1. Política de Privacidade de Dados Pessoais
A presente Política de Privacidade e Proteção de Dados Pessoais (“Política”) tem como objetivo fornecer orientações sobre como gerenciar as diversas atividades e operações de tratamento de dados pessoais existentes no Grupo EMEF EQUIPAMENTOS. Este documento faz parte do Programa de Compliance da Cia à Lei Geral de Proteção de Dados (Lei número 13.709/2018 – “LGPD”).
O Grupo EMEF EQUIPAMENTOS consciente da importância e da necessidade de adequar as suas operações de tratamento de dados pessoais sensíveis de seus clientes pessoas naturais e empregados, a uma nova e ampla regulação sobre o tema, que traz o Brasil a contexto das melhores práticas e adotando não só as orientações da legislação nacional mas o que há de mais atual nas legislações sobre proteção de dados pessoais existentes no plano internacional , como por exemplo a “GRPD” fruto do esforço da União Europeia que teve seu início em maio de 2018.
O processo de Compliance regulatório representa um trabalho na interpretação da Lei para a definição das obrigações legais, diagnóstico preventivo dos fatos e condições que sejam relevantes para sua aplicação no fluxo e processos que contribuem ou não par que os fatos estejam de acordo com a legislação vigente.
A construção da presente Política é fruto da conscientização do valor intrínseco dos dados pessoais dos seres humanos, que com o avanço crescente da capacidade de utilização dos meios eletrônicos tornaram-se vulneráveis com a exponencial transformação do mundo em digital com a nova rotina de uso das redes mundiais de computadores, capazes de compartilhar quase de forma instantânea dados pessoais e sensíveis dos seres humanos, estes dados podem ser usados por pessoas inescrupulosas para diversos fins nocivos.
Nesta conjuntura aqueles que como tem a necessidade de tratar Dados Pessoais, devem estabelecer maior rigor e abster-se de colher ou manter dados irrelevantes ou que possam vir a causar qualquer constrangimento a seus titulares.
O Grupo EMEF EQUIPAMENTOS participa destes valores e pelo respeito ético aos dados pessoais e alinhado com suas demais políticas de Compliance, assume o compromisso no presente e no futuro de adotar as melhores práticas
2. Objetivo
A Política de Privacidade de Dados Pessoais tem como objetivo descrever ao usuário o método, os processos e os procedimentos adotados no tratamento de dados pessoais coletados, processados e armazenados, bem como informá-lo sobre as medidas de privacidade empregadas pelo Grupo EMEF EQUIPAMENTOS, sempre observando a necessária confidencialidade aos dados dos titulares, e com o respeito aos seguintes princípios de boa-fé, transparência e eticidade.
Integra o objetivo do Grupo EMEF EQUIPAMENTOS adotar o cuidado necessário diante dos meios tecnológicos à disposição do mercado brasileiro no trato dos dados que lhe forem confiados;
3. Destinatários
Esta Política de Privacidade e Proteção de Dados Pessoais se aplica (i) aos Empregados do Grupo EMEF EQUIPAMENTOS, (ii) a todos os TERCEIROS sejam pessoais pessoas jurídicas ou naturais que atuam por conta e ordem do Grupo EMEF EQUIPAMENTOS em operações que envolvam o tratamento de dados pessoais que tenham sido colhidos ou transmitidos pelo Grupo EMEF EQUIPAMENTOS.
4. Princípios de Privacidade e Proteção de Dados Pessoais
Finalidade: O Grupo EMEF EQUIPAMENTOS realizará o tratamento de dados pessoais apenas para propósitos legítimos, específicos, explícitos e informados ao titular de dados pessoais, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
Adequação: O Grupo EMEF EQUIPAMENTOS realizará o tratamento de dados pessoais de forma compatível com as finalidades informadas ao titular de dados, e de acordo com o contexto do tratamento.
Necessidade: O tratamento de dados pessoais realizado pelo Grupo EMEF EQUIPAMENTOS será limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento.
Livre acesso: O Grupo EMEF EQUIPAMENTOS garantirá aos titulares de dados pessoais a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados.
Qualidade dos Dados: O Grupo EMEF EQUIPAMENTOS garantirá aos titulares dedados pessoais, a exatidão, clareza, relevância e atualização dos dados de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
Transparência: O Grupo EMEF EQUIPAMENTOS garantirá aos titulares de dados pessoais informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento de dados pessoais, observados os segredos comercial e industrial.
