top of page

POLÍTICA DE PROTEÇÃO E PRIVACIDADE DE DADOS

Finalidade

Esta política descreve como dados pessoais devem ser tratados e controlados para atender aos padrões de proteção de dados da empresa e cumprir a lei.

Objetivo

A DOXA ADVISERS, doravante referida como a empresa, precisa tratar certas informações sobre pessoas físicas. Essas incluem consultores, fornecedores, contatos de negócios, funcionários e quaisquer outras pessoas físicas com as quais a organização tenha um relacionamento ou detenha informações pessoais.

 

Esta política descreve como esses dados pessoais devem ser tratados e controlados para atender aos padrões de proteção de dados da empresa e cumprir a lei.

 

Esta política de proteção de dados garante que a empresa:

  • Cumpra as leis de proteção de dados e siga boas práticas e códigos de conduta

  • Proteja os direitos de todas as pessoas vivas das quais controla e trata dados

  • Informe sem restrições sobre como a organização controla e trata os dados de uma pessoa viva natural

  • Proteja-se dos riscos de violação de dados e vazamento de informações

  • Proteja suas informações proprietárias.

 

A principal meta é garantir a privacidade dos dados pessoais das pessoas e permitir um maior controle sobre eles. Além disso, a Lei cria regras claras sobre os processos de coleta, armazenamento e compartilhamento dessas informações, ajudando a promover o desenvolvimento tecnológico na sociedade e a própria defesa dos direitos dos titulares e consumidores de forma geral.

A Lei de Proteção de Dados

A Lei Geral de Proteção de Dados – LGPD n. 13.709 de 14 de agosto de 2018 –  foi criada e implementada para suprir uma necessidade urgente de proteção dos dados, com vistas a penalizar de forma mais objetiva a utilização de dados pessoais de forma indevida pelas empresas.

O regulamento dá mais protagonismo ao titular dos dados e torna clara e objetiva a necessidade de consentimento explícito do proprietário das informações, passando a ele o controle sobre a utilização, tratamento, modificação, portabilidade e eliminação desses dados de forma prática e desburocratizada.

Isso impedirá que as empresas utilizem táticas como a disponibilização de termos de uso de dados de forma obscura, sem deixar claro para o usuário o que será feito e os objetivos da captação das informações.

 

A LGPD descreve como as organizações, incluindo a empresa, devem coletar, tratar e armazenar informações pessoais.

Princípios da LGPD

A LGPD em seu Art. 6º exige que os dados pessoais sejam tratados de forma lícita e transparente. Além de informar e garantir, ao cidadão, o cumprimento da Lei  e o tratamento correto dos seus dados pessoais. E estabelece 10 medidas:

 

1. FINALIDADE

A LGPD exige que exista uma finalidade específica para tratamento dos dados pessoais. A empresa não pode simplesmente coletar os dados pessoais para fins indefinidos. Além disso, a empresa deve informar o titular dos dados, de forma clara e objetiva, porque está coletando e como está usando os dados dele. E não pode alterar o motivo após informá-lo.

 

2. ADEQUAÇÃO

A empresa deve coletar apenas os dados que sejam compatíveis com o contexto e a finalidade informada ao titular dos dados. Por exemplo, caso os dados coletados sejam para efetivar inscrição num curso, você deve garantir ao titular que os dados serão usados apenas para finalidade de matrícula formal no curso e cumprimento de legislações específicas.
 

3. NECESSIDADE

 

Os dados pessoais devem ter o volume apropriado, que esteja adequado ao propósito e não possa ultrapassar a quantidade necessária para realizar o tratamento de dados. Ou seja, além de garantir que os dados são adequados, o controlador, ou seja –  a empresa –  deve obter apenas o mínimo necessário de dados pessoais para realização de suas finalidades informadas ao titular.

 

4. LIVRE ACESSO

A empresa deve oferecer acesso livre e gratuito para que o titular consulte seus dados, a forma como estão sendo tratados, e o tempo durante o qual serão tratados.

 

5. QUALIDADE DOS DADOS

O titular pode conferir se os seus dados são exatos, claros, relevantes e atualizados de acordo com a necessidade e cumprimento da finalidade do tratamento. A empresa deve garantir que os dados pessoais sejam exatos e estejam atualizados, tendo em conta as finalidades para as quais são tratados, e corrigi-los caso seja necessário.

