CÓDIGO DE POLÍTICA CORPORATIVA DE PROTEÇÃO DE DADOS DA CDB - Data Solutions
APRESENTAÇÃO
Prezados colaboradores, parceiros, clientes e fornecedores,
A proteção de dados no processamento de informações de nossos clientes representa
hoje um dos grandes ativos a serem cuidados em nossa estrutura, sobretudo pelo
aumento de exigências normativas e expectativas naturais do mercado.
A CDB - Data Solutions, com atuação em nível nacional, recomenda, fortemente, a
todos os seus parceiros, colaboradores, clientes e fornecedores um elevado nível de
comprometimento para cumprimento das regras desta Política Corporativa, para que
todos tenham uniformidade e um adequado nível de proteção dos dados que de alguma
forma sejam tratados pela CDB - Data Solutions. Um tratamento cuidadoso desses dados
corresponde à expectativa de nossos clientes e parceiros de negócios, e é a base
para uma relação comercial de confiança.
Essa diretriz determina um padrão para o processamento dos dados pessoais de nossos
interessados, clientes e parceiros de negócios nas empresas do grupo, o qual se
baseia nas exigências legais e em princípios de proteção de dados mundialmente
reconhecidos.
Esta política corporativa foi elaborada para estar em compliance com a LGPD (Lei
Geral de Proteção de Dados), a qual aborda princípios e direitos dos titulares de
dados que devem ser por todos acatados. São estes:
• Os titulares de dados/consumidores devem ser tratados com transparência
(TRANSPARÊNCIA);
• Os dados pessoais devem ser tratados de acordo com a lei, regulamentações e
tratados (LEGALIDADE);
• Os dados pessoais serão tratados de forma confidencial
(CONFIDENCIALIDADE);
• Os dados pessoais serão protegidos, coletados, processados, utilizados e
armazenados de forma apropriada (ADEQUAÇÃO);
• Deverão ser implementadas medidas técnicas necessárias e apropriadas para proteger
os dados (SEGURANÇA);
• Os dados pessoais deverão ser deletados, quando assim solicitado por seus
titulares (ESQUECIMENTO);
• Deve ser garantido o direito de acesso aos dados pelos titulares, mediante o
fornecimento das informações diante de solicitação (LIVRE
ACESSO);
• Deve ser garantido ao titular a correção de imprecisões em suas informações
(RETIFICAÇÃO);
• Deve ser garantido ao titular a portabilidade de seus dados pessoais mediante
requisição (PORTABILIDADE).
Ressaltamos que a aplicação destes direitos do titular em seus sistemas de origem é
de responsabilidade do cliente da CRESPIDB. Todos os clientes e parceiros devem
seguir estes mesmos princípios para garantir o direito do titular ao longo de todo o
fluxo dos dados.
Portanto, a presente Política tem como objetivo a criação de condições básicas
necessárias para um intercâmbio de informações intrínseco ao cumprimento do objetivo
social da CDB - Data Solutions, uma vez que garantir o nível adequado de proteção de
dados, igualmente, é de interesse de todos parceiros comerciais, além de ser uma
exigência da LGPD.
ESCOPO
Esta política visa estabelecer diretrizes e princípios para coleta, tratamento, uso
e retenção de dado pessoal na CDB - Data Solutions, aplicando-se a todas as
Informações pessoais recebidas pela empresa em qualquer formato, incluindo o
eletrônico, o em papel ou o verbal.
Esta política é aplicável a todos os colaboradores, empregados, parceiros e
prestadores de serviço e clientes que, de alguma forma, tratem, coletem, armazenem,
usem, cuidem ou tenham acesso às informações, dados de toda natureza, e em qualquer
formato.
Além das regras e princípios desta Política, os clientes e parceiros também esperam
que os seus dados sejam tratados cuidadosamente, no limite das leis vigentes no
Brasil, além dos parâmetros éticos e sociais. Se não existir uma relação de
confiança com os clientes e parceiros, não é possível manter relações empresariais
duradouras.
Nenhum colaborador ou parceiro está autorizado a estipular regulamentações
divergentes desta Política de Privacidade. Eventuais alterações a serem realizadas
nesta Política só poderão ser efetuadas pelo encarregado de proteção de dados da CDB
- Data Solutions (Data Protection Officer - DPO).
