Política Organizacional de Privacidade de Dados
INTRODUÇÃO
Para exercer sua atividade a Fourtrust necessita reunir e tratar algumas informações obtida de alguns indivíduos, como clientes, fornecedores, parceiros comerciais, empregados e outras pessoas com as quais a organização se relacione.
OBJETIVOS
- Estabelecer as diretrizes para o tratamento dos dados pessoais coletados pela Fourtrust de usuários de seus serviços, parceiros comerciais ou demais pessoas físicas;
- Estar em conformidade com as legislações (como a Lei Geral de Proteção de Dados – LGPD) e melhores práticas aplicáveis;
- Proteger os direitos dos membros da organização, seus clientes e parceiros comerciais;
- Mitigar o risco de a empresa ser vítima de um incidente de segurança.
ABRANGÊNCIA
Esta política aplica-se a todas as espécies de dados pessoais tratados (nome, endereço postal, endereço de e-mail, número de telefone, dados relacionados à saúde etc.) e a todas as espécies de atividades de tratamento conduzidas pela Fourtrust.
DEFINIÇÕES
LGPD |
Se refere à Lei Geral de Proteção de Dados. |
Anonimização |
Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. |
Encarregado (Data Protection Officer – DPO) |
Pessoa indicada pela empresa para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). |
Atividade de Tratamento |
Toda operação realizada com Dados Pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. |
Controlador |
Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de Dados Pessoais. |
Operador |
Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de Dados Pessoais em nome do controlador. |
Banco de Dados |
Conjunto estruturado de dados estabelecido em um ou em vários locais, em suporte eletrônico ou físico. |
Titular |
Pessoa natural a quem se referem os dados pessoais que são objeto de atividades de tratamento. |
Inventário de Dados e Atividades de Tratamento |
Se refere ao registro de todas as atividades de tratamento de dados pessoais conduzidas pela organização e das informações nelas envolvidas. |
PRINCÍPIOS DE PROTEÇÃO DE DADOS
A Fourtrust está empenhada em tratar os dados coletados (inclusive de empregados e demais membros da organização) de acordo com as responsabilidades e obrigações trazidas pela LGPD.
Os dados pessoais na Fourtrust serão:
a) Tratados somente:
i. Caso sejam obtidos mediante o consentimento (livre, inequívoco e informado) por parte de seu titular;
ii. Para o cumprimento de obrigação legal ou regulatória;
iii. Para a execução de contrato ou de procedimentos preliminaresa ele relacionados;
iv. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
v. Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
vi. Para fins de legítimo interesse de terceiros ou da atividade conduzida pela Fourtrust, especialmente em benefício dos titulares.
b) Tratados em conformidade com a lei, de forma justa e transparente em relação aos indivíduos;
c) Coletados para fins específicos, explícitos e legítimos, e, não sendo tratados de forma adicional incompatível com esses fins;
d) Armazenados de forma a garantir sua exatidão, clareza, relevância e, quando necessário, mantidos atualizados. Todos os esforços razoáveis serão destinados para garantir que aqueles que apresentem imprecisões, tendo em conta os propósitos para os quais são processados, sejam prontamente apagados ou corrigidos;
e) Mantidos de forma a permitir a identificação dos titulares dos dados apenas pelo tempo necessário para atender à finalidade para os quais foram coletados. Caso sejam armazenados para além desse período será exclusivamente para fins de arquivamento para o cumprimento de obrigação legal por parte da empresa ou para sua defesa em procedimentos judiciais, administrativos ou arbitrais;
f) Tratados por meios aptos a garantir a segurança adequada dos dados pessoais coletados pela empresa, incluindo formas de proteção contra o processamento não autorizado ou ilegal e contra perdas acidentais de dados, destruição ou danos, através das medidas técnicas ou organizacionais apropriadas.
É vedada a condução de qualquer forma de tratamento sobre os dados pessoais sob custódia da Fourtrust que possa importar na discriminação (seja em razão da orientação sexual, política, religiosa, de condição especial de saúde ou por qualquer outro motivo), ou na prática de alguma conduta abusiva perante o titular dos dados pessoais coletados ou terceiros.
