Estabelecer procedimentos para proteção e uso de dados pessoais, tendo como referência a Lei Geral de Proteção de Dados Pessoais (LGPD , Lei Nº 13.709, de 14/08/2018, alterada em 08/07/2019 pela Lei Nº 13.853) que discorrem sobre à privacidade e proteção de dados pessoais.
De acordo com o artigo 2º da LGPD, a disciplina da proteção de dados pessoais tem como fundamentos:
I – o respeito à privacidade;
II – a autodeterminação informativa;
III – a liberdade de expressão, de informação, de comunicação e de opinião;
IV – a inviolabilidade da intimidade, da honra e da imagem;
V – o desenvolvimento econômico e tecnológico e a inovação;
VI – a livre iniciativa, a livre concorrência e a defesa do consumidor;
VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
A política de privacidade e proteção de dados pessoais se aplica a todos os colaboradores, fornecedores, distribuidores e parceiros do Grupo CEPAV, que realizem atividades correlatas, de forma direta ou indireta, coleta, tratamento e armazenamento de dados pessoais.
O cumprimento da Política de Privacidade e Proteção de Dados é obrigatório e, portanto, todos os colaboradores, fornecedores distribuidores e parceiros do Grupo Cepav que realizem atividades que envolvam, de forma direta ou indireta, tratamento de dados pessoais, têm a responsabilidade individual de garantir a sua conformidade.
Compete à direção aprovar esta Política e deliberar sobre as diretrizes estratégicas de segurança da informação.
O Grupo CEPAV pode acessar, sem prévia comunicação ou necessidade de consentimento de seus colaboradores, as informações e conteúdos produzidos ou transitados.
É dever de todos:
∙ Compreender e ter sempre em consideração que a coleta e o tratamento de dados pessoais são permitidos apenas para fins específicos, definidos e legítimos;
∙ Observar e cumprir as normas e diretrizes de privacidade e proteção de dados pessoais;
∙ Verificar quais dados pessoais são realmente necessários para o desenvolvimento de sua atividade antes de coletá-los, acessá-los, utilizá-los, armazená-los, divulgá-los ou de realizar qualquer outro tipo de tratamento;
∙ Não compartilhar senhas de acesso com terceiros ou utilizar senhas de terceiros para acessar sistemas ou computadores corporativos.
Lei nº 13.709, de 14 de Agosto de 2018 alterada em 08 de Julho de 2019 pela Lei Nº 13.853 – Art. 1º Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. As normas gerais contidas nesta Lei são de interesse nacional e devem ser observadas pela União, Estados, Distrito Federal e Municípios.
Dado pessoal: informação relacionada à pessoa natural identificada ou identificável;
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
Agentes de tratamento: o controlador e o operador;
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional;
Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
O Grupo Cepav tem como compromisso manter a privacidade e proteção dos dados pessoais obtidos no curso de suas atividades. Temos como dever assegurar a privacidade e proteção dos dados pessoais de colaboradores, prestadores de serviços, parceiros, fornecedores e clientes, bem como a confidencialidade dos dados pessoais a que tiver acesso, conferindo ampla acessibilidade ao seu respectivo titular e deles fazendo uso apenas para fins apropriados e legalmente permitidos. O tratamento de dados pessoais, ou seja, a realização de coleta, acesso, exclusão, edição, ou qualquer outra operação, somente deve ser realizada de acordo as bases legais dispostas na Lei Geral de Proteção de Dados Pessoais (LGPD). Os Dados Pessoais devem ser coletados apenas para propósitos especificados, explícitos e legítimos e não podem ser tratados de forma incompatível com esses propósitos. O tratamento de dados pessoais deve se fundamentar em bases legítimas como:
∙ Utilizar o mínimo de informações necessárias para o cumprimento das finalidades pretendidas e regular exercício de suas funções;
∙ Para cumprimento de obrigação contratual, legal, judicial ou regulatória;
∙ De forma transparente, sendo garantido ao titular dos dados o direito à informação sobre os dados tratados;
∙ De forma segura, por meio da adoção de medidas técnicas para proteger os dados pessoais, prevenir e mitigar danos decorrentes de eventual acesso e/ou divulgação não autorizados, ou de situação acidental ou ilícita de violação de dados. A utilização das informações coletadas é feita exclusivamente para atendimento das finalidades informadas nesta Política, no desempenho de suas atividades ou no oferecimento ao cliente de conteúdo específico a partir da utilização da informação de forma anonimizada e agregada sobre a sua área de atuação. Não admitimos o tratamento de dados para fins discriminatórios ilícitos ou abusivos.
Os dados e informações coletados são armazenados em ambiente seguro e confiável, observando-se a tecnologia disponível, e somente podem ser acessados por pessoas qualificadas e autorizadas. Empreendemos soluções técnicas voltadas à segurança e privacidade dos dados dos titulares sob nossa responsabilidade, mas o Grupo Cepav se exime de responsabilidade por eventuais danos e/ou prejuízos decorrentes de falhas, vírus ou invasões do banco de dados, salvo nos casos de dolo ou culpa do Grupo Cepav. Não devemos solicitar nem obter deliberadamente, de qualquer pessoa, informações confidenciais pertencentes a terceiros, se não forem necessárias à realização de nossas atividades e mediante a celebração de termo ou contrato de confidencialidade. Os dados pessoais do titular poderão ser compartilhados com autoridades governamentais, prestadores de serviços contratados, instituições financeiras, provedores de meio de pagamento de contas, empresas de auditoria externa, entre outras, desde que respeitadas as disposições legais. Garantimos o exercício, pelo titular dos dados, do respectivo direito de informação, acesso, revogação, oposição e portabilidade de seus dados pessoais.