VITÓRIA
VITÓRIA/ES
Av. Nossa Sra. dos Navegantes, 675 – Enseada do Suá, Vitória – ES, 29050-912
Palácio do Café – Décimo andar – Conj. 1000A
+55 27 3322.0888
SÃO PAULO
Rua Jeronimo da Veiga, 164
8th floor – Cjs. E/F/G/H
Itaim Bibi
+55 11 3167.6000
Esta Política estabelece as orientações gerais para a proteção de dados pessoais dentro do ambiente corporativo da CARISMA, uma vez que, na execução de suas operações, coleta, manuseia e armazena informações que podem estar relacionadas a pessoas físicas identificadas e/ou identificáveis (“dados pessoais”), com vistas a:
Esta Política é aplicável à empresa e a todos os colaboradores que tenham acesso a quaisquer dados pessoais detidos pela CARISMA ou em seu nome. Procedimentos adicionais podem ser criados de acordo com exigências legais.
O Diretor e o Gerente de Tecnologia da Informação, tem a responsabilidade de implementar a Política de Proteção de Dados, além das demais que envolvem privacidade e segurança da informação.
A CARISMA e todos os seus colaboradores, que processam dados pessoais deve cumprir esta Política.
Por sua vez, o Gerente de Tecnologia de Informação, encarregado pela proteção de dados:
5.1 Princípios de Proteção de Dados pessoais
Esta seção descreve os princípios que devem ser observados na coleta, manuseio, armazenamento, divulgação e tratamento de dados pessoais pela CARISMA para atender aos padrões de proteção de dados no âmbito corporativo e estar em conformidade com a legislação e regulamentação aplicáveis nos respectivos países onde tiver operação ou atividade comercial.
5.1.1 Legalidade, Transparência e Não Discriminação
A CARISMA trata os dados pessoais de forma justa, transparente e em conformidade com legislação e regulamentação aplicáveis.
A CARISMA somente trata dados pessoais quando o propósito/finalidade do tratamento se enquadra em uma das hipóteses legais permitidas, abaixo elencadas, sendo certo que os titulares de dados devem ser informados sobre a razão e a forma pela qual seus dados pessoais estão sendo tratados antes ou durante a coleta:
Quando o tratamento de dados pessoais não se enquadrar nas hipóteses acima, a CARISMA deve obter o consentimento dos titulares dos dados para o tratamento de seus dados pessoais, e assegurar que este Consentimento seja obtido de forma específica, livre, inequívoca informada. A CARISMA deve coletar, armazenar e gerenciar todas as respostas de consentimento de maneira organizada e acessível, para que a comprovação de consentimento possa ser fornecida quando necessário.
Da mesma forma, o titular de dados deve ter a possibilidade de retirar o seu consentimento a qualquer momento com a mesma facilidade que foi fornecido.
Em algumas circunstâncias, a CARISMA também pode ser obrigada a tratar dados pessoais sensíveis, envolvendo, mas não limitado a:
O tratamento de dados pessoais sensíveis é proibido, exceto nos casos específicos descritos abaixo, nos quais deverão ser observados padrões de segurança mais robustos do que os empregados aos demais dados pessoais:
5.1.2 Limitação e Adequação da Finalidade
O tratamento de dados pessoais deve ser realizado de maneira compatível com a finalidade original para a qual os dados pessoais foram coletados, não podendo ser coletados com um propósito e utilizados para outro. Quaisquer outras finalidades devem ser compatíveis com a razão original para qual os dados pessoais foram coletados.
5.1.3 Princípio da Necessidade (Minimização dos Dados)
A CARISMA somente pode tratar dados pessoais na medida em que seja necessário para atingir um propósito específico, este é o princípio da minimização de dados. O compartilhamento de dados pessoais com outra área ou outra CARISMA deve considerar este princípio, só podendo ser compartilhados quando tenham um amparo legal adequado.
5.1.4 Exatidão (Qualidade dos Dados)
A CARISMA deve adotar medidas razoáveis para assegurar que quaisquer dados pessoais em sua posse sejam mantidos precisos, atualizados em relação às finalidades para as quais foram coletados, sendo certo que deve ser possibilitado ao titular do dado pessoal requerer a exclusão ou correção de dados imprecisos ou desatualizados.