Segurança: O Grupo EMEF EQUIPAMENTOS utilizará medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Prevenção: O Grupo EMEF EQUIPAMENTOS utilizará medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
Não Discriminação: O Grupo EMEF EQUIPAMENTOS garantirá a impossibilidade de realização do tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos
Responsabilização e Prestação de Contas: O Grupo EMEF EQUIPAMENTOS compromete-se a demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, e a eficácia dessas medidas.
5. Hipóteses para tratamento de Dados Pessoais
O Grupo EMEF EQUIPAMENTOS para o tratamento de dados pessoais observará sempre uma base legitima e estabelecendo a devida finalidade e estipulação dos funcionários eleitos para realização do tratamento.
O tratamento de Dados Pessoais Sensíveis poderá ser realizado em quaisquer das hipóteses a seguir elencadas:
(a) Mediante o fornecimento de consentimento pelo titular de dados pessoais; (b) Para o cumprimento de obrigação legal ou regulatória; (c) Quando necessário para execução de contrato; (d) Para o exercício regular de direito em processos de natureza judicial, administrativa, mediação ou arbitragem; (e) Para a proteção da vida ou da saúde do titular ou de terceiros; (f) Quando necessário para atender legitimo interesse; e (g) Para análise de processo interno de concessão de crédito.
O Grupo EMEF EQUIPAMENTOS manterá em seus arquivos em cloud os dados pessoais tratados, que poderão ser consultados mediante solicitação dos Titulares ou determinação do Poder Público, podendo realizar o descarte das informações após decorridos 5 anos de guarda.
A adesão a presente Política de Privacidade e Proteção de Dados Pessoais é de natureza obrigatória a todos os destinatários e aplicável a todas as operações que envolvam tratamento de dados pessoais.
6. Direitos do Titulares de Dados Pessoais
O Grupo EMEF EQUIPAMENTOS no âmbito das atividades de tratamentos de dados pessoais, reitera seu compromisso de profundo respeito aos direitos dos titulares de dados pessoais, quais sejam:
(1) Direito à Confirmação da Existência do Tratamento – o titular de dados pessoais pode indagar ao Grupo EMEF EQUIPAMENTOS, se há a realização de operações de tratamento relativos a dados pessoais a seu respeito; (2) Direito de Acesso – Fica assegurado ao titular de dados pessoais receber uma cópia de todos os dados pessoais que tenham sido coletados e armazenados pela EMEF EQUIPAMENTOS; (3) Direito de Correção – o Titular de dados pessoais pode requisitar a correção de dados pessoais que estejam incompletos ou desatualizados no todo ou em parte; (4) Direito de Eliminação – o Titular de dados pessoais pode requisitar o expurgo de dados pessoais, exceto quando houver legitimo interesse do Grupo EMEF EQUIPAMENTOS em sua mantença ou por determinação legal tiver o dever de manter a informação em seus bancos de dados; (5) Direito de Exigir a Suspensão do Tratamento de Dados – O Titular poderá a qualquer momento, requerer bloqueio ou eliminação de dados que tenham sido reconhecidos por autoridade Judicial ou autoridade administrativa competente como excessivos ou desnecessários, bem como aqueles cujo tratamento não tenha observado as diretrizes da LGPD ou Autoridade Nacional de Proteção de Dados; (6) Direito de Portabilidade – O titular pode requerer que seus dados sejam disponibilizados a outro fornecedor, desde que tal fato não ofenda direitos comerciais ou segredo industrial; (7) Direito de Revogação de Consentimento – O titular de dados pessoais poderá a qualquer momento apresentar requerimento revogando o consentimento para o tratamento de seus dados sensíveis.
O Titular dos dados pessoais poderá exercer na plenitude seus direitos, encaminhando sua
solicitação de forma inequívoca ao Grupo EMEF Equipamentos, sempre direcionando o pleito ao DPO da Cia ou através do e-mail dpo@EMEFequipamentos.com.br instruindo sua solicitação com cópia de documento de identidade do titular e requerimento com reconhecimento de firma, a fim de que sua identificação possa ser aferida.
7. Deveres Para o Uso Adequado de Dados Pessoais
Os deveres de cuidado, atenção e uso adequado de dados pessoais se estendem a todos os destinatários desta Política no desenvolvimento de seus trabalhos e atividades no Grupo EMEF EQUIPAMENTOS, comprometendo-se a Cia a auxiliar suas obrigações na implementação de sua estratégia de privacidade e proteção de dados pessoais.
8. Deveres Específicos dos Titulares de Dados Pessoais
Incumbe aos titulares de dados pessoais comunicar ao Grupo EMEF EQUIPAMENTOS sobre quaisquer modificações em seus dados pessoais na sua relação com a Cia., observando a seguinte ordem
(i) Por e-mail endereçado ao Data Protector Officer; e
(ii) Por meio físico através de carta registrada.
