1. OBJETIVO
A Política de Privacidade e Proteção dos dados foi criada para reafirmar o compromisso do Grupo Connvert com a segurança e privacidade dos dados, estabelecer e manter padrões elevados de segurança na coleta, registro, armazenamento, uso, compartilhamento, enriquecimento e eliminação dos dados coletados, de acordo com as leis em vigor, seja por meios eletrônicos ou físicos, com fins únicos e exclusivos, para o atendimento de seus objetivos, garantindo o cumprimento a Lei Geral de Proteção de Dados (LGPD), de nº 13-709/2018 sancionada em 14/08/2018.
Na qualidade de responsável pelas atividades de tratamento dos dados pessoais, o Grupo Connvert executa e promove as medidas técnicas e organizacionais adequadas de forma lícita, leal e transparente em cumprimento aos princípios da proteção de dados pessoais.
2. APLICABILIDADE E VIGÊNCIA
A Política de Privacidade e Proteção dos dados se aplica a todos os colaboradores, fornecedores, prestadores de serviços, clientes e outros terceiros que tenham acesso aos dados pessoais.
Deve-se considerar o início da vigência no ato de sua publicação com revisão sistemática a cada ano, ou em um intervalo menor, caso haja necessidade de qualquer alteração que afete as instruções aqui descritas.
3. DEFINIÇÕES
3.1 Dados Pessoais:
Informação relacionada a uma pessoa natural identificada ou identificável, ou seja, qualquer informação que identifique ou possa identificar uma pessoa, tais como: nome, sobrenome, data de nascimento, documentos pessoais como (CPF, RG, CNH, Carteira de trabalho, Passaporte e título de eleitor), endereço residencial ou comercial, telefones, e-mail, cookies e endereços de IP.
3.2 Dado Pessoal Sensível:
É o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter 5 religioso, filosófico ou político, dado referente à vida sexual, genético ou biométrico quando vinculado a uma pessoa natural.
3.3 Tratamento de dados:
Toda operação realizada com o dado pessoal, desde a coleta, produção, recepção, classificação, utilização acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
3.4 Consentimento:
Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de dados pessoais para uma finalidade determinada.
3.5 Controlador:
Pessoa física ou jurídica que tem competência para tomar decisões referentes ao tratamento de dados pessoais coletados.
3.6 Operador:
Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento dos dados pessoais em nome do controlador.
3.7 Agentes de tratamento:
São o controlador e o operador.
3.8 Encarregado/D.P.O:
Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPDAutoridade Nacional de Proteção dos Dados.
4. PRINCÍPIOS PARA O TRATAMENTO DE DADOS
- a) Serão coletados somente dados pessoais essenciais e para fins específicos, explícitos e legítimos. Qualquer processamento subsequente deve ser compatível com tais finalidades, a menos que o Grupo Connvert tenha obtido o consentimento do titular de dados ou o processamento seja permitido por lei, oriundo de fonte segura, idônea e lícita.
- b) Os dados serão coletados, processados ou usados mediante consentimento do titular de dados, de forma clara, específica e legítima, não sendo utilizados para qualquer outro propósito.
- c) O titular será comunicado de forma clara sobre a possibilidade de tratamento dos dados, duração e os receptivos agentes de tratamento, observados os segredos comerciais do Grupo Connvert, e limitando ao mínimo necessário para realização de suas finalidades.Sem o fornecimento de consentimento do titular, os dados poderão ser compartilhados nas hipóteses em que for indispensável para:
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
- Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
- Proteção da vida ou da incolumidade física do titular ou de terceiros;
- Tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
- Interesses legítimos do controlador ou terceiro;
- Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
- d) Os dados coletados serão mantidos precisos, completos e atualizados, conforme seja necessário para as finalidades nas quais eles são processados, levando em consideração sempre o consentimento do titular e seu desejo em modificá-los e excluílos.
- e) O acesso aos dados é controlado e submetido a um fluxo de aprovações, sendo liberado os acessos, apenas aos dados necessários para execução das atividades na prestação de serviços.
- f) Serão adotadas ferramentas e medidas administrativas que garantam proteção aos dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado, discriminatório ou ilícito, bem como ações para prevenção e controle de ocorrências em virtude de tratamento e utilização dos dados de forma indevida, tais como: canais de reclamações e denúncias; restrição, monitoramento e rastreabilidade dos acessos; capacitação dos colaboradores no manuseio e proteção dos dados pessoais; assinatura de termo de confidencialidade, revisão periódica dos processos internos e melhoria contínua.
- g) Os dados pessoais serão excluídos quando deixarem de ser úteis para os fins para os quais foram coletadas, ou quando o usuário solicitar a eliminação de seus dados pessoais, podendo ser preservadas apenas para cumprimento de obrigação legal ou regulatória.
- h) Serão mantidos os registros de todas as operações de tratamentos de dados pessoais realizados, assim como a divulgação do contato do D.P.O do Grupo Connvert, para auxiliar na comunicação entre Autoridade Nacional de Proteção dos Dados, órgãos fiscalizadores, clientes, colaboradores e titulares dos dados.
