Pol�tica de Governan�a e Prote��o de Dados Pessoais
1. Objetivo:
O objetivo desta Pol�tica de Governan�a e Prote��o de Dados Pessoais ("Pol�tica") � definir as principais responsabilidades e regras em rela��o � prote��o de Dados Pessoais que s�o aplic�veis � Cin�polis no �mbito corporativo, para garantir um n�vel adequado de prote��o aos Dados Pessoais, incluindo as t�cnicas e medidas organizacionais adequadas para preven��o contra o Tratamento n�o autorizado e ilegal de Dados Pessoais e contra perda ou destrui��o acidental.
Os termos e express�es, se escritos em letras mai�sculas, dever�o ter os significados conforme definidos no Gloss�rio ao final deste documento.
2. Refer�ncias
A presente Pol�tica deve ser interpretada e aplicada em conson�ncia com as seguintes refer�ncias:
(i) Pol�tica de Privacidade;
(ii) Matriz de Reten��o e Descarte de Dados Pessoais;
(iii) Plano de Resposta a Requisi��es de Titulares de Dados Pessoais;
(iv) Plano de Remedia��o e Resposta a Incidentes;
(v) Relat�rio de Impacto � Prote��o de Dados;
(vi) Lei Federal n� 13.709, de 14 de agosto de 2018 (Lei Geral de Prote��o de Dados Pessoais, ?LGPD?).
3. Abrang�ncia
A presente Pol�tica � aplic�vel a todas as atividades da Cin�polis que envolvam o Tratamento de Dados Pessoais de Titulares de Dados localizados no Brasil ou que tenham como objetivo a presta��o de servi�os a Titulares de Dados localizados no Pa�s, independentemente se parte do Tratamento ocorrer no exterior.
4. Deveres da Cin�polis
Nos termos da presente Pol�tica, a Cin�polis dever� observar os seguintes compromissos:
- Elaborar e manter um registro atualizado de atividades de Tratamento de Dados Pessoais de Titulares que descreva, no m�nimo, as categorias de Dados Pessoais, as finalidades espec�ficas do Tratamento, uma descri��o das medidas t�cnicas ou organizacionais para a prote��o dos Dados Pessoais e as bases legais de Tratamento;
- Nomear um Encarregado de Prote��o de Dados Pessoais e manter uma estrutura adequada de recursos humanos e financeiros para as atividades relacionadas � prote��o de Dados Pessoais;
- Implementar as medidas organizacionais e t�cnicas necess�rias para facilitar o atendimento aos direitos dos Titulares de Dados Pessoais, incluindo a divulga��o de avisos de privacidade que informem, dentre outros itens, a finalidade do Tratamento, a forma e dura��o do Tratamento; a identifica��o da Cin�polis como controladora de Dados Pessoais, conforme aplic�vel; informa��es de contato da Cin�polis; e informa��es sobre o uso compartilhado de Dados Pessoais;
- Implementar as medidas organizacionais e t�cnicas para proteger os Dados Pessoais contra o Tratamento irregular, indevido ou ilegal, incluindo boas pr�ticas de seguran�a da informa��o;
- Realizar avalia��es peri�dicas sobre os riscos que Tratamentos de Dados Pessoais podem representar a um Titular e, conforme necess�rio e adequado, adotar medidas para proteger o Titular de Dados Pessoais, na forma exigida pela regulamenta��o aplic�vel ; e
- Aplicar treinamentos a todos os colaboradores sobre temas relacionados � seguran�a da informa��o e � prote��o de dados pessoais.
5. Deveres dos colaboradores
Nos termos da presente Pol�tica, todos os colaboradores dever�o observar os seguintes compromissos:
- Responsabilizar-se pelo uso adequado de Dados Pessoais no desempenho de suas atividades;
- Manter a mais estrita confidencialidade, integridade e disponibilidade dos Dados Pessoais a que tiverem acesso em raz�o do desempenho de sua fun��o;
- Cumprir com o seu contrato de trabalho, a Legisla��o de Prote��o de Dados, a presente Pol�tica e todas as pol�ticas relacionadas;
- Reportar todas as situa��es de n�o conformidade e os incidentes de seguran�a que tome conhecimento ao Encarregado de Dados e;
- Participar de todos os treinamentos relacionados � prote��o de Dados Pessoais.
