POLÍTICA DE GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

  • 1. OBJETIVO
  • 2. Definições
  • 3. Responsabilidades dos Funcionários
    • 3.1. Novas Obrigações
    • 3.2. Coleta, utilização e armazenamento de dados
    • 3.3. Garantindo a confidencialidade dos dados
    • 3.4. Eliminação dos Dados Pessoais
  • 4. Contratação de prestadores de serviçoS e fornecedores
  • 5. Transferência Internacional dos Dados Pessoais
  • 6. Novas atividades ou alterações em atividades já existentes
  • 7. Garantindo os direitos dos Titulares
  • 8. Incidentes de Segurança
  • 9. Contatos
  • 10. Documentos Relacionados

1. OBJETIVO

A presente Política de Governança em Privacidade e Proteção de Dados Pessoais (“Política”) tem por objetivo estabelecer as diretrizes gerais que devem ser observadas pelos funcionários da RASSINI-NHK AUTOPEÇAS LTDA em suas atividades cotidianas que envolvam o tratamento de dados pessoais.

Com a entrada em vigor da Lei nº 13.709/2018 em setembro de 2020, também conhecida como Lei Geral de Proteção de Dados ou LGPD, a RNA teve de adequar seus procedimentos e fluxos internos para estar em conformidade com referida lei.

Como você verá adiante, todos os funcionários da RNA podem vir a tratar dados pessoais em suas atividades rotineiras, razão pela qual o nosso principal aliado para garantir que a RNA esteja cumprindo com a LGPD é você, funcionário! Por isso, esta política tem por finalidade explicar os principais procedimentos e diretrizes que você deve observar e seguir para nos auxiliar a estar sempre em conformidade com a lei.

2. DEFINIÇÕES

Abaixo constam as principais definições que irão te ajudar caso tenha qualquer dúvida em relação às diretrizes e orientações presentes nesta Política:

(I) Dado Pessoal: é qualquer informação que possa identificar uma pessoa, seja individualmente ou em conjunto com outras informações. Pode ser também uma informação que não identifique diretamente um indivíduo, mas que esteja relacionada a um indivíduo que já tenha sido individualmente identificado ou possa ser individualmente identificado pela RNA.

Veja abaixo alguns exemplos de dado pessoal (em negrito alguns dados que podem te surpreender):

– Nome e sobrenome;

– Número de identificação do funcionário;

– Imagem ou gravação de voz;

– Número do cartão de crédito ou da conta bancária;

– Número de telefone;

– Endereço IP;

– E-mail;

– Dados de localização.

(II) Dado Pessoal Sensível: dado pessoal sensível é um tipo de dado que pode trazer algum tipo de discriminação ao titular quando do seu tratamento, quais sejam: dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual. Também são considerados sensíveis, por sua criticidade, dados biométricos (impressão digital, por exemplo), ou genéticos. Esses dados necessitam de maior cuidado e proteção.

(III) Tratamento: tratamento significa todo tipo de atividade que pode ser realizada com um dado, desde a coleta, utilização, acesso, compartilhamento, armazenamento e descarte. Se você está fazendo algo com dados pessoais, você automaticamente está fazendo o tratamento de tais dados pessoais.

(IV) Titular: é a pessoa a quem se referem os dados. Por exemplo, o titular do seu nome é você.

(V) Controlador: é a pessoa ou empresa que irá decidir porquê é necessário utilizar aquele dado, a forma de coleta, quais tipos de dados devem ser coletados/utilizados, dentre outras questões. É a pessoa (física ou jurídica) responsável por tomar as decisões em relação ao tratamento daquele dado pessoal. Quando a RNA realiza as decisões e determina as finalidades para o tratamento de dados pessoais ela é a controladora.

(VI) Operador: em muitas prestações de serviços, fornecimentos, parcerias, ou outros tipos de acordos entre empresas é necessário o tratamento de dados por ambas as partes. Sendo assim, a empresa que tomará as decisões será a controladora e a empresa que realizará o tratamento dos dados em nome da controladora será a operadora. Veja alguns exemplos de relações entre controlador e operador:

– Processamento da Folha de Pagamento: a empresa que realiza o processamento da folha de pagamento é a operadora e a empresa que a contrata é a controladora;

– Envio de E-mail Marketing: a empresa responsável pela prestação do serviço de e-mail marketing é a operadora e a empresa que a contrata é a controladora.

(VII) Encarregado: é a pessoa, ou empresa, escolhida pela RNA, que irá auxiliá-la em todas as atividades relacionadas à privacidade e à proteção de dados, sendo o principal canal de comunicação com os titulares e a Autoridade Nacional de Proteção de Dados.

