POLÍTICA INTERNA DE GESTÃO E PROTEÇÃO DE DADOS PESSOAIS
1. Objetivo
A presente Política de Gestão e Proteção de Dados Pessoais tem como objetivo estabelecer as regras para a atuação dos gestores, empregados, colaboradores, clientes, prestadores de serviços, parceiros e fornecedores da Silgan visando a proteção dos dados pessoais coletados e tratados pela empresa, formalizando as práticas a serem observadas por todos os agentes envolvidos, em consonância com a legislação aplicável, em especial a LGPD – Lei Geral de Proteção de Dados (Lei n.º 13.709/18), sua regulamentação e posteriores alterações.
2. Aplicação
Aplica-se internamente aos gestores, empregados e colaboradores da empresa; bem como no relacionamento contratual com prestadores de serviços, parceiros e fornecedores da empresa.
3. Definições
Agente de Tratamento: O controlador e o operador;
Autoridade competente: Órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento da Lei de Proteção de Dados Pessoais aplicável.
Ciclo de Vida do Dado Pessoal: Fluxo do tratamento do dado pessoal, que envolve as ações de Coleta, Armazenamento, Uso, Compartilhamento e Eliminação do dado pessoal.
Compartilhamento de dados pessoais: Comunicação, difusão, transferência nacional ou internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos, entidades ou pessoais, e para uma ou mais modalidades de tratamento.
Consentimento: Manifestação livre, informada e inequívoca pela qual o Titular dos dados pessoais concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Dado anonimizado: Dado que não identifica de forma direta ou indireta um titular dos dados pessoais, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Dado pessoal: Informação relacionada à pessoa física identificada ou identificável. Para os propósitos desta Política, os dados pessoais são classificados como Informação Confidencial.
Dado pessoal sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física.
Dados de saúde: dados sensíveis referentes à saúde do titular.
Encarregado pelo tratamento de dados pessoais: Pessoa natural ou jurídica indicada pelo Controlador e que atua como canal de comunicação entre o Controlador com os Titulares dos dados pessoais ou a Autoridade Fiscalizadora.
Colaboradores: Empregado, estagiário, aprendiz, ou qualquer outro indivíduo ocupante de cargo ou emprego na empresa.
Gestor: sócio ou titular de função gerencial.
Legalidade: Garantia de que todas as informações sejam criadas e gerenciadas de acordo com as disposições do Ordenamento Jurídico em vigor.
Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.
Pseudonimização: é o tratamento por meio do qual um dado pessoal perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
Relatório de Impacto à Proteção de Dados Pessoais – RIPD: Documento que contém a descrição dos processos de tratamento de dados pessoais que possam gerar riscos às liberdades civis e aos direitos fundamentais dos titulares dos dados pessoais, bem como medidas, salvaguardas e mecanismos de mitigação desses riscos.
Requisições dos Titular dos dados pessoais: Requisição do Titular dos dados pessoais acerca de seus direitos estabelecidos em lei e relativos ao tratamento dos seus dados pessoais.
Titular dos dados pessoais: Pessoa física a quem se referem os dados pessoais que são objeto de tratamento.
Tratamento de Dados Pessoais: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Violação de Dados Pessoais: Destruição, perda, alteração, divulgação acidental ou ilegal, não autorizada ou acesso a dados pessoais transmitidos, armazenados ou de outra forma processados, resultante de incidente de segurança.
4. Descrição
4.1. Princípios Gerais
Finalidade – Os dados pessoais devem ser tratados apenas para as finalidades determinadas, explícitas, legítimas e informadas antes do tratamento, não podendo ser tratados posteriormente
para finalidades incompatíveis.
Adequação – Os dados pessoais devem ser tratados de modo adequado e pertinente às suas
finalidades de uso.
Necessidade e Proporcionalidade – O tratamento dos dados pessoais deve ser proporcional aos objetivos do negócio, não sendo feito tratamento de tipos de dados pessoais que não sejam necessários e proporcionais aos objetivos de negócio. As Áreas que realizam o tratamento dos dados pessoais devem buscar tratar o menor volume possível de dados pessoais, devendo esse volume ser proporcional aos objetivos do negócio.
Livre acesso – Assegurar aos titulares a consulta facilitada e gratuita sobre a forma e a duração do tratamento de seus dados pessoais.
