A presente Política de Privacidade e Proteção de Dados Pessoais (“Política”) tem como objetivo fornecer orientações sobre como gerenciar as diversas atividades e operações de tratamento de dados pessoais existentes na ISOQualitas Engenharia de Sistemas Ltda. Este documento faz parte do programa de compliance da ISOQualitas à Lei Geral de Proteção de Dados (Lei no 13.709/2018 – “LGPD”) e outras leis setoriais sobre o tema.
A ISOQualitas, imbuída na importância e na necessidade de adequar as suas operações de tratamento de dados pessoais a uma nova e ampla regulação sobre o tema, no caso, a LGPD aprovada pelas autoridades em agosto de 2018, inicia sua atenção e fiel cumprimento a legislação.
Em cumprimento de seus atos normativos internos, a ISOQualitas realiza diversas operações de tratamento de dados buscando o melhor interesse dos titulares dos dados pessoais, e respeitando os seus direitos de acordo com as definições da LGPD, reforçando, em todas as relações com pessoas e entidades com as operações da ISOQualitas e o seu compromisso com o cumprimento das regras de privacidade e proteção de dados pessoais aplicáveis.
O controlador e o operador de dados pessoais.
Utilização de meios técnicos, razoáveis e disponíveis no momento do tratamento de dados pessoais, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Na forma da lei, e desta forma o dado anonimizado não é considerado um dado pessoal.
Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo território nacional. A ANPD foi criada pela LGPD como órgão da administração pública federal com autonomia técnica, integrante da Presidência da República, definido a sua natureza como transitória e passível de transformação pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República.
Pessoa física ou jurídica ( a qual se enquadra a ISOQualitas), de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Informação relacionada a pessoa natural identificada ou identificável. Também são considerados dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural.
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a pessoa natural.
Pessoa física ou jurídica indicada pelo Agente de Tratamento para atuar como canal de comunicação entre o Controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados. Será responsável pela implementação do Programa de Conformidade às leis de proteção de dados pessoais e condução das atividades relacionadas à proteção de dados pessoais no âmbito das operações da ISOQualitas.
Para a ISOQualitas os fornecedores são os outros terceiros contratados e subcontratados, pessoa física ou jurídica, ainda que não sejam enquadrados como parceiros comerciais.
Marco normativo (Lei no 13.709, de 14 de agosto de 2018) que dispõe sobre o tratamento de dados pessoais em meios digitais ou físicos realizados por pessoa natural ou por pessoa jurídica, de direito público ou privado, tendo como objetivo defender os titulares de dados pessoais e ao mesmo tempo permitir o uso dos dados para finalidades diversas, equilibrando interesses e harmonizando a proteção da pessoa humana com o desenvolvimento tecnológico e econômico.
Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.
São considerados clientes todas as organizações que tenham estabelecido aquisição de treinamentos, consultoria ou contrato vigente de uso de software.
É toda pessoa física ou jurídica com contrato ativo junto a ISOQualitas para desenvolver ou auxiliar no desenvolvimento de suas atividades, tanto na qualidade de fornecedores de bens ou serviços, como de parceiros comerciais.
Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, modificação, comunicação, transferência, difusão ou extração.
A presente Política estabelece as orientações gerais da ISOQualitas para resguardo e uso de dados pessoais que venham a ser tratados em suas atividades, tendo como referência a Lei Geral de Proteção de Dados Pessoais, entre outras normas nacionais e internacionais relativas à privacidade e proteção de dados pessoais, com especial atenção à General Data Protection Regulation.
Esta Política se aplica (I) aos colaboradores da ISOQualitas; (II) a todos os terceiros, sejam eles pessoas físicas ou jurídicas que atuam para ou em nome da ISOQualitas em operações que envolvam tratamento de dados pessoais que sejam realizadas no escopo das operações da ISOQualitas; (III) aos agentes de tratamento de dados pessoais externos à ISOQualitas que de qualquer forma se relacionem com a organização; e (IV) aos titulares de dados pessoais, cujos dados são tratados pela ISOQualitas.
Esta Política estabelece diretrizes e regras para garantir que seus destinatários entendam e cumpram as legislações que versam sobre proteção de dados pessoais em todas as interações com atuais e futuros titulares de dados pessoais, terceiros e agentes de tratamento de dados pessoais externos à ISOQualitas no âmbito de suas operações.
Para além dos conceitos definidos pelas normas que versam sobre privacidade e proteção de dados pessoais, as informações abordadas pela presente Política incluem todos os dados detidos, usados ou transmitidos pela ou em nome da ISOQualitas, em qualquer tipo de mídia. Isso inclui dados pessoais registrados em papel, mantidos em sistemas de computador ou dispositivos portáteis, bem como dados pessoais transmitidos oralmente.
