A presente POLÍTICA INTERNA DE GOVERNANÇA EM PROTEÇÃO DE DADOS - IKATEC (“Política”), foi elaborada em respeito e conformidade com a Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (“LGPD”).
Neste sentido, a IKATEC empenha os seus melhores esforços para realizar o tratamento de dados pessoais, sejam de seus colaboradores, clientes, fornecedores, parceiros e terceiros, com o mais alto nível de segurança, cautela, confidencialidade e conformidade com a LGPD e as demais legislações vigentes aplicáveis.
Como parte integrante da IKATEC, nossos colaboradores devem sempre, no exercício de suas atividades, garantir que os dados pessoais a que tenham acesso sejam tratados em conformidade com a LGPD, demais legislações vigentes aplicáveis e com esta Política.
Assim, caso você tenha alguma dúvida em relação aos seus direitos e deveres quanto ao tratamento de dados pessoais, ou acerca desta Política, por favor, entre em contato com o Encarregado da IKATEC, pelo e-mail encarregado@ikatec.com.br .
Visando auxiliar na interpretação e aplicação desta Política, as palavras abaixo, seja no singular ou no plural, devem ser entendidas da seguinte forma, para a compreensão dos termos utilizados ao longo deste documento:
Política: Política de Governança Interna para Proteção de Dados Pessoais
LGPD: Lei nº 13.709/18 “Lei Geral de Proteção de Dados”
Dado Pessoal: Qualquer informação relativa a uma pessoa natural identificada ou identificável (“Titular”). É considerada identificável uma pessoa natural que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador (dados de localização, por exemplo). Art. 5º, I, da Lei nº 13.709/2018.
Dado Pessoal Sensível: Qualquer dado pessoal que diga respeito à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, bem como dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Art. 5º, II, da Lei nº 13.709/2018.
Anonimização: Processo por meio do qual o dado perde a possibilidade de associação, direta ou indireta, a um titular, considerados os meios técnicos razoáveis e disponíveis no momento do tratamento. Art. 5º, XI, da Lei nº 13.709/2018.
Due Diligence: o exame detalhado de informações e documentos de uma pessoa física ou jurídica, com objetivos determinados (contratos em geral etc.).
Encarregado: Pessoa responsável pela proteção de dados pessoais na IKATEC e pela comunicação com a ANPD e com os titulares dos dados pessoais.
Titular: Pessoa natural a quem os dados pessoais se referem. Art. 5º, V, da Lei nº 13.709/2018.
Tratamento: Toda operação realizada com dados pessoais, como: a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Art. 5º, X, da Lei nº 13.709/2018.
Controlador(a): Pessoa natural ou jurídica, a quem compete decisões sobre tratamento dos dados pessoais. Art. 5º, VI, da Lei nº 13.709/2018.
Operador(a): Pessoa natural ou jurídica, que realiza o tratamento de dados pessoais em nome do(a) controlador(a). Art. 5º, VII, da Lei nº 13.709/2018.
ANPD: Autoridade Nacional de Proteção de Dados.
Parceiro: Toda pessoa física ou jurídica que, de alguma forma, está vinculada à Ikatec por meio de um contrato.
A IKATEC, no curso da execução de suas atividades empresariais, realiza o tratamento de dados pessoais, tanto de pessoas relacionadas à sua estrutura interna, quanto de terceiros relacionados direta ou indiretamente ao seu negócio.
Dessa maneira, a presente Política tem por objetivo servir como pilar primordial para todas as práticas e processos internos da IKATEC no que se refere ao tratamento de dados pessoais, bem como demonstrar o seu comprometimento em proteger os direitos dos colaboradores, clientes, fornecedores, parceiros e terceiros; empregar procedimentos e regras que asseguram o cumprimento das normas; transparência no tratamento dos dados pessoais; mitigar os risco de incidentes de segurança da informação, com base nos seguintes princípios:
Finalidade: Os dados pessoais somente serão tratados com finalidades específicas, com propósito que seja legítimo, explícito, delimitado e informado ao titular, sendo vedado o tratamento posterior que seja incompatível com as finalidades anteriormente identificadas.
Adequação: O tratamento de dados pessoais deverá observar a compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.
