Política de Privacidade
POLÍTICA RESUMIDA DE PROTEÇÃO DE
DADOS E PRIVACIDADE
Âmbito
de Aplicação:
GRUPO
TILIFORM
Válido
desde:
01/08/2021
Departamento
Responsável:
Comitê
de Proteção de Dados
Contato:
comitelgpd@tiliform.com.br
Tel.:
(14) 2106-8595
1.GERAL
1.1.Contexto
Como
parte do nosso trabalho diário, inevitavelmente nos deparamos com dados
pessoais (doravante referidos como "dados") de sócios, funcionários, fornecedores,
clientes e terceiros. Geralmente, esses dados pessoais devem ser armazenados
para cumprir nossas tarefas, analisados ou transferidos para terceiros. Esse
manuseio de dados pessoais está sujeito a Lei Geral de Proteção de Dados Pessoais
Brasileira nº. 13.709/2018 (LGPD) que
deve ser observada no tratamento de dados pessoais de toda pessoa física
identificada ou identificável.
1.2. Objetivos
O
objetivo desta Política de Proteção de Dados é fornecer a todos os sócios, funcionários
e clientes as informações necessárias para garantir o tratamento legítimo e
adequado dos dados pessoais, e garantir que todos saibam com quem entrar em
contrato em caso de dúvidas, incertezas ou solicitação de outras informações.
1.3. Escopo
A
Política de Proteção de Dados se aplica a todos os sócios e funcionários da TILIFORM.
1.4. Definições
·Titular:
Qualquer
pessoa natural cujos dados pessoais estão sendo tratados. Isso inclui, por
exemplo, fornecedores, clientes ou pessoas de outras empresas. Também são
considerados titulares os funcionários, abrangendo também os candidatos às
vagas na TILIFORM, aposentados, funcionários temporários, estagiários, etc.
·Dados
Pessoais:
Todas
as informações individuais sobre uma pessoa natural identificada ou
identificável ("titular dos dados pessoais"). Dados pessoais de indivíduos
identificados são aquelas informações que imediatamente podem identificar uma
pessoa, tais como: nome, sobrenome, documentos pessoais (CPF, RG, CNH, Carteira
de Trabalho, passaporte e título de eleitor), endereço, telefone, e-mail, etc. Uma
pessoa é identificável se a conexão de dados puder levar a uma dedução de quem
é essa pessoa e, assim, torná-la identificável, como por exemplo, predileções,
interesses e hábitos de consumo, dados de endereço IP e geolocalização. Os
dados pessoais podem estar relacionados a circunstâncias pessoais (por exemplo,
nome, endereço, estado civil, filhos, hobbies, certificados, status
profissional) ou a circunstâncias materiais (por exemplo, renda, bens,
propriedades, seguro, e-mails, número da conta bancária).
·Dados
Pessoais Sensíveis:
Todos
os dados pessoais, incluindo informações sobre saúde (como diagnósticos ou
observações médicas), vida sexual e orientação sexual, origem racial e origem étnica
(como nacionalidade ou cor da pele), filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, dados biométricos (como impressões
digitais), dados genéticos, quando vinculado a uma pessoa física.
·Tratamento:
Toda
operação realizada com dados pessoais, com ou sem o auxílio de procedimentos
automatizados, como coleta, produção, recepção, classificação, utilização,
acesso, reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação, modificação,
comunicação, transferência, difusão ou extração. No processamento diário de
dados, é necessário levar em consideração que, para cada um dos assuntos ora mencionados,
deve ser verificado separadamente se o respectivo tratamento é permitido.
·Controlador:
A
pessoa física ou jurídica, de direito público ou privado, a quem compete,
sozinha ou em conexão com outras pessoas, as decisões sobre os objetivos e
meios de tratamento de dados pessoais.
