Tratamento de Dados​

Última atualização: Março de 2025

AVISO IMPORTANTE: A Consulta Nacional Privada é um serviço privado e não está vinculada a órgãos governamentais.

Esta página fornece informações detalhadas sobre como a Consulta Nacional Privada (CNPJ: 55.340.170/0001-07), com sede na R. Itambé, 877 – Jardim Iririu, Joinville – SC, 89224-430, realiza o tratamento de dados pessoais em conformidade com a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) e outras legislações aplicáveis.

Acreditamos na transparência como princípio fundamental no relacionamento com nossos usuários. Este documento explica os procedimentos técnicos e administrativos que adotamos para garantir a proteção, segurança e uso adequado dos seus dados pessoais durante todo o ciclo de vida das informações em nossa organização.

Recomendamos que você leia também nossa Política de Privacidade, nossa Política de Cookies e nosso documento Como Usamos os Dados para uma compreensão completa de nossas práticas relacionadas à privacidade e proteção de dados.

Índice

  1. Princípios do tratamento de dados
  2. Ciclo de vida dos dados
  3. Operações de tratamento de dados
  4. Fluxos de dados na organização
  5. Avaliação de impacto à proteção de dados
  6. Medidas técnicas de proteção
  7. Gestão de incidentes de segurança
  8. Governança e compliance
  9. Dúvidas e contato

1. Princípios do tratamento de dados

A Consulta Nacional Privada segue rigorosamente os princípios estabelecidos pela Lei Geral de Proteção de Dados (LGPD) no tratamento de todos os dados pessoais. Estes princípios norteiam todas as nossas operações e decisões relacionadas ao processamento de informações pessoais:

1.1. Finalidade

Realizamos o tratamento de dados para propósitos legítimos, específicos, explícitos e informados ao titular. Não utilizamos os dados para finalidades incompatíveis com aquelas que foram informadas.

Exemplos práticos:

  • Informamos claramente no momento da coleta para quais finalidades estamos coletando seus dados
  • Nossos sistemas são projetados para permitir apenas usos compatíveis com as finalidades declaradas
  • Realizamos auditorias internas para verificar se os dados estão sendo usados apenas para as finalidades informadas

1.2. Adequação

Garantimos que o tratamento seja compatível com as finalidades informadas ao titular, considerando o contexto do tratamento.

Exemplos práticos:

  • Avaliamos regularmente se nossas operações de tratamento permanecem adequadas às finalidades declaradas
  • Consideramos as expectativas razoáveis dos titulares sobre como seus dados serão utilizados
  • Adaptamos nossas práticas de tratamento quando necessário para manter a adequação

1.3. Necessidade

Limitamos o tratamento ao mínimo necessário para a realização de suas finalidades, abrangendo apenas os dados pertinentes, proporcionais e não excessivos.

Exemplos práticos:

  • Aplicamos o princípio de minimização de dados em todos os nossos processos
  • Revisamos periodicamente os dados que coletamos para identificar e eliminar coletas excessivas
  • Nossos formulários solicitam apenas informações essenciais para cada serviço específico

1.4. Livre acesso

Garantimos aos titulares consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados.

Exemplos práticos:

  • Disponibilizamos canais simples e acessíveis para solicitações de acesso aos dados
  • Fornecemos relatórios completos sobre os dados armazenados quando solicitado
  • Não cobramos taxas para o exercício do direito de acesso

1.5. Qualidade dos dados

Garantimos aos titulares exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.

Exemplos práticos:

  • Implementamos processos de validação de dados no momento da coleta
  • Oferecemos mecanismos simples para atualização de dados pelos próprios titulares
  • Realizamos verificações periódicas de qualidade e atualidade dos dados em nossas bases

1.6. Transparência

Fornecemos informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento.

Exemplos práticos:

  • Utilizamos linguagem simples e acessível em todas as nossas políticas e comunicações
  • Disponibilizamos múltiplos canais de contato para esclarecimento de dúvidas
  • Informamos sobre atualizações em nossas práticas de tratamento de forma proativa

1.7. Segurança

Utilizamos medidas técnicas e administrativas para proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Exemplos práticos:

  • Implementamos controles de acesso baseados em funções e necessidade de conhecimento
  • Utilizamos criptografia para dados sensíveis em trânsito e em repouso
  • Realizamos testes de segurança regulares e mantenha planos de resposta a incidentes

1.8. Prevenção

Adotamos medidas preventivas para evitar danos em virtude do tratamento de dados pessoais.

