POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS E PRIVACIDADE
1. Definições
1.1 Para a presente Política, aplicam-se as seguintes definições:
Agentes de tratamento: o controlador e o operador;
ANPD – Autoridade Nacional de Proteção de Dados – órgão integrante da administração pública direta federal que possui como atribuições tratar do tema de proteção de dados no Brasil, bem como realizar a fiscalização do cumprimento da Lei Geral de Proteção de Dados.
Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico; titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento; controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa.
DPO/Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
Legislação temática de referência: Lei Geral de Proteção de Dados (“LGPD”) no Brasil nº 13.709/2018; Marco Civil da Internet nº 12.965/2014, Código Civil, Código de Defesa do Consumidor, Constituição Federal, General Data Protection Regulation (“GDPR”) e demais legislações aplicáveis ao tema de proteção de dados pessoais e privacidade.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Uso compartilhado de dados ou compartilhamento de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
2. Objetivo
A presente Política possui como principal objetivo estabelecer diretrizes para estruturar um sistema normativo e de práticas de Proteção de Dados Pessoais e de Dados Pessoais Sensíveis, visando garantir a privacidade e proteção dos dados dos titulares de dados pessoais que sejam objeto de tratamento e armazenamento pela P4.
A P4 adota como premissa o atendimento às disposições das legislações temáticas de referência, incluindo, mas não se limitando à LGPD- Lei Geral de Proteção de Dados (Lei 13.709/2018), sempre pautada no princípio da boa-fé.
A P4, via de regra, não realiza o tratamento de Dados Pessoais Sensíveis, considerando o escopo e natureza de seu objeto social. Se em qualquer momento, o tratamento de Dados Sensíveis for uma hipótese, a P4 adotará as regras e medidas necessárias aptas a proteger esta categoria de dado pessoal, respeitando as regras e princípios previstos na LGPD e legislação temática aplicável.
3. Abrangência
Na condução de suas atividades empresariais, a P4 pode realizar operações de tratamento de dados. Desta forma, poderá ser caracterizada ora como Controladora de Dados Pessoais, ora como Operadora de Dados Pessoais, como Controladora e Operadora de Dados Pessoais ou como Co-Controladora de Dados Pessoais, de acordo com as definições da LGPD, reforçando, o seu compromisso com o cumprimento das regras de privacidade e proteção de dados pessoais e atendendo aos princípios constantes na legislação temática aplicável. Adicionalmente, quando do tratamento de dados pessoais, a P4 busca o melhor interesse dos titulares dos dados pessoais, assim como respeita os direitos dos titulares de dados pessoais.
Esta Política deverá ser analisada e interpretada de forma coordenada e harmônica com as demais Políticas da P4, que integram o rol de normativos, sistemas, controles e compliance adotados pela P4 e que compõem a estrutura organizacional única de governança com relação aos aspectos de proteção de dados e privacidade.
4. Da Proteção de Dados Pessoais
A coleta e o tratamento de Dados Pessoais pela P4 são realizados sempre com o devido respaldo legal, considerando uma das hipóteses legais de tratamento, previstas na LGPD, incluindo, mas não se limitando (i) a execução de um contrato ou de procedimentos preliminares, o cumprimento de uma obrigação legal ou regulatória à qual está sujeita ou de acordo com seu interesse legítimo, sem prejuízo das demais hipóteses legais que permitem a realização do tratamento de Dados Pessoais.
A P4 quando do tratamento de Dados Pessoais reforça o seu compromisso em atender às disposições legais, em especial aos princípios constantes a seguir:
FINALIDADE: o tratamento de dados pessoais será realizado apenas para propósitos legítimos, específicos, explícitos e informados ao titular de dados pessoais, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
ADEQUAÇÃO: o tratamento de dados pessoais será realizado de forma compatível com as finalidades informadas ao titular de dados, e de acordo com o contexto do tratamento;
NECESSIDADE: o tratamento de dados pessoais será realizado limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento;
LIVRE ACESSO: resta garantido aos titulares de dados pessoais a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados;
QUALIDADE DOS DADOS: resta garantido aos titulares de dados pessoais, a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
TRANSPARÊNCIA: resta garantido aos titulares de dados pessoais, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento de dados pessoais, observados os segredos comercial e industrial;
SEGURANÇA: A P4 envida todos os esforços e utiliza as medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
PREVENÇÃO: A P4 adota as medidas adequadas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
NÃO DISCRIMINAÇÃO: A P4 envida todos os esforços para impedir a realização do tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos;
RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: A P4 se compromete a demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e a eficácia dessas medidas.
