CÓDIGO DE POLÍTICA CORPORATIVA DE PROTEÇÃO DE DADOS DA ‘CRESPIDB’

APRESENTAÇÃO

Prezados colaboradores, parceiros, clientes e fornecedores,

A proteção de dados no processamento de informações de nossos clientes representa hoje um dos grandes ativos a serem cuidados em nossa estrutura, sobretudo pelo aumento de exigências normativas e expectativas naturais do mercado.

A CRESPIDB, com atuação em nível nacional, recomenda, fortemente, a todos os seus parceiros, colaboradores, clientes e fornecedores um elevado nível de comprometimento para cumprimento das regras desta Política Corporativa, para que todos tenham uniformidade e um adequado nível de proteção dos dados que de alguma forma sejam tratados pela CRESPIDB. Um tratamento cuidadoso desses dados corresponde à expectativa de nossos clientes e parceiros de negócios, e é a base para uma relação comercial de confiança.
Essa diretriz determina um padrão para o processamento dos dados pessoais de nossos interessados, clientes e parceiros de negócios nas empresas do grupo, o qual se baseia nas exigências legais e em princípios de proteção de dados mundialmente reconhecidos.
Esta política corporativa foi elaborada para estar em compliance com a LGPD (Lei Geral de Proteção de Dados), a qual aborda princípios e direitos dos titulares de dados que devem ser por todos acatados. São estes:

• Os titulares de dados/consumidores devem ser tratados com transparência (TRANSPARÊNCIA);
• Os dados pessoais devem ser tratados de acordo com a lei, regulamentações e tratados (LEGALIDADE);
• Os dados pessoais serão tratados de forma confidencial (CONFIDENCIALIDADE);
• Os dados pessoais serão protegidos, coletados, processados, utilizados e armazenados de forma apropriada (ADEQUAÇÃO);
• Deverão ser implementadas medidas técnicas necessárias e apropriadas para proteger os dados (SEGURANÇA);
• Os dados pessoais deverão ser deletados, quando assim solicitado por seus titulares (ESQUECIMENTO);
• Deve ser garantido o direito de acesso aos dados pelos titulares, mediante o fornecimento das informações diante de solicitação (LIVRE ACESSO);
• Deve ser garantido ao titular a correção de imprecisões em suas informações (RETIFICAÇÃO);
• Deve ser garantido ao titular a portabilidade de seus dados pessoais mediante requisição (PORTABILIDADE).

Ressaltamos que a aplicação destes direitos do titular em seus sistemas de origem é de responsabilidade do cliente da CRESPIDB. Todos os clientes e parceiros devem seguir estes mesmos princípios para garantir o direito do titular ao longo de todo o fluxo dos dados.

Portanto, a presente Política tem como objetivo a criação de condições básicas necessárias para um intercâmbio de informações intrínseco ao cumprimento do objetivo social da CRESPIDB, uma vez que garantir o nível adequado de proteção de dados, igualmente, é de interesse de todos parceiros comerciais, além de ser uma exigência da LGPD.

ESCOPO

Esta política visa estabelecer diretrizes e princípios para coleta, tratamento, uso e retenção de dado pessoal na CRESPIDB, aplicando-se a todas as Informações pessoais recebidas pela empresa em qualquer formato, incluindo o eletrônico, o em papel ou o verbal.

Esta política é aplicável a todos os colaboradores, empregados, parceiros e prestadores de serviço e clientes que, de alguma forma, tratem, coletem, armazenem, usem, cuidem ou tenham acesso às informações, dados de toda natureza, e em qualquer formato.

Além das regras e princípios desta Política, os clientes e parceiros também esperam que os seus dados sejam tratados cuidadosamente, no limite das leis vigentes no Brasil, além dos parâmetros éticos e sociais. Se não existir uma relação de confiança com os clientes e parceiros, não é possível manter relações empresariais duradouras.

