POLÍTICA DE PRIVACIDADE
Versão 01 • 11/01/2024 • Conferida por Lopes Digital (DPO as a Service)
[email protected]
1 OBJETIVOS
A Zarv do Brasil Ltda. (“ZARV” ou “Organização”) entende que a privacidade é um direito fundamental da pessoa natural e, por isso, é necessário garantir a gestão sistemática e efetiva de todos os aspectos relacionados à proteção de dados pessoais e dos direitos dos titulares no desenvolvimento de sua atividade profissional.
Dessa forma, a Zarv institui a presente Política de Privacidade e Proteção de Dados Pessoais (“Política”) a fim de promover uma cultura alinhada à privacidade e à proteção dos dados pessoais e fortalecer seu compromisso com os padrões de ética e de probidade que regem sua atuação profissional, a contínua valorização dos seus profissionais, clientes e parceiros e a satisfação das exigências estabelecidas pela Lei Geral de Proteção de Dados Pessoais (“LGPD”).
2 ESCOPO
Considerados os requerimentos legais, regulatórios, contratuais e técnicos a que se acha sujeita, a Zarv estabelece que o escopo da presente Política inclui todos os departamentos da empresa, os ativos de rede e de tecnologia da informação de que se utilizam e as atividades e processos que eles executam no cumprimento do objeto social da organização.
Eventuais exceções ao escopo desta Política não implicam a ausência de controles e medidas técnicas e administrativas apropriadas no departamento(s), atividade(s) e/ou processo(s) e ativo(s) de rede e de tecnologia da informação.
3 TERMOS E DEFINIÇÕES
a) Agente de Tratamento: O controlador e o operador.
b) Autoridade Nacional de Proteção de Dados (“ANPD”): Autarquia federal responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.
c) Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
d) Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
e) Titular dos dados pessoais: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
f) Encarregado pelo Tratamento de Dados Pessoais (“Encarregado”): Pessoa (física ou jurídica) indicada pelo controlador e operador para atuar como canal de comunicação entre o agente de tratamento, os titulares dos dados e a ANPD.
g) Dado pessoal: Qualquer informação que seja relacionada à pessoa natural identificada ou identificável. O conceito abrange informações que diretamente identificam o titular, como nome, RG, CPF e endereço, bem como as que indiretamente identificam o titular, como dados de localização e demais identificadores eletrônicos.
h) Dado pessoal sensível: Dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
i) Tratamento de dados pessoais: Toda e qualquer operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
4 PAPÉIS E RESPONSABILIDADES
A Zarv dispõe de dupla linha de atuação em privacidade e proteção de dados. Na primeira linha, figuram os apoiadores de privacidade responsáveis por zelar pela correta execução do programa de governança em privacidade e proteção de dados e prestar apoio e suporte à atividade do Encarregado. Já a segunda linha é composta pelo Encarregado pelo tratamento de dados pessoais.
4.1 Apoiadores de privacidade
Descrição: Cada área da Zarv contará com um apoiador de privacidade, que funcionará como o ponto focal da respectiva área junto ao Encarregado. O apoiador de privacidade é responsável por promover, no âmbito da respectiva competência, a observância das políticas, normas e procedimentos que compõem a o programa de governança em privacidade e proteção de dados da Zarv.
Responsabilidades:
• Observar fielmente a Política e demais instrumentos da governança em privacidade e proteção de dados pessoais;
• Apoiar a atualização do registro das operações de tratamento de dados pessoais, no âmbito das respectivas atribuições;
• Apoiar a identificação, avaliação e gestão de riscos em privacidade e proteção de dados, sob a orientação do Encarregado, no âmbito das respectivas atribuições;Apoiar as medidas técnicas, administrativas e organizacionais necessárias para conformidade com a LGPD e as leis de proteção de dados pessoais aplicáveis, no âmbito das respectivas atribuições;Apoiar relativamente à realização de Relatório de Impacto à Proteção de Dados Pessoais e a Avaliação de Legítimo Interesse, bem assim outras avaliações e relatórios que se fizerem necessários, sob orientação do Encarregado, no âmbito das respectivas atribuições;Promover a participação das campanhas de conscientização e treinamentos sobre temas correlatos à privacidade, proteção de dados e segurança da informação;Comunicar ao Encarregado qualquer evento que viole a Política, os demais instrumentos da estrutura de governança da Zarv ou resulte ou possa vir a resultar em incidente de segurança envolvendo dados pessoaisDe qualquer outro modo, apoiar o Encarregado no desempenho das suas atribuições.
