LEI GERAL DE PROTEÇÃO DE DADOS

 

Nesta seção, são divulgadas informações sobre o tratamento de dados pessoais realizado pelo Crea-PR, compreendendo a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução desse tratamento, em cumprimento ao disposto no inciso I do art. 23 da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).

 

A Lei Federal nº 13.709/2018 estabeleceu o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Portanto, divulgamos aqui informações sobre forma de solicitação de acesso a dados pessoais de pessoas físicas registradas ou não no Crea-PR.

 

Entre em contato com nosso Encarregado de Proteção de Dados

 

  • dpo@versaconsultores.com.br

 

 

POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS

 

A VERSA CONSULTORES está comprometida a somente tratar dados pessoais, sejam de seus colaboradores, seus clientes, fornecedores, parceiros e terceiros com o mais alto nível de cuidado, confidencialidade e conformidade com as legislações aplicáveis.

Nossos colaboradores, gestores e administradores devem sempre, no exercício de suas atividades, garantir que dados pessoais são tratados em conformidade com a lei e com esta Política.

Caso você tenha alguma dúvida em relação às suas obrigações, direitos e deveres em relação ao tratamento de dados pessoais entre em contato com nosso Encarregado de proteção de dados pessoais através do e-mail dpo@versaconsultores.com.br

 

 

1. OBJETIVO

 

Durante o curso de suas atividades, a VERSA realiza o tratamento de dados pessoais. A presente Política Interna de Proteção de Dados Pessoais (“Política”) tem como objetivo apresentar as regras aplicáveis para o tratamento de dados pessoais, em atenção às disposições da Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais ou “LGPD”), alterada pela Lei Federal nº 13.853/2019, bem como organizar todos os pontos necessários para a construção de um programa de privacidade que garanta a conformidade com a referida legislação.

Resumidamente, esta Política visa demonstrar o comprometimento da VERSA em:

Proteger os direitos dos colaboradores, clientes e parceiros;

Adotar processos e regras que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

Promover a transparência na forma em que a VERSA trata dados pessoais; e

Proteger a VERSA, bem como seus colaboradores, clientes, fornecedores e parceiros de riscos envolvendo incidentes de segurança envolvendo dados pessoais.

A VERSA considera que garantir o tratamento de dados pessoais realizado de forma legítima, correta e conforme é importantíssimo para o sucesso de suas atividades, bem como para resguardar sua imagem e credibilidade perante colaboradores, clientes, fornecedores e parceiros, bem como perante o público em geral e a ANPD.

Esta Política também deverá ser observada por todos os integrantes da VERSA, sendo estabelecida como base cultural e procedimental em relação à proteção de dados e privacidade.

Havendo conflito entre as disposições desta Política e a legislação de proteção de dados aplicável, esta última prevalecerá.

 

 

2. DISPOSIÇÕES GERAIS

 

2.1 Legislação de referência

A presente política foi elaborada com base nos documentos:

  • Lei Federal nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais, “LGPD”;
  • Lei Federal nº 13.853/2019, responsável por alterar a Lei Geral de Proteção de Dados, “LGPD”;
  • Guia orientativo sobre segurança da informação para agentes de tratamento de dados de pequeno porte elaborado pela ANPD – Autoridade Nacional de Proteção de Dados.
  • ISO 27001

 

 

3. DEFINIÇÕES

 

POLÍTICA - Esta Política Empresarial de Proteção de Dados

VERSA CONSULTORES, pessoa jurídica de direito privado, CNPJ 39.230.445/0001-01, com sede à Rua Santa Rita de Cassia, 220, Matinhos/PR, cep 83.260-000

LGPD - Lei nº 13.709 de 14 de agosto de 2018 ou “Lei Geral de Proteção de Dados”

DADOS PESSOAIS - Qualquer informação relativa a uma pessoa singular identificada ou identificável (“Titular”). É considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo, um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa.

DADOS PESSOAIS SENSÍVEIS - Qualquer dado pessoal que diga respeito à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, bem como dado referente à saúde ou à vida sexual, dado genético ou biométrico.

ANONIMIZAÇÃO - Processo por meio do qual o dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, considerados os meios técnicos razoáveis e disponíveis no momento do tratamento.