 

6. TRANSPARÊNCIA

A empresa deve garantir, ao titular, informações claras, precisas e facilmente acessíveis sobre como o tratamento é feito e quem são os agentes responsáveis pelo tratamento. Os segredos comercial e industrial não são necessários apresentar, neste caso.

 

7. SEGURANÇA

A empresa deve apresentar garantias técnicas e administrativas adequadas para garantir a segurança dos dados pessoais, incluindo a proteção contra o seu tratamento não autorizado, ilícito, contra a sua perda, destruição ou danificação acidental, adotando as tecnologias adequadas.

 

8. PREVENÇÃO

Além da segurança, é essencial que a empresa apresente as medidas adotadas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

 

9. NÃO DISCRIMINAÇÃO

A coleta de dados pessoais não pode ser usada para fins discriminatórios, ilícitos ou abusivos.

 

10. RESPONSABILIDADE E PRESTAÇÃO DE CONTAS

O agente deverá demonstrar, quando solicitado, a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Direitos Individuais

A LGPD dedica-se, no Capítulo III, aos direitos dos titulares de dados pessoais. Entretanto, antes de adentrar no seu exame específico, é importante ressaltar que, nos capítulos anteriores, a LGPD já tratou de vários desses direitos.

 

Apenas a título de sistematização, apresenta-se inicialmente o rol de direitos dos titulares que já haviam sido previstos nos primeiros artigos da lei:

Captura de tela 2024-08-25 222425.png

É importante destacar que vários dos direitos dos titulares de dados pessoais decorrem diretamente dos princípios que a LGPD contempla em seu art. 6º, tais como os seguintes:

Captura de tela 2024-08-25 222715.png
Captura de tela 2024-08-25 222729.png
Captura de tela 2024-08-25 222738.png

Por fim, cumpre destacar que, a partir do art. 7º, a LGPD já começa a tratar de vários temas que envolvem direitos dos titulares de dados:

Captura de tela 2024-08-25 223343.png
Captura de tela 2024-08-25 223333.png
Captura de tela 2024-08-25 223322.png
Captura de tela 2024-08-25 223239.png

Neste documento estamostratando dos seguintes direitos para os indivíduos:

 

  • O direito de ser informado

  • O direito de acesso

  • O direito de retificação

  • O direito de apagamento

  • O direito de restringir o tratamento

  • O direito à portabilidade de dados

  • O direito de oposição

  • Direitos em relação à criação de perfis e decisões automatizadas.

Escopo

Esta política se aplica a:

 

  • À sede da empresa

  • A todas as filiais da empresa

  • A toda a equipe e a todos os colaboradores da empresa

  • A Todos os terceirizados, fornecedores e outras pessoas que trabalhem em nome da empresa

 

Ela vale para todos os dados que a empresa detenha em relação a indivíduos que possam ser identificados, mesmo que essa informação esteja tecnicamente fora do âmbito da LGPD. Isso pode incluir, mas não está limitado a:

 

  • Qualquer outra informação que possa ser usada para inferir a identidade de um indivíduo

  • Informações genéticas e biométricas

  • Informações sobre saúde física ou mental

  • Informações sobre crenças políticas, religiosas ou filosóficas

  • Informações proprietárias da empresa

  • Qualquer informação proprietária pertencente a terceiros que a empresa esteja contratualmente obrigada a proteger.

Riscos na Proteção de Dados

Esta política ajuda a proteger a empresa de alguns riscos de segurança de dados, incluindo:

  • Violações de confidencialidade. Por exemplo, a distribuição indevida de informações de forma inadequada.

  • A não oferta de escolha. Por exemplo, todos os indivíduos devem ter liberdade para escolher como a empresa usa os dados relacionados a eles.

  • Prejuízos à reputação. Por exemplo, a empresa poderia sofrer se hackers conseguissem acesso a dados confidenciais.

  • Prejuízos às operações comerciais causados pela divulgação de informações proprietárias

  • Ações judiciais decorrentes de incidentes de quebra de sigilo de dados pessoais, como exemplificado acima.

Responsabilidades

Todas as pessoas que trabalham para ou com a empresa têm alguma responsabilidade por garantir que os dados sejam controlados e tratados em conformidade.

 

Todo grupo que lida com dados confidenciais deve garantir que eles sejam tratados de acordo com esta política, com as boas práticas de proteção de dados ou qualquer regulamentação ou normatização aplicável.

