Política Institucional de Privacidade e Proteção de Dados Pessoais
1. OBJETIVO
A presente Política Institucional de Privacidade e Proteção de Dados Pessoais (“Política”) estabelece práticas e valores bem como fornece orientações sobre como devem ser desenvolvidas as diversas atividades e operações para a proteção e tratamento de dados pessoais nas atividades desenvolvidas pelo Secovi-SP.
Esta Política se insere em um conjunto de elementos estabelecidos para o Programa de Governança em Privacidade e Proteção de Dados e integra, de uma forma mais ampla, o Sistema de Integridade e Compliance do SECOVI-SP.
O Secovi-SP está comprometido em seguir altos padrões éticos, e conduzir todas as suas atividades de forma transparente e de acordo com leis, regras, regulamentos, códigos e diretrizes aplicáveis, respeitando os direitos e liberdades fundamentais de titulares de dados, nos termos da Lei Geral de Proteção de Dados “LGPD” (Lei nº 13.709/2018, de 14 de agosto de 2018).
São objetivos desta política:
- estar em conformidade com as leis e regulamentações aplicáveis de proteção de Dados Pessoais e seguir as melhores práticas;
- proteger os direitos de personalidade, liberdade e privacidade de todas as pessoas alcançadas pelas atividades e processos do Secovi-SP;
- ser transparente com relação a práticas e procedimentos relativos ao tratamento de dados pessoais usados nas atividades e processos do Secovi-SP;
- promover a conscientização em todo o Sindicato em relação à proteção de Dados Pessoais e questões de privacidade.
2. ABRANGÊNCIA
Esta Política é aplicável a todas as pessoas, naturais ou jurídicas, titular ou com acesso a dados pessoais controlados, operados ou que simplesmente circulem pelo Secovi-SP, independentemente de vínculo direto com o Sindicato, ou da natureza do tratamento.
Dentre estas, destacam-se:
- Colaboradores: funcionários, estagiários e jovens aprendizes, independente de cargo ou função exercida, dirigentes, inclusive diretoria.
- Terceiros: parceiros de negócios, fornecedores, prestadores de serviços, representantes etc., que atuam para ou em nome do Secovi-SP em operações que envolvam tratamento de dados pessoais que sejam realizadas no escopo das atividades conduzidas pelo Sindicato.
- Representados / Associados: empresas que realizam atividades descritas no art. 1º do Estatuto Social do Secovi-SP, satisfazendo às exigências da legislação sindical e/ou pessoa física e jurídica que mantém relação associativa com a entidade.
- Titulares de dados pessoais: pessoas cujos dados são tratados pelo Secovi-SP.
3. REFERÊNCIAS
A presente Política tem como referência ou pode ser complementada pelas normas e documentos listados a seguir:
3.1. Externas
- Constituição Federal, de 05 de outubro de 1988.
- Lei Federal nº 13.709/2018 e suas alterações – Lei Geral de Proteção de dados pessoais (LGPD).
- Lei Federal nº 10.406/2002 – Código Civil Brasileiro (CC).
- Lei Federal nº 8.078/90 – Código de Defesa do Consumidor (CDC).
- General Data Protection Regulation – Regulation EU 2016/679 (GDPR), quando alinhados com a legislação nacional e relacionada aos objetivos/atividades desenvolvidas da Entidade.
3.2internas
- Estatuto Social do Secovi-SP;
- Termos de uso de todos os sites mantidos Secovi-SP;
- Política(s) de Privacidade de todos os sites mantidos Secovi-SP;
- Política(s) de cookies de todos os sites mantidos Secovi-SP e
- Outros documentos de orientação pertencentes ao Programa de Governança em Privacidade e Proteção de Dados da Entidade.
4. TERMOS E DEFINIÇÕES
A interpretação desta Política leva em consideração as seguintes definições:
- Agentes de Tratamento de Dados Pessoais: O controlador e o operador de dados pessoais.
- Anonimização: Processo e técnica por meio dos quais um dado perde a aptidão de associação, direta ou indireta, a um indivíduo. Dado anonimizado não é considerado Dado Pessoal para os fins da LGPD.
- Autoridade Nacional de Proteção de Dados “ANPD”: Órgão da administração pública federal do Brasil, Colaborador da Presidência da República competente para zelar, implementar e fiscalizar o cumprimento da LGPD em todo território nacional.
- Colaborador(es): funcionários/empregados que trabalham no ou para o Secovi-SP independentemente de cargo ou função exercida, em todos os níveis da organização, incluindo executivos, dirigentes, estagiários, aprendizes e a própria diretoria eleita.
- Comitê Estratégico de Compliance: – comitê formado por membros destacados da Alta Direção, para apoio da presidencia nas definições estratégicas do Sistema de Integridade e Compliance do Secovi-SP, que inclui o Programa de Governança em Privacidade e Proteção de Dados.
