POL002 – PRIVACIDADE E PROTEÇÃO DE DADOS – H&P

 

Data de Elaboração: 27/05/2021

Data de publicação:  30/06/2021

Data de revisão:  30/06/2022

Unidade Responsável: Comitê do Sistema de Integridade da H&P

Aprovada por: Diretoria da H&P

 

SUMÁRIO

1. OBJETIVO
2. APLICAÇÃO
3. AMBIENTE NORMATIVO
4. DIRETRIZES GERAIS
5. PRINCÍPIOS DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
6. RESPONSABILIDADES PARA O USO ADEQUADO DE DADOS PESSOAIS
6.1. Colaborador – Operador
6.2. Colaborador – Controlador
6.3. Encarregado de Proteção de Dados (“DPO”)
6.4. Comitê de Informação e Privacidade
7. DIREITOS DOS TITULARES DE DADOS PESSOAIS
8. RELAÇÃO COM OS PARCEIROS COMERCIAIS E FORNECEDORES
9. PROGRAMA DE PRIVACIDADE
9.1. Bases legais para o tratamento de dados pessoais
9.2. Bases legais para tratamento de dados pessoais sensíveis
9.3. Bases legais para término do tratamento de dados
9.4. Bases legais para eliminação de dados pessoais
10. SEGURANÇA DA INFORMAÇÃO E GESTÃO DE INCIDENTES
11. COMUNICAÇÃO, TREINAMENTO E DÚVIDAS
12. RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS
13. MONITORAMENTO
14. COMITÊ DE INFORMAÇÃO E PRIVACIDADE
15. DISPOSIÇÕES FINAIS
HISTÓRICO DE REVISÕES
GLOSSÁRIO

 

1. OBJETIVO

Durante o curso de suas atividades, a Herkenhoff & Prates (“H&P”) realiza tratamento de dados pessoais, tanto de pessoas relacionadas à sua estrutura interna, quanto de terceiros. A presente Política de Privacidade e Proteção de Dados Pessoais (“Política”) tem como objetivo estabelecer diretrizes e responsabilidades da H&P que assegurem e reforcem seu compromisso com o cumprimento das legislações de proteção de dados pessoais aplicáveis, em especial, com a Lei Geral de Proteção de Dados (“LGPD”, Lei Federal nº 13.709/2018 e alteração promovida pela Lei Federal nº 13.853/2019). Descreve também, as regras gerais a serem seguidas na condução de atividades e operações de tratamento de dados pessoais realizadas pela H&P e pelos destinatários desta Política, no âmbito de suas atividades.

2. APLICAÇÃO

As regras contidas nesta Política devem ser respeitadas pelos sócios, comitês de assessoramento, diretores executivos, colaboradores próprios ou não, estagiários, menores aprendizes, prestadores de serviço e por qualquer pessoa que atue em nome da H&P ou que com ela se relacione, em especial quando, no cumprimento de suas atividades profissionais, realizarem operações que envolvam tratamento de dados pessoais na qualidade de agentes de tratamento de dados. Esta Política estende-se também, as titulares de dados pessoais cujas dados sejam tratados pela H&P.

3. AMBIENTE NORMATIVO
Esta Política foi elaborada em consonância com todas as leis e regulamentações aplicáveis, incluindo, mas sem limitação: Código de Conduta da H&P; Política de Segurança da Informação da H&P e LGPD.