Papéis

A lei detalha os papéis de quatro diferentes agentes: o titular, o controlador, o operador e o encarregado.

  • O titular: é a pessoa física a quem se referem os dados pessoais que serão tratados.

  • O controlador:  é a empresa ou pessoa física que coleta dados pessoais e toma todas as decisões em relação à forma e finalidade do tratamento dos dados. O controlador é responsável por como os dados são coletados, para que estão sendo utilizados e por quanto tempo serão armazenados.

  • O operador: é a empresa ou pessoa física que realiza o tratamento de dados pessoais sob as ordens do controlador.

  • O encarregado (DPO - Data Protection Officer): é a pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional), além de orientar os funcionários do controlador sobre práticas de tratamento de dados. Ele é responsável por supervisionar a estratégia e a implementação da proteção de dados para garantir a conformidade com os requisitos não só da LGPD, mas também de outras normas internacionais às quais a empresa eventualmente esteja submetida quando se coloca no papel de controlador ou operador, recebendo, tratando e solucionando as reclamações e comunicações dos titulares de dados e da autoridade nacional e orientando colaboradores e terceiros a respeito das melhores práticas no que tange ao tratamento de dados pessoais. Ou seja, sua função será a de educar sobre os requisitos de conformidade, treinar todos os envolvidos, realizar auditorias regulares de segurança, manter registros abrangentes de todas as atividades e atuar como interface entre a organização, os titulares dos dados e a Agência Nacional de Proteção de Dados (ANPD). A norma não inclui uma lista de credenciais para o DPO, mas recomenda-se fortemente que seja um profissional, ou uma empresa, que tenha conhecimento especializado de leis e práticas de proteção de dados, que esteja alinhado com as operações, a infraestrutura e os sistemas de tecnologia da informação da organização e, principalmente, que conheça os riscos envolvidos neste particular, considerando as especificidades do negócio e da empresa. Idealmente, o DPO deve ter habilidades de gerenciamento e capacidade de interagir com a equipe interna, terceiros, titulares de dados e órgãos oficiais. É necessário que as informações de identidade do DPO, bem como as informações de contato, sejam públicas e divulgadas de forma clara e objetiva.

 

A alta gestão é a responsável por garantir que a empresa cumpra as suas obrigações legais.

 

A área de segurança da informação é responsável por:

  • Manter a diretoria atualizada sobre responsabilidades, riscos e problemas referentes à proteção de dados.

  • Revisar todos os procedimentos de proteção de dados e políticas relacionadas, de acordo com um cronograma acordado.

  • Organizar treinamentos e assessoria sobre proteção de dados para as pessoas cobertas por esta política.

  • Responder perguntas sobre proteção de dados da equipe e de qualquer outra pessoa coberta por esta política.

  • Lidar com pedidos de indivíduos para ver os dados que a empresa detém sobre eles, conhecidos como solicitações de acesso dos titulares.

  • Verificar e aprovar qualquer contrato ou acordo com terceiros que possam lidar com os dados confidenciais da empresa.

 

O departamento de TI é responsável por:

  • Garantir que todos os sistemas, serviços e equipamentos usados para armazenar dados cumpram padrões de segurança aceitáveis.

  • Realizar depurações e verificações frequentes para garantir que o hardware e software de segurança estejam funcionando adequadamente.

  • Avaliar a segurança de qualquer serviço de terceiros que a empresa esteja considerando usar para armazenar ou tratar dados. Por exemplo, serviços de computação em nuvem.

 

O departamento de marketing é responsável por:

  • Aprovar todas as declarações de proteção de dados anexadas a comunicações, como, p. ex.,  e-mails e cartas.

  • Abordar qualquer pergunta sobre proteção de dados feita por jornalistas ou meios de comunicação como jornais.

  • Trabalhar com outros membros da equipe, sempre que necessário, para garantir que as iniciativas de marketing respeitem os princípios de proteção de dados.

Responsabilidades gerais da equipe:

  • As únicas pessoas capazes de acessar os dados cobertos por esta política devem ser aquelas que, necessariamente, precisem deles para executar seu trabalho.

  • Os dados não devem ser compartilhados informalmente. Quando o acesso a informações confidenciais for necessário, os funcionários podem solicitá-lo de seus gerentes de linha.

  • A empresa treinará todos os funcionários para ajudá-los a entender suas responsabilidades ao lidar com dados, de acordo com a Política de Treinamento.

