Capítulo I – Das Regras Gerais
Regra 1 - Não divulgue informações pessoais
Operador(a) de dados está proibido de revelar, reproduzir, copiar, repassar, vender, alugar, comercializar, dar, doar, divulgar, distribuir, utilizar e/ou dar conhecimento, em hipótese alguma, a terceiros ou em proveito próprio ou alheio, dados pessoais, dados sensíveis, ou quaisquer outros materiais obtidos com ou sem sua participação, sem a expressa autorização do Controlador.
Importante:
- Não salve informações pessoais em computadores e aparelhos não seguros ou de uso comum;
- Opte pela troca de mensagens por e-mail, e sempre que possível envie a mensagem criptografada;
- Caso precise realmente passar informações/dados em ligações telefônicas, sempre confirme estar falando com contatos oficiais;
- Em caso de dúvidas, não divulgue qualquer informação e procure o Encarregado LGPD.
Regra 2 - Não clique em links suspeitos
Cuidado ao clicar em links desconhecidos, pois eles podem nos levar a sites falsos ou infectar seu dispositivo, ou seja, com apenas um clique podemos estar liberando aos criminosos o acesso a todas as informações armazenadas na máquina.
Importante: Links falsos são facilmente criados e podem ser enviados de diversas plataformas e aplicativos. Portanto, se você não conhece ou desconfia de um link, não clique.
Regra 3 - Crie senhas fortes
As senhas são uma excelente forma de proteger suas informações, mas para isso é preciso criar senhas fortes. Nada de usar datas de aniversário, nomes e outras informações que podem ser facilmente descobertas pelos criminosos cibernéticos.
Importante:
- Crie senhas aleatórias, utilizando letras, números e caracteres especiais;
- Ao escolher sua senha, escolha um número ímpar;
- Não esqueça de trocar sua senha a cada 30 dias.
Regra 4 - Atenção com e-mails, mensagens não solicitadas e uso da rede corporativa
Antes de responder uma solicitação, clicar no link ou realizar um pagamento, verifique se você solicitou o serviço ou o contato em questão e se conhece o remetente da mensagem.
Por exemplo, você tem algum vínculo com o banco que está constantemente mandando e-mails para você? Esse é um tipo muito comum de tentativa de ataque cibernético, por isso, atenção sempre.
Regra 4.1 – Jamais use o e-mail corporativo para fazer cadastro em qualquer site. Isso pode trazer risco à continuidade dos negócios da empresa e à privacidade de terceiros.
Regra 4.2 – Sempre que possível, a troca de mensagens com informações confidenciais ou que possuem dados pessoais e/ou sensíveis devem ser sempre criptografadas.
Regra 5 - Cuidado com os downloads
Baixar arquivos da internet é algo comum no nosso cotidiano, no entanto, é preciso cuidado com as fontes desses arquivos e os sites onde estão localizados.
O download de um arquivo mal-intencionado pode dar acesso aos criminosos, apagar informações e causar muitos prejuízos.
Para evitar tudo isso, verifique a procedência dos arquivos antes de fazer download e respeite os avisos do seu antivírus sobre possíveis ameaças.
Na dúvida, consulte o Encarregado LGPD.
Regra 6 - Mantenha sistemas e aplicativos atualizados
Sistemas operacionais não são tão vulneráveis. Os criminosos se aproveitam e exploram pequenas vulnerabilidades encontradas.
No entanto, as empresas costumam resolver essas vulnerabilidades muito rapidamente e justamente por isso é tão importante você manter seus sistemas sempre atualizados, de preferência de forma automática.
O mesmo vale para os aplicativos. É muito importante que você mantenha os aplicativos instalados nos seus dispositivos sempre atualizados, não importa se você utiliza a aplicação diariamente ou poucas vezes. A falta de atualização pode abrir brechas e facilitar os ataques criminosos.
Regra 7 - Não abra anexos desconhecidos
Aqui vale a mesma regra dos links e downloads, você conhece a fonte ou quem está enviando os anexos para o seu e-mail? Se a resposta for não, é melhor não abrir o anexo e verificar a procedência antes de tomar qualquer ação.
Atenção também com algumas extensões que podem indicar arquivos maliciosos como .exe, .bat, .rar e .zip.