4. DIRETRIZES GERAIS

Resumidamente, esta Política visa demonstrar o comprometimento da H&P em:

  • Proteger os direitos à proteção de dados pessoais dos colaboradores, clientes e parceiros;
  • Adotar processos e regras que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
  • Promover a transparência sobre a forma na qual a H&P trata dados pessoais;
  • Proteger a H&P, bem como seus colaboradores, clientes, fornecedores e parceiros de riscos, por ocasião de incidentes de segurança envolvendo dados pessoais.
  1. Os dispositivos desta Política aplicam-se em quaisquer operações de tratamento realizadas na execução das atividades da H&P que ocorrem em território brasileiro ou operações que ocorrem fora do país quando os dados pessoais foram coletados no Brasil, os dados sejam relacionados a indivíduos no território brasileiro ou tiver por objetivo a oferta de produtos e/ou serviços ao público brasileiro;
  2. Aplicam-se os dispositivos desta Política independentemente do meio e/ou forma de tratamento dos dados;
  3. Na condução de suas atividades, a H&P realiza diversas operações de tratamento de dados pessoais buscando o melhor interesse dos titulares dos dados pessoais, e respeitando os seus direitos, podendo ser caracterizada como Controladora de Dados Pessoais, Operadora de Dados Pessoais ou Co-Controladora de Dados Pessoais, de acordo com as definições da LGPD;
  4. A H&P reforça que, em todas as posições que ocupar, preza pelo compromisso com o cumprimento das regras de privacidade e proteção de dados pessoais aplicáveis, garantindo o tratamento de dados pessoais realizado de forma legítima e correta, resguardando a sua imagem e credibilidade perante colaboradores, clientes, fornecedores e parceiros, bem como perante o público em geral e a Autoridade Nacional De Proteção De Dados (“ANPD”);
  5. Os principais conceitos, termos e definições utilizados no decorrer desta Política se encontram no Anexo I – Glossário.

5. PRINCÍPIOS DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

A H&P cuidará para que todas as atividades de tratamento de dados pessoais observem a boa-fé e estejam em conformidade com os princípios trazidos pela legislação sobre privacidade e proteção de dados.

  • Princípio da finalidade: o tratamento de dados pessoais deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com as finalidades originárias;
  • Princípio da adequação: o tratamento de dados pessoais deve ser compatível com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  • Princípio da necessidade: o tratamento de dados pessoais deve ser limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
  • Princípio do livre acesso: é garantido aos titulares de dados pessoais a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integridade de seus dados;
  • Princípio da qualidade dos dados: é garantido aos titulares de dados pessoais que seus dados sejam exatos, claros, relevantes e atualizados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
  • Princípio da transparência: é garantido aos titulares de dados pessoais o direito a informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
  • Princípio da segurança: devem ser utilizadas medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
  • Princípio da prevenção: devem ser adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
  • Princípio da não discriminação: as atividades de tratamento de dados pessoais jamais poderão objetivar fins discriminatórios ilícitos ou abusivos;
  • Princípio da responsabilização e prestação de contas: a H&P se compromete a demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

 

6. RESPONSABILIDADES PARA O USO ADEQUADO DE DADOS PESSOAIS

6.1. Colaborador – Operador

  • Cumprir fielmente esta Política, as normas e os procedimentos referentes a privacidade e proteção de dados pessoais definidos pela H&P;
  • Obter autorização necessária para o tratamento de dados e ter os documentos necessários que demonstrem a designação de sua competência para a realização da operação de tratamento de dados lícita, nos termos dos procedimentos internos elaborados pela H&P;
  • Restringir o tratamento e compartilhamento de dados pessoais ao desenvolvimento de atividades autorizadas pela H&P;
  • Não disponibilizar nem garantir acesso aos dados pessoais mantidos pela H&P para quaisquer pessoas não autorizadas ou competentes de acordo com as normas da H&P;
  • Realizar todo e qualquer processo de tratamento ou compartilhamento de dados pessoais observando sua finalidade e base legal, bem como o princípio da necessidade;
  • Garantir a integridade, disponibilidade e confidencialidade dos dados pessoais tratados no exercício de sua função;
  • Utilizar-se do mínimo de informações necessárias para o cumprimento das finalidades pretendidas e regular exercício de suas funções;
  • Armazenar os dados pessoais tratados no exercício da função em local seguro e oficialmente aprovados pela H&P, sendo vedado o armazenamento não autorizado em ambientes próprios (equipamentos ou área de trabalho de computadores), mídias ópticas ou dispositivos de armazenamento móveis;
  • Manter registros das operações de tratamento realizadas, cada uma delas descritas a partir de sua(s) finalidade(s), servindo de auxílio e suporte para a sua avaliação periódica sobre conformidade com o quadro regulatório da proteção de dados pessoais;