DISPOSIÇÕES GERAIS
Esta política aplica-se a todos os dados pessoais (inclusive de titularidade dos nossos colaboradores e demais membros da organização) tratados pela Fourtrust e presentes em suas bases de dados.
O Encarregado (DPO) pela proteção dos dados pessoais sob custódia da organização assumirá a responsabilidade pelo monitoramento da conformidade contínua da empresa com esta política.
A presente política deverá ser reavaliada periodicamente, em intervalo não maior que 12 (doze) meses.
A organização irá promover ações de treinamento adequadas a todos seus empregados para auxiliá-los a compreender suas responsabilidades relacionadas à proteção de dados pessoais.
Os colaboradores da Fourtrust devem requisitar ajuda de seus superiores ou do Encarregado (Data Protection Officer – DPO) da empresa para os casos em que possuam dúvidas sobre qualquer aspecto relacionado à proteção de dados.
Todos os terceiros que tenham acesso e manipulem os dados pessoais controlados pela Fourtrust deverão ter padrões de segurança adequados para realizar seu tratamento, e, observar os mesmos princípios de privacidade de dados que pautam a conduta da Fourtrust.
A organização conduzirá procedimentos de due diligence para gerir os riscos relacionados a privacidade de dados apresentados pelos terceiros com os quais a empresa se relaciona, especialmente aqueles para os quais compartilhe um grande volume de dados pessoais ou dados pessoais sensíveis.
Sempre que uma atividade de tratamento envolvendo dados pessoais (planejada ou em curso) possuir potencial para representar riscos a direitos, liberdades ou interesses dos titulares de tais dados, em respeito às diretrizes de Privacy by Design e Privacy by Default, um Relatório de Impacto à Proteção de Dados deverá ser conduzido, de forma a avaliar se a atividade de tratamento em questão pode prosseguir ou não.
PROCESSAMENTO LEGAL, JUSTO E TRANSPARENTE
Para garantir que o processamento de dados seja conduzido em conformidade com a lei, de forma justa e transparente, a Fourtrust irá manter um registro dos tratamentos conduzidos pela empresa (Inventário de Dados e Atividades de Tratamento).
O método e adequação dos registros deverão ser revisados pelo menos anualmente.
Os titulares têm o direito de obter informações e realizar solicitações sobre seus dados, quaisquer pedidos feitos à empresa serão respondidos em até 15 (quinze) dias.
PROPÓSITOS LEGAIS
Todos as atividades de tratamento de dados conduzidos pela Fourtrust são realizadas em conformidade com uma das seguintes bases legais: consentimento, cumprimento de obrigação contratual, obrigação legal ou regulatória, para a proteção da vida ou da incolumidade física, para defesa legal ou administrativa, ou, por interesses legítimos.
A Fourtrust identifica as bases legais apropriadas e as registra no seu Inventário de Dados e Atividades de Tratamento. Se o consentimento for identificado como a base legal adequada para a atividade de tratamento, as evidências que comprovem sua concessão devem ser devidamente documentadas e arquivadas de forma a permitir sua rastreabilidade.
Quando comunicações são enviadas a indivíduos tendo por base seu consentimento, é garantida a possibilidade de revogar o seu consentimento de forma fácil e acessível, através da ferramenta de “desinscrição” via e-mail ou por meio de solicitação através dos canais de comunicação para recebimento de requisições relacionadas a dados pessoais.
Os sistemas pertinentes operam de forma adequada para garantir que as revogações de consentimento solicitadas pelos titulares são refletidas de forma precisa nos sistemas da Fourtrust.