·Operador:
Pessoa
física ou jurídica, de direito público ou privado, que realiza o tratamento de
dados pessoais em nome do controlador. O Operador realiza o tratamento de dados
pessoais conforme as instruções do Controlador, que permanece como proprietário
dos dados.
·Agentes
de tratamento:
O
Controlador e o Operador.
·Anonimização:
Utilização
de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio
dos quais um dado perde a possibilidade de associação, direta ou indireta, a um
indivíduo;
2. PRINCÍPIOS BÁSICOS DA LEI
DE PROTEÇÃO DE DADOS
2.1. Finalidade
Realização
do tratamento de dados pessoais para propósitos legítimos, específicos,
explícitos e informados ao titular, sem possibilidade de tratamento posterior
de forma incompatível com essas finalidades. Os dados pessoais podem ser
processados apenas para os fins para os quais foram coletados. Os fins devem
ser especificados e documentados no momento da coleta dos dados.
As
alterações posteriores de finalidade dos dados coletados são permitidas apenas dentro
de um limite mínimo, por exemplo, se houverem interesses legítimos da TILIFORM,
desde que observados os propósitos legítimos e específicos para o novo
tratamento e a preservação dos direitos do titular dos dados pessoais, assim
como os fundamentos e os princípios estabelecidos neste instrumento.
2.2. Adequação:
Compatibilidade
do tratamento com as finalidades informadas ao titular, de acordo com o contexto
do tratamento.
2.3. Necessidade
Limitação
do tratamento ao mínimo necessário para a realização de suas finalidades, com
abrangência dos dados pertinentes, proporcionais e não excessivos em relação às
finalidades do tratamento de dados.
Portanto,
é necessário garantir que, a cada coleta de dados, apenas os dados realmente
necessários para as finalidades informadas serão coletados. Se o objetivo do tratamento
for cumprido, os dados serão excluídos, a menos que incorra em uma das
hipóteses legais.
2.4. Livre Acesso
Garantia,
aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do
tratamento, bem como sobre a integralidade de seus dados pessoais;
2.5. Qualidade dos Dados
Garantia,
aos titulares, de exatidão, clareza, relevância e atualização dos dados, de
acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
2.6. Transparência
Garantia,
aos titulares, de informações claras, precisas e facilmente acessíveis sobre a
realização do tratamento e os respectivos agentes de tratamento, observados os segredos
comercial e industrial.
2.7. Segurança
Utilização
de medidas técnicas e administrativas aptas a proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou difusão.
2.8. Prevenção
Adoção
de medidas para prevenir a ocorrência de danos em virtude do tratamento de
dados pessoais.
2.9. Não discriminação
Impossibilidade
de realização do tratamento para fins discriminatórios, ilícitos ou abusivos.
2.10. Responsabilização e
prestação de contas
Demonstração,
pelo agente de tratamento, da adoção de medidas eficazes e capazes de comprovar
a observância e o cumprimento das normas de proteção de dados pessoais e,
inclusive, da eficácia dessas medidas.
03.BASES LEGAIS PARA O TRATAMENTO DE DADOS
O
tratamento de dados pessoais somente poderá ser realizado nas seguintes
hipóteses, previstas na LGPD:
(a) Mediante
o fornecimento de consentimento pelo titular para um propósito determinado;
(b) Para
o cumprimento de obrigação legal ou regulatória pelo Controlador;
(c)Pela
administração pública, para o tratamento e uso compartilhado de dados
necessários à execução de políticas públicas previstas em leis e regulamentos
ou respaldadas em contratos, convênios ou instrumentos congêneres;
(d)Para
a realização de estudos por órgão de pesquisa, garantida, sempre que possível,
a anonimização dos dados pessoais;
(e)Quando
necessário para a execução de um contrato do qual o titular dos dados é parte
ou para execução de qualquer ação pré-contratual tomada a pedido do titular dos
dados;
(f) Para
o exercício regular de direitos em processo judicial, administrativo ou
arbitral;
(g)Para
a proteção da vida ou da incolumidade física do titular ou de terceiro;
(h)Para
a tutela da saúde, exclusivamente, em procedimento realizado por profissionais
de saúde, serviços de saúde ou autoridade sanitária;
(i)Quando
necessário para atender aos interesses legítimos do Controlador ou de terceiro,
exceto no caso de prevalecerem direitos e liberdades fundamentais do titular
que exijam a proteção dos dados pessoais;
(j)Para proteção do crédito;
Deve-se
garantir que uma das justificativas acima esteja presente durante todo o
tratamento. Se este não for mais o caso porque, por exemplo, um consentimento
foi revogado, o tratamento posterior desses dados será considerado ilegal e,
portanto, deve ser evitado.