CONTEÚDO
A. DEFINIÇÕES
Cliente: pessoa, física ou jurídica, contratante dos serviços da
CDB - Data Solutions.
Dado pessoal: toda e qualquer informação que, isolada ou
conjuntamente com outras informações fornecidas, permitam a identificação e
individualização de quem as forneceu. É considerada identificável a pessoa que possa
ser identificada direta ou indiretamente, designadamente por referência a um número
de identificação ou a um ou mais elementos específicos da sua identidade física,
fisiológica, psíquica, econômica, cultural ou social.
Dado sensível: dados pessoais sobre a origem racial ou étnica,
convicções religiosas, dados referentes à saúde, à vida sexual, além de dados
genéticos e biométricos.
Dado anonimizado: dados relativos a um titular que não possa ser
identificado.
Tratamento: toda operação realizada com dados pessoais, como as que
se referem a coleta, produção, recepção, classificação, utilização, acesso,
reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação, modificação, comunicação,
transferência, difusão ou extração.
Banco de dados: conjunto estruturado e/ou não estruturado de dados
pessoais em formato eletrônico ou físico.
Titular de dados: pessoa natural a quem se referem os dados
pessoais objeto de tratamento.
Controlador: pessoa natural ou jurídica a quem competem as decisões
sobre tratamento de dados pessoais.
Operador: pessoa natural ou jurídica que realiza o tratamento de
dados pessoais em nome do controlador.
Consentimento: manifestação livre, informada e inequívoca pela qual
o titular concorda com o tratamento de seus dados pessoais para a finalidade
informada.
Uso compartilhado dos dados: a comunicação, a difusão, a
transferência, a interconexão de dados pessoais ou tratamento compartilhado de
bancos de dados pessoais por órgãos e entidades públicos, no cumprimento de suas
competências legais, ou entre estes e entes privados, reciprocamente, com
autorização específica, para uma ou mais modalidades de tratamento permitidas por
esses entes públicos, ou entre entes privados.
B. PRINCÍPIOS PARA O PROCESSAMENTO DE DADOS PESSOAIS
Além dos princípios já delineados em “Apresentação”, toda coleta e tratamento de
dados deverá sempre observar os princípios abaixo elencados:
FINALIDADE: realizar o tratamento com vistas a atender propósitos
legítimos, específicos, explícitos e informados ao titular de dados. Os dados
pessoais não deverão ser guardados para novas finalidades, que estejam em
dissonância com a finalidade informada originalmente, exceto no caso de se tratar de
obrigação legal;
ADEQUAÇÃO: realizar o tratamento de forma compatível com a
finalidade informada ao titular;
NECESSIDADE: limitar o tratamento ao necessário à consecução da
finalidade informada, de modo que diante do atingimento desta, os dados deverão ser
eliminados, tendo em conta as obrigações existentes de armazenagem;
QUALIDADE DOS DADOS: garantia aos titulares acerca da exatidão,
clareza, relevância e atualização dos dados, conforme a necessidade e finalidade do
tratamento;
PREVENÇÃO: adoção de medidas para prevenir a ocorrência de danos em
virtude da coleta e tratamento de dados pessoais;
NÃO DISCRIMINAÇÃO: impossibilidade de tratamento de dados para fins
discriminatórios ilícitos ou abusivos; e
RESPONSABILIDADE E PRESTAÇÃO DE CONTAS: demonstração acerca da
adoção de medidas eficazes e capazes de comprovar o cumprimento e observância das
regras estabelecidas nesta política, inclusive a eficácia das medidas.
C. NÃO APLICAÇÃO
Esta Política Corporativa não se aplica a análises estatísticas ou inspeções
efetuadas com base em dados anonimizados ou dados referentes a pessoas
jurídicas.
D. POLÍTICAS ESTABELECIDAS
D1. Diretrizes gerais
Os dados pessoais coletados ou recebidos pela CDB - Data Solutions de funcionários,
consumidores dos clientes e parceiros de negócios devem ser mantidas em segurança e
protegido contra acessos não autorizados e contra vazamento ou divulgação
indevida.
A coleta dados pessoais é realizada para legitimar relações administrativas e
comerciais, tais como: recursos humanos, pesquisas de satisfação, informações de
contato, viabilização de negócios e prestação de serviços entre outras finalidades
que forem estipuladas entre a CDB - Data Solutions e seus empregados, parceiros,
clientes e fornecedores.