RISCOS RELACIONADOS À PRIVACIDADE DE DADOS
a) Quebra de confidencialidade – por exemplo, quando uma informação é fornecida de forma inapropriada ou ao destinatário equivocado. Para eliminar este risco, a permissão para acessar os dados é controlada e os controladores e operadores são treinados antes de manipulá-los, fazendo isso sempre dentro dos limites estabelecidos nesta Política. Além disso, os acessos aos sistemas são passíveis de auditoria e rastreamento, permitindo identificar quaisquer desvios;
b) Falha em garantir escolha livre e informada – por exemplo, a todos os titulares deve ser conferida a possibilidade de livremente escolher como a companhia irá utilizar as informações deles coletadas (quando a base legal utilizada for o consentimento livre, inequívoco e informado do titular). Para reduzir este risco, os consentimentos são sempre obtidos de forma livre, inequívoca e informada. Quando, por algum motivo, o titular desejar alterar suas permissões, poderá fazê-lo usando um dos nossos canais de comunicação;
c) Dano reputacional – por exemplo, em caso de ataques cibernéticos permitirem o acesso não autorizado à dados pessoais relacionados aos titulares de dados. Para mitigar este risco, a Fourtrust usa ferramentas tecnológicas como firewall, antivírus, rotinas de backup e ainda outras técnicas para dificultar a ação de acessos maliciosos.
RESPONSABILIDADES
Todos aqueles que trabalham para ou com a Fourtrust possuem um certo grau de responsabilidade por garantir que a coleta, o armazenamento e o tratamento de dados pessoais são feitos de forma adequada. Todos os setores da organização que lidam com dados pessoais devem garantir que o fazem em observância a esta política e aos princípios de privacidade de dados aqui presentes e trazidos pela LGPD.
Algumas funções possuem responsabilidades-chave:
a) Os membros da Alta Direção, que são responsáveis por:
i. Assegurar o cumprimento desta política;
ii. Assegurar que os recursos necessários para o Programa de Privacidade estejam disponíveis;
iii. Comunicar a importância do Programa de Privacidade e desta Política;
iv. Assegurar que esta Política alcance os seus objetivos e resultados pretendidos;
v. Promover a melhoria contínua do Programa de Privacidade;
vi. Apoiar os papéis relevantes no ciclo de gestão do Programa de Privacidade.
b) O Encarregado (Data Protection Officer – DPO) é responsável por:
i. Manter os responsáveis pela administração da Fourtrust atualizada em relação a responsabilidades, riscos e questões conexas a privacidade de dados;
ii. Revisar periodicamente políticas e procedimentos relacionados à privacidade de dados;
iii. Fornecer treinamento adequado em proteção de dados para os indivíduos contemplados nesta política;
iv. Responder a questões sobre privacidade de dados feitas por colaboradores ou outro indivíduo pertinente;
v. Lidar com requisições de informação, oposição, alteração, exclusão, portabilidade e acesso a dados pessoais feitas pelos titulares;
vi. Dar o endereçamento devido a solicitações recebidas da Autoridade Nacional de Proteção de Dados (ANPD) e/ou de outras autoridades;
vii. Avaliar (e aconselhar a Direção acerca de) qualquer contrato ou acordo com terceiros que manipulem dados pessoais controlados pela Fourtrust.
c) O Comitê de Privacidade (conforme regimento interno) é responsável por:
i. Monitorar a efetividade e a qualidade dos controles relacionados à privacidade de dados na empresa, especialmente no que diz respeito à análise de parceiros e terceiros envolvidos;
ii. Avaliar os impactos obrigações de privacidade aplicáveis sob as atividades da empresa;
iii. Garantir que as métricas de desempenho e a responsabilidade sejam estabelecidas para os serviços e projetos do Programa de Privacidade da Fourtrust.
iv. Analisar o progresso em relação aos objetivos do Programa de Privacidade;
v. Revisar os principais indicadores de desempenho (KPIs) e os principais indicadores de risco (KRIs) relacionados à privacidade de dados.
vi. Coordenar iniciativas relacionadas às boas práticas em privacidade de dados
vii. Disseminar a cultura de privacidade de dados na empresa;
viii. Garantir que os procedimentos de escalonamento para incidentes de segurança sejam definidos, comunicados e monitorados para conformidade e mitigação de riscos relacionados à privacidade.