4. PROTEÇÃO DE DADOS ORGANIZACIONAIS
4.1. Obrigação do funcionário em termos de confidencialidade
Todos
os sócios e funcionários da TILIFORM devem estar sujeitos à confidencialidade e
prestação de contas relacionadas a isto, mediante assinatura de uma declaração
de confidencialidade. Você está proibido de coletar, processar ou usar dados
pessoais sem autorização. A obrigação de confidencialidade continua mesmo após
o término de suas funções.
4.2. Comunicação de incidentes relacionados à proteção de dados
4.2.1. Contexto legal
Todo
funcionário é obrigado a informar imediatamente o seu supervisor se violar a
LGPD, no decorrer de seu trabalho.
No
caso de uma violação de dados pessoais, a TILIFORM, conforme o artigo 48 da
LGPD, tem a obrigação de informar a Autoridade Nacional de Proteção de Dados em
prazo razoável (até 72 (setenta e duas) horas). Além disso, a TILIFORM pode ser
obrigada, nos termos do artigo 48 da LGPD, a adotar providências, tais como
ampla divulgação do fato em meios de comunicação.
4.2.2. Pré-requisitos para ocorrência de violação na
proteção de dados
Uma
violação de privacidade ocorre sempre que uma violação da segurança de dados
resulta na destruição, perda, alteração, divulgação ou acesso não autorizado a
dados pessoais que foram transmitidos, armazenados ou processados. Existe uma
divulgação ilegal, por exemplo, se as pessoas envolvidas (= funcionários,
clientes, etc.) não tiverem consentido e a divulgação não for permitida por lei
(por exemplo, pela LGPD) ou por qualquer outra disposição legal (por exemplo,
um contrato da empresa). Basta que haja apenas uma suposição, com certa
probabilidade, para que exista uma falha na proteção de dados.
4.2.3. Código de conduta para uma política de proteção de dados
Para
poder reagir de forma adequada a uma falha na proteção de dados, por favor siga
as instruções abaixo e reporte nos canais especificados:
4.2.3.1. Mensagem
Assim
que você determinar ou acreditar que ocorreu uma violação de privacidade
notifique imediatamente seu gerente. Juntos, vocês enviarão uma notificação do
incidente ao encarregado de dados que consta ao final desta Política de Proteção
de Dados e também para o seguinte endereço de e-mail:
Obs.:Não hesite em relatar situações
nas quais você não tem certeza se elas atendem as condições de uma falha
proteção de dados. Considerando que a análise pode ser difícil, funcionários e
especialistas treinados, como o Encarregado pela proteção de dados, determinarão
e decidirão finalmente se realmente existe um caso de falha.
4.2.3.2. Informações a serem relatadas
No
caso de uma violação de privacidade, verifique se todas as informações
necessárias foram coletadas. Cada etapa da quebra de proteção de dados deve ser
documentada com precisão e remetido imediatamente ao encarregado de dados pelo
e-mail dpo@tiliform.com.br
4.2.3.3. Notificação de obrigações em caso de
incidentes no processamento de pedidos
Se
a TILIFORM atua como operador, os deveres de fornecer informações decorrem do
processamento do pedido. O cliente deve ser informado imediatamente que houve
uma violação da proteção de seus dados pessoais pela TILIFORM ou pelos
funcionários da TILIFORM incorreram em uma falha na proteção de dados.
