Política de Privacidade

GRUPO FLIP E LOTUS – POLÍTICA DE PROTEÇÃO DE DADOS

 

1. OBJETIVO

Esta Política estabelece as orientações gerais para a proteção de dados pessoais dentro do ambiente corporativo da FLIP/LOTUS/LUX, uma vez que na execução de suas operações coleta, manuseia e armazena informações que podem estar relacionadas a pessoas físicas identificadas e/ou identificáveis (“Dados Pessoais”), com o objetivo de

a. Estar em conformidade com as leis e regulamentações aplicáveis de proteção de Dados Pessoais e seguir as melhores práticas;

b. Proteger os direitos dos Integrantes, clientes, fornecedores e parceiros contra os riscos de violações de Dados Pessoais;

c. Ser transparente com relação aos procedimentos da FLIP/LOTUS no Tratamento de Dados Pessoais;

d. Promover a conscientização em toda a empresa em relação à proteção de Dados Pessoais e questões de privacidade.

 

2. APLICAÇÃO

Esta Política é aplicável ao grupo FLIP/LOTUS e a todos os Integrantes que tenham acesso a quaisquer Dados Pessoais detidos pela FLIP/LOTUS ou em seu nome. Procedimentos adicionais podem ser criados de acordo com exigência da legislação local.

 

3. REFERÊNCIAS

a. Lei Geral de Proteção de Dados (“LGPD”);b. Política de Segurança da Informação;

b. Política de Privacidade Colaboradores;

c. Termo de Confidencialidade

 

4. ATRIBUIÇÕES E RESPONSABILIDADES

Conselho:

a. Aprovar esta Política e suas futuras alterações; e Responsabilizar-se pelo uso adequado de Dados Pessoais em suas atividades.

b. Contratar o encarregado de dados (“DPO”) e estabelecer os correspondentes orçamentos para execução das suas atividades, responsabilizando-se pelo gerenciamento dos mesmos; 

Encarregado de Proteção de Dados Pessoais:

c. Revisar e recomendar a aprovação desta Política e suas alterações ao Conselho. Garantir que a FLIP/LOTUS esteja em conformidade com as leis e regulamentos relacionados à privacidade e proteção de Dados Pessoais;

d. Responsabilizar-se pelo uso adequado de Dados Pessoais em suas atividades;

e. Fazer o monitoramento permanente e efetivo da implementação das iniciativas de privacidade, incluindo os eventos relacionados a vazamento de Dados Pessoais;

f. Reportar ao Conselho os eventos relacionados a vazamento de Dados Pessoais;

g. Revisar e manter atualizado o mapeamento de Dados Pessoais, pelo menos uma vez por ano (ou sempre em caso de mudanças substanciais);

h. Garantir que, ao usar Consentimento para o Tratamento de Dados Pessoais, que este seja coletado e gerenciado de forma que a opção dada pelo Titular do Dado seja respeitada e que gere evidências necessárias para apresentação às autoridades ou ao próprio Titular; 

i. Realizar treinamentos, programas de conscientização e comunicação do tema de privacidade de Dados Pessoais em toda a Companhia;

j. Elaborar e manter atualizada a Documentação Orientadora relativa à privacidade que estejam na sua competência;

k. Atender às solicitações dos Titulares de Dados Pessoais de acordo com a legislação;

l. Cooperar e se relacionar com a Autoridade Nacional de Proteção de Dados Pessoais (ANPD); e garantir a manutenção das evidências de execução e implementação das iniciativas de privacidade atendendo ao princípio da responsabilização

 

Coordenadores/Gestores

a. Responsabilizar-se pelo uso adequado de Dados Pessoais nas atividades de suas respectivas áreas;

b. Garantir que os colaboradores atuem de acordo com esta Política;

Segurança da Informação (“SI”)

a. Responsabilizar-se pelo uso adequado de Dados Pessoais em suas atividades;

b. Analisar violações e vazamentos de Dados Pessoais bem como efetuar a coleta de evidências técnicas;

c. Monitorar e implementar medidas de segurança para garantir o cumprimento da legislação e da regulamentação aplicáveis;

d. Publicar avisos de privacidade em websites e programas externos;

e. Revisar e manter atualizada a Documentação Orientadora relativa à Segurança da Informação que estejam na sua competência;

f. Definir procedimento e templates para formalização de incidentes de Dados Pessoais;

g. Implementar mecanismos para garantir os direitos dos Titulares de Dados;

h. Prestar suporte técnico e analisar novas ferramentas e sistemas com foco na exposição de Dados Pessoais;

i. Garantir a aplicação das medidas de segurança proporcionais ao risco gerado pelo Tratamento de Dados Pessoais e em linha com a expectativa de proteção do Titular do Dado Pessoal, garantindo a integridade, disponibilidade e confidencialidade destas informações.

