POLÍTICA GERAL DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
1. OBJETIVO
A Política Geral de Privacidade e Proteção de Dados Pessoais (referenciada adiante apenas como “Política”) da REAL PRICE TECHNOLOGY S/A (“Organização”) é o alicerce do Programa de Governança em Privacidade e Proteção de Dados da Organização e tem por finalidade descrever de forma clara o seu funcionamento. O Programa de Governança em Privacidade e Proteção de Dados tem por objetivo estabelecer padrões mínimos para que a Organização possa conduzir os seus negócios de forma transparente e de acordo com as leis vigentes sobre o tema, respeitando os direitos e as liberdades fundamentais dos titulares de dados pessoais. A REAL PRICE reconhece a importância da manutenção da privacidade e da proteção dos dados pessoais de seus colaboradores, daqueles que a ela prestam serviços, de seus parceiros de negócios, de seus associados e de seus fornecedores e reafirma seu compromisso de efetivar todas as medidas necessárias para atingir esse fim.
2. DEFINIÇÕES GERAIS
As definições dos termos utilizados nesta Política podem ser consultadas no Anexo I, ao final deste documento
3. APLICABILIDADE
Esta Política se aplica a todos os colaboradores da REAL PRICE, sejam funcionários, estagiários, prestadores de serviços, parceiros de negócios, fornecedores ou terceiros que realizam em nome dela o tratamento de dados pessoais.
4. ESTRUTURA NORMATIVA DO PROGRAMA DE GOVERNANCA EM PRIVACIDADE E PROTECAO DE DADOS DA REAL PRICE
A estrutura normativa do referido Programa é composta por um conjunto de documentos com três níveis distintos, relacionados a seguir, divulgados a todos os colaboradores e prestadores de serviços e disponíveis para consulta de quem interessar. i.Política Geral de Privacidade e Proteção de Dados: documento interno que define a estrutura, as diretrizes gerais e as obrigações inerentes ao Programa de Governança em Privacidade e Proteção de Dados da Real Price. ii.Avisos de privacidade: como o Aviso de Privacidade Externo e o Aviso de Privacidade Interno, têm a finalidade de dar transparência aos titulares a respeito das ações de tratamento dos dados deles realizadas pela REAL PRICE. iii. Políticas e procedimentos: estabelecem as diretrizes e as ações específicas a serem implementadas durante o tratamento de dados pessoais efetuado no âmbito da REAL PRICE e devem ser elaboradas pela equipe responsável pela gestão do Programa de Governança em Privacidade e Proteção de Dados com o auxílio e a supervisão do Encarregado pelo Tratamento de Dados Pessoais.
5. DIRETRIZES BÁSICAS DO PROGRAMA
a) Todo programa de conformidade deve gerar evidências. No caso de um titular de dados ou de a Autoridade Nacional de Proteção de Dados – ANPD questionar sobre a implementação deste Programa, a REAL PRICE deve ser capaz de atestar a existência dele, apresentando a estrutura normativa definida no Tópico 4 desta Política. b) Toda operação de tratamento de dados pessoais realizada em nome da REAL PRICE deverá seguir os princípios básicos dispostos no artigo 6º da LGPD e reforçados em uma Política de Manuseio de Dados Pessoais da organização. c) Toda operação de tratamento de dados pessoais em que a REAL PRICE figurar como controladora deverá ser fundamentada em uma das bases legais previstas na LGPD (artigo 7º para dados pessoais simples, artigo 11 para dados pessoais sensíveis ou artigo 14, § 1º, para dados pessoais de crianças e adolescentes). As bases legais em que se enquadram as operações de tratamento da REAL PRICE deverão estar dispostas no Registro de Atividades de Tratamento de Dados Pessoais, pormenorizado a seguir. d) REAL PRICE é legalmente obrigada a manter o registro atualizado e completo de todas as atividades de tratamento de dados pessoais em que figurar como controladora, contendo, no mínimo, as seguintes informações: i.Descrição da operação (coleta, armazenamento, uso, compartilhamento, finalidade, período de guarda e descarte). ii. Base legal. iii. Tipos de dados pessoais. iv. Finalidade. v. Período de retenção. vi. Área de negócio ou suporte responsável pelo tratamento. vii. Volume aproximado de dados pessoais existentes. Todos os colaboradores e prestadores de serviços da REAL PRICE que realizam o tratamento de dados