Esta
obrigação de relatar é válida para cada violação de proteção de dados se os
dados pessoais processados são/foram afetados.
A notificação deve ser feita
diretamente no dia que a violação se tornou conhecida. As regras de conduta
desta seção deverão ser aplicadas.
4.2.3.4. Procedimento para uma mensagem
Os
seguintes passos deverão ser seguidos:
1. A
pessoa responsável internamente deverá informar imediatamente a gerencia, o Encarregado
pela proteção de dados e o responsável do RH/TI sobre a notificação.
2. O
Encarregado pela proteção de dados examinará o assunto juntamente com o
responsável do RH/TI e fornecerá à gerência uma avaliação e recomendações.
3. O
responsável pela proteção de dados também irá, juntamente com o responsável do
RH/TI e com a participação da pessoa relatora, preencher ou finalizar o registro
de falha na Proteção de Dados e disponibiliza-lo à diretoria.
4. A
decisão sobre se e o que fazer no caso concreto será tomada pela diretoria após
consulta com o Encarregado pela proteção de dados e do RH/TI.
4.2.3.5. O que mais deve ser considerado?
Se
você tomar conhecimento de alguma violação de privacidade, observe as seguintes
regras:
·Não
comunique a falha de proteção de dados para terceiros ou para seus colegas;
·Não
tenha medo de divulgar erros de seus colegas. Lembre-se que uma violação da
LGPD pode resultar em multas substanciais e a empresa pode sofrer danos severos
em sua reputação! Portanto, é tarefa da gerência decidir como proceder no caso
concreto e se e como o incidente será comunicado externamente.
·A
sensibilidade do tópico requer um processo de relatório interno.
·Registre
os eventos da maneira mais concreta possível ao encarregado de dados.
4.3. Verificação pelas autoridades
Será
permitido aos funcionários da Administração Pública e do Judiciário, que
precisarem acessar os dados, em especial dados pessoais, no exercício de suas
funções. Todas as medidas necessárias serão coordenadas e supervisionadas pelo
Diretor Executivo ou por seu representante nomeado.
Se
isto acontecer, a pessoa responsável internamente deve ser informada
imediatamente. A notificação da pessoa responsável, bem como o recebimento
desta notificação deverá ser documentada.
4.4. Controle pelas autoridades de supervisão de proteção de dados
Se
uma inspeção for realizada por uma autoridade supervisora de proteção de dados,
a pessoa responsável internamente e o responsável pela proteção de dados deverão
ser informados imediatamente.
De
acordo com a LGPD, a Autoridade Nacional de Proteção de Dados é obrigada a
monitorar e supervisionar a execução da LGPD e outros regulamentos de proteção
de dados. Nesse caso, a autoridade supervisora de proteção de dados tem o
direito de entrar, sob supervisão, durante o horário comercial nas instalações
da empresa, a fim de realizar inspeções e, assim, visualizar documentos
comerciais, dados pessoais armazenados e os programas de processamento de dados
da empresa. Não é necessário um anúncio por parte da autoridade competente
sobre a inspeção no local.
A
TILIFORM deve tolerar essas medidas pela Autoridade Nacional de Proteção de Dados
e garantir que as instalações nas quais ocorra o processamento de dados (como
escritórios de funcionários, salas de computadores, arquivos) sejam
disponibilizadas aos representantes da autoridade supervisora de proteção de
dados, bem como haja a disponibilização das senhas necessárias e dos documentos
relevantes. Além disso, mediante requerimento, a autoridade de supervisão
também deve receber todas as informações necessárias para desempenhar suas
funções.
