Política Geral de Privacidade e Proteção de Dados Pessoais
1. OBJETIVO
Este documento tem como objetivo orientar e disciplinar as regras de proteção de dados pessoais aplicáveis no Grupo Voyzer. Para tanto, essa Política estabelece diretrizes ao tratamento de dados pessoais que devem ser seguidas por todos os membros da organização, estimulando, com isso, o uso das melhores práticas de proteção de dados para cumprimento das legislações aplicáveis à matéria.
2. DEFINIÇÕES
Para efeito desta Política Geral de Privacidade e Proteção de Dados, se entende:
TERMO | DEFINIÇÃO | |
| LGPD | Lei Geral de Proteção de Dados e sua regulamentação. | |
| Dado Pessoal | Informação relacionada a uma pessoa natural identificada ou identificável, isto é, dados que permitem identificar, ainda que indiretamente, a pessoa a qual eles pertencem. | |
| Dado Pessoal Sensível | Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. | |
| Controlador | Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. | |
| Operador | Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador. | |
| Titular do Dado | Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. | |
| Encarregado | Pessoa indicada pelo Controlador, que atua como canal de comunicação entre o Controlador, os Titulares e a Autoridade Nacional de Proteção de Dados (ANPD). | |
| Autoridade Nacional de Proteção de Dados | Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. | |
| Operação de Tratamento de Dados | Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; | |
| Relatório de Impacto à Proteção de Dados | Documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem; como medidas, salvaguardas e mecanismos de mitigação de risco. | |
| Consentimento | Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. | |
| Bases Legais | Fundamentação legal que torna legítimo o tratamento de dados pessoais para uma determinada finalidade prévia por parte do Grupo Voyzer. | |
| Incidente de segurança com Dados Pessoais | Violação das medidas de segurança adotadas pela empresa que resulte em vazamento de dados pessoais. | |
| Transferência Internacional de Dados | Transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro. | |
3. ÂMBITO DE APLICAÇÃO
As regras e diretrizes estabelecidas nesta Política deverão ser seguidas pela Diretoria, Colaboradores, Estagiários, Fornecedores e todos que possuam acesso a informações, serviços, sistemas e recursos do Grupo Voyzer.
4. DIRETRIZES
4.1 PRINCÍPIOS DE PRIVACIDADE E PROTEÇÃO DE DADOS
Todas as operações de tratamento de dados pessoais realizadas pelo Grupo Voyzer deverão se basear nos seguintes princípios:
PRINCÍPIO | DEFINIÇÃO | |
| Finalidade | O Grupo Voyzer realizará o tratamento de dados pessoais apenas para propósitos legítimos, específicos, explícitos e informados ao titular de dados pessoais, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; | |
| Adequação | O Grupo Voyzer realizará o tratamento de dados pessoais de forma compatível com as finalidades informadas ao titular de dados, e de acordo com o contexto do tratamento; | |
| Necessidade | O tratamento de dados pessoais realizado pelo Grupo Voyzer será limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento; | |
| Livre Acesso | O Grupo Voyzer garantirá aos titulares de dados pessoais a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados; | |
| Qualidade dos Dados | O Grupo Voyzer garantirá, aos titulares de dados pessoais, a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; | |
| Transparência | O Grupo Voyzer garantirá, aos titulares de dados pessoais, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento de dados pessoais, observados os segredos comercial e industrial; | |
| Segurança | O Grupo Voyzer utilizará medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; | |
| Prevenção | O Grupo Voyzer adotará medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; | |
| Não Discriminação | O Grupo Voyzer garantirá a impossibilidade de realização do tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos; | |
| Responsabilização e Prestação de Contas | O Grupo Voyzer se compromete a demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, e a eficácia dessas medidas. | |
4.2 FINALIDADE DO TRATAMENTO
Todo tratamento de dados pessoais deverá ter uma finalidade legítima e específica, tendo como suporte uma das hipóteses autorizativas (bases legais) da LGPD, sendo vedado o tratamento de dado pessoal para finalidade diversa daquela informada ao seu titular.
