1. OBJETIVO
A Política de Privacidade Empresarial de Proteção de Dados Pessoais (“Política”) é o alicerce do Programa de Governança em Privacidade e Proteção de Dados Pessoais da Bravo. O objetivo desta Política é estabelecer uma cultura empresarial que observe os padrões nacionais e internacionais de proteção de dados pessoais, identificando as principais premissas a serem observadas que possibilite que a Bravo trate dados pessoais de maneira adequada. A Bravo está comprometida a seguir altos padrões éticos, e conduzir todos os seus negócios de forma transparente e de acordo com leis, regras, regulamentos, códigos, e diretrizes aplicáveis, respeitando os direitos e liberdades fundamentais de titulares de dados, nos termos da Lei Geral de Proteção de Dados (“LGPD”).
2. ESCOPO
Esta Política se aplica a todos os colaboradores e terceiros que eventualmente realizem o tratamento de dados pessoais ou sensíveis para ou em nome, da Bravo independentemente de vínculo direto com a empresa, ou da natureza do tratamento. Entende-se por “Colaborador” todos os funcionários, estagiários e jovens aprendizes da Bravo, independentemente do cargo ou função exercida, enquanto “Terceiro” são todos os prestadores de serviços, trabalhadores terceirizados, parceiros comerciais, fornecedores e representantes da Companhia.
Em todos os casos, aplicaremos sempre o padrão mais alto estabelecido no mercado em relação à proteção de dados. Variações decorrentes de leis locais e/ou regulações setoriais serão transformadas em anexo a esta Política, e devem ser interpretados em conjunto com esta Política.
3. DEFINIÇÕES
3.1 Dado Pessoal
Informação relacionada a pessoa natural identificada ou identificável;
3.2 Dado Pessoal Sensível
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
3.3 Dado Anonimizado
Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
3.4 Tratamento de Dados
Considera-se tratamento de dados toda operação realizada com dados pessoais e/ou sensíveis, tais como as que se referem, mas não se limitam a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, divulgação, transferência, difusão ou extração;
3.5 Controlador
Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
3.6 Operador
Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
3.7 Agente de Tratamento
Todo aquele que realiza o tratamento, podendo ser este controlador, operador, co-controlador, suboperador;
3.8 DPO (Encarregado)
Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
3.9 Transferência Internacional de Dados
Transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
3.10 Autoridade Nacional de Proteção de Dados (“ANPD”)
Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional;
3.11 Privacy by Design
Considerar as implicações de privacidade de um determinado tratamento de dados desde o início de sua concepção.
4. REGRAS GERAIS
Tratar dados pessoais é inevitável, e este tratamento pode gerar riscos para a Empresa. Por isso, devemos assegurar que esse tratamento ocorra de maneira adequada, de acordo com as regras desta Política e demais políticas e procedimentos aplicáveis à proteção de dados. Quaisquer dúvidas sobre como interpretar esta Política devem ser imediatamente levadas ao gestor da área e, no caso de desconhecimento, encaminhar ao DPO (Encarregado).
4.1 Princípios
Toda a atividade na Bravo deverá observar a boa-fé no tratamento de dados, e os seguintes princípios:
✓ Possuir finalidade legítima, específica, explícita e informada ao titular;
✓ Adequar o tratamento de dados realizados às finalidades informadas ao titular;
✓ Reter os dados pessoais apenas pelo tempo necessário;
✓ Coletar apenas os dados necessários para atender às finalidades do tratamento,
restringindo-nos a informações mínimas e proporcionais;
✓ Permitir aos titulares, quando aplicável, acesso aos seus dados de forma gratuita e facilitada;
✓ Garantir a exatidão, clareza, relevância e atualização dos dados tratados;
✓ Dar informações claras e precisas aos titulares sobre aspectos do tratamento de
seus dados pessoais, por meio facilmente acessível;
✓ Proteger os dados pessoais tratados com medidas aptas a manter a integridade,
disponibilidade e confidencialidade dos dados tratados de interferências acidentais ou
dolosas;
✓ Prevenir danos aos titulares que possam ser causados pelo tratamento de seus dados pessoais;
✓ Certificarmo-nos de que os tratamentos realizados não resultem discriminatórios, ilícitos, ou abusivos, revisitando as operações de tratamento sempre que necessário para avaliar se há possibilidade de discriminação;
✓ Responsabilizar-nos pela correta aplicação destes princípios em todas as atividades de tratamento que realizar;
✓ Adotar medidas eficazes para demonstrar o cumprimento das normas de proteção de dados em toda a Bravo, permitindo uma efetiva prestação de contas quanto ao tratamento de dados pessoais.
