Política Geral de Privacidade
1. INTRODUÇÃO
1.1. A COMPLEM tem como missão oferecer produtos e serviços de alta qualidade, que satisfaçam os nossos clientes, consumidores, parceiros e cooperados, por meio de crescimento sustentável, gerando prosperidade para a sociedade e valorização dos empregados e parceiros.
1.2. A COMPLEM entende que a privacidade é um direito fundamental da pessoa natural.
1.3. A COMPLEM compreende que, em seus processos de negócio onde existe tratamento de dados pessoais, essa informação passa por diferentes meios de suporte, armazenamento e comunicação, sendo estes vulneráveis a fatores externos e internos que podem comprometer a proteção de dados pessoais e afetar negativamente a privacidade dos seus titulares.
1.4. Dessa forma, a Complem estabelece sua Política Geral de Privacidade como parte integrante do seu sistema de gestão corporativa, compatível com os requisitos da legislação brasileira, além de boas práticas e normas internacionalmente aceitas, com o objetivo de garantir níveis adequados de proteção para os dados pessoais tratados pela organização.
2. PROPÓSITO
2.1. Esta política tem por propósito estabelecer diretrizes de Proteção de Dados que permitam à Complem realizar o tratamento de dados pessoais, em conformidade com a legislação brasileira;
2.2. Orientar quanto à adoção de controles técnicos e administrativos para atendimento dos requisitos para Proteção de Dados Pessoais, conforme a legislação vigente;
2.3. Resguardar os titulares dos dados pessoais que são tratados pela Complem, garantindo direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;
2.4. Prevenir possíveis causas de violações de dados pessoais e incidentes de segurança da informação relacionados ao tratamento de dados pessoais;
2.5. Minimizar os riscos de perdas financeiras, de participação no mercado, da confiança de clientes ou de qualquer outro impacto negativo no negócio da Complem como resultado de violações de dados.
3. ESCOPO
3.1. Esta política se aplica a qualquer operação de tratamento de dados pessoais realizada pela Complem, independentemente do meio ou do país onde estejam localizados os dados, desde que:
3.1.1. A operação de tratamento seja realizada em território nacional brasileiro;
3.1.2. A atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
3.1.3. Os dados pessoais, objeto do tratamento, tenham sido coletados no território nacional.
4. DIRETRIZES
4.1. O objetivo da Política Geral de Privacidade na Complem é garantir a gestão sistemática e efetiva de todos os aspectos relacionados à proteção de dados pessoais e dos direitos dos seus titulares, provendo suporte as operações críticas do negócio e minimizando riscos identificados e seus eventuais impactos a organização.
4.2. A Presidência, Diretoria Executiva e o Comitê de Privacidade estão comprometidos com uma gestão efetiva da Proteção de Dados Pessoais na Complem. Desta forma, adotam todas medidas cabíveis para garantir que esta política seja adequadamente comunicada, entendida e seguida em todos os níveis da organização. Revisões periódicas serão realizadas para garantir sua contínua pertinência e adequação as necessidades da Complem.
4.3. É política da Complem:
4.3.1. Garantir ao titular a escolha de permitir ou não o tratamento de seus dados pessoais, excetuando-se casos onde a lei aplicável permitir especificamente o processamento de dados pessoais sem o consentimento do titular;
4.3.2. Garantir que o objetivo do tratamento de dados pessoais esteja em conformidade com a legislação vigente e de acordo com uma base legal permitida;
4.3.3. Comunicar, de forma clara e adequadamente adaptada às circunstâncias, o tratamento de dados pessoais ao titular, antes do início do tratamento e sempre em conformidade com as legislações pertinentes;
4.3.4. Sempre que necessário, fornecer ao titular explicações suficientes sobre o tratamento de seus dados pessoais, conforme previsto na legislação vigente;
4.3.5. Limitar a coleta de dados pessoais ao permitido e em consonância com os objetivos especificados no início do tratamento, sempre de acordo com a legislação vigente, minimizando na medida do possível, a coleta dos referidos dados pessoais.
