Versão 1.0 – Documento Corporativo

A presente Política de Privacidade e Proteção de Dados estabelece diretrizes para o tratamento adequado, seguro e transparente de dados pessoais no âmbito da organização, em conformidade com a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) e com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR).

Esta política aplica-se a:

• Todos os colaboradores, gestores, terceiros, estagiários e prestadores de serviços;
• Todos os departamentos e unidades organizacionais;
• Todos os sistemas, processos, ferramentas e operações que envolvam coleta, armazenamento, compartilhamento ou qualquer outra forma de tratamento de dados pessoais.

Todo tratamento de dados pessoais deve observar os seguintes princípios:

• Finalidade – Tratamento para propósitos legítimos, explícitos e informados;
• Adequação – Compatibilidade com a finalidade comunicada ao titular;
• Necessidade – Tratamento limitado ao mínimo necessário;
• Livre Acesso – Garantia de consulta facilitada dos dados tratados;
• Qualidade dos Dados – Dados exatos, atualizados e relevantes;
• Transparência – Informações claras aos titulares;
• Segurança – Adoção de medidas técnicas e administrativas de proteção;
• Prevenção – Ações para evitar incidentes e danos;
• Não Discriminação – Tratamento sem fins discriminatórios;
• Responsabilização – Demonstração da adoção de medidas adequadas.

O tratamento de dados pessoais será realizado somente quando sustentado por uma das bases legais previstas na LGPD e GDPR, tais como:

• Consentimento do titular;
• Cumprimento de obrigação legal ou regulatória;
• Execução de contrato;
• Exercício regular de direitos;
• Legítimo interesse do controlador ou de terceiros;
• Proteção da vida ou da integridade física;
• Tutela da saúde;
• Interesse público ou execução de políticas públicas.

A organização assegura aos titulares o exercício dos direitos previstos na legislação, incluindo:

• Confirmação da existência de tratamento;
• Acesso aos dados pessoais tratados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Portabilidade dos dados;
• Eliminação dos dados tratados com consentimento;
• Informação sobre compartilhamento;
• Revogação do consentimento;
• Oposição a tratamento não compatível com a legislação.

A organização manterá registros formais de todas as operações de tratamento de dados pessoais, contemplando:

O registro incluirá:

• Finalidade do tratamento;
• Categoria dos dados pessoais;
• Base legal aplicada;
• Categorias de destinatários;
• Prazo de retenção dos dados;
• Medidas de segurança adotadas;
• Responsável pelo tratamento em cada etapa;
• Transferências internacionais, quando houver.

Os dados pessoais serão armazenados:

• Em sistemas corporativos autorizados;
• Em ambientes seguros com controle de acesso;
• Com medidas de proteção como criptografia, versionamento e controle de integridade.

O armazenamento físico (quando existente) deve permanecer em locais protegidos, com controle de acesso e restrição adequada.

Os dados serão retidos apenas pelo período necessário ao cumprimento de:

• Obrigações legais e regulatórias;
• Execução contratual;
• Exercício regular de direitos em processos judiciais, administrativos ou arbitrais;
• Necessidades internas justificáveis.

Findo o prazo de retenção, o dado será eliminado ou anonimizado.

O descarte deve ocorrer de forma segura, utilizando técnicas que impeçam a recuperação dos dados. Quando aplicável, a anonimização poderá ser realizada para fins estatísticos, de auditoria ou cumprimento de obrigações legais.

O compartilhamento de dados pessoais ocorrerá somente:

• Mediante base legal adequada;
• Com terceiros que adotem padrões equivalentes de segurança e privacidade;
• Em transferências internacionais, com países que possuam nível adequado de proteção ou mediante salvaguardas contratuais validadas pela legislação aplicável.

A organização adota medidas técnicas e administrativas para proteger os dados pessoais contra:

• Acesso não autorizado;
• Perdas, alterações ou destruição acidental ou ilícita;
• Vazamentos internos ou externos;
• Ataques cibernéticos.

As medidas incluem:

• Criptografia;
• Controle de acesso;
• Monitoramento contínuo;
• Políticas internas e treinamentos obrigatórios;
• Auditorias periódicas.

O Encarregado (Data Protection Officer – DPO) é responsável por:

• Orientar colaboradores e gestores sobre proteção de dados;
• Atender solicitações de titulares;
• Manter comunicação com a ANPD e autoridades internacionais quando aplicável;
• Monitorar e supervisionar a conformidade.

Em caso de incidente envolvendo dados pessoais:

• O evento será registrado e analisado;
• A equipe responsável aplicará medidas de contenção e mitigação;
• Será avaliado o nível de risco ao titular;
• A ANPD e os titulares serão notificados, quando exigido pela legislação;
• Será produzido relatório contendo causas, medidas adotadas e ações preventivas.

• Colaboradores – Observar esta política e reportar incidentes;
• Gestores – Garantir a conformidade em suas áreas;
• TI – Proteger infraestrutura e assegurar controles técnicos;
• DPO – Atuar como autoridade interna de privacidade.

O descumprimento das disposições desta política poderá resultar em:

• Advertências internas;
• Medidas disciplinares;
• Responsabilização civil e penal;
• Aplicação das sanções previstas na LGPD.

Esta política será revisada:

• Anualmente; ou
• Sempre que houver alterações legais, procedimentais ou tecnológicas significativas.