Assunto: Governança de Segurança da Informação e Proteção de Dados Pessoais
Versão: 1.0
Data de Publicação: 05/10/2022
Data de Expiração: Anual
Autor: Antonio Fernandes Dias Junior – Encarregado de Proteção de Dados
1. Política de Privacidade e Proteção de Dados
1.1 Princípios da Proteção de Dados Pessoais
Os princípios abaixo elencados devem ser observados na coleta, manuseio, armazenamento, divulgação e tratamento de dados pessoais pela Companhia para atender aos padrões de proteção de dados no âmbito corporativo e estar em conformidade com a legislação e regulamentação aplicáveis nos respectivos países onde tiver operação ou atividade comercial.
a) Legalidade, Transparência e Não-Discriminação
A Companhia trata os dados pessoais de forma justa, transparente e em conformidade com a legislação e regulamentação aplicáveis.
Tratamento de Dados Pessoais
A Companhia somente trata dados pessoais quando a finalidade do tratamento se enquadra em uma das hipóteses legais previstas na LGPD, que se encontram abaixo elencadas, sendo certo que os titulares devem ser sempre informados sobre a razão e a forma pela qual seus dados pessoais estão sendo tratados. São hipóteses de tratamento:
Necessidade para a execução de um contrato do qual o titular dos dados é parte;
– Exigência decorrente de lei ou regulamento ao qual a Companhia está sujeita;
– Interesse legítimo no tratamento dos dados;
– Necessidade de prover o exercício regular de direito em processo judicial, administrativo ou arbitral.
Quando o tratamento de dados pessoais não se enquadrar nas hipóteses legais acima, a Companhia deve obter o consentimento do titular para o tratamento de seus dados pessoais, e assegurar que este consentimento seja obtido de forma específica, livre, inequívoca e informada, nos termos do art. 7º, inciso I da LGPD.
A Companhia deve coletar, armazenar e gerenciar todas os formulários de consentimento de maneira organizada e acessível, para que a comprovação de consentimento possa ser provada quando necessário, nos termos do caput do art. 8º da LGPD.
Da mesma forma, o titular deve ter a possibilidade de retirar o seu consentimento a qualquer momento com a mesma facilidade pela qual foi fornecido, nos termos do art. 8º, §5º da LGPD.
Tratamento de Dados Pessoais Sensíveis
Em algumas circunstâncias a Companhia também pode ser obrigada a tratar dados pessoais considerados sensíveis, tais como os abaixo elencados:
– Dados relacionados à saúde do titular;
– Dados genéticos ou biométricos vinculados ao titular;
– Dados acerca da orientação sexual do titular;
– Dados que evidenciem a origem racial ou étnica, opiniões políticas, filiação a sindicato ou a organização de caráter religioso, filosófico ou político.
O tratamento de dados pessoais sensíveis é vedado, exceto nas hipóteses específicas descritas abaixo, conforme definido pelo art. 11 da LGPD, casos em que serão observados padrões de segurança mais robustos do que os normalmente empregados aos demais dados pessoais. São hipóteses de tratamento de dados sensíveis:
– Necessidade para a execução de um contrato do qual o titular dos Dados é parte (art. 11, inciso II, alínea “b” da LGPD);
– Exigência decorrente de lei ou regulamento ao qual a Companhia está sujeita (art. 11, inciso II, alínea “a” da LGPD);
– Necessidade de prover o exercício regular de direito em processo judicial, administrativo ou arbitral (art. 11, inciso II, alínea “d” da LGPD);
– Proteção da vida ou da incolumidade física do titular (art. 11, inciso II, alínea “f” da LGPD).
Quando o tratamento de dados pessoais não se enquadrar nas hipóteses legais acima, a Companhia deve obter, de forma específica e destacada, o consentimento do titular para o tratamento de seus dados pessoais sensíveis, e assegurar que este consentimento seja obtido de forma específica, livre, inequívoca e informada, nos termos do art. 11, inciso I da LGPD.
Tratamento de Dados Pessoais de Criança ou Adolescente
Em outras circunstâncias, a Companhia pode ser obrigada a tratar dados pessoais de crianças e adolescentes, respeitando o disposto no Estatuto da Criança e do Adolescente e de acordo com os seus melhores interesses (art. 14, caput da LGPD). O tratamento de dados pessoais de crianças e adolescentes só será realizado mediante o consentimento específico e em destaque dado pelo seu responsável legal (art. 14, §1º da LGPD).
b) Limitação e Adequação da Finalidade
O tratamento de dados pessoais deve ser realizado de maneira compatível com a finalidade original para a qual os dados pessoais foram coletados, não podendo os dados serem coletados com um propósito e utilizados para outro.
c) Necessidade e Minimização dos Dados
A Companhia seguirá o princípio da minimização dos Dados, isto é, somente poderá tratar os dados pessoais dos titulares na medida em que sejam necessários para atingir um propósito específico e determinado.
d) Exatidão e Qualidade dos Dados
A Companhia deve adotar medidas razoáveis para assegurar que quaisquer dados pessoais em sua posse sejam mantidos precisos e atualizados.
e) Limitação da Retenção e do Armazenamento de Dados
A Companhia deve estabelecer períodos de retenção e processos de revisão periódica no tratamento de dados pessoais.
f) Integridade e Confidencialidade
A Companhia deve assegurar que medidas técnicas e administrativas apropriadas sejam aplicadas aos dados pessoais para protegê-los contra o tratamento não autorizado ou ilegal.
g) Responsabilização e Prestação de Contas
A Companhia deve demonstrar o cumprimento desta Política, assegurando a implementação de medidas como:
Garantias de que os titulares possam exercer os seus direitos;
– Registro de atividades de tratamento, incidentes e violações;
– Garantias de que operadores de dados pessoais estejam em conformidade;
– Registro de DPO junto à autoridade reguladora;
– Cumprimento de exigências de autoridades reguladoras.
2. Diretrizes e Padrões de Segurança
A Companhia deve seguir as boas práticas de segurança da informação, garantindo confidencialidade, integridade e disponibilidade dos dados pessoais.
3. Gestão das Relações Controlador-Operador de Dados Pessoais
Cada parceiro ou fornecedor será considerado um Operador de dados pessoais, devendo nomear um DPO responsável.
4. Transferência Internacional de Dados Pessoais
A Companhia garantirá conformidade com a legislação aplicável nos casos de transferência internacional de dados, conforme Política de Compartilhamento de Dados Pessoais.
5. Direitos dos Titulares de Dados Pessoais
A Companhia deve permitir e assegurar o exercício dos seguintes direitos:
Acesso e informação sobre o tratamento dos dados;
– Correção, exclusão, bloqueio ou anonimização;
– Restrição de tratamento;
– Oposição ao tratamento;
– Retirada de consentimento;
– Portabilidade;
– Revisão de decisões automatizadas;
– Reclamação ao DPO ou à Autoridade de Proteção de Dados.
6. Prestadores de Serviço Terceirizados
Os contratos com terceiros devem conter cláusulas de privacidade e segurança de dados, com especial atenção em casos de prestadores localizados no exterior.
7. Da Gestão de Incidentes de Segurança da Informação
Todos os incidentes devem ser reportados ao DPO conforme procedimentos da Política e Plano de Resposta a Incidentes.
8. Auditorias de Proteção de Dados
A Companhia realizará auditorias periódicas para verificar o cumprimento das medidas previstas nesta política, conforme os riscos identificados.