5.1.5 Retenção e Limitação do Armazenamento de Dados
A CARISMA deve ter conhecimento de suas atividades de tratamento, períodos de retenção estabelecidos e processos de revisão periódica, não podendo manter os dados pessoais por prazo superior ao necessário para atender as finalidades pretendidas
5.1.6 Integridade e Confidencialidade (Livre Acesso, Prevenção e Segurança)
A CARISMA deve assegurar que medidas técnicas e administrativas apropriadas sejam aplicadas aos dados pessoais para protegê-los contra o Tratamento não autorizado ou ilegal, bem como contra a perda acidental, destruição ou danos. O tratamento de dados pessoais também deve garantir a devida confidencialidade. Dentre as medidas técnicas mais comuns, podem ser descritas:
Anonimização significa que os dados pessoais são tornados anônimos de tal forma que os dados não mais se referem a uma pessoa direta ou indiretamente identificável. O anonimato tem que ser irreversível.
Pseudo anonimização é um processo pelo qual os dados pessoais não mais se relacionam diretamente com uma pessoa identificável (por exemplo, mencionando seu nome), mas não é anônimo, porque ainda é possível, com informações adicionais, que são mantidas separadamente, identificar uma pessoa.
5.1.7 Responsabilização e Prestação de Contas
A CARISMA é responsável e deve demonstrar o cumprimento desta Política, assegurando a implementação de diversas medidas que incluem, mas não se limitam a:
5.2 Padrões de Segurança
5.2.1 Importância da Proteção de Dados pessoais
A CARISMA está comprometida com a implementação dos padrões de segurança da informação e com a proteção de dados pessoais com vistas a garantir o direito fundamental do indivíduo à autodeterminação da informação.
5.2.2 Garantir a Segurança dos Dados pessoais
A confidencialidade, integridade e disponibilidade, bem como autenticidade, responsabilidade e não-repúdio são objetivos a serem perseguidos para a segurança dos dados pessoais.
5.2.3 Obrigação do Sigilo de Dados pessoais
Todos os Integrantes com acesso a dados pessoais estão obrigados aos deveres de confidencialidade dos dados pessoais mediante a anuência ao Termo de Compromisso, quando do ingresso na CARISMA e periodicamente quando necessário.
5.2.4 Privacidade de dados pessoais por Concepção e por Padrão
Ao implementar novos processos, procedimentos ou sistemas que envolvam o tratamento de dados pessoais, a CARISMA deve adotar medidas para garantir que as regras de privacidade e proteção de dados sejam adotadas desde a fase de concepção até o lançamento/implantação desses projetos.
5.3. Relação Controlador-Processador de Dados pessoais
A CARISMA é o controlador dos dados pessoais, sendo necessária a nomeação de um responsável por garantir que os dados pessoais estejam sendo tratados de forma correta e de acordo com a legislação e regulamentação aplicáveis.
Nos casos nos quais o tratamento é realizado por um operador em nome da CARISMA, a CARISMA deverá escolher um subcontratado que tenha medidas técnicas de segurança suficientes e medidas organizacionais, para garantir que o tratamento será executado de acordo com esta Política e que se comprometam, por escrito, a atuar conforme as instruções da CARISMA.
Em determinadas circunstâncias, a CARISMA pode atuar como Processadora de outra. Nestes casos, a CARISMA é obrigada a seguir a orientação de quem está atuando como Controladora.
5.4. Direitos dos Titulares de Dados pessoais.
A CARISMA está comprometida com os direitos dos titulares de dados pessoais, os quais incluem:
5.5. Prestadores de Serviços Terceirizados
Os prestadores de serviços terceirizados, que tratem dados pessoais sob as instruções da CARISMA, estão sujeitos às obrigações impostas aos processadores de acordo com a legislação e regulamentação de proteção de dados pessoais aplicáveis. A CARISMA deve assegurar que no contrato de prestação de serviço sejam contempladas as cláusulas de privacidade que exijam que o processador de dados terceirizado implemente medidas de segurança, bem como controles técnicos e administrativos apropriados para garantir a confidencialidade e segurança dos dados pessoais e especifiquem que o processador está autorizado a tratar dados pessoais apenas quando seja formalmente solicitado pela CARISMA.