ENCARREGADO - Pessoa responsável pela Proteção de Dados Pessoais na VERSA e pela comunicação com a ANPD e com os titulares, contatável através do e-mail: dpo@versaconsultores.com.br

TITULAR - Pessoa a quem os dados pessoais se referem.

TRATAMENTO - Qualquer operação efetuada sobre dados pessoais, por meios automatizados ou não automatizados;

ACESSO - ato de ingressar, transitar, conhecer ou consultar a informação, bem como possibilidade de usar os ativos de informação de um órgão ou entidade, observada eventual restrição que se aplique;

ARMAZENAMENTO - ação ou resultado de manter ou conservar em repositório um dado; ARQUIVAMENTO - ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotado a sua vigência;

AVALIAÇÃO - analisar o dado com o objetivo de produzir informação;

CLASSIFICAÇÃO - maneira de ordenar os dados conforme algum critério estabelecido;

COLETA - recolhimento de dados com finalidade específica;

COMUNICAÇÃO - transmitir informações pertinentes a políticas de ação sobre os dados;

CONTROLE - ação ou poder de regular, determinar ou monitorar as ações sobre o dado;

DIFUSÃO - ato ou efeito de divulgação, propagação, multiplicação dos dados;

DISTRIBUIÇÃO - ato ou efeito de dispor de dados de acordo com algum critério estabelecido;

ELIMINAÇÃO - ato ou efeito de excluir ou destruir dado do repositório;

EXTRAÇÃO - ato de copiar ou retirar dados do repositório em que se encontrava;

MODIFICAÇÃO - ato ou efeito de alteração do dado;

PROCESSAMENTO - ato ou efeito de processar dados visando organizá-los para obtenção de um resultado determinado;

PRODUÇÃO - criação de bens e de serviços a partir do tratamento de dados;

RECEPÇÃO - ato de receber os dados ao final da transmissão;

REPRODUÇÃO - cópia de dado preexistente obtido por meio de qualquer processo;

TRANSFERÊNCIA - mudança de dados de uma área de armazenamento para outra, ou para terceiro;

TRANSMISSÃO - movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos, etc.; UTILIZAÇÃO - ato ou efeito do aproveitamento dos dados;

CONTROLADOR(A) - Pessoa a quem competem as decisões sobre o tratamento dos dados pessoais;

OPERADOR(A) - Pessoa que realiza o tratamento de dados pessoais em nome do(a) controlador(a);

ANPD - Autoridade Nacional de Proteção de Dados.

 

 

4. ÂMBITO DE APLICAÇÃO

 

Esta Política se aplica à VERSA e a todos os colaboradores que em algum momento possam ter contato com dados pessoais tratados pela, ou em nome da VERSA, em especial quando:

  • A operação de tratamento tenha sido ou almeja ser realizada dentro território nacional Brasileiro;
  • A atividade de tratamento objetivar a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados dentro do território nacional Brasileiro; e
  • Os dados pessoais objetos do tratamento tenham sido coletados dentro do território nacional Brasileiro.

Políticas adicionais podem ser criadas em casos específicos, principalmente se exigido por lei ou regulamento.

 

 

5. PRINCÍPIOS NORTEADORES DA PROTEÇÃO DE DADOS PESSOAIS

 

A VERSA cuidará para que todas as atividades de tratamento de dados pessoais estejam em conformidade com os 10 (dez) princípios trazidos pela legislação sobre privacidade e proteção de dados. São eles:

  • Princípio da boa-fé: todas as operações de tratamento deverão ser pautadas em boas intenções, na moral e bons costumes aceitos pela sociedade;
  • Princípio da finalidade e adequação: O tratamento de dados pessoais deve se limitar aos propósitos legítimos, específicos, explícitos e informados ao Titular, e somente deve ocorrer de formas compatíveis com estas finalidades. Dados pessoais não poderão ser coletados/obtidos para uma finalidade, e depois utilizados para outra. Todos os usos de um dado devem ser compatíveis com o motivo original da coleta/obtenção;
  • Princípio da necessidade: a coleta e utilização de dados pessoais deverá ser limitada ao mínimo necessário para o cumprimento das finalidades pretendidas e expostas ao titular, garantindo também, que tais informações sejam armazenadas pelo menor tempo possível/necessário;
  • Princípio do livre acesso e qualidade dos dados: aos titulares deverá ser garantida a consulta facilitada e gratuita quanto a forma e duração do tratamento e integralidade de seus dados pessoais, estando assegurada a exatidão, clareza, relevância e atualização destes;
  • Princípio da transparência: serão garantidas aos titulares dos dados informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
  • Princípio da segurança e prevenção: a segurança e confidencialidade dos dados pessoais devem ser garantidas por meio de medidas técnicas e organizacionais, abaixo exemplificadas, a fim de prevenir a ocorrência de incidentes de segurança envolvendo dados pessoais;
  • Princípio da não discriminação: as atividades de tratamento de dados pessoais jamais poderão objetivar fins discriminatórios, ilícitos ou abusivos;
  • Princípio da responsabilização: a VERSA deverá armazenar registros de todas as atividades de tratamento de dados pessoais e as respectivas medidas tomadas para adequar tais atividades às normas relativas à privacidade e proteção de dados pessoais, comprovando a eficácia e eficiência de tais medidas.

 

 

6. BASES LEGAIS PARA O TRATAMENTO DE DADOS PESSOAIS

 

Todas as operações de tratamento de dados pessoais no âmbito das atividades conduzidas pela VERSA  terão uma base legal que legitime a sua realização, com estipulação da finalidade e designação dos responsáveis pelo tratamento.

A VERSA  assume como compromisso institucional a avaliação periódica das finalidades de suas operações de tratamento, considerando o contexto em que estas operações se inserem, os riscos e benefícios que podem ser gerados ao titular de dados pessoais, e o legítimo interesse da Instituição.

A realização de operações de tratamento de dados pessoais pela VERSA  poderá ser realizada:

6.1 Mediante o fornecimento de consentimento pelo titular de dados pessoais;

6.2 Para o cumprimento de obrigação legal ou regulatória;

6.3 Para a realização de estudos por órgão de pesquisa;

6.4 Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular de dados pessoais;

6.5 Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

6.6 Para a proteção da vida ou da incolumidade física do titular de dados pessoais ou de terceiros;

6.7 Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

6.8 Quando necessário para atender aos interesses legítimos da VERSA  ou de terceiros.

6.9 Para a proteção do crédito.

 

A VERSA realizará registros de suas operações de tratamento a partir de categorias de tratamento, cada uma delas descritas a partir de sua(s) finalidade(s), servindo de auxílio e suporte para a sua avaliação periódica sobre conformidade com o quadro regulatório da proteção de dados pessoais.

Os registros das operações de tratamento de dados pessoais poderão ser consultados pelo titular dos dados pessoais, bem como por autoridades públicas competentes para o acesso e retenção dos dados em seu nome, resguardados os direitos do titular de dados pessoais.

 

Alguns dados pessoais, ou documentos que contém dados pessoais, sejam de colaboradores, membros da VERSA, clientes, fornecedores ou demais terceiros, precisam ser armazenados para que a VERSA possa garantir seus direitos de defesa, resposta, ou atuação junto a órgãos públicos, em processos judiciais ou administrativos.

É importante que a retenção dos dados não ultrapasse os prazos legais e prescricionais aplicáveis para estabelecimento do período de retenção.

Esta base legal poderá ser utilizada para subsidiar o tratamento de dados, prezando pela preservação dos titulares, em caso de perigo ou iminência de perigo à sua vida ou incolumidade física.

A proteção do crédito pode fundamentar situações onde a VERSA trata dados pessoais, ou consulta dados pessoais visando decidir sobre a concessão de crédito a clientes. Para a utilização desta base legal, é necessário que sejam observadas todas as leis aplicáveis à proteção ao crédito.

A prevenção à fraude pode ser aplicada somente a dados sensíveis, quando utilizados em procedimentos de identificação e autenticação de cadastro em sistemas eletrônicos. Nestes casos, é essencial que o titular seja exaustivamente cientificado das formas nas quais seus dados sensíveis são tratados para essa finalidade, através de avisos complementares de privacidade, nos termos do item 3.2 abaixo.

Esta hipótese excepcional somente pode ser utilizada para fundamentar interesses legítimos do controlador ou de terceiros, de modo que estes interesses não podem impactar de forma injusta ou desproporcional os direitos e liberdades dos titulares.