Contatar o encarregado da H&P (“DPO”) quando suspeita ou ocorrência efetiva das
seguintes ações:

  • Operação de tratamento de dados pessoais realizada sem base legal que a justifique;
  • Tratamento de dados pessoais sem a autorização por parte da H&P no escopo das atividades que desenvolve;
  • Operação de tratamento de dados pessoais que seja realizada em desconformidade com esta Política ou com a Política de Segurança da Informação da H&P;
  • Eliminação ou destruição não autorizada pela H&P de dados pessoais armazenados em ambientes digitais ou físicos em quaisquer instalações da H&P ou por ela utilizadas;
  • Qualquer outra violação desta Política ou dos princípios nela dispostos.

6.2. Colaborador – Controlador

  1. Cumprir fielmente esta Política, as normas e os procedimentos referentes a privacidade e proteção de dados pessoais definidos pela H&P;
  2. Conceder autorização necessária e restringir os acessos para tratamento e compartilhamento de dados pessoais ao colaborador-operador, nos termos dos procedimentos internos elaborados pela H&P;
  3. Supervisionar os registros das operações de tratamento realizadas pelo colaborador-operador;
  4. Contatar o encarregado da H&P (“DPO”) quando suspeita ou ocorrência efetiva das seguintes ações:
  • Operação de tratamento de dados pessoais realizada sem base legal que a justifique;
  • Tratamento de dados pessoais sem a autorização por parte da H&P no escopo das atividades que desenvolve;
  • Operação de tratamento de dados pessoais que seja realizada em desconformidade com esta Política ou com a Política de Segurança da Informação da H&P;
  • Eliminação ou destruição não autorizada pela H&P de dados pessoais armazenados em ambientes digitais ou físicos em quaisquer instalações da H&P ou por ela utilizadas;
  • Qualquer outra violação desta Política ou dos princípios nela dispostos;

Eliminar dados de acordo com a procedimentos internos.

6.3. Encarregado de Proteção de Dados (“DPO”)

  • Gerir o Programa de Privacidade em conjunto com o Comitê de Informação e Privacidade;
  • Orientar os colaboradores da H&P em relação a esta Política e ao regime de privacidade e proteção de dados pessoais;
  • Avaliar, periodicamente, junto ao Comitê de Informação e Privacidade, as finalidades das operações de tratamento de dados realizadas na H&P, considerando o contexto em que estas operações se inserem, seus riscos e benefícios gerados ao titular de dados pessoais, e o legítimo interesse da H&P;
  • Propor revisões das normas e políticas de privacidade da H&P, inclusive desta Política;
  • Fiscalizar o cumprimento das normas e políticas de privacidade da H&P;
  • Monitorar o nível de conformidade da H&P, por meio de análises de diagnósticos com a definição de planos de ação para melhorar o treinamento e a clareza das políticas de privacidade da H&P;
  • Prestar esclarecimentos, oferecer informações e apresentar relatórios sobre as operações de tratamento de dados pessoais e seus impactos para as autoridades competentes;
  • Tratar as requisições dos titulares de dados pessoais, com o imediato atendimento a tais requerimentos, quando aplicável;
  • Discutir e definir junto ao Comitê de Informação e Privacidade sobre eventuais situações a respeito das requisições realizadas por titulares de dados pessoais;
  • Auxiliar na elaboração de Relatórios de Impacto à Proteção de Dados Pessoais de acordo com procedimento interno definido pela H&P, com apuração e revisão dos riscos das atividades nele relatadas;
  • Realizar treinamentos periódicos workshops, encontros e capacitações para ampliação da cultura de proteção de dados pessoais na H&P junto ao Comitê de Informação e Privacidade.