(VIII) Autoridade Nacional de Proteção de Dados (ANPD): é o órgão público responsável por conscientizar, zelar, implementar e fiscalizar o cumprimento da LGPD, podendo inclusive aplicar sanções administrativas previstas na lei.

3. RESPONSABILIDADES DOS FUNCIONÁRIOS

3.1. Novas Obrigações

A LGPD estabelece diversos direitos aos titulares de dados pessoais, mas também estabelece obrigações e responsabilidades às entidades que realizarão o tratamento desses dados (seja controlador ou operador). Portanto, com a entrada em vigor da LGPD, você como funcionário da RNA deverá tomar alguns cuidados ao tratar dados pessoais, seja de funcionários da RNA, prestadores de serviço (pessoas físicas) contratados, clientes, dentre outros.

Portanto, a seguir apresentaremos os principais cuidados que devem ser observados e seguidos por você.

3.2. Coleta, Utilização e Armazenamento de Dados

Para que a RNA possa coletar, utilizar e armazenar dados pessoais, é necessária uma razão específica prevista na LGPD (“base legal”). A LGPD estabelece 10 bases legais que podem ser utilizadas como justificativa para o tratamento dos dados pessoais. Porém, a RNA normalmente se utilizará das seguintes justificativas:

(i) Consentimento: o titular poderá autorizar a RNA a utilizar seus dados pessoais para uma finalidade específica e legítima. Lembrando que tal autorização deve ser livre, informada e inequívoca.

Exemplo: coleta de dados pessoais através do site da RNA.

(ii) Cumprimento de obrigação legal ou regulatória: sempre que a RNA for obrigada por lei ou por algum regulamento a tratar os dados pessoais do titular.

Exemplo: envio de dados de funcionários para o eSocial.

(iii) Execução de contrato ou procedimentos preliminares: sempre que, em razão de um contrato firmado, a RNA tenha que realizar o tratamento dos dados pessoais do titular.

Exemplo: execução do contrato de trabalho do funcionário com a RNA.

(iv) Exercício regular de direitos em processo judicial, administrativo ou arbitral: a RNA poderá tratar dados pessoais para dar início a, ou se defender de um processo judicial, administrativo ou arbitral.

Exemplo: armazenamento de dados pessoais de funcionários para defesa em eventual ação judicial.

(v) Legítimo interesse: essa é a justificativa mais ampla, porém para poder utilizá-la é necessário que o tratamento seja para uma finalidade legítima e que o titular tenha a expectativa de que seus dados pessoais serão tratados pela RNA para aquela finalidade específica.

Exemplo: análise de fraude.

Já para os dados pessoais sensíveis, a quantidade de possibilidades é menor, sendo que as justificativas a serem utilizadas pela RNA provavelmente serão: consentimento, cumprimento de obrigação legal ou regulatória, e exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral.

Caso você não tenha certeza qual base legal poderá justificar o seu tratamento (principalmente em caso de uma atividade nova), entre em contato com o Encarregado da RNA, por meio do e-mail lgpd@rassininhk.com.br.

Após determinada a base legal que justifica o tratamento, é necessário sempre informar o titular dos dados a respeito da finalidade, específica e legítima, para a qual os seus dados serão utilizados, garantindo transparência na relação. Além disso, caso a justificativa para realizar o tratamento seja o consentimento, é necessário informar ao titular que ele poderá revogar tal autorização a qualquer momento, de forma gratuita e sem qualquer ônus.

Além disso, o funcionário da RNA deve sempre observar as seguintes diretrizes:

– Os dados pessoais somente poderão ser utilizados para a finalidade para a qual foram originalmente coletados. Exceções limitadas podem ser aplicadas; para tanto, consulte sempre o Encarregado da RNA;

– Todos os dados pessoais a que você tiver acesso nas suas atividades de trabalho, independentemente se o dado estiver em papel, no e-mail ou em qualquer sistema da RNA, devem ser mantidos em sigilo, inclusive após eventual término de sua relação de emprego com a RNA;

– É proibido o tratamento de dados pessoais para fins particulares (por exemplo, para consultas sobre parentes ou conhecidos);

– Envolver o Encarregado desde o início do processo ao contratar um novo fornecedor que possa ter acesso a dados pessoais de funcionários, clientes, outros fornecedores da RNA, dentre outros;

– Envolver o Encarregado desde o início de uma nova atividade de tratamento de dados pessoais.

