1. Objetivo

Estabelecer diretrizes e orientações para o tratamento de dados pessoais, com o objetivo de proteger a privacidade de clientes, empregados, parceiros e fornecedores visando à gestão de dados pessoais e à gestão de incidentes de Segurança da Informação no ambiente convencional ou de tecnologia da empresa da EASY-WAY DO BRASIL CONSULTORIA E INFORMÁTICA LTDA. (“EASY-WAY”).

2. Referências

  • Lei no. 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD).
  • Lei no. 13.853/2019 – Altera a Lei no 13.709/2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados (ANPD).

3. Princípios

  • FINALIDADE: realização do tratamento de dados para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
  • ADEQUAÇÃO: compatibilidade do tratamento de dados com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
  • NECESSIDADE: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados informadas.
  • LIVRE ACESSO: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
  • QUALIDADE DOS DADOS: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
  • TRANSPARÊNCIA: garantia aos titulares de dados, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e seus respectivos agentes de tratamento, observados os segredos comercial e industrial.
  • SEGURANÇA: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
  • PREVENÇÃO: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
  • NÃO DISCRIMINAÇÃO: impossibilidade de realização do tratamento de dados para fins discriminatórios ilícitos ou abusivos.
  • RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

4. Diretrizes

4.1. Público Alvo

Esta política deve ser aplicada a todos os colaboradores da EASY-WAY que realizem atividades que envolvam, de forma direta ou indireta, tratamento de dados pessoais.

4.2. Base Legal de Tratamento de Dados

O tratamento de dados pessoais, ou seja, a realização de coleta, acesso, exclusão, edição, ou qualquer outra operação, somente deve ser realizada dentro de uma das bases legais dispostas no art. 7º da Lei Geral de Proteção de Dados Pessoais (LGPD).

4.3. Coleta Mínima de Dados e Consentimento

Os processos que envolvam coleta de dados pessoais deverão ser ajustados pela EASY-WAY com base no conceito de coleta mínima, com finalidades específicas e obtenção do respectivo consentimento, quando couber.

4.4. Consentimento

Caso o tratamento de dados seja baseado no consentimento, no momento da coleta, o titular do dado pessoal deve consentir e ser informado de forma clara e explícita sobre a finalidade, a natureza obrigatória ou facultativa do fornecimento, e sobre as consequências da negativa em fornecê-los. O consentimento poderá ainda ser renovado periodicamente e pode ser revogado a qualquer momento, a pedido do titular.

4.5. Gestão de Instrumentos Contratuais

Os contratos, convênios e demais instrumentos contratuais relacionados a atividades que envolvam tratamento de dados pessoais, devem prever de forma explícita a responsabilidade do correto tratamento de dados por parte de terceiros, bem como garantir a realização de diligências, com previsão de “direito de regresso” da EASY-WAY em caso de descumprimento da outra parte.

4.6. Gestão de Incidentes

Deverão ser elaboradas pela EASY-WAY os procedimentos e planos de resposta a incidentes relacionados à privacidade de titulares de dados, a partir de critérios de controle e registro de vazamentos, bem como comunicação aos envolvidos e à Autoridade Nacional de Proteção a Dados.

4.7. Segurança da Informação

As medidas contra vazamento de dados, bem como investimentos em ferramentas e processos de segurança, devem priorizar a proteção de dados pessoais sensíveis, quando aplicáveis, bem como daqueles dados cujo tratamento utiliza como base legal, o legítimo interesse do controlador.

4.8. Inventário de Dados

O inventário de dados pessoais na EASY-WAY deverá ser mantido permanentemente atualizado, identificando os tipos documentais e as informações que os contêm, visando seu tratamento (incluindo eventual obtenção de consentimento do titular) em acordo com a respectiva base legal, com adoção do conceito de coleta mínima.
O inventário deve ser realizado considerando o contexto de produção ou acúmulo dos documentos e informações, estruturado a partir do Plano de Classificação de Documentos da EASY-WAY.

4.9. Governança de Privacidade e Dados Pessoais

O Programa de Governança em Privacidade da EASY-WAY deverá ter por objetivo o estabelecimento de relação de confiança com os titulares de dados pessoais, por meio de atuação transparente, com monitoramento contínuo e avaliações periódicas integradas a sua estrutura geral de governança, deverão ser processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais.

4.10. Capacitação e Conscientização

Devem ser promovidas, de forma continuada, ações educacionais, treinamentos de capacitação, sensibilização e conscientização sobre as melhores práticas acerca do tratamento de dados pessoais na EASY-WAY bem como a ampla divulgação dos riscos e ameaças da não utilização dessas práticas.

4.11. Navegação na web e cookies

A EASY-WAY poderá, mediante mecanismos de obtenção e revogação de consentimento dos usuários, utilizar-se de cookies e tecnologias semelhantes, visando compreender melhor o comportamento dos usuários, informando quais páginas e conteúdos dos sites foram visitados, contribuindo para a eficácia na distribuição de conteúdo.

4.12. Sistemas de Tecnologia de Informação

Os sistemas de Tecnologia da Informação de suporte a processos e atividades que envolvam tratamento de dados pessoais que forem desenvolvidos ou adquiridos pela EASY-WAY, deverão seguir o conceito de Privacy by Design. Portanto, sua aderência à LGPD e a esta Política devem ser observadas desde sua concepção/aquisição.

4.13. Metodologia de Projetos

A metodologia de gestão de projetos da EASY-WAY deverá considerar o conceito de Privacy by Design, visando evitar o surgimento de novos processos, atividades, sistemas, práticas, projetos, produtos ou qualquer outra solução que não esteja aderente à LGPD.