6.4. Comitê de Informação e Privacidade

  • Propor as metodologias, sistemas e processos específicos que visem a aumentar a segurança da informação, privacidade e proteção de dados pessoais;
  • Promover a conscientização dos colaboradores em relação à importância da segurança da informação, privacidade e proteção de dados pessoais;
  • Propor investimentos relacionados à segurança da informação, privacidade e proteção de dados pessoas com o intuito de minimizar os riscos;
  • Buscar alinhamento com as diretrizes corporativas da Herkenhoff & Prates;
  • Gerir o Programa de Privacidade em conjunto com o DPO;
  • Definir os critérios e laborar os procedimentos para classificar e reclassificar o nível de acesso às informações sempre que necessário;
  • Analisar criticamente incidentes de segurança em conjunto com a área de TI e reportar à Diretoria da H&P o ocorrido;
  • Sugerir e cobrar novas medidas de segurança e ações de correções e novas definições e procedimentos pela área de TI, a partir da ciência de riscos residuais em controles utilizados, ocorrência de incidentes de segurança e possíveis ameaças;
  • Avaliar periodicamente junto ao DPO as finalidades das operações de tratamento de dados realizadas na H&P, considerando o contexto em que estas operações se inserem, seus riscos e benefícios gerados ao titular de dados pessoais, e o legítimo interesse da H&P;
  • Discutir e definir junto ao DPO sobre eventuais situações a respeito das requisições realizadas por titulares de dados pessoais;
  • Realizar treinamentos periódicos, workshops, encontros e capacitações para ampliação da cultura de proteção de dados pessoais na H&P junto ao DPO;
  • Revisar essa Política, bem como a Política de Segurança da Informação a cada 1 ano ou, se necessário, quando houver algum incidente de segurança da informação, privacidade ou proteção de dados pessoais e consequente mudança de procedimentos e normas;
  • Comunicar aos colaboradores qualquer mudança nos procedimentos de controles que possam afetar a execução do seu trabalho, a segurança da informação, privacidade e proteção de dados pessoais.

7. DIREITOS DOS TITULARES DE DADOS PESSOAIS

O titular dos dados pessoais tem direito a exercer a qualquer momento, os seguintes direitos em relação aos seus dados pessoais tratados pela H&P, mediante requisição:

  •  Confirmação da existência do tratamento: o titular de dados pessoais pode questionar, junto à H&P, se há a realização de operações de tratamento relativos aos seus dados pessoais;
  • Acesso: o titular de dados pessoais pode solicitar e receber uma cópia de todos os seus dados pessoais coletados e armazenados, bem como ter informações claras, adequadas e ostensivas sobre o tratamento destes dados;
  • Correção de dados: o titular de dados pessoais pode requisitar a correção de dados pessoais que estejam incompletos, inexatos ou desatualizados;
  • Solicitação de suspensão de tratamento de dados pessoais: a qualquer momento, o titular de dados pessoais poderá requisitar da H&P a anonimização, bloqueio ou eliminação de seus dados pessoais que tenham sido reconhecidos por autoridade competente como desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
  • Eliminação: o titular de dados pessoais pode requisitar a exclusão de seus dados pessoais de bancos de dados geridos pela H&P, salvo se houver um motivo legítimo para a sua manutenção, como eventual obrigação legal de retenção de dados ou estudo por órgão de pesquisa. Na hipótese de eliminação, a H&P se reserva o direito de escolher o procedimento de eliminação empregado, comprometendo- se a utilizar meio que garanta a segurança e evite a recuperação dos dados;
  • Uso e compartilhamento de informações: o titular de dados pode requisitar informações sobre entidades públicas e privadas com as quais a H&P realizou uso compartilhado de dados;
  • Oposição a um tratamento de dados pessoais: nas hipóteses de tratamento de dados pessoais não baseadas na obtenção do consentimento, o titular de dados pessoais poderá apresentar à H&P uma oposição, que será analisada a partir dos critérios presentes na LGPD;
  • Revogação do consentimento: o titular de dados pessoais tem direito a revogar o seu consentimento. Entretanto, ressalta-se que isso não afetará a legalidade de qualquer tratamento realizado antes da revogação.

