POLÍTICA INTERNA DE PROTEÇÃO DE DADOS PESSOAIS TECBIS

 

 

INTRODUÇÃO

A legislação de proteção a dados de pessoas naturais é um instrumento necessário para garantir maior segurança jurídica e respeitabilidade aos direitos humanos fundamentais. A conformidade com a LGPD tem sido um fator decisivo na aplicação das melhores práticas em processos internos da TECBIS – Soluções em Infraestrutura de TI.

OBJETIVO DA POLÍTICA
O objetivo desta política é orientar a todos os membros da TECBIS  acerca das boas práticas em proteção de dados pessoais, visando a conformidade com a Lei nº 13.709 de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais.

 

1. CONCEITOS BÁSICOS E DEFINIÇÕES
Dado Pessoal: É qualquer informação relacionada a uma pessoa natural identificada ou identificável.

Dado pessoal sensível: qualquer dado pessoal que contenha informação sobre:

  • Saúde

  • Origem racial ou étnica.

  •  Convicção religiosa.

  •  Opinião política.

  •  Filiação a sindicato ou organização de caráter religioso, filosófico ou político.

  • Genética ou biometria.

  • Vida sexual.

 

Titular dos dados: É a pessoa natural (física) a quem se referem os dados. Tratamento: qualquer operação com os dados pessoais, incluindo armazenamento. Consentimento: manifestação livre e inequívoca pela qual o titular concorda com o tratamento dos seus dados pessoais para uma finalidade específica.


Controlador: É a pessoa física ou jurídica, de direito público ou privado, que administra e toma decisões sobre o tratamento de dados pessoais.


Operador: É a pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento dos dados pessoais em nome do controlador. São operadores os empregados, prestadores de serviço e demais parceiros que participam do tratamento de dados pessoais dentro da empresa.

Encarregado: É a pessoa indicada pelo controlador para ser responsável pela comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANDP).

Relatório de impacto à proteção de dados pessoais: É o documento que contém a descrição dos processos de tratamento de dados pessoais, e as competentes avaliações de risco às liberdades civis e aos direitos fundamentais, com as necessárias medidas de mitigação de risco.


 

2. PRINCÍPIOS DA LGPD

As atividades de tratamento de dados pessoais deverão observar a boa-fé e os princípios abaixo. Caso alguma atividade de tratamento de dados pessoais não respeite os princípios da LGPD, a política deverá ser revista imediatamente.

 

Adequação: O tratamento dos dados tem que ser compatível com a finalidade informada ao titular.

Necessidade: O tratamento deve ser limitado ao mínimo necessário para atingir a finalidade proposta.

Livre acesso: Os titulares tem o direito de acessar a qualquer tempo as informações referentes ao tratamento que seus dados recebem.

Qualidade dos dados: O tratamento dos dados deve mantê-los exatos, claros, relevantes e atualizados, sem discrepâncias ou distorções.

Transparência: O tratamento dos dados deve ser explicado aos titulares de maneira transparente e acessível, observado o segredo comercial e industrial necessário.

 Segurança: Todos os dados pessoais devem ser protegidos pelo controlador, para que não sejam perdidos, alterados, destruídos ou acessados indevidamente.

Prevenção: O controlador deve tomar todas as medidas para prevenir danos provenientes do tratamento de dados pessoais.

Não discriminação: O tratamento de dados pessoais não deve ser realizado com finalidades discriminatórias, ilícitas ou abusivas.

Responsabilização e prestação de contas: A demonstração, aos titulares, das medidas utilizadas devem garantir conformidade com a Lei Geral de Proteção de Dados Pessoais.


3- RESPONSABILIDADE COMPARTILHADA

A responsabilidade pelo correto tratamento dos dados pessoais dentro da empresa é compartilhada entre todos aqueles que atuam como operadores, sendo fundamental a cooperação de todos para que a empresa esteja sempre em conformidade com a lei, oferecendo segurança a todos os titulares de dados pessoais sob seu controle.

Nos termos dos art. 42 e seguintes da Lei Geral de Proteção de Dados (Lei 13.709 de 14 de agosto de 2018), o operador de dados responderá como se também fosse controlador dos dados em questão. O mesmo estará sujeito à responsabilidade cível, administrativa e criminal sobre o tratamento inadequado dos dados.

 

4. TRATAMENTO DE DADOS PESSOAIS

O tratamento dos dados pessoais deve seguir os princípios definidos nesta política, devendo ser estritamente voltado às finalidades às quais a coleta dos dados se destina, respeitando os princípios e os critérios de compartilhamento de segurança das informações.

Os dados pessoais devem ser manipulados apenas por pessoas que precisem lidar com eles e em casos de necessidade. Os riscos de falhas humanas propiciarem um vazamento ou uso inadequado da informação devem ser mitigados.