ix. Acompanhar, exigir, monitorar e zelar pelo cumprimento, pela empresa e terceiros, das leis, regulamentos, normas, regras e manuais que tratem de temas relacionados à privacidade de dados;
x. Supervisionar a estrutura e as atividades de gerenciamento de riscos de privacidade de dados;
xi. Revisar periodicamente e recomendar eventuais alterações às políticas e procedimentos que tratem de temas relacionados à privacidade de dados;
xii. Opinar e prestar esclarecimentos à Diretoria Executiva da Fourtrust, quando solicitado, fazendo as recomendações que entender necessárias;
xiii. Submeter, semestralmente, relatórios contendo as atividades do Comitê à Diretoria Executiva da Fourtrust.
d) A função de Tecnologia da Informação é responsável por:
i. Garantir que todos os sistemas, serviços e equipamentos usados para o armazenamento de dados possuem padrões aceitáveis de segurança;
ii. Realizar checagens e varreduras periódicas (através de terceiros ou internamente) para garantir que os respectivos hardwares e softwares de segurança estão funcionando de forma apropriada;
iii. Avaliar qualquer serviço ofertado por terceiro para armazenar ou tratar dados pessoais (e seu nível de segurança), como, por exemplo, serviços de computação em nuvem.
e) A função de Marketing e Comunicação é responsável por:
i. Avaliar qualquer declaração relacionada à privacidade de dados anexa a comunicações oficiais da empresa, como e-mails e cartas;
ii. Endereçar o tratamento de qualquer consulta realizada por agentes midiáticos;
iii. Quando necessário, trabalhar em conjunto com outros para assegurar a observância de princípios de proteção de dados pelas iniciativas de marketing.
ARMAZENAMENTO DE DADOS PESSOAIS
a) Qualquer dúvida sobre o armazenamento seguro de dados deve ser endereçada ao Data Protection Officer (DPO) da empresa, através dos meios formais disponíveis, para que o mesmo a transmita aos responsáveis pela função de Tecnologia da Informação ou a quem detém o controle do dado;
b) Os dados armazenados fisicamente são arquivados em local seguro, que impedem o acesso de pessoas não autorizadas;
c) Sobre as informações impressas, os seguintes cuidados são tomados:
i. Quando não exigido maior nível de segurança, arquivos físicos são mantidos em local com tranca;
ii. Os empregados devem assegurar que nenhum papel ou impressão é deixado à vista de pessoas não autorizadas, como esquecido na impressora;
iii. Dados impressos devem ser inutilizados e eliminados adequadamente quando não mais necessários.
d) Os dados pessoais armazenados digitalmente são protegidos de acesso não autorizado, eliminação acidental e tentativas de invasão mal-intencionada. Alguns cuidados tomados são:
i. Se o dado pessoal for armazenado em mídia removível (como pendrive ou disco), a mídia dever ser armazenada de forma segura enquanto não estiver em uso;
ii. Dados pessoais somente devem ser armazenados nas unidades de disco e nos servidores autorizados, e, somente podem ser carregados para serviços de computação em nuvem autorizados;
iii. Servidores que contenham dados pessoais devem ser dispostos em local seguro, segregados do ambiente regular do escritório;
iv. Dados pessoais não devem ser salvos diretamente em laptops ou em outros dispositivos móveis, como tablets ou smartphones;
v. Todos os servidores e computadores que contenham dados pessoais devem estar devidamente protegidos por softwares de segurança e firewalls.
USO DE DADOS PESSOAIS
Dados pessoais só possuem utilidade para a Fourtrust caso sejam pertinentes à atividade empresarial que desenvolve.
