2. DEFINIÇÕES

Visando auxiliar na interpretação e aplicação desta Política, as palavras abaixo, seja no singular ou no plural, devem ser entendidas da seguinte forma, para a compreensão dos termos utilizados ao longo deste documento:

Política: Política de Governança Interna para Proteção de Dados Pessoais

LGPD: Lei nº 13.709/18 “Lei Geral de Proteção de Dados”

Dado Pessoal: Qualquer informação relativa a uma pessoa natural identificada ou identificável (“Titular”). É considerada identificável uma pessoa natural que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador (dados de localização, por exemplo). Art. 5º, I, da Lei nº 13.709/2018.

Dado Pessoal Sensível: Qualquer dado pessoal que diga respeito à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, bem como dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Art. 5º, II, da Lei nº 13.709/2018.

Anonimização: Processo por meio do qual o dado perde a possibilidade de associação, direta ou indireta, a um titular, considerados os meios técnicos razoáveis e disponíveis no momento do tratamento. Art. 5º, XI, da Lei nº 13.709/2018.

Due Diligence: o exame detalhado de informações e documentos de uma pessoa física ou jurídica, com objetivos determinados (contratos em geral etc.).

Encarregado: Pessoa responsável pela proteção de dados pessoais na IKATEC e pela comunicação com a ANPD e com os titulares dos dados pessoais.

Titular: Pessoa natural a quem os dados pessoais se referem. Art. 5º, V, da Lei nº 13.709/2018.

Tratamento: Toda operação realizada com dados pessoais, como: a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Art. 5º, X, da Lei nº 13.709/2018.

Controlador(a): Pessoa natural ou jurídica, a quem compete decisões sobre tratamento dos dados pessoais. Art. 5º, VI, da Lei nº 13.709/2018.

Operador(a): Pessoa natural ou jurídica, que realiza o tratamento de dados pessoais em nome do(a) controlador(a). Art. 5º, VII, da Lei nº 13.709/2018.

ANPD: Autoridade Nacional de Proteção de Dados.

Parceiro: Toda pessoa física ou jurídica que, de alguma forma, está vinculada à Ikatec por meio de um contrato.

4. ÂMBITO DE APLICAÇÃO DA POLÍTICA

A presente Política será aplicável a todos os colaboradores que, no exercício de suas atividades, em algum momento possam ter contato com dados pessoais tratados pela IKATEC, ou em nome desta.

Políticas adicionais podem ser criadas em casos específicos, principalmente se exigido por lei ou regulamento.

5. HIPÓTESES DE TRATAMENTO DE DADOS PESSOAIS

5.1. Dados pessoais comuns

Em caso de tratamento de dados pessoais não sensíveis, a IKATEC somente realizará o tratamento de acordo com as hipóteses autorizadas pela LGPD. Entre as hipóteses previstas na legislação e que são diretamente aplicáveis à IKATEC estão as seguintes:

Em hipóteses excepcionais, a IKATEC coletará o consentimento do titular dos dados, o qual deverá conceder a autorização mediante manifestação livre, espontânea, inequívoca, destacada e para finalidades determinadas. Esta base legal será utilizada apenas em último caso, nas hipóteses em que não couber a aplicação de qualquer outra base legal que justifique o tratamento dos dados pessoais. (Art. 5º, XII e Art. Art. 7º, I, Lei nº 13.709/2018).

5.2. Dados pessoais sensíveis

A IKATEC poderá ainda realizar o tratar dados pessoais sensíveis com base nas hipóteses trazidas pelo art. 11 da LGPD, desde que os possíveis riscos sejam avaliados com o Encarregado ou Grupo de Trabalho de Privacidade, de acordo com a criticidade dos dados envolvidos.

6. PROGRAMA DE PRIVACIDADE E TRATAMENTO DE DADOS PESSOAIS

Para que o programa de privacidade e tratamento de dados pessoais da IKATEC seja efetivo e produza resultados positivos, é imprescindível que os colaboradores observem os procedimentos abaixo, bem como estes sejam constantemente observados durante o tratamento de dados pessoais. Vejamos:

6.1. Governança

A IKATEC, por intermédio de sua Governança em Privacidade de Dados, adotou a estrutura operacional híbrida indicada nos itens a seguir, a fim de que o tratamento de dados pessoais seja realizado de maneira a observar todos os pontos dessa Política e o cumprimento de todas as obrigações legais, bem como todas as ações relacionadas à privacidade sejam bem definidas, documentadas e registradas.