O Encarregado de Dados Pessoais, em virtude de sua fun��o, ainda dever�:
- Elaborar e manter o registro de atividades de Tratamento de Dados Pessoais da Cin�polis sempre atualizado;
- Acompanhar e apoiar a implementa��o dos planos de a��o para corre��o de gaps das iniciativas de prote��o de dados;
- Participar dos projetos da Cin�polis que envolvam Tratamento de Dados Pessoais a fim de garantir que estejam de acordo com a Legisla��o de Prote��o de Dados;
- Elaborar e realizar treinamentos de prote��o de Dados Pessoais para os colaboradores;
- Garantir que a Cin�polis possua e mantenha atualizada toda a documenta��o necess�ria e as evid�ncias para atendimento � Legisla��o de Prote��o de Dados;
- Monitorar o cumprimento, pelos colaboradores, desta Pol�tica e da Legisla��o de Prote��o de Dados;
- Revisar e atualizar avisos de privacidade os Titulares;
- Endere�ar as solicita��es dos Titulares de Dados Pessoais e garantir que sejam respondidas dentro do prazo previsto na Legisla��o de Prote��o de Dados;
- Responsabilizar-se pela interface com a ANPD, sempre que for necess�rio e;
- Coordenar os esfor�os necess�rios em caso de incidentes de seguran�a, considerando, inclusive as diretrizes do Plano de Resposta e Remedia��o a Incidentes de Privacidade.
6. Principais orienta��es para o tratamento de Dados Pessoais
Os Tratamentos de Dados Pessoais executados sob o controle da Cin�polis ser�o feitos de acordo com a Legisla��o de Prote��o de Dados e com as disposi��es desta Pol�tica e em particular com as seguintes disposi��es:
- Adequa��o. Os Dados Pessoais devem ser obtidos de forma justa e legal, e o Tratamento deve ser compat�vel com as finalidades informadas ao Titular de Dados e, ainda, deve limitar-se ao m�nimo necess�rio para a realiza��o de suas finalidades. Al�m disso, os Dados Pessoais somente podem ser tratados de acordo com bases leg�timas previstas da Legisla��o de Prote��o de Dados.
- Prop�sitos leg�timos e espec�ficos. Os Dados Pessoais devem ser tratados apenas para prop�sitos espec�ficos, expl�citos e leg�timos e informados ao Titular de Dados e n�o podem ser tratados de forma incompat�vel com esses prop�sitos. Os Tratamentos de Dados Pessoais devem ser conduzidos para finalidades que observem a legisla��o vigente, sendo definidos de forma espec�fica e diligente. Os Dados Pessoais apenas ser�o disponibilizados a terceiros para estes prop�sitos ou de qualquer outra forma permitida pela Legisla��o de Prote��o de Dados.
- Seguran�a. Os controles e procedimentos t�cnicos e organizacionais apropriados devem ser implementados para garantir a seguran�a dos Dados Pessoais e evitar acesso ou divulga��o n�o autorizados, que potencialmente poderiam resultar em altera��o, destrui��o acidental ou ilegal, perda dos dados e contra todas as demais formas ilegais de Tratamento.
- Transpar�ncia. Devem ser garantidas aos Titulares de Dados informa��es claras, precisas e facilmente acess�veis sobre a realiza��o do Tratamento, bem como implementados procedimentos para garantir respostas �s solicita��es dos Titulares de Dados, nos termos da Legisla��o de Prote��o de Dados.
- Descarte. Os Dados Pessoais n�o podem ser mantidos por um per�odo maior que o necess�rio para o atingimento dos objetivos para os quais foram obtidos ou se de outra forma autorizado pela Legisla��o de Prote��o de Dados. Para mais informa��es, consultar a Matriz de Reten��o e Descarte de Dados Pessoais da Cin�polis.
