POLÍTICA GERAL DE PROTEÇÃO

DE DADOS PESSOAIS

1.      Objetivo

Esta Política tem o propósito de estabelecer as diretrizes gerais para a proteção dos dados pessoais tratados pela CIC Caxias, servindo de apoio para todas as práticas e processos internos relativos ao tratamento de dados pessoais, que deverão ser pautados sempre de acordo com os termos aqui dispostos e com as previsões disciplinadas nas demais normas internas aplicáveis, a fim de:

- Tratar a privacidade, a proteção de dados pessoais, e a autodeterminação informativa como direitos fundamentais da pessoa natural, garantidos pela Constituição Federal/88 e Suprema Corte brasileira, na esteira de documentos internacionais como GDPR (União Europeia) e Convenção Europeia de Direitos do Homem;

- Garantir a conformidade com as leis aplicáveis à proteção de dados pessoais, especialmente a LGPD - Lei Geral de Proteção de Dados Pessoais, Lei n° 13.709/2018.

- Orientar os envolvidos nas melhores práticas para o tratamento de dados pessoais,

- Atender aos direitos dos titulares de dados pessoais e protegê-los de eventuais violações.

2.      Termos e definições

3.      Abrangência

Esta Política é aplicável a toda organização da CIC Caxias, membros dos Conselhos Executivo, Deliberativo e Superior, empregados e prestadores de serviços, devendo ser cumprida por todos os envolvidos com o tratamento de dados pessoais, tanto em meios físicos, quanto digitais, independentemente do meio ou do país onde estejam localizados os dados, desde que tenham sido coletados em território nacional.

As diretrizes estabelecidas nesta Política deverão ser aplicadas, seguindo os princípios reconhecidos pela Lei Geral de Proteção de Dados Pessoais.



4.       Princípios

A organização cumprirá criteriosamente os requisitos constantes na LGPD, de forma que os princípios abrangidos nesta Política sejam levados em conta: (a) na implementação de todos os procedimentos que impliquem o tratamento de dados pessoais, (b) nos produtos e/ou serviços oferecidos, (c) em todos os contratos celebrados com os operadores de dados pessoais, e (d) na implantação dos sistemas e plataformas que permitam o acesso por parte de empregados ou de terceiros a dados pessoais e/ou o tratamento desses dados.

As atividades de tratamento de dados pessoais deverão observar a boa-fé e os princípios, conforme disposto no artigo 6º da LGPD:

(i)  finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

(ii) adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

(iii) necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

(iv)  livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

(v) qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

(vi) transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

(vii) segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

(viii) prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

(ix)  não-discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

(x)   responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

5.      Atribuições e Responsabilidades

Todos os envolvidos, conselheiros, diretores, empregados, estagiários, jovens aprendizes e prestadores de serviços são responsáveis pelo cumprimento desta Política, e deverão utilizar adequadamente os dados pessoais em suas atividades, de acordo com as finalidades determinadas pela CIC Caxias, tanto no meio físico, quanto digital, adotando as medidas necessárias à proteção dos dados às quais tiver acesso direta ou indiretamente em razão das suas atividades, mantendo o devido sigilo e confidencialidade.

É também responsabilidade de todos manterem-se atualizados em relação a esta Política e aos procedimentos e normas relacionadas, bem como informar sobre eventual vulnerabilidade ou incidente detectado.

5.1. Ao Conselho Executivo caberá:

o Prover os recursos necessários para a manutenção do programa de governança em privacidade.

o Promover um ambiente seguro e saudável que valorize a participação de todos os envolvidos nas atividades relacionadas à privacidade e à proteção de dados pessoais.

