1. OBJETIVO
Esta Política tem o objetivo de assegurar que os Colaboradores e Terceiros (conforme abaixo definidos), do Grupo Adriano Cobuccio [“Grupo Adriano”] observem e cumpram os requisitos da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, conforme alterada, a “LGPD” ou “Lei de Proteção de Dados”), para que durante a condução dos negócios em nome do Grupo Adriano seja garantida a conformidade com a legislação de proteção de dados pessoais.
2. ABRANGÊNCIA
Esta Política é aplicável a todas as empresas integrantes do Grupo Adriano, para os fins da legislação de privacidade e de proteção de dados em vigor, em especial, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, conforme alterada, doravante denominada “LGPD”), demonstrando que o Grupo Adriano preza pelo cuidado com os seus dados pessoais e está comprometido a tratá-los de forma segura e responsável, no exercício de suas atividades.
3. DEFINIÇÕES E TERMINOLOGIAS
Sem prejuízo das definições atribuídas no âmbito da LGPD, para os fins desta Política os termos definidos terão os seguintes significados:
• COMUNICADO DE PRIVACIDADE: documento voltado a transparecer aos Titulares informações relativas ao tratamento de seus Dados Pessoais.
• CONSENTIMENTO: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
• CONTROLADOR: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
• DADO PESSOAL: informação relacionada a pessoa natural identificada ou identificável.
• OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador
• TERCEIROS: refere–se a todo e qualquer prestador de serviços, fornecedor, consultor, parceiro de negócio, terceiro contratado ou subcontratado, seja pessoa física ou jurídica, independentemente de contrato formal ou não, que atua por conta e ordem do Grupo Adriano ou que presta serviços ou fornece materiais com tratamento de dados pessoais.
• TITULAR DE DADOS: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
• TRATAMENTO: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
4. DESCRIÇÃO
4.1. Diretrizes Gerais
O conteúdo desta Política é de propriedade do Grupo Adriano, sendo destinado para uso interno e está disponível na intranet da empresa. Para garantir que seja considerada a versão mais atualizada, não é recomendado que este documento seja reproduzido, armazenado ou transmitido, em qualquer formato ou por quaisquer meios, sejam eletrônicos ou físicos.
O Grupo Adriano define, através desta Política, como os Dados Pessoais devem ser coletados, manipulados, armazenados, divulgados e, de qualquer outra forma, tratados para atender aos padrões de proteção de dados pessoais e cumprir a legislação aplicável.
4.2. Princípios de Proteção de Dados Pessoais
É responsabilidade de todo e qualquer Colaborador e/ou Terceiro do Grupo Adriano a observância dos princípios abaixo:
a) Boa-Fé. Os Dados Pessoais devem ser objeto de Tratamento de maneira justa, transparente e legal. O Empregado e/ou Terceiro não deve tratar os Dados Pessoais de um Titular, a menos que tenha um motivo legítimo para fazê-lo.
b) Finalidade e Adequação. O Tratamento de Dados Pessoais deve ser conduzido para propósitos legítimos, específicos, explícitos e informados ao Titular. Os Dados Pessoais não devem ser objeto de Tratamento de maneira incompatível com as finalidades informadas ao Titular.
c) Livre acesso. Os Titulares terão direito à consulta facilitada e gratuita sobre a forma e duração do Tratamento, bem como sobre a integridade de seus Dados Pessoais.
d) Não discriminação. Os Dados Pessoais não poderão ser utilizados para quaisquer finalidades discriminatórias, ilícitas ou abusivas.
e) Necessidade. O Tratamento de Dados Pessoais deve ser adequado, relevante e limitado aos dados necessários para suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às suas finalidades no seu Tratamento.
f) Qualidade dos dados. Aos Titulares devem ser garantidas a exatidão, clareza, relevância e atualização dos seus Dados Pessoais em Tratamento pela Empresa, seus Empregados e/ou Terceiros, de acordo com a sua necessidade e para o cumprimento da finalidade de seu Tratamento. Quaisquer Dados Pessoais incorretos identificados durante o processo de Tratamento devem ser retificados o mais rápido possível.
g) Responsabilização e prestação de contas. A Empresa, seus Empregados e quaisquer Terceiros são responsáveis por demonstrar sua conformidade com esta Política. A Empresa deve assegurar a adoção de medidas eficazes para fins de observância e cumprimento da LGPD.