- Relat�rio de Impacto � Prote��o de Dados Pessoais. Um relat�rio de impacto � prote��o de dados pessoais deve ser conduzido pela Cin�polis nos casos em que o Tratamento de Dados Pessoais seja de alto risco ou a situa��o concretamente exija, contendo, no m�nimo, a descri��o dos tipos de Dados Pessoais coletados, a metodologia utilizada para a coleta e para a garantia da seguran�a das informa��es e a an�lise da Cin�polis com rela��o a medidas, salvaguardas e mecanismos de mitiga��o de risco adotados.
Por fim, salienta-se que os Dados Pessoais n�o podem ser tratados para fins discriminat�rios, il�citos ou abusivos.
7. Transfer�ncia Internacional de Dados Pessoais
A Cin�polis deve garantir que as transfer�ncias de Dados Pessoais para o exterior observam o estabelecido pela LGPD. Nesse sentido, Dados Pessoais poder�o ser transferidos ao exterior nos seguintes casos:
- Para pa�ses que proporcionem grau de prote��o de Dados Pessoais adequado, conforme ser� determinado pela ANPD;
- Mediante cl�usulas contratuais espec�ficas para determinada transfer�ncia, cl�usulas-padr�o contratuais, normas corporativas globais ou selos, certificados e c�digos de conduta, todos a serem aprovados pela ANPD; ou
- Quando o Titular de Dados tiver fornecido o seu consentimento espec�fico e em destaque para a transfer�ncia, com informa��o pr�via sobre o car�ter internacional da opera��o, distinguindo claramente est� de outras finalidades.
Enquanto n�o houver regulamenta��o sobre transfer�ncia internacional de dados editada pela ANPD, no m�nimo, a Cin�polis se compromete a incluir cl�usulas de Tratamento de Dados Pessoais nos contextos de transfer�ncia internacional que garantam um n�vel adequado de prote��o aos Titulares de Dados Pessoais.
5 - Modifica��o / atualiza��o da informa��o:
Os dados pessoais fornecidos pelo usu�rio far�o parte de um arquivo que conter� seu perfil. O usu�rio pode modificar seu perfil a qualquer momento utilizando seu n�mero de usu�rio/s�cio e seu n�mero de identifica��o pessoal pr�-determinado ou que ele mesmo tenha escolhido.
Cin�polis Brasil aconselha que o usu�rio atualize seus dados todas as vezes que estes sofram alguma altera��o, j� que isso permitir� proporcionar-lhe um servi�o mais personalizado.
Os servi�os de promo��es via e-mail/internet poder�o, a qualquer momento, serem desativados pelo usu�rio.
8. Direitos dos Titulares de Dados
A LGPD define que os Titulares de Dados devem receber informa��es sobre o Tratamento dos Dados Pessoais no momento de sua coleta. Os termos de uso, contratos ou avisos de privacidade devem disponibilizar as informa��es sobre o Tratamento de forma clara, adequada e ostensiva.
No caso de um Tratamento de Dados Pessoais, os Titulares de Dados possuem os direitos previstos na Legisla��o de Prote��o de Dados e poder�o exerc�-los por meio de solicita��es encaminhadas ao encarregado de dados. Para mais informa��es, consultar o Plano de Resposta a Requisi��es de Titulares de Dados Pessoais da Cin�polis.
9. Padr�es de seguran�a
Todos os colaboradores da Cin�polis devem anuir e cumprir com esta Pol�tica e demais normativos internos e instru��es comunicadas pela Cin�polis. Ao implementar novos processos, procedimentos ou sistemas que envolvam o Tratamento de Dados Pessoais, a Cin�polis deve adotar todas medidas para garantir o cumprimento da Legisla��o de Prote��o de Dados desde a fase de concep��o do produto ou do servi�o at� a sua execu��o.
A Cin�polis adotar� medidas de seguran�a da informa��o, como a implementa��o de softwares de seguran�a, o monitoramento cont�nuo de equipamentos, da rede e de servidores da Cin�polis, controle e a manuten��o de registro de acesso aos sistemas e aplica��es utilizadas na Cin�polis, dentre outras.