É importante que as atividades baseadas nesta hipótese somente envolvam dados pessoais de titulares que já possuem alguma relação com a VERSA, sejam clientes, ex- clientes, colaboradores, etc.

As atividades realizadas com base no interesse legítimo devem ser revisadas e avaliadas pelo Encarregado, que também deve aprovar o desenvolvimento de novos projetos que envolvam atividades deste tipo. A avaliação deve envolver a elaboração de Relatório de Impacto à Proteção de Dados, que deverá ser elaborado com o apoio do responsável pela atividade.

Em hipóteses excepcionais, a VERSA coleta o consentimento do titular dos dados, o qual concede autorização mediante manifestação livre, espontânea, inequívoca e para finalidades determinadas. Esta base legal deve ser utilizada apenas em último caso, uma vez que para tal, é necessário seguir todos os requisitos da seção a seguir.

Excepcionalmente, a VERSA poderá tratar dados pessoais e dados pessoais sensíveis com base nas demais hipóteses trazidas pela LGPD, desde que os possíveis riscos sejam avaliados com o Encarregado ou Comitê de Privacidade, de acordo com a criticidade dos dados envolvidos.

 

 

7. PROGRAMA DE PRIVACIDADE VERSA

 

Para que o programa de privacidade da VERSA se mostre efetivo e produza resultados positivos, é importante que os pilares e procedimentos abaixo sejam constantemente observados durante as operações de tratamento de dados pessoais.

 

7.1 Gestão e Governança

É importante que todos os pontos desta política sejam observados por todos aqueles descritos no item 2.3 acima (Âmbito de Aplicação). Além disso, é importante que esta observância e o cumprimento de todas obrigações da lei sejam bem definidos, documentados e registrados.

Visando essa organização, a VERSA deverá seguir os pontos a seguir, na estruturação e operação de sua estrutura de governança em privacidade e proteção de dados:

 

7.1.1 Responsáveis pelo Programa de Privacidade

A gestão e aplicação do programa de privacidade deverá ser conduzida pelos responsáveis abaixo.

Para facilitar o controle de conteúdo, datas de publicação e prazos para revisão, os documentos de governança relacionados à privacidade (incluindo esta política) devem ser controlados e gerenciados de forma centralizada Encarregado de Proteção de Dados.

 

7.1.2 Encarregado de Proteção de Dados (DPO)

O Encarregado de Proteção de Dados (DPO ou Data Protection Officer) deve possuir            conhecimentos jurídicos e técnicos relacionados à proteção de dados pessoais e experiência na área que sejam proporcionais ao nível de complexidade e sensibilidade das operações de tratamento de dados pessoais que a VERSA realiza.

O Encarregado de Proteção de Dados deve gozar de um grau razoável de independência do restante da administração, de modo a lhe permitir assegurar os direitos dos titulares de dados cujos dados pessoais são tratados pela VERSA. Suas funções não devem incluir atividades ou responsabilidades que podem conflitar com a responsabilidade da VERSA para com os titulares de dados pessoais.

A atuação do Encarregado de Proteção de Dados deve garantir a conformidade da VERSA em relação às leis e demais normas de privacidade e proteção de dados aplicáveis aos seus negócios, através do programa de privacidade.

Suas principais atribuições envolvem:

  1. Gestão do programa de privacidade;
  2. Desenvolvimento, manutenção e revisão anual (conforme preferência da empresa) das normas e políticas de privacidade da organização, inclusive desta política;
  3. Fiscalização do cumprimento das normas e políticas de privacidade da organização;
  4. Monitoramento do nível de conformidade da organização, através de análises de diagnóstico semestrais (conforme preferência da empresa), com a definição de planos de ação para melhorar o treinamento e a clareza das políticas de privacidade;
  5. Atuação como ponto de contato para autoridade nacional de proteção de dados e os titulares dos dados;
  6. Preparo dos Relatórios de Impacto à Proteção de Dados Pessoais, com apuração e revisão dos riscos das atividades nele relatadas; e
  7. Validação da nomeação de champions de privacidade.

Cabe ao Encarregado a decisão, em casos de risco baixo a moderado, sobre as atividades de tratamento de dados pessoais conduzidas pela VERSA. Caso o risco seja considerado alto, a decisão deverá ser escalada à VERSA.

