OBJETIVO
A Política de Privacidade de Dados (PPD) tem por objetivo demonstrar todos os controles vigentes na BLOKTON, visando a proteção da privacidade dos dados pessoais e sensíveis coletados, por meios digitais ou não, para o cumprimento de fins corporativos em total consonância com a Lei 13709/18 – Lei Geral de Proteção de Dados (LGPD) e eventuais Normas Técnicas divulgadas pela Agência Nacional de Proteção de Dados (ANPD).
DEFINIÇÕES
· Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
· Dado sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
· Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
· Dado bloqueado: dado relativo a titular com suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
· Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
· Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
· Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
· Encarregado de Dados: pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional;
· Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
O COMITÊ DE PRIVACIDADE DE DADOS
O Comitê de Privacidade de Dados (CPD) é uma entidade corporativa, instituída com a finalidade de manter os mecanismos de controle da privacidade atualizados e coerentes com a realidade corporativa e com a legislação vigente.
O CPD é composto pelos seguintes integrantes:
1 – Encarregado de Dados: preside o comitê e tem por objetivo conduzir revisões, avaliações, auditorias internas ou externas e ser o ponto focal de contato da organização com as autoridades nacionais de privacidade de dados, bem como prestar contas de suas ações junto ao órgão de governança corporativo da BLOKTON. Abaixo, nomina-se o Encarregado de Dados:
Poliane Karim Fedrigo de Paula
Controladoria
2 – Representantes Permanentes: o Encarregado de Dados deve nomear os membros do CPD utilizando por base a quantidade de processos que envolvem a coleta de dados pessoais ou sensíveis. Atualmente, são membros do comitê:
Carlos Eduardo Meira Batista
carlos.mtz@blokton.com.br
TI
Cassiano Roberto Mileki
cassiano.mtz@blokton.com.br
Contabilidade
Danielli Maria Braga
Administração de Vendas
Marise Cesar
Gerente de Concessionária - Vendas
Munik Hanahi Tavares da Maia
Administração de Vendas
O CPD deverá se reunir trimestralmente para debater o cumprimento das políticas de proteção à privacidade de dados, avaliar as ações vigentes, direcionar melhorias e atualizações aos planos de proteção à privacidade e acompanhar os planos em andamento.
O CPD também se reunirá em situações consideradas extraordinárias mediante convocação do Encarregado de Dados.
Em todos os encontros do CPD será lavrada ata de encontro e divulgação aos interessados.
A COLETA DE DADOS PESSOAIS E SENSÍVEIS
A coleta de dados pessoais e sensíveis pela BLOKTON será permitida apenas respeitando-se os seguintes princípios:
· Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
· Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
· Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
No ato da coleta dos dados pessoais ou sensíveis, o titular deverá ser informado de maneira inequívoca do processo de tratamento que será realizada por meio deles. Antes de entregar suas informações, sejam por meio de formulário impresso ou por meio de formulário digital, um Termo de Uso deverá ser lavrado, com aceite eletrônico ou impresso, contendo as seguintes informações:
· Finalidade específica do tratamento;
· Forma e duração do tratamento, observados os segredos comercial e industrial;
· Dados de identificação jurídica da BLOKTON;
· Informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
· Responsabilidades dos agentes que realizarão o tratamento;
· Direitos do titular, com menção explícita aos direitos contidos no art. 18 da Lei Geral de Proteção de Dados;
· Meios de comunicação com relação ao teor de possíveis alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.
Para o tratamento de dados relativos à crianças e adolescentes, reforça-se que na BLOKTON só será permitido o tratamento destes dados sob duas hipóteses:
· Mediante assinatura do Termo de Consentimento para Coleta de Dados para Menores em modelo atualizado e devidamente aprovado pelo Encarregado de Dados;
· Para localização do pai ou responsável pelo menor, caso ele esteja desacompanhado. Neste caso, não armazenaremos qualquer informação em fichas ou sistemas, e apenas solicitaremos as informações úteis ao menor para cumprimento da finalidade supracitada.