4.2 Registro de Atividades de Tratamento de Dados Pessoais
A Bravo é legalmente obrigada a mapear suas atividades de tratamento de dados pessoais, e manter este Registro de Atividades de Tratamento de Dados Pessoais atualizado, o que pode ser feito tomando como diretriz o Fluxo para Atualização do Registro de Atividades de Tratamento de Dados Pessoais. Todos aqueles que tratam dados pessoais devem contribuir para a atualização deste registro informando suspeitas de inconsistências, a criação de novas atividades de tratamento, e o encerramento de atividades de tratamento antigas ao DPO (Encarregado). O DPO (Encarregado) é responsável por garantir a atualização e revisão periódica completa deste registro.
4.3 Tratamento de Dados Pessoais
Todo tratamento de dados deve ser feito em acordo com as regras estabelecidas no Programa de Governança em Privacidade e Proteção de Dados Pessoais da Bravo. Assim, a Bravo deve implementar Avisos de Privacidade sempre e quando coletar dados pessoais de titulares, tanto internos quanto externos à Bravo. Os Avisos de Privacidade descrevem quais dados são coletados, como e a finalidade para que serão utilizados, e devem ocorrer antes da coleta dessas informações.
Além disso, todo tratamento deve considerar questões de privacidades desde o início do projeto. Adotar uma prática de Privacy by Design é essencial para que nossas atividades de tratamento estejam adequadas à LGPD e outras leis de proteção de dados que venham a ser aplicáveis. Em certos casos, a área responsável pela atividade deverá realizar um Relatório de Impacto à Proteção de Dados (“RIPD”), documentação que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco para demonstrar que a atividade proposta é adequada e não fere direitos dos titulares de dados. Dados sensíveis naturalmente tem um maior potencial de causar danos aos titulares.
Portanto, tem hipóteses mais restritas para serem usados. Em certos casos, pode ser que precisemos solicitar o consentimento dos titulares para a atividade, conforme a Política de Coleta, Uso e Gestão de Consentimento. Quando a identidade do titular deixar de importar, mas as informações ainda forem úteis para estudos, devemos anonimizar seus dados, para proteger a ele e a nós mesmos. Durante todo o ciclo de vida dos dados, devemos garantir que eles estão adequadamente protegidos por meios técnicos, e organizacionais.
4.4 Compartilhamento de Dados
É nosso dever garantir que os dados que recebemos foram coletados observando à LGPD. Igualmente, é nossa responsabilidade obrigar àqueles que recebem dados pessoais que nós coletamos a tratá-los de acordo com a LGPD. No Compartilhamento de Dados Pessoais, devemos ser diligentes ao escolher parceiros, e restringir as informações enviadas ao mínimo necessário para realização da atividade. Para isso, devemos aplicar cláusulas contratuais sobre privacidade e proteção de dados avaliadas e com o suporte do Jurídico da Bravo. Nos casos em que o compartilhamento de dados cruzar fronteiras nacionais, cuidados adicionais podem precisar ser tomados, de acordo com o país de destino de certa informação.
4.5 Incidentes de Dados Pessoais
Se houver suspeita de qual incidente envolvendo dados pessoais, o DPO (Encarregado) deverá ser acionado imediatamente para que possa verificar esta ocorrência e tomar as medidas necessárias para iniciar o plano de resposta da empresa. Nosso Plano de Resposta a Incidentes inclui detalhes de como realizar essa notificação e outras informações importantes no caso da ocorrência de um incidente na Bravo. Todo colaborador será responsável por notificar a ocorrência de eventuais incidentes ao DPO.
4.6 Geração de Evidências e Estrutura de Governança
Todo programa de conformidade deve gerar evidências. No caso de um titular, ou a ANPD questionarem a implementação do Programa de Governança em Privacidade e Proteção de Dados Pessoais, nós devemos ser capazes de produzir documentos que atestem a existência de nosso programa.