As espécies tratamento de dados pessoais trazem em si riscos de perda, corrupção e roubo de dados. Para mitigar tais riscos algumas medidas são incentivadas:
a) Os empregados devem bloquear a tela de seus computadores sempre que não estiverem utilizando o equipamento;
b) Dados pessoais não devem ser compartilhado informalmente, especialmente através de e-mail pessoal ou aplicativos de mensagens, em razão de tais meios de comunicação não possuírem implementadas as medidas de segurança adequadas, e, não serem os meios oficiais de comunicação da organização (como o é nosso e-mail corporativo). Ainda, tal prática permite o armazenamento de dados pessoais de forma não estruturada, prejudicando a governança dos mesmos;
c) Dados pessoais devem ser adequadamente encriptados antes de que qualquer transferência eletrônica seja realizada. Qualquer dúvida relacionada ao envio de dados para uma parte externa pode ser tirada com o responsável pela função de Tecnologia da Informação;
d) Dados pessoais não devem ser transferido para países cujas legislações em privacidade de dados não se equiparem às exigências nacionais, salvo se salvaguardas adicionais forem estabelecidas;
e) Os empregados não devem salvar cópias de dados pessoais em seus próprios computadores. Deve-se sempre acessar e atualizar cópia central do dado pessoal.
INTEGRIDADE DOS DADOS PESSOAIS ARMAZENADOS
a) É responsabilidade de todos que manuseiam dados pessoais tomar os cuidados adequados para assegurar que ele tenha sua integridade preservada;
b) Dados pessoais devem ser armazenados no menor número possível de locais diversos entre si;
c) Somente pessoas autorizadas devem ter acesso aos respectivos dados pessoais. Este controle é realizado através das ferramentas de sistema, como acesso por login e senha e “permissionamento” por grupos de acesso;
d) Qualquer indivíduo, colaborador, parceiro de negócio, prestador de serviço, que possua acesso a dados pessoais que não fazem parte do escopo do seu trabalho ou rotina, deve comunicar imediatamente ao responsável por exercer a função de Encarregado (DPO) ou a função de Tecnologia da Informação para que o mesmo tome as devidas providências.
REQUISIÇÃO DE ACESSO PELO TITULAR
a) Todo titular de dados pessoais armazenados pela organização tem o direito de:
i. Solicitar informação acerca de quais dados a Fourtrust possui sobre eles, e por quê;
ii. Solicitar informações sobre como ter acesso aos dados pessoais de sua titularidade;
iii. Ser informado sobre como se manter atualizado sobre o andamento de seu pedido;
iv. Ser informado sobre os esforços que a companhia está destinando para se manter em conformidade com suas obrigações relacionadas à proteção dos dados pessoais por ela coletados e tratados;
v. Solicitar alterações ou exclusão dos dados, quando tal opção for possível.
b) O responsável por exercer a função de Encarregado (Data Protection Officer – DPO) deverá empregar o máximo de esforços para responder à solicitação do titular em, no máximo, 15 dias;
c) O responsável por exercer a função de Encarregado (Data Protection Officer – DPO), em ordem a prevenir o compartilhamento indevido (não intencional) de dados pessoais, sempre deverá verificar a identidade do requerente antes de lhe garantir acesso a qualquer informação.
COMPARTILHAMENTO DE DADOS PESSOAIS COM AUTORIDADES PÚBLICAS
Em algumas circunstâncias, a LGPD permite que dados pessoais sejam compartilhados com autoridade públicas sem o respectivo consentimento do titular dos dados.
Quando alguma dessas circunstâncias exigir, a Fourtrust irá realizar o compartilhamento dos dados pertinentes à autoridade competente. Contudo, a organização irá assegurar-se de que o requerimento é legítimo, buscando assistência de sua consultoria em privacidade/proteção de dados e de sua assessoria jurídica interna/externa, quando necessário.
FORNECIMENTO DE INFORMAÇÕES
A Fourtrust irá garantir que os titulares dos dados pessoais tenham ciência de que seus dados estão sendo tratados pela organização, que eles saibam como seus dados estão sendo utilizados e como podem exercer seus direitos perante a companhia.
Para tanto a empresa conta com uma Política de Privacidade voltada para o público externo e disponibilizada em seu site, detalhando como os dados pessoais coletados dos respectivos titulares são utilizados pela empresa.
MINIMIZAÇÃO DE DADOS PESSOAIS
A Fourtrust trabalha para garantir que os dados pessoais sejam precisos, relevantes e sua coleta e armazenamento limitados ao que é necessário com base nos propósitos para os quais são tratados.