Todas as operações de tratamento de Dados Pessoais no âmbito das atividades da P4, observarão a hipótese legal concernente que legitime a sua realização, com estipulação da finalidade e designação dos responsáveis pelo tratamento.
A P4 possui como compromisso a avaliação periódica das finalidades de suas operações de coleta e tratamento de Dados Pessoais, considerando o contexto em que estas operações se inserem, os riscos e benefícios que podem ser gerados ao titular de dados pessoais, e o legítimo interesse da P4.
A realização de tratamento de dados pessoais é efetivada pela P4 sempre em observância às disposições legais aplicáveis e ao princípio da boa-fé, considerando-se também as hipóteses a seguir, quando aplicáveis a cada caso concreto:
(i) Mediante o fornecimento de consentimento pelo titular de dados pessoais;
(ii) Para o cumprimento de obrigação legal ou regulatória;
(iii) Para a realização de estudos por órgão de pesquisa;
(iv) Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular de dados pessoais;
(v) Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
(vi) Para a proteção da vida ou da incolumidade física do titular de dados pessoais ou de terceiros;
(vii) Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
(viii) Quando necessário para atender aos interesses legítimos da P4 ou de terceiros;
(ix) Quando aplicável, para a proteção do crédito.
A P4 mantém os Dados Pessoais pelo tempo necessário para as finalidades para as quais são tratados ou até a respectiva solicitação de exclusão, a qual será prontamente atendida, nos termos solicitados, desde que se tenha o necessário conjunto técnico para exclusão e, ainda, não infrinja quaisquer preceitos legais ou ordens judiciais, bem como sejam necessários para resolver disputas, manter a segurança, evitar fraudes e abuso e garantir o cumprimento de contratos.
A P4 envida todos os esforços para manter os registros das operações de tratamento de dados pessoais, que poderão ser consultados, pela Autoridade
Nacional de Proteção de Dados – ANPD, sempre com o necessário resguardado dos direitos dos titulares destes dados pessoais.
5. Dos Dados Sensíveis e dos Dados de Crianças e Adolescentes
A P4 dentre suas operações, não realiza, via de regra, tratamento de Dados Sensíveis ou de Dados de Crianças e Adolescentes. Porém, entende que o tratamento de Dados Pessoais Sensíveis e de Dados de Crianças e Adolescentes, exigem cuidados especiais, e por tal motivo, firma o compromisso de resguardo e cuidados frente ao tratamento destes Dados.
Este compromisso incorpora os Dados Pessoais Sensíveis, bem como os Dados Pessoais de crianças e adolescentes (quando aplicável), que, quando coletados e tratados, não só utilizarão o mesmo nível de cuidado exigido e oferecido aos dados pessoais sensíveis, como também se sujeitarão às disposições próprias estabelecidas na LGPD, e outras normas específicas aplicáveis (no caso de dados de crianças e adolescentes destaca-se o ECA- Estatuto da Criança e do Adolescente), além das presentes disposições.
As coletas e operações de tratamento de Dados Pessoais Sensíveis, incluindo Dados Pessoais de Crianças e Adolescentes quando aplicável, obedecerão às disposições do artigo 11 da LGPD e do artigo 14 da mencionada legislação, observando-se as seguintes hipóteses:
(i) Quando o titular de dados pessoais ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
(ii) Sem fornecimento de consentimento do titular de dados pessoais, nos casos em que o tratamento for indispensável para o cumprimento de obrigação legal ou regulatória;
(iii) Realização de estudos garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
(iv) Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
(v) Garantia da prevenção à fraude e à segurança do titular de dados pessoais, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
Os Dados Pessoais somente serão arquivados pelo tempo necessário para as finalidades para as quais são tratados, sempre nos limites previstos na legislação temática aplicável, observadas as condições inseridas nas Políticas da P4, incluindo a sua Política de Retenção.
6. Do Compartilhamento De Dados Pessoais
A P4, adota como premissa, efetivar o compartilhamento de Dados Pessoais, somente mediante a finalidade específica, nos termos da legislação temática de referência.