Qualidade dos dados – Assegurar aos titulares, a exatidão, clareza, relevância e atualização dos dados pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
Transparência – Assegurar que os titulares tenham informações claras, precisas e facilmente acessíveis sobre o tratamento de seus dados pessoais, observados os segredos comercial e
industrial. Antes de realizar o tratamento de dados pessoais, o titular dos dados pessoais deve receber informação clara, concisa, inteligível, de fácil acesso e de fácil compreensão sobre a coleta, finalidade, armazenamento, compartilhamento e descarte de seus dados pessoais.
Segurança – O tratamento deve ser realizado de modo a assegurar a proteção e segurança dos dados pessoais, incluindo a proteção contra o tratamento não autorizado ou ilícito, perda, destruição ou dano acidental, devendo a empresa adotar medidas técnicas e organizacionais para
salvaguardar a integridade, confidencialidade e disponibilidade dos dados pessoais.
Prevenção – Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
Não discriminação – Vedação de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
Responsabilização e Prestação de contas – Demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
4.2. Bases Legais para o Tratamento de Dados Pessoais
Dados Pessoais Gerais:
i. Com o consentimento do titular dos dados pessoais;
ii. Em caso do cumprimento de uma obrigação legal ou regulatória da empresa;
iii. Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
iv. Quando o titular dos dados pessoais é parte em contrato ou os seus dados pessoais são necessários para execução de procedimentos preliminares para se firmar o contrato;
v. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, prezando sempre pelo pedido de segredo de justiça quando envolver dado pessoal;
vi. Para a proteção da vida ou da segurança física da pessoa a quem os dados pessoais se referem;
vii. Para proteção da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
viii. Por interesse legítimo da empresa ou de terceiros, sendo obrigatória a confecção de relatório de impacto à proteção de dados pessoais;
ix. Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
4.2.1. Dados Pessoais Sensíveis:
i. Quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
ii. Sem o fornecimento de consentimento, quando for indispensável para:
a) Cumprimento de obrigação legal ou regulatória pelo Controlador;
b) Tratamento compartilhado de dados necessários à execução, pela administração
pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a
anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
e) proteção da vida ou da incolumidade física do titular ou de terceiros;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º da LGPD e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
4.3. Diretrizes Gerais para Tratamento de Dados Pessoais
4.3.1. Ciclo de Vida do Dado Pessoal
Tratamento de dados pessoais é toda e qualquer operação realizada pela empresa, na qualidade de Controlador, tais como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração entre outras operações possíveis.
i. Coleta e Consentimento
a) A coleta significa toda a entrada do dado pessoal na empresa, podendo ser feita por meio de sistemas da informação ligados a sites, aplicativos, recebimento de arquivos, por chat, troca de mensagens, e-mails, aquisição de base de dados, atendimentos telefônicos gravados, dentre outros; bem como no ambiente físico, pelo preenchimento de formulários, cadastros, entrega de cópias ou documentos originais, por exemplo;
b) Quando o tratamento dos dados pessoais se basear no consentimento do titular, este deve ser dado mediante manifestação de vontade livre de que o titular concorda com o tratamento de dados pessoais da forma e para a finalidade declarada;
c) O consentimento pode ser dado de modo escrito, digital ou oral, sendo fundamental que a empresa registre e comprove o consentimento do titular em meio físico ou, digital;
d) O consentimento para tratamento de dados pessoais sensíveis deve ser coletado de forma destacada, para finalidades específicas;
e) Se o consentimento do titular dos dados pessoais for dado no contexto de uma declaração escrita que diga também respeito a outras finalidades de tratamento, o pedido de consentimento deve ser apresentado de uma forma que o distinga claramente das demais finalidades de modo inteligível, destacado, de fácil acesso e
em linguagem clara e simples;
f) O titular dos dados pessoais deve ser informado previamente sobre o seu direito de revogar o consentimento a qualquer momento. A revogação do consentimento deve ser oferecida de maneira simples, clara e facilitada, de preferência pela mesma via de coleta do consentimento;
g) O titular dos dados pessoais deve ser informado previamente das consequências da revogação do consentimento;
h) A revogação do consentimento não compromete a licitude do tratamento já efetuado com base no consentimento previamente dado e deverá ser realizado por procedimento gratuito e facilitado;
i) O tratamento de dados pessoais de crianças e adolescentes deve ocorrer somente se o consentimento for dado por ao menos um dos pais ou pelo responsável legal, devidamente identificados; ou de forma emergencial para resguardar a vida ou a saúde do menor;
j) Cada área responsável pelo tratamento deve coletar a evidência do consentimento fornecido pelo titular, genitores ou responsável legal;
k) Dados básicos, ainda que relacionados à saúde, podem ser coletados através de anamneses conduzidas por profissionais que não sejam da área da saúde, desde que mediante consentimento expresso e inequívoco do titular, garantidos a segurança e o sigilo das informações;
l) Resultados de exames e laudos devem ser coletados e consultados apenas por profissionais da área da saúde devidamente habilitados, garantido o sigilo profissional.
