Política de Privacidade

1. OBJETIVO.

1.1. A Política de Privacidade de Dados (PPD) tem por objetivo demonstrar todos os controles vigentes na PERNAMBUCO MOTOS. visando a proteção da privacidade dos dados pessoais e sensíveis coletados, por meios digitais ou não, para o cumprimento de fins corporativos em total consonância com as leis e regulamentos vigentes.

2. ARCABOUÇO LEGAL.

Lei 13.709/18 – Lei Geral de Proteção de Dados (LGPD)
Dispõe sobre a proteção de dados pessoais.

Lei 12.965/14 – Marco Civil da Internet
Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil.

Decreto 10.046/19
Dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados.

3. DEFINIÇÕES.

Dado Pessoal
Informação relacionada a pessoa natural identificada ou identificável.

Dado Sensível:
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Dado Anonimizado:
Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Dado Bloqueado:
Dado relativo a titular com suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.

Titular:
Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Controlador:
Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Operador:
Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Encarregado de Dados:
Pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional.

Tratamento:
Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

4. ENCARREGADO DE DADOS.

4.1. O Encarregado de Dados tem por objetivo conduzir revisões, avaliações, auditorias internas ou externas e ser o ponto focal de contato da organização com as autoridades nacionais de privacidade de dados, bem como prestar contas de suas ações junto ao órgão de governança corporativo da em assuntos relativos à LGPD.

4.2. Segundo a lei, a PERNAMBUCO MOTOS deve indicar este papel e publicar suas informações de contato de forma clara e objetiva, preferencialmente em seu site. Atualmente, o contato do Encarregado de Dados pode ser consultado em https://pernambucomotos.com.br/

4.3. Abaixo, nomina-se o Encarregado de Dados

Contato Principal: Herminio Marques Cavalcanti Sobrinho
E-mail de contato: herminio@pernambucomotos.com.br
E-mail para solicitações por Titular de Dados: privacidade@pernambucomotos.com.br

4.4. Cumpre salientar que dentre as atividades específicas do Encarregado de Dados estão:

  • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • Receber comunicações da autoridade nacional e adotar providências;
  • Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
  • Executar as demais atribuições determinadas pela PERNAMBUCO MOTOS ou estabelecida s em normas complementares.

5. O COMITÊ DE PRIVACIDADE DE DADOS

5.1. O Comitê Geral de Privacidade de Dados (CGPD) é uma entidade corporativa, instituída com a finalidade de manter os mecanismos de controle da privacidade atualizados e coerentes com a realidade corporativa e com a legislação vigente.

5.2. O CGPD é presidido pelo Encarregado de Dados e será composto pelos seguintes integrantes:

  • Herminio Marques Cavalcanti Sobrinho – DPO
  • Bruno Andrade – Gerente de Pós Venda
  • Ivo Araújo – Gerente de Vendas
  • Ivan Santana – Gerente Geral Comercial
  • Bruno Bettéro – Gerente Comercial
  • Leonardo Maranhão – Gerente Comercial
  • Vinicius Correia – Gerente Comercial

 

5.3. O CGPD deverá se reunir trimestralmente para debater o cumprimento das políticas de proteção à privacidade de dados, avaliar as ações vigentes, direcionar melhorias e atualizações aos planos de proteção à privacidade e acompanhar os planos em andamento.

5.4. O CGPD também se reunirá em situações consideradas extraordinárias mediante convocação do Encarregado de Dados.

5.5. Em todos os encontros do CGPD será lavrada ata de encontro e divulgação aos interessados.

 

6. COLETA DE DADOS PESSOAIS E DADOS PESSOAIS SENSÍVEIS.

6.1. Durante as operações de tratamento em que a PERNAMBUCO MOTOS seja enquadrada como “Controladora de Dados”, seus colaboradores devem garantir que a coleta de dados pessoais e dados pessoais sensíveis ocorra apenas respeitando-se os seguintes princípios:

  • Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  • Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  • Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

 

6.2. No ato da coleta dos dados pessoais ou sensíveis, sejam eles fornecidos por meio de formulário impresso ou por meio de formulário digital, o titular deverá ser informado de maneira inequívoca do processo de tratamento que será realizado por meio deles. Antes do ato de coleta dos dados, um Termo de Consentimento de Uso deverá ser lavrado, com aceite eletrônico ou impresso, contendo as seguintes informações:

  • Finalidade específica do tratamento;
  • Forma e duração do tratamento, observados os segredos comercial e industrial;
  • Dados de identificação jurídica da PERNAMBUCO MOTOS;
  • Informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
  • Responsabilidades dos agentes que realizarão o tratamento;
  • Direitos do titular, com menção explícita aos direitos contidos no art. 18 da Lei Geral de Proteção de Dados;
  • Meios de comunicação com relação ao teor de possíveis alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.