Exemplos práticos:

  • Realizamos avaliações de impacto à proteção de dados antes de iniciar novos tratamentos
  • Implementamos o princípio de privacidade por design em todos os novos projetos e sistemas
  • Fornecemos treinamento regular aos colaboradores sobre práticas seguras de tratamento de dados

1.9. Não discriminação

Não realizamos o tratamento para fins discriminatórios ilícitos ou abusivos.

Exemplos práticos:

  • Estabelecemos diretrizes claras contra o uso de dados para fins discriminatórios
  • Revisamos algoritmos e sistemas automatizados para evitar vieses discriminatórios
  • Auditamos regularmente decisões automatizadas para identificar padrões potencialmente discriminatórios

1.10. Responsabilização e prestação de contas

Demonstramos a adoção de medidas eficazes para cumprimento das normas de proteção de dados e sua eficácia.

Exemplos práticos:

  • Documentamos todas as decisões relacionadas ao tratamento de dados pessoais
  • Mantemos registros detalhados de atividades de tratamento
  • Realizamos auditorias internas e externas para verificar a conformidade com a LGPD

2. Ciclo de vida dos dados

Na Consulta Nacional Privada, gerenciamos cuidadosamente o ciclo de vida completo dos dados pessoais, desde sua coleta inicial até o descarte final. Cada etapa deste ciclo é planejada e executada com controles específicos para garantir a conformidade com a LGPD e a proteção adequada das informações.

2.1. Coleta

Nesta fase inicial, implementamos controles para garantir que apenas dados necessários sejam coletados, sempre com base legal apropriada e transparência.

  • Procedimentos adotados:
    • Mapeamento prévio da necessidade de coleta para cada tipo de dado
    • Implementação de avisos de privacidade claros no momento da coleta
    • Obtenção de consentimento específico quando necessário
    • Verificação da idade mínima para coleta de dados de crianças e adolescentes
    • Documentação da base legal aplicável para cada elemento de dado coletado
  • Ferramentas utilizadas:
    • Formulários com design de privacidade integrado
    • Mecanismos de verificação de idade
    • Sistemas de gestão de consentimento
    • Registro automático de bases legais

2.2. Processamento

Durante o processamento, garantimos que os dados sejam utilizados apenas para as finalidades informadas e por pessoas autorizadas.

  • Procedimentos adotados:
    • Implementação de controles de acesso baseados em funções
    • Documentação detalhada de todas as operações de processamento
    • Revisão regular da necessidade e proporcionalidade do processamento
    • Aplicação de técnicas de pseudonimização quando possível
    • Monitoramento contínuo das atividades de processamento
  • Ferramentas utilizadas:
    • Sistemas de gerenciamento de identidade e acesso
    • Ferramentas de monitoramento e auditoria de acesso
    • Plataformas de automação de workflow com controles de privacidade
    • Soluções de mascaramento e pseudonimização de dados

2.3. Armazenamento

No armazenamento, protegemos os dados contra acessos não autorizados e incidentes de segurança, aplicando controles técnicos apropriados.

  • Procedimentos adotados:
    • Classificação de dados por nível de sensibilidade
    • Aplicação de controles de segurança proporcionais à sensibilidade dos dados
    • Implementação de políticas de retenção com períodos definidos
    • Realização de backups regulares com proteções de segurança equivalentes
    • Verificação periódica da integridade dos dados armazenados
  • Ferramentas utilizadas:
    • Soluções de criptografia para dados em repouso
    • Sistemas de gestão de armazenamento com controles de acesso granulares
    • Ferramentas automatizadas de classificação de dados
    • Sistemas de backup com verificação de integridade

2.4. Compartilhamento

Quando compartilhamos dados, seguimos protocolos rigorosos para garantir que a transferência seja segura e que o destinatário ofereça níveis adequados de proteção.