- Comitê de Privacidade e Proteção de Dados: Comitê multidisciplinar formado por pessoas chaves da estrutura interna do Secovi-SP, para discutir e deliberar sobre Privacidade e Proteção de Dados, incluindo práticas e providências necessárias ao atendimento à LGPD e demais normas pertinentes ao tema.
- Consentimento: Manifestação livre, informada e inequívoca pela qual o Titular concorda com o Tratamento de seus dados pessoais para uma finalidade determinada.
- Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao Tratamento de Dados Pessoais.
- Dados Pessoais: Qualquer informação relativa a uma pessoa natural identificada ou identificável, direta ou indiretamente, por referência a um identificador como nome, número de identificação, dados de localização, identificador on-line ou a um ou mais fatores específicos de identidade.
- Dados pessoais Sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
- Encarregado de Dados ou Data Protection Officer (DPO): pessoa, física ou jurídica, indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
- Gestor: Todo Colaborador que lidera uma equipe e /ou área interna do Secovi-SP.
- Incidente de Dados Pessoais ou Incidente de Segurança: evento no qual a proteção de dados pessoais tenha sido violada, ou seja, situação em que a segurança dos dados pessoais tratados tenha sido atacada.
- LGPD – Lei Geral de Proteção de dados pessoais: Lei Federal nº 13.709, de 14 de agosto de 2018, que disciplina o tratamento de dados pessoais, inclusive em meios digitais, por pessoa natural ou por pessoa jurídica, de direito público ou privado, com o objetivo proteger os direitos fundamentais de liberdade e de privacidade e livre desenvolvimento dos titulares de dados pessoais. Este diploma normativo também altera os artigos 7º e 16 do Marco Civil da Internet.
- Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de dados pessoais em nome do Controlador.
- Política: O presente instrumento denominado como Política Institucional de Privacidade e Proteção de Dados Pessoais do Secovi-SP.
- Pseudoanonimização: Processos e técnicas por meio dos quais um dado tem sua possibilidade de associação dificultada. O dado Pseudoanonimizado é considerado Dado Pessoal para os fins da LGPD, tendo em vista a possibilidade de associação desse dado a uma pessoa natural.
- Representado ou Associado Secovi-SP: Empresas que realizam atividades de compra, venda, locação e administração de imóveis, categoria essa integrada também pelas empresas de corretagem imobiliária, incorporadoras, loteadoras, de desenvolvimento urbano, “shopping centers”, de acordo com base a territorial representada pelo Secovi-SP e/ou pessoa física e jurídica que integram a categoria ou mantêm relação associativa com a entidade.
- Responsável pelo Compliance (CO – Compliance Officer): profissional que gerencia as ações relativas ao tema Integridade e Compliance do Secovi-SP.
- Tecnologia da Informação ou TI: Área interna do Secovi-SP responsável por organizar, proteger a integridade, disponibilidade e confidencialidade dos sistemas de TI e também por implementar as medidas adequadas para alcançar este objetivo, sendo o apoio técnico do Encarregado de Dados (DPO) nas questões relacionadas às medidas técnicas e administrativas relativas ao tratamento de dados pessoais em meio digital.
- Terceiro: Qualquer pessoa, natural ou jurídica, que atue para ou em nome do Secovi-SP, prestando serviços ou fornecendo bens, assim como Parceiros de negócios diretamente relacionados aos assuntos do Secovi-SP, incluindo, sem limitação, quaisquer, fornecedores, consultores, representantes ou outros prestadores de serviços profissionais.
- Titular de Dados: Pessoa natural identificada ou identificável a quem se refere um Dado Pessoal específico.
- Tratamento de dados pessoais ou Tratamento: Qualquer operação ou conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a coleta, o registo, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
5. PRINCÍPIOS DE PROTEÇÃO DE DADOS PRIVADOS/PESSOAIS
O Secovi-SP cumpre com os seguintes princípios de proteção de dados pessoais quando do tratamento de dados pessoais:
- FINALIDADE: realização do tratamento de dados pessoais apenas para propósitos legítimos, específicos, explícitos e informados ao titular de dados pessoais, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
- ADEQUAÇÃO: realização do tratamento de dados pessoais de forma compatível com as finalidades informadas ao titular de dados, e de acordo com o contexto do tratamento;
- NECESSIDADE: o tratamento de dados pessoais realizado limita-se ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento;
- LIVRE ACESSO: garantia, aos titulares de dados pessoais, a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados;
- QUALIDADE DOS DADOS: garantia, aos titulares de dados pessoais, a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
- TRANSPARÊNCIA: garantia, aos titulares de dados pessoais, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento de dados pessoais, observados os segredos comercial e industrial;
- SEGURANÇA: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
- PREVENÇÃO: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
- NÃO DISCRIMINAÇÃO: garante a impossibilidade de realização do tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos;
- RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: se compromete a demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, e a eficácia dessas medidas.
