1. OBJETIVO.
1.1. A Política de Privacidade de Dados (PPD) tem por objetivo demonstrar todos os controles vigentes na PERNAMBUCO MOTOS. visando a proteção da privacidade dos dados pessoais e sensíveis coletados, por meios digitais ou não, para o cumprimento de fins corporativos em total consonância com as leis e regulamentos vigentes.
2. ARCABOUÇO LEGAL.
Lei 13.709/18 – Lei Geral de Proteção de Dados (LGPD)
Dispõe sobre a proteção de dados pessoais.
Lei 12.965/14 – Marco Civil da Internet
Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil.
Decreto 10.046/19
Dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados.
3. DEFINIÇÕES.
Dado Pessoal
Informação relacionada a pessoa natural identificada ou identificável.
Dado Sensível:
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Dado Anonimizado:
Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Dado Bloqueado:
Dado relativo a titular com suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
Titular:
Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Controlador:
Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Operador:
Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Encarregado de Dados:
Pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional.
Tratamento:
Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
4. ENCARREGADO DE DADOS.
4.1. O Encarregado de Dados tem por objetivo conduzir revisões, avaliações, auditorias internas ou externas e ser o ponto focal de contato da organização com as autoridades nacionais de privacidade de dados, bem como prestar contas de suas ações junto ao órgão de governança corporativo da em assuntos relativos à LGPD.
4.2. Segundo a lei, a PERNAMBUCO MOTOS deve indicar este papel e publicar suas informações de contato de forma clara e objetiva, preferencialmente em seu site. Atualmente, o contato do Encarregado de Dados pode ser consultado em https://pernambucomotos.com.br/
4.3. Abaixo, nomina-se o Encarregado de Dados
Contato Principal: Herminio Marques Cavalcanti Sobrinho
E-mail de contato: herminio@pernambucomotos.com.br
E-mail para solicitações por Titular de Dados: privacidade@pernambucomotos.com.br
4.4. Cumpre salientar que dentre as atividades específicas do Encarregado de Dados estão:
5. O COMITÊ DE PRIVACIDADE DE DADOS
5.1. O Comitê Geral de Privacidade de Dados (CGPD) é uma entidade corporativa, instituída com a finalidade de manter os mecanismos de controle da privacidade atualizados e coerentes com a realidade corporativa e com a legislação vigente.
5.2. O CGPD é presidido pelo Encarregado de Dados e será composto pelos seguintes integrantes:
5.3. O CGPD deverá se reunir trimestralmente para debater o cumprimento das políticas de proteção à privacidade de dados, avaliar as ações vigentes, direcionar melhorias e atualizações aos planos de proteção à privacidade e acompanhar os planos em andamento.
5.4. O CGPD também se reunirá em situações consideradas extraordinárias mediante convocação do Encarregado de Dados.
5.5. Em todos os encontros do CGPD será lavrada ata de encontro e divulgação aos interessados.
6. COLETA DE DADOS PESSOAIS E DADOS PESSOAIS SENSÍVEIS.
6.1. Durante as operações de tratamento em que a PERNAMBUCO MOTOS seja enquadrada como “Controladora de Dados”, seus colaboradores devem garantir que a coleta de dados pessoais e dados pessoais sensíveis ocorra apenas respeitando-se os seguintes princípios:
6.2. No ato da coleta dos dados pessoais ou sensíveis, sejam eles fornecidos por meio de formulário impresso ou por meio de formulário digital, o titular deverá ser informado de maneira inequívoca do processo de tratamento que será realizado por meio deles. Antes do ato de coleta dos dados, um Termo de Consentimento de Uso deverá ser lavrado, com aceite eletrônico ou impresso, contendo as seguintes informações:
6.3. Para o tratamento de dados relativos à crianças e adolescentes, reforça-se que na PERNAMBUCO MOTOS só será permitido o tratamento destes dados sob duas hipóteses:
7. POLÍTICA DE RETENÇÃO DE DADOS.
7.1. Para o cumprimento eficaz dos mecanismos de proteção e privacidade de dados pessoais e sensíveis, a PERNAMBUCO MOTOS dispõe de padrões específicos de armazenamento de informação e regras específicas de proteção para cada um destes itens onde ela atue como “Controladora de Dados”. Todos os processos corporativos deverão respeitar estas normas.
7.2. Dados armazenados em papel:
7.3. Dados armazenados em Datacenters Corporativos:
7.4. Dados armazenados em Datacenters ou Sistemas Terceirizados:
7.5. Planilhas e Documentos fora de sistema:
7.6. E-mail:
8. SOLICITAÇÃO DE ACESSO AOS DADOS.
8.1. O Titular do Dado tem o direito de solicitar pelos meios publicados no portal da PERNAMBUCO MOTOS, informações sobre os dados armazenados, as formas de tratamento e quais entidades possuem acesso.