3.3. Garantindo a Confidencialidade dos Dados

Para garantir que os dados pessoais sejam tratados de forma sigilosa, protegida e segura, os funcionários devem tomar certos cuidados para proteger o conteúdo do que recebem e enviam, especialmente por e-mail e telefone. Veja abaixo algumas precauções que todo funcionário da RNA deverá adotar:

– Somente utilizar o telefone no viva-voz após avisar as partes na outra linha e receber seu consentimento para tanto;

– Bloquear a tela de seu computador/notebook sempre que tiver que se ausentar de sua posição de trabalho;

– Somente salvar e armazenar os documentos utilizados conforme orientado por seu gestor imediato e equipe de TI;

– Somente se conectar à unidade de rede da RNA mediante a ferramenta VPN a ser fornecida pela RNA, nunca se utilizando de outros dispositivos fornecidos por terceiros;

– Somente enviar, compartilhar e transferir dados pessoais a indivíduos que tenham necessidade de acessar e utilizar tais dados pessoais para a realização de suas atividades de trabalho;

– Sempre conferir a identidade da pessoa a que está enviando dados pessoais e demais informações (inclusive anexos) antes do envio;

– Somente imprimir documentos quando for estritamente necessário, e armazená-los de forma segura e protegida, evitando acessos indevidos;

– Nunca realizar capturas da tela do computador/notebook/celular da RNA sem a aprovação prévia e expressa de seu gestor imediato;

– Somente realizar gravações de voz ou vídeo com outros indivíduos, sejam internos ou externos, após consentimento destes.

3.4. Eliminação dos Dados Pessoais

A LGPD também estabelece que os dados pessoais não podem ficar armazenados por período indeterminado, ou seja, cada tipo de dado pessoal somente pode ficar armazenado enquanto possuir uma finalidade e uma base legal que justifica o seu armazenamento.

4. CONTRATAÇÃO DE PRESTADORES DE SERVIÇOS E FORNECEDORES

A RNA é responsável pelo tratamento de dados pessoais, inclusive quando este tratamento não é realizado integralmente por ela, ou seja, quando há a contratação de terceiros para realizar atividades de tratamento de dados pessoais em nome da RNA, ou seja, contratação de operadores.

A forma que a RNA consegue garantir que os terceiros contratados estão tratando os dados pessoais adequadamente é por meio de contratos e também por meio de avaliações e auditorias periódicas.

Sendo assim, sempre que for necessário a contratação de um novo prestador de serviço ou fornecedor, inclusive de um novo parceiro comercial, o funcionário da RNA responsável deverá entrar em contato com o Encarregado, e também com o departamento jurídico da RNA para verificar se haverá tratamento de dados pessoais por aquele terceiro. Em caso negativo, poderá ser incluída uma cláusula genérica, mais simplificada, sobre proteção de dados pessoais. No entanto, caso tal terceiro venha a realizar operações de tratamento de dados pessoais em nome da RNA, será necessário a inclusão de uma cláusula mais completa e robusta, que estabeleça todas as obrigações do terceiro na qualidade de operador. Inclusive, será necessário estabelecer e delimitar algumas questões da relação, como:

(i) Quais são todos os dados pessoais que tal terceiro poderá ou deverá ter acesso (especialmente se este terceiro terá acesso a dados pessoais sensíveis)?

(ii) De quais titulares?

(iii) Para quais finalidades?

(iv) Quais serão as atividades de tratamento a serem executadas pelo terceiro (por exemplo, somente armazenamento dos dados)?

(v) De que forma os dados pessoais são transmitidos entre as partes (por e-mail, por sistema, etc.)?

(vi) Haverá subcontratação?

(vii) Haverá transferência internacional de dados?

Você, funcionário da RNA, como responsável pela contratação, conjuntamente com o Encarregado, após a celebração do contrato, com todas as cláusulas necessárias, deve garantir que o terceiro está realizando o tratamento dos dados pessoais seguindo estritamente as instruções da RNA, inclusive devendo realizar uma revisão periódica de sua atuação.

Segue abaixo alguns exemplos de prestadores de serviços que necessitam assinar contratos com a cláusula completa para operadores de dados pessoais:

Prestadores de serviços relacionados ao departamento de recursos humanos, como empresas de processamento de folha de pagamento;

Prestadores de serviços relacionados ao departamento jurídico, como escritórios de advocacia;

Prestadores de serviços relacionados ao departamento de TI, como um prestador de serviços que hospeda um banco de dados contendo dados pessoais em nome da RNA.

Segue abaixo exemplo de prestador de serviço que necessita assinar contratos com a cláusula genérica de proteção de dados, ou seja, não haverá tratamento de dados pessoais por este prestador de serviço:

Uma agência de marketing contratada para consultoria sobre o sucesso de campanhas de marketing com base em dados agregados/anonimizados.