Nos casos em que o prestador de serviços estiver localizado fora do país em que o dado pessoal foi coletado, as cláusulas contratuais-padrão devem ser incluídas no contrato de proteção de dados pessoais como um Anexo para garantir que as devidas salvaguardas exigidas pela legislação e regulamentação aplicáveis de proteção de dados pessoais sejam implementadas.
5.6. Gerenciamento de Violação de Dados
Todos os incidentes e potenciais violações de dados devem ser reportadas ao Gerente de Tecnologia da Informação. Todos os Integrantes devem estar cientes de sua responsabilidade pessoal de encaminhar e escalonar possíveis problemas, bem como de denunciar violações ou suspeitas de violações de Dados pessoais assim que as identificarem. No momento em que um incidente ou violação real for descoberto, é essencial que os incidentes sejam informados e formalizados de forma tempestiva.
Violações de dados incluem, mas não se limitam, a qualquer perda, exclusão, roubo ou acesso não autorizado de dados pessoais controlados ou tratados pela CARISMA.
5.7. Auditorias de Proteção de Dados
A CARISMA deve garantir que existam revisões periódicas a fim de confirmar que as iniciativas de Privacidade, seu sistema, medidas, processos, precauções e outras atividades incluindo o gerenciamento de proteção de dados pessoais são efetivamente implementados e mantidos e estão em conformidade com a legislação e regulamentação aplicáveis.
5.8. Retenção e Descarte de Dados pessoais
Os dados pessoais não podem ser guardados por mais tempo do que é exigido. Uma vez que a finalidade para o processamento ou a base jurídica para processamento expira, pode não ser necessário reter esses dados pessoais, a menos que legalmente exigido.
Os dados pessoais devem ser descartados de uma forma que proteja os direitos e liberdades dos titulares dos dados e em consonância com as orientações abaixo:
Níveis de informações:
| Forma de armazenamento | Nível 1 | Nível 2 | Nível 3 | Nível 4 |
| Mídia digital | Sem restrições | Eliminação feita somente dentro das áreas da
CARISMA. |
Dispositivos que contenham informações sensíveis devem ser destruídos fisicamente ou as informações contidas nos mesmos devem ser apagadas por meio de técnicas que tornem as informações originais irrecuperáveis. | Dispositivos que contenham informações sensíveis devem ser destruídos fisicamente ou as informações contidas nos mesmos devem ser apagadas por meio de técnicas que tornem as informações originais irrecuperáveis. |
| Documentos impressos | Sem restrições | Eliminação realizada nas dependências da CARISMA, com a utilização de uma
fragmentadora. |
Convém que a fragmentação seja feita na área do setor responsável
pelas informações que serão descartadas. |
Convém que a fragmentação seja feita na área do setor responsável
pelas informações que serão descartadas. |
| Arquivo de computador | Sem restrições | Excluir da pasta e/ou local arquivado. | Excluir da pasta e/ou local arquivado e da lixeira também. | Excluir da lixeira, dos
dispositivos e adotar soluções tecnológicas visando garantir que as informações não sejam recuperadas em hipótese alguma. |
6.1 Programa de treinamento
A CARISMA responsabiliza-se em implementar programa de treinamento sobre proteção de dados pessoais aos colaboradores envolvidos no tratamento de dados pessoais em relação aos princípios contidos nesta Política.
O treinamento deverá ser atualizado anualmente ou em período menor, se necessário, os colaboradores recém-contratados também passarão pelo treinamento no momento de admissão.
A CARISMA poderá incluir no programa de treinamento: (i) Sumários dos principais conceitos, (ii) Apresentação dos critérios para o tratamento com base na LGPD; (iii) Síntese das bases leais para o tratamento de dados pessoais ; (iv) Ilustrações da aplicação dos princípios na prática, (v) Uma visão geral das políticas e procedimentos relevantes das CARISMAs, e (vi) Um estudo de caso interativo que exige que os funcionários lidem com um problema de proteção de dados, como uma solicitação do Titular dos Dados para acessar todos os Dados pessoais relacionados a ele. Em todos os casos, o foco do treinamento deve ser nos requisitos previstos na LGPD.