- i) D.P.O (Data Protection Officer) do Grupo Connvert: Escritório: Vilela e Batista Sociedade de Advogados CNPJ: 08.881.788/0001-02 Endereço: Av. Salgado Filho, 252 – 3º andar – salas 308/309 – Guarulhos Contato: Marcio Santana Batista: marcio.batista@vilelaebatista.com.br Valter Oliveira: valter.oliveira@vilelaebatista.com.br
5. DIREITOS DO TITULAR DOS DADOS
O Grupo Connvert, na qualidade de operador e controlador de dados pessoais, disponibilizará o canal de atendimento, aos titulares dos dados, via site – Ouvidoria ou por e-mail – D.P.O.: marcio.batista@vilelaebatista.com.br e valter.oliveira@vilelaebatista.com.br, possibilitando obter junto ao controlador:
- a) Acesso aos dados;
- b) Correção de dados;
- c) Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos;
- d) Eliminação dos dados pessoais;
- e) Portabilidade dos dados pessoais a outro fornecedor de serviço;
- f) Informação das entidades com as quais os dados foram compartilhados;
- g) Revogação do consentimento; h) Reclamação à Autoridade Nacional;
- i) Oposição ao tratamento, se irregular.
6. PRINCÍPIOS DE RESPONSABILIDADE
Os encarregados pelo tratamento de dados pessoais são responsáveis por:
- a) Cumprir com os princípios estipulados nesta Política de Privacidade e os exigidos na legislação aplicável e ser capazes de demonstrá-lo, quando assim o exigir a legislação.
- b) Manter registros das atividades que descrevem os tratamentos que realizam no âmbito de suas atividades.
- c) Adotar medidas para resolver ou minimizar os possíveis efeitos negativos, no caso de um incidente que ocasione a destruição, perda ou alteração acidental ou ilícita dos dados, ou a comunicação ou acesso não autorizado, e, documentar.
Quando um incidente reportado ao Canal de Ética envolver dados pessoais e ou dados pessoais sensíveis, este será encaminhado prontamente ao Data Protection Officer D.P.O, encarregado em Privacidade e Proteção de Dados com a responsabilidade de avaliar a ocorrência e comunicar a todos os níveis mediantes ao risco apresentado.
7. CONTRATAÇÃO DE TERCEIROS
O Grupo Connvert, no âmbito das suas atribuições, poderá recorrer a terceiros subcontratados para a prestação de determinados serviços, sempre com a anuência e em comum acordo com o controlador dos dados. Quando o tratamento de dados for efetuado por subcontratado ou terceiro, a quem sejam transmitidos deve ser verificado se este apresenta garantias suficientes de execução de medidas técnicas e organizacionais adequadas aos requisitos da legislação em vigor e assegure a defesa dos direitos do titular dos dados.
O tratamento nestes termos deve estar regulado por contrato, que vincula o subcontratado ou o terceiro às diretrizes estabelecidas pelo Grupo Connvert, quanto ao objeto e a duração desse tratamento, a sua natureza e finalidade, o tipo de dados pessoais, as categorias dos titulares dos dados e as obrigações e direitos do responsável pelo tratamento, estipulando, que o subcontratado ou terceiro:
- a) Apenas trate os dados pessoais transmitidos mediante instruções documentadas do Grupo Connvert;
- b) Assegure que as pessoas autorizadas a tratar os dados pessoais assumam um compromisso de confidencialidade ou estarão sujeitas a obrigações legais de confidencialidade;
- c) Adote as medidas de segurança mais adequadas;
- d) Apague ou devolva ao Grupo Connvert todos os dados pessoais, incluindo cópias existentes, depois de concluída a prestação de serviços relacionados com o tratamento. Essa seguida de formalização e autorização do Grupo Connvert;
- e) Disponibilize ao Grupo Connvert todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no presente artigo, facilitando e contribuindo as auditorias e inspeções, passíveis de serem realizadas pelo Grupo Connvert ou autoridades de proteção de dados;
- f) O subcontratado não poderá contratar outro subcontratado sem autorização do Grupo Connvert, devendo remeter o pedido ao responsável pelo tratamento de dados.
8. GESTÃO DE CONSEQUÊNCIAS
Colaboradores, fornecedores ou outros Stakeholders/públicos de interesse que observarem quaisquer desvios às diretrizes desta Política, poderão relatar através do site via Ouvidoria, ou por e-mail – D.P.O. márcio.batista@vilelaebatista.com.br; valter.oliveira@vilelaebatista.com.br; podendo ou não se identificar.
Internamente, o descumprimento das diretrizes desta Política enseja a aplicação de medidas de responsabilização dos agentes conforme a respectiva gravidade do ato.
Os fornecedores que descumprirem as diretrizes desta política sofrerão as sanções descritas em contratos e, dependendo da gravidade poderá acarretar a rescisão do contrato.
A LGPD implementa a aplicação de severas sanções para empresas que descumprirem as disposições legais. A Autoridade Nacional de Proteção de dados, dentre outros elementos, deverá observar no caso de aplicação de uma sanção não somente o grau do dano 10 proporcionado, mas também as medidas, mecanismos e procedimentos internos adotados previamente pela empresa.
Neste contexto, quando comprovada a legitimidade de qualquer ato ilícito cometido por colaboradores, prestadores de serviços ou terceiros, o Grupo CONNVERT aplicará sanções administrativas, de responsabilidade e financeiras, proporcionais ao grau dos prejuízos causados.
9. DOCUMENTAÇÃO COMPLEMENTAR
- Código de Ética e Conduta.
- Normas e procedimentos internos de Segurança da Informação aperfeiçoados constantemente, aprovados pelas alçadas competentes e disponibilizadas a todos os colaboradores.
10. CONTROLE DE ALTERAÇÕES DO DOCUMENTO HISTÓRICO DE REVISÕES
Versão inicial – Setembro de 2020
Política de privacidade