4.2 Encarregado pelo Tratamento de Dados Pessoais Descrição: A ZARV assegura que o Encarregado, com perfil e experiência profissional compatíveis com a sensibilidade, volume e complexidade das operações de tratamento de dados pessoais realizadas pela organização, goza da autonomia operacional necessária ao desempenho de suas atribuições, observados os papéis e responsabilidades descritos, e garantido o envolvimento tempestivo e adequado nos temas relativos à proteção da privacidade e de dados pessoais.
Responsabilidades: O Encarregado é responsável, especificamente, por:Aconselhar e recomendar sobre a interpretação e aplicação da LGPD e as leis de proteção de dados pessoais aplicáveis, inclusive sobre os deveres da Zarv e de seus colaboradores e fornecedores nesse sentido, de forma a promover o programa de governança em privacidade e proteção de dados; Aconselhar a adoção das medidas técnicas, administrativas e organizacionais necessárias para conformidade com a LGPD e as leis de proteção de dados pessoais aplicáveis; Aconselhar relativamente ao registro das atividades de tratamento de dados pessoais; Aconselhar relativamente à realização de Relatório de Impacto à Proteção de Dados Pessoais e a Avaliação de Legítimo Interesse, bem assim outras avaliações e relatórios que se fizerem necessários; Aconselhar relativamente à identificação e análise de risco relativo ao tratamento de dados pessoais, inclusive quando houver transferência internacional;Aconselhar relativamente a análise de acordos de tratamento de dados pessoais, inclusive quando houver transferência internacional;Orientar os colaboradores e os contratados da Empresa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; Auxiliar no treinamento e conscientização dos funcionários e, quando o caso, de terceiros contratados, a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; Monitorar o cumprimento e a adequação das medidas técnicas e organizacionais adotadas pela Empresa, bem como o nível de conformidade com as normas de proteção de dados aplicáveis; Aconselhar e adotar, nos limites de sua competência, as providências necessárias quando da ocorrência de violações de dados pessoais, em conformidade com os prazos legais, inclusive quanto à elaboração da comunicação de incidente de segurança com dados pessoais; Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, em conformidade com os prazos legais; Receber comunicações da ANPD e adotar providências, em conformidade com os prazos legais; Executar as demais atribuições determinadas ou estabelecidas em normas complementares.
4.3 Colaboradores
Descrição: Os colaboradores são responsáveis por apoiar a gestão eficiente da governança em privacidade e proteção de dados, respeitadas as respectivas competências, mediante cumprimento do procedimento estabelecido nesta Política e demais instrumentos aplicáveis.
Responsabilidades:Observar fielmente a Política e demais instrumentos da governança em privacidade e proteção de dados pessoais;Auxiliar, quando requisitados e no âmbito das respectivas atribuições, o Encarregado ou os apoiadores de privacidade;Participar das campanhas de conscientização e treinamentos conduzidos pela equipe de privacidade; Comunicar ao Encarregado qualquer evento que viole a Política, os demais instrumentos da estrutura de governança da Zarv ou que resulte ou possa vir a resultar em incidente de segurança envolvendo dados pessoaisDe qualquer outro modo, apoiar o Encarregado no desempenho das suas atribuições.
5 NORMAS GERAIS PARA AS OPERAÇÕES DE TRATAMENTO DE DADOS
A gestão da governança em privacidade e proteção de dados pessoais apoia-se nas diretrizes estabelecidas nesta Política e nos seguintes instrumentos, os quais disciplinarão os respectivos temas no âmbito da Organização:Normativo para monitoramento do programa de privacidade;Normativo para gestão de riscos de terceiros em privacidade e proteção de dados pessoais;Normativo para gestão das petições dos titulares de dados pessoais;Normativo para gestão de riscos em privacidade e proteção de dados pessoais;Normativo para aplicação da privacidade por
design;Normativo para gestão de Relatório de Impacto à Proteção de Dados;Normativo para gestão da Avaliação de Legítimo Interesse;Normativo para gestão de incidente de segurança envolvendo dados pessoais.
6 PRINCÍPIOS ORIENTADORES DO TRATAMENTO DE DADOS PESSOAIS
A ZARV reconhece a importância dos princípios para a garantia de proteção da privacidade e dos dados pessoais dos titulares, assim como para a salvaguarda da conformidade da Organização. Diante disso, a Zarv adere e replica o conjunto de princípios que orientam as suas operações de tratamento de dados pessoais.