Nenhum colaborador ou parceiro está autorizado a estipular regulamentações divergentes desta Política de Privacidade. Eventuais alterações a serem realizadas nesta Política só poderão ser efetuadas pelo encarregado de proteção de dados da CRESPIDB (Data Protection Officer - DPO).

CONTEÚDO

A. DEFINIÇÕES

Cliente: pessoa, física ou jurídica, contratante dos serviços da CRESPIDB.

Dado pessoal: toda e qualquer informação que, isolada ou conjuntamente com outras informações fornecidas, permitam a identificação e individualização de quem as forneceu. É considerada identificável a pessoa que possa ser identificada direta ou indiretamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, econômica, cultural ou social.

Dado sensível: dados pessoais sobre a origem racial ou étnica, convicções religiosas, dados referentes à saúde, à vida sexual, além de dados genéticos e biométricos.

Dado anonimizado: dados relativos a um titular que não possa ser identificado.

Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Banco de dados: conjunto estruturado e/ou não estruturado de dados pessoais em formato eletrônico ou físico.

Titular de dados: pessoa natural a quem se referem os dados pessoais objeto de tratamento.

Controlador: pessoa natural ou jurídica a quem competem as decisões sobre tratamento de dados pessoais.

Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.

Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para a finalidade informada.

Uso compartilhado dos dados: a comunicação, a difusão, a transferência, a interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos, no cumprimento de suas competências legais, ou entre estes e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

B. PRINCÍPIOS PARA O PROCESSAMENTO DE DADOS PESSOAIS

Além dos princípios já delineados em “Apresentação”, toda coleta e tratamento de dados deverá sempre observar os princípios abaixo elencados:

FINALIDADE: realizar o tratamento com vistas a atender propósitos legítimos, específicos, explícitos e informados ao titular de dados. Os dados pessoais não deverão ser guardados para novas finalidades, que estejam em dissonância com a finalidade informada originalmente, exceto no caso de se tratar de obrigação legal;

ADEQUAÇÃO: realizar o tratamento de forma compatível com a finalidade informada ao titular;

NECESSIDADE: limitar o tratamento ao necessário à consecução da finalidade informada, de modo que diante do atingimento desta, os dados deverão ser eliminados, tendo em conta as obrigações existentes de armazenagem;

QUALIDADE DOS DADOS: garantia aos titulares acerca da exatidão, clareza, relevância e atualização dos dados, conforme a necessidade e finalidade do tratamento;

PREVENÇÃO: adoção de medidas para prevenir a ocorrência de danos em virtude da coleta e tratamento de dados pessoais;

NÃO DISCRIMINAÇÃO: impossibilidade de tratamento de dados para fins discriminatórios ilícitos ou abusivos; e

RESPONSABILIDADE E PRESTAÇÃO DE CONTAS: demonstração acerca da adoção de medidas eficazes e capazes de comprovar o cumprimento e observância das regras estabelecidas nesta política, inclusive a eficácia das medidas.

C. NÃO APLICAÇÃO

Esta Política Corporativa não se aplica a análises estatísticas ou inspeções efetuadas com base em dados anonimizados ou dados referentes a pessoas jurídicas.

D. POLÍTICAS ESTABELECIDAS
D1. Diretrizes gerais

Os dados pessoais coletados ou recebidos pela CRESPIDB de funcionários, consumidores dos clientes e parceiros de negócios devem ser mantidas em segurança e protegido contra acessos não autorizados e contra vazamento ou divulgação indevida.

A coleta dados pessoais é realizada para legitimar relações administrativas e comerciais, tais como: recursos humanos, pesquisas de satisfação, informações de contato, viabilização de negócios e prestação de serviços entre outras finalidades que forem estipuladas entre a CRESPIDB e seus empregados, parceiros, clientes e fornecedores.

A CRESPIDB utilizará os dados de forma consistente com esta política e com a lei em vigor. Todas as informações pessoais coletadas ou recebidas serão utilizadas para fins legitimamente de negócios.