Necessidade: O tratamento de dados pessoais se limita ao tratamento mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
Livre Acesso: Será garantido, aos titulares de dados, consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
Qualidade dos Dados: Os dados pessoais tratados devem ser claros, exatos, relevantes e atualizados, de acordo com a sua necessidade e com as finalidades do tratamento. Não devem ser tratados dados pessoais desatualizados ou irrelevantes para a finalidade indicada.
Transparência: A IKATEC disponibilizará aos titulares de dados informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, em especial, forma e duração do tratamento, observados os segredos comercial e industrial.
Segurança: A IKATEC utilizará medidas de segurança, técnicas, administrativas e jurídicas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Prevenção: A IKATEC adotará medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
Não Discriminação: A IKATEC jamais realizará tratamento para fins discriminatórios ilícitos ou abusivos.
Responsabilização e Prestação de Contas: A IKATEC adotará medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, a eficácia dessas medidas.
Ademais, a IKATEC acredita que garantir o tratamento de dados pessoais realizado de forma legítima, correta e transparente é imprescindível para o sucesso de suas atividades e de seu negócio, bem como para resguardar sua imagem e credibilidade perante stakeholders, colaboradores, clientes, fornecedores, parceiros, terceiros, perante o público em geral, a sociedade e a ANPD. Havendo conflito entre as disposições desta Política e a legislação de proteção de dados aplicável, esta última deverá prevalecer.
A presente Política será aplicável a todos os colaboradores que, no exercício de suas atividades, em algum momento possam ter contato com dados pessoais tratados pela IKATEC, ou em nome desta.
Políticas adicionais podem ser criadas em casos específicos, principalmente se exigido por lei ou regulamento.
Em caso de tratamento de dados pessoais não sensíveis, a IKATEC somente realizará o tratamento de acordo com as hipóteses autorizadas pela LGPD. Entre as hipóteses previstas na legislação e que são diretamente aplicáveis à IKATEC estão as seguintes:
Em hipóteses excepcionais, a IKATEC coletará o consentimento do titular dos dados, o qual deverá conceder a autorização mediante manifestação livre, espontânea, inequívoca, destacada e para finalidades determinadas. Esta base legal será utilizada apenas em último caso, nas hipóteses em que não couber a aplicação de qualquer outra base legal que justifique o tratamento dos dados pessoais. (Art. 5º, XII e Art. Art. 7º, I, Lei nº 13.709/2018).
A IKATEC poderá ainda realizar o tratar dados pessoais sensíveis com base nas hipóteses trazidas pelo art. 11 da LGPD, desde que os possíveis riscos sejam avaliados com o Encarregado ou Grupo de Trabalho de Privacidade, de acordo com a criticidade dos dados envolvidos.
Para que o programa de privacidade e tratamento de dados pessoais da IKATEC seja efetivo e produza resultados positivos, é imprescindível que os colaboradores observem os procedimentos abaixo, bem como estes sejam constantemente observados durante o tratamento de dados pessoais. Vejamos:
A IKATEC, por intermédio de sua Governança em Privacidade de Dados, adotou a estrutura operacional híbrida indicada nos itens a seguir, a fim de que o tratamento de dados pessoais seja realizado de maneira a observar todos os pontos dessa Política e o cumprimento de todas as obrigações legais, bem como todas as ações relacionadas à privacidade sejam bem definidas, documentadas e registradas.
A Governança em Privacidade de Dados tem o objetivo de organizar e implementar políticas, procedimentos, estruturas, cultura da empresa, papéis e responsabilidades de cada agente de tratamento para atender às necessidades atuais e futuras das questões referentes à Proteção de Dados.
A gestão e a aplicação do programa de privacidade e proteção de dados pessoais deverão ser conduzidas, gerenciadas e controladas pelo Grupo de Trabalho e pelo Encarregado, para que possa facilitar o controle de conteúdo, datas de publicação, prazos para revisão e demais medidas e procedimentos envolvendo esta Política.