A Governança em Privacidade de Dados tem o objetivo de organizar e implementar políticas, procedimentos, estruturas, cultura da empresa, papéis e responsabilidades de cada agente de tratamento para atender às necessidades atuais e futuras das questões referentes à Proteção de Dados.

6.2. Responsáveis pelo programa de privacidade

A gestão e a aplicação do programa de privacidade e proteção de dados pessoais deverão ser conduzidas, gerenciadas e controladas pelo Grupo de Trabalho e pelo Encarregado, para que possa facilitar o controle de conteúdo, datas de publicação, prazos para revisão e demais medidas e procedimentos envolvendo esta Política.

6.3. Grupo de Trabalho

O Grupo de Trabalho tem como objetivos principais, mas não se limitando, a gerenciar e garantir a aplicação do programa de privacidade e proteção de dados pessoais. Ele deve se reunir (mensalmente/trimestralmente), ou sempre que necessário, para apresentação e acompanhamento do programa de privacidade e proteção de dados pessoais da IKATEC, e deve ser composto, por um modelo híbrido, por integrantes de áreas-chave da empresa, capazes de deliberar e decidir sobre assuntos relacionados à privacidade e proteção de dados, conforme a seguir:

Ainda, deverá ser realizado um treinamento (semestral/anual), ou sempre que necessário, com os demais colaboradores da empresa que não estejam envolvidos nas atividades de tratamento de dados pessoais decididos pelo Grupo de Trabalho de Privacidade e organizados pelo Encarregado, especificamente sobre os mesmos temas indicados acima.

6.4. Treinamentos

Todos os colaboradores da IKATEC que estejam envolvidos nas atividades de tratamento de dados pessoais deverão receber treinamentos periódicos, decididos pelo Grupo de Trabalho, especificamente sobre:

6.5. Registro de Operações de Tratamento

A IKATEC deverá manter o Registro de Operação de Tratamento de Dados Pessoais (“ROPA”), e fazer a sua atualização de forma trimestral, ou sempre que notar mudança no fluxo das atividades de tratamento.

8. SEGURANÇA

Para garantir a segurança dos dados pessoais tratados no exercício de suas atividades e evitar a ocorrência de acessos indevidos ou não autorizados, perda, destruição ou qualquer outra ação que comprometa a integridade, disponibilidade ou confidencialidade dessas informações, a IKATEC implementa todas as medidas sugeridas pela Autoridade Nacional de Proteção de Dados (ANPD) em seu Guia Orientativo para Agentes de Tratamento de Pequeno Porte, o que compreende uma variedade de tecnologias e procedimentos de segurança para ajudar a proteger os dados pessoais. O Grupo de Trabalho, o Encarregado e o Departamento de tecnologia da informação da IKATEC deverão trabalhar em conjunto para manter todos os dados pessoais tratados sempre seguros, mitigando os riscos com qualquer incidente de segurança da informação.

9. COLETA, USO, ARMAZENAMENTO E EXCLUSÃO DE DADOS

Todas as atividades de tratamento de dados pessoais realizadas pela IKATEC deverão ocorrer em respeito a todos os pilares dessa Política, estando sempre atribuídas a uma base legal específica.

9.1 Coleta de dados pessoais

O procedimento de coleta de dados pessoais deverá ser restrito àqueles essenciais para o cumprimento da finalidade primária determinada e informada ao titular dos dados, sempre observando a necessidade de manter atualizados os dados coletados.

Coleta de dados direta: é aquela quando o titular dos dados pessoais fornece seus próprios dados, como por exemplo, para a execução do contrato com a empresa. Neste caso, os titulares dos dados pessoais deverão ser informados, antes da coleta, de todos os detalhes sobre a atividade de tratamento.

Coleta de dados indireta: é aquela quando o titular dos dados pessoais não os fornece de maneira conscientemente, como por exemplo, por meio dos cookies.

