Política de privacidade
POLÍTICA GERAL DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
A (razão social), doravante EMISSORA.
A EMISSORA entende que a privacidade é um direito fundamental da pessoa natural, de modo que se faz necessário garantir a gestão sistemática e efetiva de todos os aspectos relacionados à proteção de dados pessoais e dos direitos dos seus titulares.
Dessa forma, a EMISSORA está comprometida com uma gestão efetiva da proteção de dados pessoais dos seus integrantes, parceiros e clientes, razão pela qual institui a presente Política Geral de Privacidade e Proteção de Dados Pessoais (‘Política’).
A presente política tem como objetivo fortalecer o compromisso assumido com a inovação, os padrões de ética e de probidade que regem atuação profissional da emissora e a contínua valorização dos seus integrantes, clientes e parceiros, pelo que adota todas medidas cabíveis para garantir que esta Política seja adequadamente divulgada, entendida e cumprida por todos os seus integrantes.
- Objetivos
A EMISSORA adota a presente Política como documento integrante do seu sistema de gestão corporativo, compatível com os requisitos da legislação brasileira, com o objetivo de estabelecer diretrizes para que o tratamento de dados pessoais seja realizado em níveis adequados de proteção, mediante a adoção de controles técnicos e administrativos necessários ao atendimento dos requisitos previstos na legislação vigente.
A presente Política objetiva, ainda, prevenir possíveis causas de violações de dados pessoais e incidentes de segurança da informação relacionados ao tratamento de dados pessoais e minimizar os riscos de perdas financeiras, da confiança de clientes ou de qualquer outro impacto negativo como resultado de violações de dados.
- Ambiente normativo
A presente Política foi elaborada tendo por base a Lei n.º 13.709/2018 – Lei Geral de Proteção de Dados (LGPD), assim como outras legislações do ordenamento jurídico que possam interferir nesta Política, bem como as diretrizes estabelecidas pela ABNT NBR ISO/IEC 27701:2020, e pela ISSO 27001:2013. (Caso a emissora opte por não entrar em conformidade com as outras normas acima destacadas, os termos acima devem ser adaptados de acordo com cada caso.)
- Aplicação
A presente Política se aplica a qualquer operação de tratamento de dados pessoais realizada pela EMISSORA, independentemente do meio ou do país onde estejam localizados os dados, nos termos da LGPD.
Os princípios e conceitos adotados nesta Política são os constantes na LGPD e deverão seguir normas que complementem ou alterem o presente documento. Dentre eles, tem-se em especial que a EMISSORA tratará apenas os dados estritamente necessários para o desempenho da finalidade do tratamento, o qual lhe deverá ser adequado, transparente, não discriminatório e seguro.
A EMISSORA garante ainda que viabilizará o livre acesso e a qualidade dos dados, assim como que tomará medidas adequadas e razoáveis de prevenção e para o atendimento à LGPD.
- Diretrizes
São diretrizes da EMISSORA para esta Política:
– Garantir a conformidade integral com leis e regulamentações de proteção de Dados Pessoais.
– Garantir a adoção de controles de segurança da informação, tanto técnicos quanto administrativos, suficientes para assegurar níveis de proteção adequados para Dados Pessoais;
– Garantir a contínua melhoria da gestão de proteção de dados pessoais por meio da definição e revisão sistemática de objetivos de privacidade e proteção de dados pessoais em todos os níveis de sua organização profissional;
– Garantir a documentação, implementação e comunicação das Políticas, procedimentos e práticas relacionadas à privacidade e proteção de dados adotadas pela emissora;
– Garantir que o tratamento dos dados pessoais seja realizado em conformidade com as hipóteses autorizadoras previstas na legislação vigente, solicitando-se o consentimento do titular nas ocasiões em que lei exigir;
– Garantir o tratamento apenas dos dados pessoais estritamente necessários e adequados à finalidade pretendida, explícita e legítima, e somente enquanto perdurarem os propósitos declarados;
– Garantir a precisão e qualidade dos dados pessoais tratados, excetuando-se casos em que exista uma base legal para a manutenção de dados desatualizados.
– Garantir a não discriminação no tratamento de dados pessoais, impossibilitando que estes sejam usados para fins discriminatórios, ilícitos ou abusivos.