4.3.6. Limitar o uso, retenção, divulgação e transferência de dados pessoais ao necessário para cumprir com objetivos específicos, explícitos e legítimos, de acordo com o estipulado em legislação vigente;
4.3.7. Reter dados pessoais apenas pelo tempo necessário para cumprir os propósitos declarados e, posteriormente, destruí-los, bloqueá-los ou anonimizá-los com segurança, de acordo com o estipulado em legislação vigente;
4.3.8. Nos casos em que a retenção dos dados pessoais for exigida pela legislação vigente, promover a estrutura de segurança adequada para o tipo de dados em questão, observando-se as práticas do mercado de atuação da Complem, cumprindo os requisitos exigidos pela legislação vigente, de forma a resguardar tanto o titular dos dados pessoais quanto a continuidade do negócio.
4.3.9. Garantir a precisão e qualidade dos dados pessoais tratados, excetuando-se casos onde exista uma base legal para manter dados desatualizados.
4.3.10. Fornecer aos titulares dos dados pessoais tratados informações claras e facilmente acessíveis sobre as políticas, procedimentos e práticas com relação ao tratamento de dados pessoais realizado pela organização, incluindo quais dados são efetivamente tratados, a finalidade desse tratamento e informações sobre como entrar em contato para obter maiores detalhes, de acordo com as exigências estipuladas em lei.
4.3.11. Notificar titulares quando ocorrerem alterações significativas no tratamento dos seus dados pessoais, se assim a lei exigir.
4.3.12. Garantir que titulares tenham a possibilidade de acessar e revisar seus dados pessoais, desde que: (i) sua identidade seja autenticada com um nível apropriado de garantia, (ii) que não exista nenhuma restrição legal a esse acesso ou à revisão dos dados pessoais, e (iii) que a legislação assim determine.
4.3.13. Garantir a rastreabilidade e prestação de contas durante todo o tratamento de dados pessoais, incluindo quando dados pessoais forem compartilhados com terceiros, de acordo com as determinações legais.
4.3.14. Tratar integralmente violações de dados, garantindo que sejam adequadamente registradas, classificadas, investigadas, corrigidas e documentadas, obedecendo a critérios técnicos de divulgação e/ou registro de violações estipuladas em lei ou por órgãos governamentais.
4.3.15. Garantir que, na ocorrência de uma violação de dados, todas as partes interessadas serão notificadas, conforme requisitos e prazos previstos na legislação vigente e determinados por órgãos governamentais.
4.3.16. Documentar e comunicar, conforme apropriado, todas as políticas, procedimentos e práticas relacionadas à privacidade e proteção de dados.
4.3.17. Garantir a existência de um responsável por documentar, implementar e comunicar políticas, procedimentos e práticas relacionadas à privacidade e proteção de dados;
4.3.18. Adotar controles de segurança da informação, tanto técnicos quanto administrativos, suficientes para garantir níveis de proteção adequados para Dados Pessoais, de acordo com o estipulado por lei ou órgãos governamentais, sempre levando-se em conta o tipo de dados tratados, o mercado de atuação da cooperativa e o faturamento da mesma.
4.3.19. Disponibilizar políticas, normas e procedimentos para proteção de dados pessoais a todas as partes interessadas e autorizadas, tais como: empregados, terceiros contratados e, onde pertinente, clientes.
4.3.20. Garantir a educação e conscientização de empregados, terceiros contratados e, onde pertinente, parceiros e clientes, sobre as práticas de proteção de dados pessoais adotadas pela Complem.
4.3.21. Melhorar continuamente a Gestão de Proteção de Dados Pessoais através da definição e revisão sistemática de objetivos de privacidade e proteção de dados pessoais em todos os níveis da organização.
4.3.22. Garantir a não discriminação no tratamento de dados pessoais, impossibilitando que estes sejam usados para fins discriminatórios, ilícitos ou abusivos, em obediência ao determinado em legislação vigente.