6.1 Legalidade, finalidade e boa-fé
A Zarv assegura que o tratamento dos dados pessoais é realizado de forma lícita, justa e compatível com os padrões sociais de ética, correção e transparência, respeitadas as legítimas expectativas nela depositadas, para atender objetivos bem determinados.
6.2 Adequação e Necessidade
A Zarv assegura que o tratamento dos dados pessoais é realizado de forma compatível e com o emprego dos dados estritamente necessários para alcançar a finalidade previamente informada ao titular dos dados pessoais. Assim, a Organização não realiza e não admite a realização de tratamento posterior dos dados pessoais para finalidades novas, distintas ou incompatíveis com o propósito original, salvo quando comunicado ao titular ou se tratar de hipótese admitida pela LGPD. Do mesmo modo, a Zarv não utiliza e não admite a utilização de dados excessivos, desproporcionais ou não necessários em relação ao propósito que ensejou o tratamento dos dados pessoais. Desse modo, a Zarv assegura a retenção dos dados pessoais pelo tempo estritamente necessário para atender à finalidade que ensejou a operação de tratamento realizada pela Organização, excetuadas as hipóteses legais estabelecidas na LGPD.
6.3 Livre acesso, qualidade e transparênciaA Zarv assegura ao titular de dados o acesso facilitado às informações relativas ao tratamento de seus dados pessoais.Além disso, a Zarv garante ao titular dos dados pessoais a consulta facilitada e gratuita à integralidade dos seus dados pessoais objetos de tratamento pela Organização. Por fim, a Zarv se compromete a garantir a exatidão, a clareza, a relevância e a atualização dos dados pessoais objetos de tratamento, considerada a respectiva finalidade, dentro dos limites da responsabilidade da Organização.
6.4 Não discriminação
A Zarv não realiza e não admite a realização de tratamento de dados pessoais com fins discriminatórios, ilícitos ou abusivos, independentemente da qualidade ou das categorias dos dados pessoais envolvidos, da forma e dos recursos tecnológicos utilizados pela Organização.
6.5 Segurança, prevenção e responsabilização
A Zarv assegura a adoção de medidas organizacionais e técnicas aptas a garantir a proteção da privacidade e dos dados pessoais dos indivíduos, a fim de prevenir ou minimizar riscos e danos eventualmente decorrentes do tratamento para os titulares interessados e para a Organização.Igualmente, a Zarv assegura a adoção de medidas eficientes e capazes de demonstrar a observância e a estrita conformidade com a LGPD, cuja supervisão caberá ao Encarregado, nos limites dos papéis e responsabilidades descritos em sua estruturação.
7 CONFIDENCIALIDADE
A Zarv entende que os dados pessoais são, por definição, classificados como confidenciais. Diante disso e a fim de garantir a necessária confidencialidade em todas as etapas do tratamento, a Zarv dispõe de procedimentos e mecanismos que facultam o acesso aos dados pessoais aos colaboradores, colaboradores terceirizados e operadores de acordo com a necessidade , conforme o caso, estritamente para garantir o desenvolvimento seguro e eficaz das correspondentes responsabilidades e garantindo o sigilo mediante a celebração de acordos de não confidencialidade e mecanismos eficazes de seu cumprimento.
8 DIREITOS DOS TITULARES DOS DADOS PESSOAIS
A Zarv assegura o respeito e viabiliza os mecanismos adequados ao exercício dos direitos conferidos aos titulares dos dados pessoais pela LGPD, na forma do normativo para gestão das petições dos titulares de dados pessoais.
9 SANÇÕES
As violações, mesmo que por mera omissão ou tentativa não consumada, desta Política, bem como demais instrumentos da estrutura de governança serão devidamente apuradas e podem resultar na aplicação de penalidades. Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em riscos aos titulares de dados pessoais, ou dano à Zarv, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes, sem prejuízo daquelas descritas acima.
10 CANAL DE COMUNICAÇÃO
A ZARV adota o seguinte endereço como canal de comunicação para comunicações versando sobre a governança em privacidade e proteção de dados:
[email protected]
11 MANUTENÇÃO E ATUALIZAÇÃO
A Zarv reserva-se o direito, a seu próprio critério e prazo, de excluir, modificar, suprimir ou complementar as diretrizes estabelecidas nesta política. A validade deste documento é indeterminada. Não há um prazo definido para a expiração do documento. Esta Política entrará em vigor na data de sua emissão.
São José dos Campos, 11/01/2024