 

8. RELAÇÃO COM OS PARCEIROS COMERCIAIS E FORNECEDORES

  • A H&P reserva-se ao direito de empregar seus melhores esforços para verificar, avaliar e garantir que terceiros envolvidos no processo de tratamento de dados pessoais cumpram com a legislação de proteção de dados aplicáveis;
  • Todos os contratos firmados pela H&P com terceiros deverão conter cláusulas referentes à proteção de dados pessoais, estabelecendo deveres e obrigações envolvendo a temática e atestando o compromisso dos terceiros com as legislações de proteção de dados pessoais aplicáveis.

 

9. PROGRAMA DE PRIVACIDADE

  • O Programa de Privacidade é uma iniciativa da H&P para garantir seu compromisso em zelar pelo tratamento adequado de dados pessoais para fins legítimos que possam ser objeto de suas atividades e reforçar seu compromisso com boas práticas de privacidade e proteção de dados;

O Programa de Privacidade conta com ações de:

  1. Produção e disseminação de informações, independente do formato, que descrevam as responsabilidades individuais dos destinatários desta Política no âmbito da privacidade e proteção de dados pessoais;
  2. Fornecimento de treinamentos, orientações e aconselhamentos para os colaboradores da H&P e terceiros, incluindo, mas não se limitando a cursos online, workshops, reuniões internas, conversas regulares, palestras, dentre outras iniciativas; comungando conteúdos disponibilizados no formato digital e presencial;
  3. Incorporação de preocupações e cuidados no tratamento de dados pessoais em todas as etapas de suas atividades, incluindo, mas não se limitando a rotinas administrativas, atividades de pesquisa, prestação de serviços, atividades de cunho acadêmico, dentre outras;
  4. Identificação e aprofundamento da avaliação dos riscos que podem comprometer o alcance dos objetivos da H&P na área de privacidade e proteção de dados pessoais;
  5. Definir, criar e implementar planos de ação e políticas para mitigar os riscos identificados, além de manter uma avaliação contínua dos cenários com vistas a avaliar se as medidas implementadas não requerem novas diretrizes e atitudes;
  6. Para que o Programa de Privacidade se mostre efetivo e produza resultados positivos, é importante que os pilares e procedimentos internos sejam constantemente observados durante as operações de tratamento de dados pessoais, bem como as bases legais aplicáveis.

9.1. Bases legais para o tratamento de dados pessoais

A realização de operações de tratamento de dados pessoais pela H&P somente poderá ser realizada nas seguintes hipóteses:

  • Mediante o fornecimento de consentimento pelo titular de dados pessoais;
  • Para o cumprimento de obrigação legal ou regulatória;
  • Para a realização de estudos por órgão de pesquisa garantindo, sempre que possível, a anonimização dos dados pessoais;
  • Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados ao contrato, do qual seja parte o titular de dados pessoais;
  • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  • Para a proteção da vida ou da incolumidade física do titular de dados pessoais ou de terceiros;
  • Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • Quando necessário para atender aos interesses legítimos da H&P ou de terceiros, exceto no caso de prevaleceram direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
  • Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
  • A H&P manterá o registro de todas as suas operações de tratamento de dados;
  • Todas as operações de tratamento de dados pessoais realizadas no âmbito das atividades da H&P terão uma base legal que legitima a sua realização, com estipulação dos tipos de dados pessoais coletados, finalidade, local lógico e geográfico onde estes dados são tratados, período de retenção, designação dos responsáveis pelo tratamento e volume aproximado de registros existentes, servindo de auxílio e suporte para a sua avaliação periódica sobre conformidade com o quadro regulatório da proteção de dados pessoais;
  • Os registros de operação de tratamento de dados pessoais poderão ser consultados pelo titular dos dados pessoais, bem como por autoridades públicas competentes para acesso e retenção dos dados em seu nome, resguardados os direitos do titular de dados.