4.3.23. Garantir a conformidade integral com leis e regulamentações de proteção de Dados Pessoais nacionais e, onde for o caso, internacionais.
5. PAPÉIS E RESPONSABILIDADES
5.1. COMITÊ DE PRIVACIDADE
5.1.1. Fica constituído o Comitê de Privacidade contando com a participação de: um representante da diretoria e um membro sênior das seguintes áreas: Tecnologia da Informação, Recursos Humanos, Jurídico, Marketing.
5.1.2. É responsabilidade do Comitê:
5.1.2.1. Analisar, revisar e aprovar políticas e normas relacionadas à proteção de dados pessoais;
5.1.2.2. Garantir a disponibilidade dos recursos necessários para uma efetiva Gestão da Proteção de Dados Pessoais;
5.1.2.3. Garantir que o tratamento de Dados Pessoais seja realizado em conformidade com a Política Geral de Privacidade e a legislação vigente;
5.1.2.4. Promover a divulgação da Política Geral de Privacidade e tomar as ações necessárias para disseminar uma cultura de proteção de Dados Pessoais no ambiente corporativo da Complem.
5.2. ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS
5.2.1. É responsabilidade do Encarregado pelo Tratamento de Dados Pessoais:
5.2.1.1. Receber reclamações e comunicações dos titulares de dados pessoais, prestar esclarecimentos e adotar as providências necessárias;
5.2.1.2. Receber comunicações da autoridade nacional de proteção de dados e adotar as providências necessárias;
5.2.1.3. Acompanhar comunicações e intimações judiciais acerca de processos relativos a privacidade e proteção de dados;
5.2.1.4. Orientar os empregados, terceiros contratados e demais partes da Complem a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
5.2.1.5. Atender as demais atribuições, conforme orientação da Autoridade Nacional de Proteção de Dados e outros órgãos governamentais, definidas em normas complementares publicadas por tais;
5.2.1.6. Apoiar o Comitê de Privacidade em suas deliberações;
5.2.1.7. Atuar junto ao time de Segurança da Informação no ajuste das normas e procedimentos de segurança da informação, necessários para se fazer cumprir a Política Geral de Privacidade;
5.2.1.8. Identificar e avaliar as principais ameaças à proteção de dados, em conjunto com demais departamentos, em especial o de tecnologia da informação; bem como propor e, quando aprovado, apoiar a implantação de medidas corretivas para reduzir o risco;
5.2.1.9. Tomar as ações cabíveis para se fazer cumprir os termos desta política;
5.2.1.10. Apoiar a gestão das violações de dados pessoais, garantindo tratamento adequado e comunicando, em prazo razoável, à autoridade nacional e titulares afetados pela violação sempre que esta representar risco ou dano relevante aos titulares, de acordo com determinações legais, judiciais e dos órgãos de controle.
5.3. TIME DE SEGURANÇA DA INFORMAÇÃO
5.3.1. É responsabilidade do time de Segurança da Informação: 5.3.1.1. Garantir que políticas, normas e procedimentos de Segurança da Informação sejam ajustados de forma a atender os requisitos da Política Geral de Privacidade;
5.3.1.2. Adotar medidas de segurança, tanto técnicas quanto administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme padrões mínimos recomendados pela autoridade nacional de proteção de dados pessoais.
5.3.1.3. Realizar o tratamento de incidentes de segurança da informação que envolvam o tratamento de dados pessoais, garantindo sua detecção, contenção, eliminação e recuperação dentro de um prazo razoável e de acordo com determinações legais, judiciais e dos órgãos de controle.
5.3.1.4. Apoiar o Encarregado pelo tratamento de dados pessoais na comunicação à autoridade nacional e ao titular dos dados pessoais em casos de ocorrência de incidente de segurança que possam acarretar risco ou dano relevante aos titulares, de acordo com determinações legais, judiciais e dos órgãos de controle.
