1. OBJETIVO
Esta Política estabelece as orientações gerais para a proteção de dados pessoais dentro do ambiente corporativo da CARISMA, uma vez que, na execução de suas operações, coleta, manuseia e armazena informações que podem estar relacionadas a pessoas físicas identificadas e/ou identificáveis (“dados pessoais”), com vistas a:
- Estar em conformidade com as leis e regulamentações aplicáveis de proteção de dados pessoais e seguir as melhores práticas;
- Proteger os direitos dos colaboradores, clientes, fornecedores e parceiros contra os riscos de violações de dados pessoais;
- Ser transparente com relação aos procedimentos da CARISMA no tratamento de dados pessoais; e
- Promover a conscientização em toda a CARISMA em relação à proteção de dados pessoais e questões de privacidade.
2. ABRANGÊNCIA
Esta Política é aplicável à empresa e a todos os colaboradores que tenham acesso a quaisquer dados pessoais detidos pela CARISMA ou em seu nome. Procedimentos adicionais podem ser criados de acordo com exigências legais.
3. RESPONSABILIDADES
O Diretor e o Gerente de Tecnologia da Informação, tem a responsabilidade de implementar a Política de Proteção de Dados, além das demais que envolvem privacidade e segurança da informação.
A CARISMA e todos os seus colaboradores, que processam dados pessoais deve cumprir esta Política.
Por sua vez, o Gerente de Tecnologia de Informação, encarregado pela proteção de dados:
- Terá independência funcional e o mais elevado apoio para o cumprimento de suas tarefas;
- Atenderá a quaisquer solicitações da Autoridades de Proteção de Dados e acompanhará eventuais atuações desse órgão sobre as atividades da CARISMA;
- Acompanhará e apresentará anualmente um relatório anual sobre o cumprimento desta Política ao mais alto nível de gestão na CARISMA;
- Coordenará todas as medidas necessárias para garantir que os colaboradores cumpram as obrigações estabelecidas nesta Política de Proteção de Dados.
- Será responsável pelo monitoramento de incidentes e pela gerência e tomada de decisões em face a incidentes com dados pessoais;
- A área de segurança da informação definirá, implementará e monitorará a implantação dos sistemas necessários para alcançar os objetivos desta Política.
- DEFINIÇÕES
- “Autoridade Nacional de Proteção de Dados” ou “ANPD” significa a autoridade administrativa encarregada da proteção de dados pessoais. É um órgão da administração pública nacional responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados em todo o território brasileiro.
- “Colaboradores” são todos os funcionários da CARISMA, incluindo diretores, estagiários, aprendizes e qualquer outra pessoa que possua vínculo direto com a CARISMA.
- “Consentimento” significa qualquer indicação livremente determinada, específica, informada e clara dos desejos do Titular de Dados pela qual ele, por uma declaração ou por uma ação afirmativa clara, aceita para o processamento de seus dados pessoais.
- “Controlador de Dados” significa uma pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
- “Dados pessoais” significam quaisquer dados relacionados a um indivíduo (pessoa natural) que é ou possa ser identificada a partir dos dados ou a partir dos dados em conjunto com outras informações.
- “Dados Sensíveis” significa os dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico e quaisquer outros que possam gerar algum tipo de discriminação, quando vinculado a uma pessoa natural.
- “Encarregado de Dados” ou “DPO” significa a pessoa que, na CARISMA, é o responsável por coordenar e por assegurar a conformidade com a Política de Proteção de Dados e requisitos legais/regulamentares locais aplicáveis. Além disso, atuará como canal entre CARISMA e os titulares dos dados e a Autoridade Nacional de Proteção de Dados.
- “LGPD” significa Lei Geral de Proteção de Dados, Lei nº 13.709 de 14 de agosto de 2018.
- “Operador de Dados” significa uma pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador de Dados.
- “Processador” refere-se à uma pessoa jurídica que processa Dados pessoais em nome do controlador de dados.