5.2. O Diretor Executivo e Gestores deverão:

o Apoiar as ações do Líder do Programa de Governança em Privacidade, especialemente no tocante à atualização do mapeamento de dados pessoais, pelo menos uma vez a cada dois anos ou em caso de alteração no processo.

o Promover o engajamento da sua equipe e apoiar a divulgação desta Política e demais documentos que envolvam o tema.

o Avaliar previamente o Fornecedor (operador de dados pessoais) em relação às normas de proteção de dados pessoais e privacidade, servindo inclusive como requisito preliminar para a contratação, a fim de atender às normas previstas na LGPD.

o Respeitar o titular do dado pessoal e gerar as evidências necessárias para apresentação às autoridades ou ao titular do dado pessoal, quando necessário.

5.3. O Líder do Programa de Governança em Privacidade deverá:

o Prever os recursos necessários para a manutenção do programa de governança de privacidade.

o Incorporar a privacidade e a proteção de dados pessoais em todos as práticas de negócio promovidos pela organização.

o Manter monitoramento e manutenção constante do programa de governança de privacidade de acordo com os requisitos da legislação aplicável.

o Promover a divulgação desta Política e tomar as ações necessárias para disseminar uma cultura de proteção aos dados pessoais dentro a organização, realizando treinamentos periódicos a fim de promover a conscientização, o engajamento e a responsabilização dos envolvidos com o tratamento de dados pessoais.

o Acionar o Encarregado pela Proteção de Dados Pessoais (DPO) sempre que necessário.

5.4. Os empregados, prestadores de serviços PJ, estagiários e jovens aprendizes deverão:

o Respeitar esta política de proteção de dados pessoais e demais documentos relacionados à proteção de dados pessoais.

o Utilizar as informações ou dados pessoais de acordo com as finalidades determinadas pela CIC Caxias.

o Manter o devido sigilo e confidencialidade das informações ou dados pessoais que tiver acesso direta ou indiretamente em razão das suas atividades.

5.5. A Equipe de segurança da informação e/ou tecnologia da informação deverá:

o Adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais, a fim de garantir alto nível de proteção para dados pessoais;

o Manter atualizadas as políticas, normas e procedimentos de segurança da informação;

o Tratar os eventuais incidentes de segurança da informação envolvendo dados pessoais, de modo a garantir sua detecção, contenção, eliminação e recuperação;

o Apoiar o líder do programa de governança de privacidade e o encarregado pelo tratamento de dados pessoais na comunicação com os titulares, especialmente em casos de ocorrência de incidente de segurança que possam acarretar risco ou dano relevante aos titulares.

5.6. Compete ao DPO/Encarregado pelo Tratamento de Dados Pessoais:

o Apoiar e orientar o líder do programa de governança em privacidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

o Aceitar reclamações e comunicações dos titulares de dados pessoais, prestar esclarecimentos e adotar as providências necessárias;

o Receber comunicações da Autoridade Nacional de Proteção de Dados e outras, prestar esclarecimentos e indicar a adoção das providências necessárias;

o Propor medidas preventivas e corretivas necessárias para redução de eventual risco;

o Com base na legislação brasileira que regula o tratamento de dados pessoais, a LGPD - Lei Geral de Proteção de Dados Pessoais - Lei n°. 13.709/2018, a empresa informa que o Encarregado de Proteção de Dados Pessoais é a DPOfficer brazil®, disponível em lgpd@cic-caxias.com.br.

6 Diretrizes

6.1 Diretrizes gerais

A CIC Caxias seguirá as orientações dispostas nesta Política e demais documentos, realizando o tratamento de dados pessoais e dados pessoais sensíveis em conformidade com as leis e regulamentações de proteção de dados pessoais, visando a, especialmente:

- Tratar os dados pessoais e os dados pessoais sensíveis de acordo com as hipóteses de tratamento previstas nos artigos 7º e 11 da LGPD;

- Garantir a transparência e a comunicação com o titular dos dados, especialmente em relação à realização da coleta dos dados pessoais e suas finalidades.