  • Procedimentos adotados:
    • Avaliação prévia dos destinatários quanto às práticas de proteção de dados
    • Assinatura de acordos de processamento de dados com requisitos específicos
    • Uso de canais seguros para transferência de informações
    • Registro detalhado de todas as transferências realizadas
    • Verificação regular do cumprimento dos requisitos pelos parceiros
  • Ferramentas utilizadas:
    • Plataformas seguras de transferência de arquivos
    • APIs com autenticação e autorização robustas
    • Soluções de criptografia para dados em trânsito
    • Sistemas de gestão de parceiros com métricas de compliance

2.5. Retenção

Durante o período de retenção, mantemos os dados apenas pelo tempo necessário, com controles para garantir sua integridade e disponibilidade.

  • Procedimentos adotados:
    • Definição de períodos de retenção baseados em requisitos legais e necessidades de negócio
    • Implementação de mecanismos automatizados de revisão de retenção
    • Arquivamento com controles de acesso restritos para dados históricos necessários
    • Revisão periódica da necessidade de manutenção dos dados armazenados
    • Documentação das justificativas para períodos de retenção estendidos
  • Ferramentas utilizadas:
    • Sistemas de gestão de ciclo de vida da informação
    • Ferramentas automatizadas de arquivamento
    • Soluções de auditoria de retenção
    • Calendários automatizados de revisão de dados

2.6. Eliminação

Na fase final, implementamos processos de eliminação segura para garantir que os dados sejam completamente removidos quando não forem mais necessários.

  • Procedimentos adotados:
    • Uso de técnicas de eliminação segura que impedem a recuperação
    • Implementação de processos de verificação pós-eliminação
    • Documentação de todos os procedimentos de eliminação realizados
    • Consideração especial para mídias físicas e dispositivos em fim de vida
    • Processos específicos para anonimização irreversível quando aplicável
  • Ferramentas utilizadas:
    • Software de exclusão segura com sobrescrita de dados
    • Ferramentas de anonimização avançada
    • Serviços certificados de destruição física de mídias
    • Sistemas de verificação e auditoria de eliminação

3. Operações de tratamento de dados

A Consulta Nacional Privada realiza diversas operações de tratamento de dados pessoais, cada uma sujeita a controles específicos para garantir a conformidade com a LGPD. Abaixo detalhamos as principais operações realizadas em nossos sistemas e os respectivos controles aplicados:

3.1. Coleta e registro

Operações relacionadas à obtenção e documentação inicial dos dados pessoais.

  • Operações específicas:
    • Preenchimento de formulários online e físicos
    • Importação de dados de sistemas de terceiros (com autorização)
    • Captura de informações de uso e navegação
    • Recebimento de dados via APIs integradas
    • Coleta de dados para verificação de identidade
  • Controles aplicados:
    • Verificação prévia da necessidade de cada elemento de dado
    • Avisos de privacidade específicos para cada ponto de coleta
    • Validação da base legal antes do início da coleta
    • Registro automático da origem dos dados e consentimento quando aplicável

3.2. Organização e estruturação

Operações que organizam os dados coletados para facilitar seu processamento e uso.

  • Operações específicas:
    • Categorização de dados por tipo e sensibilidade
    • Vinculação de dados relacionados a um mesmo titular
    • Estruturação em bancos de dados relacionais
    • Indexação para otimização de consultas
    • Normalização e padronização de formatos
  • Controles aplicados:
    • Implementação de políticas de classificação de dados
    • Controles de acesso baseados na classificação
    • Registro de metadados sobre a estruturação
    • Auditoria das operações de organização

3.3. Alteração e atualização

Operações de modificação de dados já armazenados em nossos sistemas.

  • Operações específicas:
    • Atualização de informações de contato
    • Correção de dados inexatos
    • Complementação de informações incompletas
    • Enriquecimento de dados com informações adicionais
    • Atualizações automáticas via integração de sistemas
  • Controles aplicados:
    • Validação da autoridade para realizar alterações
    • Registro completo de todas as alterações (antes/depois)
    • Verificação da qualidade dos dados após alterações
    • Notificação ao titular sobre alterações significativas

3.4. Consulta e acesso

Operações de recuperação e visualização de dados armazenados.

