Política de Privacidade
1. OBJETIVO
A SIMPAR S.A. reconhece a importância da privacidade de seus clientes, colaboradores, fornecedores, prestadores de serviços, terceiros e demais pessoas que tenham relacionamento com a SIMPAR S.A. e, por isso, está comprometida com o tema. Esta
Política tem a finalidade de estabelecer padrões mínimos de conformidade à Lei Federal nº 13.709/2018 (“Lei Geral de Proteção de Dados Pessoais” ou “LGPD”) e, assim, assegurar a proteção de seus dados.
Esta Política descreve as regras aplicáveis para o Tratamento de Dados Pessoais, bem como organiza os principais pontos para a construção de um Programa de Governança em Privacidade e Proteção de Dados Pessoais (“Programa”).
2. CAMPO DE APLICAÇÃO
Esta Política se aplica à SIMPAR S.A. e a todas as empresas por ela controladas, direta ou indiretamente (“Companhia”).
Igualmente será cabível às demais entidades do grupo econômico da SIMPAR S.A. e parceiros internacionais que estejam sobre o escopo territorial e material da Lei Federal n° 13.709/2018 (“LGPD”), bem como a outras leis que façam referência ao tema de privacidade e proteção de dados e às quais a Companhia esteja sujeita.
3. DEFINIÇÕES
Para os fins desta Política, as seguintes definições se aplicam:
- Autoridade Nacional de Proteção de Dados (“ANPD”): É o órgão da administração pública responsável pela regulamentação, fiscalização e aplicação de penalidades administrativas, relacionadas à proteção de dados.
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados Pessoais, como a forma e duração do Tratamento. A SIMPAR S.A. será Controladora quando tomar as decisões sobre o Tratamento dos Dados Pessoais como ocorre em relação aos dados dos colaboradores da
SIMPAR S.A. - Dado Pessoal: Qualquer “informação relacionada a uma pessoa natural identificada ou identificável”1. Exemplos: nome e número de registro na OAB (que permite a identificação de uma pessoa quando realizada uma consulta na base de dados da entidade).
- Dado Pessoal Sensível: O Dado Pessoal sensível é a informação que pode representar um risco elevado à segurança e/ou às Liberdade do Titular ou, ainda, que podem gerar discriminações ilícitas quando tratado. A LGPD é bastante precisa e define Dado Pessoal sensível como aquele relacionado à “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico”2. Assim, informações como tipo sanguíneo, raça, religião, filiação partidária e impressão digital são consideradas Dados Pessoais sensíveis.
- Encarregado pelo Tratamento de Dados Pessoais (“Encarregado”): Pessoa formalmente indicada pela Companhia como responsável pela gestão do Programa de Governança em Privacidade e Proteção de Dados Pessoais, dentre a execução de outras atividades próprias à função, e que possui reporte direto ao Comitê de Privacidade e Proteção de Dados da SIMPARS.A.
- Não conformidade com o Programa de Privacidade: Qualquer falha na observância dos pontos descritos nesta Política, nas demais regras que regem o Programa de Privacidade e/ou na legislação vigente aplicável sobre o tema.
- LGPD: Lei Geral de Proteção de Dados – Lei Federal nº 13.709/2018.
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador.
- Privacidade desde a Concepção (Privacy by Design): Abordagem utilizada no desenvolvimento de um sistema ou projeto para incluir questões de privacidade e proteção de dados desde sua concepção.
- Relatório de Impacto à Proteção de Dados Pessoais (“Relatório”): Documentação que contém a descrição dos processos de Tratamento de Dados Pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
- Titular: Pessoa física a quem os Dados Pessoais se referem.
- Tratamento: Qualquer operação efetuada com Dados Pessoais, por meios automatizados ou não automatizados, tais como: a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
*¹Definição do art. 5º, I, da LGDP. *²Definição do art. 5º, II, da LGPD.
4. DIRETRIZES
4.1 ESTRUTURA NORMATIVA DO PROGRAMA
A estrutura normativa do Programa de Governança em Privacidade e Proteção de Dados Pessoais da Companhia é composta pelo conjunto de documentos, relacionados a seguir:
- Política Empresarial de Privacidade e Proteção de Dados Pessoais: constituída neste documento, define a estrutura, as diretrizes e as obrigações referentes à proteção de dados;
- Normas de Proteção de Dados: estabelecem obrigações e procedimentos a serem observados no Tratamento de Dados Pessoais;e
- Procedimentos: instrumentalizam as ações dispostas nas normas e nesta Política, permitindo sua aplicação direta nas atividades do dia-a dia.