6. DIRETRIZES DA POLÍTICA
6.1. TRATAMENTO DE DADOS PESSOAIS
Os usos e os tratamentos de dados pessoais nas atividades desenvolvidas pelo Secovi-SP devem seguir as seguintes bases éticas e jurídicas:
- Proteção aos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural (Art. 1º da LGPD);
- Respeito os 7 (sete) fundamentos do Art. 2º da LGPD;
- Ser realizados em conformidade com os 10 (dez) princípios do Art. 6º da LGPD;
- O uso/tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização (§ 3º do Art. 7º da LGPD);
- As informações sobre o uso/tratamento de dados pessoais deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do Titular, com uso de recursos audiovisuais quando adequado.
6.1.1 Dos Requisitos para o Tratamento de Dados Pessoais
Nas atividades desenvolvidas pelo Sindicato, só estão autorizados usos/tratamentos de dados pessoais que possam ser legitimamente enquadrados em pelo menos uma das 10 (dez) hipóteses (bases legais) definidas no Art. 7º da LGPD a saber:
- Mediante o fornecimento do consentimento pelo Titular.
- Para cumprimento de obrigação legal ou regulatória pelo Controlador.
- Pela administração pública, para tratamento e uso compartilhado de dados necessários à execução de política públicas.
- Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais.
- Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o Titular, a pedido do Titular dos dados.
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
- Para a proteção da vida ou da incolumidade física do Titular ou de Terceiro.
- Para a tutela da saúde, em procedimento realizado por profissionais da área de saúde ou por entidades sanitárias.
- Quando necessário para atender aos interesses legítimos do Controlador ou do Terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do Titular que exijam a proteção dos dados pessoais.
- Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
O enquadramento nas hipóteses legais para o tratamento de dados pessoais pelo Secovi-SP será de responsabilidade do Encarregado de Dados (DPO) que, dentro de sua atuação, determinará as providências adequadas caso a caso.
6.1.2. Sobre o Tratamento de Dados Pessoais Sensíveis
O uso/tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
- Quando o Titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
- Sem fornecimento de consentimento do Titular, nas hipóteses em que for indispensável para:
- Cumprimento de obrigação legal ou regulatória pelo Controlador;
- Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
- Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
- Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
- Proteção da vida ou da incolumidade física do Titular ou de Terceiro;
- Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
- Garantia da prevenção à fraude e à segurança do Titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos dos mencionados no Art. 9º da LGPD e exceto no caso de prevalecerem direitos e liberdades fundamentais do Titular que exijam a proteção dos dados pessoais.
6.1.3. Sobre o Tratamento de Dados Pessoais de Crianças e Adolescentes
Prioritariamente, em seus processos o Secovi-SP não usa/trata dados pessoais de crianças e de adolescentes, uma vez que não contempla o escopo de suas ações. Não obstante, quando excepcionalmente houver a necessidade de usar/tratar dados pessoais de crianças e de adolescentes, esse processo deverá ser realizado em seu melhor interesse e em estrita observância dos seguintes termos:
- Em observância da legislação pertinente.
- O tratamento de dados pessoais de crianças e de adolescentes deverá:
- Ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
- O Controlador deve realizar todos os esforços razoáveis para verificar que o consentimento foi realmente dado pelo responsável pela criança, consideradas as tecnologias disponíveis.
- Os Controladores deverão manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos a que se refere o Art. 18 da LGPD.
- Poderão ser coletados dados sem o consentimento quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o devido consentimento.
- Os Controladores não deverão condicionar a participação de pais ou responsáveis em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
6.1.4. Término do Uso/Tratamento de Dados
Os dados pessoais de um Titular deverão ser prontamente eliminados quando ocorrerem um dos seguintes eventos:
- Verificação de que a finalidade do tratamento foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
- Fim do período de tratamento;
- Comunicação do Titular, inclusive no exercício de seu direito de revogação do consentimento; ou
- Determinação da autoridade nacional, quando houver violação ao disposto na LGPD.
Excepcionalmente às hipóteses de eliminação acima mencionadas, os dados pessoais deverão ou poderão ser conservados somente nos seguintes casos:
- Cumprimento de obrigação legal ou regulatória pelo Controlador;
- Uso exclusivo do Controlador, vedado seu acesso por Terceiro, e desde que anonimizados os dados;
- Transferência a Terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD; e
- Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais.
6.2. tratamento de dados pessoais realizados por TERCEIROS OPERADORES
Os Terceiros que tratam dados pessoais sob as instruções do Secovi-SP estão sujeitos às obrigações impostas aos Operadores de dados pessoais de acordo com a LGPD e demais normativos aplicáveis.
