1.Objetivo
O objetivo deste documento é determinar as diretrizes para a privacidade das Informações de
Identificação Pessoal (PII).
2.Abrangência
Esta Norma é dirigida a todos os colaboradores da Datarisk, especialmente nas áreas de Tecnologia e Segurança da Informação.
3.Responsabilidades
▪ C-level
▪ Conhecer e seguir as diretrizes aplicáveis a você;
▪ Aprovar, divulgar e fazer cumprir o quadro normativo de segurança da informação;
▪ Aplicar as medidas disciplinares cabíveis em caso de descumprimento das diretrizes aqui
estabelecidas;
▪ Área de segurança da Informação
▪ Conhecer e seguir as diretrizes aplicáveis a você;
▪ Revisar, atualizar e manter a estrutura normativa aderente às necessidades da
organização;
▪ Impor e auditar as diretrizes às demais áreas da organização;
▪ Área de tecnologia
▪ Conhecer e seguir as diretrizes aplicáveis a você;
▪ Considere, avalie e oriente suas ações e projetos de acordo com as diretrizes
estabelecidas pelo marco normativo de segurança da informação;
▪ Aplicar controles tecnológicos para otimizar e aumentar a maturidade dos controles
para atender às diretrizes estabelecidas pelo arcabouço normativo de segurança da
informação;
▪ Relatar imediatamente qualquer violação da política corporativa de segurança da
informação;
▪ Todos os funcionários do Datarisk
▪ Conhecer e seguir as diretrizes aplicáveis a você;
▪ Relatar imediatamente qualquer violação da política corporativa de segurança da
informação;
4.Diretrizes
Informação pessoalmente Identificável – PII
Informação pessoalmente identificável é qualquer informação que pertence e/ou permite a
identificação de um indivíduo. São consideradas as principais informações de identificação pessoal,
mas não estão limitadas a:
▪ Nome;
▪ Cadastro de pessoa física (CPF) ou documento internacional de registro civil;
▪ Número (RG) ou documento internacional de registro civil (Desde que seja vinculado ao nome,
RG ou CPF);
▪ Gênero (Desde que seja vinculado ao nome, RG ou CPF);
▪ Endereço (Desde que seja vinculado ao nome, RG ou CPF);
▪ Telefone (Desde que seja vinculado ao nome, RG ou CPF);
▪ Email pessoal (Desde que seja vinculado ao nome, RG ou CPF);
▪ Qualquer informação vinculada ao nome, RG ou CPF;
Diretrizes Gerais
▪ As informações pessoalmente identificáveis devem ser consideradas confidenciais, de acordo
com o Padrão de Classificação de Informações;
▪ Os contratos com clientes devem prever cláusulas que estabeleçam que a Datarisk não se
responsabiliza pelas informações de identificação pessoal de responsabilidade dos clientes
inseridas na plataforma.
Estes contratos devem ainda informar que os dados de identificação pessoal dos contatos
(pessoas) do cliente em formato físico ou presentes no CRM e/ou sistemas interligados são
considerados confidenciais, herdando assim os respetivos requisitos de segurança associados.
▪ As informações de identificação pessoal devem ser mapeadas no Mapa de Dados Pessoais;
▪ O fluxo de tratamento das informações de identificação deve ser mapeado (Diagrama de Fluxo
de Dados);
▪ A comunicação de eventos de violação de dados pessoais deverá ser efetuada através de
procedimiento definido pelo DPO (Data Protection Officer);
▪ O atendimento dos pedidos de acesso, atualização ou eliminação de dados pessoais deverá ser
realizado através de procedimento definido pelo DPO (Data Protection Officer)
5. Responsabilidade pela privacidade de dados
As definições de responsabilidade pela privacidade de dados são fornecidas através da matriz RACI
abaixo. Por definição, os seguintes recursos são nomeados para as seguintes funções:
▪ Data Protection Officer: Jhonata Emerick Ramos;
▪ Responsável Legal: Dr. Humberto Pinhão;
▪ Responsável por segurança da informação: Gustavo Bernardo;
▪ Responsável por tecnologia: Gustavo Bernardo;
A Matriz RACI cumpre as seguintes atribuições:
▪ Responsável;
▪ Consultado;
▪ Informado
6. Medidas disciplinares
Todo e qualquer descumprimento da Política Corporativa de Segurança da Informação, bem como das
normas ou procedimentos que a suportam, é considerado uma violação e resultará em medidas
disciplinares cabíveis por meio de sanções administrativas de responsabilidade do Conselho de
Administração da Datarisk.
7. Canal de contato
Se você ficou com alguma dúvida podemos lhe ajudar através do email privacidade@datarisk.io