Política de Privacidade
1. RESPONSÁVEL PELA EMISSÃO
Diretoria e equipe administrativa da Empresa.
2. PÚBLICO-ALVO
Todos os gestores, funcionários e parceiros da Empresa.
3. OBJETIVO
Estabelecer diretrizes e orientações para o tratamento de dados pessoais, com o objetivo de atender a lei 13709/2018 (LGPD), bem como proteger a privacidade de clientes, empregados, parceiros ou fornecedores visando à gestão de dados pessoais e à gestão de incidentes de Segurança da Informação no ambiente convencional ou de tecnologia da Empresa.
4. PRINCÍPIOS
4.1. Finalidade: realização do tratamento de dados para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
4.2. Adequação: compatibilidade do tratamento de dados com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
4.3. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados informadas.
4.4. Qualidade dos Dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
4.5. Transparência: garantia aos titulares de dados, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento, observados os segredos comercial e industrial.
4.6. Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
4.7. Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
4.8. Livre Acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
4.9. Não Discriminação: impossibilidade de realização do tratamento de dados para fins discriminatórios ilícitos ou abusivos.
5. DIRETRIZES
5.1 Hipóteses de tratamento de dados
O tratamento de dados pessoais, ou seja, a realização de coleta, acesso, edição, exclusão ou qualquer outra operação, somente será realizada dentro de uma das hipóteses de tratamentodispostasnaLeiGeraldeProteçãodeDadosPessoais(LGPD).
Quando o tratamento de dados pessoais tiver como base o legítimo interesse docontrolador/operador, este deverá ser acompanhado de umRelatóriode Impacto àProteção deDadosPessoais ().
5.2 Coleta mínima de dados e Consentimento
Os processos que envolvam a coleta de dados pessoais serão ajustados com base no conceito de coleta mínima, com finalidades específicas eobtençãodorespectivoconsentimento,quando couber.
5.3 Consentimento
No momento da coleta, o titular do dado pessoal deve consentir e ser informado de forma clara e explícita sobre a finalidade, a natureza obrigatória ou facultativa do fornecimento, e sobre as consequências da negativa em fornecê-los. O consentimento poderá ainda ser renovado periodicamente e pode ser revogado a qualquer momento, a pedido do titular.
5.4 Gestão de instrumentos contratuais
Os contratos, convênios e demais instrumentos contratuais relacionados a atividadesqueenvolvamtratamentodedadospessoais,devempreverdeformaexplícitaaresponsabilidade do correto tratamento de dados por parte de terceiros, bem como garantir arealização de diligências, com previsão de “direito de regresso” da Empresa emcaso dedescumprimentoda outraparte.
5.5 Gestão de Incidentes
Serão elaboradas pela Empresa os procedimentos e planos deresposta a incidentes relacionados à privacidade de titulares de dados, a partir de critérios decontrole e registro de vazamentos, bem como comunicação aos envolvidos e à AutoridadeNacionaldeProteçãoaDados.
5.6 Segurança da Informação
As medidas contra vazamento de dados, bem como investimentos em ferramentas eprocessos de segurança, priorizam a proteção de dados pessoais sensíveis, bem como daqueles dados cujo tratamento utiliza como base legal, o legítimo interesse do controlador.
5.7 Inventário de dados
O inventário de dados pessoais é mantido permanentemente atualizado, identificado os tipos documentais e as informações que os contêm, visando o seu tratamento em acordo com a respectiva base legal, com adoção do conceito de coleta mínima.
5.8 Governança de privacidade e dados pessoais
O Programa de Governança em Privacidade tem porobjetivo o estabelecimento de relação de confiança com os titulares de dados pessoais, pormeiodeatuaçãotransparente,commonitoramentocontínuoeavaliaçõesperiódicas.
5.9 Capacitação e conscientização
São promovidas, de forma continuada, ações educacionais, de capacitação,sensibilização e conscientização sobre as melhores práticas acerca do tratamento de dadospessoais na Empresa bem como a ampla divulgação dos riscos e ameaças da nãoutilizaçãodessaspráticas.
5.10 Navegação na web e cookies
A Empresa podeá, mediante mecanismos de obtenção e revogação deconsentimentodosusuários,utilizar-sedeetecnologiassemelhantes,visandocompreender melhor o comportamento dos usuários, informando quais páginas e conteúdosdossitesforamvisitados,contribuindoparaaeficácia nadistribuiçãodeconteúdo.
5.11 Sistemas de Tecnologia de Informação
Os sistemas de Tecnologia da Informação de suporte a processos e atividades que envolvam tratamento de dados pessoais que forem desenvolvidos ou adquiridos seguirão o conceito de.