- “Titular dos Dados” significa qualquer pessoa natural que possa ser identificada, direta ou indiretamente, através de meios que serão usados por qualquer pessoa física ou jurídica, em particular em relação a um número de identificação, dados de localização, identificador online ou um ou mais fatores específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa. Pode ser por exemplo, um cliente, um colaborador ou um fornecedor.
- “Tratamento” ou “Processamento” é qualquer ação tomada tendo por base dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, tratamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
- “Violação de dados pessoais” trata-se de qualquer violação suspeita ou real de segurança que ocasione tanto a destruição total, quanto a parcial dos dados, além de perda ou alteração em sua composição. Ademais, abarca também a divulgação, armazenamento, transformação, acesso de qualquer modo de tratamento de dados pessoais de forma não autorizada.
5. POLÍTICA PROTEÇÃO DE DADOS
5.1 Princípios de Proteção de Dados pessoais
Esta seção descreve os princípios que devem ser observados na coleta, manuseio, armazenamento, divulgação e tratamento de dados pessoais pela CARISMA para atender aos padrões de proteção de dados no âmbito corporativo e estar em conformidade com a legislação e regulamentação aplicáveis nos respectivos países onde tiver operação ou atividade comercial.
5.1.1 Legalidade, Transparência e Não Discriminação
A CARISMA trata os dados pessoais de forma justa, transparente e em conformidade com legislação e regulamentação aplicáveis.
A CARISMA somente trata dados pessoais quando o propósito/finalidade do tratamento se enquadra em uma das hipóteses legais permitidas, abaixo elencadas, sendo certo que os titulares de dados devem ser informados sobre a razão e a forma pela qual seus dados pessoais estão sendo tratados antes ou durante a coleta:
- Necessidade para a execução de um contrato do qual o titular dos dados é parte;
- Exigência decorrente de lei ou regulamento ao qual a CARISMA está sujeita;
- Interesse legítimo pelo tratamento; e
- Exercício regular de direito em processo judicial, administrativo ou arbitral.
Quando o tratamento de dados pessoais não se enquadrar nas hipóteses acima, a CARISMA deve obter o consentimento dos titulares dos dados para o tratamento de seus dados pessoais, e assegurar que este Consentimento seja obtido de forma específica, livre, inequívoca informada. A CARISMA deve coletar, armazenar e gerenciar todas as respostas de consentimento de maneira organizada e acessível, para que a comprovação de consentimento possa ser fornecida quando necessário.
Da mesma forma, o titular de dados deve ter a possibilidade de retirar o seu consentimento a qualquer momento com a mesma facilidade que foi fornecido.
Em algumas circunstâncias, a CARISMA também pode ser obrigada a tratar dados pessoais sensíveis, envolvendo, mas não limitado a:
- Dados relacionados à saúde;
- Dados genéticos ou biométricos vinculados a uma pessoa física;
- Dados que evidenciem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas.
O tratamento de dados pessoais sensíveis é proibido, exceto nos casos específicos descritos abaixo, nos quais deverão ser observados padrões de segurança mais robustos do que os empregados aos demais dados pessoais:
- Quando for necessário para o cumprimento de obrigação legal ou regulatória;
- Quando for necessário para o exercício regular de direitos como, por exemplo, defesa ou proposição de ações judiciais ou administrativas ou arbitrais;
- Quando for necessário para o cumprimento de obrigações e o exercício de direitos em matéria de emprego, previdência social e proteção social;
- Para proteção à vida ou à incolumidade física do titular do dado, incluindo dados médicos com fins preventivos, ocupacional;
- Para fins de promoção ou manutenção de igualdade de oportunidades entre pessoas de origem racial ou étnica diferente;
- Quando o titular dos dados tiver dado o seu consentimento explícito, de acordo com a legislação e regulamentação aplicáveis;
5.1.2 Limitação e Adequação da Finalidade
O tratamento de dados pessoais deve ser realizado de maneira compatível com a finalidade original para a qual os dados pessoais foram coletados, não podendo ser coletados com um propósito e utilizados para outro. Quaisquer outras finalidades devem ser compatíveis com a razão original para qual os dados pessoais foram coletados.