O Grupo de Trabalho tem como objetivos principais, mas não se limitando, a gerenciar e garantir a aplicação do programa de privacidade e proteção de dados pessoais. Ele deve se reunir (mensalmente/trimestralmente), ou sempre que necessário, para apresentação e acompanhamento do programa de privacidade e proteção de dados pessoais da IKATEC, e deve ser composto, por um modelo híbrido, por integrantes de áreas-chave da empresa, capazes de deliberar e decidir sobre assuntos relacionados à privacidade e proteção de dados, conforme a seguir:
Ainda, deverá ser realizado um treinamento (semestral/anual), ou sempre que necessário, com os demais colaboradores da empresa que não estejam envolvidos nas atividades de tratamento de dados pessoais decididos pelo Grupo de Trabalho de Privacidade e organizados pelo Encarregado, especificamente sobre os mesmos temas indicados acima.
Todos os colaboradores da IKATEC que estejam envolvidos nas atividades de tratamento de dados pessoais deverão receber treinamentos periódicos, decididos pelo Grupo de Trabalho, especificamente sobre:
A IKATEC deverá manter o Registro de Operação de Tratamento de Dados Pessoais (“ROPA”), e fazer a sua atualização de forma trimestral, ou sempre que notar mudança no fluxo das atividades de tratamento.
Todas as atividades da IKATEC envolvendo tratamento de dados pessoais de titulares externos (terceiros, parceiros, clientes etc.) deverão observar as Políticas de Privacidade disponíveis em Políticas de Privacidade (ikatec.com.br) e esta Política. Todas as operações envolvendo atividades de tratamento de dados pessoais de titulares internos (colaboradores) deverão observar esta Política, o contrato celebrado entre as partes e a comunicação interna de proteção de dados.
Para garantir a segurança dos dados pessoais tratados no exercício de suas atividades e evitar a ocorrência de acessos indevidos ou não autorizados, perda, destruição ou qualquer outra ação que comprometa a integridade, disponibilidade ou confidencialidade dessas informações, a IKATEC implementa todas as medidas sugeridas pela Autoridade Nacional de Proteção de Dados (ANPD) em seu Guia Orientativo para Agentes de Tratamento de Pequeno Porte, o que compreende uma variedade de tecnologias e procedimentos de segurança para ajudar a proteger os dados pessoais. O Grupo de Trabalho, o Encarregado e o Departamento de tecnologia da informação da IKATEC deverão trabalhar em conjunto para manter todos os dados pessoais tratados sempre seguros, mitigando os riscos com qualquer incidente de segurança da informação.
Todas as atividades de tratamento de dados pessoais realizadas pela IKATEC deverão ocorrer em respeito a todos os pilares dessa Política, estando sempre atribuídas a uma base legal específica.
O procedimento de coleta de dados pessoais deverá ser restrito àqueles essenciais para o cumprimento da finalidade primária determinada e informada ao titular dos dados, sempre observando a necessidade de manter atualizados os dados coletados.
Coleta de dados direta: é aquela quando o titular dos dados pessoais fornece seus próprios dados, como por exemplo, para a execução do contrato com a empresa. Neste caso, os titulares dos dados pessoais deverão ser informados, antes da coleta, de todos os detalhes sobre a atividade de tratamento.
Coleta de dados indireta: é aquela quando o titular dos dados pessoais não os fornece de maneira conscientemente, como por exemplo, por meio dos cookies.
Coletada de dados por terceiros: é aquela quando o titular fornece os dados para determinada empresa, e em razão da atividade exercida, se faz necessário o compartilhamento dos dados pessoais com um terceiro não ligado diretamente ao negócio da empresa. Nesses casos, deverão ser previamente informados aos titulares dos dados pessoais, como por exemplo nas Políticas de Privacidade, Termos de Uso e Contrato que inclua a cláusula de privacidade e proteção de dados pessoais, conforme orientações do departamento jurídico e do Encarregado, que deverão verificar a idoneidade de todos os terceiros.
A utilização dos dados pessoais deverá estar limitada à expectativa que o titular dos dados possuía quando da realização da coleta das informações (inclusive se a coleta foi realizada de maneira indireta ou por terceiros), sendo que, na eventual hipótese de necessidade de alteração da finalidade previamente informada ao titular, este deverá ser novamente informado sobre as intenções, avaliando a necessidade de qualquer adequação.