– Garantir a retenção dos dados pessoais apenas pelo tempo necessário para cumprir os propósitos declarados e, posteriormente, destruí-los, bloqueá-los ou anonimizá-los com segurança, salvo quando a retenção for exigida pela legislação vigente;
– Garantir a rastreabilidade e prestação de contas durante todo o tratamento de dados pessoais, incluindo quando os dados pessoais forem compartilhados com terceiros;
– Garantir aos titulares o pleno exercício de todos os direitos previstos na legislação vigente, constantes no capítulo III, da
Lei Geral de Proteção de Dados, especialmente o direito de informação, confirmação, acesso aos dados, revisão, portabilidade, anonimização, bloqueio e eliminação.
Assim, a EMISSORA se compromete a fornecer ao titular explicações suficientes sobre políticas, procedimentos e práticas com relação aos dados pessoais objeto de tratamento, inclusive eventuais alterações em quaisquer desses itens.
– Garantir que as violações de dados sejam notificadas às partes interessadas, conforme requisitos e prazos previstos na legislação vigente, bem como sejam integralmente registradas, classificadas, investigadas, corrigidas e documentadas.
- Dados pessoais tratados pela EMISSORA.
A EMISSORA poderá tratar, de maneira informada, dados dos seus colaboradores ou de profissionais que estejam em processo de seleção, fornecedores, prestadores de serviços, contratantes e contratados, assim como também o fará com dados recebidos de clientes para o desempenho dos seus serviços, ou dados de participantes dos eventos que venha a promover, entre outros.
Os dados podem ser nome civil ou social, endereço físico e eletrônico, número de telefone, número inscrição no Cadastro de Pessoas Físicas – CPF, dentre outros.
A coleta de dados pessoais sensíveis, como dados sobre origem racial, étnica, convicção religiosa, filiação a sindicato ou a organização de caráter religioso etc., só ocorrerá em hipóteses restritas.
A EMISSORA não executa atividades relacionadas diretamente a crianças ou adolescentes nem recolhe de forma proativa seus dados pessoais. (Caso a emissora colete dados desse tipo em algum momento, essa informação deve ser alterada, conforme cada caso).
Os usuários da informação serão todos os integrantes da EMISSORA e terceiros alocados na prestação de serviços à emissora, indiferente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizadas a manipular qualquer ativo de informação da emissora para o desempenho de suas atividades profissionais.
Os dados serão excluídos quando tiverem cumprido as finalidades para as quais foram coletados ou quando o respectivo titular solicitar a sua eliminação, exceto se houver base legal que justifique o seu armazenamento.
- Papéis e Responsabilidades
6.1 Comitê Gestor De Proteção De Dados Pessoais – CGPD
Obs.: A criação de um Comitê Gestor de Proteção de Dados para a emissora desempenha um papel importante perante a fiscalização do cumprimento à LGPD. No entanto, caso a emissora opte por não o fazer, deverá excluir as disposições existentes
a respeito desse assunto nesta política.
Fica constituído o Comitê Gestor De Proteção De Dados Pessoais (CGPD).
O CGPD será composto de:
– 02 diretores;
– 01 membro gestor da área de privacidade e proteção de dados;
– 01 gestor ou consultor da área de segurança ou de tecnologia da informação;
– 01 gestor de departamento pessoal ou de recursos humanos;
– O encarregado de Proteção de Dados.
É responsabilidade do CGPD:
– Aprovar esta Política, bem como propor as alterações e ajustes necessários;
– Aprovar as diretrizes de proteção da privacidade e de dados pessoais, complementares a esta Política, elaboradas pelo time de Segurança da Informação, bem como propor as alterações e ajustes necessários;
– Garantir a disponibilidade dos recursos necessários para uma efetiva Gestão da Proteção de Dados Pessoais;
– Garantir que o tratamento de Dados Pessoais seja realizado em conformidade com a presente Política e com a legislação vigente;
– Promover a divulgação da presente Política e tomar as ações necessárias para disseminar uma cultura de proteção de Dados Pessoais no ambiente corporativo.
6.2 Encarregado Pelo Tratamento De Dados Pessoais
Obs.: cabe a cada emissora indicar se o encarregado irá cumprir outras funções, para além das que constam abaixo. Caso isso ocorra, elas devem ser acrescidas às demais responsabilidades.