POLÍTICA DE RETENÇÃO DOS DADOS
Para o cumprimento eficaz dos mecanismos de proteção e privacidade de dados pessoais e sensíveis, a BLOKTON dispõe de padrões específicos de armazenamento de informação e regras específicas de proteção para cada um destes itens onde ela atue como CONTROLADORA DE DADOS. Todos os processos corporativos deverão respeitar estas normas.
Arquivo físico:
Retenção: Retenção máxima de 2 (dois) anos em armários e posterior bloqueio da informação pelo envio ao arquivo morto;
Proteção: Todos os armários para armazenamento de documentos devem conter chaves para abertura das portas e elas deverão ficar sob responsabilidade do Encarregado de Dados ou do gestor do departamento.
Dados em Sistemas Internos (localizados em Datacenters Corporativos):
Retenção: Todos os sistemas da BLOKTON que armazenam informações pessoais ou sensíveis utilizarão a seguinte regra:
· Dados de titulares que são colaboradores internos ou colaboradores terceirizados ficarão em uso por até 2 (dois) anos após o término do vínculo de trabalho e posteriormente serão bloqueados em backup ou servidor com acesso restrito, seguindo o Procedimento de Tecnologia da Informação vigente.
· Dados de titulares sem vínculo empregatício ficarão em uso por até 2 (dois) anos após a coleta e posteriormente serão bloqueados via sistema, em backup ou servidor com acesso restrito, seguindo o Procedimento de Tecnologia da Informação vigente.
Proteção: A BLOKTON possui uma rigorosa política de backup para a continuidade dos dados, além de uma Política de Segurança da Informação Corporativa com mecanismos próprios que visam evitar vazamentos, danos ou perdas dos dados coletados.
Dados em Sistemas Externos (localizados em Datacenters de Terceiros):
Retenção: As mesmas regras de período de retenção de Dados em Sistemas Internos aplicam-se aos Dados em Sistemas Externos, onde o Operador do Dado (responsável pelo Datacenter que retém a informação) deverá prover mecanismos que permitam o bloqueio da informação, tão logo a mesma vença o período previsto para titulares colaboradores ou não-colaboradores.
Proteção: A BLOKTON optará, preferencialmente, por fornecedores de sistemas ou serviços que estejam aderentes à Lei Geral de Proteção de Dados, bem como, realizará contratos que contemplam regras de proteção ao dado e direitos de retenção e uso da informação para todos os fornecedores que armazenarem ou tratarem dados pessoais ou sensíveis.
Planilhas e Documentos fora de sistema:
Retenção: Planilhas e documentos diversos que contenham dados pessoais ou sensíveis devem ser armazenados em diretórios específicos indicados e auditados pelo Encarregado de Dados. Após 2 (dois) anos sem qualquer acesso ao arquivo armazenado em Servidor de Arquivos com acesso comum, ele será bloqueado em um diretório de armazenamento com acesso restrito;
Proteção: A Política de Segurança da Informação Corporativa possui cobertura para proteção de informações contidas em planilhas ou documentos diversos.
E-mail:
Retenção: Qualquer e-mail enviado/recebido contendo dados pessoais ou sensíveis deverá ser eliminado em até 15 (quinze) dias, após o término da tratativa do escopo definido na mensagem, mediante a ação do usuário, seja ele remetente ou destinatário, utilizando a opção “excluir a mensagem”. Recomenda-se a utilização de links compartilháveis para transmissão deste tipo de informação e evitar o uso de anexos usando o sistema vBox/PensoDrive.
Proteção: A Política de Segurança da Informação Corporativa cobre a devida utilização do serviço de e-mail.
Dispositivos móveis e Desktops:
Retenção: Qualquer mensagem contendo dado pessoal ou dado sensível deverá ser avaliada pelo receptor, utilizada imediatamente e apagada tão logo seja possível. A presente política orienta que deve ser desencorajado o uso de aplicativos móveis, computadores de mesa ou dispositivos pessoais usados na modalidade BYOD (Bring your Own Device), tal como é regulado pela Política de Segurança da Informação para transmissão ou armazenamento de tais conteúdos.
Proteção: A Política de Segurança da Informação Corporativa e a Política de Privacidade orientam sobre o uso consciente destes recursos.