A P4 também poderá compartilhar Dados Pessoais com terceiros, onde se inclui órgãos públicos, parceiros, prestadores de serviços ou clientes, a depender da natureza do compartilhamento, sua finalidade especifica, observando-se sempre a legislação temática de referência, a razoabilidade e proporcionalidade, além da avaliação do nível de segurança da informação, guiado por aplicação de relatórios de maturidade destes parceiros, prestadores de serviços ou fornecedores, com as cautelas necessárias para se evitar incidentes de segurança que possam colocar em risco o titular dos dados pessoais .
Dentro deste contexto, inserem-se comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais com entes públicos ou privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
A P4, quando realizar qualquer compartilhamento de Dados Pessoais envidará todos os esforços para efetuar previamente a classificação e categorização do conjunto de informações e dados que serão objeto de possível compartilhamento, enquadrando-os nas categorias específicas, em razão de sua natureza.
A categorização visa separar os compartilhamentos em grupos restritos e específicos, considerando-se a sua natureza, tais como dados pessoais, dados sensíveis, dados de crianças e adolescentes, dados anonimizados, dados pseudonimizados, entre outros.
Desta forma, ao classificá-lo, poderá detectar as necessidades concernentes ao grupo classificado e tomar as providências assecuratórias, na forma disciplinada pela legislação temática de referência e, após efetivada esta verificação, analisará as condições especificas e autorizações de uso, aplicáveis a cada caso, a depender de sua natureza, sempre resguardada a finalidade e a adequação.
A P4 buscará junto aos seus fornecedores, prestadores de serviços ou clientes com quem poderá realizar qualquer compartilhamento de Dados Pessoais, a confirmação de que estes possuam as necessárias regularidades, nos termos preconizados pela LGPD, bem como a adoção das políticas, procedimentos e medidas técnicas aptas a proteger os Dados Pessoais, podendo inclusive solicitar o preenchimento de relatórios de maturidade.
7. Da Transferência Internacional de Dados Pessoais
A P4 desenvolveu a sua política protetiva relacionada à transferência de dados pessoais, com base na legislação temática de referência, lastreada principalmente nas disposições contida nos artigos 33 e seguintes da LGPD, conjugadas comas normas do Regulamento Geral de Proteção de Dados Europeu relativas a proteção das pessoas físicas, no que concerne ao tratamento de seus dados pessoais e a livre circulação dos mesmos, vinculando os órgãos sociais da P4, bem como agentes de tratamento de dados, internos e externos e submetendo, no que for concernente, os parceiros comerciais independente da natureza da relação.
Esta política adota como critério objetivo, o fato de que a transferência internacional de Dados Pessoais, tratados pela P4 somente será permitida e autorizada, observados os seguintes condicionantes:
I – A transmissão somente será viável para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD brasileira, cabendo ao controlador, previamente observar e comprovar a existência de garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei, na forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
II- Quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou
III – Quando a transferência internacional de Dados Pessoais, for necessária para atender ao cumprimento de obrigação legal ou regulatória pelo controlador; quando for necessária para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular dos dados e, ainda, a pedido do titular dos dados ou para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
Para a finalidade de transferência internacional de Dados Pessoais, quando verificada a sua conveniência e oportunidade e o preenchimento de requisitos, a P4 sempre definirá previamente o conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, observadas as disposições desta Política e o conteúdo normativo específico da LGPD e demais legislações temáticas aplicáveis.
8. Dos Direitos dos Titulares dos Dados Pessoais
A P4, quando do tratamento de Dados Pessoais, reforça o seu compromisso com a transparência e boa-fé, assim como respeita os direitos dos titulares de dados pessoais, na LGPD, que incluem:
– DIREITO À CONFIRMAÇÃO DA EXISTÊNCIA DO TRATAMENTO: o titular de dados pessoais pode questionar, junto à P4 a realização de operações de tratamento relativos aos seus dados pessoais;
– DIREITO DE ACESSO: o titular de dados pessoais pode solicitar e receber uma cópia de todos os dados pessoais coletados e armazenados, respeitados os prazos previstos nas Políticas especificas da P4 que tratam dos direitos dos titulares (DSAR´s);
– DIREITO DE CORREÇÃO: o titular de dados pessoais pode requisitar a correção de dados pessoais que estejam incompletos, inexatos ou desatualizados, mediante solicitação conforme estabelecido nesta Política;
– DIREITO DE ELIMINAÇÃO: o titular de dados pessoais pode requisitar a exclusão de seus dados pessoais, salvo se houver um motivo legítimo para a sua manutenção, como eventual obrigação legal de retenção de dados ou cumprimento de contratos, considerando os mecanismos empreendidos pela P4 para a exclusão ou eliminação dos dados pessoais;
– DIREITO DE SOLICITAR A SUSPENSÃO DE TRATAMENTO ILÍCITO DE DADOS PESSOAIS: a qualquer momento, o titular de dados pessoais poderá requisitar a anonimização, bloqueio ou eliminação de seus dados pessoais que tenham sido reconhecidos por autoridade competente como desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD, sempre preservando-se os interesses legítimos da P4 e os direitos dos titulares.