Os colaboradores, inclusive prestadores de servi�o, ser�o vinculados a obriga��es de confidencialidade.
10. Prestadores de servi�o/fornecedores
Os prestadores de servi�os/fornecedores que tratem Dados Pessoais em nome da Cin�polis est�o sujeitos a obriga��es referentes � prote��o de dados. Os colaboradores que negociem contratos em nome da Cin�polis dever�o assegurar que todos os contratos com prestadores de servi�o/fornecedores contenham as cl�usulas de prote��o de Dados Pessoais cab�veis e adequadas �s circunst�ncias para garantir a confidencialidade e seguran�a dos Dados Pessoais tratados em nome da Cin�polis.
11. Incidentes de seguran�a
Incidentes de seguran�a incluem, sem limita��o, qualquer perda, exclus�o, roubo ou acesso n�o autorizado aos Dados Pessoais que estejam em posse da Cin�polis. Todos os incidentes de seguran�a ser�o avaliados para defini��o de quais medidas ser�o adotadas, incluindo a notifica��o � ANPD e/ou aos Titulares de Dados. Para mais informa��es, consulte o Plano de Resposta e Remedia��o a Incidentes de Privacidade da Cin�polis.
12. Gloss�rio
"Autoridade Nacional de Prote��o de Dados" ou "ANPD" significa a autoridade administrativa encarregada da Prote��o de Dados Pessoais, um �rg�o da administra��o p�blica nacional respons�vel por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Prote��o de Dados Pessoais em todo o territ�rio brasileiro.
"Colaboradores" significa todos os empregados da Cin�polis, incluindo representantes legais, diretores, estagi�rios, aprendizes e qualquer outra pessoa que possua v�nculo direto com a Cin�polis.
"Controlador de Dados" ou "Controlador" significa uma pessoa natural ou jur�dica, de direito p�blico ou privado, a quem competem as decis�es referentes ao Tratamento de Dados Pessoais.
"Dados Pessoais" significa quaisquer dados relacionados a um indiv�duo (pessoa natural) que � ou possa ser identificado a partir dos dados ou a partir dos dados em conjunto com outras informa��es.
"Dados Sens�veis" significa os Dados Pessoais sobre origem racial ou �tnica, convic��o religiosa, opini�o pol�tica, filia��o a sindicato ou a organiza��o de car�ter religioso, filos�fico ou pol�tico, dado referente � sa�de ou � vida sexual, dado gen�tico ou biom�trico, ou outros dados espec�ficos na forma da legisla��o.
"Encarregado de Prote��o Dados Pessoais" ou "DPO" significa a pessoa que na Cin�polis � a respons�vel por coordenar e por assegurar a conformidade com esta Pol�tica, com a Legisla��o de Prote��o de Dados e que atuar� como canal da Cin�polis com os Titulares de Dados e com a Autoridade Nacional de Prote��o de Dados.
"Legisla��o de Prote��o de Dados" significa toda a legisla��o brasileira, decretos e regulamenta��es, que disp�em sobre a prote��o de Dados Pessoais, incluindo a LGPD.
"LGPD" significa a Lei Geral de Prote��o de Dados Pessoais, Lei n� 13.709, de 14 de agosto de 2018.
"Operador de Dados" ou "Operador" significa uma pessoa natural ou jur�dica, de direito p�blico ou privado, que realiza o tratamento de dados pessoais em nome do Controlador de Dados.
"Pol�tica" significa esta Pol�tica de Governan�a e Prote��o de Dados Pessoais.
"Titular(es) de Dados" significa qualquer pessoa natural pessoa natural a quem se referem os Dados Pessoais que s�o objeto de Tratamento.
"Tratamento ou Tratamento de Dados Pessoais" significa qualquer opera��o realizada com Dados Pessoais, como, por exemplo, a coleta, produ��o, recep��o, classifica��o, utiliza��o, acesso, reprodu��o, transmiss�o, distribui��o, processamento, arquivamento, armazenamento, elimina��o, avalia��o ou controle da informa��o, modifica��o, comunica��o, transfer�ncia, difus�o ou extra��o.