Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 15/02/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023021500064
64
Nº 33, quarta-feira, 15 de fevereiro de 2023
ISSN 1677-7042
Seção 1
RESOLUÇÃO CRCES Nº 452, DE 15 DE DEZEMBRO DE 2022
Institui a Política de Notificação de Incidentes de
Segurança
com Dados
Pessoais
no âmbito
do
Conselho Regional de
Contabilidade do Espírito
Santo - CRCES.
O PLENÁRIO DO CONSELHO REGIONAL DE CONTABILIDADE DO ESPÍRITO
SANTO, no uso de suas atribuições legais e regimentais, nos termos do inciso XVIII, art.
11, da Resolução n.º 342/2014; CONSIDERANDO a necessária conformidade do CRCES aos
termos da Lei Geral de Proteção de Dados Pessoais, Lei n.º 13.709, de 14 de agosto de
2018; CONSIDERANDO a Portaria CRCES n.º 59, de 17 de maio de 2022, que criou o
Comitê de
Segurança da Informação
(CSI) no
âmbito do Conselho
Regional de
Contabilidade do Espírito Santo; CONSIDERANDO que os agentes de tratamento devem
adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
CONSIDERANDO que os agentes de tratamento ou qualquer outra pessoa que intervenha
em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista
nesta política em relação aos dados pessoais, mesmo após o seu término; resolve:
Art. 1º. Instituir a Política de Notificação de Incidentes de Segurança com
Dados Pessoais por meio do Manual de Notificação de Incidentes de Segurança com
Dados Pessoais, nos termos do Anexo desta Resolução.
Art. 2º. Esta Resolução entra em vigor na data de sua assinatura.
CARLA CRISTINA TASSO
Presidente do Conselho
ANEXO
MANUAL DE NOTIFICAÇÃO DE INCIDENTES DE SEGURANÇA COM DADOS
P ES S OA I S
1. INTRODUÇÃO O Conselho Regional de Contabilidade do Espírito Santo
resolveu instituir a presente Política tendo em vista o mandamento legal contido na Lei
n.º 13.709, de 14 de agosto de 2018, que trata da Lei Geral de Proteção de Dados
Pessoais (LGPD); É certo que os agentes de tratamento devem adotar medidas de
segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não
autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou qualquer forma de tratamento inadequado ou ilícito e que estes agentes
ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a
garantir a segurança da informação prevista na LGPD em relação aos dados pessoais,
mesmo após o seu término. Sendo assim, se faz necessário tal manual que objetiva para
orientar os colaboradores do CRCES e principalmente os membros do Comitê Comissão de
Segurança da Informação.
2. TERMINOLOGIA Além das terminologias já especificadas no art. 5º da Lei
Geral de Proteção de Dados Pessoais - LGPD, destaca-se ainda alguns outros termos, quais
sejam:
1 - Comitê de Segurança da Informação (CSI): comissão responsável pela
avaliação dos mecanismos de tratamento, privacidade e proteção de dados existentes e
pela proposição de ações voltadas ao seu aperfeiçoamento com vistas ao cumprimento
das disposições da Lei n.º 13.709, de 14 de agosto de 2018, no âmbito do CRCES;
2 - Notificação: ato ou efeito de informar ou de dar a conhecer sobre uma
ocorrência e/ou incidente de segurança com dados pessoais; 3 - Incidente de segurança
com dados pessoais: qualquer evento adverso confirmado, relacionado à violação na
segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que
resulte na destruição, perda, alteração, vazamento ou, ainda, qualquer forma de
tratamento de dados inadequada ou ilícita, que possam ocasionar risco para os direitos
e liberdades do titular dos dados pessoais.
3. OBJETIVO A Política de Notificação de Incidentes de Segurança com Dados
Pessoais do CRCES tem por objetivo descrever os procedimentos necessários para a
identificação, comunicação e notificação do incidente de segurança com dados
pessoais.