  • Operações específicas:
    • Consultas diretas por usuários autorizados
    • Acesso via interfaces de aplicação
    • Geração de relatórios e análises
    • Exibição de dados em dashboards
    • Respostas a solicitações de acesso pelos titulares
  • Controles aplicados:
    • Autenticação multifator para acesso a dados sensíveis
    • Logs detalhados de todas as operações de acesso
    • Limitação do escopo de visualização baseado em perfis
    • Monitoramento de padrões anormais de consulta

4. Fluxos de dados na organização

Na Consulta Nacional Privada, mapeamos e documentamos cuidadosamente os fluxos de dados pessoais dentro e para fora da organização. Esta visibilidade é essencial para garantir controles adequados em cada etapa do tratamento.

4.1. Fluxos internos de dados

Descrevemos como os dados fluem entre diferentes departamentos e sistemas dentro da nossa organização.

  • Principais fluxos:
    • Da área de atendimento ao cliente para o sistema de gestão de relacionamento
    • Do sistema de cadastro para o sistema de faturamento
    • Da plataforma online para bases analíticas internas
    • Do sistema de processamento para o armazenamento de longo prazo
    • Entre diferentes equipes operacionais conforme necessidade de serviço
  • Controles implementados:
    • Definição clara de propósitos para cada transferência interna
    • Limitação de acesso baseada em necessidade funcional
    • Registro automatizado das transferências entre sistemas
    • Criptografia de dados sensíveis mesmo em trânsito interno
    • Auditoria periódica da necessidade e proporcionalidade dos fluxos

4.2. Fluxos externos de dados

Descrevemos como os dados são compartilhados com organizações externas e os mecanismos de proteção aplicados.

  • Principais destinatários:
    • Provedores de serviços em nuvem para armazenamento e processamento
    • Parceiros de processamento de pagamento
    • Fornecedores de serviços de verificação e validação
    • Agências reguladoras quando legalmente requerido
    • Parceiros de integração para serviços complementares
  • Medidas de proteção:
    • Avaliação de impacto prévia a novos compartilhamentos
    • Contratos com cláusulas específicas de proteção de dados
    • Verificação da conformidade dos destinatários com a LGPD
    • Uso de canais seguros e criptografados para transferências
    • Monitoramento contínuo dos parceiros quanto ao tratamento adequado

4.3. Transferências internacionais

Detalhamos os fluxos de dados para fora do território nacional e os mecanismos para garantir proteção adequada.

  • Países destinatários:
    • Estados Unidos (serviços de computação em nuvem)
    • União Europeia (parceiros de processamento)
    • Canadá (serviços de backup e redundância)
    • Reino Unido (serviços analíticos)
  • Salvaguardas implementadas:
    • Verificação do nível adequado de proteção no país destinatário
    • Uso de cláusulas contratuais padrão aprovadas pela ANPD
    • Avaliações periódicas das práticas dos receptores internacionais
    • Criptografia de ponta a ponta para dados em trânsito internacional
    • Monitoramento do cenário regulatório internacional para ajustes necessários

4.4. Documentação e transparência

Mantemos registros detalhados sobre todos os fluxos de dados para fins de compliance e transparência.

  • Práticas de documentação:
    • Registro de Atividades de Tratamento (RAT) atualizado continuamente
    • Diagramas de fluxo de dados com metadados associados
    • Documentação das bases legais para cada compartilhamento
    • Inventário de transferências com categorias de dados e finalidades
    • Registro histórico de alterações nos fluxos de dados
  • Transparência ao titular:
    • Informação clara sobre potenciais compartilhamentos no momento da coleta
    • Portal de privacidade com informações sobre principais compartilhamentos
    • Canais para solicitação de informações detalhadas sobre fluxos específicos
    • Notificações quando novos fluxos significativos são estabelecidos

5. Avaliação de impacto à proteção de dados

A Consulta Nacional Privada realiza Avaliações de Impacto à Proteção de Dados (AIPD) para tratamentos que possam gerar riscos significativos aos direitos e liberdades dos titulares. Esta prática preventiva nos permite identificar e mitigar riscos antes que eles ocorram.

5.1. Critérios para realização de AIPD

Estabelecemos critérios claros para determinar quando uma avaliação de impacto é necessária.