4.5. Treinamento
A
TILIFORM treina os funcionários em relação às disposições relevantes sobre
proteção de dados. O treinamento dos funcionários será documentado, indicando o
conteúdo, a data e o treinador.
4.6. Registro de atividades de tratamento de dados
4.6.1.Geral
A
Lei Geral de Proteção de Dados Pessoais exige que a TILIFORM compile e mantenha
uma lista de atividades de tratamento. Isso deve ser feito, por um lado pelos controladores
e, por outro pelos operadores.
O
registro de atividades de tratamento de dados geralmente é fornecido às
autoridades de supervisão de proteção de dados durante a inspeção para
proporcionar uma visão geral do processamento atual de dados.
Portanto,
verifique se elas estão sempre atualizadas.
4.6.2. Criação ou modificação do Registro de atividades de tratamento de
dados
Os
departamentos técnicos criam o Registro de atividades de tratamento de dados
para todas as atividades de processamento que eles usam no local de trabalho e
para as quais os dados pessoais são armazenados, processados e utilizados. No
caso de novos procedimentos, a preparação deve ser realizada antes da sua
introdução e entregue à pessoa responsável internamente.
O
Registro de atividades de tratamento de dados é complementada por referência às
análises de proteção de dados relacionadas à admissibilidade do processamento
de dados, à necessidade de realizar uma avaliação de impacto e à respectiva
declaração do responsável pela proteção de dados.
4.7. Avaliação de impacto na privacidade
Em
certos casos, a TILIFORM deve realizar um Relatório de Impacto à Privacidade
dos Dados, por exemplo, se o processamento puder representar altos riscos para os
titulares dos dados. Podem surgir altos riscos quando são realizadas vigilância
por vídeo ou desempenho automatizado de funções dos funcionários e quando são
realizados testes comportamentais.
A
necessidade de realizar ou não uma avaliação de impacto será determinada pela diretoria
e pelo Encarregado pela proteção de dados. Em casos específicos, eles também
determinam quem será envolvido no processo ou quem irá implementar a avaliação
de impacto.
4.8. Cumprimento das medidas técnico-organizacionais/segurança dos dados
Para
garantir a segurança dos dados pessoais armazenados na TILIFORM, foram
implementadas medidas técnicas e organizacionais apropriadas que também
garantem a proteção dos dados contra acesso, processamento ou divulgação não
autorizados, bem como perda acidental, alteração ou destruição. Em particular,
a TILIFORM tomou medidas para garantir um nível de proteção adequado ao risco
de processamento em termos de confidencialidade, integridade, disponibilidade e
resiliência dos sistemas de TI, banco de dados, etc. A proteção da
confidencialidade é implementada através do controle de acesso e desconexão. A
integridade é implementada através do controle de transferência, controle de
entrada e controle de pedidos. A disponibilidade e a resiliência são garantidas
por meio de medidas de disponibilidade e monitoramento regular.
Essas medidas
técnicas e organizacionais estão descritas no Sistema de Gerenciamento de
Segurança da Informação da TILIFORM. Elas são adaptadas continuamente para
refletirem desenvolvimentos técnicos e mudanças organizacionais.
5. DIREITOS DOS
TITULARES
Por
lei, o titular dos dados tem vários direitos em relação ao processamento de
seus dados pessoais. A TILIFORM estabeleceu um ponto de contato central, sendo
a única responsável por responder questões relativas a relacionamento externo.
No
entanto, entre em contato com o responsável pela proteção de dados ou com o
responsável interno se tiver alguma dúvida ou se um titular de dados entrar em
contato diretamente com você.
Existem
os seguintes direitos das pessoas em questão:
5.1. Direito à informação
O
titular dos dados pode exigir, a qualquer momento, informações gratuitas sobre
quais dados a TILIFORM processa sobre ele, os objetivos do processamento, a
duração do armazenamento ou os critérios para determinar a duração do armazenamento
e os destinatários dos dados. O titular também deve ser informado de seus
direitos à retificação, exclusão, limitação de processamento ou de seus
direitos de objeção.