ii. Armazenamento
a) O armazenamento dos dados pessoais pode ser feito de modo físico (fichas, cadastros, papeis com anotações à mão, formulários, notas fiscais, contratos)
b) e outros documentos em papel ou digital em servidores de dados, servidores de e-mail, mídias digitais, HD externo, cartão de memória, nas plataformas digitais da empresa ou em serviço contratado para esta finalidade).
c) No caso de armazenamento fora do Brasil, mediante a contratação de serviços em nuvem, deve ser garantido contratualmente o mesmo nível de privacidade, proteção e segurança exigidos pela legislação brasileira;
d) Os meios físicos e digitais de armazenamento dos dados pessoais devem assegurar a sua qualidade, devendo ser mantidos exatos e atualizados, de acordo com a necessidade para o cumprimento da finalidade de tratamento;
e) Quando o titular dos dados pessoais solicitar a correção ou atualização de seus dados pessoais, o Encarregado pelo Tratamento de Dados Pessoais, após análise da requisição, deve acionar as Áreas Responsáveis para assegurar que os meios físicos e digitais onde esses dados pessoais foram replicados e armazenados sejam também atualizados.
iii. Uso
a) O uso dos dados pessoais deve ser realizado exclusivamente dentro dos limites das finalidades legitimadas na coleta, com ou sem consentimento.
b) Caso haja a necessidade de realizar o tratamento do dado pessoal para outra finalidade diversa da informada no momento da coleta, é necessário verificar:
Qualquer ligação entre a finalidade para a qual os dados pessoais foram coletados e a finalidade do novo tratamento;
O contexto em que os dados pessoais foram tratados (a relação entre o titular dos dados pessoais e a empresa);
Se o dado coletado está sendo compartilhado com demais Agentes de Tratamento;
A natureza dos dados pessoais (se há dados pessoais sensíveis envolvidos);
As consequências do novo tratamento para o titular dos dados pessoais, e
A existência de medidas de proteção adequadas.
c) Essas informações devem ser encaminhadas ao Encarregado pelo Tratamento de Dados Pessoais para que defina se o novo tratamento já está ou não legitimado e, caso não esteja, ele deve propor as estratégias de como este tratamento pode ser legitimado antes de ser realizado.
d) O titular dos dados pessoais deve ser informado sobre esse novo tratamento antes de ser realizado.
e) O legítimo interesse deverá ser previamente analisado pelo Encarregado pelo Tratamento de Dados Pessoais conforme procedimento específico.
iv. Compartilhamento
a) O compartilhamento de dados pessoais ou de documentos/arquivos com dados pessoais em território nacional pode ser feito para Agentes de Tratamento autorizados, somente para as finalidades de uso ou tratamento
b) prévia e devidamente informadas e legitimadas junto ao titular dos dados pessoais;
c) O compartilhamento de dados pessoais com demais Agentes de Tratamento, excetuando-se o compartilhamento realizado para cumprimento de obrigações legais, somente poderá ocorrer caso tenham sido firmados contratos ou aditivos
com cláusulas referentes à Proteção de Dados Pessoais, exigindo-se o mesmo nível de privacidade, segurança e proteção adotados internamente pela empresa em atendimento à legislação aplicável;
d) O compartilhamento de dados pessoais, cujo tratamento tenha como hipótese legal o consentimento, somente poderá ocorrer mediante também o consentimento do titular dos dados pessoais específico para este compartilhamento, sendo que tal consentimento deve ser coletado
anteriormente ao início do tratamento dos dados pessoais;
e) Os dados pessoais anonimizados podem ser transferidos para terceiros, desde que respeitados os requisitos de tratamento disposto na legislação aplicável;
f) O compartilhamento de dados pessoais deve ocorrer somente por canais com medidas de segurança aplicadas.
