Política de Proteção e Privacidade de Dados Pessoais

Declaração da Empresa

Para o desenvolvimento das atividades da Sopasta é necessário o tratamento de dados de pessoas físicas, seja de nossos clientes, parceiros e também de nossos próprios colaboradores.

Deste modo, a Sopasta está comprometida que estes dados sejam mantidos seguros e tratados em conformidade com a legislação, pois a proteção de dados significa proteger a própria pessoa.

Assim, é dever de todos os nossos executivos e colaboradores respeitar a presente Política de Privacidade e Proteção de Dados Pessoais e cumprir as respectivas legislações sobre o assunto, em especial da Lei nº 13.709/2018 - Lei Geral de Proteção de Dados (LGPD).

1. Finalidade da Política de Privacidade e Proteção de Dados Pessoais

A Sopasta compromete-se com a proteção dos dados pessoais tratados no âmbito de suas atividades.

Assim, esta Política representa este comprometimento e está alinhada ao cumprimento da legislação de proteção de dados pessoais, constituindo a base para as relações de negócios e reputação da Sopasta perante seus clientes, parceiros comerciais e enquanto empregador atrativo.

2. Âmbito de aplicação da Política de Privacidade e Proteção de Dados Pessoais e atualizações

Esta Política aplica-se a Sopasta, bem como seus respectivos colaboradores.

É obrigação da Sopasta que esta Política seja comunicada e tornada disponível a todos os colaboradores bem como esclarecer eventuais dúvidas.

Esta Política abrange todas as operações de tratamento sobre dados pessoais, isto é, sobre informações de pessoas naturais (físicas), independentemente de o tratamento ser realizado em forma eletrônica ou física.

Dados anonimizados, a exemplo das informações utilizadas para análises e pesquisas estatísticas, que não permitam a identificação de uma determinada pessoa natural, não estão abrangidos por esta Política.

As alterações desta Política ou a elaboração de novos documentos ou políticas de apoio a esta Política somente serão efetuadas mediante aprovação do responsável, conforme o procedimento previsto. Tais alterações ou documentos novos serão comunicados imediatamente à Sopasta e tornados disponíveis aos colaboradores, alterando-se o número da versão presente no cabeçalho do documento e acrescentado ao final deste documento no histórico de atualizações.

3. Princípios para o tratamento de dados pessoais

As operações de tratamento de dados pessoais pela Sopasta deverão observar os seguintes princípios:

Finalidade

O tratamento de dados pessoais deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

Adequação

O tratamento de dados pessoais deve ser compatível com as finalidades que foram informadas ao titular.

Necessidade ou minimização dos dados

O tratamento deve estar limitado ao mínimo necessário para o atingimento da finalidade, abrangendo apenas os dados que forem pertinentes, proporcionais e não excessivos.

Os dados pessoais não deverão ser guardados para eventuais finalidades futuras, exceto se tal for estipulado ou permitido pela legislação.

Devem ser apagados dados pessoais que não sejam mais necessários depois da prescrição do período de conservação de dados especificado por lei ou previsto pelo processo de negócio.

Livre acesso

Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

Qualidade dos dados

Os dados pessoais devem ser mantidos de forma correta, integral e atualizada. Para isso, deverão ser tomadas as medidas necessárias para assegurar que dados incorretos, incompletos ou desatualizados sejam eliminados, corrigidos, completados ou atualizados.

Transparência

Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, resguardados os segredos comercial e industrial.

A coleta de dados, em regra, será feita junto ao próprio titular. Nesta ocasião, o titular deverá, pelo menos, ser informado adequadamente sobre:

- Identificação da Sopasta;

- Finalidade do tratamento;

- Terceiros ou categorias de terceiros aos quais os dados serão, eventualmente, transmitidos.

Segurança

Por meio de medidas técnicas e administrativas os dados devem ser protegidos de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Prevenção

Devem ser adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

Não discriminação

Fica proibida a realização de tratamento para fins discriminatórios ilícitos ou abusivos.

Responsabilização e prestação de contas

Devem ser registradas e passíveis de demonstração a adoção de medidas para o cumprimento das normas de proteção de dados bem como sua eficácia.

