CFC – LGPD - Políticas de Incidentes de Segurança da Informação e de Notificação de Incidentes de Segurança com Dados Pessoais
Publicado em 13/10/2021 11:19 | Atualizado em 23/10/2023 13:28Foram publicadas no DOU de hoje, dia 13.10.2021 as Resoluções CFC nº 1.633 e 1.644 de 7 de outubro de 2021, que dispõem:
1. Resolução CFC nº 1.633/2021: institui a Política de Incidentes de Segurança da Informação do Conselho Federal de Contabilidade que tem por objetivos:
- diminuir os danos totais causados por incidentes que não puderam ser evitados, bem como a sua reincidência;
- promover a efetiva e eficaz Política da Segurança da Informação no CFC; e
- diminuir o número total de incidentes de segurança da informação envolvendo o CFC, por meio de prevenção sistemática dos eventos e eliminação de situações que permitem a ocorrência desses incidentes.
A referida Política abrange todos os incidentes, confirmados ou sob suspeita, que envolvam o nome ou a propriedade do Conselho Federal de Contabilidade, bem como qualquer conselheiro, funcionário ou colaborador, no exercício da sua função ou relação com o CFC.
2. Resolução CFC nº 1.634/2021: institui a Política de Notificação de Incidentes de Segurança com Dados Pessoais do Conselho Federal de Contabilidade que tem por objetivo descrever os procedimentos necessários para a identificação, comunicação e notificação do incidente de segurança com dados pessoais.
É um incidente de segurança com dados pessoais qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou, ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.
Todas as violações de dados pessoais devem ser comunicadas ao Encarregado pelo tratamento de dados pessoais do CFC, sem demora injustificada, para registro e avaliação das medidas a tomar. Na comunicação, o operador, terceiro ou titular dos dados pessoais deverá descrever sucintamente o incidente ocorrido, atentando para informações, tais como:
- descrever a natureza da violação dos dados pessoais incluindo, se possível, as categorias e o número aproximado de titulares de dados afetados, bem como as categorias e o número aproximado de registros de dados pessoais em causa;
- descrever as consequências prováveis da violação de dados pessoais;
- descrever as medidas adotadas ou propostas para conduzir o caso, o que pode incluir medidas para mitigar os possíveis efeitos adversos da violação dos dados pessoais.
Clique aqui e confira a íntegra da Resolução CFC nº 1.633/2021 e da Resolução CFC nº 1.634/2021.