Coletada de dados por terceiros: é aquela quando o titular fornece os dados para determinada empresa, e em razão da atividade exercida, se faz necessário o compartilhamento dos dados pessoais com um terceiro não ligado diretamente ao negócio da empresa. Nesses casos, deverão ser previamente informados aos titulares dos dados pessoais, como por exemplo nas Políticas de Privacidade, Termos de Uso e Contrato que inclua a cláusula de privacidade e proteção de dados pessoais, conforme orientações do departamento jurídico e do Encarregado, que deverão verificar a idoneidade de todos os terceiros.

9.2 Uso de dados pessoais

A utilização dos dados pessoais deverá estar limitada à expectativa que o titular dos dados possuía quando da realização da coleta das informações (inclusive se a coleta foi realizada de maneira indireta ou por terceiros), sendo que, na eventual hipótese de necessidade de alteração da finalidade previamente informada ao titular, este deverá ser novamente informado sobre as intenções, avaliando a necessidade de qualquer adequação.

9.3 Armazenamento e exclusão de dados pessoais

O armazenamento de dados pessoais deverá ser realizado pelo tempo mínimo necessário para atendimento da finalidade pretendida e cumprimento de eventuais obrigações legais que regulam determinada atividade de tratamento, seguindo a Política de Retenção de Dados. Sendo cumprida a finalidade e observados os prazos legais de necessária retenção da informação, os dados deverão ser excluídos, o que, por sua vez, deverá seguir meios adequados.

10. TRATAMENTO DE DADOS PESSOAIS SENSÍVEIS

A legislação de proteção de dados pessoais classifica alguns tipos de dados pessoais como dados sensíveis, devido à capacidade que possuem de gerar discriminação ao titular destas informações. A LGPD classifica as seguintes informações como dados pessoais sensíveis: a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando relacionados a um indivíduo.

Para que as atividades de tratamento de dados pessoais sensíveis sejam consideradas lícitas e legítimas, se faz necessário o enquadramento destas atividades em uma das bases legais previstas pela LGPD e deverão receber a máxima prioridade na segurança, nos termos das Políticas e de segurança, conforme a legislação vigente aplicada.

11. TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES

O tratamento de dados pessoais de “crianças” e “adolescentes” será tratado de maneira excepcional. Nestes ele somente deverá ser realizado após a coleta do consentimento específico e em destaque dado por pelo menos por um dos pais ou pelo responsável legal, mantendo públicas as informações sobre o tipo de dados coletados, a forma de utilização e as garantias dos demais direitos dos titulares assegurados pela lei.

12. RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS

A LGPD definiu em seu artigo 5º, XVII, que o Relatório de Impacto a Proteção de Dados Pessoais (“RIPD”), é uma “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.” Ou seja, quando em um processo de tratamento de dados pessoais for verificado a possibilidade de colocar em risco às liberdades civis e os direitos fundamentais dos titulares, deve ser elaborado o RIPD, a fim de mitigar esses riscos.

Apesar de estar previsto em Lei, a ANPD ainda não trouxe regulamentações e/ou orientações sobre o RIPD, fazendo com que esse relatório, muitas vezes, seja utilizado de maneira indiscriminada, desviando a sua finalidade de ferramenta de gestão de riscos à privacidade.

Segundo a agenda regulatória da ANPD, o RIPD está em sua primeira fase do processo regulatório, com término previsto para o segundo semestre de 2022.

Assim, até que ANPD proceda a devida regulamentação, o RIPD ainda não é um documento obrigatório, conforme podemos observar na LGPD, porém pode vir a se tornar obrigatório, de acordo com regulamentos e determinações futuras da ANPD, que poderá elencar um rol de atividades que demandem a elaboração do instrumento.

Todavia, conforme descrito no artigo 10º, § 3º, da LGPD, a “autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial”. Neste caso, será obrigatório a elaboração do RIPD.

Por isso, é muito importante verificar o caso concreto, por meio do mapeamento de dados pessoais, para que possa ser analisado se existe a necessidade de elaborar o RIPD, caso seja um tratamento de alto risco, ou caso contrário, continuar o monitoramento do tratamento dentro do Registro de Operações de Tratamento (“ROPA”).