Quando cabível, técnicas para anonimização e pseudoanonimização serão utilizadas sobre os dados tratados pela organização.
Assim que não mais persistir a finalidade para qual o dado pessoal foi coletado, e não mais existir qualquer obrigação ou interesse jurídico em mantê-lo, este será prontamente excluído da base de dados pessoais tratados pela Fourtrust.
ARQUIVAMENTO / REMOÇÃO
Para garantir que os dados pessoais não sejam mantidos por mais tempo do que o necessário, a organização irá colocar em prática uma política de arquivamento/retenção para cada área em que os dados pessoais são tratados. O presente processo deve ser revisado, ao menos, anualmente.
A política de arquivamento/retenção deve considerar quais os dados podem/devem ser mantidos, por quanto tempo e por quê;
Alguns prazos mínimos que devem ser observados e que são mais bem detalhados na referida política de arquivamento/retenção:
a) De 2 (dois) a 5 (cinco) anos após o término da relação de trabalho com colaboradores Fourtrust (em razão dos prazos bienal e quinquenal referentes à prescrição de demandas trabalhistas);
b) Enquanto a finalidade para a qual determinado dado pessoal for coletado perdurar, e, para os casos em que o mesmo foi obtido através do consentimento do titular, este não tenha retirado seu consentimento, ou, para os casos em que a atividade de tratamento sendo conduzida estiver sua base legal ancorada no legítimo interesse, o titular não tenha exercido seu direito de oposição ao tratamento em questão.
SEGURANÇA
A Fourtrust continuamente investe em tecnologia e processos para que os dados pessoais sejam armazenados com segurança, mantendo seu ambiente monitorado e constantemente atualizado.
O acesso aos dados pessoais é limitado aos colaboradores e parceiros de negócio que efetivamente necessitem deles e medidas de segurança adequadas foram implementadas para evitar o compartilhamento não autorizado de informações.
Dados pessoais não devem ser compartilhados informalmente. Caso necessitem de ter acesso à informação confidencial, o empregado deve requisitar tal acesso ao seu superior;
a) A exclusão de dados pessoais deve ser feita com segurança, de modo a tornar os dados excluídos irrecuperáveis;
b) Senhas “fortes” são utilizadas nos sistemas da Fourtrust e nunca compartilhadas;
c) Dados pessoais não devem ser compartilhados com pessoas sem autorização para ter acesso a eles, seja de fora ou de dentro da organização;
d) Soluções adequadas de recuperação de catástrofe/desastre e de backup estão devidamente implementadas. Tais ferramentas devem ter sua adequação avaliada periodicamente.
QUEBRA DE SEGURANÇA
No caso de uma quebra de segurança que conduza à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais, a empresa avaliará prontamente o risco para os direitos e liberdades dos titulares, reportando, se aplicável, o incidente de segurança aos titulares de dados pessoais lesados, à Autoridade Nacional de Proteção de Dados (ANPD) ou a outra eventual autoridade pertinente.
DISPOSIÇÕES FINAIS
Este documento será avaliado anualmente, podendo ser alterado a qualquer tempo e critério.
As pessoas que violarem esta política estarão sujeitas às medidas legais e/ou disciplinares cabíveis.
Esta política entra em vigor na data de sua publicação, revogando disposições em contrário.
Para esclarecer dúvidas sobre como a Fourtrust trata os dados pessoais sob sua custódia, estão disponíveis os seguintes canais:
a) Através do campo “entre em contato conosco” em nosso site;
b) Encarregado pelo Tratamento de Dados Pessoais (DPO): Adrielle França
i. e-mail: inserir aqui o e-mail escolhido pela empresa, sugestão: [email protected]
ii. Telefone de nº (27) 998355788
DOCUMENTOS DE REFERÊNCIA
- Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD)
Histórico de Atualizações:
Data da Modificação |
Atividade |
Responsável |
04/09/2021 |
Publicação do Documento |
Luiza Lyrio |