Os dados pessoais dos Colaboradores, Estagiários e Fornecedores do Grupo Voyzer serão utilizados para dar suporte às operações da empresa e para administrar programas de remuneração, benefícios, recursos humanos ou, ainda, quando for necessário para cumprimento de obrigações legais. Excepcionalmente, será necessária a obtenção de consentimento dos referidos titulares nos casos em que a finalidade for diferente das descritas nesta política.
4.3. CICLO DE VIDA DOS DADOS PESSOAIS
As diretrizes do tratamento de dados pessoais e de sua retenção devem observar o Ciclo de Vida do tratamento de dados pessoais, conforme se expõe abaixo:
Com o atingimento da finalidade do tratamento, os dados pessoais devem ser excluídos ou anonimizados, exceto se houver obrigação legal ou regulatória para retenção. No entanto, antes da exclusão dos dados, é importante apurar se estes dados serão necessários para outro tratamento. Nessas situações, é necessário observar os prazos de retenção previstos na Política de Guarda dos Dados Pessoais.
4.4. HIPÓTESES LEGAIS AUTORIZATIVAS PARA O TRATAMENTO DE DADOS PESSOAIS
Todas as operações de tratamento de dados pessoais do Grupo Voyzer terão uma base legal que legitime a sua realização, com estipulação da finalidade e designação dos responsáveis pelo tratamento.
Dessa forma, o tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
BASE LEGAL | DADO PESSOAL COMUM | DADO PESSOAL SENSÍVEL |
| Consentimento | X | X |
| Obrigação Legal | X | X |
| Execução de políticas públicas | X | X |
| Estudo por órgão de pesquisa | X | X |
| Execução de contrato | X |
|
| Exercício regular do direito em processo judicial/adm/arbitral | X | X |
| Proteção da vida | X | X |
| Tutela da saúde | X | X |
| Legítimo Interesse | X |
|
| Proteção ao crédito | X |
|
| Prevenção à fraude e à segurança do titular em processos de identificação e autenticação de cadastro |
| X |
4.5. RELAÇÃO COM TERCEIROS
Todos os contratos com terceiros deverão conter cláusulas referentes à proteção de dados pessoais, estabelecendo deveres e obrigações quanto à matéria. Além disso, deve-se realizar visitas técnicas, quando necessário, com o objetivo de validar o nível de conformidade da empresa/pessoa contratada em relação à proteção de dados pessoais.
O Grupo Voyzer, antes de concretizar a contratação de terceiros, deverá exigir que os envolvidos:
- Tenham realizado o mapeamento de todas as suas operações de tratamento de dados, garantindo que nenhum dado pessoal seja tratado sem o devido enquadramento em uma das bases legais previstas nos artigos 7º ou 11º da LGPD.
- Tenham meios aptos a recepcionar e atender, de forma adequada, requisições dos titulares de dados pessoais;
- Adotem as melhores práticas para garantir a segurança dos dados pessoais tratados;
- Tenham nomeado um Encarregado;
- Tenham Plano de Resposta a Incidentes relacionados a dados pessoais.
Por fim, deve-se dar preferência na contratação de terceiro que apresente maior grau de conformidade no que se refere à proteção de dados, sem prejuízo do exame dos demais indicadores comerciais.
4.6. TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES
Os dados pessoais de crianças e adolescentes deverão ser tratados com segurança especial, sempre no seu melhor interesse. Nos tratamentos de dados pessoais de criança, com exceção dos tratamentos em decorrência de obrigação legal ou regulatória, será necessária obtenção do consentimento expresso do responsável, sendo devida a indicação da finalidade específica do tratamento.
4.7. SEGURANÇA DA INFORMAÇÃO
O Grupo Voyzer deve constantemente buscar a adoção das melhores práticas em tecnologia e segurança da informação, visando garantir a segurança dos dados pessoais, incluindo medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda e alteração.