4. Admissibilidade do tratamento de dados pessoais

O tratamento de dados pessoais no âmbito das atividades da Sopasta será admissível nas seguintes hipóteses abaixo:

a) Dados de clientes e parceiros

Tratamento para uma relação contratual da qual o titular seja parte

Tratamento para fins de marketing direto

Cumprimento de obrigação legal e exercício regular de direitos em processo

Interesse legítimo da Sopasta

Consentimento

Eventualmente, nos processos em que for indispensável para tanto, será solicitado o consentimento do titular previamente ao tratamento dos dados pessoais.

b) Dados de colaboradores

Tratamento para uma relação contratual da qual o titular seja parte

  • ex. gerenciamento do contrato de trabalho e exercício dos poderes típicos do empregador, quais sejam potestativo, disciplinar e organizacional, respeitados os direitos do empregado conforme legislação específica.

Cumprimento de obrigação legal e exercício regular de direitos em processo

5. Compartilhamento de dados pessoais

Aos colaboradores fica proibido o compartilhamento de dados pessoais que venham a ter contato no exercício ou por força do exercício de suas atividades de trabalho com terceiros não autorizados.

As condições de compartilhamento de dados pessoais com outras pessoas, internas e externas à empresa, regem-se pelo definido nos Tópicos 4 (“ADMISSIBILIDADE DO TRATAMENTO DE DADOS PESSOAIS”) e 6 (“CONFIDENCIALIDADE”).

Em sendo admitido o compartilhamento, deverá ser observado que este seja realizado para o cumprimento da finalidade do tratamento (ex. execução de contrato ou cumprimento de obrigação legal ou regulatória).

Aos prestadores de serviço a serem contratados pela Sopasta para que realizem determinada atividade de tratamento de dados, deverá ser formalizado contrato estipulando cláusulas específicas quanto ao tratamento de proteção dos dados pessoais envolvidos na operação e:

  1. O prestador de serviços deve ser escolhido, considerando-se a sua capacitação para a garantia das medidas de proteção necessárias.
  2. A atribuição da solicitação deve ser realizada em forma de texto. Neste devem estar documentadas as instruções para o processamento de dados e as competências do prestador de serviços.
  3. Devem ser observados os modelos contratuais disponibilizados pela Sopasta que contem com cláusulas-padrão adequadas à operação.
  4. Antes do início do tratamento de dados, deve-se verificar a possibilidade do cumprimento das obrigações pelo prestador de serviços. O prestador de serviços pode comprovar o cumprimento das exigências relativas à segurança de dados, sobretudo, apresentando um certificado adequado.
  5. Dependendo do risco do tratamento de dados realizado deve ser repetido regularmente um controle durante o período de vigência do contrato.

6. Confidencialidade

Deverá ser mantida, no âmbito das operações de tratamento realizadas na Sopasta a confidencialidade das informações em geral bem como dos dados pessoais envolvidos nas condições dispostas nesta Política e documentos conexos.

É proibido aos colaboradores tratar, processar ou utilizar os dados em desconformidade com esta Política.

Indevido é todo o processamento que um colaborador executar sem ser encarregado no âmbito do cumprimento das suas tarefas e sem estar autorizado a tal.

Aplica-se o princípio need-to-know: Colaboradores só podem ter acesso a dados pessoais se e contanto que estes sejam necessários para a realização da respectiva tarefa.

No âmbito dos conceitos de autorização, isso requer a divisão e separação cuidadosas das funções e responsabilidades e da respectiva aplicação e atualização pelo departamento de Recursos Humanos (RH) e respectivos gestores e superiores hierárquicos em relação aos colaboradores a estes subordinados.

Colaboradores não têm a permissão de utilizar dados pessoais para fins particulares ou econômicos, transmiti-los a pessoas não autorizadas ou permitir-lhes o acesso por qualquer outra forma.

Gestores têm que instruir seus colaboradores no começo da relação de trabalho sobre a obrigação de preservar o segredo de dados. Esta obrigação permanece válida também depois do encerramento da relação de trabalho.

7. Segurança dos dados pessoais

Os dados pessoais, objeto de tratamento, devem ser protegidos constantemente contra um acesso não autorizado, um tratamento ou uma divulgação indevida, bem como contra perda, falsificação ou destruição.

Antes da introdução de novos sistemas de processamento de dados, sobretudo novos sistemas de TI, devem ser definidas e implementadas medidas técnico-organizacionais de proteção de dados pessoais.

Estas medidas devem reger-se pelo avanço tecnológico, pelos riscos que um determinado tratamento comporta e pela necessidade de proteção dos dados (apurada pelo processo de classificação de informação).

As medidas técnico-organizacionais de proteção de dados pessoais fazem parte da gestão de segurança de informação da Sopasta e têm que ser adaptadas continuamente aos desenvolvimentos tecnológicos e às alterações organizacionais.