pessoais devem contribuir para a atualização desse registro, relatando à pessoa encarregada pela gestão do programa de conformidade sobre alterações nas atividades, novas atividades ou encerramento destas e eventuais suspeitas de inconsistências. As operações de compartilhamento de dados pessoais deverão seguir os parâmetros estabelecidos em lei e em contrato, quando houver. A REAL PRICE poderá estabelecer uma Política de Manuseio de Dados e Compartilhamento de Dados com Terceiros para balizar essas operações internamente e guiar as equipes a respeito dessas atividades. Todos os produtos, os projetos e as iniciativas da REAL PRICE que envolverem dados pessoais deverão ser submetidos à análise de privacidade desde a concepção, conforme as regras estabelecidas no Procedimento para Análise da Privacidade desde a Concepção (ou Procedimento de Privacy by Design). As operações de tratamento de dados pessoais que necessitarem da obtenção de consentimento do titular deverão ser pautadas pela legislação em vigor, sendo que a REAL PRICE poderá estabelecer as instruções em uma Política de Uso e Gestão do Consentimento. É necessário que todos os dados pessoais tratados pela REAL PRICE possuam prazos de retenção definidos, devidamente justificados, devendo ser excluídos ou anonimizados após o término desses períodos. As informações sobre o tratamento de dados pessoais deverão ser divulgadas publicamente pela Real Price em seus principais canais de comunicação com o seus clientes, colaboradores, fornecedores e prestadores de serviços. Tais informações devem constar principalmente nos Avisos de Privacidade Externo e Interno (voltado aos funcionários).
6. DIREITOS DOS TITULARES
A REAL PRICE está comprometida com a promoção dos direitos dos titulares de dados pessoais estabelecidos pela LGPD, garantindo a eles:
| Direito do titular | Descrição |
|---|---|
| Confirmação da existência do tratamento | A obtenção, mediante requisição, a qualquer momento, da confirmação sobre a realização ou não do tratamento dos dados pessoais deles. |
| Acesso | Consulta facilitada e gratuita sobre a forma, a duração do tratamento e a integralidade dos dados pessoais deles. |
| Qualidade dos dados | O armazenamento dos dados pessoais dos titulares deve respeitar os critérios de exatidão, clareza, relevância e atualização, de acordo com a necessidade e para o cumprimento da finalidade do tratamento informada previamente. |
| Anonimização, bloqueio ou eliminação dos dados pessoais | Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD. |
| Portabilidade | Portabilidade, mediante requisição expressa, dos dados pessoais deles a um terceiro, de acordo com a regulamentação da ANPD e observados os segredos comerciais e industriais. |
| Informação | Prestação de informações sobre as entidades públicas e privadas com as quais realiza o compartilhamento dos dados pessoais deles. |
| Revogação ou não fornecimento do consentimento | Comunicação sobre a possibilidade de revogar e/ou não fornecer consentimento para o tratamento dos dados e sobre as consequências dessas ações. |
| Revisão de decisão automatizada | Meios de solicitarem a revisão de decisões tomadas com base unicamente em tratamento automatizado que afetem seus interesses, incluídas as decisões destinadas a definir seus perfis pessoais, profissionais, de consumo e de crédito ou os aspectos de suas personalidades. |
| Oposição | Manifestação de oposição a atividades de tratamento que sejam justificadas por bases legais diversas do consentimento. |
Quanto ao atendimento às requisições dos titulares de dados pessoais, cabe à REAL PRICE: a) Disponibilizar um canal com suporte para o recebimento das solicitações a qualquer momento do dia, que contenha (mesmo que de forma automatizada) a notificação ao titular de recepção pela empresa da solicitação; b) Possuir um script padronizado para responder às solicitações, contendo as medidas que serão tomadas para atender a cada uma delas; c) Gerar evidências em todas as etapas do processo, desde o recebimento das solicitações até o momento do envio da resposta; d) Armazenar dados passíveis de consulta em formatos que facilitem esse processo; e)Oferecer, de forma gratuita aos titulares, meios para que os direitos supracitados sejam atendidos.
7. RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS – RIPD
O RIPD (também chamado de DPIA - Data Protection Impact Assessment) é um importante documento de compliance que situa a gestão de riscos da organização no tratamento de dados pessoais, demonstrando quais operações podem gerar mais riscos às liberdades civis e aos direitos fundamentais dos titulares e eventuais mecanismos de mitigação de risco. Com a elaboração do RIPD, a organização realiza a avaliação de conformidade de suas operações de tratamento de dados em relação ao previsto pela LGPD, além de demonstrar boas práticas de gestão com relação aos princípios da responsabilização e prestação de contas. A formulação do RIPD deverá ocorrer sempre que a operação de tratamento de dados pessoais, considerando sua natureza, contexto e finalidade, ofertar um elevado risco à garantia de um dos princípios gerais elencados na LGPD. Também poderá ser elaborado em situações nas quais a REAL PRICE, seu Encarregado ou seu Comitê de Privacidade julgarem necessário. Deve ser elaborado ainda quando solicitado pela ANPD e quando o tratamento de dados oferecer riscos que possam afetar as liberdades civis e os direitos fundamentais dos titulares, especialmente quando a operação: Tiver como base legal o legítimo interesse da REAL PRICE ou de terceiros; Envolver dados pessoais sensíveis ou de menores de idade.
8. INCIDENTES DE SEGURANÇA DA INFORMAÇÃO ENVOLVENDO DADOS PESSOAIS
Serão adotadas, no âmbito do Programa de Governança em Privacidade e Proteção de Dados da REAL PRICE, medidas técnicas e administrativas com as finalidades de proteger o sistema de tecnologia da informação e todas as operações de tratamento de dados pessoais, além de minimizar e prevenir a ocorrência de incidentes de segurança como vazamento de dados ou acessos não autorizados. É dever dos colaboradores e prestadores de serviços da organização, caso suspeitem da ocorrência de um incidente de segurança envolvendo dados pessoais, imediatamente entrar em contato com o Encarregado (DPO), através do email dpo@protoai.com.br, para que haja a verificação imediata da situação, e, se necessário, inicie-se o Procedimento de Respostas a Incidentes de Segurança da Informação Envolvendo Dados Pessoais.
9. GESTÃO DO PROGRAMA DE GOVERNANÇA / COMITÊ DE PRIVACIDADE E PROTEÇÃO DE DADOS
Compete ao Comitê de Privacidade e Proteção de Dados da REAL PRICE, com o auxílio e supervisão do Encarregado (DPO), a gestão centralizada e independente do Programa de Governança em Privacidade e Proteção de Dados, inclusive no que concerne à criação de métricas, à fiscalização de cumprimento das normas, à atualização de políticas e procedimentos e ao treinamento de colaboradores. O Comitê e o Encarregado estarão disponíveis para efetuar o esclarecimento de quaisquer dúvidas de colaboradores e prestadores de serviços da REAL PRICE sobre o aludido Programa privacidade@protoai.com.br.
10. CONSIDERAÇÕES FINAIS
O descumprimento, por qualquer colaborador ou prestador de serviços da REAL PRICE, independentemente de seu nível hierárquico, das disposições elencadas nesta Política e das demais regras que compõem o Programa de Governança em Privacidade e Proteção de Dados da organização pode resultar em ações disciplinares e legais. Esta Política entra em vigor na data de sua divulgação. Se necessário, adendos a este documento podem ser elaborados e serão divulgados a todos os colaboradores. É responsabilidade da REAL PRICE como organização, assegurar que todos os seus colaboradores e prestadores de serviços vinculados às suas equipes se familiarizem com o conteúdo desta Política e com os demais documentos que compõem o aludido Programa. Esta Política poderá ser revisada sempre que houver mudanças no Programa de Governança em Privacidade e Proteção de Dados da organização ou a cada 2 (dois) anos. As alterações serão informadas aos colaboradores oportunamente.