A CRESCDB - Data Solutions PIDB utilizará os dados de forma consistente com esta
política e com a lei em vigor. Todas as informações pessoais coletadas ou recebidas
serão utilizadas para fins legitimamente de negócios.
D2. Coleta/Uso de Dados
De acordo com a LGPD, a coleta e uso de dados pessoais deverá se basear em uma destas
hipóteses:
• consentimento (escrito ou por meio que demonstre a vontade do titular);
• obrigação legal;
• necessidade para execução contratual;
• exercício regular de um direito;
• proteção à vida ou incolumidade física do titular ou de terceiro;
• para a tutela da saúde;
• para atender a legítimo interesse do controlador (cliente) ou terceiro;
• para a proteção de crédito; e,
• em razão da publicidade dada aos dados por seu titular.
D2.1 Uso de Informações de Criança
A CDB - Data Solutions entende como relevante e sensível os dados pessoais de
crianças. Desta forma, esta opta por não receber ou tratar dados de crianças
(pessoas com até 12 anos incompletos). Caso sejam enviados à CDB - Data Solutions
dados de crianças estes deverão vir acompanhados do registro de consentimento
expresso de ao menos um dos pais ou responsável.
A CDB - Data Solutions, no exercício da sua atividade, não aborda intencionalmente
menores de idade. Assim, o cliente da CDB - Data Solutions é o responsável por
identificar e apontar quando os dados forem pertencentes a um menor de idade.
D3. Propósito para utilização dos dados pessoais
Os dados pessoais, coletados ou recebidos pela CDB - Data Solutions, devem ser
utilizados para fins relacionados à sua prestação de serviço e, em relação a seus
colabradores, à área de recursos humanos da CDB - Data Solutions delimitados em
Contrato específico.
O cliente da CDB - Data Solutions é responsável por identificar se o dado é
sensível.
O compartilhamento de dados com parceiros também deverá ser realizado mediante
prévia autorização do controlador, que por sua vez, tem responsabilidade de obter o
consentimento do titular do dado para esta finalidade.
D4. Segurança
As áreas responsáveis pela segurança da informação da CDB - Data Solutions devem
estabelecer controles para proteger as informações pessoais dos titulares contra
perdas, mau uso, acesso não autorizado, divulgação, alteração e destruição.
O nível de segurança para o tratamento de dados pessoais deverá estar em
conformidade com as instruções estabelecidas na Política de Tecnologia da
Informação – Política de uso aceitável dos recursos de tecnologia da
informação.
Recomenda-se aos clientes, parceiros e fornecedores da CDB - Data Solutions que
implementem e mantenham um ambiente seguro por meio de
políticas e procedimentos efetivos de proteção de dados e segurança
da informação, contratação de seguros, fiscalização dos procedimentos
simples de segurança (ex. atualizações de softwares), utilização de
Pseudonimização e técnicas de criptografia.
D5. Retenção das informações
Os dados pessoais de titulares de dados devem permanecer armazenados em ambiente
seguro pelo período necessário para atender os objetivos previamente acordados com o
controlador, o qual deve ser responsável pela finalidade estabelecida junto aos
titulares de dados. Quando solicitado pelo titular, a exclusão de seus dados deverá
ser realizada, após comunicação do titular ou do controlador, se for o caso.
D6. Compartilhamento de Dados pelos Clientes com a CDB - Data Solutions
O compartilhamento de dados pessoais pelos Clientes com a CDB - Data Solutions se
dará para questões relacionadas ao objeto estabelecido em Contrato, devendo o
Cliente, quando for o caso, apresentar evidência de conhecimento e consentimento do
titular, dono da informação, acerca da destinação desta.
Recomendamos aos nossos clientes e parceiros que adotem níveis de segurança
similares aos da CDB - Data Solutions, os quais devem constar em contrato, serem
fiscalizados, e constar, ao menos de forma genérica, nas políticas de privacidade da
empresa.
D7. Requisição de dados pela polícia e ordem judicial
A CDB - Data Solutions preza pela cooperação com as autoridades competentes a fim de
garantir o estrito cumprimento das leis, salvaguardar a integridade e segurança dos
dados pessoais.