  • Realizamos AIPD quando o tratamento envolve:
    • Avaliação sistemática e abrangente de aspectos pessoais baseada em processamento automatizado
    • Processamento em larga escala de dados sensíveis ou de categorias especiais
    • Monitoramento sistemático de áreas acessíveis ao público
    • Uso de novas tecnologias para processamento de dados pessoais
    • Tomada de decisões automatizadas com efeito significativo sobre os titulares
    • Compartilhamento de dados com múltiplos parceiros externos
    • Tratamento que possa impedir o exercício de direitos ou o uso de serviço/contrato

5.2. Metodologia de avaliação

Seguimos uma metodologia estruturada para conduzir avaliações de impacto eficazes.

  • Nossas AIPDs incluem:
    • Descrição sistemática das operações de tratamento previstas
    • Avaliação da necessidade e proporcionalidade do tratamento
    • Identificação e avaliação de riscos específicos aos direitos dos titulares
    • Medidas para demonstrar conformidade com a LGPD
    • Salvaguardas, medidas de segurança e mecanismos para mitigar riscos
  • Etapas do processo:
    • Planejamento e definição do escopo da avaliação
    • Coleta de informações sobre o tratamento
    • Identificação de riscos e avaliação de probabilidade e impacto
    • Definição de medidas para tratamento dos riscos identificados
    • Documentação dos resultados e recomendações
    • Implementação das medidas recomendadas
    • Monitoramento contínuo e reavaliação periódica

5.3. Exemplos de avaliações realizadas

Realizamos avaliações de impacto para diversos processos críticos em nossa organização.

  • Principais AIPDs concluídas:
    • Sistema de verificação de identidade com reconhecimento facial
    • Implementação de algoritmos de pontuação para análise de perfil de usuários
    • Integrações com bases de dados governamentais para verificação cadastral
    • Expansão de compartilhamento de dados com novos parceiros estratégicos
    • Implementação de sistema de geolocalização para serviços personalizados
  • Resultados e benefícios:
    • Identificação precoce de vulnerabilidades de segurança
    • Redesenho de processos para minimizar coleta de dados
    • Implementação de controles adicionais para dados sensíveis
    • Aprimoramento de mecanismos de consentimento e transparência
    • Desenvolvimento de procedimentos de resposta a incidentes mais robustos

5.4. Revisão e atualização

As avaliações de impacto não são realizadas apenas uma vez, mas revisadas periodicamente.

  • Gatilhos para revisão de AIPDs:
    • Mudanças significativas no processamento de dados
    • Novas tecnologias implementadas nos sistemas existentes
    • Alterações no contexto organizacional ou regulatório
    • Incidentes de segurança relacionados ao tratamento avaliado
    • Feedback significativo de titulares ou partes interessadas
    • Periodicidade mínima anual para tratamentos de alto risco

6. Medidas técnicas de proteção

A Consulta Nacional Privada implementa medidas técnicas e organizacionais robustas para proteger os dados pessoais contra acessos não autorizados, perdas acidentais, divulgações ou alterações indevidas. Estas medidas são regularmente avaliadas e atualizadas para manter sua eficácia.

6.1. Segurança da infraestrutura

Implementamos controles abrangentes para proteger nossa infraestrutura física e digital.

  • Segurança física:
    • Controles de acesso físico com múltiplos fatores de autenticação
    • Sistemas de monitoramento e vigilância em instalações críticas
    • Proteções ambientais (contra incêndio, inundação, interrupções de energia)
    • Políticas de mesa limpa e descarte seguro de documentos físicos
    • Segregação física de ambientes críticos de processamento
  • Segurança de rede:
    • Arquitetura de rede segmentada com firewalls de próxima geração
    • Sistemas de detecção e prevenção de intrusão (IDS/IPS)
    • Proteção avançada contra ataques DDoS
    • VPNs para acesso remoto seguro
    • Monitoramento contínuo de tráfego de rede para detecção de anomalias
    • Testes regulares de penetração e varreduras de vulnerabilidades

6.2. Proteção de dados

Aplicamos medidas específicas para proteger os dados pessoais em todas as etapas do tratamento.