  • Os funcionários devem zelar pela segurança de todos os dados, seguindo as diretrizes das políticas de segurança da informação e os procedimentos da empresa.

  • As senhas devem ser gerenciadas conforme estipulado na Política de Senhas.

  • Dados pessoais nunca devem ser divulgados a pessoas não autorizadas, seja dentro ou fora da empresa.

  • Se um funcionário suspeitar de uma violação ou ocorrência de segurança, ele deve reportá-la ao departamento de segurança da informação.

  • Os dados devem ser revisados com frequência e atualizados se estiverem defasados. Se não forem mais necessários, eles devem ser excluídos e descartados conforme estipulado no Procedimento de Descarte.

  • Os funcionários devem pedir ajuda ao seu gerente de linha, departamento de segurança da informação, ou ENCARREGADO (Data Protection Officer, na sigla em inglês) se não tiverem certeza sobre qualquer aspecto da proteção de dados.

  • Ter conhecimento e utilizar todas as políticas aplicáveis.

Treinamento

Toda a equipe será treinada nessa política, nas políticas que a apoiam e nos procedimentos da empresa. Quando uma pessoa nova entrar na equipe, ela será treinada como parte do processo de integração. Treinamentos adicionais serão oferecidos periodicamente  ou sempre que houver uma mudança considerável na Lei ou nas políticas e procedimentos.

 

Os registros destes treinamentos serão mantidos como parte da Política de Treinamento e armazenados nos registros de treinamento.

Os Princípios da Proteção de Dados

Condições justas, legais e transparentes para o tratamento:


A empresa garantirá que qualquer tratamento de dados pessoais tenha uma base legal documentada. Todas as partes responsáveis pelo tratamento de dados pessoais estarão cientes das condições de tratamento. As condições para tratamento estarão disponíveis para os titulares de dados na forma de um aviso de privacidade ou de um aviso de tratamento legítimo.

Avisos de Privacidade

Para garantir um tratamento legítimo, legal e transparente, devem ser emitidos avisos de privacidade e avisos de tratamento legítimo aos titulares de dados, para que eles estejam conscientes de como a empresa pretende utilizar e proteger os seus dados.
Estes avisos devem: 

  • Declarar os propósitos do tratamento de dados.
     

  • Informar as informações que devem ser mantidas

  • Indicar a base legal para o tratamento de dados, declare o período de tempo que os dados serão retidos

  • Declarar as medidas tomadas para proteger todos os dados

  • Indicar os terceiros que podem acessar esses dados

  • Fornecer os detalhes de contato do Encarregado (DPO)

  • Fornecer os detalhes de contato do Encarregado (DPO) de terceiros

  • Informar os titulares dos dados sobre os seus direitos

Precisão

Quando coletar ou tratar dados, a empresa deve seguir o Procedimento de Garantia de Qualidade de Dados ao coletar e garantir que qualquer dado pessoal tratado esteja correto e atualizado.


Os titulares de dados têm a responsabilidade de tomar medidas razoáveis para garantir que os dados pessoais da empresa sejam precisos e atualizados conforme necessário. 


Por exemplo, se as circunstâncias pessoais deles mudarem, eles devem informar à empresa, para que seus registros possam ser atualizados.

Adequação e Relevância

A empresa deve garantir que todos os dados pessoais coletados sejam usados somente para o propósito para o qual foram obtidos. Os dados pessoais obtidos para uma finalidade não devem ser usados para nenhum propósito não relacionado, a menos que o indivíduo em questão tenha dado consentimento ou que haja uma obrigação legal de fazê-lo.

Retenção de Dados

A empresa não reterá dados pessoais por mais tempo do que o necessário. A definição do que é necessário dependerá das circunstâncias de cada caso, levando em conta os motivos pelos quais os dados pessoais foram obtidos, mas devem ser determinados de maneira consistente com as diretrizes de retenção de dados da empresa. O log de Registro de Ativos de Informações da empresa contém as informações do período de retenção de cada ativo. Essa retenção não afeta o direito do titular de ser apagado. Os ativos devem ser descartados seguindo o Procedimento de Alienação.

Segurança de Dados

A empresa deve manter os dados confidenciais protegidos contra perda, uso indevido ou divulgação não autorizada. Quando outras organizações tratarem dados pessoais como um serviço em nome da empresa, deve haver cláusulas contratuais para fornecer o mesmo nível de proteção de dados que a empresa. Para fornecer um nível consistente de proteção de informações em toda a empresa, a Política de Segurança da Informação deve ser implementada e aplicada por meio do uso de políticas e procedimentos de apoio, treinamento e tecnologias apropriadas.