5.1.3 Princípio da Necessidade (Minimização dos Dados)
A CARISMA somente pode tratar dados pessoais na medida em que seja necessário para atingir um propósito específico, este é o princípio da minimização de dados. O compartilhamento de dados pessoais com outra área ou outra CARISMA deve considerar este princípio, só podendo ser compartilhados quando tenham um amparo legal adequado.
5.1.4 Exatidão (Qualidade dos Dados)
A CARISMA deve adotar medidas razoáveis para assegurar que quaisquer dados pessoais em sua posse sejam mantidos precisos, atualizados em relação às finalidades para as quais foram coletados, sendo certo que deve ser possibilitado ao titular do dado pessoal requerer a exclusão ou correção de dados imprecisos ou desatualizados.
5.1.5 Retenção e Limitação do Armazenamento de Dados
A CARISMA deve ter conhecimento de suas atividades de tratamento, períodos de retenção estabelecidos e processos de revisão periódica, não podendo manter os dados pessoais por prazo superior ao necessário para atender as finalidades pretendidas
5.1.6 Integridade e Confidencialidade (Livre Acesso, Prevenção e Segurança)
A CARISMA deve assegurar que medidas técnicas e administrativas apropriadas sejam aplicadas aos dados pessoais para protegê-los contra o Tratamento não autorizado ou ilegal, bem como contra a perda acidental, destruição ou danos. O tratamento de dados pessoais também deve garantir a devida confidencialidade. Dentre as medidas técnicas mais comuns, podem ser descritas:
Anonimização significa que os dados pessoais são tornados anônimos de tal forma que os dados não mais se referem a uma pessoa direta ou indiretamente identificável. O anonimato tem que ser irreversível.
Pseudo anonimização é um processo pelo qual os dados pessoais não mais se relacionam diretamente com uma pessoa identificável (por exemplo, mencionando seu nome), mas não é anônimo, porque ainda é possível, com informações adicionais, que são mantidas separadamente, identificar uma pessoa.
5.1.7 Responsabilização e Prestação de Contas
A CARISMA é responsável e deve demonstrar o cumprimento desta Política, assegurando a implementação de diversas medidas que incluem, mas não se limitam a:
- Garantia de que os titulares dos dados pessoais possam exercer os seus direitos conforme descritos na Seção 5.5 deste Documento;
- Registro de Dados pessoais, incluindo:
- Os registros de atividades de tratamento de dados pessoais, com a descrição dos propósitos/finalidades desse tratamento, os destinatários do compartilhamento dos dados pessoais e os prazos pelos quais a CARISMA deve retê-los; e
- O registro de incidentes de dados pessoais e violações de dados pessoais;
- Garantia de que os terceiros que sejam processadores de dados pessoais também estejam agindo de acordo com esta Política e com a legislação e regulamentação aplicáveis;
- Garantia de que a CARISMA, quando requerido, registre junto à Autoridade Supervisora aplicável um Encarregado de Dados/DPO; e
- Garantia de que a CARISMA esteja cumprindo todas as exigências e solicitações de qualquer Autoridade de Supervisão à qual esteja sujeita.
5.2 Padrões de Segurança
5.2.1 Importância da Proteção de Dados pessoais
A CARISMA está comprometida com a implementação dos padrões de segurança da informação e com a proteção de dados pessoais com vistas a garantir o direito fundamental do indivíduo à autodeterminação da informação.
5.2.2 Garantir a Segurança dos Dados pessoais
A confidencialidade, integridade e disponibilidade, bem como autenticidade, responsabilidade e não-repúdio são objetivos a serem perseguidos para a segurança dos dados pessoais.
5.2.3 Obrigação do Sigilo de Dados pessoais
Todos os Integrantes com acesso a dados pessoais estão obrigados aos deveres de confidencialidade dos dados pessoais mediante a anuência ao Termo de Compromisso, quando do ingresso na CARISMA e periodicamente quando necessário.