4. COMUNICAÇÃO DE INCIDENTE DE SEGURANÇA COM DADOS PESSOAIS A
identificação do incidente pode ocorrer das seguintes formas:
I - denúncia por parte de titular ou terceiro;
II - reporte por parte do operador;
III - pelo emprego de ferramentas automatizadas que detectam vazamentos de
dados. Todas as violações de dados pessoais devem ser comunicadas ao Encarregado pelo
Tratamento de Dados Pessoais do CRCES, sem demora injustificada, para registro e
avaliação das medidas a tomar. Em caso de um incidente de segurança com dados
pessoais, o operador deverá encaminhar a comunicação ao Encarregado pelo Tratamento
de Dados Pessoais do CRCES, pelo e-mail privacidade@crc-es.org.br, no prazo de 24 (vinte
e quatro) horas, contadas da data do conhecimento do incidente. No caso do titular ou
terceiro, a comunicação de um incidente de segurança com dados pessoais poderá ser
enviada ao Encarregado pelo Tratamento de Dados Pessoais do CRCES, pelo e-mail
privacidade@crc-es.org.br, preferencialmente, em até 48 (quarenta e oito) horas,
contadas da data do conhecimento do incidente. Na comunicação, o operador, o terceiro
ou o titular dos dados pessoais deverão descrever sucintamente o incidente ocorrido,
atentando para informações, tais como:
I - descrever a natureza da violação dos dados pessoais incluindo, se possível,
as categorias e o número aproximado de titulares de dados afetados, bem como as
categorias e o número aproximado de registros de dados pessoais em causa;
II - descrever as consequências prováveis da violação de dados pessoais;
III - descrever as medidas adotadas ou propostas para conduzir o caso, o que
pode incluir medidas para mitigar os possíveis efeitos adversos da violação dos dados
pessoais. O Encarregado pelo Tratamento de Dados Pessoais do CRCES será responsável
pelo registro e análise inicial do incidente e pela resposta sobre o incidente relatado.
Após o registro e a análise inicial do incidente, o Encarregado pelo Tratamento de Dados
Pessoais do CRCES compartilhará a comunicação com o Comitê de Segurança da
Informação (CSI), que fará a avaliação das medidas a tomar e caso necessário, poderá
acionar o Setor de TI e o Setor Jurídico. O Comitê de Segurança da Informação não realiza
procedimentos de investigação criminal, e eventuais desdobramentos relacionados aos
incidentes deverão ser encaminhados às autoridades policiais competentes. As partes
envolvidas devem seguir as orientações do Encarregado pelo Tratamento de Dados
Pessoais do CRCES, pois a adoção de medidas por conta própria pode agravar o problema
ou danificar evidências do incidente com dados pessoais. Devem ainda manter sigilo
sobre a comunicação recebida, pois tornar a informação pública pode prejudicar a
investigação do suposto incidente com dados pessoais e a identificação do autor do
incidente.
5. DA NOTIFICAÇÃO DE INCIDENTE DE SEGURANÇA COM DADOS PESSOAIS O
CRCES deverá notificar a Agência Nacional de Proteção de Dados e o titular da ocorrência
de incidente de segurança com dados pessoais que possa acarretar risco ou dano
relevante aos titulares. Antes de se fazer a notificação, será avaliado internamente se a
relevância do risco ou dano do incidente de segurança foram severos e graves o
suficiente para se determinar a necessidade de tal notificação. Sendo que, para a
avaliação interna, deverão ser analisados os incidentes que envolvam especialmente:
I - descrever a natureza da violação dos dados pessoais incluindo, se possível,
as categorias e o número aproximado de titulares de dados afetados, bem como as
categorias e o número aproximado de registros de dados pessoais em causa;
II - descrever as consequências prováveis da violação de dados pessoais.