  • Criptografia e proteção:
    • Criptografia AES-256 para dados em repouso
    • Criptografia TLS 1.3 para dados em trânsito
    • Gerenciamento seguro de chaves criptográficas
    • Mascaramento de dados sensíveis em ambientes de teste e desenvolvimento
    • Pseudonimização de dados para análises internas
    • Tokenização para dados de pagamento e financeiros
  • Controles de acesso:
    • Implementação do princípio de privilégio mínimo
    • Autenticação multifator para acesso a sistemas críticos
    • Revisão periódica de privilégios de acesso
    • Procedimentos formais para concessão e revogação de acessos
    • Tempos de inatividade e sessões automáticas de logout
    • Logs detalhados de todas as atividades de acesso

6.3. Privacidade por design e padrão

Incorporamos princípios de privacidade em todas as etapas do desenvolvimento de sistemas e produtos.

  • Práticas de desenvolvimento seguro:
    • Revisões de segurança e privacidade durante todas as fases do ciclo de desenvolvimento
    • Testes automatizados de segurança integrados ao pipeline de desenvolvimento
    • Verificações de código para vulnerabilidades conhecidas
    • Princípios de privacidade por design implementados desde as fases iniciais
    • Configurações padrão de segurança aplicadas a todos os novos sistemas
  • Medidas específicas de privacidade:
    • Minimização de dados como princípio padrão
    • Uso de identificadores pseudonimizados sempre que possível
    • Controles granulares para opções de privacidade dos usuários
    • Períodos de retenção automatizados com eliminação segura
    • Mecanismos para facilitar o exercício de direitos dos titulares

6.4. Monitoramento e detecção

Implementamos sistemas de monitoramento contínuo para identificar e responder rapidamente a incidentes de segurança.

  • Ferramentas e técnicas:
    • Centro de Operações de Segurança (SOC) com monitoramento 24×7
    • Sistemas de Gerenciamento de Eventos e Informações de Segurança (SIEM)
    • Monitoramento de comportamento de usuários e entidades (UEBA)
    • Detecção avançada de ameaças com inteligência artificial
    • Monitoramento de integridade de arquivos críticos
    • Alertas em tempo real para atividades suspeitas
  • Processos de verificação:
    • Auditorias regulares de segurança e privacidade
    • Testes periódicos de controles de segurança
    • Verificações de conformidade com políticas internas
    • Avaliações externas por especialistas independentes
    • Simulações de incidentes para validar a eficácia dos controles

7. Gestão de incidentes de segurança

A Consulta Nacional Privada mantém um programa abrangente de gestão de incidentes de segurança para detectar, responder e recuperar-se de eventos que possam afetar a confidencialidade, integridade ou disponibilidade de dados pessoais.

7.1. Plano de resposta a incidentes

Possuímos um plano estruturado para responder eficientemente a incidentes de segurança.

  • Elementos do plano:
    • Definição clara de papéis e responsabilidades da equipe de resposta
    • Procedimentos detalhados para diferentes tipos de incidentes
    • Protocolos de comunicação interna e externa
    • Procedimentos para preservação de evidências
    • Critérios para escalação e acionamento de recursos externos
    • Processo de documentação e registro de incidentes
  • Equipe de resposta:
    • Profissionais especializados em segurança da informação
    • Representantes das áreas jurídica, TI, proteção de dados e comunicação
    • Contatos estabelecidos com especialistas externos para suporte
    • Treinamento regular e certificações específicas para a equipe
    • Simulações periódicas para manter prontidão operacional

7.2. Processo de notificação

Estabelecemos procedimentos claros para notificação de incidentes conforme exigido pela LGPD.

  • Notificação à ANPD:
    • Análise imediata do incidente para determinar obrigação de notificação
    • Preparação de relatório detalhado conforme requisitos regulatórios
    • Notificação dentro do prazo legal estabelecido
    • Acompanhamento e atendimento a solicitações adicionais da autoridade
    • Documentação completa de todas as comunicações realizadas
  • Notificação aos titulares:
    • Avaliação do potencial dano aos titulares afetados
    • Comunicação clara e transparente sobre o ocorrido
    • Informações sobre medidas tomadas e em andamento
    • Recomendações práticas para mitigar riscos aos titulares
    • Canal dedicado para esclarecimento de dúvidas e assistência

7.3. Investigação e análise

Realizamos investigações aprofundadas para compreender causas e impactos de incidentes.