O armazenamento de dados pessoais deverá ser realizado pelo tempo mínimo necessário para atendimento da finalidade pretendida e cumprimento de eventuais obrigações legais que regulam determinada atividade de tratamento, seguindo a Política de Retenção de Dados. Sendo cumprida a finalidade e observados os prazos legais de necessária retenção da informação, os dados deverão ser excluídos, o que, por sua vez, deverá seguir meios adequados.
A legislação de proteção de dados pessoais classifica alguns tipos de dados pessoais como dados sensíveis, devido à capacidade que possuem de gerar discriminação ao titular destas informações. A LGPD classifica as seguintes informações como dados pessoais sensíveis: a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando relacionados a um indivíduo.
Para que as atividades de tratamento de dados pessoais sensíveis sejam consideradas lícitas e legítimas, se faz necessário o enquadramento destas atividades em uma das bases legais previstas pela LGPD e deverão receber a máxima prioridade na segurança, nos termos das Políticas e de segurança, conforme a legislação vigente aplicada.
O tratamento de dados pessoais de “crianças” e “adolescentes” será tratado de maneira excepcional. Nestes ele somente deverá ser realizado após a coleta do consentimento específico e em destaque dado por pelo menos por um dos pais ou pelo responsável legal, mantendo públicas as informações sobre o tipo de dados coletados, a forma de utilização e as garantias dos demais direitos dos titulares assegurados pela lei.
A LGPD definiu em seu artigo 5º, XVII, que o Relatório de Impacto a Proteção de Dados Pessoais (“RIPD”), é uma “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.” Ou seja, quando em um processo de tratamento de dados pessoais for verificado a possibilidade de colocar em risco às liberdades civis e os direitos fundamentais dos titulares, deve ser elaborado o RIPD, a fim de mitigar esses riscos.
Apesar de estar previsto em Lei, a ANPD ainda não trouxe regulamentações e/ou orientações sobre o RIPD, fazendo com que esse relatório, muitas vezes, seja utilizado de maneira indiscriminada, desviando a sua finalidade de ferramenta de gestão de riscos à privacidade.
Segundo a agenda regulatória da ANPD, o RIPD está em sua primeira fase do processo regulatório, com término previsto para o segundo semestre de 2022.
Assim, até que ANPD proceda a devida regulamentação, o RIPD ainda não é um documento obrigatório, conforme podemos observar na LGPD, porém pode vir a se tornar obrigatório, de acordo com regulamentos e determinações futuras da ANPD, que poderá elencar um rol de atividades que demandem a elaboração do instrumento.
Todavia, conforme descrito no artigo 10º, § 3º, da LGPD, a “autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial”. Neste caso, será obrigatório a elaboração do RIPD.
Por isso, é muito importante verificar o caso concreto, por meio do mapeamento de dados pessoais, para que possa ser analisado se existe a necessidade de elaborar o RIPD, caso seja um tratamento de alto risco, ou caso contrário, continuar o monitoramento do tratamento dentro do Registro de Operações de Tratamento (“ROPA”).
Em toda atividade de tratamento de dados pessoais, a IKATEC deverá buscar garantir os direitos dos titulares abaixo. Em todos os casos, a identidade dos titulares requerentes deverá ser verificada, e o atendimento deverá ocorrer sob a orientação do Encarregado.
Com relação ao recebimento de requisições de exercício dos direitos dos titulares, a IKATEC possui um canal de comunicação disponível por meio do endereço eletrônico: encarregado@ikatec.com.br
Tais requisições podem ser exercidas por colaboradores, clientes, fornecedores, parceiros e terceiros que possuam dados pessoais sob o escopo de tratamento da IKATEC As requisições de titulares deverão sempre ser validadas pelo Encarregado e pelo Departamento Jurídico.