9.2. Bases legais para tratamento de dados pessoais sensíveis

A H&P assume compromisso de resguardo e cuidados especiais frente ao tratamento de dados pessoais sensíveis, obedecendo a procedimentos internos especiais, nesses casos em virtude do risco adicional ao titular de dados pessoais;

Os dados pessoais de crianças e adolescentes serão tratados com o mesmo nível de cuidado exigido e oferecido aos dados pessoais sensíveis, estando também sujeitos a disposições próprias estabelecidas no Capítulo II, Seção III, da LGPD, e outras normas específicas aplicáveis;

A realização de operações de tratamento de dados pessoais pela H&P somente poderá ser realizada nas seguintes hipóteses:

  • Quando o titular de dados pessoais ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
  • Sem fornecimento de consentimento do titular de dados pessoais, nos casos em que o tratamento for indispensável para:
  • O cumprimento de obrigação legal ou regulatória pela H&P;
  • Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
  • Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
  • Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
  • Proteção da vida ou da incolumidade física do titular de dados pessoais ou de terceiros;
  • Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • Garantia da prevenção à fraude e à segurança do titular de dados pessoais, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

9.3. Bases legais para término do tratamento de dados

Nos termos da LGPD, o término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

  • Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
  • Fim do período de tratamento;
  • Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento, resguardado o interesse público;
  • Determinação da autoridade nacional, quando houver violação ao disposto em leis aplicáveis.

9.4. Bases legais para eliminação de dados pessoais

A H&P deverá conservar os dados pessoais após seu tratamento nas seguintes hipóteses:

  • Cumprimento de obrigações legais ou regulatórias pela H&P;
  • Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • Transferência a terceiros, desde que respeitados os requisitos de tratamento de dados dispostos em leis aplicáveis;
  • Uso exclusivo da H&P, vedado seu acesso por terceiros, e desde que anonimizados os dados.

Caso os dados pessoais tratados não obedeçam às categorias dispostas no item anterior, ao término de seu tratamento, estes dados deverão ser eliminados no âmbito e nos limites técnicos das atividades exercidas pela H&P, de acordo com procedimentos internos estabelecidos.

10. SEGURANÇA DA INFORMAÇÃO E GESTÃO DE INCIDENTES

As normas de segurança da informação e gestão de incidentes relacionados à dados pessoais estão contidas na Política de Segurança da Informação da H&P, normativas internas e documentos correlatos ao tema.

11. COMUNICAÇÃO, TREINAMENTO E DÚVIDAS

A H&P manterá um plano de comunicação e treinamento periódico e constante para seus Colaboradores com intuito de divulgar e conscientizar da importância do cumprimento das regras desta Política.
Todos os colaboradores da H&P deverão participar de treinamentos periódicos workshops, encontros e capacitações propostos pelo Comitê de Informação e Privacidade e organizados com apoio do encarregado (“DPO”) para ampliação da cultura de proteção de dados pessoais na H&P. Nesses momentos, serão abordados, dentre outras temáticas referentes à proteção de dados:

  • Conceitos gerais de Privacidade e Proteção de Dados, incluindo a apresentação desta Política e de materiais de estudo sobre os princípios da LGPD;
  • Conceitos específicos de Privacidade e Proteção de Dados, aplicados às atividades de cada área;
  • Alinhamento com a estratégia de privacidade adotada pela H&P.

Os colaboradores da H&P cujas funções exigem o tratamento regular de dados pessoais, bem como os responsáveis pela implementação desta Política, se comprometem a participar de treinamentos adicionais para ajudá-los a entender seus deveres e como cumpri-los.

É de responsabilidade de todos os coordenadores da H&P divulgar para aos colaboradores sob sua gestão o conteúdo desta Política e conscientizá-los sobre a necessidade e importância de sua observância e incentivá-los a apresentar dúvidas com relação a sua aplicação.

12. RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS

A elaboração do Relatório de Impacto à Proteção de Dados Pessoais será elegível em especial nas seguintes hipóteses:

  • Quando da realização de operações de tratamento de dados pessoais sensíveis;
  • Quando da realização e condução de operações que, por sua natureza, realizem tratamento de dados críticos, passíveis de gerar altos riscos aos titulares de dados pessoais em caso de ocorrência de incidentes envolvendo tais informações;
  • Caso a operação de tratamento de dados pessoais estiver amparada na base legal do interesse legítimo;
  • Em caso de necessidade de confecção deste documento, a obrigatoriedade primária de elaboração será do coordenador responsável pela operação;
  • O encarregado da H&P (“DPO”) disponibilizará modelo específico a ser seguido, contendo, dentre outras informações:
  1. A descrição dos tipos de dados coletados;
  2. A metodologia utilizada para a coleta e para a garantia da segurança das informações;
  3. A análise do controlador com relação a medidas salvaguardas e mecanismos de mitigação de risco adotados.
  • Cabe ao DPO da H&P o papel de auxiliar na elaboração deste documento e desenvolver parecer avaliativo final sobre a atividade de tratamento;
  • Via de regra, tais documentos não deverão ser publicados ou disponibilizados. Contudo, poderão ser objeto de requisição da ANPD, a qualquer tempo.

13. MONITORAMENTO

A H&P assume o compromisso de revisitar a presente Política periodicamente e, a seu critério, promover modificações que atualizem suas disposições de modo a reforçar o compromisso permanente da H&P com a privacidade e a proteção de dados pessoais, sendo comunicadas todas as alterações realizadas oportunamente por meio de seus canais oficiais.

14. COMITÊ DE INFORMAÇÃO E PRIVACIDADE

O Comitê de Informação e Privacidade (“Comitê”), instituído nos termos estabelecidos pela Política de Segurança da Informação da H&P (“PSI”), é responsável por validar, monitorar e salvaguardar os princípios corporativos de segurança da informação, privacidade e proteção de dados, de acordo com seu regimento interno, incluindo os dispostos nesta Política.

15. DISPOSIÇÕES FINAIS

Qualquer colaborador, terceiro ou parceiro que viole qualquer disposição desta Política estará sujeito as medidas disciplinares previstas no Código de Conduta da H&P, em observância a legislação aplicável, em especial:

  • Advertência por escrito;
  • Suspensão;
  • Dispensa sem justa causa;
  • Dispensa por justa causa;
  • Exclusão do fornecedor ou parceiro;
  • Remoção do recurso envolvido;
  • Ação judicial cabível.

Deverão ser considerados na aplicação das medidas disciplinares, fatores como função exercida pelo colaborador, período utilizado, local de utilização, horário de utilização, prejuízo real ou potencial causado à H&P.

 

 

HISTÓRICO DE REVISÕES

Criação da Política: Jacqueline Torres Juliana Aschar

 

 

GLOSSÁRIO

Acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bom como possibilidade de usar os ativos de informação de um órgão ou entidade, observada eventual restrição que se aplique.

Agente de tratamento de dados pessoais: É o colaborador que em suas atividades exerce função de controlador ou operador de dados pessoais nos termos da LGPD.

Análise de incidentes: Consiste em examinar todas as informações disponíveis sobre o incidente, incluindo artefatos e outras evidências relacionadas ao evento. O propósito dessa análise é identificar o escopo do incidente, sua extensão, sua natureza e quais prejuízos causados. Também faz parte da análise de incidente propor estratégias de contenção e recuperação.

Análise de riscos: Uso sistemático de informações para identificar fontes e estimar riscos.

Anonimização: Utilização de meios técnicos, razoáveis e disponíveis no momento do tratamento de dados pessoais, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. O dado anonimizado não é considerado dado pessoal para os fins da LGPD.