8. Incidentes de segurança envolvendo dados pessoais

Na eventualidade da ocorrência de incidentes de segurança envolvendo dados pessoais, todo colaborador deve comunicar imediatamente ao chefe, superior hierárquico ou responsável da empresa quanto ao assunto.

O gestor, superior hierárquico ou responsável da empresa compromete-se a comunicar imediatamente os demais responsáveis sobre o incidente para que possam ser cumpridas as obrigações legais de comunicação de incidente de segurança envolvendo dados pessoais.

ATENÇÃO: Por incidente de segurança, para os fins desta Política, entenda-se quaisquer situações de

acessos não autorizados;

situações acidentais ou ilícitas de destruição, perda, alteração, comunicação;

ou qualquer forma de tratamento inadequado ou ilícito.

9. Responsabilidades e sanções

A presidência e diretoria da Sopasta comprometem-se a garantir que as exigências legais e as contidas nesta Política sejam cumpridas por toda a organização, desde o mais alto nível diretivo, e irão apoiar, nas suas funções, os responsáveis pelo Comitê Interno de Proteção e Privacidade de Dados e o Encarregado de Proteção de Dados. Também irão garantir o treinamento e conscientização dos colaboradores proporcionalmente necessários às suas atividades.

Compete ao departamento de Recursos Humanos e gestores dos departamentos comunicar esta Política durante o processo de integração do novo colaborador e disseminar o tema constantemente ao longo da relação de trabalho, familiarizando os colaboradores com os conteúdos desta Política.

Compete ao colaborador a implementação das disposições aqui previstas na execução de suas atividades de trabalho.

Fica proibida a aquisição, sob qualquer meio, a título gratuito ou oneroso, de bases de dados pessoais que não se possa justificar pelos princípios do Tópico 3 (“PRINCÍPIOS PARA O TRATAMENTO DE DADOS PESSOAIS”) e nem nas hipóteses do Tópico 4 (“ADMISSIBILIDADE DO TRATAMENTO DE DADOS PESSOAIS”), a exemplo da compra de banco de dados ou a troca de banco de dados.

O tratamento abusivo dos dados pessoais e outras violações a esta Política são punidos legalmente e podem dar origem a ações de indenização. Infrações para as quais os colaboradores são responsáveis individualmente, podem ter consequências de ordem trabalhista.

10. Direitos do titular de dados pessoais

Sendo o titular de dados pessoais o foco de atenção da legislação de proteção de dados, este dispõe de uma série de direitos que podem ser exercidos em face da empresa enquanto na qualidade de controladora, isto é, responsável pelo tratamento.

Assim, as solicitações calcadas na LGPD deverão ser atendidas pelo departamento responsável, conforme protocolo específico em política anexa.

11. Direitos do titular de dados pessoais

O Encarregado atuará como órgão interno instrutivo e independente da Sopasta, zelando pela orientação ao cumprimento das disposições legais de proteção de dados e fiscalizando o cumprimento da presente Política.

O Encarregado deverá ser informado pelos gestores e coordenadores de departamentos em tempo hábil sobre os assuntos envolvendo a segurança e proteção de dados pessoais, que podem ser dúvidas, sugestões ou queixas, sendo-lhe fornecidas todas as informações relevantes e necessárias ao desempenho de suas funções.

O Encarregado será consultado quanto ao desenvolvimento de novos projetos, processos, produtos e serviços que impliquem em alguma atividade de tratamento de dados pessoais.

O Encarregado será apoiado pela alta direção no exercício de suas funções e não será punido em razão deste.

12. Definições

Para a correta leitura e interpretação desta Política, são adotados os conceitos e definições presentes na LGPD, sobretudo:

Dado pessoal: qualquer informação que identifique ou permita identificar uma pessoa natural.

Ex. nome, RG, CPF, endereço, informações de saúde, descrição do indivíduo, religião, etc. Uma determinada pessoa pode ser identificada quando através da combinação de informações.

Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Ex. nossos clientes, parceiros, colaboradores, diretores etc.

Tratamento: qualquer operação realizada com dados pessoais.

Ex. coleta, utilização, acesso, transmissão, distribuição, arquivamento, eliminação, transferência etc.

Agente de tratamento: controlador e operador.

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

ex. Sopasta, como regra em relação aos dados pessoais de nossos colaboradores.

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

ex. escritório de contabilidade que preste serviços à empresa.

Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Incidente de segurança envolvendo dados pessoais: quaisquer situações de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Este site usa cookies para lhe oferecer uma melhor experiência de navegação. Ao continuar a usar este site, você concorda com o uso de cookies de acordo com nossa Política de Privacidade