Privacidade desde a Concepção e por Padrão

A empresa está obrigada a adotar medidas de proteção de dados, a partir da criação de qualquer nova tecnologia ou produto desde sua concepção. O ENCARREGADO (DPO) será responsável por conduzir avaliações de impacto de privacidade e garantir que todos os projetos de TI já começam a contemplar um plano de privacidade. Quando relevante, e quando não houver impacto negativo ao titular dos dados, as configurações de privacidade serão definidas por padrão como as mais privadas.

Avaliação de Impacto da Proteção de Dados
{DPIA – Data Protection Impact Assessment}

Sempre que o tratamento de informação pessoal possa resultar num risco aos direitos e liberdades dos titulares de dados, deve ser realizada uma avaliação do impacto da proteção de dados e os resultados devem ser implementados e incorporados no projeto. Os registros de todas as DPIAs devem ser armazenados e a avaliação deve ser realizada de acordo com o Procedimento de Avaliação de Impacto de Proteção de Dados.

Armazenamento de Dados

Todos os dados controlados pela empresa devem ser armazenados de maneira segura. Nos casos em que os dados são armazenados em papel impresso, eles devem ser armazenados em um local seguro, longe do acesso de pessoas não autorizadas. Os dados impressos devem ser triturados quando não forem mais necessários, de acordo com os padrões do Procedimento de Descarte. Os dados armazenados em um computador devem ser protegidos, conforme descrito na Política de Segurança da Informação. Os dados armazenados em CD's ou cartões de memória devem estar em conformidade com as diretrizes da Política de Mídia Removível. Devem ser efetuados backups frequentes dos dados, de acordo com os Planos de Continuidade e Recuperação de Desastres da empresa. Todos os servidores que contenham dados confidenciais devem ser aprovados e protegidos por software de segurança e firewalls fortes.

Transferência Internacional de Dados

Ë permitida somente nas hipóteses previstas na LGPD, que incluem, a transferência para países com grau de proteção adequado (a ser definido pela ANPD) ou por meio da utilização de cláusulas contratuais padrão, normas corporativas globais, selos e certificados e códigos de condutas aprovados pela ANPD, dentre outras hipóteses;

Direitos do Titular dos Dados

O art. 17, da LGPD, prevê que “Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos desta Lei.

 

Em seguida, o art. 18 afirma que “O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: 

I – confirmação da existência de tratamento; 

II – acesso aos dados; 

III – correção de dados incompletos, inexatos ou desatualizados; 

IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; 

V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador; 

VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei; 

VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; 

VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; 

IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.”

 

A empresa deve respeitar os direitos do titular dos dados estabelecidos na LGPD. Qualquer pedido de um indivíduo deve ser tratado pelo ENCARREGADO (DPO) e uma resposta emitida dentro de 15 dias. Em casos fundamentados, este prazo poderá excepcion

Consentimento

A LGPD impõe requisitos específicos para o consentimento, que deve consistir em uma manifestação prévia, livre, informada e inequívoca, para um fim específico, podendo ser revogado a qualquer tempo;

Quando a empresa usar o consentimento como a base legal para o tratamento de dados, deve haver um registro do consentimento ativo do titular dos dados. O consentimento deve ser recebido da forma descrita no Procedimento de Gerenciamento de Consentimento. O titular dos dados tem o direito de retirar esse consentimento a qualquer momento. Este direito não afeta nenhum dos outros direitos.

Nos casos em que dados pessoais confidenciais são tratados, será necessário o  consentimento explícito do titular dos dados para este tratamento, a menos que circunstâncias excepcionais se apliquem ou haja uma obrigação legal de se fazer isso [por exemplo, cumprir com as obrigações legais de garantir a saúde e a segurança no trabalho]. Qualquer consentimento desse tipo precisará identificar claramente quais são os dados relevantes, por que estão sendo tratados e para quem serão divulgados.

Se o titular dos dados tiver menos de 16 anos de idade, a empresa deverá obter autorização do responsável legal do indivíduo.

O direito de ser informado

Nos termos da LGPD os titulares dos dados têm o direito de ser informados sobre como seus dados são tratados. Para cumprir com esse direito, a empresa fornece as informações necessárias em seu aviso de tratamento legítimo.