• Direito de acesso: Você tem o direito de acessar quaisquer dados pessoais que mantemos sobre você (sujeito a certas restrições). Em circunstâncias excepcionais, podemos cobrar uma taxa razoável para fornecer tal acesso, mas somente quando permitido por lei (por exemplo, quando sua solicitação for manifestamente infundada ou excessiva);

• Direito à retificação: Você tem o direito de solicitar a retificação de informações que considere incorretas. Você também tem o direito de nos perguntar para completar informações que você acha que estão incompletas;

• Direito de apagar: Em alguns casos, você tem o direito de que seus dados pessoais sejam apagados ou excluídos. Observe que este não é um direito absoluto, pois podemos ter motivos legais ou legítimos para reter seus dados pessoais;

• Direito de restrição de processamento: Você tem o direito de nos pedir para restringir o processamento de suas informações em certas circunstâncias;

• Direito de se opor ao processamento: Você tem o direito de se opor ao processamento se formos capazes de processar suas informações no exercício de interesses legítimos prosseguidos ou quando efetuado para fins que não sejam aqueles para os quais os dados pessoais foram recolhidos;

• Direito à portabilidade de dados: Isso se aplica apenas às informações que você nos forneceu. Você tem o direito de solicitar a transferência de informações que você nos passou de uma organização para outra, ou as deu a você. O direito só se aplica se formos processamento de informações com base em seu consentimento ou sob, ou em conversas sobre a celebração de um contrato e o processamento é automatizado;

• Direito de retirar o consentimento a qualquer momento para o processamento de dados pessoais com base no consentimento: Você pode retirar seu consentimento para o nosso processamento de seus dados pessoais quando tal processamento for baseado em consentimento. Quando você retirar seu consentimento, isso não afeta a legalidade do nosso processamento antes de sua retirada.

14. CANAL DE COMUNICAÇÃO

Conforme mencionado no item anterior, a IKATEC possui um canal de comunicação disponível por meio do endereço eletrônico: encarregado@ikatec.com.br , disponibilizado aos titulares de dados para o encaminhamento de requisições de direitos, nos termos dos artigos 17 à 22 da Lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais. Cabe ao Encarregado aceitar as reclamações e comunicações, prestar esclarecimentos ou adotar providências de interesse dos titulares de dados, e receber comunicações da ANPD, além de outras atribuições previstas em lei ou que forem estabelecidas pela ANPD.

14.1. PROTOCOLO DE RESPOSTAS

O titular dos dados (colaborador, terceiros, parceiros, clientes etc.) deverá encaminhar a requisição de direitos por e-mail para o endereço eletrônico acima indicado. Após receber as requisições de exercício dos direitos dos titulares, o Encarregado irá analisar junto ao Departamento Jurídico e, tratando-se de resposta simples, retornará no prazo de até 24 (vinte e quatro horas) úteis ao titular. Já nos casos em que a resposta demande um esforço maior e um formato completo, retornará no prazo de até 15 (quinze) dias, contado da data do requerimento do titular. O atendimento será prestado sem custos, por meio eletrônico e com a confirmação de que o requerente é o próprio titular de dados ou seu representante legalmente constituído, podendo a IKATEC exigir o envio de documentação complementar apta a comprovar a titularidade do requisitante ou do seu representante ou da representação, sempre para a garantia da privacidade dos titulares.

15. TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS

A LGPD não proíbe a transferência internacional de dados e a permite nos seguintes casos:

O nível de proteção de dados do país estrangeiro será avaliado pela ANPD, mas, no momento, ainda não temos nenhuma norma sobre o assunto. Além disso, no futuro, a ANPD poderá definir o conteúdo de cláusulas-padrão contratuais, normas corporativas globais, selos, certificados e códigos de conduta para nos orientar melhor sobre essa transferência.

Nesse sentido, na hipótese de transferência internacional de dados pessoais, a IKATEC deverá adotar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, e necessárias para garantir a integridade, a disponibilidade e a confidencialidade dos dados pessoais, conforme as regulações da ANPD.

16. VALIDADE

A presente Política foi revista e aprovada aos 06/11/2023 pela Diretoria, de forma que o presente documento permanece em vigor, e será revisado no período máximo de um (01) ano ou, em havendo necessidade, em período menor, para que o documento permaneça sempre atualizado.