D2. Coleta/Uso de Dados

De acordo com a LGPD, a coleta e uso de dados pessoais deverá se basear em uma destas hipóteses:

• consentimento (escrito ou por meio que demonstre a vontade do titular);
• obrigação legal;
• necessidade para execução contratual;
• exercício regular de um direito;
• proteção à vida ou incolumidade física do titular ou de terceiro;
• para a tutela da saúde;
• para atender a legítimo interesse do controlador (cliente) ou terceiro;
• para a proteção de crédito; e,
• em razão da publicidade dada aos dados por seu titular.

D2.1 Uso de Informações de Criança

A CRESPIDB entende como relevante e sensível os dados pessoais de crianças. Desta forma, esta opta por não receber ou tratar dados de crianças (pessoas com até 12 anos incompletos). Caso sejam enviados à CRESPIDB dados de crianças estes deverão vir acompanhados do registro de consentimento expresso de ao menos um dos pais ou responsável.

A CRESPIDB, no exercício da sua atividade, não aborda intencionalmente menores de idade. Assim, o cliente da CRESPIDB é o responsável por identificar e apontar quando os dados forem pertencentes a um menor de idade.

D3. Propósito para utilização dos dados pessoais

Os dados pessoais, coletados ou recebidos pela CRESPIDB, devem ser utilizados para fins relacionados à sua prestação de serviço e, em relação a seus colabradores, à área de recursos humanos da CRESPIDB delimitados em Contrato específico.
O cliente da CRESPIDB é responsável por identificar se o dado é sensível.

O compartilhamento de dados com parceiros também deverá ser realizado mediante prévia autorização do controlador, que por sua vez, tem responsabilidade de obter o consentimento do titular do dado para esta finalidade.

D4. Segurança

As áreas responsáveis pela segurança da informação da CRESPIDB devem estabelecer controles para proteger as informações pessoais dos titulares contra perdas, mau uso, acesso não autorizado, divulgação, alteração e destruição.

O nível de segurança para o tratamento de dados pessoais deverá estar em conformidade com as instruções estabelecidas na Política de Tecnologia da Informação – Política de uso aceitável dos recursos de tecnologia da informação.

Recomenda-se aos clientes, parceiros e fornecedores da CRESPIDB que implementem e mantenham um ambiente seguro por meio de políticas e procedimentos efetivos de proteção de dados e segurança da informação, contratação de seguros, fiscalização dos procedimentos simples de segurança (ex. atualizações de softwares), utilização de Pseudonimização e técnicas de criptografia.

D5. Retenção das informações

Os dados pessoais de titulares de dados devem permanecer armazenados em ambiente seguro pelo período necessário para atender os objetivos previamente acordados com o controlador, o qual deve ser responsável pela finalidade estabelecida junto aos titulares de dados. Quando solicitado pelo titular, a exclusão de seus dados deverá ser realizada, após comunicação do titular ou do controlador, se for o caso.

D6. Compartilhamento de Dados pelos Clientes com a CRESPIDB

O compartilhamento de dados pessoais pelos Clientes com a CRESPIDB se dará para questões relacionadas ao objeto estabelecido em Contrato, devendo o Cliente, quando for o caso, apresentar evidência de conhecimento e consentimento do titular, dono da informação, acerca da destinação desta.

Recomendamos aos nossos clientes e parceiros que adotem níveis de segurança similares aos da CRESPIDB, os quais devem constar em contrato, serem fiscalizados, e constar, ao menos de forma genérica, nas políticas de privacidade da empresa.

D7. Requisição de dados pela polícia e ordem judicial

A CRESPIDB preza pela cooperação com as autoridades competentes a fim de garantir o estrito cumprimento das leis, salvaguardar a integridade e segurança dos dados pessoais.

A CRESPIDB e seus parceiros poderão comunicar às autoridades informações como: nome completo, endereço, número de telefone, e-mail, entre outros, de forma que, a seu critério, desde que seja para o cumprimento da legislação brasileira ou ordem judicial.

D8. Políticas de Privacidade e Contratos de Prestação de Serviços

As políticas de privacidade e Contratos de Prestação de Serviços devem observar as instruções estabelecidas pela Política Nacional de Proteção de Dados Pessoais e da Privacidade.

Na elaboração e revisão das Políticas de Privacidade, e cláusulas contratuais específicas de proteção de dados pessoais nos contratos de prestação de serviços da CRESPIDB, a linguagem deve ser clara e simples.

D9. Privilégios e responsabilidades no acesso a dados pessoais

Os colaboradores com acesso direto a dados pessoais na CRESPIDB, seja em atividades de coleta, armazenamento, tratamento ou qualquer outro uso, devem ser mapeados e identificados periodicamente, aos quais serão estabelecidos e/ou avaliados os privilégios específicos de acesso, e seu nível de responsabilidade ao acessar os dados. Para acessar os dados, os colaboradores devem passar pelo processo de autenticação de acesso interno aos dados, usando, por exemplo, sistemas de autenticação para assegurar a individualização do responsável pelo tratamento dos registros.

Deverá ser criado um inventário detalhado dos acessos aos dados, inclusive por terceiros, clientes e parceiros, contendo, no mínimo, as seguintes informações sobre cada acesso:
1. O momento
2. A duração
3. A identidade de quem cedeu o acesso
4. A identidade de quem acessa
5. A informação acessada

D10. Conformidade e legalidade

Todas as áreas de negócio, parceiros, colaboradores e terceiros da CRESPIDB, devem estar em conformidade com as leis e regulamentações vigentes e com os padrões de segurança estabelecidos na LGPD, vigente.

E. CANAL DE COMUNICAÇÃO

Qualquer dúvida ou preocupação com relação ao uso ou divulgação de dados pessoais deve ser encaminhada ao setor responsável pelo tratamento de dados na CRESPIDB (DPO – Data Protection Officer). Este setor solucionará eventuais dúvidas, questionamentos e litígios acerca do uso e divulgação de Informações pessoais de acordo com os princípios contidos nesta Política. Entre em contato conosco no seguinte endereço: Rua Treze de Maio, 390, sala 87, centro, Farroupilha, RS, CEP. 95.170-428, Fone: (54) 3401-1471, ou pelo e-mail atendimento@crespidb.com.br

F. PROTEÇÃO E USO APROPRIADO DOS BENS E INFORMAÇÕES DA CRESPIDB

As inferências e inteligências sobre os bancos de dados recebidos realizadas pela CRESPIDB para a consecução da prestação dos serviços são de titularidade desta, já que estas consistem em verdadeiras bases de dados, que, por seleção, organização e disposição de seu conteúdo, constituem uma criação intelectual.

Todos que tiverem acesso aos bens e informações de titularidade da CRESPIDB são responsáveis pela proteção, uso e cuidados destes, sendo que qualquer suspeita de fraude, furto ou acesso desautorizado deve ser devidamente reportada para investigação, através do canal de comunicação acima informado.

O uso ou a distribuição desautorizada dos bens ou informações da CRESPIDB violam esta Política Corporativa e podem resultar, além de sanções administrativas, em penalidades civis ou criminais.

As informações não podem ser mantidas em meios físicos ou eletrônicos, que não sejam de domínio ou esteja protegido pela CRESPIDB. É vedada a utilização ou conexão de dispositivos particulares de gravação de dados nos computadores ou servidores da CRESPIDB.

G. PERÍODO DE VIGÊNCIA

Este Código consolida as normas vigentes na CRESPIDB, sendo que sua disponibilização e divulgação poderá se dar por meio de impressão ou meios digitais, com protocolo de recebimento ou declaração digital de ciência. A alegação de não recebimento não invalidará a obrigatoriedade de seu cumprimento, considerando outrossim, a disponibilização do conteúdo quando da admissão, tornando-se obrigatório seu conhecimento antes do início das atividades. Esta Política Geral tem vigência por prazo indeterminado.