O direito de acesso

No que diz respeito à LGPD, o direito de acesso aos dados é complementado pelo Art. 19, segundo o qual “A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular: 

I – em formato simplificado, imediatamente; ou 

II – por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.” 

O § 1º do Art. 19 ainda reforça que “Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso”, determinando o § 2º que “As informações e os dados poderão ser fornecidos, a critério do titular: 

I – por meio eletrônico, seguro e idôneo para esse fim; ou 

II – sob forma impressa.” 

Fica clara a intenção da LGPD de, por meio dos referidos dispositivos, facilitar o acesso aos dados sob todas as formas.

Essas solicitações devem ser passadas para o ENCARREGADO (DPO) para tratamento.

 

Ao lidar com essas solicitações, uma resposta deve ser enviada ao titular dos dados dentro de 15 dias. As solicitações devem ser registradas e monitoradas e o processo do Procedimento de Solicitação de Acesso ao Dados do Titular deve ser seguido.

O direito à portabilidade dos dados

A LGPD prevê, em seu art. 18, V, o direito à “portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador”.

Trata-se, portanto, de direito que tem como um de seus objetivos principais o empoderamento e o reforço da autodeterminação informativa do titular. Com efeito, a portabilidade procura viabilizar o efetivo controle do titular sobre os seus dados para os mais diversos fins, possibilitando que sejam gerenciados e reutilizados, inclusive com o objetivo de facilitar a migração do titular para serviços concorrentes. Com isso, evita-se que os consumidores fiquem presos a determinado ofertante (efeito lock in) em virtude das dificuldades ou mesmo dos altos custos de troca (switching costs) que decorreriam da “perda” dos dados.

Daí a ideia de que o direito à portabilidade, para atingir tais propósitos, deve ser fácil, gratuito e assegurado de modo a permitir a usabilidade dos dados com eficiência e segurança.

Portanto, o titular dos dados deve ter o direito de receber uma cópia dos seus dados em um formato estruturado, mediante uma solicitação. Essas solicitações devem ser trabalhadas dentro de um mês, desde que não haja nenhum ônus indevido e não comprometa a privacidade de outras pessoas. Um titular de dados também pode solicitar que seus dados sejam transferidos diretamente para outro sistema. Isso deve ser feito gratuitamente.

 

Nos termos da LGPD, o titular dos dados pode solicitar que seus dados pessoais sejam transferidos de um controlador de dados para outro.

Esses pedidos devem ser passados para o ENCARREGADO (DPO) para tratamento.

 

Com relação a estas solicitações, uma resposta deve ser enviada ao titular dos dados dentro de um mês. Os pedidos devem ser registrados e monitorados e o processo descrito no Procedimento de Portabilidade de Dados deve ser seguido.

O direito de retificação

Diante da importância crescente dos dados para a vida das pessoas, é fundamental estabelecer uma espécie de processo legal em relação aos dados, possibilitando aos titulares a correção de erros, inexatidões ou desatualizações que possam lhes gerar prejuízos. Nos termos da LGPD, os titular dos dados pode solicitar que as informações pessoais armazenadas sejam corrigidas.

Nos termos do § 6º do Art. 18 da LGPD, o ENCARREGADO (DPO) deverá informar a correção imediatamente aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados, com o que se garante a completa eficácia do referido direito.

Com relação a estas solicitações, uma resposta deve ser enviada ao titular dos dados dentro de 15 dias. As solicitações devem ser registradas e monitoradas e o processo descrito no Procedimento de Solicitação de Retificação pelo Titular deve ser seguido.

O direito de apagamento

Nos termos da LGPD, o titular dos dados pode solicitar que as informações pessoais armazenadas sejam apagadas ou excluídas, e qualquer terceiro que processe ou use esses dados também deve atender à solicitação. Uma solicitação de apagamento só pode ser recusada em casos excepcionais.

Essas solicitações devem ser passadas para o ENCARREGADO (DPO) para tratamento. Com relação a estas solicitações, uma resposta deve ser enviada ao titular dos dados dentro de um mês. As solicitações devem ser registradas e monitoradas e o processo descrito no Procedimento de Solicitação de Apagamento pelo Titular deve ser seguido.