- Limitar a coleta, utilização, retenção, divulgação e compartilhamento estritamente ao necessário para atingir a finalidade para o qual foram coletados;

- Garantir que a finalidade para o tratamento de dados pessoais seja específica e legítima;

- Garantir a qualidade e rastreabilidade dos dados pessoais durante todo o seu tratamento; 

- Documentar e comunicar a todas as partes interessadas a respeito das políticas, procedimentos e práticas relacionadas à privacidade e proteção de dados;

- Melhorar continuamente o Programa de Governança em Privacidade por meio de monitoramento, levando em conta os objetivos de privacidade e proteção de dados pessoais;

- Garantir a não discriminação no tratamento de dados pessoais, não permitindo que estes sejam usados para fins discriminatórios, ilícitos ou abusivos;

- Assegurar que existam garantias de segurança para a transferência internacional de dados.

- Criar, revisar e comunicar diretrizes considerando melhores práticas para assegurar a proteção e privacidade dos dados pessoais.

- Promover periodicamente treinamentos e ações de conscientização a todos integrantes da organização, a fim de fomentar a cultura de segurança e reduzir possíveis riscos ao ambiente, disseminando os Avisos de Privacidade de acordo com a categoria do titular, prezando pela transparência e pelo fornecimento de informações claras e acessíveis.

- Assegurar que os contratos com os empregados, estagiários, jovens aprendizes e prestadores de serviço contenham cláusulas de proteção de dados pessoais adequadas à legislação e regulamentação aplicáveis;

- Assegurar que os contratos com os fornecedores e parceiros de negócios, na condição de operador de dados pessoais contenham cláusulas de proteção de dados pessoais adequadas à legislação e regulamentação aplicáveis;

6.2 Dos dados pessoais sensíveis

- Observar, com cuidado adicional, e conferir proteção diferenciada aos dados pessoais considerados sensíveis.

- Adotar medidas técnicas e administrativas voltadas para a proteção de tais informações, a fim de evitar divulgação e compartilhamento indevidos.

6.3 Dos Agentes de Tratamento: Controlador e Operador

- Atentar para as especificidades de cada caso concreto e contexto, identificando a figura do Controlador e do Operador, com base na relação jurídica com o titular do dado. Para identificar o papel do prestador é necessário identificar a quem compete as decisões referentes ao tratamento de dados pessoais.

- Avaliar se o fornecedor contratado, operador de dados pessoais, possui requisitos mínimos de segurança e atende as determinações constantes na Lei Geral de Proteção de Dados Pessoais, considerando como fator indispensável para fins de contratação.

6.4 Direito aos titulares de dados pessoais

A CIC Caxias compromete-se a atender os direitos dos titulares de dados pessoais conforme previstos no artigo 17 da LGPD, e demais normas pertinentes, os quais incluem:

- Criar e manter canais de comunicação para que os titulares dos dados tenham acesso facilitado às informações relacionadas aos seus dados pessoais;

- Possibilitar a portabilidade dos dados pessoais mediante requisição expressa do titular.

- Garantir, sempre que possível, que os titulares tenham a possibilidade de acessar e revisar seus dados pessoais, desde que sua identidade seja autenticada;

- Fornecer aos titulares dos dados pessoais tratados, informações claras e facilmente acessíveis sobre as políticas, procedimentos e práticas com relação ao tratamento de dados pessoais realizado pela organização;

- Informar os titulares quando ocorrerem alterações significativas no tratamento dos seus dados pessoais;

- Eliminar de forma segura, bloquear ou anonimizar os dados pessoais após o término do seu ciclo de vida, observando as exigências legais e normativas sobre o tempo de retenção obrigatório.

- O atendimento ao direito do titular deverá seguir o Procedimento de Atendimento aos Titulares de Dados Pessoais determinado pela ANPD.

