Menu
Menu
Home / Compliance / Política de Privacidade de Dados
Todos os Colaboradores do Terminal XXXIX e alguns terceiros podem vir a tratar dados pessoais em algum momento de suas atividades rotineiras, por isso, esta política tem por finalidade explicar os principais pontos e diretrizes que devem ser observadas e seguidas para garantir a privacidade e proteção dos dados pessoais dos titulares.
A política se aplica à todas as pessoas físicas ou jurídicas que direta ou indiretamente tratam dados pessoais cujo controlador seja o Terminal XXXIX.
No caso de dúvidas de algum termo, relacionamos abaixo o que julgamos ser as principais definições que o tema se refere:
(i) Dado Pessoal: Informação relacionada a pessoa natural identificada ou identificável, ou seja, qualquer dado que sozinho ou associado a outros dados possa gerar uma informação capaz de identificar uma pessoa viva. Após o falecimento da pessoa os dados que há identificam deixam de ser dados pessoais. Segue alguns exemplos de dado pessoal:
– RG;
– CPF;
– Foto;
– Endereço;
– Profissão;
– Número de Tel.;
– E-mail;
– Dados de localização;
– Endereço residencial ou eletrônico;
– Dados acadêmicos;
– Internet Protocol (IP);
– Entre outros.
(ii) Dado Pessoal Sensível: dado pessoal que estejam relacionados a características da personalidade dos indivíduos e suas escolhas pessoais, tais como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico ou, qualquer outro dado que possa de alguma forma ensejar algum tipo de preconceito ou tratamento discriminatório ao titular. Para esta categoria de dados pessoais devemos considerar um maior nível de segurança em seu tratamento;
(iii) Tratamento dos dados: toda operação realizada com algum tipo de manuseio de dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, edição, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão, extração, ou seja, basicamente qualquer ação que envolva dado pessoal é considerado um tratamento;
(iv) Titular: pessoa natural a quem se referem os dados pessoais que são objeto de algum tratamento;
(v) Controlador: o Terminal XXXIX, de direito privado, a quem competem as decisões referentes ao tratamento de dados pessoais, ou seja, é a pessoa ou empresa que irá decidir por que é necessário utilizar aquele dado, responsável por tomar as decisões em relação ao seu tratamento;
(vi) Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. É comum que as empresas contratem outras empresas para prestar serviços ou fornecer produtos, e que nestes casos para exercer a atividade contratada seja necessário tratar dados pessoais cujo controlador seja o Terminal XXXIX. Segue alguns exemplos:
– Empresas de tecnologia que prestam suporte ou disponibilizam sistemas aos colaboradores e terceiros;
– Escritório jurídico, que atendem as demandas judiciais da empresa;
– Consultorias diversas como tributária ou ambiental;
– Clínicas de saúde ou qualquer outra empresa que possa participar de campanhas encomendadas pelo Terminal XXXIX.
(vii) Encarregado: é a pessoa ou empresa, indicada pelo controlador o Terminal XXXIX para atuar como canal de comunicação entre o controlador, o operador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O Encarregado também auxilia e orienta toda empresa para que todos os processos sejam feitos de tal forma que garanta a privacidade e proteção dos dados dos titulares;
(viii) Autoridade Nacional de Proteção de Dados (ANPD): é o órgão público responsável por conscientizar, zelar, implementar e fiscalizar o cumprimento da LGPD, podendo inclusive aplicar sanções administrativas previstas na lei.
Para que o Terminal XXXIX possa tratar dados pessoais, é necessária que o tratamento esteja enquadrado em uma das 10 hipóteses estabelecidas na lei, conhecida comumente como bases legais.
O Terminal XXXIX normalmente se utilizará – mas não se limitará – das seguintes hipóteses:
(i) Consentimento: o titular poderá autorizar o Terminal XXXIX a utilizar seus dados pessoais para uma finalidade determinada e legítima. Lembrando que se refere a uma manifestação livre, informada, inequívoca pela qual o titular concorda com esse tratamento de dados pessoais e pode ser revogada a qualquer momento. Sendo que para os colaboradores do Terminal XXXIX o termo de consentimento já é coletado na sua admissão.
Outro exemplo: coleta de dados para campanhas do Terminal XXXIX ou envio de informativos;
(ii) Cumprimento de obrigação legal ou regulatória: sempre que o Terminal XXXIX for obrigada por lei ou por algum regulamento a tratar os dados pessoais do titular.
Exemplo: envio de dados pessoais para órgãos de fiscalização;
(iii) Execução de contrato ou procedimentos preliminares: sempre que, em razão de um contrato firmado, o Terminal XXXIX tenha que realizar o tratamento dos dados pessoais do titular.