h) Retenção de dados. Os Dados Pessoais não devem ser mantidos por mais tempo do que o necessário, à luz do propósito (ou propósitos) legal para o qual são processados e de acordo com os períodos e princípios internos de retenção aplicáveis.
i) Segurança e prevenção. Os Dados Pessoais devem ser protegidos contra o Tratamento não autorizado ou ilegal e de situações acidentais a fim de prevenir a ocorrência de incidentes de segurança envolvendo Dados Pessoais.
j) Transferências internacionais de dados. Quaisquer eventuais transferências internacionais de Dados Pessoais deverão observar os limites e procedimentos estabelecidos na LGPD, nesta Política e demais normativos internos aplicáveis.
k) Transparência. Os Titulares terão assegurado o direito de obter informações claras, precisas e acessíveis sobre o Tratamento de seus Dados Pessoais e os respectivos agentes de Tratamento, observados os segredos comercial e industrial.
4.3. Bases Legais
De acordo com a LGPD, as bases legais que utilizamos para o tratamento dos dados pessoais são:
a) Cumprimento de obrigação legal ou regulatória – Existência de lei, norma, decisão judicial ou regulação vigente, pelo qual o Tratamento se torna necessário.
Exemplos: fechamento e validação da folha de pagamento; administração de ponto eletrônico; atendimento de eventuais solicitações de órgãos reguladores e/ou autoridades administrativas, bloqueio judicial de contas bancárias determinado por ordem judicial; envio de dados ao E-Social; tratamento de indícios de lavagem de dinheiro, atendimento de solicitações de informação relacionada a operações ilícitas (lavagem de dinheiro, corrupção, etc.).
b) Execução de contrato ou procedimentos preliminares ao contrato – Quando necessário o Tratamento para a execução de contrato ou de procedimentos preliminares relacionados a um contrato, do qual o Titular de Dados seja parte.
Exemplos: contratação de novos funcionários; gestão financeira de pagamentos; gestão dos benefícios aos Colaboradores, contratação de fornecedores, contratação de consultoria jurídica, configuração de regras de permissões de acesso entre os sistemas internos do Grupo Adriano.
c) Exercício regular de direito, inclusive em contratos, em processo judicial, administrativo ou arbitral, em trâmite ou futuro.
Exemplos: gestão jurídica de processos judiciais, extrajudiciais e consultorias; documentos de comprovação para obtenção de benefícios fiscais; análise de perfil de riscos à lavagem de dinheiro (processo conheça seu colaborador).
d) Legítimo interesse – Para garantir a continuidade das atividades econômicas e operações do Grupo Adriano, desde que o Titular tenha expectativa quanto à atividade de Tratamento dos seus Dados Pessoais.
Exemplos: gestão de treinamentos corporativos; avaliação de performance dos funcionários.
e) Consentimento – Sem prejuízo das hipóteses acima, o Tratamento de Dados Pessoais poderá ainda ocorrer caso o Titular de Dados dê o seu consentimento livre e inequívoco ao Grupo Adriano e/ou Terceiros contratados para realização de Tratamento de seus Dados Pessoais (parágrafo a seguir para maiores detalhes).
Exemplo: recrutamento e seleção de candidatos; para fins de marketing e comunicação com clientes.
O Consentimento pode ser utilizado para fundamentar qualquer atividade de Tratamento, desde que seja livre, informado e inequívoco. Para que um Consentimento seja válido nos termos da LGPD, ele deve atender a cada um dos seguintes critérios:
a) deve ser específico para uma finalidade pretendida pelo Grupo Adriano;
b) ao prestar o seu consentimento, o Titular de Dados deve ter sido devidamente informado sobre as atividades de tratamento com detalhes suficientes para entender com o que está consentindo;
c) deve ser prestado livremente pelo Titular de Dados;
d) não pode ser vinculado à ocorrência de quaisquer outras condicionantes (por exemplo: a celebração de um contrato não pode estar condicionada ao consentimento do Titular de Dados);
e) deve ser dado por meio de uma declaração inequívoca, clara, expressa e ativa do Titular de Dados.
Os registros de consentimentos são retidos pelo Grupo Adriano para comprovar a respectiva autorização. Além disso, o Titular de Dados tem o direito de retirar seu consentimento a qualquer momento e essa revogação deve ser de fácil acesso.
Sem prejuízo dos exemplos acima listados para as bases legais, em caso de quaisquer dúvidas para identificação das finalidades específicas, o Empregado e/ou Terceiro deverá entrar em contato com o Encarregado ou com o Comitê para obter orientação sobre a realização das atividades de Tratamento propostas.