Sendo assim, o Secovi-SP deve assegurar que no contrato com o Terceiro sejam incluídas cláusulas:
- Que especifiquem que o Operador está autorizado a tratar dados pessoais apenas quando seja formalmente solicitado pelo Secovi-SP;
- De privacidade e proteção que exijam que o Operador de Dados terceirizado implemente medidas de segurança, bem como controles técnicos e administrativos apropriados para garantir a confidencialidade e segurança dos dados pessoais; e
- De comprometimento e responsabilização do Operador de dados pessoais terceirizado na esfera civil, incluída a possiblidade de ressarcimento de danos morais, em caso de incidente de vazamento dados pessoais recebidos do Secovi-SP.
6.3. TRANSFERÊNCIA INTERNACIONAL DE DADOS
A transferência de dados pessoais para outro país só é permitida nos seguintes casos:
- Quando o Titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta, de outras finalidades;
- Quando a transferência for necessária para a proteção da vida ou da incolumidade física do Titular ou de Terceiro;
- Quando a transferência for realizada para países ou organismos internacionais que proporcionem grau de privacidade e proteção de dados pessoais adequado ao previsto na LGPD;
- Quando o Controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do Titular e do regime de privacidade e proteção de dados previstos na LGPD, na forma de:
- Cláusulas contratuais específicas para determinada transferência;
- Cláusulas-padrão contratuais;
- Normas corporativas globais;
- Selos, certificados e códigos de conduta regularmente emitidos.
- Quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
- Quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
- Quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público;
- Quando a autoridade nacional autorizar a transferência; ou
- Quando necessário para atender as hipóteses previstas nos incisos II, V e VI do Art. 7º da LGPD.
É importante mencionar que, a ANPD definirá o conteúdo das cláusulas, normas, selos, certificados e códigos de conduta que embasam a transferência de dados internacionais.
6.4. DIREITOS DOs TITULARes de dados
Além dos direitos associados aos fundamentos (Art. 2º, LGPD) e aos princípios (Art. 6º, LGDP), também devem ser respeitados os direitos expressos nos artigos 9º e 17 a 22 da LGPD, a saber:
Art. 9 |
Direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de:
|
Art. 17 |
Direito à titularidade de seus dados pessoais, direitos fundamentais de liberdade, de intimidade e de privacidade. |
Art. 18 |
Direito a obter do Controlador, em relação aos dados do Titular por ele tratados, a qualquer momento e mediante requisição:
|
Art. 19 |
Direito à confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do Titular:
|
Art. 20 |
Direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. |
Art. 21 |
Direito a não utilização dos dados pessoais referentes ao exercício regular de direitos pelo Titular em seu prejuízo. |
Art. 22 |
Direito à defesa dos interesses e dos direitos dos Titulares de dados em juízo, individual ou coletivamente. |
6.5. Privacidade e proteção de dados desde a concepção e por padrão
O Secovi-SP preocupa-se em garantir a segurança dos dados pessoais em todas as suas relações, ambientes, processos, sistemas e tecnologias bem como durante todo o ciclo de vida dos dados e das informações.
Isto significa que o Secovi-SP:
- Ao implementar novos processos, procedimentos ou sistemas que envolvam o Tratamento de Dados Pessoais, deve adotar medidas para garantir que as regras de Privacidade e Proteção de Dados sejam consideradas desde a fase de concepção (privacy by design) até o lançamento/implantação destes projetos;
- Considerar os direitos do Titular de dados pessoais para adequar nossos processos, sistemas, ambientes e tecnologia a fim de que eles assegurem tais direitos (privacy by default), sugerindo sempre ao Titular de dados a opção de menor impacto à sua privacidade.
Esta abordagem é essencial para minimizar riscos à privacidade e para criar confiança e determinação na concepção de projetos, processos, produtos ou sistemas tendo em mente a privacidade, desde o princípio.
6.6. Padrões de Segurança da Informação e Proteção dos Dados Pessoais
O Secovi-SP está comprometido com a implementação de padrões de Segurança da Informação de forma a proteger os dados pessoais prevenindo:
- Acesso não autorizado ou ilícito;
- Tratamento inadequado ou ilícito; e
- Situações acidentais ou ilícitas de destruição, perda, alteração, comunicação etc.
Além disso, devem ser atendidos os requisitos de segurança e sigilo da informação estabelecidos pelos padrões de boas práticas e de governança de dados reconhecidos pelo mercado tais como: confidencialidade, integridade, disponibilidade, autenticidade, responsabilidade, anonimização, pseudonimização etc.
Todos os colaboradores e terceiros com acesso a informações e Dados Pessoais dos quais o Secovi-SP é controlador, estão obrigados aos deveres de confidencialidade dos Dados Pessoais, conforme diretrizes desta Política e estabelecidos nos documentos contratuais.
6.7. INCIDENTEs DE SEGURANÇA
Todos os incidentes e potenciais violações de dados devem ser reportadas ao Encarregado de Dados (DPO). Todos os colaboradores e os terceiros devem estar cientes de suas responsabilidades em comunicar possíveis problemas de proteção de dados, bem como de denunciar violações ou suspeitas de violações de Dados Pessoais assim que as identificarem.