4.2 DIRETRIZES BÁSICAS DO PROGRAMA
- Toda operação de Tratamento de Dados Pessoais deverá seguir os princípios básicos dispostos pela LGPD, em seu artigo 6º, e nas demais legislações referentes ao tema de privacidade e proteção de dados às quais a Companhia estiver sujeita, reforçados na Norma de Manuseio de Dados Pessoais da SIMPAR S.A.
- Toda operação de Tratamento em que qualquer empresa da Companhia figurar como Controladora de Dados Pessoais deverá ser fundamentada em uma das bases legais previstas na LGPD (art. 7º para Dados Pessoais Simples ou art. 11 para Dados Pessoais Sensíveis), conforme previsão da Norma de Manuseio de Dados Pessoais da SIMPAR S.A. e demais empresas por ela controladas.
- A Companhia deverá possuir o registro atualizado e completo de todas as atividades de Tratamento de Dados Pessoais, contendo, no mínimo, as seguintes informações:
- Descrição do fluxo da informação em cada etapa de seu ciclo de vida (coleta, armazenamento, uso, compartilhamento – e neste caso, a finalidade para transferência – e descarte);
- Base legal para Tratamento;
- Tipos de Dados Pessoais coletados;
- Finalidade para o qual o dado é tratado;
- Local lógico (nuvem, servidor, laptop etc.) e geográfico onde o dado é tratado;
- Período de retenção do dado;
- Área de negócio ou suporte responsável pelo Dado Pessoal; e
- Volume aproximado de registros existentes.
- Toda operação de compartilhamento de Dados Pessoais deverá seguir o disposto na Norma de Compartilhamento de Dados Pessoais da SIMPAR S.A. e, quando necessário, estar embasada em um contrato que possua uma cláusula de proteção de dados pessoais.
- Todos os produtos, projetos e iniciativas que envolverem Dados Pessoais deverão ser submetidas à análise de privacidade desde a concepção (análise de Privacy by Design), conforme as regras estabelecidas na Norma para Análise de Privacidade desde a Concepção (Privacy by Design) da Companhia.
- As operações de Tratamento que necessitarem da coleta de consentimento deverão ser pautadas pelas instruções da Norma para Uso e Gestão do Consentimento da Companhia
- Todos os Dados Pessoais devem possuir um prazo de retenção definido, devidamente justificado, devendo ser excluídos após o término no período previsto, conforme disposições da Norma de Manuseio de Dados Pessoais da Companhia . Os períodos de retenção devem estar previstos em documento apartado que compile todos os prazos mínimos de guarda.
- As informações sobre o Tratamento de Dados Pessoais deverão ser divulgadas através de Avisos de Privacidade ou outros meios que forneçam a transparência necessária ao Titular.
4.3 DIREITOS DOS TITULARES
A Companhia está comprometida com o atendimento dos direitos dos Titulares de Dados Pessoais pela LGPD. Logo, mandatoriamente viabilizará os seguintes direitos:
Direito do Titular | Descrição |
---|---|
Direito à Confirmação da Existência do Tratamento |
Garantia, aos Titulares, de obter, a qualquer momento e mediante equisição, confirmação sobre a existência ou não do Tratamento de seus dados. |
Direito de Acesso | Garantia, aos Titulares, de consulta facilitada e gratuita sobre a forma e a duração do Tratamento, bem como sobre a integralidade de seus Dados Pessoais. |
Direito à Qualidade dos Dados | Garantia, aos Titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu Tratamento |
Direito à Anonimização, Bloqueio ou Eliminação dos Dados Pessoais |
Garantia, aos Titulares, de anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD. |
Direito à Portabilidade | Garantia, aos Titulares, de portabilidade de seus dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da ANPD, observados os segredos comercial e industrial. |
Direito à Informação | Garantia, aos Titulares, de informações, inclusive sobre as entidades públicas e privadas com as quais foi realizada o compartilhamento de seus dados. |
Direito a Não Consentir | Garantia aos Titulares, de serem informados sobre a possibilidade de não fornecer o seu consentimento e sobre as consequências da negativa. Igualmente, abarca a garantia de revogar o consentimento. |
Direito à Revisão de Decisão Automatizada | Garantia, aos Titulares, de revisão de decisões tomadas unicamente com base em Tratamento automatizado de Dados Pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade. |
O atendimento dos direitos dos Titulares será realizado através de canal próprio para este fim, exclusivo ou não. A Companhia, como um todo, procederá com positividade, cooperação e assistência em relação à solicitação, a fim de resolvê-la satisfatoriamente sem a necessidade de recorrer a órgãos reguladores ou tribunal externos. Assim, espera-se que o Titular dos Dados Pessoais não hesite em expor sua demanda a qualquer empresa da Companhia.