 

Todos os Integrantes da FLIP/LOTUS

a. Responsabilizar-se pelo uso adequado de Dados Pessoais em suas atividades;

b. Cumprir a legislação e regulamentação aplicáveis, bem como Documentação Orientadora da Companhia relativos à proteção de Dados Pessoais e aplicação das medidas adequadas de segurança de TI;

c. Relatar para o Líder de Privacidade Corporativo ou seus representantes regionais a ocorrência de quaisquer incidentes de Dados Pessoais ou segurança de dados, bem como as deficiências identificadas relacionadas ou possíveis riscos de privacidade;

 

5. Da Proteção de Dados

 

5.1. Princípios de Proteção de Dados Pessoais

Este tópico descreve os princípios que devem ser observados na coleta, manuseio, armazenamento, divulgação e Tratamento de “Dados Pessoais” pela FLIP/LOTUS para atender aos padrões de proteção de dados no âmbito corporativo e estar em conformidade com a legislação e regulamentação aplicáveis nos respectivos países onde tiver operação ou atividade comercial. 

 

5.1.1. Legalidade, Transparência e Não Discriminação

A FLIP/LOTUS trata os Dados Pessoais de forma justa, transparente e em conformidade com legislação e regulamentação aplicáveis. 

A FLIP/LOTUS somente trata Dados Pessoais quando o propósito/finalidade do Tratamento se enquadra em uma das hipóteses legais permitidas, abaixo elencadas, sendo certo que os Titulares de Dados devem ser informados sobre a razão e a forma pela qual seus Dados Pessoais estão sendo tratados antes ou durante a coleta:

a. Necessidade para a execução de um contrato do qual o Titular dos Dados é parte;

b. exigência decorrente de lei ou regulamento;

c. interesse legítimo pelo Tratamento, hipótese na qual tal interesse legítimo será comunicado previamente;

d. necessidade de prover ao Titular dos Dados o exercício regular de direito em processo judicial, administrativo ou arbitral.

 

Quando o Tratamento de Dados Pessoais não se enquadrarem nas hipóteses acima, a FLIP/LOTUS deve obter o Consentimento dos Titulares dos Dados para o Tratamento de seus Dados Pessoais, e assegurar que este Consentimento e seja obtido de forma específica, livre, inequívoca informada. A FLIP/LOTUS deve coletar, armazenar e gerenciar todas as respostas de Consentimento de maneira organizada e acessível, para que a comprovação de Consentimento possa ser fornecida quando necessário.

Da mesma forma, o Titular de Dados deve ter a possibilidade de retirar o seu Consentimento a qualquer momento com a mesma facilidade que foi fornecido. 

O Tratamento de Dados Pessoais Sensíveis é proibido, exceto nos casos específicos descritos abaixo, nos quais deverão ser observados padrões de segurança mais robustos do que os empregados aos demais Dados Pessoais: 

a. quando for necessário para o cumprimento de obrigação legal ou regulatória;

b. quando for necessário para o exercício regular de direitos como, por exemplo, defesa ou proposição de ações judiciais ou administrativas ou arbitrais;

c. quando for necessário para o cumprimento de obrigações e o exercício de direitos em matéria de emprego, previdência social e proteção social;

d. para proteção à vida ou à incolumidade física do Titular do Dado incluindo dados médicos com fins preventivos, ocupacional;

e. para fins de promoção ou manutenção de igualdade de oportunidades entre pessoas de origem racial ou étnica diferente,

f. quando o Titular dos Dados tiver dado o seu Consentimento explícito, de acordo com a legislação e regulamentação aplicáveis;

g. quando o Tratamento for relativo a condenações penais e infrações ou a medidas de proteção relacionadas será efetuado sob o controle da autoridade pública ou quando o Tratamento for autorizado pela legislação da União ou de um Estado-Membro que preveja as salvaguardas adequadas para os direitos e liberdades dos Titulares de Dados Pessoais.

 

5.1.2. Limitação e Adequação da Finalidade

O Tratamento de Dados Pessoais deve ser realizado de maneira compatível com a finalidade original para a qual os Dados Pessoais foram coletados, não podendo ser coletados com um propósito e utilizados para outro. Quaisquer outras finalidades devem ser compatíveis com a razão original para qual os Dados Pessoais foram coletados. 