  • Processo investigativo:
    • Contenção imediata para limitar o impacto do incidente
    • Coleta e preservação de evidências forenses
    • Análise técnica detalhada para determinar o vetor do ataque ou falha
    • Verificação da extensão dos dados afetados e titulares impactados
    • Determinação da linha do tempo do incidente
    • Avaliação da eficácia dos controles existentes
  • Documentação:
    • Registro detalhado de todas as evidências encontradas
    • Relatórios técnicos internos sobre causas e impactos
    • Documentação de medidas de contenção e remediação aplicadas
    • Registro de lições aprendidas e recomendações para melhorias
    • Atualização do inventário de incidentes e estatísticas

7.4. Melhoria contínua

Utilizamos as lições aprendidas com incidentes para fortalecer nossos controles de segurança.

  • Processo de aprendizado:
    • Realização de análises pós-incidente (post-mortem)
    • Identificação sistemática de falhas nos controles existentes
    • Desenvolvimento de planos de ação para remediar vulnerabilidades
    • Revisão e atualização de políticas e procedimentos
    • Treinamentos específicos baseados em incidentes reais
  • Acompanhamento:
    • Monitoramento da implementação das melhorias recomendadas
    • Testes para validar a eficácia das novas medidas
    • Indicadores de desempenho para acompanhar evolução da maturidade
    • Compartilhamento interno de conhecimentos e melhores práticas
    • Revisão periódica do programa de gestão de incidentes

8. Governança e compliance

A Consulta Nacional Privada estabeleceu uma estrutura robusta de governança de privacidade e proteção de dados para garantir o cumprimento contínuo da LGPD e outras legislações aplicáveis.

8.1. Estrutura organizacional

Estabelecemos uma estrutura clara de responsabilidades para a proteção de dados em toda a organização.

  • Papéis e responsabilidades:
    • Encarregado de Proteção de Dados (DPO): Responsável por supervisionar a conformidade com a LGPD, servir como ponto de contato para titulares de dados e autoridades, e coordenar atividades relacionadas à proteção de dados
    • Comitê de Privacidade: Grupo multidisciplinar que inclui representantes das áreas jurídica, TI, segurança, negócios e compliance, responsável por definir diretrizes e tomar decisões estratégicas
    • Embaixadores de Privacidade: Profissionais designados em cada departamento para promover boas práticas e servir como ponto focal para questões de privacidade
    • Equipe de Segurança da Informação: Responsável pela implementação e manutenção dos controles técnicos de proteção
    • Alta Direção: Comprometida com a cultura de privacidade, fornecendo recursos necessários e supervisionando o programa
  • Dados do Encarregado (DPO):
    • Nome: Amanda Oliveira Santos
    • Email: dpo@consultanacional.org
    • Telefone: (11) 5239-7466 (ramal 218)
    • Endereço: R. Itambé, 877 – Jardim Iririu, Joinville – SC, 89224-430

8.2. Políticas e procedimentos

Desenvolvemos um conjunto abrangente de políticas e procedimentos para orientar o tratamento adequado de dados pessoais.

  • Principais documentos:
    • Política Geral de Proteção de Dados: Define princípios, diretrizes e responsabilidades gerais
    • Política de Classificação de Dados: Estabelece critérios para categorização de dados por sensibilidade
    • Política de Retenção e Eliminação: Define períodos de retenção e procedimentos para descarte seguro
    • Procedimento de Resposta a Solicitações de Titulares: Detalha como processar e responder a requisições de direitos
    • Procedimento de Gestão de Consentimento: Define como obter, registrar e gerenciar consentimentos
    • Procedimento de Notificação de Incidentes: Estabelece o fluxo para comunicação de violações
    • Política de Segurança da Informação: Define requisitos técnicos e organizacionais para proteção
  • Gestão de documentos:
    • Revisão anual de todas as políticas e procedimentos
    • Controle de versões e registro de alterações
    • Aprovação formal pela alta direção
    • Disponibilização em plataforma centralizada acessível aos colaboradores
    • Treinamento regular sobre as políticas vigentes

8.3. Conformidade e auditoria

Implementamos mecanismos para monitorar e verificar a conformidade com a legislação e nossas políticas internas.

