ao Dados Pessoais;

1. Receber as comunicações internas referentes a incidentes de Violação de dados;
2. Dar seguimento aos procedimentos necessários, indicando os demais departamentos que deverão participar do processo;
3. Prosseguir com a investigação do incidente até a conclusão, indicando atividades para mitigação de riscos, sugestões de monitoramento, de controles internos e de treinamentos.

12.2. As responsabilidades Comitê de Proteção de Dados são:

1. Apoiar a investigação de incidentes de Violação de dados;
2. Acompanhar planos de ação de tratamento de riscos junto ao Departamento de Tecnologia da Informação e aos departamentos responsáveis por incidentes;

iii. Comunicar incidentes aos gestores responsáveis;

1. Apoiar a organização, junto com a área de Privacidade da PMI, em todos os casos de incidente de Violação de dados, bem como quando da necessidade de notificação à ANPD;
2. Realizar análises após os incidentes, a fim de identificar e tratar suas causas, bem como de aprimorar processos de trabalho e processos de gestão de incidentes de Violação de dados.
3. Orientar os Colaboradores SM a respeito das práticas a serem tomadas para garantir a proteção ao Dados Pessoais;

vii. Receber as comunicações internas referentes a incidentes de Violação de dados;

viii. Dar seguimento aos procedimentos necessários, indicando os demais departamentos que deverão participar do processo;

1. Prosseguir com a investigação do incidente até a conclusão, indicando atividades para mitigação de riscos, sugestões de monitoramento, de controles internos e de treinamentos.

12.3. As responsabilidades do Encarregado de Dados são:

1. Avaliar a necessidade de comunicação do incidente para a ANPD e para os Titulares, bem como providenciar para que isso seja feito, conforme o caso;
2. Apoiar a organização, junto com a área de Privacidade da PMI e o Comitê de Proteção de Dados Pessoais, em casos de notificação de incidente de Violação de dados à ANPD;

12.4. As responsabilidades do Colaborador SM são:

1. Informar de imediato pelo e-mail privacidade@swedishmatch.com qualquer incidente de Violação de dados ou vulnerabilidade ou ameaça que possibilite a ocorrência de eventual Violação de dados que tenha conhecimento;
2. Estar ciente e atualizado sobre as políticas, normas e documentos complementares, cumprindo-os de modo integral e diligente;

iii. Auxiliar nos processos de investigação do incidente, quando requerido.

12.5. As responsabilidades do Departamento de Tecnologia da Informação são:

1. Apoiar com medidas técnicas necessárias para a contenção e ou recuperação do incidente;
2. Apoiar a área de Privacidade da PMI, o Comitê de Proteção de Dados e o Encarregado de Dados na gestão de incidentes de Violação de dados;

iii. Prover trilhas de auditoria e evidencias para investigações de incidentes, bem como apoiar investigações de incidentes de Violação de dados, sejam internas ou entidades externas;

1. Empreender ações de melhoria contínua nos processos de trabalho;
2. Auxiliar na investigação dos incidentes de Violação de dados.

12.6. As responsabilidades dos gestores são:

1. Colaborar com investigações de incidentes de forma urgente quando notificados sobre a ocorrência deles, em relação a recursos de sua responsabilidade, ou que sejam compartilhados com outras áreas;
2. Zelar pelo cumprimento deste Plano de Incidentes em seu departamento de atuação, bem como promover práticas de segurança de informação e privacidade com as suas equipes;

iii. Reportar incidentes de Violação de dados pelo e-mail privacidade@swedishmatch.com e ao seu superior hierárquico;

1. Receber comunicações de incidentes de Violação de dados por parte de Colaboradores SM de sua área.

12.8. A responsabilidade do Departamento de Compliance da PMI, com apoio do Departamento de Recursos Humanos da Swedish Match é:

1. Investigar e tomar providências, quando for o caso, em relação aos Colaboradores SM que tenham tido desvio de conduta envolvendo incidentes de Violação de dados.

13. PENALIDADES

13.1. O Colaborador SM que descumprir regras e diretrizes expostas neste Plano de Incidentes pode ser penalizado, sendo o descumprimento considerado falta grave e passível de sofrer sanções disciplinares.

14. DISPOSIÇÕES FINAIS

14.1. Este plano deve ser lido e interpretado sob a égide das leis brasileiras, e em conjunto com outras normas, políticas e procedimentos da organização, como a Política de Privacidade e de Segurança da Informação.

14.2. Este Plano de Incidentes deve ser atualizado sempre que necessário, com o prazo máximo de dois anos, a fim que se mantenha de acordo com a LGPD, as normativas publicadas pela ANPD e outras normas e legislações pertinentes.

14.3. Este Plano de Incidentes encontra-se disponível para consulta no endereço: [inserir link ou caminho]

14.4. Em caso de dúvidas e solicitações sobre o Tratamento de Dados pela Swedish Match, poderá entrar em contato pelo e-mail privacidade@swedishmatch.com.

14.5. Este Plano de Incidentes entra em vigor a partir de sua data de publicação.