Política de Privacidade de Dados Pessoais e Sensíveis
1 OBJETIVO, ESCOPO E USUÁRIO
1.1 OBJETIVO
Este documento tem como objetivo estabelecer as diretrizes para a Gestão da Privacidade de Dados Pessoais e Sensíveis na Italbronze, em consonância com a da Lei N. 13.709 de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).
1.2 ESCOPO E USUÁRIOS
Este documento aplica-se a todo o escopo do Sistema de Gestão da Segurança da Informação e Privacidade (SGSIP), isto é, a todos os dados pessoais e sensíveis tratados, aplicável aos respectivos usuários, conforme
definido no item 2.
2 DEFINIÇÕES
São apresentados a seguir as definições essenciais para o melhor entendimento dessa Política de
Privacidade de Dados Pessoais e Sensíveis:
- Autoridade Nacional de Proteção de Dados (ANPD): Órgão da administração pública responsável por zelar pela proteção dos dados pessoais e por fiscalizar o cumprimento da LGPD em todo o território nacional;
- Dado Pessoal: Qualquer informação que (a) possa ser usada para identificar a pessoa natural à qual tal informação se relaciona ou (b) é ou pode ser direta ou indiretamente vinculada a uma pessoa natural
(Ex.: nome e sobrenome, data e local de nascimento, RG, retrato em fotografia, CPF, endereço residencial, hábitos de consumo, número de telefone); - Dados sensíveis: São as informações que revelam origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical, questões genéticas, biométricas e sobre a saúde ou a orientação e vida sexual de uma pessoa, ou quaisquer dados relacionados á pessoa, escolaridades, desempenho e formação profissional;
- DPO (Data Protection Officer – Diretor de Proteção de Dados): É o profissional responsável por garantir
a proteção dos dados pessoais de cidadãos coletados pela empresa ou instituição onde trabalha, fazendo a ponte com a ANPD que realiza a fiscalização da LGPD; - Encarregado pelo Tratamento de Dados Pessoais: É o DPO (Data Protection Officer – Diretor de Proteção de Dados);
- Finalidade: Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
- Política: Intenções e direção de uma organização, expressa formalmente por sua Alta Direção;
- Tratamento: Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento,
arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; - Eliminação: Exclusão do dado coletado ou armazenado, independentemente do procedimento empregado;
- Anonimização: Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
- Usuário: Toda pessoa com acesso aos sistemas de informação e /ou aos dados.
3 GERENCIANDO A PRIVACIDADE DOS DADOS PESSOAIS E SENSÍVEIS
3.1 PAPÉIS E RESPONSABILIDADES
- O principal responsável pela privacidade dos dados pessoais e sensíveis na Italbronze é a Alta Direção (Administrador Estatutário);
- O Analista de SGI assume as responsabilidades, conforme definidas na LGPD, do Encarregado pelo tratamento de dados pessoais e sensíveis;
- A Italbronze atua como controlador de dados pessoais quando necessário;
- O Encarregado deve promover programas de conscientização para os usuários a respeito de como deve ser mantida a privacidade e sigilo dos dados;
- Todos os incidentes relacionados a proteção de dados pessoais ou sensíveis devem ser tratados conforme procedimento P1901;
- A proteção dos dados pessoais ou sensíveis e a garantia da privacidade é de responsabilidade de TODOS da organização.
3.2 ATIVIDADE DE TRATAMENTO DE DADOS PESSOAIS
Todas as atividades de tratamento de dados pessoais na Italbronze deverão atender aos seguintes princípios:
- Ter uma finalidade legítima e específica, e o titular deve ser informado e estar ciente das finalidades;
- Transparência para o titular sobre todas as atividades feitas durante o processo de tratamento dos dados pessoais, assim como possibilidade de consulta sobre o processo de tratamento dos dados;
- Garantia de proteção adequada através de medidas técnicas ou administrativas para proteção dos dados pessoais em todas as etapas do tratamento.
O tratamento dos dados pessoais só pode ser feito mediante o fornecimento do consentimento do titular por meio de procedimento definido e quando necessários para atender aos interesses legítimos da Italbronze.