4.8. ATENDIMENTO AOS DIREITOS DO TITULAR DE DADOS
O Titular de Dados poderá exercer os seguintes direitos previstos na LGPD:
- Confirmação da existência do tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Portabilidade dos dados a outro fornecedor de serviço ou produto, de acordo com a regulamentação da ANPD, resguardados os segredos comerciais do Grupo Voyzer;
- Direito de garantia à disponibilidade, à autenticidade, à integridade e à confidencialidade dos dados;
- Limitação/oposição ao tratamento de dados;
- Eliminação dos dados pessoais tratados com o seu consentimento, exceto nas hipóteses de guarda legal e outras dispostas na Lei;
- Informação sobre as Entidades Públicas e Privadas com as quais o Grupo Voyzer realizou uso compartilhado de dados.
As requisições dos titulares de dados serão atendidas de acordo com o fluxo e orientações estabelecidos na Política de Atendimento aos Direitos dos Titulares da Dados.
4.9. TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
Excepcionalmente, os dados pessoais tratados poderão ser transferidos para fora do território brasileiro. Quando isso acontecer, a transferência deve observar as regras previstas no artigo 33 da LGPD.
4.10. TREINAMENTO
Os destinatários desta Política se comprometem a participar de treinamentos, encontros e capacitações oferecidos pelo Grupo Voyzer para a ampliação da cultura de proteção de dados pessoais na organização.
4.11. RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS
As operações de tratamento de dados que possam acarretar riscos às liberdades civis e aos direitos fundamentais deverão ser precedidas do Relatório de Impacto à proteção de dados para que sejam avaliados os riscos inerentes à operação e as medidas que deverão ser adotadas para mitigá-los.
O Relatório de Impacto à Proteção de Dados deverá conter:
- Dados pessoais tratados;
- Metodologia utilizada para a coleta;
- Metodologia utilizada para garantir a segurança das informações;
- Análise do Controlador em relação as medidas, salvaguardas e mecanismos de mitigação de riscos adotados.
Nos casos em que a base legal utilizada para justificar a operação de tratamento de dados pessoais for o legítimo interesse do controlador, deve ser realizada a Avaliação do Legítimo Interesse e, posteriormente, realizado o Relatório de Impacto à Proteção de Dados.
4.12. INCIDENTES DE SEGURANÇA COM DADOS PESSOAIS
Será adotado procedimento de identificação e avaliação de incidentes de segurança com dados pessoais, sendo este procedimento para integrante da Política de Gestão de Incidentes.
Em caso de ocorrência de incidente de segurança com dados pessoais, o Grupo Voyzer deverá avaliar se o evento pode gerar risco ou dano relevante aos titulares. Em caso afirmativo, o Grupo Voyzer deverá comunicar o incidente à Autoridade Nacional de Proteção de Dados (ANPD) e os titulares de dados envolvidos.
4.13. ENCARREGADO DE DADOS
O serviço de Encarregado de Dados do Grupo Voyzer é prestado pela Biolchi Empresarial, conforme informado no Aviso de Privacidade disponibilizado no Site do Grupo Voyzer.
Ao Encarregado de Dados incumbe:
- Receber requisições, reclamações e comunicações dos titulares de dados pessoais, direcionando para os setores internos do Grupo Voyzer;
- Ser o canal de comunicação entre o Grupo Voyzer e as autoridades fiscalizatórias, como, por exemplo, a Autoridade Nacional de Proteção de Dados (ANPD);
- Coordenar a elaboração de Relatórios de Impacto à Proteção de Dados para verificar o risco no uso de dados pessoais e a conformidade da empresa, especialmente no desenvolvimento de novos produtos e serviços;
- Orientar e treinar os colaboradores da empresa a respeito das melhores práticas de proteção de dados pessoais;
- Coordenar as medidas de resposta a incidentes relacionados a dados pessoais, incluindo a notificação às autoridades e aos titulares de dados;
- Acompanhar o processo de desenvolvimento de novos produtos e serviços para que seja assegurado o padrão Privacy by Design.
5. DISPOSIÇÕES FINAIS
O Grupo Voyzer assume o compromisso de revisar a presente Política periodicamente e, a seu critério, promover modificações que atualizem suas disposições, de modo a reforçar o compromisso permanente da organização com a privacidade e proteção de dados pessoais, sendo comunicada oportunamente todas as alterações realizadas.