  • Atividades de compliance:
    • Manutenção do Registro de Atividades de Tratamento: Documentação detalhada de todas as operações de tratamento
    • Avaliações periódicas de conformidade: Verificações regulares contra requisitos da LGPD
    • Auditorias internas: Avaliações sistemáticas realizadas pela equipe interna
    • Auditorias externas: Verificações por terceiros independentes para validação imparcial
    • Relatórios de conformidade: Documentação formal do status de compliance e pontos de atenção
    • Planos de ação corretiva: Acompanhamento de medidas para remediar não conformidades
  • Indicadores e métricas:
    • Taxa de resolução de solicitações de titulares dentro do prazo
    • Número de incidentes de segurança relacionados a dados pessoais
    • Tempo médio de resposta a incidentes
    • Percentual de treinamentos de privacidade concluídos
    • Índice de conformidade com controles críticos
    • Número de não conformidades identificadas e resolvidas

8.4. Capacitação e conscientização

Investimos na construção de uma cultura de privacidade através de treinamentos e comunicações regulares.

  • Programa de treinamento:
    • Treinamento inicial obrigatório para todos os novos colaboradores
    • Capacitação anual de reciclagem para toda a organização
    • Treinamentos específicos por função e nível de acesso a dados
    • Workshops práticos sobre procedimentos de proteção de dados
    • Certificações externas para equipes especializadas
  • Ações de conscientização:
    • Campanhas internas sobre práticas seguras de tratamento de dados
    • Informativos regulares sobre novidades e boas práticas
    • Portal interno com recursos educacionais sobre privacidade
    • Simulações de phishing e outros ataques para testar o nível de alerta
    • Reconhecimento de colaboradores que demonstram excelência em proteção de dados

9. Dúvidas e contato

A Consulta Nacional Privada está comprometida com a transparência e está à disposição para esclarecer dúvidas sobre nossas práticas de tratamento de dados pessoais.

9.1. Como entrar em contato

Se você tiver dúvidas, preocupações ou solicitações relacionadas ao tratamento dos seus dados pessoais, você pode entrar em contato conosco através dos seguintes canais:

  • Encarregado de Proteção de Dados (DPO):
    • Email: dpo@consultanacional.org
    • Telefone: (11) 5239-7466 (ramal 218)
    • Endereço para correspondência: R. Itambé, 877 – Jardim Iririu, Joinville – SC, 89224-430 (aos cuidados do DPO)
  • Canais adicionais:
    • Formulário online em nossa página de Privacidade
    • Central de atendimento: (11) 5239-7466
    • Atendimento via chat em nosso site
    • Email geral: privacidade@consultanacional.org

9.2. Solicitações de titulares

Você pode exercer seus direitos como titular de dados através dos canais mencionados acima. Ao receber sua solicitação, seguiremos o procedimento abaixo:

  • Processo de atendimento:
    • Confirmação de recebimento em até 2 dias úteis
    • Verificação da identidade do solicitante para garantir a segurança
    • Análise da solicitação pela equipe responsável
    • Resposta formal com as informações solicitadas ou ações tomadas
    • Fornecimento de resposta completa dentro do prazo legal de 15 dias
  • Tipos de solicitações:
    • Confirmação da existência de tratamento
    • Acesso aos dados
    • Correção de dados incompletos, inexatos ou desatualizados
    • Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos
    • Portabilidade dos dados
    • Informações sobre compartilhamento de dados
    • Revogação do consentimento

9.3. Autoridade de proteção de dados

Caso você tenha dúvidas ou preocupações que não foram resolvidas satisfatoriamente por nossos canais de contato, você também pode entrar em contato com a Autoridade Nacional de Proteção de Dados (ANPD):

  • Contato da ANPD:
    • Site: www.gov.br/anpd
    • Peticionamento eletrônico: disponível no site da ANPD
    • Endereço: Esplanada dos Ministérios, Bloco C, 2º andar, CEP 70297-400 – Brasília/DF

Estamos comprometidos em resolver suas preocupações de maneira transparente e eficiente, e encorajamos você a nos contatar antes de acionar a autoridade, para que possamos trabalhar juntos na resolução de qualquer questão relacionada aos seus dados pessoais.

© 2025 Consulta Nacional Privada. Todos os direitos reservados.

AVISO LEGAL: A Consulta Nacional Privada é um serviço privado e não possui vínculo com órgãos governamentais. O serviço oferecido é de natureza particular e tem como objetivo auxiliar no acesso a informações públicas disponíveis em bancos de dados oficiais.

Política de Privacidade Política de Cookies Como Usamos os Dados

Fale Conosco
1