5.4. USUÁRIO DA INFORMAÇÃO
5.4.1. É responsabilidade do usuário da informação: 5.4.1.1. Ler, compreender e cumprir integralmente os termos da Política Geral de Privacidade, bem como as demais normas e procedimentos de proteção de dados pessoais aplicáveis;
5.4.1.2. Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a Política Geral de Privacidade, suas normas e procedimentos ao Encarregado pelo Tratamento de Dados Pessoais ou, quando pertinente, ao Comitê de Privacidade;
5.4.1.3. Comunicar ao Encarregado pelo Tratamento de Dados Pessoais quaisquer eventos que violem esta Política ou coloque/possa vir a colocar em risco Dados Pessoais tratados pela Complem;
5.4.1.4. Assinar a Política de Geral de Privacidade da Complem e seus documentos correlatos, formalizando a ciência e o aceite integral das disposições desta política, bem como as demais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento;
5.4.1.5. Responder pela inobservância da Política Geral de Privacidade, normas e procedimentos relacionados ao tratamento de Dados Pessoais, conforme definido no item sanções e punições.
6. SANÇÕES E PUNIÇÕES
6.1. As violações, mesmo que por mera omissão ou tentativa não consumada, desta política, bem como demais normas e procedimentos de proteção de dados pessoais e segurança da informação, serão passíveis de penalidades que incluem advertência verbal, advertência por escrito, suspensão não remunerada, demissão por justa causa, suspensão ou cancelamento contratual sem multa, não excluindo-se ressarcimento indenizatório judicial e persecução penal;
6.2. A aplicação de sanções e punições será realizada conforme a análise do Comitê de Privacidade, devendo-se considerar a gravidade da infração, efeito alcançado, recorrência e as hipóteses previstas no artigo 482 da Consolidação das Leis do Trabalho, podendo o Comitê de Privacidade, no uso do poder disciplinar que lhe é atribuído, aplicar a pena que entender cabível quando tipificada a falta grave.
6.3. No caso de terceiros contratados ou prestadores de serviço, o Comitê de Privacidade deve analisar a ocorrência e deliberar sobre a efetivação das sanções e punições conforme termos previstos em contrato;
6.4. Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em riscos aos titulares de dados pessoais, ou dano à Complem, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes sem prejuízo aos termos descritos nos itens 6.1, 6.2 e 6.3 desta política.
7. CASOS OMISSOS
7.1. Os casos omissos serão avaliados pelo Comitê de Privacidade para posterior deliberação.
7.2. As diretrizes estabelecidas nesta política e nas demais normas e procedimentos de proteção de dados pessoais, não se esgotam em razão da contínua evolução tecnológica, da legislação vigente e constante surgimento de novas ameaças e requisitos. Desta forma, não se constitui rol exaustivo, sendo obrigação do usuário da informação da Complem adotar, sempre que possível, outras medidas de segurança além das aqui previstas, com o objetivo de garantir proteção de dados pessoais tratados pela Complem.
8. GLOSSÁRIO
8.1. Comitê de Privacidade: Grupo de trabalho multidisciplinar permanente, efetivado pela diretoria da Complem, que tem por finalidade tratar questões ligadas à Proteção de Dados Pessoais;
8.2. Segurança da informação: A preservação das propriedades de confidencialidade, integridade e disponibilidade das informações da Complem.
8.3. Usuário da informação: Empregados com vínculo empregatício de qualquer área das empresas que compõem a Complem ou terceiros alocados na prestação de serviços àComplem, indiferente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizados a utilizar manipular qualquer ativo de informação da Complem para o desempenho de suas atividades profissionais;
Todos os demais termos são utilizados de acordo com o texto da Lei 13.709/2018 e devem assim serem compreendidos.
9. REVISÕES
9.1. Esta política é revisada com periodicidade anual ou conforme o entendimento do Comitê de Privacidade.
10. GESTÃO DA POLÍTICA
10.1. A Política Geral de Privacidade é aprovada pelo Comitê de Privacidade, em conjunto com a Diretoria da Complem.
10.2. A presente política foi aprovada no dia 26/08/2020
Criado em 04/09/2020.
Atualizado em 04/09/2020.