v. Eliminação/Descarte dos Dados Pessoais
a) Os dados pessoais devem ser armazenados por período limitado, levando em consideração a finalidade específica do tratamento e a legislação específica aplicável dependendo da natureza dos dados;
b) Após cumprida a finalidade do tratamento e findo o prazo de armazenamento determinado pela legislação aplicável, os dados podem ser eliminados de modo seguro, sejam eles registrados em meio físico ou digital;
c) A eliminação dos dados pessoais poderá ser realizada também a pedido do titular do dado ou da Autoridade Nacional de Proteção de Dados;
d) A conservação dos dados pessoais, após atingido prazo necessário para atendimento de sua finalidade, é possível apenas nos casos de cumprimento de obrigação legal ou regulatória por parte da empresa;
e) A solicitação de eliminação do dado pessoal pelo titular não será possível quando o dado já tiver sido anonimizado de forma irreversível;
f) A solicitação de eliminação realizada por titular também não poderá ser atendida no caso de cumprimento de obrigação legal quanto ao
armazenamento destes dados, a exemplo de documentação trabalhista, previdenciária, bem como prontuários médicos e outros dados cuja manutenção esteja regulamentada por norma específica;
g) Dados e documentos em meio físico deverão ser eliminados através de processos mecânicos que garantam a impossibilidade de sua recomposição;
h) Dados e documentos em meio digital deverão ser eliminados através de processos computacionais que também garantam a impossibilidade de sua restauração e forneçam evidências ou registros da operação de exclusão
definitiva.
4.3.2. Contratos
A empresa, na figura de Controlador, sempre que fizer uso de um Operador, deve firmar contrato, ou aditivo a contrato já existente, com a finalidade de estabelecer obrigações e garantias à privacidade e proteção de dados pessoais, observados os mesmos níveis atendidos pela empresa em atendimento à legislação pertinente, contendo, no mínimo, cláusulas que regulamentem:
i. Proteção dos dados pessoais;
ii. Regras para coleta, armazenamento, compartilhamento e eliminação de dados;
iii. Atendimento das solicitações dos titulares;
iv. Confidencialidade dos dados pessoais;
v. Registro de atividades de tratamento;
vi. Subcontratação;
vii. Rescisão, devolução e/ou eliminação de dados;
4.3.3. Relatório de Impacto a Proteção dos Dados Pessoais (RIPD)
O relatório de impacto à proteção de dados pessoais visa a descrição dos processos de tratamento de dados pessoais da empresa, o mapeamento dos riscos e as medidas e mecanismos adotados pela empresa para mitigar esses riscos.
Todo tratamento de dados pessoais tendo como base legal o legítimo interesse deve ser precedido de relatório de impacto à proteção de dados pessoais.
O relatório de impacto à proteção de dados pessoais deve ser elaborado pelo Encarregado pelo Tratamento de Dados Pessoais, com envolvimento das Áreas necessárias para entendimento e elaboração deste relatório, conforme procedimento específico.
O RIPD fica fazendo parte da presente Política como Documento Relacionado.
4.3.4. Segurança da Informação
Durante todo o ciclo de vida do dado pessoal, devem ser observadas as diretrizes de segurança existentes na Política de Segurança da Informação da empresa.
4.3.5. Legítimo Interesse
O legítimo interesse deverá ser previamente analisado e validado junto ao Encarregado da Proteção de Dados Pessoais da empresa, levando em consideração a proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem:
i. Fazendo coleta dos dados estritamente necessários para a finalidade pretendida;
ii. Garantindo total transparência ao titular quando o tratamento dos dados pessoais estiver utilizando o legítimo interesse como base; e Elaborando Relatório de Impacto a Proteção de Dados (RIPD).
4.3.6. Respostas às Solicitações dos Titulares
As respostas às requisições dos titulares dos dados pessoais serão atendidas nos prazos e modo em observância à legislação aplicável.
4.3.7. Violações de Dados Pessoais
Na hipótese de ocorrer violação à segurança de dados pessoais, a empresa deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Tal comunicação deverá ser feita em prazo razoável, conforme definido pela ANPD, e deverá conter, no mínimo:
i. a descrição da natureza dos dados pessoais afetados;
ii. as informações sobre os titulares envolvidos;
iii. a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
iv. os riscos relacionados ao incidente;
v. os motivos da demora, no caso de a comunicação não ter sido imediata; e
vi. as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
As áreas devem implementar controles técnicos de modo a capacitar a empresa a reportar eventuais ocorrências em tempo hábil à Autoridade Fiscalizadora.