8.2. Após a ciência da solicitação de acesso, o Encarregado de Dados ou, na ausência dele, alguém nomeado para tal atividade, deverá responder da seguinte forma:
9. DESBLOQUEIO DE DADOS.
9.1. A PERNAMBUCO MOTOS poderá efetuar o desbloqueio de um dado pessoal ou sensível previamente bloqueado, conforme as regras já ponderadas anteriormente. Em consonância com o Artigo 7 (quando tratar-se de dados pessoais) ou Artigo 11 (quando tratar-se dados pessoais sensíveis) da Lei Geral de Proteção de Dados. Atualmente, as condições para o desbloqueio de um dado aplicáveis ao contexto da PERNAMBUCO MOTOS limitam-se às seguintes hipóteses:
Hipótese | Aplica-se à Dados Pessoais | Aplica-se à Dados Sensíveis |
Mediante o fornecimento de consentimento pelo titular | X | X |
Para o cumprimento de obrigação legal ou regulatória pelo controlador | X | X |
Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais | X | X |
Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados | X | |
Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, conforme previsto em lei específica | X | X |
Para a proteção da vida ou da incolumidade física do titular ou de terceiro | X | X |
Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente | X |
10. SOLICITAÇÕES DE BLOQUEIO, EXCLUSÃO OU ANONIMIZAÇÃO DE DADOS.
10.1. O consentimento dado pelo Titular do Dado pode ser revogado a qualquer momento mediante manifestação expressa do titular, por meio dos contatos publicados no Portal da PERNAMBUCO MOTOS ou por meio de contato divulgado pelo colaborador que efetivamente coletou o dado.
10.2. Mediante solicitação expressa de paralisação da atividade de tratamento, a PERNAMBUCO MOTOS priorizará o bloqueio da informação, utilizando os meios previstos na Política de Retenção de Dados (prevista previamente neste documento). Todas as revogações de direitos de tratamento de dados devemser concluídas em prazo máximo de 15 (quinze) dias a contar da data do recebimento da solicitação.
10.3. Caso o Titular expresse inequivocamente a vontade de excluir ou anonimizar o dado (rechaçando a possibilidade de bloqueio), o Encarregado de Dados avaliará o assunto junto ao Diretor de Tecnologia da PERNAMBUCO MOTOS para avaliação da viabilidade de cumprimento da solicitação, direcione as ações ou justifique em caso de não-possibilidade de atender esta demanda.
11. REGULAMENTO PARA OPERADORES DE DADOS OU USO COMPARTILHADO DE DADOS.
11.1. Todos os Operadores de Dados da PERNAMBUCO MOTOS deverão considerar as boas práticas de proteção à privacidade de dados previstas na LGPD e em regulamentos que venham a completá-la. Os contratos de prestação de serviços deverão considerar as regras de retenção, acesso, bloqueio e tratamento de dados e coibir posturas contrárias à Política de Privacidade de Dados.
11.2. Ao iniciar o vínculo de trabalho com a PERNAMBUCO MOTOS, qualquer colaborador poderá estar enquadrado como Operador de Dados, desde que o fim determinado para sua função, exija o tratamento de algum tipo de dado pessoal ou dado sensível. Estes estarão sujeitos a responder solidariamente em caso de vazamento ou incidentes de segurança que prejudiquem a privacidade de terceiros e que tenham sido causados por imperícia, imprudência ou negligência quanto às políticas estabelecidas para proteção de tais dados.
11.3. Os contratos de prestação de serviços firmados com empresas terceirizadas e que utilizam do tratamento de dados pessoais ou sensíveis para a realização da finalidade de suas atividades deverão conter regras de boa conduta para com a LGPD e com a proteção de dados pessoais e sensíveis.
11.4. Quando houver compartilhamento de dado pessoal ou sensível com prestadores de serviço e considerando a possibilidade da identificação do indivíduo Titular no conteúdo da mensagem, e considerando por meios razoáveis a não-exigência da assinatura de um contrato, será necessário que uma informação padrão previamente aprovada pelo Encarregado de Dados, seja encaminhada para ciência desse Operador de Dados, informando as práticas que devem ser seguidas pelo destinatário.
12. RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS (RIPD).
12.1. O RIPD é uma documentação legal da PERNAMBUCO MOTOS contendo a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
12.2. Por tratar-se de um requisito legal, o RIPD deve ser produzido sempre que houver:
12.3. O RIPD deve ser produzido pelo Encarregado de Dados, revisado pelo Comitê de Privacidade de Dados e, finalmente, aprovado pela Diretoria. Sob nenhuma hipótese será permitida a omissão desta análise.
13. INFORMATIVO DE INCIDENTE À AGÊNCIA NACIONAL DE PROTEÇÃO DE DADOS (ANPD).
13.1. Sempre que houver um incidente de segurança que cause risco ou dano relevante aos direitos dos Titulares dos Dados Pessoais tratados pela PERNAMBUCO MOTOS ou por seus Operadores, uma comunicação deverá ser realizada à ANPD.
13.2. A comunicação de incidente deve ser realizada pelo Encarregado de Dados com cópia à Diretoria e deverá constar as seguintes informações:
13.3. Um modelo de Relatório de Comunicação de Incidentes à Dados Pessoais seguindo boas práticas recomendadas pela ANPD será utilizado.
13.4. Não existe um prazo regulamentado para a comunicação, no entanto, enquanto não houver outra orientação, a PERNAMBUCO MOTOS seguirá a última recomendação prevista no link https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca que recomenda o prazo de 2 (dois) dias úteis, contados da data do conhecimento do incidente.
13.5. Considera-se “risco ou dano relevante aos Titulares de Dados”, qualquer incidente de segurança esteja enquadrado em pelo menos uma das hipóteses abaixo:
14. ATUALIZAÇÃO DA POLÍTICA.
14.1. O Encarregado de Dados apoiado pelo Comitê de Privacidade de Dados manterá o presente documento revisado por meio de análise anual de aderência com os processos corporativos.
15. RESPONSÁVEIS PELA POLÍTICA.
16. DOCUMENTOS COMPLEMENTARES.
17. HISTÓRICO DE REVISÃO.
Revisão | Histórico | Data |
00 | Rascunho | 22.11.22 |
01 | Publicação |