São objetivos da Política de Privacidade e Proteção de Dados Pessoais ISOQualitas:
A presente Política deve ser interpretada em conjunto com as obrigações previstas nos documentos abaixo relacionados, que versam sobre informações em geral, e a complementam quando aplicável:
A ISOQualitas cumprirá com os seguintes princípios de proteção de dados pessoais quando do tratamento de dados pessoais:
a ISOQualitas realizará o tratamento de dados pessoais apenas para propósitos legítimos, específicos, explícitos e informados ao titular de dados pessoais, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
a ISOQualitas realizará o tratamento de dados pessoais de forma compatível com as finalidades informadas ao titular de dados, e de acordo com o contexto do tratamento;
o tratamento de dados pessoais realizado pela ISOQualitas será limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento;
a ISOQualitas garantirá aos titulares de dados pessoais a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados;
a ISOQualitas garantirá, aos titulares de dados pessoais, a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
a ISOQualitas garantirá, aos titulares de dados pessoais, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento de dados pessoais, observados os segredos comercial, intelectual, tecnologia e negócios;
a ISOQualitas utilizará medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
a ISOQualitas adotará medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
a ISOQualitas garantirá a impossibilidade de realização do tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos;
a ISOQualitas se compromete a demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, e a eficácia dessas medidas.
Todas as operações de tratamento de dados pessoais no âmbito das atividades conduzidas pela ISOQualitas terão uma base legal que legitime a sua realização, com estipulação da finalidade e designação dos responsáveis pelo tratamento.
A ISOQualitas assume como compromisso institucional a avaliação periódica das finalidades de suas operações, considerando o contexto em que estas operações se inserem, os riscos e benefícios que podem ser gerados ao titular de dados pessoais, e o legítimo interesse da organização.
A realização do tratamento de dados pessoais pela ISOQualitas poderá ser realizada:
A ISOQualitas realizará registros de suas operações de tratamento a partir de categorias de tratamento, cada uma delas descritas a partir de sua(s) finalidade(s), servindo de auxílio e suporte para a sua avaliação periódica sobre conformidade com o quadro regulatório da proteção de dados pessoais.
Os registros das operações de tratamento de dados pessoais poderão ser consultados pelo titular dos dados pessoais, bem como por autoridades públicas competentes para o acesso e retenção dos dados em seu nome, resguardados os direitos do titular de dados pessoais.
A ISOQualitas reconhece que o tratamento de dados pessoais sensíveis representa riscos mais altos ao titular de dados pessoais e por esta razão a organização assume o compromisso de resguardo e cuidados especiais frente ao tratamento de dados pessoais sensíveis.
Este compromisso incorpora os dados pessoais sensíveis enumerados no art. 5o, inciso II da LGPD, bem como os dados financeiros que, para os fins desta Política e do Programa de Conformidade da LGPD da ISOQualitas, terão o mesmo status que os dados pessoais sensíveis.
Os dados pessoais de crianças e adolescentes, ainda que não sejam aplicáveis nas operações da organização, serão tratados com o mesmo nível de cuidado exigido e oferecido aos dados pessoais sensíveis, mas também estarão sujeitos às disposições próprias estabelecidas no Capítulo II, Seção III, da LGPD, e outras normas específicas aplicáveis.
A realização de operações de tratamento de dados pessoais sensíveis pela ISOQualitas somente poderá ser realizada:
A ISOQualitas, no contexto das suas atividades de tratamento de dados pessoais, reforça o seu compromisso de respeito aos direitos dos titulares de dados pessoais, quais sejam:
o titular de dados pessoais pode questionar, junto à ISOQualitas, se há a realização de operações de tratamento relativos a dados pessoais seus;
o titular de dados pessoais pode solicitar e receber uma cópia de todos os dados pessoais coletados e armazenados;
o titular de dados pessoais pode requisitar a correção de dados pessoais que estejam incompletos, inexatos ou desatualizados;
o titular de dados pessoais pode requisitar a exclusão de seus dados pessoais de bancos de dados geridos pela ISOQualitas, salvo se houver um motivo legítimo para a sua manutenção, como eventual obrigação legal de retenção de dados ou estudo por órgão de pesquisa. Na hipótese de eliminação, a Instituição se reserva o direito de escolher o procedimento de eliminação empregado, comprometendo-se a utilizar meio que garanta a segurança e evite a recuperação dos dados;
a qualquer momento, o titular de dados pessoais poderá requisitar da ISOQualitas a anonimização, bloqueio ou eliminação de seus dados pessoais que tenham sido reconhecidos por autoridade competente como desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
nas hipóteses de tratamento de dados pessoais não baseadas na obtenção do consentimento, o titular de dados pessoais poderá apresentar à ISOQualitas uma oposição, que será analisada a partir dos critérios presentes na LGPD;
o titular de dados pessoais poderá requisitar à ISOQualitas que seus dados pessoais sejam disponibilizados a outro fornecedor de serviço ou produto, respeitados o segredo comercial e industrial da organização, bem como os limites técnicos de sua infraestrutura;
o titular de dados pessoais tem direito a revogar o seu consentimento. Entretanto, ressalta-se que isso não afetará a legalidade de qualquer tratamento realizado antes da retirada. Na hipótese de revogação do consentimento, talvez não seja possível fornecer determinados serviços. Sendo este o caso, o titular de dados pessoais será informado.