Por fim, o Encarregado deve auxiliar a esclarecer dúvidas e orientar demais membros da VERSA, durante a execução de suas atividades, quando envolverem operações de tratamento de dados pessoais.

 

 

8. REGISTRO DE OPERAÇÕES DE TRATAMENTO DE DADOS PESSOAIS

 

A VERSA manterá um registro de todas as suas operações de tratamento de dados pessoais, contendo, no mínimo, as seguintes informações sobre cada operação:

  1. Descrição do fluxo da informação em cada etapa de seu ciclo de vida (coleta, armazenamento, uso, compartilhamento – e neste caso, a finalidade para transferência – e descarte);
  2. Tipos de dados pessoais coletados;
  3. Finalidade para o qual o dado é tratado;
  4. Local lógico (nuvem, servidor, laptop etc.) e geográfico onde o dado é tratado;
  5. Período de retenção do dado;
  6. Área responsável pelo dado; e

vii. O Encarregado será responsável por manter o registro atualizado, bem como atribuir responsáveis para cada atividade registrada.

           

 

9. TREINAMENTO

 

Todos os membros da VERSA que estejam envolvidos nas atividades de tratamento de dados pessoais deverão receber treinamentos periódicos sobre:

  1. Conceitos gerais de Privacidade e Proteção de Dados, incluindo a apresentação desta política e de materiais de estudo sobre os princípios da LGPD; e
  2. Conceitos específicos de Privacidade e Proteção de Dados, aplicados às atividades de cada área.

O treinamento referido no item “i” acima deverá fazer parte do procedimento de integração dos colaboradores da VERSA.

 

 

10. TRANSPARÊNCIA

 

Todas as operações envolvendo atividades de tratamento de dados pessoais de titulares externos (terceiros/parceiros/clientes), deverão observar a Política de Privacidade e Proteção de Dados Pessoais.

Além disso, caso a VERSA promova atividade que envolve o tratamento de dados pessoais de forma que excepcionalmente não se enquadram na respectiva Política de Privacidade e Proteção de Dados Pessoais, e caso, em razão disso, a respectiva POLÍTICA não contenha informações claras e suficientes sobre os pontos elencados abaixo, aplicáveis a esta atividade, será necessária a apresentação de aviso específico para complementação das informações fornecidas ao titular, devendo ser validado pelo Encarregado e disponibilizado antes que os dados pessoais sejam efetivamente tratados:

  1. Escopo da atividade;
  2. Quais os dados envolvidos na atividade;
  3. Finalidade da atividade de tratamento;
  4. Forma e duração do tratamento;
  5. Descrição da forma de coleta, utilização, armazenagem e descarte das informações;

 

 

11. CONSENTIMENTO

 

O consentimento somente poderá embasar atividades de tratamento de dados pessoais em casos excepcionais. Nestes casos, o Encarregado deverá ser consultado para confirmar quanto à exigência de consentimento para a atividade, e a impossibilidade de seu enquadramento em outras bases legais, bem como revisar a forma de coleta do consentimento se aplicável, que deverá observar os pontos a seguir:

 

  1. Manifestação livre: O titular deve fornecer o consentimento de maneira livre, sem que seja obrigado para tanto para, por exemplo, usufruir do serviço/produto relacionado.
  2. Manifestação granular: O titular forneceu a sua autorização (consentimento) para que fosse realizado o tratamento em situações específicas e determinadas.
  3. Manifestação informada: O titular, teve acesso ao aviso de privacidade correspondente a atividade na qual foi sujeitado, antes do fornecimento de sua autorização, garantindo possuir plena ciência da finalidade e dos limites da atividade de tratamento realizada.    
  4. Manifestação inequívoca: O titular forneceu os seus dados pessoais, sem qualquer dúvida ou questionamento quanto aos limites da atividade.

 

Ainda, para garantir que o consentimento foi coletado de maneira correta, possibilitando inclusive a demonstração deste fator tanto ao próprio titular como para a Autoridade Nacional de Dados Pessoais, bem como para garantir ao titular o direito à revogação do consentimento, a VERSA realizará a documentação, o armazenamento e a gestão da autorização concedida, por meio de controle técnico e específico de gestão de consentimento.