Tal notificação não será necessária se o responsável pelo tratamento puder
demonstrar, de forma irrefutável, que a violação da segurança dos dados pessoais não
constitui um risco relevante para os direitos e liberdades do titular dos dados. Caso
necessária, a notificação será feita em prazo razoável, conforme definido pela autoridade
nacional, e deverá mencionar, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a
proteção dos dados, observados os segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido
imediata;
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os
efeitos do prejuízo. Caso não seja possível fornecer todas as informações no momento da
notificação preliminar, informações adicionais poderão ser fornecidas posteriormente,
sendo que no momento da notificação preliminar deverá ser informado à ANPD se serão
fornecidas mais informações posteriormente, bem como quais meios estão sendo
utilizados para obtê-las. A notificação à ANPD será feita por intermédio do Encarregado
pelo Tratamento de Dados Pessoais do CRCES que comunicará o incidente com dados
pessoais à ANPD, com base nas análises técnicas e jurídicas realizadas pelo Comitê de
Segurança da Informação.
O Encarregado pelo Tratamento de Dados Pessoais do CRCES ainda tem como
responsabilidade:
I - aprovar e autorizar a divulgação de comunicado aos titulares envolvidos no
incidente com dados pessoais;
II - validar quaisquer comunicados ao público, imprensa e usuários;
III - orientar e/ou informar as equipes interessadas a respeito das práticas a
serem adotadas com relação ao incidente com dados pessoais;
IV - coordenar todas as ações decorrentes do incidente com dados, com o
intuito de mitigar os impactos percebidos;
V - atuar como porta-voz do CRCES perante a ANPD, demais autoridades
competentes e os usuários, supervisionando os contatos e comunicações com o público,
decorrentes do incidente com dados pessoais, dentre outras atividades.
RESOLUÇÃO CRCES Nº 453, DE 15 DE DEZEMBRO DE 2022
Institui a Política de Armazenamento de Dados,
Documentos e Arquivos no âmbito do Conselho
Regional
de Contabilidade
do
Espírito Santo
-
C R C ES .
O PLENÁRIO DO CONSELHO REGIONAL DE CONTABILIDADE DO ESPÍRITO
SANTO, no uso de suas atribuições legais e regimentais, nos termos do inciso XVIII, art. 11,
da Resolução n.º 342/2014; CONSIDERANDO a necessária conformidade do CRCES aos
termos da Lei Geral de Proteção de Dados Pessoais, Lei n.º 13.709, de 14 de agosto de
2018, que "dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por
pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de
proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento
da personalidade da pessoa natural"; CONSIDERANDO a Portaria CRCES n.º 59, de 17 de
maio de 2022, que criou o Comitê de Segurança da Informação (CSI) no âmbito do
Conselho Regional de Contabilidade do Espírito Santo; CONSIDERANDO a necessidade de
estabelecer diretrizes e padrões para garantir um ambiente digital e não digital
controlado, eficiente e seguro, de forma a oferecer todas as informações necessárias com
integridade, confidencialidade e disponibilidade; CONSIDERANDO que o CRCES recebe e
produz informações de caráter e procedência diversos, as quais devem permanecer
íntegras, disponíveis e, nas situações em que a observância for obrigatória, com o sigilo
resguardado; CONSIDERANDO que as informações no CRCES são armazenadas em
diferentes formas, veiculadas em diferentes meios físicos e eletrônicos, portanto
vulneráveis a incidentes como casos fortuitos e de força maior, acessos não autorizados,
mau uso, falhas de equipamentos, extravio e furto; CONSIDERANDO o número progressivo
de incidentes cibernéticos no ambiente da rede mundial de computadores e a necessidade
de processos de trabalho orientados para a boa gestão da segurança a informação;
CONSIDERANDO a necessidade de estabelecer responsabilidades internas quanto ao
armazenamento de dados, documentos e arquivos; resolve:
Art. 1º. Instituir a Política de Armazenamento de Dados, Documentos e
Arquivos (PADDA) do Conselho Regional de Contabilidade do Espírito Santo, nos termos do
Anexo desta Resolução. Parágrafo único. Todos os instrumentos normativos gerados a
partir da Política de Armazenamento de Dados, Documentos e Arquivos (PADDA) do
Conselho Regional de Contabilidade do Espírito Santo são parte integrante desta e
emanam dos princípios e diretrizes nela estabelecidos.