No momento em que um incidente de segurança ou violação de dados forem descobertos, é essencial que sejam informados e formalizados de forma tempestiva.
Violações de Dados incluem, mas não se limitam a qualquer perda, exclusão, roubo ou acesso não autorizado de Dados Pessoais controlados ou tratados pelo Secovi-SP.
Havendo qualquer incidente de segurança que implique em risco ou dano relevante aos titulares de dados, o Encarregado de Dados (DPO) notificará, no prazo razoável, os titulares de dados bem como a ANPD. Esta comunicação mencionará, no mínimo:
- A descrição da natureza dos dados pessoais afetados;
- As informações sobre os titulares envolvidos;
- A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
- Os riscos relacionados ao incidente; e
- As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
A comunicação que trata este tópico deverá ser feita no menor prazo possível, conforme a razoabilidade a ser definida pela ANPD, sendo que nesta hipótese, além dos elementos listados acima, também deverão ser descritos os motivos da demora, cabendo inclusive, se for o caso, apresentação de comunicações complementares.
6.8. AUDITORIAS DE PROTEÇÃO DE DADOS
O cumprimento desta Política e das leis aplicáveis de proteção de dados devem ser verificados regularmente através de auditorias de proteção de dados e outros controles. A execução destes controles é de responsabilidade do Encarregado de Dados (DPO), sendo a realização de Auditorias Internas (por equipe própria independente e/ou de auditores contratados externamente) integrada no Sistema de Integridade e Compliance do Secovi-SP.
Mediante solicitação, os resultados das auditorias de proteção de dados serão disponibilizados para as autoridades responsáveis pela proteção de dados.
7. PROGRAMA DE GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS
Para assegurar o atendimento aos princípios relativos à Segurança e Prevenção indicados no item 5 desta Política, além das normas e boas práticas relativas à Privacidade e Proteção de Dados Pessoais, o Secovi-SP estabeleceu um conjunto de elementos que se consolidam no Programa de Governança em Privacidade e Proteção de Dados.
7.1. PRINCIPAIS COMPROMISSOS DO Secovi-SP
O Secovi-SP assume a responsabilidade pelos dados pessoais usados/tratados em suas atividades e se compromete a demonstrar o cumprimento dessa Política, assegurando a implementação de medidas técnicas e administrativas que incluem, mas não se limitam a:
- Garantia de que os Titulares dos dados pessoais possam exercer os seus direitos.
- Registro de dados pessoais, incluindo:
- O registro de atividades de Tratamento de dados pessoais, com a descrição dos propósitos/finalidades desse Tratamento, os destinatários do compartilhamento dos dados pessoais e a forma de tratamento.
- O registro de incidentes de dados pessoais e violações de dados pessoais.
- Exigência de que os Terceiros que atuam como Operadores de dados pessoais sob responsabilidade do Secovi-SP ajam de acordo com essa Política e com a legislação e regulamentação aplicáveis.
- Garantia de que o Secovi-SP, quando requerido e se obrigatório a sua classificação entre os agentes de tratamento de dados, registre junto à Autoridade Supervisora aplicável um Encarregado de Dados (DPO).
- Garantia de que o Secovi-SP esteja cumprindo todas as exigências e solicitações de qualquer Autoridade de Supervisão à qual esteja sujeita.
7.2. Elementos do programa
O Programa de Governança em Privacidade e Proteção de Dados do Secovi-SP foi estabelecido utilizando o conceito do ciclo do PDCA (Plan, Do, Check and Act).
P (Plan, Planejar)
Foram identificados os processos que coletam dados pessoais e que demandam o tratamento pelo Secovi-SP, nos termos da LGPD. Esta ação foi consolidada no Relatório Preliminar de Impacto à Proteção de Dados Pessoais e a partir deste documento foram planejadas as ações necessárias para mitigar os riscos identificados e também se adequar aos requisitos da LGPD e boas práticas relacionadas ao tema de Privacidade e Proteção de Dados.
Como resultado do planejamento tivemos adequações dos processos, incluindo softwares de apoio para o controle de consentimento e o desenvolvimento dos elementos do programa como Políticas, Avisos e outros Documentos Orientadores que indicam o que e como devem ser realizadas as atividades para o Tratamento e Proteção de Dados.
Também foram estabelecidos os canais de comunicação e responsáveis para tratar do tema e consolidado o Relatório de Impacto de Proteção de Dados Pessoais, que deve ser atualizado periodicamente seguindo o conceito do privacy by design
Do (Do, fazer)
Para garantir que as ações sejam realizadas conforme previsto nas Políticas e Documentos Orientadores, é necessário que as responsabilidades dos envolvidos estejam claramente definidas nas respectivas normas e nos instrumentos contratuais. Também, onde pertinente, são desenvolvidas ações treinamento e conscientização.
C (check, acompanhar)
Após a execução das ações que foram planejadas, estão previstas atividades de monitoramento contínuo e avaliação periódica que acontecem através da controles e auditorias para avaliar se os requisitos estão sendo atendidos.