Os colaboradores ou prestadores de serviço têm o dever de notificar a empresa, imediatamente, acerca de qualquer violação ou tentativa de violação de dados pessoais da qual tenham conhecimento.
Os colaboradores ou prestadores de serviço devem, na medida de suas possibilidades, cooperar para a investigação e mitigação de incidentes de violação de dados pessoais.
4.3.8. Dados de Saúde
O tratamento de dados relacionado à saúde deverá, obrigatoriamente, permitir ao titular o direito a portabilidade dos seus dados, quando solicitada.
Os dados de saúde poderão ser compartilhados entre Controladores e/ou Operadores levando em consideração o benefício dos titulares e/ou o atendimento do legítimo interesse e obrigações legais ou contratuais do Controlador, mediante consentimento, exclusivamente, para:
i. prestação de serviços à assistência de saúde;
ii. assistência farmacêutica;
iii. serviços auxiliares de
5. Responsabilidades
5.1. Sócios e Administradores
i. Analisar e aprovar a política de gestão de dados pessoais;
ii. Cumprir e fazer cumprir esta Política e demais documentos que a compõem ou a ela relacionados;
iii. Zelar para que a empresa esteja adequada à legislação de proteção de dados pessoais;
iv. Aprovar os investimentos em segurança da informação e proteção de dados pessoais, considerando a viabilidade, os custos, a técnica disponível e o tratamento de dados pessoais;
5.2. Encarregado pelo Tratamento de Dados Pessoais
i. Elaborar e/ou revisar os procedimentos internos relativos à proteção de dados pessoais;
ii. Organizar e/ou ministrar treinamentos em privacidade e proteção de dados pessoais aos colaboradores ou prestadores de serviço;
iii. Analisar contratos que envolvam tratamento de dados pessoais;
iv. Apoiar investigações para apuração de responsabilidade dos envolvidos em violações de dados pessoais e auxiliar na definição de aplicação das penalidades internas, quando necessário;
v. Avaliar e auxiliar na elaboração de Relatórios de Impacto à Proteção de Dados Pessoais – RIPD;
vi. Manter mapeamento de fluxos de dados Pessoais atualizado;
vii. Desenvolver plano de análise e resposta a violações de dados pessoais que identifique o tipo de violação, o número de registros afetados, quais registros foram afetados e as categorias de dados pessoais envolvidas, as notificações apropriadas e plano de mitigação dos efeitos da violação;
viii. Receber e responder as requisições dos titulares dos dados pessoais sobre privacidade e proteção de dados pessoais, bem como as comunicações da Autoridade Nacional;
ix. Verificar a adequação das práticas e políticas da empresa no que se refere à gestão de dados pessoais sensíveis.
5.3. Tecnologia da Informação
i. Cumprir e fazer cumprir esta Política e demais documentos que a compõem ou a ela se relacionam;
ii. Assegurar continuamente que todos os sistemas, serviços e equipamentos usados para o tratamento de dados pessoais estejam dentro de um padrão aceitável de segurança e privacidade;
iii. Analisar os aspectos técnicos relacionados à segurança, privacidade e proteção de dados de todo e qualquer produto ou serviço de terceiros que a empresa tenha contratado e/ou esteja considerando contratar para processar ou armazenar dados pessoais (exemplos: nuvem, hardware, equipamentos de rede etc.);
iv. Atuar de forma coordenada com o Encarregado pelo Tratamento de Dados Pessoais para viabilizar a implementação de procedimentos e rotinas necessárias para o tratamento de dados pessoais;
v. Garantir que as medidas necessárias e apropriadas para manutenção da confidencialidade, integridade e disponibilidade dos dados pessoais estejam sendo tomadas;
vi. Coletar e manter registros das atividades de tratamento de dados pessoais, desde evidências que comprovem o consentimento dos titulares dos dados pessoais (logs de consentimento, por exemplo) até registro de utilização, compartilhamento, exclusão e outros, pelo período legal exigido.