11. HISTÓRICO
Versão: 1.0 - Data de publicação: 22/12/2023 - item e descrição: Política Geral de Privacidade e Proteção de Dados
ANEXO I – DEFINIÇÕES
As definições ora elencadas são, sempre que possível, reflexo da conceituação trazida pela Lei Geral de Proteção de Dados Pessoais – LGPD (Lei Federal nº 13.709/2018) e por outras normas aplicáveis à matéria de privacidade e proteção de dados pessoais, podendo ser atualizadas quando a aludida legislação sofrer alterações, especialmente se tais modificações forem implementadas pela Autoridade Nacional de Proteção de Dados – ANPD. Tratam-se de conceitos e nomenclaturas empregados no Programa de Governança em Privacidade e Proteção de Dados da REAL PRICE. Agentes de tratamento de dados pessoais: segundo a LGPD, são os responsáveis pelo tratamento de dados pessoais. Compreendem-se aqui o controlador e o operador, a seguir definidos. Anonimização: processo pelo qual um dado perde a capacidade de identificar o titular ao qual pertence, considerando a utilização dos meios técnicos disponíveis na ocasião do seu tratamento. ANPD: é o Órgão público responsável por regulamentar, fiscalizar e aplicar penalidades administrativas relacionadas a privacidade e proteção de dados pessoais. Banco de dados: conjunto estruturado de dados, estabelecido em um ou em vários locais, em ambiente eletrônico ou físico. Base legal: termo que se refere às hipóteses em que a LGPD autoriza o tratamento de dados pessoais, listadas nos artigos 7º, 11 e 14, § 1º, da referida Lei. Comitê de Privacidade e Proteção de Dados: é o Órgão que compõe a estrutura do Programa de Governança em Privacidade e Proteção de Dados da REAL PRICE. Consentimento: manifestação livre, informada e inequívoca por meio da qual o titular demonstra concordar com o tratamento de seus dados pessoais para uma finalidade determinada. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Dado anonimizado: dado por meio do qual não se pode identificar o titular ao qual pertence, considerando a utilização dos meios técnicos disponíveis na ocasião do tratamento. Dados biométricos: dados pessoais relativos às características físicas, fisiológicas e comportamentais que permitem ou confirmam a identificação única de uma pessoa natural, que podem ser resultantes da realização de tratamentos técnicos específicos, como captura de vídeo, imagem, impressão digital, reconhecimento facial, etc. Dados comportamentais: dados pessoais que revelem tendências comportamentais dos titulares, gerados com base em históricos de navegação, de consumo e de geolocalização, entre outras formas de análise de preferências pessoais. Dados financeiros: dados pessoais relacionados a informações bancárias (banco, agência, conta corrente), salários, impostos, rendimentos, faturas de cartão de crédito e scores de crédito, por exemplo. Dados pessoais: qualquer informação relativa a uma pessoa singular que a identifique ou que a possa identificar. São exemplos: nome, data de nascimento, estado civil, números de CPF e RG, endereços de e-mail e residencial, conta e agência bancária, características físicas, econômicas, culturais e sociais. Dados pessoais de crianças: dados pessoais de toda e qualquer pessoa física com até 12 anos de idade. Dados pessoais sensíveis: quaisquer dados de uma pessoa singular que digam respeito a origem racial ou étnica; convicção religiosa; opinião política; filiação a sindicato ou a organização de caráter religioso, filosófico ou político; à saúde ou à vida sexual; e a seus traços genéticos e biométricos. Decisões automatizadas: implementadas unicamente com base em regras, algoritmos, cálculos, análises estatísticas, instruções, inteligência artificial, aprendizado de máquina ou outra técnica computacional. Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado. Encarregado pelo Tratamento de Dados Pessoais: é a pessoa nomeada para atuar como um canal de comunicação entre a organização, os titulares dos dados e a ANPD. Tem como principal função assegurar que a empresa esteja em conformidade com as leis e regulações sobre privacidade e proteção de dados e fazer a gestão do programa de governança. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Princípios para o tratamento de dados pessoais: regras gerais para tratamento de dados pessoais elencadas no artigo 6º da LGPD. São eles: Finalidade: a realização do tratamento deve possuir propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com esses propósitos. Por exemplo: a REAL PRICE deve evitar usar termos genéricos como justificativas para tratar dados, como “para melhor experiência do cliente” ou “para conduzir o negócio”. Adequação: deve ser mantida a compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento. Por exemplo: se a REAL PRICE coleta dados de algum cliente para prestar determinado serviço, ela não deve usar esses mesmos dados para enviar anúncios de marketing, a não ser que o titular tenha dado seu consentimento para a finalidade adicional. Necessidade: deve ser respeitada a limitação do tratamento do mínimo de dados necessários para o atingimento dos objetivos que ocasionaram a ação de tratamento de dados. Por exemplo: se para concluir uma transação com seus clientes a REAL PRICE não precisa dos dados financeiros desses, não os deve solicitar. Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento dos dados, bem como sobre a integralidade das informações mantidas. Na prática, a REAL PRICE deve ser capaz de atender às requisições dos titulares (conforme o artigo 18 da LGPD), como de correção de dados incompletos e de revogação do consentimento para o tratamento. Qualidade dos dados: garantia de exatidão, clareza, relevância e atualização dos dados dos titulares, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. Por exemplo: a REAL PRICE deve promover atualizações cadastrais de seus fornecedores. Transparência: garantia da prestação, aos titulares, de informações claras, precisas e facilmente acessíveis sobre o modo de realização do tratamento de seus dados e sobre o agente que o efetua, observados os segredos comercial e industrial. O Aviso de Privacidade Externo da REAL PRICE tem por objetivo principal garantir essa transparência aos titulares. Segurança: devem ser utilizadas medidas técnicas e administrativas com o intuito de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Por exemplo: a REAL PRICE deve sujeitar o armazenamento de dados a mecanismos adequados de segurança, como armários com chaves, e de tecnologia da informação, como o controle de acesso por login e senha e o monitoramento de tráfego da rede da empresa (via firewall). Prevenção: a ocorrência de danos em virtude do tratamento de dados pessoais deve ser evitada. A REAL PRICE deve, portanto, ser proativa no cumprimento da LGPD, garantindo que seu Programa de Governança em Privacidade e Proteção de Dados tenha mecanismos de prevenção a danos. Uma boa medida é a elaboração de Relatórios de Impacto de Proteção de Dados – RIPDs, que ajudam a mitigar riscos possivelmente oferecidos pelas atividades de tratamento. Não discriminação: o tratamento de dados não deve ser realizado para fins discriminatórios ilícitos ou abusivos. Por exemplo: a REAL PRICE não pode analisar histórico de crédito de algum candidato em processo seletivo. Responsabilização e prestação de contas: o agente deve demonstrar e comprovar a adoção de medidas eficazes em observância e em cumprimento das normas de proteção de dados pessoais vigentes. Na prática, a REAL PRICE não deve apenas cumprir a LGPD, mas também deve manter mecanismos de registro desse cumprimento para levar ao conhecimento dos titulares ou da ANPD, quando solicitado. Pseudonimização: tratamento por meio do qual um dado deixa de ser vinculado, direta ou indiretamente, a um indivíduo, a não ser mediante o cruzamento com informação adicional mantida separadamente pelo controlador. RIPD: nome que se dá ao documento que descreve uma atividade de tratamento de dados pessoais que, por sua natureza, possa gerar riscos às liberdades civis ou aos direitos individuais dos titulares dos dados nela envolvidos. Terceiro: toda e qualquer pessoa, física ou jurídica, de direito público ou privado, com a qual a REAL PRICE se relacione (são exemplos: órgãos e entidades públicas, fornecedores, consultores, parceiros de negócios e locatários cessionários de espaço). Titular: pessoa natural a quem se referem os dados pessoais (exemplos: um empregado, um estagiário, um fornecedor e um cliente). Transferência internacional de dados: transferência de dados para país estrangeiro ou para organismo internacional do qual o Brasil seja membro. Tratamento: toda e qualquer operação com dados pessoais, incluindo: coleta, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, atualização, comunicação, transferência, compartilhamento e extração. Uso compartilhado de dados pessoais ou “Compartilhamento”: toda e qualquer forma de comunicação, divulgação, transferência (inclusive internacional), interconexão ou tratamento compartilhado de bancos de dados pessoais com terceiros (exemplos: entrega dos dados de empregados ao E-Social ou a administradoras de benefícios funcionais e envio dos dados de administradores a instituições financeiras).
Um produto Real Price Technology S/A
CNPJ: 69.106.250.0001-07
Av. Antártica, 675 - Sala 1502
CEP: 05003-020 - São Paulo/SP
Copyright © 2024 Real Price Technology S/A. All rights reserved.
Developed by Marketing Team and Technology Team.