 

5.1.3. Princípio da Necessidade (Minimização dos Dados)

A FLIP/LOTUS somente pode tratar Dados Pessoais na medida em que seja necessário para atingir um propósito específico, este é o princípio da minimização de dados. O compartilhamento de Dados Pessoais com outra área ou outra empresa deve considerar este princípio, só podendo ser compartilhado quando tiver um amparo legal adequado.

5.1.4. Exatidão (Qualidade dos Dados)

A FLIP/LOTUS deve adotar medidas razoáveis para assegurar que quaisquer Dados Pessoais em sua posse sejam mantidos precisos, atualizados em relação às finalidades para as quais foram coletados, sendo certo que deve ser possibilitado ao Titular do Dado Pessoal a possibilidade de se requerer a exclusão ou correção de dados imprecisos ou desatualizados. 

 

5.1.5. Retenção e Limitação do Armazenamento de Dados

A FLIP/LOTUS deve ter conhecimento de suas atividades de Tratamento, períodos de retenção estabelecidos e processos de revisão periódica, não podendo manter os Dados Pessoais por prazo superior ao necessário para atender as finalidades pretendidas.

 

5.1.6. Integridade e Confidencialidade (Livre Acesso, Prevenção e Segurança)

A FLIP/LOTUS deve assegurar que medidas técnicas e administrativas apropriadas sejam aplicadas aos Dados Pessoais para protege-los contra o Tratamento não autorizado ou ilegal, bem como contra a perda acidental, destruição ou danos. O Tratamento de Dados Pessoais também deve garantir a devida confidencialidade. Dentre as medidas técnicas mais comuns, podem ser descritas:

a. Anonimização significa que os Dados Pessoais são tornados anônimos de tal forma que os dados não mais se referem a uma pessoa direta ou indiretamente identificável. O anonimato tem que ser irreversível.

b. Pseudoanonimização é um processo pelo qual os Dados Pessoais não mais se relacionam diretamente com uma pessoa identificável (por exemplo, mencionando seu nome), mas não é anônimo, porque ainda é possível, com informações adicionais, que são mantidas separadamente, identificar uma pessoa. 

 

5.1.7. Responsabilização e Prestação de Contas

A FLIP/LOTUS é responsável e deve demonstrar o cumprimento desta Política, assegurando a implementação de diversas medidas que incluem, mas não se limitam a:

c. garantia de que os Titulares dos Dados Pessoais possam exercer os seus direitos;

d. registro de Dados Pessoais, incluindo:

1. o registros de atividades de Tratamento de Dados Pessoais, com a descrição dos propósitos/finalidades desse Tratamento, os destinatários do compartilhamento dos Dados Pessoais e os prazos de armazenamento;

2. registro de incidentes de Dados Pessoais e violações de Dados Pessoais;

e. garantia de que os Terceiros que sejam Processadores de Dados Pessoais também estejam agindo de acordo com esta Política e com a legislação e regulamentação aplicáveis;

f. garantia de que a FLIP/LOTUS, quando requerido, registre junto à Autoridade Supervisora aplicável um Encarregado de Dados ou DPO;

g. garantia de que a FLIP/LOTUS esteja cumprindo todas as exigências e solicitações de qualquer Autoridade de Supervisão à qual esteja sujeita.

 

5.2. Padrões de Segurança

 

5.2.1. Importância da Proteção de Dados Pessoais

A FLIP/LOTUS está comprometido com a implementação dos padrões de Segurança da Informação e com a proteção de Dados Pessoais com vistas a garantir o direito fundamental do indivíduo à autodeterminação da informação. 

 

5.2.2. Garantir a Segurança dos Dados Pessoais

A confidencialidade, integridade e disponibilidade, bem como autenticidade, responsabilidade e não repúdio são objetivos a serem perseguidos para a segurança dos Dados Pessoais. 

5.3. Obrigação do Sigilo de Dados Pessoais Todos os Integrantes com acesso a Dados Pessoais estão obrigados aos deveres de confidencialidade dos Dados Pessoais e periodicamente quando necessário.

 

5.4. Privacidade de Dados Pessoais por Concepção e por Padrão Ao implementar novos processos, procedimentos ou sistemas que envolvam o Tratamento de Dados Pessoais, a FLIP/LOTUS deve adotar medidas para garantir que as regras de Privacidade e Proteção de Dados sejam adotadas desde a fase de concepção até o lançamento/implantação destes projetos.