Prevalecendo sempre os direitos e liberdades fundamentais do titular.
A Italbronze, atuando como controlador, para atendimento a requisitos legais pode efetuar tratamento de dados pessoais.
A Italbronze atuando como controlador pode compartilhar dados com outra organização, desde que seja comunicado previamente ao titular ou esteja acordado em contrato ou no termo de aceite.
Caso haja necessidade de alteração de finalidade quanto ao objetivo de tratamento do dado pessoal, o titular deve ser comunicado e novo consentimento deve ser solicitado.
Qualquer dúvida a respeito de atividades de tratamento de dados pessoais deve ser esclarecida com o Encarregado.
3.3 ATIVIDADE DE TRATAMENTO DE DADOS PESSOAIS E SENSÍVEIS
O tratamento de dados pessoais sensíveis somente podem ser realizado pela Italbronze mediante a obtenção de consentimento do titular.
Também poderão ser realizados o tratamento de dados pessoais sensíveis pela Italbronze, mas com a dispensa do consentimento do titular, caso seja necessário para cumprir obrigações legais do controlador.
3.4 CONSENTIMENTO
O consentimento para tratamento dos dados deverá ser obtido através de, pelo menos um, dos seguintes meios:
- Por escrito com o titular fornecendo o direito ao tratamento;
- Através de contrato com cláusula específica;
- Através de termo com cláusulas e regras específicas;
- Através de e-mail do titular fornecendo o direito ao tratamento;
- Através de aceite no site.
Independentemente da forma expressa do consentimento, obrigatoriamente deve conter, explicitamente, sem que gere dúvidas, os seguintes itens:
- As finalidades para quais o tratamento de dados pessoais e sensíveis é autorizado;
- A duração (prazo) do consentimento;
- Com quais Operadores o dado pessoal e sensível poderá ser compartilhado e qual a justificativa;
- Como o consentimento pode ser consultado ou revogado;
- Como o dado pessoal e sensível será protegido durante as etapas de tratamento;
- Direitos do titular em relação a proteção dos dados pessoais e sensíveis.
3.5 TRATAMENTO DE DADOS PESSOAIS E SENSÍVEIS DE CRIANÇAS E ADOLESCENTES
Caso a Italbronze precise tratar dados pessoais e sensíveis de crianças e adolescentes, deve ser obtido previamente, do responsável legal, o consentimento de forma clara e específica, cujo regramento do item 3.4
deve ser integralmente seguido.
3.6 TÉRMINO DE TRATAMENTO DE DADOS PESSOAIS E SENSÍVEIS
O período de permanência (ciclo de vida) do dado pessoal e sensível tratado pela Italbronze deve ser controlado para identificar quando ocorrer o fim do período de tratamento do dado pessoal e sensível.
O dado pessoal e sensível deve ser eliminado de acordo com a PSIP02 (Política de Classificação de Informação).
Caso algum dado pessoal e sensível precise ser conservado após o período de permanência de seu tratamento, o Encarregado deve ser comunicado, continuando a ser o responsável pela proteção do dado pessoal seguindo as regras determinadas na LGPD.
Os dados pessoais e sensíveis devem ser armazenados por período limitado, levando em consideração a finalidade específica do tratamento.
Após cumprida a finalidade do tratamento e findo o prazo de armazenamento determinado, os dados podem ser eliminados de modo seguro, sejam eles registrados em meios físicos ou digitais;
A eliminação dos dados pessoais sensíveis poderá ser realizada também a pedido do titular do dado ou da ANPD.
3.7 DIREITOS DO TITULAR DE DADOS PESSOAIS E SENSÍVEIS
Qualquer titular que tenha seus dados tratados pela Italbronze tem o direito de solicitar informações das operações de tratamento efetuadas.
Os titulares de dados pessoais e sensíveis podem solicitar informações sobre o tratamento dos seus dados; eventuais correções; obter cópias; e revogação consentimento.
As solicitações por parte dos titulares devem ser formalizadas por meio de e-mail enviado para: dpo@italbronze.com.br, o qual deve conter especificamente as informações almejadas.