Dentro do atendimento às requisições dos titulares, a Companhia deverá levar em consideração, a todo momento, as seguintes diretrizes:
- Um canal adequado e preparado deve estar disponível para o recebimento destas solicitações a qualquer momento do dia, possuindo uma confirmação de recebimento da solicitação, ainda que automatizada.
- A Companhia deverá possuir ao menos um script de resposta definido para responder as solicitações, contendo as medidas que deverão ser tomadas para atender cada solicitação.
- Deverá ser garantida a geração de evidências em todas as etapas do processo, desde o recebimento das solicitações até o momento do envio da resposta.
- As respostas poderão ser enviadas tanto por meio digital quanto por meio físico, contanto que a escolha fique a cargo do titular, devendo existir a possibilidade para que o Titular a exerça no momento da solicitação.
- O prazo de resposta para a requisição de confirmação e acesso aos dados deverá ser imediato, com a resposta em formato simplificado, ou em no máximo 15 (quinze) dias, hipótese na qual a declaração completa deverá ser entregue ao titular.
- O prazo de resposta para as demais solicitações deverão ser de, no máximo, 15 (quinze) dias, salvo exceções devidamente justificadas ao titular.
- Para facilitar o procedimento de resposta, os dados devem ser armazenados em formatos que facilitem sua consulta (e.g. banco de dados estruturado ou arquivo único de documentos físicos separados por nome do titular).
- O atendimento aos direitos acima descritos deverá ser feito de forma gratuita aos titulares.
4.4 RELATÓRIO DE IMPACTO A PROTEÇÃO DE DADOS PESSOAIS
O Relatório de Impacto à Proteção de Dados Pessoais é uma ferramenta importante de conformidade, dado que auxilia a Companhia a conceber novos produtos em conformidade ao princípio de Privacidade desde a Concepção e demonstrar, para tanto, a adoção de medidas adequados de mitigação de risco.
Tendo-se em conta a natureza, o contexto e a finalidade da operação de Tratamento de Dados Pessoais, o Relatório será mandatoriamente realizado sempre que ofertar um elevado risco à garantia de um dos princípios gerais elencados na LGPD. Adicionalmente, será recomendável quando importar o mesmo efeito aos direitos e liberdades das pessoas naturais.
Sem prejuízo de outras situações nas quais o Encarregado julgar necessárias, a elaboração do Relatório será compulsória quando o Tratamento:
- Estiver baseado no legítimo interesse da Companhia ou de terceiros;
- Envolver Dados Pessoais Sensíveis, de acordo com o definido na LGPD;
- Envolver dados de menores de idade, principalmente dados de menores de 12 (doze) anos;
- Envolver o compartilhamento de quaisquer dos dados acima a terceiros; ou
- Envolver o compartilhamento internacional de Dados Pessoais.
Via de regra, tais documentos não deverão ser publicados ou disponibilizados. Contudo, poderão ser objeto de requisição da ANPD, a qualquer tempo.
4.5 NÃO CONFORMIDADE COM O PROGRAMA DE PRIVACIDADE
A Companhia se compromete a envidar todos seus esforços para adotar medidas técnicas e administrativas aptas a proteger e prevenir a ocorrência de danos em virtude do Tratamento de Dados Pessoais.
A Companhia manterá um canal público para recebimento de notícias de não conformidades relacionadas ao Programa de Privacidade e/ou à legislação vigente aplicável, e que pode ser utilizado, sobretudo, por seus Colaboradores, respeitada a confidencialidade da solicitação.
O descumprimento de qualquer disposição desta Política, do Programa de Privacidade e/ou de qualquer disposição legal aplicável estará sujeito à aplicação das sanções previstas no Código de Conduta da SIMPAR S.A., sem prejuízo da sujeição a outras medidas legais pertinentes.
5. DISPOSIÇÕES FINAIS
Esta Política foi aprovada pelo Comitê de Privacidade e Proteção de Dados da SIMPAR S.A. e entrará em vigor na data de sua divulgação, revogando e substituindo qualquer comunicação anterior sobre o assunto, sendo do Encarregado a responsabilidade pela implementação desta Política e do Programa de Privacidade.
O cumprimento desta Política é obrigatório e de suma importância, sendo dever de todos observá-la. Em caso de não conformidade com esta Política, favor reportar imediatamente ao Encarregado pelo Tratamento de Dados Pessoais, pelo e-mail: [email protected].
Todos colaboradores e terceiros têm o compromisso de comunicar, imediatamente, qualquer violação a esta Política, ainda que mera suspeita. Os contatos e a forma de acesso ao Canal de Denúncia e à Linha Transparente estão previstos no Código de Conduta.