 

6. Direitos dos Titulares de Dados Pessoais

A FLIP/LOTUS está comprometida com os direitos dos Titulares de Dados Pessoais, os quais incluem:

a. a informação, no momento em que os Dados Pessoais são fornecidos, s obre como seus Dados Pessoais serão tratados;

b. a informação sobre o Tratamento de seus Dados Pessoais e o acesso aos Dados Pessoais que a FLIP/LOTUS detenha sobre eles;

c. a correção de seus Dados Pessoais se estiverem imprecisos, incorretos ou incompletos;

d. a exclusão, bloqueio e/ou anonimização de seus Dados Pessoais em determinadas circunstâncias. Isso pode incluir, mas não se limita a, circunstâncias em que não é mais necessário que a FLIP/LOTUS retenha seus Dados Pessoais para os propósitos para os quais foram coletados;

e. a restrição do Tratamento de seus Dados Pessoais em determinadas circunstâncias;

f. opor-se ao Tratamento, se o Tratamento for baseado em legítimo interesse; 

g. a retirar o Consentimento a qualquer momento, se o Tratamento dos Dados Pessoais se basear no Consentimento do indivíduo para um propósito específico;

h. a portabilidade dos Dados Pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa em determinadas circunstâncias;

i. a apresentação de queixa à FLIP/LOTUS ou à Autoridade de Proteção de Dados aplicável, se o Titular dos Dados Pessoais tiver motivos para supor que qualquer um de seus direitos de proteção de Dados Pessoais tenha sido violado.

 

7. Prestadores de Serviços Terceirizados 

Os prestadores de serviços terceirizados que tratem Dados Pessoais sob as instruções da FLIP/LOTUS estão sujeitos às obrigações impostas aos Processadores de acordo com a legislação e regulamentação de proteção de Dados Pessoais aplicáveis. A FLIP/LOTUS deve assegurar que no contrato de prestação de serviço sejam contempladas as cláusulas de privacidade que exijam que o Processador de Dados terceirizado implemente medidas de segurança, bem como controles técnicos e administrativos apropriados para garantir a confidencialidade e segurança dos Dados Pessoais e especifiquem que o Processador está autorizado a tratar Dados Pessoais apenas quando seja formalmente solicitado pela FLIP/LOTUS. 

Nos casos em que o prestador de serviços estiver localizado fora do país em que o Dado Pessoal foi coletado, as cláusulas contratuais padrão devem ser incluídas no contrato de proteção de Dados Pessoais como um Anexo para garantir que as devidas salvaguardas exigidas pela legislação e regulamentação aplicáveis de proteção de Dados Pessoais sejam implementadas. 

 

8. Gerenciamento de Violação de Dados

Todos os incidentes e potenciais violações de dados devem ser reportadas ao encarregado de Proteção de Dados. Todos os Integrantes devem estar cientes de sua responsabilidade pessoal de encaminhar possíveis problemas, bem como de denunciar violações ou suspeitas de violações de Dados Pessoais assim que as identificarem. No momento em que um incidente ou violação real for descoberto, é essencial que os incidentes sejam informados e formalizados de forma tempestiva.

Violações de Dados incluem, mas não se limitam a qualquer perda, exclusão, roubo ou acesso não autorizado de Dados Pessoais controlados ou tratados pela FLIP/LOTUS.

 

9. DISPOSIÇÕES GERAIS

Os colaboradores da FLIP/LOTUS responsáveis por conhecer e compreender todos os Documentos Orientadores que lhes forem aplicáveis. De forma similar, os líderes são responsáveis por garantir que todos os Integrantes de sua equipe compreendam e sigam os Documentos Orientadores aplicáveis à FLIP/LOTUS. 

Os Integrantes que tiverem perguntas ou dúvidas a respeito desta Política, incluindo seu escopo, termos ou obrigações, devem procurar seus respectivos Líderes. 

Violações de qualquer Documentação Orientadora da FLIP/LOTUS podem resultar em consequências graves à FLIP/LOTUS e aos Integrantes envolvidos. Portanto, a falha em cumprir esta Política ou relatar o conhecimento de violação desta Política poderá resultar em ação disciplinar para qualquer Integrante envolvido. 

Caso qualquer Integrante e/ou Terceiro tenha conhecimento de um potencial conduta ilegal ou antiética, incluindo potenciais violações às Leis Anticorrupção aplicáveis e/ou Documentações Orientadoras da FLIP/LOTUS, incluindo este Documento, devem imediatamente reportar a potencial violação ao Canal de denúncia.

Nenhuma regra prevista nas Documentações Orientadoras da FLIP/LOTUS, incluindo esse Documento, proibirá que Integrantes ou Terceiros possam reportar preocupações ou atividades ilegais para as autoridades reguladoras correspondentes.