5.4. Gerência
i. Cumprir, fazer cumprir e gerenciar o cumprimento desta Política e demais documentos complementares por parte de seus colaboradores ou prestadores de serviço;
ii. Assegurar que qualquer dado pessoal só poderá ser recebido, tratado, excluído ou compartilhado por sua Área mediante o pleno atendimento da presente Política e da legislação aplicável;
iii. Garantir a observação desta Política e da legislação competente pelos parceiros de negócio que recebam dados pessoais enviados por sua Área
iv. Obter documentos (procedimentos internos de segurança da informação, treinamento aplicado aos colaboradores ou prestadores de serviços que manuseiam os dados
pessoais, lista de controle de acesso, por exemplo) e garantias (acordo de confidencialidade assinado pelos colaboradores, cláusulas contratuais, dentre outras) do parceiro de negócio que confirmem a segurança no manuseio dos dados pessoais sob
responsabilidade da empresa;
v. Firmar Acordo de Confidencialidade com parceiros de negócios;
vi. Garantir, por meio de contrato, que o parceiro de negócios obtenha aprovação prévia e por escrito da empresa antes de qualquer subcontratação para fins de tratamento de dados pessoais sob responsabilidade da empresa, independente de previsão legal nesse sentido;
vii. Garantir, por meio de contrato, que o parceiro de negócios se abstenha de utilizar os dados pessoais sob responsabilidade da empresa para qualquer outro propósito, e que, após concluído o objeto do contrato, que sejam devolvidos e/ou eliminados todos os dados pessoais enviados ou compartilhados pela empresa ao parceiro.
viii. Preparar e manter atualizada uma lista com todas as categorias de dados pessoais tratados em sua Área, e submeter essa lista ao Encarregado pelo Tratamento de Dados Pessoais;
ix. Assegurar que os dados pessoais são coletados, usados ou gerenciados apenas por colaboradores ou prestadores de serviços autorizados
x. Classificar os dados pessoais tratados em sua Área como confidenciais;
xi. Aprovar e controlar acessos aos colaboradores ou prestadores de serviço diretamente envolvidos nas atividades que demandam os dados pessoais;
xii. Assegurar que os colaboradores ou prestadores de serviço sob sua supervisão realizem treinamentos em proteção de dados pessoais e conheçam as políticas internas da empresa e a legislação aplicável;
xiii. Atuar em parceria com as demais Áreas da empresa para identificar as vulnerabilidades e ameaças à proteção de dados pessoais nos processos e atividades de sua responsabilidade;
xiv. Assegurar que os dados pessoais sob a responsabilidade da empresa sejam utilizados com cuidado e de acordo com as orientações legais aplicáveis;
xv. Ao identificar violações de dados pessoais ou qualquer ação duvidosa, comunicar o Encarregado pelo Tratamento de Dados Pessoais imediatamente.
5.5. Colaboradores
i. Conhecer e cumprir as diretrizes da presente Política, seus documentos complementares e/ou relacionado, bem como a legislação aplicável;
ii. Tratar os dados pessoais sob responsabilidade da empresa somente para fins autorizados, de forma ética e legal, respeitando os direitos do titular dos dados pessoais e de acordo com as orientações desta Política e da legislação aplicável;
iii. Zelar pela integridade, disponibilidade, confidencialidade, autenticidade e legalidade dos dados pessoais acessados ou manipulados, não utilizando, enviando, transmitindo ou compartilhando indevidamente estes dados pessoais, em qualquer local ou mídia, especial pela Internet e aplicativos de celular;
iv. Cumprir a legislação vigente e demais instrumentos regulamentares relacionados à proteção de dados pessoais;
v. Reportar formalmente ao Encarregado pelo Tratamento de Dados Pessoais quaisquer eventos relativos à violação ou possibilidade de violação de dados pessoais ou atividades suspeitas de que tiver conhecimento;
vi. Comunicar possíveis casos de incidentes de segurança da informação, uso indevido de informações da empresa, bem como adoção de comportamentos que não sejam considerados seguros para a proteção das informações e dados pessoais tratados pela empresa.
6. Penalidades
Qualquer ação ou omissão que contrarie as diretrizes estabelecidas nesta Política, ou em quaisquer dos documentos complementares da empresa, será considerada como uma violação e tratada pela empresa a fim de apurar as responsabilidades dos envolvidos e aplicar as Medidas Disciplinares e/ou sanções cabíveis previstas em cláusulas contratuais e na legislação de regência.
7. Documentos Relacionados
• RIPD – Relatório de Impacto à Proteção de Dados Pessoais;
• Política de Privacidade e Proteção de Dados Pessoais;
Copyright © SILGAN. (Lei 9610 de 19/02/1998)