O direito de restringir o tratamento

Nos termos da LGPD, os titulares dos dados podem solicitar uma restrição de tratamento em seus dados pessoais nos casos em que o titular desses dados não deseja que seus dados sejam apagados, mas não quer que os dados sejam tratados.

Essas solicitações devem ser passadas para o ENCARREGADO (DPO) para tratamento. Com relação a essas solicitações, deve ser enviada uma resposta ao titular dos dados dentro de 15 dias. As solicitações devem ser registradas e monitoradas e o processo descrito no Procedimento de Restrição de Tratamento deve ser seguido.

O direito de oposição

Nos termos da LGPD, os titulares dos dados podem se opor ao tratamento, se suspeitarem que seus dados estão sendo tratados ilegalmente. Após uma oposição, o controlador de dados é solicitado a investigar a reivindicação e a comunicar os resultados ao titular dos dados.

Essas solicitações devem ser passadas para o ENCARREGADO (DPO) para tratamento. Ao lidar com essas solicitações, deve ser enviada uma resposta ao titular dos dados dentro de um mês. As solicitações devem ser registradas e monitoradas e o processo descrito no Procedimento de Solicitação de Oposição pelo Titular deve ser seguido.

Direitos em relação a perfis e decisões automatizadas

Nos termos da LGPD, os titulares dos dados têm o direito de ser informados se estiverem sujeitos  a decisões automatizadas e às possíveis consequências que essa decisão automatizada possa ter sobre eles. Para cumprir com este direito, as informações necessárias devem ser fornecidas em seu aviso de tratamento legítimo e a coleta e documentação do consentimento deve ser efetuado conforme descrito no Procedimento de Consentimento de Coleta.

Monitoramento de Conformidade

Todos devem observar esta política. O ENCARREGADO (DPO) tem total responsabilidade por essa política. Deverá haver monitoramento contínuo para se certificar de que esta política está sendo respeitada.

Auditoria e Registro dos Dados

Auditorias de dados serão efetuadas com frequência para gerenciar e mitigar riscos e fornecer ao registro de dados. Ele contém informações sobre as quais os dados são armazenados, onde são armazenados, como são usados, quem são os responsáveis e quaisquer outras normas ou cronogramas de retenção que podem ser relevantes.

Denúncia de violações

Todos os membros da equipe têm a obrigação de relatar desconformidades de proteção de dados sejam elas existentes ou potenciais. Isso nos permite: -

  • Investigar a falha e tomar as medidas corretivas, se necessário

  • Manter um registro de falhas de conformidade

  • Notificar a Autoridade Supervisora [SA] de quaisquer falhas de conformidade que sejam materiais por direito próprio ou como parte de um padrão de falhas.

Consequências do não cumprimento

Quando um colaborador tiver violado as políticas ou procedimentos da empresa, as seguintes ações podem ser tomadas:

Aviso Escrito - Um aviso oficial de que quaisquer outras infrações levarão a outras ações.

Remoção de privilégios - O colaborador poderá proibido de executar determinadas ações, acessar determinados sistemas ou usar determinados dispositivos.

Ação corretiva - Instruir o colaborador para agir de modo que nenhuma outra infração ocorra, por exemplo, através de um treinamento.

 

Rescisão do vínculo laboral - O colaborador poderá ter seu vínculo com a empresa rescindido.

Ação civil – O colaborador pode sofrer sanções legais e ter de pagar indenizações de acordo com a lei.

Ação penal - A empresa passará os detalhes da infração às autoridades com a intenção de prestar queixa.

Terceiros Contratados

Nos casos em que um terceiro contratado tenha violado as obrigações contratuais relativas à proteção de dados, as seguintes ações podem ser tomadas:

Aviso Escrito - Um aviso oficial de que quaisquer outras infrações levarão a outras ações

Remoção de privilégios - O terceiro contratado será proibido de realizar determinadas ações, acessar determinados sistemas ou usar determinados dispositivos

Ação corretiva - Instruir o terceiro contratado para agir de modo que nenhuma outra infração ocorra, por exemplo, através de um treinamento.

Auditoria de Segurança - Uma auditoria dos sistemas de terceiros contratados para garantir que eles ainda cumpram suas obrigações.

Rescisão do contrato - O terceiro contratado não deve mais ser contratado para trabalhar para a empresa

Ação civil - Uma reivindicação de indenização legal pode ser feita contra o terceiro contratado

Ação penal l - A empresa passará os detalhes da infração às autoridades com a intenção de prestar queixa.

bottom of page