Além
disso, existe o direito de receber uma cópia dos dados.
Isso
significa que todo titular de dados tem o direito de entrar em contato com o
departamento responsável a qualquer momento para realizar perguntas ou
reclamações. As informações devem ser fornecidas prontamente e de maneira
apropriada e oportuna para as os titulares dos dados. Geralmente ocorre por
escrito ou de forma eletrônica.
Em
relação aos pedidos de informações deve-se garantir que as informações sejam
enviadas apenas às pessoas autorizadas.
Portanto, é sempre necessário identificar de forma clara o solicitante
(por exemplo, por endereço de e-mail, número de transação, etc.) antes de
divulgar informações pessoais.
5.2. Direito de corrigir, excluir e reestruturar o processamento
Além
disso, os titulares dos dados têm direitos de correção em relação aos dados
pessoais armazenados pela TILIFORM, assim titular de dados tem, por exemplo, o
direito de corrigir dados pessoais incorretos ou incompletos armazenados pela TILIFORM.
Ademais,
a TILIFORM deve excluir as informações pessoais armazenadas se o fundamento
legal para seu processamento for revogado. Se houver o direito de excluir os
dados pessoais, mas a exclusão não for possível ou for imotivada os dados
pessoais deverão ser bloqueados para usos inadmissíveis.
O
titular dos dados poderá solicitar uma limitação do processamento se considerar
que seus dados estão incorretos; em princípio os dados deverão ser excluídos,
porém, os dados ainda serão necessários pela TILIFORM para processar ações
judiciais ou pela pessoa em causa contra o processamento de dados da TILIFORM,
devido a interesses legítimos que eles negam devido à sua situação específica.
Se
a TILIFORM divulgou os dados, os destinatários devem ser informados sobre a
correção, exclusão ou restrição - a menos que isso seja impossível ou exija um
esforço desproporcional.
5.3. Direito à portabilidade de dados
Se
o titular dos dados fornecer à TILIFORM seus dados com base em seu
consentimento ou em razão de uma relação contratual com a TILIFORM, a TILIFORM
é obrigada a fornecer esses dados em um formato padrão mediante solicitação do
titular, ou se for possível, a um terceiro por ele designado.
5.4. Direito de objeção
Se
a TILIFORM processa dados com base em um interesse legal, o titular dos dados
pode se opor a esse processamento por razões que decorrem de situação
específica. O direito de objeção não existe se a TILIFORM reter os dados para,
por exemplo, o exercício de reivindicações legais ou se os interesses da TILIFORM
impedirem o término do processamento.
5.5. Direito de retirada
Se
a pessoa em questão tiver dado o seu consentimento em relação ao tratamento de
seus dados pessoais, poderá, a princípio, revoga-lo em qualquer momento com
efeitos a partir de uma data específica. Por exemplo, o titular dos dados pode se
opor ao processamento de seus dados pessoais para fins de publicidade a
qualquer momento. Se os dados forem necessários em outros contextos (por
exemplo, obrigações de arquivamento), eles poderão ser utilizados apenas para
esse fim específico e, caso contrário, deverão ser bloqueados.
5.6. Direito de reclamação
A
pessoa em questão tem o direito de entrar em contato com o responsável pela
proteção de dados a qualquer momento. Ela também tem o direito de registrar uma
reclamação junto à Autoridade de Proteção de Dados responsável, ou seja, na Autoridade
Estadual responsável pela proteção de dados da Federação, na qual a pessoa
responsável estiver situada.
6. CONTATO COM O ENCARREGADO DE DADOS
A
TILIFORM nomeou um responsável interno para a proteção de dados:
Nome:
Danilo Maldonado
Celular/WhatsApp:
(14) 99853-3380
E-mail para reportar questões
sobre privacidade: dpo@tiliform.com.br