Também se enquadram nesta fase atividades de avaliação sistemática de impactos e riscos à privacidade e avaliação da efetividade do Programa, incluindo análise da necessidade de readequação das Políticas e outros elementos.
A (act, corrigir) – Correção dos desvios e revisão das ações
Estão estabelecidas aqui as ações necessárias parar comunicação dos incidentes (reais e potenciais) contemplando o plano de resposta a incidentes e remediação.
Nesta fase, com base nos resultados levantados durante o acompanhamento das atividades e os incidentes reportados devem ser identificadas ações de correção e melhoria.
7.3. Estrutura para a governança
Para amparar a entidade no aperfeiçoamento e na adoção de práticas de governança que garantam sua aderência aos requisitos legais, normas e procedimentos, foi definida estrutura de Proteção de Dados, que se reporta diretamente ao presidente:
- Comitê Estratégico de Compliance – comitê formado por membros destacados da Alta Direção, para apoio da presidencia nas definições estratégicas do Sistema de Integridade e Compliance do Secovi-SP, que inclui o Programa de Governança em Privacidade e Proteção de Dados.
- Comitê de Privacidade e Proteção de Dados: Comitê multidisciplinar formado por pessoas chaves da estrutura interna do Secovi-SP, para discutir e deliberar sobre Privacidade e Proteção de Dados, incluindo práticas e providências necessárias ao atendimento à LGPD e demais normas pertinentes ao tema.
- Encarregado de Dados (DPO) – profissional responsável pela gestão do Programa de Governança em Privacidade e Proteção de Dados. Também atua como canal de comunicação entre o Secovi-SP, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
O Secovi-SP designou para a função de Encarregado de Dados o colaborador: EDSON ETSUJI KITAMURA |
7.4. canais de comunicação sobre lgpd
O Encarregado de dados é o principal canal de comunicação para os assuntos relacionados à LGPD, o contato deve ser feito através do e-mail: encarregadodedados@secovi.com.br
Os Colaboradores que tiverem perguntas ou dúvidas a respeito dessa Política, incluindo seu escopo, termos ou obrigações, devem procurar seus gestores imediatos e/ou o Encarregado de Dados.
Denúncias também são aceitas, serão apuradas internamente, sendo que o Colaborador ou Terceiro que, em boa-fé, efetuá-la não poderá sofrer qualquer tipo de intimidação ou retaliação.
8. ATRIBUIÇÕES E RESPONSABILIDADES
8.1PRESIDENTE
- Aprovar a Política e suas futuras alterações;
- Nomear o Encarregado de dados (DPO) e exigir o cumprimento de suas funções e responsabilidade conforme esta Política;
- Definir e aprovar a estrutura de governança para os assuntos de privacidade e proteção de dados.
8.2. comitê estratégico de compliance
- Revisar e recomendar a aprovação desta Política e suas alterações ao Presidente;
- Aprovar as Documentações Orientadoras de Proteção de Dados Pessoais, na forma que está estruturada no item 7.3 desta política;
- Monitorar a efetiva implementação das iniciativas de privacidade, incluindo os eventos relacionados ao vazamento de Dados Pessoais, reclamações de titulares ou fiscalizações da ANPD e decisões do Comitê de Privacidade e Proteção de Dados.
- Propor anualmente recursos necessários para a implementação e gerenciamento das iniciativas de privacidade a fim de que constem da peça orçamentária anual elaborada na forma do Estatuto social do Sindicato.;
- Propor ao Comitê de Privacidade e Proteção de Dados a resolução das matérias relativas a eventos de alto risco e questões estratégicas identificadas sobre o tema Privacidade e Proteção de Dados; e
- Reportar ao Presidente os eventos relacionados a vazamento de Dados Pessoais e as decisões do Comitê de Privacidade e Proteção de Dados.
8.3. Comitê de Privacidade E PROTEÇÃO DE DADOS
- Promover o conhecimento adequado dos principais stakeholders em relação à importância da proteção de Dados Pessoais e das atividades internas inerentes as iniciativas de privacidade;
- Revisar anualmente, ou em prazo menor quando necessário, as iniciativas de privacidade adotadas pela Entidade;
- Acompanhar as legislações sobre privacidade e proteção de dados pessoais;
- Discutir e tomar decisões técnicas sobre novas atividades de Tratamento de Dados Pessoais, com base nos Relatórios de Impacto à Proteção de Dados Pessoais;
- Discutir sobre medidas disciplinares (públicos internos) ou administrativas (terceiros) no caso de descumprimento das Diretrizes do Programa;
- Manter o Comitê Estratégico de Compliance devidamente informados sobre os procedimentos de mitigação dos riscos relativos à privacidade e proteção de dados pessoais;
- Reportar ao Comitê Estratégico de Compliance os casos de vazamento de dados pessoais e sobre as medidas tomadas para resolver os incidentes e/ou desvios de conduta;
- Reportar ao Comitê Estratégico de Compliance as iniciativas de privacidade de dados necessários ao monitoramento do Programa de Governança em Privacidade e Proteção de Dados; e
- Seguir as deliberações dadas pelo Comitê Estratégico de Compliance.