Compartilhamento inter company
O compartilhamento de dados pessoais de titulares de dados pessoais entre as empresas do Grupo EMEF EQUIPAMENTOS é permitido, desde que respeitadas a sua finalidade e as bases legais aplicáveis, ficando o tratamento de dados pessoais sempre subordinado ao desenvolvimento das atividades empresariais do Grupo EMEF EQUIPAMENTOS.
9. Deveres dos Empregados do Grupo EMEF EQUIPAMENTOS
1. Não disponibilizar nem garantir aceso aos dados pessoais mantidos pelo Grupo EMEF EQUIPAMENTOS, para quaisquer pessoais não autorizadas ou competentes de com acordo com a Política vigente e as regras legais aplicáveis.
2. Obter autorização necessária para o tratamento de dados e ter os documentos necessários que demonstrem a designação de sua competência para a realização da operação de tratamento de dados lícita, nos termos do arcabouço normativo vigente.
3. Cumprir as normas, recomendações, orientações de segurança da informação e prevenção de incidentes de segurança da informação publicados pelo Grupo EMEF EQUIPAMENTOS.
10. Deveres de todos os Destinatários desta Política
Todos os destinatários desta política têm o dever de contatar o DPO quando da suspeita ou da ciência da ocorrência das seguintes ações:
Operação de tratamento de dados pessoais realizadas sem base legal que a justifique;
Tratamento de dados pessoais sem a autorização por parte do Grupo EMEF EQUIPAMENTOS no escopo das atividades que desenvolve;
Operação de tratamento de dados pessoais que seja realizada em desconformidade com a
Segurança da Informação do Grupo EMEF EQUIPAMENTOS;
11. Relação com Terceiros
Considerando que a Lei Geral de Proteção de Dados estabelece não só a possibilidade de aplicação de sanções em razão de descumprimento das garantias aos Titulares de Dados, bem como a obrigação do dever de indenizar em caso de danos materiais ou meta materiais, quando houver violação das regras vigentes, com a responsabilização de toda a cadeia envolvida no tratamento de dados.
Desta forma, o Grupo EMEF EQUIPAMENTOS, reserva-se o direito de ingressar com medidas judiciais e extrajudiciais que visem proteger o titular de dados sensíveis, e por tal razão todos os esforços serão tomados para que os terceiros com quem mantém relacionamento cumpram na integralidade o disposto não só na LGPD como em outras normas que sejam aplicáveis ao caso, inclusive fazendo constar em seus contratos e pré-contratos a proteção de dados.
Todos os terceiros, quer sejam em novos contratos ou mesmo relações adrede celebradas com o Grupo EMEF EQUIPAMENTOS, deverão firmar termo de aceite desta Política.
12. Segurança da Informação
O compartilhamento de dados pessoais de titulares de dados pessoais entre as empresas do Grupo EMEF EQUIPAMENTOS é permitido, desde que respeitadas a sua finalidade e as bases legais aplicáveis, ficando o tratamento de dados pessoais sempre associado ao desenvolvimento das atividades empresariais do Grupo EMEF EQUIPAMENTOS.
13. Conscientização e Treinamento
Todos os funcionários do Grupo EMEF EQUIPAMENTOS devem ser treinados e conscientizados sobre a importância da temática ligada a privacidade no tratamento de informações. O Data Protector Officer deve conduzir contínuo processo de treinamento sobre as regras legais vigentes no país, a classificação das informações, o correto arquivamento e utilização de criptografia ou outros meios disponíveis para manter indene os dados sensíveis confiados aos Grupo EMEF EQUIPAMENTOS.
A capacitação será realizada através de cursos internos e externos com entidades reconhecidas que emitam certificação adequada e que será arquivada pelo Grupo EMEF EQUIPAMENTOS.
14. Revisões e Auditorias
O Grupo EMEF EQUIPAMENTOS realizará auditorias internas e externas para aferir o adequado cumprimento da Presente Política, sendo atribuído ao DPO o dever de realizar ou acompanhar o desenlace das auditorias internas e externas.
A presente Política será objeto de revisões semestrais ou sempre que houver alteração no arcabouço legal aplicável a matéria ou novas diretrizes emanadas da Autoridade Nacional de Proteção de Dados, revisão jurisprudencial ou que reflita as melhores e mais atualizadas práticas observadas no mercado concernente a proteção e tratamento de dados pessoais.
15. Mapeamento de Processamento de Dados
O Grupo EMEF EQUIPAMENTOS realizará contínuo processo de mapeamento de todos os dados colhidos de forma eletrônica e física, a fim de verificar se os dados tratados estão em linha com o
objeto pretendido e observando na plenitude todos os princípios emanados pela LGPD.