5. DIREITO DOS TITULARES
A Lei Geral de Proteção de Dados assegura aos titulares de dados diversos direitos relacionados aos seus dados pessoais, sendo estes: confirmação da existência de tratamento, acesso aos dados, correção de informação, restrição de dados excessivos, portabilidade de dados a outro fornecedor, recusar de dar consentimento, revogar consentimento previamente dados, eliminar dados tratados com base num consentimento pregresso, informação sobre compartilhamentos já realizados, e revisão de decisões automatizadas.
Nas hipóteses em que todos os direitos possam ser exercidos, deverá ocorrer a confirmação do tratamento de dados pessoais e o acesso (simples ou completo) a essas informações deve ser feito em até 15 dias do pedido. Os outros direitos serão regulamentados conforme entendimento futuro da Autoridade Nacional de Proteção de Dados Maiores informações podem ser encontradas na Guideline sobre Direito dos Titulares.
6. RESPONSÁVEIS PELO PROGRAMA DE PRIVACIDADE
Para que o programa de privacidade da Bravo se mostre efetivo e produza resultados positivos, é de grande importância que todos os colaboradores, gestores, diretores, funcionários, prestadores de serviços, dentre outros, observem as disposições contidas neste documento, levando em consideração que os atos de quaisquer colaboradores da Bravo poderão repercutir para a Companhia como um todo. Para facilitar o controle de conteúdo, datas de publicação e prazos para revisão, os documentos de governança relacionados à privacidade (incluindo esta Política) devem ser controlados e gerenciados de forma centralizada pelo Comitê de Privacidade, que conta com Regimento Interno próprio, e pelo DPO (Encarregado) competindo a esses a gestão do Programa de Governança em Privacidade e Proteção de Dados Pessoais da Bravo com a LGPD, incluindo a criação de métricas, fiscalização de cumprimento, atualização de políticas e procedimentos, e treinamento de colaboradores. Com o apoio dos responsáveis descritos acima, para a garantia do cumprimento das normas de privacidade e proteção de dados pessoais, os pontos a seguir devem ser observados por todos, sem prejuízo dos demais pontos desta política:
• Os colaboradores possuem como dever primário o de garantir a integridade, disponibilidade e confidencialidade dos dados pessoais tratados no exercício de suas funções;
• O tratamento dos dados pessoais deverá, necessariamente, observar as finalidades propostas, não permitido o tratamento incompatível ou excessivo ou para finalidades diversas, sem que haja a expressa autorização da Bravo, o qual previamente validou esta nova finalidade com o titular das informações;
• O colaborador deverá se utilizar do mínimo de informações necessárias para o cumprimento das finalidades pretendidas e regular exercício de suas funções;
• Os dados pessoais tratados no exercício da função deverão necessariamente ser armazenados em local seguro e oficialmente aprovados pela Bravo, sendo vedado o armazenamento não autorizado em ambientes próprios, como notebooks ou área de trabalho de computadores, sem prejuízo do disposto no Procedimento de Manuseio de Dados Pessoais;
• Os dados pessoais tratados no exercício da função não poderão ser apagados, deletados ou anonimizados, sem que haja comando direto da Bravo para tanto.
• Os dados pessoais tratados no exercício da função, como regra, não poderão ser enviados para endereços de e-mail pessoal ou dispositivos remotos como pen drives. Violações desta política, por parte dos colaboradores, poderão ocasionar ocasionarão a aplicação de medidas disciplinares, nos termos dos códigos e procedimentos estabelecidos pela Bravo.
Em caso de dúvidas relacionadas à privacidade e/ou proteção de dados, entre em contato conosco pelos seguintes meios:
E-mail: juridico@bravocorp.com.br;
7. DISPOSIÇÕES FINAIS
Violações às regras contidas no nosso Programa de Governança em Privacidade e Proteção de Dados Pessoais podem ocasionar a aplicação de medidas disciplinares, nos termos dos códigos, políticas e procedimentos internos estabelecidos.
Esta Política será revisada sempre que houver mudanças no Programa de Governança em Privacidade e Proteção de Dados Pessoais da Bravo, ou a cada 2 (dois) anos.
Atualização: 09 de maio de 2022.