 

 

12. SEGURANÇA

 

Para garantir a segurança dos dados pessoais tratados no exercício de suas atividades e evitar a ocorrência de acessos indevidos ou não autorizados, perda, destruição ou qualquer outra ação que comprometa a integridade, disponibilidade ou confidencialidade dessas informações, a VERSA manterá procedimentos e ferramentas implementadas, os quais seguem os mais altos padrões das normas técnicas de segurança da informação.

O Encarregado e a área de segurança da informação da VERSA deverão trabalhar em conjunto para manter todos os dados pessoais tratados sempre seguros, maximizando a prevenção a exposições, vazamentos e acesso indevido.

Para garantir que as medidas de segurança implementadas pela VERSA se mantenham sempre atualizadas e em consonância com as melhores práticas e ferramentas disponíveis atualmente no mercado, estes manuais e procedimentos passam por revisões periódicas, identificando e corrigindo eventuais falhas.

 

 

13. COLETA, USO, ARMAZENAMENTO E DESCARTE DE DADOS

 

Todas as atividades de tratamento de dados pessoais promovidas pela VERSA deverão ocorrer em respeito a todos os pilares deste documento, estando sempre atribuídas a uma base legal específica, conforme termos do item 2.5 acima (Bases legais para o tratamento de dados pessoais).

 

i. Coleta de Dados Pessoais

O procedimento de coleta de dados pessoais deverá ser restrito àqueles essenciais para o cumprimento da finalidade primária determinada e informada ao titular dos dados, sempre observando a necessidade de manter atualizados os dados coletados.

Sempre que a coleta for feita em pontos ativos (onde os titulares fornecem seus próprios dados), os titulares dos dados pessoais deverão ser informados, antes da coleta, de todos os detalhes sobre a atividade de tratamento. Dados pessoais somente poderão ser coletados em pontos passivos (através de acesso a bases públicas/privadas de dados, por exemplo) se tais bases forem notoriamente fidedignas

(atribuídas a órgãos ou entidades públicas e oficiais), se existir um contrato entre o provedor da base e a VERSA, ou mediante expressa autorização do Encarregado ou do Comitê de Privacidade.

Dados fornecidos por terceiros somente poderão ser recebidos mediante celebração de contrato que inclua a cláusula de privacidade robusta o suficiente, conforme orientações do departamento jurídico e do Encarregado, que deverão verificar a idoneidade de todos os terceiros que fornecem dados à VERSA. Nestes casos, os dados pessoais deverão possuir uma descrição completa do seu ciclo de vida, antes da realização do compartilhamento à VERSA, garantindo que, em nenhuma destas etapas, tenha ocorrido qualquer forma de tratamento ilícito ou inadequado.

 

ii. Uso de Dados Pessoais

A utilização dos dados pessoais deverá estar limitada à expectativa que o titular dos dados possuía quando da realização da coleta das informações (inclusive se a coleta foi realizada por terceiros), sendo que, na eventual hipótese de necessidade de alteração da finalidade previamente informada ao titular, este deverá ser novamente informado sobre as intenções da VERSA, avaliando a necessidade de qualquer adequação.

O mesmo dado jamais poderá ser utilizado para outra finalidade, exceto com a ciência/expectativa do titular.

 

iii. Armazenamento de Dados Pessoais

O armazenamento de dados pessoais deverá ser realizado pelo tempo mínimo necessário para atendimento da finalidade pretendida e cumprimento de eventuais obrigações legais que regulam determinada atividade de tratamento, seguindo a matriz de temporalidade disponível na Política Interna de Temporalidade dos Dados da VERSA.

Sendo cumprida a finalidade e observados os prazos legais de necessária retenção da informação, os dados deverão ser descartados de forma a não ser possível a identifação das informações neles contidos

Alternativamente, para fins estatísticos e de pesquisa, dados pessoais poderão passar por procedimento de anonimização permanente, validado pelo Encarregado.

 

iv. Tratamento de Dados Pessoais Sensíveis

A legislação de proteção de dados pessoais classifica alguns tipos de dados pessoais como dados sensíveis, dada à capacidade que possuem de gerar discriminação ao titular destas informações.

A LGPD classifica as seguintes informações como dados pessoais sensíveis: a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando relacionados a um indivíduo.