A CDB - Data Solutions e seus parceiros poderão comunicar às autoridades informações
como: nome completo, endereço, número de telefone, e-mail, entre outros, de forma
que, a seu critério, desde que seja para o cumprimento da legislação brasileira ou
ordem judicial.
D8. Políticas de Privacidade e Contratos de Prestação de Serviços
As políticas de privacidade e Contratos de Prestação de Serviços devem observar as
instruções estabelecidas pela Política Nacional de Proteção de Dados Pessoais e da
Privacidade.
Na elaboração e revisão das Políticas de Privacidade, e cláusulas contratuais
específicas de proteção de dados pessoais nos contratos de prestação de serviços da
CDB - Data Solutions, a linguagem deve ser clara e simples.
D9. Privilégios e responsabilidades no acesso a dados pessoais
Os colaboradores com acesso direto a dados pessoais na CDB - Data Solutions, seja em
atividades de coleta, armazenamento, tratamento ou qualquer outro uso, devem ser
mapeados e identificados periodicamente, aos quais serão estabelecidos e/ou
avaliados os privilégios específicos de acesso, e seu nível de responsabilidade ao
acessar os dados.
Para acessar os dados, os colaboradores devem passar pelo processo de autenticação
de acesso interno aos dados, usando, por exemplo, sistemas de autenticação para
assegurar a individualização do responsável pelo tratamento dos registros.
Deverá ser criado um inventário detalhado dos acessos aos dados, inclusive por
terceiros, clientes e parceiros, contendo, no mínimo, as seguintes informações sobre
cada acesso:
1. O momento
2. A duração
3. A identidade de quem cedeu o acesso
4. A identidade de quem acessa
5. A informação acessada
D10. Conformidade e legalidade
Todas as áreas de negócio, parceiros, colaboradores e terceiros da CRESPIDB, devem
estar em conformidade com as leis e regulamentações vigentes e com os padrões de
segurança estabelecidos na LGPD, vigente.
E. CANAL DE COMUNICAÇÃO
Qualquer dúvida ou preocupação com relação ao uso ou divulgação de dados pessoais
deve ser encaminhada ao setor responsável pelo tratamento de dados na CDB - Data
Solutions (DPO
– Data Protection Officer). Este setor solucionará eventuais dúvidas,
questionamentos e litígios acerca do uso e divulgação de Informações pessoais de
acordo com os princípios contidos nesta Política.
Entre em contato conosco no seguinte endereço: Rua Treze de Maio, 390, sala 87,
centro, Farroupilha, RS, CEP. 95.170-428, Fone: (54) 3401-1471, ou pelo e-mail
atendimento@crespidb.com.br
F. PROTEÇÃO E USO APROPRIADO DOS BENS E INFORMAÇÕES DA CDB - Data Solutions
As inferências e inteligências sobre os bancos de dados recebidos realizadas pela CDB
- Data Solutions para a consecução da prestação dos serviços são de titularidade
desta, já que estas consistem em verdadeiras bases de dados, que, por seleção,
organização e disposição de seu conteúdo, constituem uma criação
intelectual.
Todos que tiverem acesso aos bens e informações de titularidade da CDB - Data
Solutions são responsáveis pela proteção, uso e cuidados destes, sendo que qualquer
suspeita de fraude, furto ou acesso desautorizado deve ser devidamente reportada
para investigação, através do canal de comunicação acima informado.
O uso ou a distribuição desautorizada dos bens ou informações da CDB - Data
Solutions violam esta Política Corporativa e podem resultar, além de sanções
administrativas, em penalidades civis ou criminais.
As informações não podem ser mantidas em meios físicos ou eletrônicos, que não sejam
de domínio ou esteja protegido pela CDB - Data Solutions. É vedada a utilização ou
conexão de dispositivos particulares de gravação de dados nos computadores ou
servidores da CDB - Data Solutions.
G. PERÍODO DE VIGÊNCIA
Este Código consolida as normas vigentes na CDB - Data Solutions, sendo que sua
disponibilização e divulgação poderá se dar por meio de impressão ou meios digitais,
com protocolo de recebimento ou declaração digital de ciência. A alegação de não
recebimento não invalidará a obrigatoriedade de seu cumprimento, considerando
outrossim, a disponibilização do conteúdo quando da admissão, tornando-se
obrigatório seu conhecimento antes do início das atividades. Esta Política Geral tem
vigência por prazo indeterminado.