Exemplo: execução do contrato de trabalho do Colaborador com o Terminal XXXIX;
(iv) Exercício regular de direitos em processo judicial, administrativo ou arbitral: o Terminal XXXIX poderá tratar dados pessoais para dar início ou se defender de um processo judicial, administrativo ou arbitral.
Exemplo: compartilhamento de dados pessoais de Colaborador com escritório de advocacia, para defesa em eventual ação judicial;
(v) Legítimo interesse: O Terminal XXXIX poderá utilizar-se dessa hipótese de tratamento, pois refere-se a hipótese legal que autoriza o tratamento de dados pessoais de natureza não sensível quando necessário ao atendimento de interesses do controlador, desde que compatíveis com o ordenamento jurídico, lastreado em situações concretas e vinculados a finalidades legítimas, específicas e explícitas, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, respeitados os direitos e a legítima expectativa do titular, Recomenda-se que se esta for escolhida, um teste de proporcionalidade seja feito antes do início da atividade.
Exemplo: Investigação de denúncias.
Para o tratamento de dados pessoais sensíveis, normalmente as hipóteses serão: cumprimento de obrigação legal ou regulatória, consentimento e exercício regular de direitos.
Além das hipóteses, o tratamento de dados pessoais deve ser feito para uma finalidade legítima e especifica, e o titular deve ser informado dela. Além disso, o Colaborador do Terminal XXXIX deve sempre observar as seguintes diretrizes:
– A utilização dos dados pessoais sempre será pautada pela finalidade informada ao titular, caso haja necessidade de algum tipo de exceção o encarregado deverá ser consultado;
– A privacidade do titular e a proteção de seus dados pessoais deve ser garantida em toda atividade efetuada por colaborares e terceiros do Terminal XXXIX, essa proteção deve ser mantida inclusive após o término da relação entre as partes;
– Não é permitido o tratamento de dados pessoais para uso particular;
– Sempre que um processo surgir, seja por mudança ou criação de um novo procedimento, na contratação de um fornecedor ou na utilização de um sistema o Encarregado deverá ser consultado no começo das tratativas da iniciativa.
Seguem algumas dicas de boas práticas que ajudam a garantir a segurança e privacidade dos dados dos titulares nos meios eletrônicos como e-mails e meios físicos como em documentos impressos ou anotações:
– Não utilizar o telefone particular para compartilhar dados referentes a assuntos do trabalho;
– Não deixar anotações em cima da mesa ou a tela do computador desbloqueada quando estiver ausente de sua estação de trabalho;
– Seguir as diretrizes estabelecidas da Política de Segurança da Informação (PSI), no que diz respeito a armazenamento, compartilhamento e utilização dos dados;
– Conferir sempre a necessidade do envio de dados pessoais e o destinatário que irá receber a mensagem;
– Antes de iniciar uma gravação de voz e vídeo, informar aos envolvidos que serão gravados e sempre que possível dar a opção de recusa;
– O tratamento de dados deve respeitar o ciclo de vida dos dados pessoais, ao atingir o objetivo do tratamento e não tendo mais nenhum motivo – inclusive legal – para manter os dados pessoais, estes devem ser descartados de forma segura.
Operador é a pessoa jurídica ou física que trata dados pessoais em nome do controlador. O Controlador deve garantir que o operador observará suas instruções e as normas sobre a matéria de privacidade e proteção de dados pessoais, para isso, o controlador pode se valer de cláusulas contratuais e de avaliações periódicas no intuito de assegurar que as orientações passadas estejam sendo seguidas. Estes instrumentos devem ser observados em todas as relações contratuais que podem resultar em algum tipo de tratamento de dados por parte do contratado do Terminal XXXIX, ou seja, toda vez que um novo prestador de serviço ou fornecedor for contratado, o contrato firmado entre as partes deve conter requisitos mínimos de garantia de privacidade e proteção de dados pessoais.
Para realizar algum tipo de tratamento de dados pessoais fora do território Brasileiro, o controlador deve observar alguns requisitos mínimos, como verificar se o país ou organismo internacional que tratará os dados proporciona um grau de proteção de dados pessoais adequado ao previsto nesta na LGPD, oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na lei, entre outros requisitos. Por isso, caso seja identificado que ocorrerá uma transferência internacional de dados o Encarregado deverá ser consultado.
O De acordo com o Estatuto da Criança e do Adolescente ou ECA (Lei nº 8.069/1990), lei que busca resguardar a proteção aos menores no país, considera-se criança a pessoa com até 12 anos de idade; já adolescente é aquela que possui entre 12 e 18 anos de idade, o tratamento de dados pessoais desses titulares deverá ser realizado no melhor interesse dos menores de idade, nos termos da legislação aplicável.
Considerando as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais da criança e adolescentes, as informações sobre o tratamento de seus dados pessoais devem ser passadas de maneira mais simples, clara e acessível possível, podendo utilizar-se até de recursos audiovisuais para isso quando for o caso.