5.2.4 Privacidade de dados pessoais por Concepção e por Padrão
Ao implementar novos processos, procedimentos ou sistemas que envolvam o tratamento de dados pessoais, a CARISMA deve adotar medidas para garantir que as regras de privacidade e proteção de dados sejam adotadas desde a fase de concepção até o lançamento/implantação desses projetos.
5.3. Relação Controlador-Processador de Dados pessoais
A CARISMA é o controlador dos dados pessoais, sendo necessária a nomeação de um responsável por garantir que os dados pessoais estejam sendo tratados de forma correta e de acordo com a legislação e regulamentação aplicáveis.
Nos casos nos quais o tratamento é realizado por um operador em nome da CARISMA, a CARISMA deverá escolher um subcontratado que tenha medidas técnicas de segurança suficientes e medidas organizacionais, para garantir que o tratamento será executado de acordo com esta Política e que se comprometam, por escrito, a atuar conforme as instruções da CARISMA.
Em determinadas circunstâncias, a CARISMA pode atuar como Processadora de outra. Nestes casos, a CARISMA é obrigada a seguir a orientação de quem está atuando como Controladora.
5.4. Direitos dos Titulares de Dados pessoais.
A CARISMA está comprometida com os direitos dos titulares de dados pessoais, os quais incluem:
- A informação sobre o tratamento de dados pessoais e o acesso aos dados pessoais que a CARISMA detenha;
- A correção de dados pessoais se estiverem imprecisos, incorretos ou incompletos;
- A anonimização, quando possível, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
- A portabilidade de seus dados a outro fornecedor de serviço ou produto, mediante a sua requisição expressa;
- A eliminação dos dados pessoais tratados com o seu consentimento, exceto se a CARISMA estiver, por lei, autorizada a conservá-los;
- A obtenção de informações sobre as entidades públicas ou privadas com as quais a CARISMA compartilhou seus dados pessoais;
- A informação sobre a possibilidade de não fornecer o seu consentimento, bem como de ser informado sobre as consequências, em caso de negativa;
- A revogação do consentimento; e
- A apresentação de queixa à CARISMA ou à Autoridade de Proteção de Dados aplicável, se o titular dos dados pessoais tiver motivos para supor que qualquer um de seus direitos de proteção de dados pessoais tenha sido violado.
5.5. Prestadores de Serviços Terceirizados
Os prestadores de serviços terceirizados, que tratem dados pessoais sob as instruções da CARISMA, estão sujeitos às obrigações impostas aos processadores de acordo com a legislação e regulamentação de proteção de dados pessoais aplicáveis. A CARISMA deve assegurar que no contrato de prestação de serviço sejam contempladas as cláusulas de privacidade que exijam que o processador de dados terceirizado implemente medidas de segurança, bem como controles técnicos e administrativos apropriados para garantir a confidencialidade e segurança dos dados pessoais e especifiquem que o processador está autorizado a tratar dados pessoais apenas quando seja formalmente solicitado pela CARISMA.
Nos casos em que o prestador de serviços estiver localizado fora do país em que o dado pessoal foi coletado, as cláusulas contratuais-padrão devem ser incluídas no contrato de proteção de dados pessoais como um Anexo para garantir que as devidas salvaguardas exigidas pela legislação e regulamentação aplicáveis de proteção de dados pessoais sejam implementadas.
5.6. Gerenciamento de Violação de Dados
Todos os incidentes e potenciais violações de dados devem ser reportadas ao Gerente de Tecnologia da Informação. Todos os Integrantes devem estar cientes de sua responsabilidade pessoal de encaminhar e escalonar possíveis problemas, bem como de denunciar violações ou suspeitas de violações de Dados pessoais assim que as identificarem. No momento em que um incidente ou violação real for descoberto, é essencial que os incidentes sejam informados e formalizados de forma tempestiva.
Violações de dados incluem, mas não se limitam, a qualquer perda, exclusão, roubo ou acesso não autorizado de dados pessoais controlados ou tratados pela CARISMA.