 

v. Tratamento de Dados Pessoais de Crianças e Adolescentos

Da mesma forma, o tratamento de dados pessoais de “crianças” e “adolescentes” deve ser situação excepcionalíssima. Nestes casos remotos, ele somente deverá ser realizado:

  • Visando o melhor interesse de tais indivíduos, ou seja, com a finalidade de beneficiá-los, ainda que de forma indireta.
  • De forma clara e compreensível, de modo que informações destinadas a este público deverão ser prestadas de modo claro, acessível, consideradas as condições físico-motoras, perceptivas, sensoriais, intelectuais e mentais dos destinatários, com o uso de recursos audiovisuais, quando adequado.
  • Quando do tratamento dos dados de “crianças”, deverá, necessariamente, haver a coleta do consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, mantendo públicas as informações sobre o tipo de dados coletados, a forma de utilização e as garantias dos demais direitos dos titulares assegurados pela lei.

 

 

14. DIREITOS DOS TITULARES

 

Em toda atividade de tratamento de dado pessoal, a VERSA deverá buscar garantir os direitos dos titulares abaixo. Em todos os casos, a identidade dos titulares requerentes deverá ser verificada, e o atendimento deverá ocorrer sob a orientação do Encarregado.

Com relação ao recebimento de requisições de exercício dos direitos dos titulares, a VERSA possui um canal aberto e direcionado aos funcionários da empresa, disponível por meio do endereço eletrônico: dpo@versaconsultores.com.br. Ainda, caso estes direitos pretendam ser exercidos por clientes, parceiros ou terceiros que possuam dados pessoais sob o escopo de tratamento a VERSA possui um canal específico direcionado para tanto, disponível por meio do endereço eletrônico: dpo@versaconsultores.com.br.

Eventual decisão de recusa no atendimento às requisições de titulares deverá ser validada pelo Encarregado.

 

i.Direito à informação e ao acesso

Ao titular, mediante sua expressa requisição, é garantido o direito de confirmação da existência de tratamento de seus dados pessoais. A VERSA utilizará meios eficazes, cuja gestão e operacionalização será supervisionada pelo Encarregado, para fornecer cópia dos dados pessoais, mediante requisição do titular, por meio eletrônico, seguro e idôneo para esse fim ou sob forma impressa.

Se em formato simplificado, o conjunto de dados deve ser entregue imediatamente.

Se exigido de forma completa, deverá ser fornecido no prazo de até 15 (quinze) dias, contado da data do requerimento do titular contendo as informações que seguem:

  • Inexistência de registro;
  • Origem dos dados;
  • Critérios utilizados;
  • Finalidade do tratamento.

Para os casos em que o tratamento tiver como origem o consentimento do titular ou contrato celebrado com o titular, este poderá solicitar cópia eletrônica integral de seus dados pessoais em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.

 

ii.Direito a retificação

O titular terá o direito de obter, a qualquer momento e mediante requisição, a correção de seus dados pessoais, quando incompletos, inexatos ou desatualizados.

 

iii.Direito à exclusão, anonimização e bloqueio dos Dados Pessoais

O titular terá o direito de obter, a qualquer momento e mediante requisição, a eliminação, a anonimização ou o bloqueio de seus dados pessoais, quando as informações objeto de requisição se mostrarem excessivas, ou o tratamento dado pelo controlador estiver em desconformidade com as determinações da LGPD.

Em hipótese de ocorrência de requisições de eliminação de dados pessoais, a VERSA, considerando que nenhum direito possui caráter absoluto, deverá verificar se o tratamento dos dados objeto de requisição se justifica em algumas das hipóteses abaixo, caso em que a solicitação e, por consequência, o direito do titular dos dados não deverá prevalecer:

  • Cumprimento de obrigação legal ou regulatória;
  • Estudo por órgão de pesquisa;
  • Transferência a terceiro, desde que respeitados os requisitos de Tratamento de dados dispostos em lei; ou
  • Uso exclusivo do controlador, vedado seu acesso por terceiros, e desde que os dados sejam mantidos anonimizados.

 

iv. Direito à oposição

É garantido ao titular o direito de, a qualquer momento e mediante requisição, opor-se ao tratamento de seus dados pessoais, quando a base legal que originou o tratamento não for o consentimento. Neste mesmo sentido, este direito só será garantido e exercível quando a VERSA deixar de observar e cumprir algumas das disposições trazidas na legislação que trata sobre o tema.