4.14. Atendimento a Requerimentos do Titular de Dados Pessoais (Data Subject Request – DSR)

A EASY-WAY deverá disponibilizar mecanismos para atendimento aos direitos dos titulares de dados previstos na LGPD, com destaque para confirmação e acesso a dados, retificação, restrição de tratamento, revogação de consentimento e exclusão de dados, sempre observando os impactos e os direitos do controlador.

A ouvidoria do(a) CLIENTE será, preferencialmente, os canais oficiais de recebimento dos requerimentos dos titulares de dados pessoais, apoiando o Encarregado pelo Tratamento de Dados Pessoais (DPO): lgpd@ewb.com.br.

5. Responsabilidades

  • Diretoria da EASY-WAY – Aprovar esta política e os documentos normativos derivados que permitam sua implantação.
  • Área responsável pela Segurança da Informação na EASY-WAY – Apoiar o encarregado pelo tratamento de dados pessoais em suas atribuições. Coordenar e apoiar metodologicamente a realização do inventário de dados pessoais, a partir de informações fornecidas pelas áreas das empresas. Elaborar procedimentos para tratamento e resposta a incidentes relativos à privacidade de titulares de dados.
  • Encarregado pelo Tratamento dos Dados Pessoais – Responsável pela interlocução junto aos titulares de dados e junto à Autoridade Nacional de Proteção de Dados – ANPD, incluindo reporte de incidentes, orientando colaboradores e terceiros a respeito das práticas relativas à proteção de dados pessoais e privacidade.
  • Gestores das áreas – Zelar pelas informações produzidas e recebidas por sua equipe em razão das atividades da área, realizando e monitorando o inventário de dados sob sua responsabilidade, sua adequada classificação e autorização de acesso, bem como o mapeamento, implantação e operacionalização de seus controles, fazendo cumprir as diretrizes desta política.
  • Colaboradores – Cumprir esta política e os demais instrumentos que a regulamentam, utilizando do uso de forma responsável, profissional, ética e legal as informações corporativas que contenham dados pessoais, respeitando os direitos e a privacidade dos titulares dos dados.
  • Área de gestão de pessoas – Promover ações de treinamento e desenvolvimento referentes à proteção de dados pessoais e privacidade, incluindo aspectos técnicos, normativos e comportamentais.

6. Conceitos

6.1. Anonimização

Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

6.2. Autoridade Nacional de Proteção de Dados – ANPD

Órgão da administração pública responsável por zelar, implantar e fiscalizar o cumprimento da LGDP.

6.3. Coleta Mínima

Conceito derivado do princípio da finalidade, que define que a coleta de dados só pode ser realizada com finalidade específica e esta deve ser informada aos titulares previamente. Desse princípio, resulta o da minimização da coleta. Ou seja, a coleta se restringe aos dados necessários para atingir ao fim específico.

6.4. Controlador

Pessoa que tem competência para tomar decisões referentes ao tratamento de dados pessoais. Essa pessoa pode ser natural ou jurídica, de direito público ou privado.

6.5. Dado Anonimizado

Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

6.6. Dado Pessoal

Informação relacionada à pessoa natural identificada ou identificável, que a identifique ou possa identificar, tais como nome, números, códigos de identificação, telefones, endereços.

6.7. Dado Pessoal Sensível

Dado cujo tratamento pode ensejar a discriminação do seu titular. Diz respeito a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

6.8. Encarregado pelo Tratamento dos Dados Pessoais (Data Protection Officer – DPO)

Profissional indicado pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.

6.9. Operador

Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

6.10. Privacidade desde a Concepção (Privacy By Design)

Metodologia na qual a proteção de dados pessoais é pensada desde a concepção de sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de dados pessoais.

6.11. Relatório de Impacto à Proteção de Dados Pessoais (Data Protection Impact Assessment – DPIA)

Documentação do controlador que contém o detalhamento de todos os processos de tratamento pelos quais os dados pessoais passam durante o seu ciclo de vida na operação, assim como as bases legais necessárias e as medidas de segurança adotadas no tratamento desses dados, bem como as medidas, salvaguardas e mecanismos de mitigação de risco.

6.12. Titular de Dados Pessoais

Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

6.13. Tratamento de Dados Pessoais

Toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle de informação, modificação, comunicação, transferência, difusão ou extração.

7. Disposições Gerais

  • O presente documento deve ser lido e considerado em conjunto com outros padrões, normas e procedimentos aplicáveis e relevantes adotados pela EASY-WAY, incluindo seus anexos. Além disso, esta política deve ser desdobrada em outros documentos normativos específicos, sempre alinhados às diretrizes e princípios aqui estabelecidos.
  • As diretrizes aqui estabelecidas devem nortear a atuação, destacadamente, das áreas responsáveis pela tecnologia da informação, gestão de pessoas, suprimentos, gestão documental e segurança da informação da EAY-WAY, contribuindo para uma visão única e integrada.
  • Deve ser assegurado pela EASY-WAY que esta política e seus documentos normativos complementares sejam amplamente divulgados aos seus colaboradores, visando a sua disponibilidade para todos que se relacionam com a organização e que, direta ou indiretamente, são impactados.
  • A EASY-WAY deve manter um programa de atualização e revisão, de no máximo a cada três anos, dessa política e dos demais instrumentos regulamentares subordinados a ela, visando garantir que todos os requisitos de segurança técnicos e legais implantados estejam sendo cumpridos, atualizados e em conformidade com a legislação vigente e alinhados com a sua política de negócios.