6.2 Governança
A CARISMA possui uma Política de Proteção de Dados Pessoais, aprovada pelo Diretor e pelo Gerente de Tecnologia da Informação.
Gerente de Tecnologia da Informação. determina a estratégia de proteção e privacidade de dados pessoais da CARISMA de acordo com os objetivos estratégicos e garante que os colaboradores compreendam e adiram às disposições aplicáveis do regulamento de proteção de dados e privacidade.
6.3 Controle
Considerando potenciais consequências graves decorrentes da violação da Lei Geral de Proteção de Dados, a CARISMA deve implementar programas de conformidade e controles relacionados que sejam elaborados de forma cabível para prevenir, detectar, monitorar e abordar violações em potencial.
A CARISMA deve ter um processo interno centralizado para registros de reclamações sobre o tratamento dos dados pessoais.
A CARISMA deve ter em seus sites da internet ferramentas práticas que permitam aos Titulares dos Dados registrarem reclamações, incluindo pelo menos uma das abaixo:
Exceto se comprovado ser particularmente difícil encontrar as informações necessárias para conduzir a investigação, as reclamações devem ser investigadas da maneira mais rápida possível, com a conclusão em no máximo 15 (quinze) dias.
A CARISMA cooperará com a Autoridade Nacional de Proteção de Dados (ANPD) em qualquer problema em relação à proteção de dados, bem como acatará às suas decisões, dentro dos limites previstos na LGPD e regulamentos aplicáveis e sem renunciar a quaisquer defesas e/ou direitos de recurso disponíveis ao Controlador de Dados:
Se a ANPD solicitar informações ou de qualquer outra forma exercer seu direito de investigação, o Gerente de Tecnologia da Informação deve ser informado sem demora por qualquer representante da CARISMA. Então Gerente de Tecnologia da Informação deve atuar como o coordenador primário para formular uma resposta apropriada à indagação, tendo como suporte os colaboradores e/ou prestadores de serviços potencialmente envolvidos, bem como, os administradores e/ou responsáveis. Além disso, Gerente de Tecnologia da Informação atuará como o contato direto e primário em relação a ANPD.
Os colaboradores são responsáveis por conhecer e compreender todos os documentos orientadores que lhes forem aplicáveis. De forma similar, Gerente de Tecnologia da Informação é responsável por garantir que todos os colaboradores compreendam e sigam os documentos orientadores aplicáveis à CARISMA.
Os Integrantes que tiverem perguntas ou dúvidas a respeito desta Política, incluindo seu escopo, termos ou obrigações, devem procurar o Gerente de Tecnologia da Informação, através do e-mail flavio@carisma.net.br.
Violações de qualquer documentação orientadora da CARISMA podem resultar em consequências graves à CARISMA e aos colaboradores envolvidos. Portanto, a falha em cumprir esta Política ou relatar o conhecimento de violação desta Política poderá resultar em ação disciplinar para qualquer colaborador envolvido.
Caso qualquer colaborador e/ou terceiro tenha conhecimento de uma conduta ilegal ou antiética em potencial, como, por exemplo, violações às Leis Anticorrupção aplicáveis e/ou Políticas da CARISMA, incluindo este Documento, devem imediatamente reportar a potencial violação a Gerência, até esse nível de subordinação e, ao Diretor quando a violação partir do nível gerencial. Todos os Líderes devem continuamente encorajar seus liderados a reportar violações.
Nenhuma regra prevista nas políticas da CARISMA, incluindo esta, proibirá que colaboradores ou terceiros possam reportar preocupações ou atividades ilegais para as autoridades reguladoras correspondentes.
O Cookie Estritamente Necessário deve estar sempre ativado para que possamos salvar suas preferências de configuração de cookies.
Se desativar este cookie, não poderemos guardar as suas preferências. Isto significa que sempre que visitar este website terá de ativar ou desativar novamente os cookies.