• Direito de acesso: Você tem o direito de acessar quaisquer dados pessoais que mantemos sobre você (sujeito a certas restrições). Em circunstâncias excepcionais, podemos cobrar uma taxa razoável para fornecer tal acesso, mas somente quando permitido por lei (por exemplo, quando sua solicitação for manifestamente infundada ou excessiva);
• Direito à retificação: Você tem o direito de solicitar a retificação de informações que considere incorretas. Você também tem o direito de nos perguntar para completar informações que você acha que estão incompletas;
• Direito de apagar: Em alguns casos, você tem o direito de que seus dados pessoais sejam apagados ou excluídos. Observe que este não é um direito absoluto, pois podemos ter motivos legais ou legítimos para reter seus dados pessoais;
• Direito de restrição de processamento: Você tem o direito de nos pedir para restringir o processamento de suas informações em certas circunstâncias;
• Direito de se opor ao processamento: Você tem o direito de se opor ao processamento se formos capazes de processar suas informações no exercício de interesses legítimos prosseguidos ou quando efetuado para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos;
• Direito à portabilidade de dados: Isso se aplica apenas às informações que você nos forneceu. Você tem o direito de solicitar a transferência de informações que você nos passou de uma organização para outra, ou as deu a você. O direito só se aplica se formos processamento de informações com base em seu consentimento ou sob, ou em conversas sobre a celebração de um contrato e o processamento é automatizado;
• Direito de retirar o consentimento a qualquer momento para o processamento de dados pessoais com base no consentimento: Você pode retirar seu consentimento para o nosso processamento de seus dados pessoais quando tal processamento for baseado em consentimento. Quando você retirar seu consentimento, isso não afeta a legalidade do nosso processamento antes de sua retirada.
Conforme mencionado no item anterior, a IKATEC possui um canal de comunicação disponível por meio do endereço eletrônico: encarregado@ikatec.com.br , disponibilizado aos titulares de dados para o encaminhamento de requisições de direitos, nos termos dos artigos 17 à 22 da Lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais. Cabe ao Encarregado aceitar as reclamações e comunicações, prestar esclarecimentos ou adotar providências de interesse dos titulares de dados, e receber comunicações da ANPD, além de outras atribuições previstas em lei ou que forem estabelecidas pela ANPD.
O titular dos dados (colaborador, terceiros, parceiros, clientes etc.) deverá encaminhar a requisição de direitos por e-mail para o endereço eletrônico acima indicado. Após receber as requisições de exercício dos direitos dos titulares, o Encarregado irá analisar junto ao Departamento Jurídico e, tratando-se de resposta simples, retornará no prazo de até 24 (vinte e quatro horas) úteis ao titular. Já nos casos em que a resposta demande um esforço maior e um formato completo, retornará no prazo de até 15 (quinze) dias, contado da data do requerimento do titular. O atendimento será prestado sem custos, por meio eletrônico e com a confirmação de que o requerente é o próprio titular de dados ou seu representante legalmente constituído, podendo a IKATEC exigir o envio de documentação complementar apta a comprovar a titularidade do requisitante ou do seu representante ou da representação, sempre para a garantia da privacidade dos titulares.
A LGPD não proíbe a transferência internacional de dados e a permite nos seguintes casos:
Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
II - quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:
a) cláusulas contratuais específicas para determinada transferência;b) cláusulas-padrão contratuais;c) normas corporativas globais;d) selos, certificados e códigos de conduta regularmente emitidos;III - quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
IV - quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
V - quando a autoridade nacional autorizar a transferência;
VI - quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
VII - quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;
VIII - quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou
IX - quando necessário para atender às hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei.
O nível de proteção de dados do país estrangeiro será avaliado pela ANPD, mas, no momento, ainda não temos nenhuma norma sobre o assunto. Além disso, no futuro, a ANPD poderá definir o conteúdo de cláusulas-padrão contratuais, normas corporativas globais, selos, certificados e códigos de conduta para nos orientar melhor sobre essa transferência.
Nesse sentido, na hipótese de transferência internacional de dados pessoais, a IKATEC deverá adotar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, e necessárias para garantir a integridade, a disponibilidade e a confidencialidade dos dados pessoais, conforme as regulações da ANPD.
A presente Política foi revista e aprovada aos 06/11/2023 pela Diretoria, de forma que o presente documento permanece em vigor, e será revisado no período máximo de um (01) ano ou, em havendo necessidade, em período menor, para que o documento permaneça sempre atualizado.
Este site usa cookies que ajudam as funções do site e para rastrear como você interage com ele para que possamos fornecer-lhe uma experiência de usuário melhorada e personalizada. Só usaremos os cookies se você concordar com ele clicando em Aceitar.