REQUISIÇÃO DE DADOS PESSOAIS
Ao Setor Responsável / DPO
NOME COMPLETO, nacionalidade, estado civil, profissão, RG xxxxxx, CPF xxxxxxxxx, residente e domiciliado no (ENDEREÇO), E-mail (correio eletrônico), e em face dos eventos recentes, estou realizando um requerimento para ter acesso aos meus dados pessoais, tudo em conformidade com o disposto na Lei n. 12.965/14 (Marco Civil da Internet), Lei n. 13.709/18 (Lei Geral de Proteção de Dados - LGPD) e o Regulamento (UE) 2016/679 do Parlamento Europeu que instituiu o Regulamento Geral sobre a Proteção de Dados (GDPR).
Estou preocupado que as práticas sobre as políticas de segurança da informação de sua companhia possam colocar minhas informações pessoais em risco de exposição ou, de fato, violaram sua obrigação de proteger minhas informações pessoais de acordo com a situação da (NOME DA EMPRESA).
Estou incluindo cópias dos meus documentos pessoais para verificação da minha identidade. Se necessitarem de mais informações, por gentileza, contate-me no meu endereço acima ou por e-mail (CORREIO ELETRÔNICO).
Comunico de que vocês estão avisados de pronto que eu espero uma resposta aos meus questionamentos dentro do prazo máximo de 01 (um) mês, tal como determinado nos artigos 7o, incisos VI, VIII, XI e XIII e 8o da Lei 12.9065/14 (Marco Civil da Internet), artigo 18 da Lei n. 13.709/18 (Lei Geral de Proteção de Dados) e artigo 12 do regulamento 2016/679 (GDPR), não ocorrendo isto, encaminharei meus pedidos para o DIRETOR DE SEGURANÇA DA INFORMAÇÃO.
Por gentileza, informem sobre o seguinte:
1. Desejo confirmação se vocês estão ou não processando meus dados pessoais. Se sim, por obséquio, forneçam as categorias de dados pessoais que vocês têm sobre mim em seus arquivos e banco de dados (artigo 7o, VIII da Lei n. 12.965/14 e artigo 18 da Lei n. 13.709/18).
a) Mais especificamente, por gentileza informem o que vocês têm sobre mim nos seus sistemas de informações, mais especificamente, o que está contido nos bancos de dados, incluindo e-mails, documentos em suas redes, ligações telefônicas ou qualquer outra mídia.
b) Adiciona-se a isto, um pedido de informações sobre quais países os meus dados pessoais estão armazenados ou são acessados. Neste caso, se você se utiliza de serviços de nuvem para armazenar e processar meus dados pessoais, informe também quais países estão localizados os servidores, onde os meus dados estão armazenados ou foram armazenados nos últimos 12 (doze) meses.
c) Forneça-me uma cópia ou um acesso aos meus dados pessoais que você tem ou está processando.
2. Forneçam com detalhes os usos específicos que têm feito, ou estão fazendo ou farão com os meus dados pessoais (artigo 7o da Lei n. 12.965/14, artigo 18 da Lei n. 13.709/18 e artigo 12 do Regulamento 2016/679 (UE)).
3. Forneçam a lista de todos os terceiros com os quais vocês tenham compartilhado os meus dados pessoais (artigo 7o da Lei n. 12.965/14, artigo 18 da Lei n. 13.709/18 e artigo 12 do Regulamento 2016/679 (UE)).
a) Caso vocês não tenham capacidade de identificar, com certeza, os terceiros com quem vocês compartilharam os meus dados pessoais, por favor, forneçam uma lista dos terceiros com quem vocês poderiam ter compartilhado os meus dados pessoais.
b) Por favor, identifique também quais jurisdições que vocês localizaram no item 1.b acima, a quais terceiros você se relaciona, que possam ter compartilhado, armazenados ou acessados os meus dados pessoais.
c) Adicionalmente, gostaria de saber quais salvaguardas foram colocadas em relação aos terceiros que você identificou, em relação à transferência dos meus dados pessoais.
4. Por favor, informem por quanto tempo vocês armazenam meus dados pessoais e se a retenção deles é baseada na categoria de dados pessoais. Identifique por quanto tempo cada categoria é retida.