É responsabilidade do Encarregado pelo Tratamento de Dados Pessoais:
– Apoiar o Comitê Gestor De Proteção De Dados Pessoais em suas deliberações;
– Tomar as ações cabíveis para se fazer cumprir os termos desta Política;
– Identificar e avaliar as principais ameaças à proteção de dados, bem como propor e, quando aprovado, apoiar a implantação de medidas corretivas para reduzir o risco;
– Aceitar reclamações e comunicações dos titulares de dados pessoais, prestar esclarecimentos e adotar as providências necessárias;
– Receber comunicações da Autoridade Nacional de Proteção de Dados e adotar as providências necessárias;
– Orientar os integrantes e parceiros da emissora a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
– Atender as demais atribuições, conforme orientação da Autoridade Nacional de Proteção de Dados, definidas em normas complementares publicadas pelo referido órgão;
– Apoiar a gestão das violações de dados pessoais, garantindo tratamento adequado e comunicando, em prazo razoável, a Autoridade Nacional e titulares afetados pela violação, sempre que esta representar riscos ou danos.
6.3 Equipe de Segurança da Informação e de Tecnologia da Informação
É responsabilidade da equipe de Segurança da Informação e de Tecnologia da Informação:
– De acordo com a Política de Segurança da Informação e diretrizes anexas, bem como com a presente Política, implementar os controles necessários para cumprir os requisitos de segurança da informação necessários à proteção da privacidade e de dados pessoais tratados pela emissora.
– Adotar medidas de segurança, tanto técnicas quanto administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme padrões mínimos recomendados pela Autoridade Nacional de Proteção de Dados Pessoais;
– Realizar o tratamento de incidentes de segurança da informação que envolvam o tratamento de dados pessoais, garantindo sua detecção, contenção, eliminação e recuperação dentro de um prazo razoável;
– Apoiar o Encarregado pelo tratamento de dados pessoais na comunicação à Autoridade Nacional e ao titular dos dados pessoais em casos de ocorrência de incidente de segurança que possam acarretar riscos ou danos.
6.4 Usuários da Informação
É responsabilidade dos Usuários da Informação:
– Ler, compreender e cumprir integralmente os termos da presente Política, bem como as demais normas e procedimentos de proteção de dados pessoais aplicáveis;
– Assinar o termo de ciência e adesão à Política, formalizando a ciência e o aceite integral das disposições, bem como das demais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento;
– Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a presente Política, suas normas e procedimentos ao Encarregado pelo Tratamento de Dados Pessoais ou, quando pertinente, ao Comitê Gestor de Proteção de Dados Pessoais;
– Comunicar ao Encarregado pelo Tratamento de Dados Pessoais qualquer evento que viole esta Política ou coloque/possa vir a colocar em risco Dados Pessoais tratados pela emissora.
– Responder pela inobservância da Política, normas e procedimentos relacionados ao tratamento de Dados Pessoais, conforme definido no item sanções e punições.
- Sanções e Punições
As violações, mesmo que por mera omissão ou tentativa não consumada, desta Política, bem como demais normas e procedimentos de proteção de dados pessoais, serão devidamente apurados pelo Comitê Gestor de Proteção de Dados Pessoais que pode aplicar a penalidade que entender oportuna, variando entre a penalidade mais branda, advertência, à mais grave, demissão por justa causa, assegurada em todos os casos a ampla defesa.
Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em riscos aos titulares de dados pessoais, ou dano à emissora, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes, sem prejuízo daquelas descritas acima.
- Casos Omissos
Os casos omissos serão avaliados pelo Comitê Gestor de Proteção de Dados Pessoais para posterior deliberação.
As diretrizes estabelecidas nesta Política e nas demais normas e procedimentos de proteção de dados pessoais não se esgotam
em razão da contínua evolução tecnológica, da legislação vigente e constante surgimento de novas ameaças e requisitos.
Desta forma, não se constitui rol enumerativo, sendo obrigação do usuário da informação da emissora EMISSORA adotar, sempre que possível, outras medidas de segurança além das aqui previstas, com o objetivo de garantir proteção de dados pessoais tratados na emissora.
- Auditoria interna
A EMISSORA realizará auditorias internas anuais, a serem desenvolvidas pelo Encarregado com o auxílio do time de segurança da informação, no que for necessário, garantido o registro e o relato dos resultados ao Comitê Gestor de Proteção de Dados Pessoais.
- Revisões
Esta Política é revisada com periodicidade anual ou conforme o entendimento do Comitê Gestor de Proteção de Dados Pessoais.
ASSINATURA DO GESTOR OU DO REPRESENTANTE