5.12 Metodologia de Projetos
A metodologia de gestão de projetos conciderará o conceito de , visando evitar o surgimento de novos processos, atividades, sistemas, práticas, projetos, produtos ou qualquer outra solução que não esteja aderente àLGPD.
Os sistemas de Tecnologia da Informação de suporte a processos e atividades que envolvam tratamento de dados pessoais que forem desenvolvidos ou adquiridos pela Empresa, seguirão o conceito de Privacy by Design. Portanto, sua aderência à LGPD e a esta Política devem ser observadas desde sua concepção/aquisição.
5.13 Atendimento a Requerimentos do Titular de Dados Pessoais (Data Subject Request – DSR)
A Empresa disponibiliza mecanismos para atendimento aos direitos dos titulares de dados previstos na LGPD, com destaque para confirmação e acesso a dados, retificação, restrição de tratamento, revogação de consentimento e exclusão de dados,sempre observando os impactos e os direitos do controlador.
A equipe administrativa da Empresa será, preferencialmente, o canal oficial de recebimento dos requerimentos dos titulares de dados pessoais, apoiando o Encarregado pelo Tratamento de Dados Pessoais (DPO).
6. RESPONSABILIDADES
6.1. Diretoria: Aprovar esta Política e deliberar sobre as diretrizes estratégicas de segurança da informação, norteando todo o processo na Empresa.
Aprovar os seus documentos normativos derivados que permitam a implantação desta Política.
Realizar a aprovação de atualizações ao Plano de Classificação de Documentos.
Promover ações de treinamento e desenvolvimento referentes à proteção de dados pessoais e privacidade, incluindo aspectos técnicos, normativos e comportamentais.
6.2. Área responsável pela Segurança da Informação na Empresa: Apoiar o encarregado pelo tratamento de dados pessoais em suas atribuições. Coordenar e apoiar metodologicamente a realização do inventário de dados pessoais.
6.3. Encarregado pelo Tratamento dos Dados Pessoais (DPO): Responsável pela interlocução junto aos titulares de dados e junto à Autoridade Nacional de Proteção de Dados – ANPD, incluindo reporte de incidentes, orientando colaboradores e terceiros a respeito das práticas relativas à proteção de dados pessoais e privacidade.
6.4. Equipe Administrativa: Zelar pelas informações produzidas e recebidas em razão das atividades da Empresa realizando e monitorando o inventário de dados sob sua responsabilidade, sua adequada classificação e autorização de acesso, bem como o mapeamento, implantação e operacionalização de seus controles, fazendo cumprir as diretrizes desta política.
6.5. Funcionários: Cumprir esta política e os demais instrumentos que a regulamentam, utilizando do uso de forma responsável, profissional, ética e legal as informações que contenham dados pessoais, respeitando os direitos e a privacidade dos titulares dos dados.
7. CONCEITOS
7.1. Anonimização: Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
7.2. Autoridade Nacional de Proteção de Dados (ANPD): Órgão da administração pública responsável por zelar, implantar e fiscalizar o cumprimento da LGDP.
7.3. Coleta Mínima: Conceito derivado do principio da finalidade, que define que a coleta de dados só pode ser realizada com finalidade específica e esta deve ser informada aos titulares previamente. Desse princípio, resulta o da minimização da coleta. Ou seja, a coleta se restringe aos dados necessários para atingir ao fim específico.
7.4. Controlador: Pessoa que tem competência para tomar decisões referentes ao tratamento de dados pessoais. Essa pessoa pode ser natural ou jurídica, de direito público ou privado.
7.5. Dado anonimizado: Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
7.6. Dado pessoal: Informação relacionada à pessoa natural identificada ou identificável, que a identifique ou possa identificar, tais como nome, números, códigos de identificação, telefones, endereços.
7.7. Dado pessoal sensível: Dado cujo tratamento pode ensejar a discriminação do seu titular. Diz respeito a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
7.8. Encarregado pelo Tratamento dos Dados Pessoais (Data Protection Officer – DPO): Profissional indicado pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.
7.9. Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
7.10. Privacidade desde a concepção (Privacy by Design): Metodologia na qual a proteção de dados pessoais é pensada desde a concepção de sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de dados pessoais.
7.11. Relatório de impacto à proteção de dados pessoais (Data Protection Impact Assessment - DPIA): Documentação do controlador que contém o detalhamento de todos os processos de tratamento pelos quais os dados pessoais passam durante o seu ciclo de vida na operação, assim como as bases legais necessárias e as medidas de segurança adotadas no tratamento desses dados, bem como as medidas, salvaguardas e mecanismos de mitigação de risco.
7.12. Titular de dados pessoais: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
7.13. Tratamento de dados pessoais: Toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle de informação, modificação, comunicação, transferência, difusão ou extração.
DPO - Data Protection Officer: HENRIQUE XAVIER - dpo@lgpdlider.com.br