8.4. ENCARREGADO DE DADOS
- Garantir que o Secovi-SP esteja em conformidade com as leis e regulamentos relacionados à privacidade e proteção de dados pessoais, bem como com suas políticas e procedimentos internos relacionados ao tema;
- Atuar como canal de comunicação entre o Secovi-SP, na qualidade de Controlador de dados, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
- Informar, orientar e resolver dúvidas referentes às diretrizes e as práticas (medidas técnicas e administrativas) adotas pelo Secovi-SP para o cumprimento da LGPD;
- Propor ao Comitê Estratégico de Compliance a revisão e atualização dessa Política;
- Gerenciar o Programa de Governança em Privacidade e Proteção de Dados e orientar na implementação das medidas requeridas para estar em conformidade com os requisitos da legislação e da regulamentação aplicáveis de proteção de Dados Pessoais;
- Coordenar as reuniões do Comitê de Privacidade e Proteção de Dados e manter seus membros informados sobre assuntos e eventos relacionados à privacidade e proteção de dados pessoais no Secovi-SP;
- Aceitar, reclamações, solicitações e comunicados dos Titulares de dados pessoais, adotar as providências necessárias e prestar-lhes esclarecimentos;
- Providenciar a realização de treinamentos, programas de conscientização e comunicação do tema de privacidade de Dados Pessoais em todo o sindicato;
- Elaborar e manter atualizada a Documentação orientadora relativa à privacidade que estejam na sua competência;
- Monitorar o cumprimento dessa Política e regras interna de privacidade;
- Coordenar a execução de análise periódica de impacto de privacidade e proteção de dados;
- Definir, revisar e atualizar avisos de privacidade;
- Conduzir periodicamente avaliações da efetividade do Programa de Governança em Privacidade e Proteção de Dados do Secovi-SP, identificando e corrigindo lacunas e falhas, assim como melhorias para sua evolução;
- Garantir a guarda adequada e manutenção das evidências de execução e implementação das iniciativas de privacidade, atendendo ao princípio da responsabilização;
- Receber comunicações da ANPD (Autoridade Nacional de Proteção de Dados) e adotar providências;
- Estruturar processos internos para informar à ANPD e aos Titulares de dados nos casos de “ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos Titulares”; e
- Manter à disposição da ANPD a documentação necessária e pertinente ao tema e exigidos pela legislação.
8.5. Responsável por Integridade e Compliance (Co – Compliance officer)
- Apoiar administrativamente o DPO nos treinamentos, campanhas de conscientização, comunicação interna etc.;
- Incluir a avaliação de aderência à Documentação Orientadora que versa sobre proteção de Dados Pessoais nos projetos de auditoria e reportar ao DPO e ao Comitê Estratégico de Compliance o resultado dessas avaliações. e
- Reportar ao Comitê Estratégico de Compliance as preocupações relacionadas a iniciativas de privacidade, que estejam em desacordo com práticas de Integridade e Compliance do Secovi-SP.
8.6. Gestores e dirigentes
- Garantir que o objetivo e as diretrizes da Política sejam seguidos nas atividades de suas respectivas áreas;
- Revisar e manter atualizado o mapeamento de dados pessoais e os processos a eles associados, pelo menos uma vez por ano (ou sempre em caso de mudanças substanciais), junto ao Comitê de Privacidade e Proteção de Dados;
- Garantir que as opções do Titular dos dados pessoais estabelecidas nos Termos de Consentimento sejam devidamente respeitadas e gerar as evidências necessárias para apresentação às autoridades ou ao próprio Titular, quando necessário;
- Garantir que os colaboradores de sua equipe compreendam e sigam os Documentos Orientadores;
- Gestores, que gerenciam contratos com Terceiros que realizam atividades como Operadores de dados pessoais, são responsáveis por dar suporte para que estes compreendam e apliquem as diretrizes e práticas dessa Política; e
- Orientar aos novos colaboradores de sua equipe quanto ao Programa de Governança em Privacidade e Proteção de Dados do Secovi-SP para que compreendam e sigam os documentos orientadores.