Para o tratamento de dados pessoais dessa categoria deve-se obter o consentimento específico e em destaque, dado por pelo menos um dos pais ou pelo responsável legal, com exceção dos casos abaixo:
• Quando a recusa de consentimento puder infringir o melhor interesse do menor;
• Obrigação legal;
• Proteção do menor;
• Contatar os pais ou responsáveis do menor (o dado deve ser utilizado uma única vez e não pode ser armazenado).
Os dados de menores e adolescentes não podem ser compartilhados com terceiros sem o consentimento dos pais ou responsáveis, a não ser por força de obrigação legal.
Como o Terminal XXXIX está sempre em busca da melhoria continua, é normal que novos processos ou atividades sejam criadas, bem como os existentes sejam aperfeiçoados ou até mesmo encerrados.
Sempre que houver alguma alteração permanente nas atividades que tratam dados pessoais, o ideal é que o Encarregado seja consultado e os seguintes aspectos sejam discutidos:
– Por quê: O propósito do tratamento desses dados é legítimo, específico, explícito e informado ao titular?
– O que: Todos os dados tratados nesta atividade são realmente essenciais para atingir o propósito desejado?
– Quem: Por quais áreas os dados passarão e por quem serão acessados?
– Como: Ter um mapeamento de como os dados serão tratados (meio, compartilhamento, armazenamento etc.).
– Quando: Definir por quanto tempo os dados tratados serão retidos, levar em conta obrigações legais nessa definição.
A Lei Geral de Proteção de Dados garante ao titular direitos básicos e o Terminal XXXIX deve garantir:
(i) Acesso e Confirmação do Tratamento – o direito de ser informado e ter acesso aos seus Dados Pessoais sob o tratamento do Terminal XXXIX;
(ii) Correção – o direito de solicitar a atualização ou alteração dos seus Dados Pessoais desatualizados, incompletos ou incorretos;
(iii) Portabilidade – o direito de requerer que os Dados Pessoais sob nosso tratamento sejam transferidos a outro prestador de serviço indicado pelo titular;
(iv) Eliminação – o direito de ter seus Dados Pessoais eliminados das nossas bases de dados, ressalvadas as hipóteses legais de armazenamento;
(v) Anonimização ou bloqueio – o direito de solicitar que os Dados Pessoais excessivos ao tratamento sejam submetidos à anonimização ou que este tratamento excessivo seja suspenso pelo Terminal;
(vi) Informações sobre o compartilhamento – o direito de saber com quais entidades públicas e privadas seus Dados Pessoais são compartilhados;
(vii) Revogação do consentimento – o direito de revogar o seu consentimento para as finalidades de tratamento de Dados Pessoais a ele atreladas;
(viii) Informação sobre as consequências da revogação – o direito de ser informado sobre os desdobramentos da relação com o controlador e como a execução dessa finalidade impactará na consequência do tratamento de seus dados, caso deseje revogar o seu consentimento;
(ix) Oposição – o direito de se opor ao Tratamento de Dados Pessoais que esteja desalinhado às determinações da Lei Geral de Proteção de Dados Pessoais.
O titular de dados pessoais também poderá enviar pedidos ou reclamações relativas ao tratamento dos seus Dados Pessoais à Autoridade Nacional de Proteção de Dados – ANPD.
Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores, neste contexto, qualquer evento que possa acarretar risco ou dano relevante aos titulares devem ser notificados.
São exemplos de incidentes de segurança:
• Tentativas de ganhar acesso não autorizado a sistemas ou dados;
• Uso ou acesso não autorizado a dados ou sistemas;
• Modificações em dados, sem o conhecimento, instruções ou consentimento prévio do Controlador;
• Desrespeito à está política, à política de segurança da informação e às demais regras que regem as diretrizes de segurança da informação do Terminal XXXIX.
Alta Gestão: Garantir o suporte necessário para que o Encarregado, juntamente com as demais áreas possam criar, operacionalizar, sustentar, cumprir e proporcionar a melhoria continua do sistema de gestão de proteção de dados do Terminal XXXIX.
Encarregado: Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da autoridade nacional e adotar providências; orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais e executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
Tecnologia da Informação: Esta área deve em conjunto com o Encarregado de dados, adotar medidas técnicas que possam ajudar a garantir aos titulares, consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; e exatidão, clareza, relevância e atualização dos dados; a garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento; a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; a prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; a demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Colaboradores e Terceiros: Devem garantir a devida observância desta e demais políticas que garantam a segurança da informação e privacidade dos dados dos titulares.
A Encarregada estará disponível para tirar dúvidas através do e-mail privacidade@terminal39.com.br.
14/06/2024