 

6.3. Para o tratamento de dados relativos à crianças e adolescentes, reforça-se que na PERNAMBUCO MOTOS só será permitido o tratamento destes dados sob duas hipóteses:

  • Mediante assinatura do Termo de Consentimento para Coleta de Dados para Menores em modelo atualizado e devidamente aprovado pelo Encarregado de Dados;
  • Para localização do pai ou responsável pelo menor, caso ele esteja desacompanhado. Neste caso, não armazenaremos qualquer informação em fichas ou sistemas, e apenas solicitaremos as informações úteis ao menor para cumprimento da finalidade supracitada.

 

7. POLÍTICA DE RETENÇÃO DE DADOS.

7.1. Para o cumprimento eficaz dos mecanismos de proteção e privacidade de dados pessoais e sensíveis, a PERNAMBUCO MOTOS dispõe de padrões específicos de armazenamento de informação e regras específicas de proteção para cada um destes itens onde ela atue como “Controladora de Dados”. Todos os processos corporativos deverão respeitar estas normas.

7.2. Dados armazenados em papel:

  • Retenção: Retenção máxima de 5 (cinco) anos em armários e posterior bloqueio da informação pelo envio ao arquivo morto;
  • Proteção: Todos os armários para armazenamento de documentos devem conter chaves para abertura das portas e elas deverão ficar sob responsabilidade do Encarregado de Dados ou do gestor do departamento.

 

7.3. Dados armazenados em Datacenters Corporativos:

  • Retenção: Todos os sistemas da PERNAMBUCO MOTOS que armazenam informações pessoais ou sensíveis utilizarão a seguinte regra:
    1. Dados de titulares que são colaboradores CLT ou PJ ficarão em uso por até 2 (dois) anos após o término do vínculo de trabalho e posteriormente serão bloqueados por técnicas de limitação de acesso dos sistemas de RH.
    2. Dados de outros titulares (tais como clientes, fornecedores, prestadores de serviço autônomos, dentre outros) ficarão em uso por até 2 (dois) anos após o término do vínculo específico e posteriormente serão bloqueados por técnicas de limitação de acesso dos sistemas de gestão.
  • Proteção: A PERNAMBUCO MOTOS possui uma rigorosa política de backup para a continuidade dos dados, além de uma Política de Segurança da Informação Corporativa com mecanismos próprios que visam evitar vazamentos, danos ou perdas dos dados coletados.

 

7.4. Dados armazenados em Datacenters ou Sistemas Terceirizados:

  • Retenção: As mesmas regras de período de retenção de Dados em Sistemas Internos aplicam-se aos Dados em Sistemas Externos, onde o Operador do Dado (responsável pelo Datacenter ou Plataforma que retém a informação) deverá cumprir regras contratuais de bloqueio da informação, tão logo ela vença o período previsto para titulares colaboradores ou não-colaboradores.
  • Proteção: A PERNAMBUCO MOTOS optará, preferencialmente, por fornecedores de sistemas ou serviços que estejam aderentes à Lei Geral de Proteção de Dados, bem como, realizará contratos que contemplam regras de proteção ao dado e direitos de retenção e uso da informação para todos os fornecedores que armazenarem ou tratarem dados pessoais ou sensíveis.

 

7.5. Planilhas e Documentos fora de sistema:

  • Retenção: Planilhas e documentos diversos que contenham dados pessoais ou sensíveis devem ser armazenados em diretórios específicos indicados e auditados pelo Encarregado de Dados. Após 5 (cinco) anos sem qualquer acesso ao arquivo armazenado em Servidor de Arquivos com acesso comum, ele será bloqueado em um diretório de armazenamento com acesso restrito;
  • Proteção: A Política de Segurança da Informação Corporativa possui cobertura para proteção de informações contidas em planilhas ou documentos diversos.

 

7.6. E-mail:

  • Retenção: Qualquer e-mail enviado/recebido contendo dados pessoais ou sensíveis deverá ser eliminado em até 15 (quinze) dias, após o término da tratativa do escopo definido na mensagem, mediante a ação do usuário, seja ele remetente ou destinatário, utilizando a opção “excluir a mensagem”. Recomenda- se a utilização de links compartilháveis com prazo de validade para transmissão deste tipo de informação e evitar o uso de anexos. Por exemplo: OneDrive, DropBox, Google Drive.
  • Proteção: A Política de Segurança da Informação Corporativa cobre a devida utilização do serviço de e-mail.