Art. 2º. A Política de Armazenamento de Dados, Documentos e Arquivos
(PADDA) do CRCES se aplica a todos os empregados, estagiários, prestadores de serviços
e, quando aplicável, a terceiros e a quaisquer outras pessoas que prestam serviços ao
CRCES e que tenham acesso a qualquer documento, arquivo e meio de informação e
comunicação, obrigando-os ao cumprimento de suas diretrizes para manuseio, tratamento,
controle, proteção das informações e conhecimentos produzidos, armazenados ou
transmitidos pelos sistemas de informação ou por meio de outros recursos.
Art. 3º. Esta Resolução entra em vigor na data de sua assinatura.
CARLA CRISTINA TASSO
Presidente do Conselho
ANEXO
POLÍTICA DE ARMAZENAMENTO DE DADOS, DOCUMENTOS E ARQUIVOS
(PADDA) -
CAPÍTULO I - DAS DISPOSIÇÕES GERAIS -
Seção I - DAS PREMISSAS
Art. 1º. As normas desta Política aplicam-se aos colaboradores, bem como a
quaisquer pessoas que tenham acesso a dados, arquivos e documentos do CRCES. Art. 2º.
A Política de Armazenamento de Dados, Documentos e Arquivos (PADDA) tem por objeto:
I. garantir condições para que os colaboradores e, quando aplicável, terceiros e quaisquer
outras pessoas que prestem serviços ao CRCES sejam orientados sobre a existência e a
utilização dos instrumentos normativos, procedimentos e controles de uso e
armazenamento adotados pela CRCES.
Art. 3º. As diretrizes desta Política visam assegurar que dados, documentos e
arquivos digitais e não digitais de uso sensível e/ou sigiloso sejam removidos do espaço
de trabalho do usuário e guardados quando não estiverem em uso ou em períodos de
ausência do usuário.
Art. 4º. As diretrizes desta Política visam assegurar que dados, documentos e
arquivos de uso sensível e/ou sigiloso digitais sejam armazenados de modo a garantir a
sua recuperação, integridade e autenticidade, para que possam servir de fonte de prova
e informação.
Seção II - OS OBJETIVOS
Art. 5º. Esta Política tem o objetivo de estabelecer as melhores práticas para
o manuseio e o armazenamento de documentos não digitais e arquivos digitais do CRCES.
Parágrafo único. A PADDA está alinhada às estratégias institucionais, à Política de
Segurança da Informação, à Política de Proteção de Dados Pessoais e outros normativos
que regem a matéria.
Art. 6º. A PADDA trata do uso e do armazenamento de dados, arquivos e
documentos no âmbito do CRCES, em todo o seu ciclo de vida, objetivando a continuidade
de seus processos, em conformidade com a legislação vigente, normas, requisitos
regulamentares e contratuais, valores éticos e as melhores práticas de segurança das
informações armazenadas no âmbito do CRCES.
Art. 7º. Para a segurança do uso e do armazenamento da informação no
CRCES, serão rigorosamente observados o compromisso institucional com a proteção das
informações de sua propriedade e/ou sob sua guarda, a participação e o cumprimento,
por todos os colaboradores e em todo o processo, do disposto neste normativo, nas
disposições constitucionais, legais e regimentais vigentes.
Seção III - DOS PRINCÍPIOS BÁSICOS
Art. 8º. A PADDA do CRCES orienta-se pelos seguintes princípios básicos:
I. o CRCES deve desempenhar o papel de custodiador de confiança;
II. o CRCES é responsável pela custódia física e legal dos documentos digitais
e não digitais a ele recolhidos e inseridos em seus repositórios como um custodiador de
confiança, devendo a PADDA possibilitar que o CRCES possa:

Fechar