5.7. Auditorias de Proteção de Dados
A CARISMA deve garantir que existam revisões periódicas a fim de confirmar que as iniciativas de Privacidade, seu sistema, medidas, processos, precauções e outras atividades incluindo o gerenciamento de proteção de dados pessoais são efetivamente implementados e mantidos e estão em conformidade com a legislação e regulamentação aplicáveis.
5.8. Retenção e Descarte de Dados pessoais
Os dados pessoais não podem ser guardados por mais tempo do que é exigido. Uma vez que a finalidade para o processamento ou a base jurídica para processamento expira, pode não ser necessário reter esses dados pessoais, a menos que legalmente exigido.
Os dados pessoais devem ser descartados de uma forma que proteja os direitos e liberdades dos titulares dos dados e em consonância com as orientações abaixo:
Níveis de informações:
- Quando a divulgação não causa nenhum dano para a CARISMA ou o titular dos dados;
- Quando a divulgação causa pequenos constrangimentos ao titular, bem como inconveniência operacional interna na CARISMA;
- Quando a divulgação tem impacto significativo, porém reduzido sobre a privacidade e segurança do titular e, consequentemente, nas operações e objetivos da CARISMA;
- Quando a divulgação tem sério impacto sobre a segurança e privacidade do titular e também nos objetivos do uso dos dados pela CARISMA, cuja sobrevivência pode estar em risco no caso de vazamento.
Forma de armazenamento |
Nível 1 |
Nível 2 |
Nível 3 |
Nível 4 |
Mídia digital |
Sem restrições |
Eliminação feita somente dentro das áreas da
CARISMA. |
Dispositivos que contenham informações sensíveis devem ser destruídos fisicamente ou as informações contidas nos mesmos devem ser apagadas por meio de técnicas que tornem as informações originais irrecuperáveis. |
Dispositivos que contenham informações sensíveis devem ser destruídos fisicamente ou as informações contidas nos mesmos devem ser apagadas por meio de técnicas que tornem as informações originais irrecuperáveis. |
Documentos impressos |
Sem restrições |
Eliminação realizada nas dependências da CARISMA, com a utilização de uma
fragmentadora. |
Convém que a fragmentação seja feita na área do setor responsável
pelas informações que serão descartadas. |
Convém que a fragmentação seja feita na área do setor responsável
pelas informações que serão descartadas. |
Arquivo de computador |
Sem restrições |
Excluir da pasta e/ou local arquivado. |
Excluir da pasta e/ou local arquivado e da lixeira também. |
Excluir da lixeira, dos
dispositivos e adotar
soluções tecnológicas
visando garantir que as informações não sejam recuperadas em hipótese alguma. |
- AÇÕES PARA IMPLEMENTAÇÃO
6.1 Programa de treinamento
A CARISMA responsabiliza-se em implementar programa de treinamento sobre proteção de dados pessoais aos colaboradores envolvidos no tratamento de dados pessoais em relação aos princípios contidos nesta Política.
O treinamento deverá ser atualizado anualmente ou em período menor, se necessário, os colaboradores recém-contratados também passarão pelo treinamento no momento de admissão.
A CARISMA poderá incluir no programa de treinamento: (i) Sumários dos principais conceitos, (ii) Apresentação dos critérios para o tratamento com base na LGPD; (iii) Síntese das bases leais para o tratamento de dados pessoais ; (iv) Ilustrações da aplicação dos princípios na prática, (v) Uma visão geral das políticas e procedimentos relevantes das CARISMAs, e (vi) Um estudo de caso interativo que exige que os funcionários lidem com um problema de proteção de dados, como uma solicitação do Titular dos Dados para acessar todos os Dados pessoais relacionados a ele. Em todos os casos, o foco do treinamento deve ser nos requisitos previstos na LGPD.
6.2 Governança
A CARISMA possui uma Política de Proteção de Dados Pessoais, aprovada pelo Diretor e pelo Gerente de Tecnologia da Informação.