– DIREITO DE OPOSIÇÃO A UM TRATAMENTO DE DADOS PESSOAIS: o titular de dados pessoais poderá apresentar uma oposição, que será analisada a partir dos critérios presentes na LGPD e de acordo com as diretrizes internas da P4;
– DIREITO À PORTABILIDADE DOS DADOS: o titular de dados pessoais poderá solicitar que seus dados pessoais sejam disponibilizados a outro fornecedor de serviço ou produto, respeitados o segredo comercial e industrial da Instituição, bem como os limites técnicos e legais ou contratuais para a ocorrência de tal portabilidade.
– DIREITO À REVOGAÇÃO DO CONSENTIMENTO: o titular de dados pessoais tem o direito de revogar o seu consentimento, devendo o titular possuir conhecimento de que a revogação do seu consentimento poderá alterar suas condições de acesso a determinado produto ou serviço, de acordo com as Políticas da P4.
9. Da Segurança da Informação
As normas de segurança da informação e prevenção contra incidentes de dados pessoais, estão contidas na Política de Segurança da Informação da P4 e demais políticas editadas pela P4 que de forma harmônica se complementam.
A P4 reforça seu compromisso em manter os melhores padrões de segurança e armazenamento de Dados Pessoais, considerando a melhor técnica disponível no momento do tratamento dos Dados Pessoais que realizar.
Todos os Dados Pessoais e Dados Sensíveis serão armazenados na base de dados da P4 ou em base de dados de terceiros contratados, os quais assinam Contrato contendo cláusula específica de proteção de dados pessoais, privacidade e, inclusive quanto aos requisitos mínimos de segurança necessários.
A P4 realiza a análise de maturidade de seus fornecedores contratados, e exige as evidências de segurança necessárias, incluindo, exigindo a utilização de Ferramentas antimalware, filtro antispam, antiphishing, dupla verificação de e-mails e o uso de Firewall, além de Check List de preenchimento obrigatório que contém os requisitos mínimos de segurança aceitos pela P4.
A P4 realiza constantes monitoramentos a fim de identificar possíveis riscos à segurança da informação e, com base nos seus resultados, implanta as melhores ferramentas de controle visando mitigar riscos de quaisquer violações, todavia, em se tratando de ambiente digital, não se está imune a eventuais contratempos.
A P4 adota os procedimentos para lidar com quaisquer suspeitas de violação de segurança de dados e realizará notificações em qualquer hipótese de incidente com dados pessoais, assim como cumprirá as disposições legais aplicáveis, em especial no que se refere à comunicação à Autoridade Nacional de Proteção de Dados. Neste sentido, a P4 ainda observará as normas e políticas internas que tratem dos procedimentos de segurança, risco e controle das medidas aplicáveis em caso de incidentes.
10. Contato com o DPO e Premissa para exercício de direitos de titulares de dados pessoais (DSAR´s).
Contato com o DPO
Fica estabelecido, que todas as comunicações a serem realizadas pelos titulares de dados pessoais, deverão ser encaminhadas para o endereço eletrônico dpo@p4itf.com
Premissa para exercício de direitos de titulares de dados pessoais (DSAR´s).
Destaca-se que após o recebimento de solicitação de um titular de dados pessoais, o DPO, atenderá ao disposto na Política de Requisição de Direitos do Titular da P4 e registrará e analisará a solicitação, seguindo, ao menos, as seguintes premissas:
(I) verificação de identidade do titular dos dados pessoais
(ii) solicitações e Prazo de Atendimento das Solicitações
(iii) revisão da Informação
(iv) resposta e prazos de atendimento à solicitações