4.4. Atividades de Tratamento de Dados Pessoais de Alto Risco
Caso o Tratamento de Dados Pessoais represente um “alto risco” para o Titular de Dados, o Grupo Adriano providenciará um relatório de avaliação do impacto potencial à proteção de Dados Pessoais. Assim, caso se depare com um caso que pode representar alto risco, busque orientações com o Encarregado.
São exemplos de Tratamento de “alto risco”, (i) o monitoramento ou criação de perfil dos Titulares de Dados; ou (ii) o Tratamento de Dados Pessoais Sensíveis em larga escala.
4.5. Tratamento de Dados Pessoais de Titulares Menores
A LGPD estabelece excepcionalidades para os casos de tratamento de Dados Pessoais cujos Titulares de Dados sejam menores de idade, em decorrência da vulnerabilidade dos mesmos. Nesses casos, o Tratamento deverá ser conduzido:
a) visando o melhor interesse de tais indivíduos, ou seja, com a finalidade de beneficiá-los, ainda que de forma indireta; e
b) de forma transparente, de modo que informações destinadas a este público deverão ser prestadas de maneira simples, clara e acessível, consideradas as condições físico-motoras, perceptivas, sensoriais, intelectuais e mentais dos destinatários, com o uso de recursos audiovisuais, quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento do menor de idade.
Não obstante o cumprimento dos requisitos acima, o tratamento de Dados Pessoais cujos Titulares de Dados sejam menores de idade, necessitará da prévia coleta do consentimento específico e em destaque, de pelo menos um dos pais ou responsável legal.
4.6. Informação de Processamento Justo
Nos termos da LGPD, quaisquer formulários (impressos ou virtuais) que coletem dados sobre um indivíduo devem conter um Comunicado de Privacidade informando como os dados serão utilizados, incluindo: (i) a finalidade do Tratamento, (ii) o tempo de retenção, e (iii) o compartilhamento terceiros.
É importante que o Titular de Dados receba informações sobre o Tratamento de seus Dados Pessoais pelo Grupo Adriano, preferencialmente no momento em que ocorrer a coleta.
As informações fornecidas ao Titular de Dados devem incluir, ao menos, os seguintes itens:
a) a identificação e detalhes de contato do Grupo Adriano, enquanto Controlador ou Operador (se aplicável);
b) a finalidade para o qual os Dados Pessoais serão tratados;
c) o período durante o qual os Dados Pessoais serão retidos, caso seja possível fornecer um período específico;
d) uma descrição geral das medidas adotadas pelo Grupo Adriano com relação à proteção da confidencialidade e segurança dos Dados Pessoais.
4.7. Tratamento de Dados Pessoais por Terceiros
O Grupo Adriano deverá celebrar contrato contendo cláusulas de privacidade e proteção de dados sempre que um terceiro realizar Tratamento de Dados Pessoais em seu nome (Operador de Dados).
O contrato celebrado com o referido Operador de Dados deverá ser aprovado pelo Departamento Jurídico e assinado por ambas as partes antes que qualquer Dado Pessoal seja compartilhado com ou tratado pelo terceiro.
Além disso, ao contratar um terceiro, o Grupo Adriano deverá realizar a devida diligência de privacidade do fornecedor, tanto no início do relacionamento, quanto ao longo do vínculo do relacionamento contratual.
4.8. Divulgação de Dados Pessoais
O Grupo Adriano deve garantir que os Dados Pessoais não sejam divulgados a terceiros não autorizados, de modo que todos os Colaboradores deverão sempre avaliar, de acordo com os princípios mencionados nesta Política, a necessidade de compartilhamento de informações quando houver solicitação nesse sentido.
4.9. Direitos do Titular dos Dados Pessoais
A LGPD dispõe que o Titular possui direitos em relação aos seus respectivos Dados Pessoais em tratamento pelo Grupo Adriano, assim, caso um colaborador receba solicitação de exercício de algum dos direitos elencados abaixo, tal solicitação deve ser imediatamente enviada para o Encarregado ou deverá ser comunicado ao Titular de Dados Pessoais ou seu representante legal que faça a solicitação no canal adequado, passando-se as devidas orientações sobre como fazê-lo.