A Italbronze, representada pelo DPO, deve responder todas as solicitações no prazo máximo de 15 dias.
Todas as respostas fornecidas devem ser claras e devidamente justificadas, objetivando manter o titular informado de como são tratados seus dados.
3.8 COMUNICAÇÃO COM OPERADORES DE DP SOBRE MODIFICAÇÃO OU REVOGAÇÃO
O Encarregado deve comunicar aos operadores de DP com os quais um dado pessoal e sensível foi compartilhado sobre qualquer modificação do dado pessoal e sensível ou a revogação do consentimento por
parte do titular.
3.9 TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS E SENSÍVEIS
Conforme Mapa de Dados Pessoais a Italbronze não compartilha dados pessoais e sensíveis internacionalmente, caso seja necessário compartilhar dados pessoais e sensíveis com operadores internacionais, deve ser solicitado ao Departamento Jurídico uma avaliação dos mecanismos de segurança adotados pelo operador e das leis do país estrangeiro. O Departamento Jurídico em conjunto com o Encarregado deve reportar a conclusão da análise a Alta Direção, para autorização ou não do
compartilhamento.
No termo de consentimento assinado pelo titular deve estar claro que haverá compartilhamento de dados pessoais e sensíveis com Operadores de outros países.
A Italbronze utiliza datacenters localizados no Brasil.
3.10 RESPONSABILIDADES DO CONTROLADOR E OPERADOR
Conforme Mapa de Dados Pessoais a Italbronze não trata dados pessoais e sensíveis como Operador, caso seja necessário, o próximo parágrafo deve ser cumprido.
A Italbronze quando fizer tratamento de dados pessoais e sensíveis, como Controlador, deve manter registros das operações, comprovando que os dados foram tratados de acordo com as finalidades consentidas pelos titulares, e que foram adotadas práticas de proteção suficientes.
A Italbronze deve assegurar que operadores e usuários de dados pessoais e sensíveis protejam a informação de maneira adequada e conheçam sua responsabilidade.
3.11 PRIVACY BY DEFAULT E PRIVACY BY DESIGN
A Italbronze atuando como Controlador de dados pessoais e sensíveis deve garantir que seus processos e sistemas sejam projetados de tal forma que a coleta e o tratamento dos dados pessoais e sensíveis estejam limitados apenas para o alcance do propósito identificado. Portanto deve-se avaliar:
- Limite de coleta dos dados pessoais e sensíveis;
- Limite de tratamento dos dados pessoais e sensíveis;
- Precisão e qualidade dos dados pessoais e sensíveis;
- Minimização dos dados pessoais e sensíveis;
- Anonimização e ou exclusão dos dados pessoais e sensíveis;
- Controle dos arquivos temporários;
- Controle sobre a retenção dos dados pessoais e sensíveis;
- Eliminação segura dos dados pessoais e sensíveis;
- Transmissão segura dos dados pessoais e sensíveis.
O DPO deve avaliar todos os sistemas que possuem interação com os titulares de DP (colaboradores, clientes, fornecedores, prestadores de serviço) e que exista troca de informações pessoais e avaliar o
atendimento aos itens descritos acima.
3.12 PROTEÇÃO AO DADO PESSOAL E SENSÍVEL
A Italbronze adota uma série de medidas para proteger os dados pessoais e sensíveis, tais como:
- Manutenção do SGSIP seguindo as diretrizes e recomendações das normas ISO 27001 e ISO 27701;
- Gestão de riscos de segurança da informação e privacidade;
- Políticas e procedimentos de Segurança da Informação e Privacidade;
- Treinamentos e conscientização sobre Segurança da Informação e Privacidade;
- Auditorias semestrais;
- Ações de melhoria de forma contínua.
4 SANÇÕES E PUNIÇÕES
O descumprimento dessa Política pode acarretar aplicação de medidas disciplinares e consequências decorrente de responsabilidade civil ou penal (criminal).
5 GESTÃO DE DOCUMENTOS
Esta Política deve ser analisada pelo Departamento Jurídico pelo menos 1 vez ao ano, ou a qualquer momento, para verificar a necessidade de atualização, e, ou, revisão.