Gerente de Tecnologia da Informação. determina a estratégia de proteção e privacidade de dados pessoais da CARISMA de acordo com os objetivos estratégicos e garante que os colaboradores compreendam e adiram às disposições aplicáveis do regulamento de proteção de dados e privacidade.
6.3 Controle
Considerando potenciais consequências graves decorrentes da violação da Lei Geral de Proteção de Dados, a CARISMA deve implementar programas de conformidade e controles relacionados que sejam elaborados de forma cabível para prevenir, detectar, monitorar e abordar violações em potencial.
- REGISTRO DE RECLAMAÇÕES
A CARISMA deve ter um processo interno centralizado para registros de reclamações sobre o tratamento dos dados pessoais.
A CARISMA deve ter em seus sites da internet ferramentas práticas que permitam aos Titulares dos Dados registrarem reclamações, incluindo pelo menos uma das abaixo:
- Link da internet para um formulário de reclamação;
- Endereço de e-mail;
- Telefone;
- Endereço postal.
Exceto se comprovado ser particularmente difícil encontrar as informações necessárias para conduzir a investigação, as reclamações devem ser investigadas da maneira mais rápida possível, com a conclusão em no máximo 15 (quinze) dias.
- ASSISTÊNCIA MÚTUA E COOPERAÇÃO COM A AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS
A CARISMA cooperará com a Autoridade Nacional de Proteção de Dados (ANPD) em qualquer problema em relação à proteção de dados, bem como acatará às suas decisões, dentro dos limites previstos na LGPD e regulamentos aplicáveis e sem renunciar a quaisquer defesas e/ou direitos de recurso disponíveis ao Controlador de Dados:
- Disponibilizando o pessoal necessário para o diálogo com a ANPD;
- Revisando de forma proativa, procedimentos internos considerando quaisquer diretrizes estabelecidas pela ANPD;
- Ao responder as solicitações por informações ou reclamações;
- Ao aplicar as recomendações relevantes ou diretrizes estabelecidas.
Se a ANPD solicitar informações ou de qualquer outra forma exercer seu direito de investigação, o Gerente de Tecnologia da Informação deve ser informado sem demora por qualquer representante da CARISMA. Então Gerente de Tecnologia da Informação deve atuar como o coordenador primário para formular uma resposta apropriada à indagação, tendo como suporte os colaboradores e/ou prestadores de serviços potencialmente envolvidos, bem como, os administradores e/ou responsáveis. Além disso, Gerente de Tecnologia da Informação atuará como o contato direto e primário em relação a ANPD.
- DISPOSIÇÕES GERAIS
Os colaboradores são responsáveis por conhecer e compreender todos os documentos orientadores que lhes forem aplicáveis. De forma similar, Gerente de Tecnologia da Informação é responsável por garantir que todos os colaboradores compreendam e sigam os documentos orientadores aplicáveis à CARISMA.
Os Integrantes que tiverem perguntas ou dúvidas a respeito desta Política, incluindo seu escopo, termos ou obrigações, devem procurar o Gerente de Tecnologia da Informação, através do e-mail flavio@carisma.net.br.
Violações de qualquer documentação orientadora da CARISMA podem resultar em consequências graves à CARISMA e aos colaboradores envolvidos. Portanto, a falha em cumprir esta Política ou relatar o conhecimento de violação desta Política poderá resultar em ação disciplinar para qualquer colaborador envolvido.
Caso qualquer colaborador e/ou terceiro tenha conhecimento de uma conduta ilegal ou antiética em potencial, como, por exemplo, violações às Leis Anticorrupção aplicáveis e/ou Políticas da CARISMA, incluindo este Documento, devem imediatamente reportar a potencial violação a Gerência, até esse nível de subordinação e, ao Diretor quando a violação partir do nível gerencial. Todos os Líderes devem continuamente encorajar seus liderados a reportar violações.
Nenhuma regra prevista nas políticas da CARISMA, incluindo esta, proibirá que colaboradores ou terceiros possam reportar preocupações ou atividades ilegais para as autoridades reguladoras correspondentes.