 

v. Direito à portabilidade

O titular tem direito de, a qualquer momento e mediante requisição, solicitar a portabilidade dos seus dados pessoais a outro fornecedor de serviço ou produto. Para tal, recomendamos que os dados pessoais do titular requerente sejam desvinculados de dados de outros titulares, e fornecidos em formato interoperável, tal como XLS, CSV ou JSON.

 

iv.Direitos atrelados ao consentimento

O titular tem direito de, a qualquer momento e mediante requisição, solicitar informação sobre a possibilidade de não fornecer consentimento e as consequências de sua negativa, bem como de revogar o consentimento anteriormente fornecido.

 

 

15. COMPARTILHAMENTO DE DADOS PESSOAIS COM TERCEIROS

 

Na hipótese da VERSA objetivar a transferência ou o compartilhamento de dados pessoais para terceiros (“operadores”), para a prestação de um serviço específico ou atendimento de uma demanda pontual, a VERSA deverá, necessariamente:

  • Celebrar instrumentos contratuais robustos: capazes de garantir a integridade e a confiabilidade das informações compartilhadas, bem como o respeito às normas específicas relativas à privacidade e proteção de dados pessoais, com a utilização do banco cláusulas-padrão, que deverá ser anualmente validado e revisado pelo Encarregado, e aplicado seguindo o Procedimento de Contratos da VERSA.

 

 

16. RESPONSABILIDADES

 

Para que a presente Política produza os efeitos pretendidos, é de grande importância que todos os colaboradores, gestores, diretores, funcionários, prestadores de serviços, dentre outros, observem as disposições contidas neste documento, levando em consideração que os atos de quaisquer colaboradores da VERSA poderão repercutir para a VERSA como um todo, produzindo efeitos de magnitudes não previsíveis.

Assim, com o apoio dos responsáveis descritos no item 3.1.1 acima, para a garantia do cumprimento das normas de privacidade e proteção de dados pessoais, os pontos a seguir devem ser observados por todos, sem prejuízo dos demais pontos desta política:

Os colaboradores possuem como dever primário o de garantir a integridade, disponibilidade e confidencialidade dos dados pessoais tratados no exercício de sua função;

O tratamento dos dados pessoais deverá, necessariamente, observar as finalidades propostas, não permitido o tratamento incompatível ou excessivo ou para finalidades diVERSAs, sem que haja a expressa autorização da VERSA, o qual previamente validou esta nova finalidade com o titular das informações;

O colaborador deverá se utilizar do mínimo de informações necessárias para o cumprimento das finalidades pretendidas e regular exercício de suas funções;

Os dados pessoais tratados no exercício da função deverão necessariamente ser armazenados em local seguro e oficialmente aprovados pela VERSA, sendo vedado o armazenamento não autorizado em ambientes próprios, como notebooks ou área de trabalho de computadores;

Os dados pessoais tratados no exercício da função não poderão ser apagados, deletados ou anonimizados, sem que haja comando direto da VERSA para tanto;

Os dados pessoais tratados no exercício da função, como regra, não poderão ser enviados para endereços de e-mail pessoal ou dispositivos remotos como pen drives;

Feitas as recomendações básicas necessárias, todos os colaboradores da VERSA terão à disposição o atendimento do Encarregado de Proteção de Dados Pessoais da VERSA.

 

 

17. INCIDENTES DE PRIVACIDADE

 

Incidentes podem ser definidos como qualquer falha na observância dos pontos descritos nesta política, que podem gerar risco de dano aos titulares de dados pessoais.

A VERSA manterá canal público para recebimento de notícias de incidentes, que pode ser utilizado, também, pelos seus membros e colaboradores. Comunicações serão recebidas pelo Encarregado, que verificará o ocorrido e procederá à aplicação do Plano de Respostas a Incidentes, disponível na pasta das políticas internas da VERSA.

 

 

18. DISPOSIÇÕES GERAIS

 

Sem prejuízo das disposições contidas nesta Política, a VERSA se reserva ao direito de revisá-la, na periodicidade que melhor entender, sempre respeitando o prazo máximo de 1 (um) ano.

 


 

 

Gilcemar Ferreira da Silva
Data Protection Officer - DPO