A ISOQualitas reitera o seu compromisso com os direitos dos titulares de dados pessoais à transparência e à informação adequada, destacando o fornecimento de:
Os deveres de cuidado, atenção e uso adequado de dados pessoais se estendem a todos os destinatários desta Política no desenvolvimento de seus trabalhos e atividades na ISOQualitas, comprometendo-se a auxiliar a Instituição a cumprir suas obrigações na implementação de sua estratégia de privacidade e proteção de dados pessoais.
Incumbe aos titulares de dados pessoais comunicar à ISOQualitas sobre quaisquer modificações em seus dados pessoais na sua relação com a Instituição (ex. mudança de endereço), notificando- a preferencialmente na seguinte ordem:
O compartilhamento de dados pessoais de titulares de dados pessoais entre as Unidades ISOQualitas é permitido, desde que respeitada a sua finalidade e base legal, observado o princípio da necessidade, ficando o tratamento de dados pessoais sempre adstrito ao desenvolvimento de atividades autorizadas pela Instituição.
Todos os destinatários desta Política têm o dever de contatar o DPO da ISOQualitas, quando da suspeita ou da ocorrência efetiva das seguintes ações:
A LGPD estabelece que a responsabilidade no caso de danos patrimoniais, morais, individuais ou coletivos derivados de violações à legislação de proteção de dados pessoais é solidária, i.e., todos os agentes da cadeia envolvendo o tratamento de dados pessoais podem ser responsabilizados pelos eventuais danos causados. Nesse sentido, a possibilidade de a ISOQualitas ser responsabilizada pelas ações de terceiros implica na necessidade de empregar os melhores esforços para verificar, avaliar e garantir que tais terceiros cumpram com as legislações de proteção de dados aplicáveis.
Dessa forma, todos os contratos com terceiros deverão conter cláusulas referentes à proteção de dados pessoais, estabelecendo deveres e obrigações envolvendo a temática, e atestando o compromisso dos terceiros com as legislações de proteção de dados pessoais aplicáveis. Destaca-se, ainda, que esses contratos serão revisados e submetidos à aprovação pelo DPO e sua equipe técnica da ISOQualitas, conforme protocolo normativo vigente.
Todos os terceiros devem assinar o termo de aceitação desta Política, da Política de Segurança da Informação e do Plano de Resposta a Incidentes de Segurança, submetendo as atividades contratadas no âmbito da relação com a ISOQualitas também a essas normativas.
O Programa de Conformidade da LGPD visa a garantir o compromisso da ISOQualitas em zelar pelo tratamento adequado de dados pessoais para fins legítimos que possam ser objeto de suas atividades e reforça o seu compromisso com boas práticas de privacidade e proteção de dados com as seguintes ações:
A partir da entrada em vigor da LGPD, o DPO da ISOQualitas, também referido como Data Protection Officer, auxiliado pela sua equipe técnica, terá as seguintes responsabilidades:
As normas de segurança da informação e prevenção contra incidentes de dados pessoais estão contidas na Política de Segurança da Informação da ISOQualitas e nas normativas internas e documentos correlatos ao tema.
A ISOQualitas reforça o compromisso consubstanciado em sua Política de Segurança da Informação em empregar medidas técnicas e organizacionais adequadas no trato com dados pessoais, e envidar esforços para proteção dos dados pessoais dos titulares de dados pessoais contra acessos não autorizados, perda, destruição, compartilhamento não autorizado, entre outras hipóteses.
Os destinatários desta Política se comprometem a participar dos treinamentos, workshops, encontros e capacitações propostos pelo DPO para a ampliação da cultura de proteção de dados pessoais na organização.
Os colaboradores da ISOQualitas cujas funções exigem o tratamento regular a dados pessoais, ou os responsáveis pela implementação desta Política se comprometem a participar de treinamentos adicionais para ajudá-los a entender seus deveres e como cumpri-los.
Reitera-se que a ISOQualitas reconhece o seu compromisso em zelar pelo tratamento adequado de dados pessoais para fins legítimos que possam ser objeto de suas atividades e reforça o seu compromisso com boas práticas de privacidade e proteção de dados, comprometendo-se a se manter seu Programa de Conformidade da LGPD atualizado com as normas e recomendações emitidas pela ANPD ou outras autoridades competentes.
A ISOQualitas assume o compromisso de revisitar a presente Política periodicamente e, a seu critério, promover modificações que atualizem suas disposições de modo a reforçar o compromisso permanente da Instituição com a privacidade e a proteção de dados pessoais, sendo comunicadas todas as alterações realizadas oportunamente pelos canais oficiais da Instituição.