6.5 Gerenciamento de incidente de dados pessoais

Em caso de eventual incidente ou violação de dados pessoais que causem danos aos titulares é essencial que seja feita adequada e tempestivamente, a formalização do incidente, contendo o registro, a classificação, a forma de investigação, a correção, garantindo que todas as partes interessadas sejam notificadas, de acordo com o Procedimento em caso de Incidente de Segurança com dado pessoais e Comunicação à ANPD.

6.6 Compartilhamento de informações contendo dados pessoais

O Compartilhamento de informações contendo dados pessoais é realizado para operadores necessários para que a finalidade do tratamento de dados pessoais possa ser realizada, e a CIC Caxias deverá estabelecer contratos e/ou acordos de tratamento para garantir que esses dados serão tratados com toda a segurança necessária, visando a evitar o acesso e uso indevido.

6.7 Armazenamento de dados pessoais

6.7.1 Armazenamento de dados pessoais de clientes

Os dados pessoais devem ser armazenados pelo período necessário ao cumprimento das finalidades pelos quais foram coletados, e/ou conforme previsto em legislação própria.

6.7.2 Armazenamento de dados pessoais de diretores, gestores, empregados, estagiários, jovens aprendizes e prestadores de serviço

Os dados pessoais dos diretores, gestores, empregados, estagiários, jovens aprendizes e prestadores de serviço deverão atender ao prazo de armazenamento previsto na legislação trabalhista e /ou outras aplicáveis.

6.8. Eliminação de dados pessoais

Os dados pessoais tratados no âmbito da organização deverão ser eliminados ao atingir a finalidade para os quais foram coletados, pois não há possibilidade de tratamento de dados pessoais por prazo indeterminado, sem a indicação da norma que determine essa permanência, exatamente porque não há finalidade que disponha de base legal perene, ressalvadas as hipóteses de obrigação legal ou regulatória.

Nesse sentido, o dado pessoal tem um ciclo de vida dentro a organização, e sua permanência somente será admitida se indicado o texto de lei ou ato normativo que determine tal situação, conforme o disposto nos artigos 15 e 16 e incisos da LGPD.

Visando a utilização das melhores práticas para eliminação de dados pessoais tanto em meio físicos, quanto digitais, com o objetivo de resguardar a intimidade do titular e o sigilo das informações, em atendimento à LGPD, segue, em anexo, tabela de prazos sugeridos pelo Instituto Nacional de Proteção de Dados - INPD, ratificados pela DPOfficer brazil, na condição de encarregada pelos dados pessoais.

7.      Referências

Mapeamento de dados pessoais, Avisos de Privacidade, Procedimento de atendimento aos titulares de dados pessoais, Procedimento em caso de Incidente de Segurança com dado pessoais e Comunicação à ANPD e Política de Segurança da Informação.

8.      Sanções Disciplinares

É dever de todos os envolvidos observar integralmente os termos desta Política e as demais normas internas que venham a regular a proteção de dados pessoais. Caso haja violação das regras estabelecidas, a entidade poderá aplicar as seguintes sanções: (a) advertência por escrito; (b) suspensão; (c) rescisão do contrato de trabalho por justa causa; (d) ajuizamento de ações judiciais cíveis ou criminais, caso a violação importe em danos à organização ou constitua um ilícito penal.

9.      Atualização desta Política

Esta Política foi aprovada na data de 20 de junho de 2023 e entrará em vigor na data da sua publicação. Como forma de garantir que ela reflita as práticas de tratamento de dados pessoais e conferir maior segurança e transparência às operações da organização, ela poderá ser alterada e atualizada constantemente.

10.  Uso Interno

Esta Política é de uso interno da CIC Caxias, não podendo ser divulgada para pessoas externas, salvo quando autorizada pelo Líder do Programa de Governança em Privacidade ou pelo Encarregado pela Proteção de Dados Pessoais. A divulgação indevida desses materiais resultará em sanções disciplinares aplicáveis.

CIC Caxias | Fone (54) 3218-8000

Rua Ítalo Victor Bersni, 1134 | Bairro Jardim América | Caxias do Sul - RS