5. TRANSFERÊNCIA INTERNACIONAL DOS DADOS PESSOAIS

Para realizar a transferência internacional dos dados pessoais, ou seja, para transferir dados pessoais para destinatários localizados em outros países, você deverá entrar em contato com o Encarregado da RNA pelo e-mail lgpd@rassininhk.com.br.

A RNA deve garantir a mesma segurança e proteção no tratamento dos dados pessoais, seja no Brasil ou em qualquer outra localidade.

6. NOVAS ATIVIDADES OU ALTERAÇÕES EM ATIVIDADES JÁ EXISTENTES

Sempre que você, como funcionário da RNA, necessitar realizar uma nova atividade de tratamento de dados pessoais, ou alterar alguma atividade de tratamento de dados já existente, recomendamos que sejam feitos os seguintes questionamentos:

– POR QUÊ? Definir para qual finalidade específica aqueles dados pessoais devem ser tratados.

– O QUE? Ter em mente quais dados realmente são necessários para atingir a finalidade específica desejada. Não se deve coletar e tratar mais dados do que o necessário. Se for possível atender à finalidade coletando menos dados, colete menos dados.

– COMO? Ter uma compreensão clara de como os dados pessoais serão tratados (em quais meios, se fisicamente e/ou eletronicamente, quais sistemas serão utilizados, …).

– QUEM? Limitar o acesso aos dados pessoais somente às pessoas que de fato necessitam ter acesso para sua atividade comercial (inclusive terceiros).

– QUANDO? Definir claramente por quanto tempo os dados pessoais serão necessários para a finalidade desejada e, assim, evitar retê-los por mais tempo.

Além disso, será necessário envolver, desde o início da nova atividade de tratamento de dados, o Encarregado da RNA, e também o departamento de TI da RNA.

7. GARANTINDO OS DIREITOS DOS TITULARES

A LGPD também estabeleceu alguns direitos aos titulares dos dados pessoais que podem ser solicitados perante as empresas responsáveis pelo tratamento, sendo a controladora a responsável por atender tais pedidos.

Sendo assim, sempre que a RNA estiver atuando como controladora ela será a responsável por garantir tais direitos e responder ao titular.

Para tanto, por favor, consulte a Lista de verificação para lidar com pedidos dos titulares relacionados aos seus direitos garantidos pela LGPD e demais formulários de resposta correlatos.

8. INCIDENTES DE SEGURANÇA

Um dos principais riscos inerentes às atividades de tratamento de dados pessoais realizadas pelas empresas é a possibilidade de ocorrência de incidentes de segurança relacionados a tais atividades.

Um incidente de segurança pode ser entendido como sendo um acesso não autorizado dos dados pessoais, ou ainda situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme art. 46 da LGPD.

Para mais informações em relação a como proceder em casos de incidentes de segurança, por favor acesse o documento Manual para Incidentes de Segurança com Dados Pessoais.

9. TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

A LGPD dedica uma seção exclusiva sobre o tratamento de dados de crianças e adolescentes, tendo em vista que são seres em desenvolvimento e sujeitos a vulnerabilidades.

Vale destacar que criança é a pessoa com até 12 (doze) anos de idade incompletos, enquanto o adolescente é a pessoa que possui entre 12 (doze) e 18 (dezoito) anos de idade.

O tratamento dos dados pessoais desses titulares deve ser sempre realizado em seu melhor interesse, de modo a garantir os seus direitos. Quando for necessário a coleta do consentimento para o tratamento dos dados desses titulares, será necessário que o consentimento seja fornecido por um dos pais ou responsável legal, de forma específica e em destaque.

Por favor, antes de iniciar qualquer tratamento de dados pessoais de menores de idade, consulte o Encarregado da RASSINI por meio do e-mail lgpd@rassininhk.com.br.

10. CONTATOS

Caso tenha qualquer dúvida relacionada a esta Política, por favor entre em contato por meio do e-mail lgpd@rassininhk.com.br.

11. DOCUMENTOS RELACIONADOS

Lista de verificação para lidar com pedidos dos titulares relacionados aos seus direitos garantidos pela LGPD.

Manual para Incidentes de Segurança com Dados Pessoais.

É responsabilidade do Departamento Jurídico atualizar esta Política a cada 3 (três) anos ou antes, se como resultado das revisões periódicas ocorrer uma mudança importante. Uma mudança importante pode ser causada por uma mudança em leis ou regulamentos, por situações não contempladas ou por novas diretrizes na política que justifiquem atualização imediata.

Data da última atualização: 04/08/2022.