 

5 – CRITÉRIOS DE COLETA DOS DADOS PESSOAIS

As informações referentes a pessoas físicas somente devem ser coletadas em conformidade à necessidade para a prestação de serviços, e em todas as hipóteses cabíveis, o consentimento para o tratamento dos dados deverá ser obtido em conformidade com a Lei Geral de Proteção de Dados.

O consentimento será requerido ao solicitar os dados aos clientes que forem pessoas físicas  quando necessário através do aceite registrado em papel, ou do aceite ao e-mail resposta com o qual a solicitação dos serviços for concluída, na fase comercial. O consentimento deve ser requerido ao solicitar assinatura de termo apropriado quando da contratação de novos empregados, estagiários e prestadores de serviços.

 

6. CRITÉRIOS DE ARMAZENAMENTO DOS DADOS PESSOAIS

Para a armazenagem,  a TECBIS  deve seguir as seguintes diretrizes:

▪ Em armazenamento físico, os dados devem ficar em local protegido por tranca, fora do alcance de outras pessoas que não as expressamente autorizadas a acessá-los.

 ▪ Em armazenamento em computadores locais,  os dados devem ser gravados  em pasta protegida por criptografia e restrição de acesso por senha pessoal. As cópias de dados pessoais somente devem ser feitas em caso de necessidade para cumprimento da finalidade proposta ao tratamento.

▪ Em armazenados Nuvem,  os dados devem ser gravados  em pasta protegida por criptografia e autenticação em arquitetura Single Sign On. As cópias de dados pessoais somente devem ser feitas em caso de necessidade para cumprimento da finalidade proposta ao tratamento.

 

7. CRITÉRIOS DE COMPARTILHAMENTO DE DADOS PESSOAIS

Os dados pessoais somente serão compartilhados com pessoas cuja função dentro a TECBIS  exija o acesso.

Documentações relacionadas a esfera de Recursos Humanos, Administração, Contabilidade e Finanças, deverão ser compartilhados dentro da empresa apenas com os responsáveis pelo tratamento dessas informações.

 

8. CRITÉRIOS DE COMPARTILHAMENTO EXTERNO DE DADOS PESSOAIS

O compartilhamento de dados pessoais com pessoas ou entidades externas deve ser restrito ao mínimo necessário para a execução dos contratos e prestações de serviços entre a TECBIS  e seus clientes. Mesmo em cenários que envolverem diretamente a prestação de serviços, o consentimento para este tratamento e compartilhamento deverá ter sido previamente obtido.

É vedado o compartilhamento externo de dados pessoais de clientes ou membros da empresa  por meio telefônico, digital ou por escrito  sem a prévia autorização destes. A ciência ao titular deve ser dada sempre que os dados forem compartilhados em um novo contexto, não previsto no consentimento vigente.

 

9. CRITÉRIOS DE ELIMINAÇÃO DOS DADOS PESSOAIS

Quando atingida a finalidade do tratamento dos dados pessoais, e eles não mais precisarem ser armazenados para satisfazer quaisquer exigências legais, estes deverão ser devidamente eliminados física e digitalmente. O ciclo de vida destas informações deve ser registrado em documentos de controles internos.

 

10. PRESTAÇÃO DE INFORMAÇÕES E TRANSPARÊNCIA

O Controlador e/ou Operadores de dados pessoais deverão prover todas as informações requeridas pelos titulares acerca do tratamento de seus dados pessoais.

A finalidade do tratamento deve ser sempre evidenciada e transparente. Quando houver solicitação da prestação de informações sobre os dados pessoais pelo titular.

 

11. ENCARREGADO DA PROTEÇÃO DE DADOS PESSOAIS

O DPO – Data Protection Officer, denominado encarregado da proteção de dados pessoais será a pessoa responsável  nos termos da LGPD  pela comunicação entre os titulares da TECBIS  e a Autoridade Nacional de Proteção de Dados (ANDP). São atribuições do encarregado verificar os riscos existentes, apontar as medidas corretivas e avaliar periodicamente a segurança de dados pessoais dentro da empresa, devendo também realizar eventuais comunicações necessárias com os titulares ou com o poder público. As necessidades de novos mapeamentos de processos e adequações  iminentes e inerentes à proteção de dados pessoais devem ser levadas ao Encarregado para as orientações pertinentes. 

 

12. RIPD – RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS

ODPO – Data Protection Officer,  encarregado da Proteção de Dados Pessoais deverá manter  relatórios de avaliação de riscos e impactos à proteção de dados pessoais. Este relatório deve contemplar as medidas necessárias à segurança da informação de dados pessoais. Estas medidas devem ser estruturadas, implementadas e avaliadas.

 

13. PUBLICAÇÃO DA POLÍTICA INTERNA DE PROTEÇÃO DE DADOS

 

O departamento de tecnologia, ou o desenvolvedor responsável pela manutenção do site da TECBIS , deverá implementar uma página adicional contemplando o tema descrito neste documento.

A política deve contemplar estas informações na íntegra.