Autenticação: Processo que busca verificar a identidade digital de uma pessoa ou entidade quando ela requisita acesso a um sistema. O processo é realizado por meio de regras preestabelecidas, geralmente pela comparação das credenciais apresentadas pela entidade com outras já pré-definidas no sistema, reconhecendo como verdadeiras ou legítimas as partes envolvidas em um processo.

Autoridade Nacional De Proteção De Dados (“ANPD”): Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo território nacional. A ANPD foi instituída pela LGPD como órgão da administração pública federal com autonomia técnica, integrante da Presidência da República, definido a sua natureza como transitória e passível de transformação pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República.

Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.

Colaboradores: São todos os empregados, diretores, estagiários, menores aprendizes, empregados temporários, autônomos e demais indivíduos que mantém algum vínculo permanente ou temporário de trabalho com a Herkenhoff & Prates.

Confidencialidade: Garante a proteção das informações, permitindo que sejam acessadas apenas por indivíduos autorizados, comprovada a necessidade do acesso e o nível de responsabilidade do colaborador.

Controlador de dados pessoais ou Colaborador-Controlador: Pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Dados pessoais: Informação relacionada a pessoa natural identificada ou identificável. Também são considerados dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural.

Dados pessoais sensíveis: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a pessoa natural.

Dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Disponibilidade: Qualidade da informação que pode ser conhecida, acessada e utilizada por indivíduos, equipamentos ou sistemas autorizados sempre que necessário.

Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

Encarregado ou Data Protection Officer (“DPO”): Pessoa física ou jurídica indicada pelo Agente de Tratamento para atuar como canal de comunicação entre o Controlador, os titulares de dados e a ANPD.

Fornecedores: São considerados fornecedores os outros terceiros contratados e subcontratados, pessoa física ou jurídica, não enquadrados como parceiros comerciais.

Gestão de riscos: Processo de natureza permanente, estabelecido, direcionado e monitorado pela alta administração, que contempla as atividades de identificar, avaliar, e gerenciar potenciais eventos que possam afetar a organização, destinado a fornecer segurança razoável quanto à realização de seus objetivos.

Incidente: Evento, ação ou omissão, que tenha permitido, ou possa vir a permitir, acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou ainda a apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação.

Incidente de segurança: Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores.

Integridade de informação: Qualidade da informação não modificada, inclusive quanto à origem, trânsito e destino. Significa dizer que as informações devem ser armazenadas da mesma forma que foram fornecidas, sem qualquer alteração em seu conteúdo e mantidas em seu formato original e verdadeiro, a fim de servir para os propósitos para os quais foram designadas.

Lei Geral De Proteção De Dados (“LGPD”): Diploma normativo (Lei nº 13.709, de 14 de agosto de 2018) que dispõe sobre o tratamento de dados pessoais em meios digitais ou físicos realizados por pessoa natural ou por pessoa jurídica, de direito público ou privado, tendo como objetivo defender os titulares de dados pessoais e ao mesmo tempo permitir o uso dos dados para finalidades diversas, equilibrando interesses e harmonizando a proteção da pessoa humana como desenvolvimento tecnológico e econômico.

Operador De Dados Pessoais ou Colaborador-Operador: Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.

Política de Segurança de Informação da H&P (“PSI”): Política corporativa da Herkenhoff e Prates responsável por estabelecer diretrizes de Segurança da Informação que definam os princípios e regras a serem adotados com objetivo de proteger as informações criadas, armazenadas, tratadas, manuseadas e descartadas pela H&P, no exercício de suas atividades.

Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas salvaguardas e mecanismos de mitigação de risco.

Segurança da informação: Ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações.

Terceiro: É toda pessoa física ou jurídica contratada pela H&P para desenvolver ou auxiliar no desenvolvimento de suas atividades, tanto na qualidade de fornecedores de bens ou serviços, como de parceiros comerciais.

Titular de dados pessoais (Titular): Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Tratamento de dados pessoais (Tratamento): Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, modificação, comunicação, transferência, difusão ou extração.

Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.