5. Se vocês coletam outros dados pessoais meus de outra fonte além de mim, por favor, forneça todas as informações relativas a esta fonte, tal como determinado pelos artigos 7o da Lei n. 12.965/14, 18 da Lei n. 13.709/18 e 14 do Regulamento 2016/679 (UE).
6. Se você está tomando decisões automatizadas sobre mim, incluindo criação de perfis, com base ou não no artigo 20, § 1o da Lei n. 13.709/18 e no artigo 22 da GDPR, forneça todas as informações relacionadas as bases lógicas que são feitas estas decisões automatizadas, bem como os significados e consequências dos processamentos.
7. Gostaria de saber se os meus dados pessoais estão ou não sendo divulgados inadvertidamente por sua companhia, em razão de falhas de segurança ou vazamentos ocorridos no passado.
a) Se sim, informe os seguintes detalhes de cada vazamento:
i. uma descrição geral do que ocorreu;
ii. a data e o tempo da falha (ou a estimativa possível para este caso);
iii. A data e o momento que o vazamento foi descoberto;
iv. a fonte do vazamento (se a sua companhia ou terceiro que você compartilhou meus dados);
v. detalhe quais dados pessoais foram divulgados;
vi. a avaliação de sua companhia sobre o risco posto a mim, como resultado do vazamento;
vii. Uma descrição minuciosa das medidas tomadas ou que serão tomadas para prevenir acesso desautorizado aos meus dados pessoais;
viii. Informações de contato para que eu possa obter mais detalhes em relação ao vazamento; e
ix. informação e aconselhamentos sobre o que eu posso fazer para me proteger contra possíveis danos, incluindo furtos de dados e fraudes.
b. Se você não for capaz de estabelecer, com certeza, onde a exposição ocorreu, através do uso de tecnologias adequadas, informe quais passos para mitigar os riscos foram tomados para:
i. encriptar meus dados pessoais;
ii. estratégias para redução ao mínimo de vazamento de meus dados ou;
iii. Anonimização ou pseudonimização;
iv. quaisquer outros meios
8. Gostaria de saber quais políticas de informação e parâmetros que vocês seguem em relação aos resguardos dos meus dados pessoais, se vocês estão em conformidade com a ISO 27001 para segurança de informação, ou mais especificamente, suas práticas seguem o relacionado abaixo:
a) Informe se vocês realizaram a cópia de segurança de meus dados pessoais numa fita, disco ou outra mídia, onde vocês armazenaram e qual é o nível de segurança do lugar, incluindo quais passos tomaram para proteger os meus dados pessoais de perdas ou furtos e se todos esses procedimentos incluem encriptação dos dados.
b) Por favor, informe também se você possui alguma tecnologia que lhe permita, com razoável certeza, saber se os meus dados pessoais foram ou não divulgados, incluindo mas não limitado aos seguintes casos:
i. Sistemas de Detecção de Intrusão
ii. Firewall;
iii. Tecnologias de gerenciamento de acesso e identificação;
iv. Ferramentas de segurança ou banco de dados auditáveis ou;
v. Ferramentas de análises comportamentais, ferramentas de análises de registros ou ferramentas de auditoria.
9. Em relação aos empregados e contratados, informe o seguinte:
a) quais tecnologias ou procedimentos comerciais você certifica os colaboradores dentro da sua organização e se eles são monitorados para garantir não façam deliberadamente ou inadvertidamente divulgação de dados pessoais para foram da sua companhia, através de e-mail, webmail ou mensagens eletrônicas ou quaisquer outros meios.
b) Você já teve alguma circunstância em que funcionários ou contratados foram demitidos e/ou foram acusados criminalmente por acessar dados pessoais de forma inadequada ou, se você não conseguir determinar isso, de quaisquer clientes nos últimos doze meses.
c) Por favor, informe sobre quais medidas de treinamento e conscientização você tomou para assegurar que funcionários e contratados, que estejam acessando e processando meus dados pessoais, em conformidade com o Regulamento Geral de Proteção de Dados, saibam de meus direitos envolvidos no processamento.
Atenciosamente.
(ASSINATURA)
NOME DO TITULAR DE DADOS
RG XXXXXXXXXX
CPF XXXXXXXXX
(Com informações da SIGILO)
