top of page

Plano de Resposta a Incidentes de Segurança envolvendo Dados Pessoais

1. Objetivo

O presente Plano de Resposta a Incidentes de Segurança envolvendo Dados Pessoais tem como objetivo estabelecer diretrizes e procedimentos para:

  • Identificar, registrar e classificar incidentes de segurança;

  • Conter e mitigar impactos decorrentes de incidentes;

  • Avaliar riscos aos titulares de dados pessoais;

  • Cumprir obrigações legais perante a Autoridade Nacional de Proteção de Dados (ANPD);

  • Garantir transparência e proteção aos titulares afetados.

Este Plano está em conformidade com a Lei nº 13.709/2018 (LGPD), especialmente o art. 48, e com as normas e orientações da ANPD.

2. Abrangência

Este Plano aplica-se a:

  • Todos os colaboradores da CorujaRH;

  • Sócios e administradores;

  • Prestadores de serviço e parceiros;

  • Operadores de dados contratados;

  • Ambientes físicos e digitais;

  • Sistemas próprios e de terceiros utilizados pela plataforma.
     

Abrange incidentes relacionados a:

  • Dados de candidatos;

  • Dados de clientes (empresas);

  • Dados de colaboradores;

  • Dados sensíveis (diversidade, avaliações, desempenho);

  • Dados tratados no canal de ética e denúncia (inclusive denúncias anônimas).

3. Conceitos
3.1 Incidente de Segurança com Dados Pessoais

Qualquer evento adverso que resulte ou possa resultar em:

  • Acesso não autorizado;

  • Vazamento;

  • Destruição;

  • Perda;

  • Alteração indevida;

  • Compartilhamento irregular;

  • Sequestro (ransomware);

  • Exposição acidental de dados pessoais.

Inclui tanto eventos confirmados quanto suspeitas razoáveis.

4. Estrutura de Governança
4.1 Encarregado pelo Tratamento de Dados (DPO)

O Encarregado designado é:

Diego Ferrari
E-mail: diego@corujarh.com.br

Compete ao DPO:

  • Coordenar a resposta a incidentes envolvendo dados pessoais;

  • Avaliar riscos aos titulares;

  • Recomendar medidas corretivas;

  • Comunicar a ANPD quando necessário;

  • Orientar a comunicação aos titulares afetados.

5. Classificação dos Incidentes

Os incidentes serão classificados conforme:

5.1 Quanto à Gravidade

Baixa: Impacto mínimo, sem risco relevante aos titulares.

Média: Possível risco moderado, dados limitados ou parcialmente protegidos.

Alta: Alto risco aos titulares, envolvendo:

  • Dados sensíveis;

  • Dados financeiros;

  • Avaliações de desempenho;

  • Dados de diversidade;

  • Denúncias do canal de ética;

  • Grande volume de titulares.

 

6. Procedimento de Resposta

Etapa 1 – Identificação

Qualquer colaborador que identifique ou suspeite de incidente deve comunicar imediatamente:

  • Ao superior imediato;

  • Ao DPO pelo e-mail institucional.

Nenhum colaborador poderá omitir informação relacionada a possível incidente.

Etapa 2 – Contenção Imediata

Medidas técnicas poderão incluir:

  • Suspensão de acessos;

  • Bloqueio de contas;

  • Desconexão de sistemas;

  • Alteração de senhas;

  • Isolamento de servidores;

  • Acionamento do provedor de hospedagem ou fornecedor de TI.

 

Etapa 3 – Avaliação Técnica

Será realizada análise para identificar:

  • Natureza dos dados afetados;

  • Quantidade de titulares impactados;

  • Se os dados estavam criptografados;

  • Possibilidade de reversão do dano;

  • Risco de fraude, discriminação ou prejuízo reputacional;

  • Impacto específico no canal de denúncias.

 

Etapa 4 – Registro do Incidente

Todo incidente será formalmente documentado, contendo:

  • Data e hora da detecção;

  • Descrição do ocorrido;

  • Sistemas afetados;

  • Categorias de dados envolvidas;

  • Medidas adotadas;

  • Avaliação de risco;

  • Decisão sobre comunicação à ANPD e aos titulares.

  • Os registros serão mantidos para fins de auditoria e governança.

7. Comunicação à ANPD

Nos termos do art. 48 da LGPD, a comunicação à ANPD será realizada quando o incidente puder acarretar risco ou dano relevante aos titulares.

A comunicação conterá, no mínimo:

  • Descrição da natureza dos dados afetados;

  • Informações sobre os titulares envolvidos;

  • Medidas técnicas e de segurança utilizadas;

  • Riscos relacionados ao incidente;

  • Medidas adotadas para mitigar efeitos;

  • Plano de ação.

A comunicação será realizada em prazo razoável, conforme regulamentação vigente.

8. Comunicação aos Titulares

Quando houver risco relevante, os titulares afetados serão comunicados de forma clara e transparente, contendo:

  • Descrição do incidente;

  • Dados possivelmente afetados;

  • Riscos envolvidos;

  • Medidas já adotadas;

  • Recomendações para proteção;

  • Canal de contato com o DPO.
     

A comunicação poderá ocorrer por:

  • E-mail;

  • Notificação na plataforma;

  • Comunicado oficial no site;

  • Outros meios adequados.

Nos casos envolvendo denúncias anônimas, será preservado o sigilo absoluto da identidade do denunciante.

9. Medidas Corretivas e Preventivas

Após cada incidente serão avaliadas:

  • Revisão de políticas internas;

  • Reforço de controles de acesso;

  • Atualização de sistemas;

  • Treinamento adicional de colaboradores;

  • Revisão contratual com operadores;

  • Implementação de novas camadas de segurança.

10. Treinamento e Conscientização

A CorujaRH promoverá:

  • Treinamentos periódicos sobre proteção de dados;

  • Capacitação específica sobre identificação de incidentes;

  • Conscientização sobre segurança da informação e engenharia social.

11. Canal de Comunicação de Incidentes

Qualquer incidente ou suspeita poderá ser comunicado através de:

E-mail do DPO: diego@corujarh.com.br

Ou por meio dos canais oficiais disponibilizados no site institucional.

12. Atualização do Plano

Este Plano poderá ser revisado:

  • Sempre que houver alteração relevante na legislação;

  • Após incidentes significativos;

  • Por recomendação do DPO;

  • Em auditorias internas.

bottom of page