SOLICITAÇÃO DE ACESSO AOS DADOS
O Titular do Dado tem o direito de solicitar pelos meios publicados no portal das empresas da BLOKTON, informações sobre os dados armazenados, as formas de tratamento e quais entidades possuem acesso.
Após a ciência da solicitação de acesso, o Encarregado de Dados ou, na ausência dele, alguém nomeado para tal atividade, deverá responder da seguinte forma:
· Para solicitações em que o resultado seja um relatório simplificado, a resposta deve ser imediata, privilegiando o retorno mais breve possível;
· Para solicitações em que o resultado seja por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, a resposta deve ser fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular;
Qualquer solicitação de revogação de direitos de uso de dados ou bloqueio de informação deverá ser copiado o Representante ou DPO da Honda, conforme termo lavrado com este parceiro comercial.
DESBLOQUEIO DE DADOS
A BLOKTON poderá efetuar o desbloqueio de um dado pessoal ou sensível previamente bloqueado, conforme as regras já ponderadas anteriormente. Em consonância com o Artigo 7 e Artigo 11 da Lei Geral de Proteção de Dados, as condições para o desbloqueio de um dado limitam-se às seguintes hipóteses:
· Mediante o fornecimento de consentimento pelo titular;
· Para o cumprimento de obrigação legal ou regulatória pelo controlador;
· Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da LGPD;
· Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
· Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
· Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, conforme previsto em lei específica;
· Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
· Para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
· Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
· Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
· Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
EXCLUSÃO, BLOQUEIO OU ANONIMIZAÇÃO DE DADOS
O consentimento dado pelo Titular do Dado pode ser revogado a qualquer momento mediante manifestação expressa do titular, por meio dos contatos publicados no Portal da BLOKTON ou por meio de contato divulgado pelo colaborador que efetivamente coletou o dado.
Mediante solicitação expressa de paralisação da atividade de tratamento, a BLOKTON priorizará o bloqueio da informação, utilizando os meios previstos na Política de Retenção de Dados. Todas as revogações de direitos de tratamento de dados devem ser concluídas em prazo máximo de 15 (quinze) dias a contar da data do recebimento da solicitação.
Caso o Titular expresse inequivocamente a vontade de excluir ou anonimizar o dado (rechaçando a possibilidade de bloqueio), a solicitação deverá ser encaminhada ao Comitê de Privacidade de Dados (CPD) para que avalie a viabilidade de cumprimento da solicitação e justifique em caso de não-possibilidade de atender esta demanda.
Tais solicitações deverão ser informadas à Honda, conforme Termo Específico de Parceria lavrado entre ela e a BLOKTON.
REGRAS PARA OS OPERADORES DE DADOS
Todos os Operadores de Dados da BLOKTON deverão considerar as boas práticas de proteção à privacidade de dados previstas na LGPD e em regulamentos que venham a completá-la. Os contratos de prestação de serviços deverão considerar as regras de retenção, acesso, bloqueio e tratamento de dados e coibir posturas contrárias à Política de Privacidade de Dados.
Ao compartilhar um dado pessoal ou sensível em que seja possível a identificação do indivíduo Titular, e considerando por meios razoáveis a não-exigência da assinatura de um contrato, será necessário que uma informação padrão previamente aprovada pelo Encarregado de Dados, seja encaminhada para ciência do Operador de Dados, informando as práticas que devem ser seguidas pelo destinatário.
RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS (RIPD)
O RIPD é uma documentação da BLOKTON que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Por tratar-se de um requisito legal, o RIPD deve ser produzido nas fases iniciais de implantação de novos processos de negócio que utilizam dados pessoais ou sensíveis, ou então, ser atualizado em processos de negócio existentes que passem por algum processo de melhoria.
O RIPD deve ser produzido pelo Encarregado e consultores externos podem apoiar em sua produção. O referido documento deverá ser apresentado aos demais membros da Comitê de Privacidade de Dados (CPD) que ratificará o aceite ou rejeição da ação prevista. Sob nenhuma hipótese será permitida a omissão desta análise.
ATUALIZAÇÃO DA POLÍTICA DE PRIVACIDADE
O Comitê de Privacidade de Dados (CPD) manterá o presente documento revisado por meio de análise anual de aderência com os processos corporativos com posterior notificação a toda a organização.