São direitos do Titular:
a) Confirmação da existência de tratamento – todo e qualquer Titular de Dados, sem justificativa, possui o direito de confirmar a existência de tratamento de seus dados pessoais.
b) Acesso aos dados – o Titular de Dados tem o direito de acessar e obter informações a seu respeito.
c) Correção de dados incompletos, inexatos ou desatualizados – o Titular de Dados tem o direito de manter os seus dados atualizados e de forma correta.
d) Anonimização, bloqueio ou eliminação – o Titular de Dados tem o direito de solicitar uma destas ações quando houver dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
e) Portabilidade de dados pessoais – o Titular de Dados tem o direito de obter seus dados pessoais de forma estruturada a fim de serem transmitidos a outro fornecedor de serviço ou produto (outro controlador de dados).
f) Eliminação – o Titular de Dados tem o direito de eliminar os seus dados pessoais tratados com base no consentimento, exceto quando houver obrigação legal ou regulatória que permita o tratamento, transferência a terceiro ou os dados estiverem anonimizados para uso exclusivo do controlador.
g) Informação sobre compartilhamento – o Titular de Dados tem o direito de saber com quais entidades públicas e privadas foi realizado o compartilhamento de dados pessoais.
h) Não fornecer consentimento – o Titular de Dados tem o direito de não fornecer o consentimento solicitado e ser informado sobre eventuais consequências do não fornecimento.
i) Revogação do consentimento – o Titular de Dados tem o direito de revogar o consentimento fornecido a qualquer tempo.
4.10. Prazo de retenção e descarte de Dados Pessoais
Os Dados Pessoais tratados pelo Grupo Adriano não devem ser retidos por mais tempo do que o necessário para o cumprimento de suas respectivas finalidades. Para isso, cada categoria de Dados Pessoais tratada pelo Grupo Adriano deve estar em consonância com o fluxo e a finalidade do Tratamento, sujeito a um período de retenção que possa ser justificado por referência a esses motivos legais.
Desse modo, consulte sempre a Política de Retenção de Dados do Grupo Adriano.
4.11. Proteção e Segurança dos Dados Pessoais
Durante todo o Tratamento de Dados Pessoais deverão ser utilizadas medidas técnicas e administrativas para mantê-los em segurança e evitar quaisquer acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
O Grupo Adriano deve garantir que todos os seus Colaboradores e/ou Terceiros que prestam serviços em seu nome cumpram as seguintes diretrizes:
a) os Dados Pessoais, armazenados de forma eletrônica ou física, devem ser mantidos em segurança, de acordo com a Política de Segurança da Informação do Grupo Adriano;
b) os Colaboradores e/ou Terceiros devem garantir e seguir que todos os procedimentos e tecnologias que o Grupo Adriano implementou para manter a segurança dos Dados Pessoais, desde o ponto de coleta até o ponto de destruição;
c) é essencial que, se os Dados Pessoais forem perdidos, danificados, comprometidos, extraviados ou roubados, ou processados de maneira não autorizada, isso seja relatado como um incidente de segurança da informação, e que as medidas corretivas cabíveis sejam adotadas. Qualquer suspeita ou violação de dados deve ser imediatamente relatada ao Encarregado.
4.12. Resposta a um incidente de segurança
Um incidente de segurança de Dados Pessoais pode ser compreendido como quaisquer acessos não autorizados a tais informações, situações acidentais ou ilícitas que resultem na destruição, perda, alteração, comunicação dessas, ou, ainda, qualquer forma de Tratamento desses mesmos Dados Pessoais de forma inadequada ou ilícita.
A ausência ou o atraso na resposta a um incidente de segurança não só implicam a desconformidade com a legislação, como também o tempo e a qualidade da resposta a um incidente em segurança em Dados Pessoais são critérios legais a serem considerados quando da aplicação da sanção pela autoridade competente.
Neste sentido, caso um colaborador tenha conhecimento ou suspeita de algum incidente de segurança de Dados Pessoais, inclusive em relação a terceiros, deverá, prontamente, contatar o Encarregado, conforme disposto na Política de Resposta à Violação e Incidentes.
4.13. Esclarecimentos de dúvidas
Em caso de dúvidas sobre o uso e o tratamento de dados pessoais realizados pelo Grupo Adriano, o interessado poderá enviar uma solicitação para [
[email protected]].
4.14. Informações do Encarregado para contato
Nome: Raphael Antônio de Morais Ruela
E-mail:
[email protected]
5. REFERÊNCIAS
- Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018).