8.7. Tecnologia da Informação (TI)
- Responsabilizar-se pelo uso adequado de Dados Pessoais em suas atividades;
- Analisar violações e vazamentos de dados pessoais bem como efetuar a coleta de evidências técnicas;
- Monitorar e implementar medidas de segurança para garantir o cumprimento da legislação e da regulamentação aplicáveis;
- Publicar avisos de privacidade em websites e programas externos;
- Revisar e manter atualizada a Documentação Orientadora relativa à Segurança da Informação que estejam na sua competência;
- Definir procedimento e templates para formalização de incidentes de dados pessoais;
- Implementar mecanismos para garantir os direitos dos Titulares de Dados;
- Prestar suporte técnico e analisar novas ferramentas e sistemas com foco na exposição de dados pessoais; e
- Garantir a aplicação das medidas de segurança proporcionais ao risco gerado pelo Tratamento de dados pessoais e em linha com a expectativa de proteção do Titular do Dado Pessoal, garantindo a integridade, disponibilidade e confidencialidade destas informações.
8.8. Área Jurídica
- Assessorar juridicamente a Entidade e sua estrutura de governança em privacidade e proteção de dados no cumprimento e implementação da LGPD nos processos internos e externos;
- Assegurar que os contratos que contemplem o uso/tratamento bem como o compartilhamento ou a transferência de dados pessoais contenham cláusulas de privacidade e proteção adequadas à legislação e regulamentação aplicáveis;
- Prestar apoio jurídico na ocorrência de vazamentos de dados pessoais;
- Prestar apoio jurídico na interpretação da legislação e regulamentação relativas à privacidade e proteção de dados pessoais;
- Apoiar na renegociação de contratos/aditivos com fornecedores e clientes que realizam o Tratamento de dados pessoais; e
- Apoiar na interface com Autoridades Nacionais de dados pessoais.
8.9. Todos os colaboradores do Secovi-SP incluindo gestores e dirigentes e demais pessoas contempladas na abrangência desta política
- Responsabilizar-se pelo uso adequado de dados pessoais em suas atividades, ou seja, agir de forma consciente no que diz respeito à proteção de dados pessoais de acordo com a Política Institucional de Privacidade e Proteção de Dados Pessoais;
- Cumprir a legislação e os regulamentos aplicáveis, bem como Documentação Orientadora do Secovi-SP relativos à privacidade e proteção de dados pessoais e aplicação das medidas de Segurança de TI;
- Relatar para o Encarregado de dados (DPO) e/ou Comitê de Privacidade e Proteção de Dados imediatamente a ocorrência, ou suspeita de ocorrência, de quaisquer incidentes de segurança tais como, vazamentos, violações, negligência, acesso não autorizado, furto, exclusão ou uso indevido etc. de dados pessoais, bem como as deficiências identificadas relacionadas ou possíveis riscos de privacidade;
- Participar das atividades de treinamento em privacidade e proteção de dados conforme orientado.
9. DISPOSIÇÕES FINAIS
Reitera-se que o Secovi-SP reconhece o seu compromisso em zelar pelo tratamento adequado de dados pessoais para fins legítimos que possam ser objeto de suas atividades e reforça o seu compromisso com boas práticas de privacidade e proteção de dados, comprometendo-se a manter seu Programa de Governança em Privacidade e Proteção de Dados atualizado com as normas e recomendações emitidas pela ANPD ou outras autoridades competentes.
Ainda, o Secovi-SP assume o compromisso de revisitar a presente Política periodicamente e, a seu critério, promover modificações que atualizem suas disposições de modo a reforçar o compromisso permanente do Sindicato com a privacidade e a proteção de dados pessoais, sendo comunicadas todas as alterações realizadas oportunamente pelos canais oficiais da Instituição.
Os Colaboradores são responsáveis por conhecer e compreender todos os Documentos Orientadores que lhes forem aplicáveis. De forma similar, os Gestores são responsáveis por garantir que todos os colaboradores de sua equipe compreendam e sigam os Documentos Orientadores aplicáveis à Entidade. Havendo perguntas ou dúvidas a respeito desta Política, incluindo seu escopo, termos e definições ou obrigações, os colaboradores devem procurar seus respectivos Gestores e, se necessário o Encarregado de Dados (DPO) ou mesmo o Compliance do Secovi-SP.
Violações de qualquer Documentação Orientadora do Secovi-SP podem resultar em consequências
graves à Entidade e aos Colaboradores envolvidos. Portanto, a falha em cumprir esta Política ou relatar o conhecimento de violação desta Política poderá resultar em ação disciplinar para qualquer Colaborador envolvido.
Caso qualquer Colaborador, inclusive dirigentes e membros da Diretoria, Terceiro, Representado ou Associado tenha conhecimento de um potencial conduta ilegal ou antiética, incluindo potenciais violações às normas de Proteção de Dados Pessoais aplicáveis e/ou Documentações Orientadoras do Secovi-SP, incluindo este Documento, devem imediatamente reportar a potencial violação aos contatos informados.
Nenhuma regra prevista nas Documentações Orientadoras do Secovi-SP, incluindo esse Documento, proibirá que Colaboradores ou Terceiros possam reportar preocupações ou atividades ilegais para as autoridades reguladoras correspondentes.
Fale com o Compliance compliance@secovi.com.br
Fale com o Encarregado de Dados encarregadodedados@secovi.com.br
Navegação rápida: