POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS
1. INTRODUÇÃO
Esta Política foi elaborada para estabelecer regras relativas à Proteção de Dados Pessoais considerando a realidade e escopo de atuação da Vista.
Em atendimento à Lei nº 13.709/2018, Lei Geral de Proteção de Dados (“LGPD”), bem como em aderência às melhores práticas de mercado, a Vista, por meio desta Política, define as diretrizes de proteção dos dados pessoais nos nossos processos internos, visando explicar e reafirmar nosso compromisso com a privacidade, a proteção de dados e a transparência no acesso e tratamento dos dados pessoais coletados, acessados ou manuseados.
Recomendamos que esta Política seja periodicamente consultada de forma a garantir que qualquer decisão esteja baseada no disposto neste documento.
2. ABRANGÊNCIA
Esta Política é aplicável a todos os colaboradores (acionistas, diretores, empregados, estagiários), partes relacionadas e terceiros que possuam alguma relação conosco.
3. OBJETIVO
Estabelecer as regras, parâmetros, conceitos, critérios e diretrizes relacionadas à proteção de dados pessoais de todos os indivíduos, incluindo, mas não limitados aos atuais, futuros ou potenciais candidatos a vagas de emprego ou estágio, colaboradores, clientes, fornecedores, investidores, parceiros comerciais ou prestadores de serviços.
4. PRINCIPAIS REFERÊNCIAS REGULATÓRIAS E INTERNAS
A presente Política estabelece as diretrizes da Vista para resguardo e uso de dados pessoais que venham a ser tratados em suas atividades, tendo como referência, mas não se limitando a:
• Lei 13.709/2018 (Lei Geral de Proteção de Dados ou LGPD) – Dispõe sobre o tratamento de dados pessoais em meios digitais ou físicos realizados por pessoa natural ou por pessoa jurídica, de direito público ou privado.
• LEI Nº 12.965/2014 (Marco Civil da Internet) – Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil.
• Código de Ética e Conduta.
5. PRINCIPAIS DEFINIÇÕES
Proteção de dados e privacidade têm abordagens diferentes para alcançar o objetivo principal. Abaixo, conceituamos estes termos para os fins de escopo desta Política:
5.1. PRIVACIDADE
Direito à reserva de informações pessoais e da própria vida pessoal. É o controle que um indivíduo exerce sobre o fluxo de informações sobre si mesmo.
5.2. PROTEÇÃO DE DADOS
Sabendo que a privacidade é o direito de ser protegido de uma interferência em assuntos pessoais, a proteção de dados representa o modo para implementar essa proteção.
Adotamos um conjunto de processos internos que visam garantir a proteção dessas informações contra ameaças internas e externas.
Além disso, a Vista atende os direitos dos titulares de dados estabelecidos, armazenando os registros que comprovam todas as ações que envolvam dados pessoais para uma eventual auditoria, fiscalização da ANPD (Autoridade Nacional de Proteção de Dados) ou até mesmo em processos judiciais.
• Autoridade Nacional de Proteção de Dados (“ANPD”): órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD);
• Controlador: pessoa natural ou jurídica a quem compete as decisões referentes ao tratamento de dados pessoais;
• Operador: pessoa natural ou jurídica, que realiza o tratamento de dados pessoais em nome do controlador;
• Titular: a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Indivíduo que pode ser identificado direta ou indiretamente, a partir de um nome, um número de identificação ou de matrícula, dados de localização ou por um ou mais fatores físicos, psicológicos, genéticos, mentais, econômicos, culturais específicos ou identidade social;
• Informação: Consiste em qualquer dado pessoal em qualquer meio, incluindo mas não se limitando à base de dados, documentos (físicos, eletrônicos, magnéticos ou digitais) finalizados ou em desenvolvimento, recursos de informática, segurança de tecnologia da informação (domínios, mídias, processos, políticas, procedimentos, medidas, recursos de segurança), informações comerciais, financeiras, estatísticas, jurídicas e/ou técnicas, relacionadas aos negócios ou aos empregados da Vista e, em geral, qualquer conhecimento ou comunicação transmitida por qualquer forma (verbal, escrita, audiovisual etc.);
• Dado Pessoal: qualquer informação relacionada a um titular identificado ou identificável. Tais dados podem incluir, entre muitos outros, nome, endereço, número de telefone, CPF, número da carteira de habilitação e detalhes de transações comerciais pessoais;
• Dado Pessoal Sensível: informação sobre origem racial ou étnica, convicção religiosa, posicionamento político, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, bem como aquelas Informações que, ainda que sejam difundidas na empresa, sejam classificadas como sendo de uso interno;
• Encarregado de Proteção de Dados (Data Protection Officer – “DPO”): pessoa natural, indicada pela Vista, com base em sua expertise e conhecimento do tema, responsável por supervisionar a estratégia e coordenar a implementação da proteção de dados pessoais, bem como atuar como canal de comunicação entre a Vista, titulares e a autoridade nacional, assegurando a conformidade com a LGPD;
• Tratamento: toda operação realizada com dados pessoais, como as que se referem à visualização, acesso, coleta, gravação, organização, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou de outro modo disponibilização, alinhamento ou combinação, bloqueio, exclusão, descarte ou destruição;
• Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
• Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
• Incidente: violação da segurança que provoque, de modo acidental, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento; e
• Vazamento de dados: trata de exposição intencional de dados pessoais e/ou dados sensíveis a pessoas não autorizadas. Destacando que, a utilização deliberada dos dados para finalidade diversa à da coletada também pode ser enquadrada como vazamento dos dados.
6. COLETA DE DADOS E CONSENTIMENTO
Utilizamos os dados pessoais coletados principalmente para prestar nossos serviços, realizar uma atividade interna ou uma transação, de acordo com os nossos procedimentos internos.
Sempre informaremos aos titulares sobre eventuais demandas legais que resultem na divulgação de dados pessoais, a menos que tal informação seja vedada por lei ou proibida por mandado judicial ou, ainda, se a requisição for emergencial. A Vista se compromete a contestar caso julgue as solicitações excessivas, infundadas ou realizadas por autoridades incompetentes.
Quanto ao consentimento do titular, este será realizado mediante o aceite da nossa Política de Privacidade nos sites e plataformas da Vista, bem como por meio de cláusulas contratuais junto a terceiros relacionados e colaboradores.
7. DIREITOS DOS TITULARES DE DADOS
O titular dos dados pessoais tem direito a obter da Vista, na condição controladora, em relação aos seus próprios dados por ela tratados, a qualquer momento e mediante requisição:
• Confirmação da existência de tratamento;
• Acesso aos dados de forma facilitada, gratuita e transparente sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais, observados os segredos comercial e industrial;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto em Lei;
• Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses legais;
• Informação das entidades públicas e privadas com as quais a Vista realizou uso compartilhado de dados;
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• Revogação do consentimento, nos termos da Lei.
8. DAS DIRETRIZES DE TRATAMENTO DE DADOS
A seguir, abordamos as diretrizes básicas que regularão o tratamento de dados.
8.1. CONFIDENCIALIDADE
Toda informação, sensível ou não, deve ser mantida no mais absoluto e estrito sigilo, mesmo após o término da relação entre as partes na hipótese em que seja necessário o armazenamento dos dados, dentro dos prazos legais previstos e contados a partir do término da relação contratual.
Nenhuma informação, sensível ou não, poderá ser extraída ou transmitida de qualquer forma ou meio (eletrônico, mecânico, fotocópia, gravação etc.) das instalações da Vista, salvo se houver autorização expressa para praticá-los, de modo que se reconhece o dever de confidencialidade das informações e as obrigações relacionadas ao tratamento das informações.
8.2. FINALIDADE E ADEQUAÇÃO
Toda informação, sensível ou não, deverá ser tratada exclusivamente para a finalidade informada e consentida pelo titular de dados, os quais devem ser legítimos, específicos, explícitos e compatíveis com as finalidades informadas ao titular, de acordo com o contexto do tratamento, sem possibilidade de tratamento posterior, salvo exceção legal ou novo consentimento.
8.3. NECESSIDADE
Toda informação, sensível ou não, deverá ser limitada ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
8.4. QUALIDADE DOS DADOS
Toda informação, sensível ou não, deverá ser exata, clara, relevante e atual, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
8.5. NÃO DISCRIMINAÇÃO
Toda informação, sensível ou não, não deverá ser utilizada para fins discriminatórios, ilícitos ou abusivos.
8.6. MEDIDAS DE SEGURANÇA
Deverão ser cumpridos todos os padrões e procedimentos de segurança técnicos e organizacionais para o tratamento das informações, sensíveis ou não.
8.7. ENCERRAMENTO
Deverão ser cumpridos todos os padrões e procedimentos de segurança técnicos e organizacionais para o tratamento das informações, sensíveis ou não.
No encerramento dos serviços e/ou nas hipóteses previstas na legislação, as informações, sensíveis ou não, deverão ser destruídas imediatamente e de forma irreversível, salvo para o atendimento das hipóteses previstas na legislação.
Na hipótese de descarte de qualquer suporte tecnológico, este deverá ser destruído ou apagado usando todas as medidas cabíveis para impedir a recuperação subsequente das informações.
9. HIPÓTESES DE COMPARTILHAMENTO OU DIVULGAÇÃO DE DADOS
Em regra, o compartilhamento e/ ou divulgação de dados somente poderá ser realizado mediante consentimento específico do titular. Todavia, em alguns casos, a Vista poderá divulgar os dados pessoais coletados com o objetivo de cumprir a legislação vigente ou por força de ordem ou intimação judicial ou administrativa, nos seguintes cenários:
• Investigar, impedir ou tomar medidas relacionadas à cooperação com órgãos públicos ou para proteger a segurança nacional;
• Execução de contratos;
• Investigação e defesa de alegações de terceiros;
• Proteção da segurança ou integridade dos serviços;
• Cumprimento de obrigação legal ou regulatória pelo controlador;
• Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
• Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na Lei;
• Quando os dados forem tornados manifestamente públicos pelo titular, resguardados os direitos do titular.
As hipóteses acima descritas não excluem outras porventura existentes ou que venham a ser criadas pelas autoridades.
A transferência internacional de dados somente será feita com base nas finalidades previamente estabelecidas na legislação ou na Política de Privacidade, e desde que os países ou organismos internacionais destinatários dos dados proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD, os quais serão garantidos, pelo menos, por meio de cláusulas contratuais, normas corporativas globais ou selos, certificados e códigos de conduta regularmente emitidos.
10. ARMAZENAMENTO E ELIMINAÇÃO
Conservamos os dados pessoais estritamente pelo tempo necessário para as finalidades para as quais forem processados para execução de nossos negócios e/ou para cumprimento de obrigação legal ou regulatória.
Tais dados serão excluídos após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
• Cumprimento de obrigação legal ou regulatória pelo controlador dos dados;
• Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados; ou
• Uso exclusivo do Controlador, vedado seu acesso por terceiro, e, em caso de necessidade eventual, desde que estes sejam anonimizados.
11. REGISTRO DE ATIVIDADES E AVALIAÇÃO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS
Deverá ser providenciada a elaboração, pelo DPO, do RIPD – Relatório de Impacto à Proteção de Dados Pessoais, entendido como a documentação que contenha a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Também deverá ocorrer a colaboração de uma parte à outra quando a elaboração do relatório de impacto seja necessária, assim como a colaboração mútua em eventual consulta que possa ocorrer à Autoridade Nacional, quando apropriado.
12. FUNÇÕES E RESPONSABILIDADES
12.1. ENCARREGADO DE DADOS PESSOAIS – DPO
• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• Receber comunicações da ANPD e adotar providências;
• Deverá comunicar à Autoridade Nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
• Orientar a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
• Executar as demais atribuições determinadas internamente na Vista seja na função de controladora ou operadora.
12.2. ASSESSORIA DE COMPLIANCE
• Realizar testes de verificação de conformidade regulatória referentes ao tema;
• Analisar processos internos e identificar riscos ou oportunidades de melhorias em controles internos relacionados à proteção de dados pessoais;
• Registrar ocorrências ou apontamentos identificados referentes a falhas ou incidentes específicos; e
• Realizar a revisão periódica desta Política.
12.3. ASSESSORIA JURÍDICA
• Validar os contratos firmados entre a Vista e suas partes relacionadas no tocante à proteção de dados pessoais;
• Assegurar que contratos ou acordos firmados contenham cláusulas específicas de compromisso com a proteção de dados pessoais, quando for o caso;
• Coordenar a elaboração, assinatura e arquivamento de NDA’s (acordos de confidencialidade), quando aplicável;
• Coordenar o tratamento de eventuais demandas jurídicas que venham a surgir em função de incidentes de segurança relacionados à proteção de dados pessoais; e
• Zelar pela guarda adequada de arquivos físicos e mídias que contenham dados pessoais.
12.4. DIVISÃO DE RECURSOS HUMANOS (“RH”)
• Realizar o tratamento dos dados pessoais de colaboradores, bem como eventuais candidatos ou banco de talentos;
• Coordenar programa de treinamentos/campanhas de conscientização acerca de proteção de dados pessoais; e
• Zelar pela guarda adequada de arquivos físicos e mídias que contenham dados pessoais dos colaboradores.
12.5. TECNOLOGIA (“TI”)
• Tomar ações emergenciais preventivas e/ou corretivas em casos de ameaças da integridade dos dados pessoais;
• Manter eficientes controles de segurança cibernética atualizados;
• Sugerir melhorias nos procedimentos relacionados ao armazenamento e tratamento de dados pessoais;
• Auxiliar o DPO na condução das eventuais respostas a incidentes, juntamente com o auxílio das demais áreas necessárias para a resolução do problema;
• Corrigir e mitigar vulnerabilidades detectadas;
• Providenciar, quando necessário, a anonimização de dados pessoais e sensíveis; e
• Zelar pela guarda adequada de arquivos digitais e mídias que contenham dados pessoais.
12.6. COLABORADORES EM GERAL
• Obedecer fielmente às regras estabelecidas pela presente política, bem como notificar eventuais incidentes de segurança para o DPO;
• Respeitar os controles e mecanismos de proteção de dados pessoais existentes;
• Não utilizar, copiar, armazenar ou compartilhar dados pessoais a que tenham acesso sem a devida autorização prévia do DPO; e
• Zelar pela guarda adequada de arquivos físicos e mídias que contenham dados pessoais.
13. CANAIS DE ATENDIMENTO
A Vista deve indicar o nome e os detalhes de contato do Encarregado de Proteção de Dados (DPO).
Este encarregado ou seu representante/procurador deverá auxiliar a Vista no atendimento aos direitos dos titulares de dados na forma descrita pela legislação.
Os titulares poderão realizar comunicações, solicitações, reclamações e tirar dúvidas enviando um e-mail para o Encarregado de Dados Pessoais – DPO por meio do endereço dpo@vista.eco.br , ou outro meio idôneo disponibilizado pela Vista para a mesma finalidade, desde que comprovada sua identidade.
14. RESPOSTA A INCIDENTES
Um processo deverá ser implementado para a notificação e gerenciamento de incidentes que afetem as informações, sensíveis ou não, o qual possa identificar e registrar o tipo de incidente, data, detecção, quem o notifica, os efeitos dele derivados, data da solução, descrição da solução etc.
Este registro deverá incluir as recuperações das informações feitas, indicando a pessoa que as executou, os dados restaurados e, quando apropriado, quais dados foram necessários para registrar manualmente no processo de recuperação.
Na eventual ocorrência de um incidente, a pessoa que tomar conhecimento desta situação deverá comunicar o DPO imediatamente, que tomará as providências cabíveis junto à ANPD e da tratativa de solução do caso.
Os incidentes de segurança referentes a dados pessoais, nos termos de sua definição, deverão ser classificados conforme sua relevância e de acordo com (i) a classificação dos dados pessoais e informações envolvidas; e (ii) o impacto na continuidade dos nossos negócios.
O DPO deverá comunicar, à ANPD e ao titular, a eventual identificação de ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante e todas as medidas que serão tomadas de forma tempestiva pela Vista.
A comunicação será feita em prazo razoável, conforme definido pela Autoridade Nacional, e deverá mencionar, no mínimo1:
• a descrição da natureza dos dados pessoais afetados;
• as informações sobre os titulares envolvidos;
• a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
• os riscos relacionados ao incidente;
• os motivos da demora, no caso de a comunicação não ter sido imediata; e
• as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Caso não seja possível fornecer as informações descritas acima simultaneamente, estas deverão ser fornecidas gradualmente, sem demora injustificada.
15. AUDITORIA
A Vista se reserva ao direito de verificar, a qualquer momento, a conformidade com os procedimentos, medidas e controles de segurança exigidos neste documento, inclusive por meio de auditorias e testes de segurança em relação a sistemas de informação, comunicações, arquivos, regulamentos legais de proteção de dados pessoais, etc., bem como os procedimentos que suportam a execução dessa política.
1 Referência regulatória: Art. 48 da Lei nº 13.709/2018 (LGPD).
16. PROCEDIMENTOS DISCIPLINARES E PENALIDADES
-
- Advertência;
- Multa de até 10% (dez por cento) do faturamento anual;
- Publicização da infração;
- Bloqueio e eliminação dos dados pessoais a que se refere a infração;
- Suspensão temporária ou proibição do tratamento de dados pessoais.
Em caso de violação a esta política poderão ocorrer os seguintes níveis de sanções disciplinares com relação ao colaborador infrator, de acordo com o disposto em nosso Código de Ética e Conduta.
Portanto, ao apurar o descumprimento das regras, serão realizados procedimentos disciplinares resultando na aplicação de medidas administrativas, com caráter educativo e/ou punitivo, podendo o profissional ser advertido, afastado preventivamente de suas funções ou, em casos mais graves, desligado de suas funções institucionais, bem como a comunicação, pela Vista, das eventuais violações às autoridades competentes para a responsabilização cível e criminal, quando aplicável.
17. CONSIDERAÇÕES FINAIS
Todos os colaboradores, sem qualquer distinção, devem atestar a leitura e perfeita compreensão deste documento e suas posteriores alterações.
A presente política será revisada pela Assessoria de Compliance quando demandada ou, no mínimo, a cada 2 (dois) anos. A revisão não necessariamente resultará em uma nova versão do documento.
Em situações que não se encaixem ou estejam em desacordo de qualquer maneira com esta Política, deverão ser submetidas ao DPO, que analisará as circunstâncias e fundamentos e submeterá para deliberação da Diretoria Geral da Vista.