16. Lidando com Incidentes
Qualquer pessoa que tome conhecimento da utilização inadequada de da Dados Pessoais, deverá informar ao DPO da Companhia para que sejam tomadas as medidas necessárias para mitigar ou solucionar a questão.
O DPO deverá elaborar um relatório sobre o incidente estabelecendo a gravidade do impacto na privacidade de dados, em conjunto com o Diretor Financeiro da EMEF EQUIPAMENTOS e Comitê de Compliance.
Para o gerenciamento da crise em confirmação da ocorrência do incidente, o DPO deverá informar ao titular dos dados violados e a Autoridade competente, em até 48 horas, informando as medidas já adotadas, bem como outras que se fizerem necessárias para restabelecer a privacidade dos dados pessoais.
17. Contratos Escritos
Em todos os contratos em que as empresas do Grupo EMEF EQUIPAMENTOS participarem como contraentes, contratadas ou de qualquer forma intervenientes deverá fazer constar cláusulas de conhecimento e cumprimento das normas previstas na LGPD.
18. Aceitação dos Termos e Políticas
O Grupo EMEF EQUIPAMENTOS reserva-se o direito de modificar a qualquer momento a presente Política, para constante aprimoramento a Lei, Jurisprudência e melhor práticas adotadas pelo mercado.
ANEXO I – DEFINIÇÕES
Autoridade Nacional de Proteção de Dados (“ANPD”):
Órgão da Administração Pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional. A ANPD foi instituída pela LGPD como órgão da administração pública federal com autonomia técnica, integrante da Presidência da República, definido a sua natureza como transitória e passível de transformação pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculado à Presidência da República. Agentes de Estado Órgãos e entidades da Administração pública além dos seus agentes públicos Anonimização Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Banco de Dados Conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico. Consentimento Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Códigos maliciosos É qualquer programa de computador ou parte de um programa, construído com a intenção de provocar danos, obter informações não autorizadas ou interromper o funcionamento de sistemas e/ou redes de computadores. Cliente No âmbito das atividades do Grupo EMEF EQUIPAMENTOS, correspondem as pessoas físicas ou jurídicas. Pessoas Jurídicas de Direito Público ou Privado, que sejam nacionais ou internacionais que realizem compras ou locações, bem como adquiram serviços. Dado anonimizado Dado relativo à titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. Dados pessoais Informação relacionada a pessoa natural identificada ou identificável. Também são considerados dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural. Dado pessoal sensível Dado pessoal que pode afetar a esfera íntima do sujeito, ou que em caso de mau uso, possa dar origem a discriminação (por exemplo: sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou a vida sexual, dado genético ou biométrico, saúde, etc …). DPO – Data Protection Officer ou Encarregado Pessoa física ou jurídica indicada pelo Agente de Tratamento para atuar como canal de comunicação entre o Controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados. Será responsável pela implementação do Programa de Conformidade às Leis de Proteção de Dados Pessoais que fará parte do programa de Compliance do Grupo EMEF EQUIPAMENTOS.
Eliminação Exclusão de dado ou conjunto de dados armazenados em banco de dados, independentemente do prejuízo empregado. Grupo EMEF EQUIPAMENTOS Refere-se a EMEF EQUIPAMENTOS S.A ou empresas por ela controladas ou que detenha participação direta ou indireta. Internet Sistema constituído do conjunto de protocolos lógicos, estruturados em escala mundial para uso irrestrito, com a finalidade de possibilitar a comunicação de dados entre terminais por meio de diferentes redes. Lei Geral de Proteção de Dados (“LGPD”) Diploma normativo (lei 13.709, de 14 de agosto de 2018) que dispõe sobre o Tratamento de Dados Pessoais em meio digitais ou físicos realizados por pessoa natural ou por pessoa jurídica, de direito público ou privado, tendo como objetivo defender os titulares de dados pessoais e ao mesmo tempo permitir o uso dos dados para finalidades diversas, equilibrando interesses e harmonizando a proteção da pessoa humana com o desenvolvimento tecnológico e econômico. Nuvem Computação na nuvem significa acesso a recursos de TI compartilhados configuráveis via uma rede de telecomunicações, em uma base on demand e self-service. Transferência Internacional de Dados Transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro. Titular Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Tratamento Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Terceiro É toda pessoa física ou jurídica contratada pela EMEF EQUIPAMENTOS ou empresa por ela controlada ou afiliada para desenvolver ou auxiliar no desenvolvimento das atividades desenvolvidas pela Cia. Uso compartilhado de dados Comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre privados.