Regra 8 - Faça Backup dos seus arquivos
A intenção de todas essas dicas é que você não caia em nenhum golpe ou tentativa de golpe, mas novos tipos de ataque surgem diariamente, por isso, é importante que você se proteja de todas as maneiras possíveis.
Mantenha seus arquivos e informações no OneDrive Business que é um local seguro e haverá backup atualizado pela empresa.
Regra 9 - Do Plano de Ação
O Operador deve manter uma cópia atualizada no Plano de Ação, e cumprir as ações nele previstas e nos prazos nele estabelecidos.
Sempre que uma nova fase do Plano de Ação for concluída, o Encarregado circulará a notícia entre todos os Operadores, assim como deverá circular também as ações a serem praticadas nesta nova etapa.
Regra 10 - Na dúvida, fale com um profissional de TI
E se você recebeu um e-mail, mensagem, clicou em um link ou baixou um arquivo que desconfia ser prejudicial, fale com um profissional de tecnologia ou especialista em cibersegurança indicado pelo Encarregado.
Capítulo II – Dos Dados
Regra 11 - Sempre que um dado for colhido, o Operador deve se perguntar:
- Preciso deste dado?
- Posso tratá-lo?
- Tenho Consentimento?
Se uma das respostas for não, o Encarregado deve ser acionado imediatamente.
Regra 12 – Quanto aos Titulares, o banco de dados deve ser mantido sempre atualizado e organizado da seguinte forma:
Regra 13 – Quanto ao tipo de dados, o banco de dados deve ser mantido sempre atualizado e organizado da seguinte forma:
Regra 14 – Quando forem apresentados dados físicos (cópias de documentos), após a inclusão em ferramenta eletrônica o mesmo deve ser destruído imediatamente, usando Fragmentadora.
Regra 15 – Quando forem apresentados dados eletrônicos, após exportação para ferramenta o e-mail deve ser excluído, e uma mensagem eletrônica deve ser enviada para o remetente.
Regra 16 – Os dados que forem mantidos por imposição legal, deverão ser criptografados ou pseudoanonimizados.
III – Do Consentimento e Termos
Regra 17 – Lembre que o Escritório é um Compartilhador, portanto todos os dados que forem apresentados precisam do:
Regra 18 – Quando o Titular revogar o Consentimento, o Controlador deve ser avisado e o tratamento deve ser suspenso imediatamente.
IV – Do Mapeamento de Dados
Regra 19 – o Mapeamento de Dados é um dos documentos mais importante trazidos pela LGPD. Mantê-lo atualizado é o dever, sempre supervisionado pelo Encarregado LGPD.
Regra 19.1 – Cabe ao profissional de T.I., sempre que possível, viabilizar que esta atualização seja feita eletronicamente.
V – Dos Computadores, Servidores e Arquivo Morto
Regra 20 – Em qualquer caso em que seja necessário se distanciar do computador que estiver trabalhando, o Operador deve ser utilizar um protetor de tela para que o conteúdo não seja exposto.
Regra 21 – O Servidor usado para armazenamento, em hipótese alguma deve ficar em lugar onde tenha circulação de pessoas, tais como cozinha, banheiro, ou salas de uso comum. O esforço deve ser no sentido de deixá-lo numa sala trancada sob a vigilância do Encarregado de dados.
Regra 22 – Todas as informações/dados, somente poderão ser coletadas se houver necessidade imposta por Lei.
Após atingir a finalidade, os dados devem ser eliminados.
Regra 22.1 – Nos casos em que as informações devem ser mantidas por determinação legal, as informações necessárias (apenas as necessárias) dever ser criptografadas, e sendo imagens, devem ser digitalizadas.
VI - Dos Cuidados Adicionais
Regra 23 - Controle de Acesso
23.1 - Por uma questão de produtividade e de segurança, os acessos a redes sociais, sites de vendas, sites de vídeos, sites de games, dentre outros, estão proibidos.
23.2 – Por uma questão de segurança, está proibido fazer download qualquer Aplicativo/Software gratuito, sem autorização expressa do Encarregado LGPD.
23.3 - Nosso sistema bloqueará qualquer tentativa de acesso a sites não autorizados pela direção.