8. SOLICITAÇÃO DE ACESSO AOS DADOS.

8.1. O Titular do Dado tem o direito de solicitar pelos meios publicados no portal da PERNAMBUCO MOTOS, informações sobre os dados armazenados, as formas de tratamento e quais entidades possuem acesso.

8.2. Após a ciência da solicitação de acesso, o Encarregado de Dados ou, na ausência dele, alguém nomeado para tal atividade, deverá responder da seguinte forma:

  • Para solicitações em que o resultado seja um relatório simplificado, a resposta deve ser imediata, privilegiando o retorno mais breve possível;
  • Para solicitações em que o resultado seja por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, a resposta deve ser fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular;

9. DESBLOQUEIO DE DADOS.

9.1. A PERNAMBUCO MOTOS poderá efetuar o desbloqueio de um dado pessoal ou sensível previamente bloqueado, conforme as regras já ponderadas anteriormente. Em consonância com o Artigo 7 (quando tratar-se de dados pessoais) ou Artigo 11 (quando tratar-se dados pessoais sensíveis) da Lei Geral de Proteção de Dados. Atualmente, as condições para o desbloqueio de um dado aplicáveis ao contexto da PERNAMBUCO MOTOS limitam-se às seguintes hipóteses:

Hipótese Aplica-se à Dados Pessoais Aplica-se à Dados Sensíveis
Mediante o fornecimento de consentimento pelo titular X X
Para o cumprimento de obrigação legal ou regulatória pelo controlador X X
Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais X X
Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados X
Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, conforme previsto em lei específica X X
Para a proteção da vida ou da incolumidade física do titular ou de terceiro X X
Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente X

 

10. SOLICITAÇÕES DE BLOQUEIO, EXCLUSÃO OU ANONIMIZAÇÃO DE DADOS.

10.1. O consentimento dado pelo Titular do Dado pode ser revogado a qualquer momento mediante manifestação expressa do titular, por meio dos contatos publicados no Portal da PERNAMBUCO MOTOS ou por meio de contato divulgado pelo colaborador que efetivamente coletou o dado.

10.2. Mediante solicitação expressa de paralisação da atividade de tratamento, a PERNAMBUCO MOTOS priorizará o bloqueio da informação, utilizando os meios previstos na Política de Retenção de Dados (prevista previamente neste documento). Todas as revogações de direitos de tratamento de dados devemser concluídas em prazo máximo de 15 (quinze) dias a contar da data do recebimento da solicitação.

10.3. Caso o Titular expresse inequivocamente a vontade de excluir ou anonimizar o dado (rechaçando a possibilidade de bloqueio), o Encarregado de Dados avaliará o assunto junto ao Diretor de Tecnologia da PERNAMBUCO MOTOS para avaliação da viabilidade de cumprimento da solicitação, direcione as ações ou justifique em caso de não-possibilidade de atender esta demanda.

11. REGULAMENTO PARA OPERADORES DE DADOS OU USO COMPARTILHADO DE DADOS.

11.1. Todos os Operadores de Dados da PERNAMBUCO MOTOS deverão considerar as boas práticas de proteção à privacidade de dados previstas na LGPD e em regulamentos que venham a completá-la. Os contratos de prestação de serviços deverão considerar as regras de retenção, acesso, bloqueio e tratamento de dados e coibir posturas contrárias à Política de Privacidade de Dados.

11.2. Ao iniciar o vínculo de trabalho com a PERNAMBUCO MOTOS, qualquer colaborador poderá estar enquadrado como Operador de Dados, desde que o fim determinado para sua função, exija o tratamento de algum tipo de dado pessoal ou dado sensível. Estes estarão sujeitos a responder solidariamente em caso de vazamento ou incidentes de segurança que prejudiquem a privacidade de terceiros e que tenham sido causados por imperícia, imprudência ou negligência quanto às políticas estabelecidas para proteção de tais dados.

11.3. Os contratos de prestação de serviços firmados com empresas terceirizadas e que utilizam do tratamento de dados pessoais ou sensíveis para a realização da finalidade de suas atividades deverão conter regras de boa conduta para com a LGPD e com a proteção de dados pessoais e sensíveis.

11.4. Quando houver compartilhamento de dado pessoal ou sensível com prestadores de serviço e considerando a possibilidade da identificação do indivíduo Titular no conteúdo da mensagem, e considerando por meios razoáveis a não-exigência da assinatura de um contrato, será necessário que uma informação padrão previamente aprovada pelo Encarregado de Dados, seja encaminhada para ciência desse Operador de Dados, informando as práticas que devem ser seguidas pelo destinatário.

12. RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS (RIPD).

12.1. O RIPD é uma documentação legal da PERNAMBUCO MOTOS contendo a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

12.2. Por tratar-se de um requisito legal, o RIPD deve ser produzido sempre que houver:

  • Uma tecnologia, serviço ou outra nova iniciativa em que dados pessoais e dados pessoais sensíveis sejam ou devam ser tratados;
  • Rastreamento da localização dos indivíduos ou qualquer outra ação de tratamento que vise a formação de perfil comportamental de pessoa natural, se identificada; (LGPD, art. 12 § 2º);
  • Tratamento de dado pessoal sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (LGPD, art. 5º, II);
  • Processamento de dados pessoais usado para tomar decisões automatizadas que possam ter efeitos legais, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade (LGPD, art. 20);
  • Tratamento de dados pessoais de crianças e adolescentes (LGPD, art. 14);
  • Tratamento de dados que possa resultar em algum tipo de dano patrimonial, moral, individual ou coletivo aos titulares de dados, se houver vazamento (LGPD, art. 42);
  • Tratamento de dados pessoais realizados para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, ou atividades de investigação e repressão de infrações penais (LGPD, art. 4º, § 3º);
  • Tratamento no interesse legítimo do controlador (LGPD, art. 10, § 3º);
  • Alterações nas leis e regulamentos aplicáveis à privacidade, política e normas internas, operação do sistema de informações, propósitos e meios para tratar dados, fluxos de dados novos ou alterados, etc.; e
  • Reformas administrativas que implicam em nova estrutura organizacional resultante da incorporação, fusão ou cisão de órgãos ou entidades.

12.3. O RIPD deve ser produzido pelo Encarregado de Dados, revisado pelo Comitê de Privacidade de Dados e, finalmente, aprovado pela Diretoria. Sob nenhuma hipótese será permitida a omissão desta análise.

13. INFORMATIVO DE INCIDENTE À AGÊNCIA NACIONAL DE PROTEÇÃO DE DADOS (ANPD).

13.1. Sempre que houver um incidente de segurança que cause risco ou dano relevante aos direitos dos Titulares dos Dados Pessoais tratados pela PERNAMBUCO MOTOS ou por seus Operadores, uma comunicação deverá ser realizada à ANPD.

13.2. A comunicação de incidente deve ser realizada pelo Encarregado de Dados com cópia à Diretoria e deverá constar as seguintes informações:

  • Descrição da natureza dos dados afetados
  • Medidas técnicas e de segurança envolvidas
  • Informações sobre os titulares envolvidos
  • Informações sobre o tratamento dos dados afetados
  • Descrição dos riscos residuais
  • Justificativa para o tempo de reversão do incidente

13.3. Um modelo de Relatório de Comunicação de Incidentes à Dados Pessoais seguindo boas práticas recomendadas pela ANPD será utilizado.

13.4. Não existe um prazo regulamentado para a comunicação, no entanto, enquanto não houver outra orientação, a PERNAMBUCO MOTOS seguirá a última recomendação prevista no link https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca que recomenda o prazo de 2 (dois) dias úteis, contados da data do conhecimento do incidente.

13.5. Considera-se “risco ou dano relevante aos Titulares de Dados”, qualquer incidente de segurança esteja enquadrado em pelo menos uma das hipóteses abaixo:

  • O incidente envolver dados sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes;
  • Tiver o potencial de ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade;
  • Afetar alto volume de dados envolvidos ou elevado quantitativo de indivíduos afetados;
  • Houver má-fé ou constatar-se más intenções dos terceiros que tiveram acesso aos dados após o incidente;
  • Houver facilidade de identificação dos titulares por terceiros não autorizados.

14. ATUALIZAÇÃO DA POLÍTICA.
14.1. O Encarregado de Dados apoiado pelo Comitê de Privacidade de Dados manterá o presente documento revisado por meio de análise anual de aderência com os processos corporativos.

15. RESPONSÁVEIS PELA POLÍTICA.

  • Dono da Política: Encarregado de Dados Corporativo

16. DOCUMENTOS COMPLEMENTARES.

  • Política de Segurança da Informação
  • Termos de Consentimento de Uso (lavrados por processo de coleta)
  • Relatórios de Impacto à Proteção de Dados
  • Modelo de Relatório de Comunicação de Incidentes à Dados Pessoais

 

17. HISTÓRICO DE REVISÃO.

Revisão Histórico Data
00 Rascunho 22.11.22
01 Publicação

herminio@pernambucomotos.com.br