23.4 – Somente o Encarregado LGPD está autorizado a fornecer a senha da rede sem fio para visitantes e/ou qualquer outra pessoa que solicitar.
Regra 24 - Data Center – Servidor – Local
O acesso ao local físico escolhido para receber o banco de dados da empresa deve ser evitado. Nas situações em que este acesso seja indispensável, o Encarregado LGPD deverá ser comunicado, e se possível, acompanhar quem estiver adentrando.
Regra 25 - Chaves da Sala
Os setores da empresa “que tem salas próprias”, deverão ser trancados durante os intervalos legais, e no final do expediente.
Importante: As chaves deverão ser confiadas ao Encarregado LGPD.
Regra 26 – Gavetas outros móveis
As gavetas e/ou outros móveis que possuem chave de segurança, deverão ser trancados durante os intervalos legais, e no final do expediente.
As chaves deverão ser confiadas ao Encarregado LGPD.
Regra 27 - Protetor de Tela
Em qualquer situação em que os computadores da empresa não estiverem sendo utilizados (ainda que o usuário se afaste temporariamente), será obrigatório o uso de proteção de tela escolhido pelo Encarregado LGPD.
Regra 28 – Logs
Todos as ações realizadas pelo usuário dentro da rede corporativa, ficarão registradas e serão analisadas pelo Encarregado LGPD.
Regra 29 - Uso de Pen Drive
Está proibido o uso de Pen Drive, HD externos e/ou qualquer outro dispositivo móvel na rede corporativa sem a expressa autorização do Encarregado LGPD.
Regra 30 - Uso de Celulares
Está proibido o uso de celular, smartphone e qualquer outro aparelho particular dentro da empresa. Ao adentrar na empresa, estes aparelhos deverão ser mantidos na bolsa ou gavetas.
Importante: Nos casos em que o uso seja indispensável, o Encarregado LGPD indicará o local apropriado.
Regra 31 - Achados e Perdidos
Qualquer documento, rascunho, anotações etc. que contenham dados/informações, se forem encontrados devem ser entregues ao Encarregado LGPD imediatamente.
Regra 32 – Rascunhos
Para preservar a privacidade e a segurança de dados, qualquer anotação de dados ou cópias de documento deve ser triturada, estando proibido a utilização desde papéis como rascunho.
VII – Dos Treinamentos e Palestras de Conscientização
Regra 33 - É obrigatória a participação nas ações de conscientização promovidas pela Empresa Contábil. Estas ações serão realizadas em horário de trabalho, e, salvo em casos de motivos justificados, a ausência será entendida como falta grave passível de advertência, suspensão e justa causa.
VIII – Do Vazamento de Dados
Regra 34 – É importante lembrar que qualquer indício de ameaça sofrida em um computador corporativo, pode ser um possível ataque, e dependendo do caso, se chegar até o servidor da empresa pode causar enormes prejuízos.
Por isso, qualquer indício de desconfiança a obrigação de todos os usuários é comunicar o Encarregado LGPD para que o mesmo possa seguir as regras previstas na Política de Incidente.
Regra 34.1 – A Política de Incidente está disponível no site da empresa, e deve ser conhecida e praticada por todos que trabalham nesta empresa.
IX – Do Descumprimento desta Cartilha de Segurança de Dados e Responsabilidade do usuário.
Regra 35 – O descumprimento de qualquer regra prevista nesta Cartilha de Proteção de Dados, será considerado uma falta grave ou falta gravíssima, e, para que as regras de privacidade e segurança sejam preservadas, o infrator será punido com advertência, suspensão do seu contrato, ou ainda ser dispensado por justa causa, com fundamento no artigo 482 da CLT.
Regra 35.1 – Além das penalidades administrativas prevista no item anterior, o infrator que trouxer qualquer dano ao empregador e/ou a qualquer titular, responderá subsidiariamente nas ações em que forem discutidos danos morais e/ou pessoais pelos titulares dos dados.
Cascavel, 01 de agosto de 2025.
Controlador: ESEET - EXITUM SOLUÇÕES EMPRESARIAIS E TECNOLOGIA LTDA.
Encarregado: TIAGO SCATOLIN