A Beontag está empenhada em seguir as melhores práticas em Políticas de Governança Corporativa, baseadas em princípios de direitos humanos, ética, transparência e integridade com colaboradores, clientes, fornecedores e partes interessadas em geral.
1. INTRODUÇÃO E OBJETIVO
No cotidiano da Beontag, ou “Empresa”, seja na condução dos negócios, na busca por novos produtos, serviços e oportunidades, ou na organização de sua estrutura interna, o processamento de dados pessoais é parte indispensável dessa realidade. A Beontag compreende que deve agir com responsabilidade e transparência, zelando por tais informações e conferindo-lhes medidas de segurança técnicas e administrativas.
A presente Política prevê diretrizes e estabelece regras relacionadas à privacidade e à proteção dos dados pessoais de clientes, colaboradores e terceiros durante o processamento de dados pessoais pela Beontag, e na relação com terceiros, nas quais haja compartilhamento ou uso compartilhado de dados pessoais.
Com este documento, a Beontag visa estar em conformidade com as normas aplicáveis de proteção de dados, promovendo a transparência e boa-fé perante os titulares, mediante a proteção de seus dados pessoais e de seus direitos e liberdades civis, bem como as melhores práticas ao seu alcance.
A Beontag adota 8 pilares, a serem demonstrados ao longo desta Política, para a implementação de um Programa de Privacidade e Proteção de Dados Pessoais efetivo na companhia:
2. ABRANGÊNCIA
A Política aplica-se à Beontag de forma integral, por todos os seus Colaboradores, estagiários, Alta Administração e todas as suas subsidiárias, principalmente às áreas de negócio e operacionais que realizem processamento de dados pessoais, bem como os terceiros com os quais a Empresa compartilhe dados pessoais, que atuem como controladores ou operadores/processadores de dados pessoais no âmbito do relacionamento, tanto no Brasil quanto no exterior.
As diretrizes aqui previstas são aplicáveis a todos os processos internos da Beontag em que há, em algum momento, processamento de dados pessoais e/ou de dados pessoais sensíveis de quaisquer Titulares.
3. REFERÊNCIAS
4. TERMOS E DEFINIÇÕES
5. ATRIBUIÇÕES E RESPONSABILIDADES
É dever de todos na Beontag e Terceiros com os quais haja compartilhamento ou uso compartilhado de dados pessoais, realizar os processamentos de dados pessoais em observância à presente Política.
5.1. Alta Administração
A Alta Administração deverá:
5.2. Comitê de Proteção de Dados
O Comitê de Proteção de Dados da Beontag é formado pelas seguintes áreas:
Conforme a necessidade, o Comitê de Proteção de Dados da Beontag poderá requisitar a participação de outras áreas.
São responsabilidades do Comitê:
5.3. Data Protection Officer (DPO)/Encarregado
5.4. Tecnologia da Informação
5.5. Jurídico e Compliance
5.6. Gestores responsáveis
5.7. Marketing
5.8. Colaboradores ou Terceiros
6. DISPOSIÇÕES GERAIS
6.1. Conceitos Gerais
6.1.1. Processamento de Dados Pessoais
O processamento de dados pessoais é qualquer operação realizada com os dados, tais como coleta, produção, recepção, classificação, adaptação, alteração, consulta, organização, estruturação, disseminação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Pela ampla definição legal, qualquer ação acima envolvendo dados pessoais configura uma atividade de processamento. A mera visualização, a partir do acesso aos dados pessoais, já caracteriza o processamento e, portanto, será abrangido pelas Normas de Privacidade e Proteção de Dados.
A Beontag, preocupada com a conformidade de cada processamento realizado sob sua responsabilidade, busca conscientizar seus Colaboradores e Terceiros a adotar continuamente medidas de segurança.
Exemplos de processamentos realizados pela Beontag:
6.1.2. Agentes Responsáveis pelo Processamento de Dados Pessoais
Os controladores são responsáveis pelas decisões a serem tomadas quanto ao processamento de dados pessoais, enquanto os operadores/processadores são responsáveis por conduzir as atividades de processamento conforme determinações do controlador.
Ainda, há a figura do co-controlador, que é aquele que exerce a controladoria conjunta dos dados pessoais com outros controladores, de forma que a tomada de decisões é competência coletiva e as atribuições, responsabilidades e ônus são determinadas em acordo formal entre as partes.
A Beontag atuará ora como controlador, ora como co-controlador, ora como operador/processador, a depender do processamento e do relacionamento em específico.
Sempre que a Beontag atuar como controlador, co-controlador ou operador de dados pessoais, deve:
6.2. Relação com Operadores/Processadores
Sempre que a Beontag estabelecer relacionamento com agente de que atuar como operador/processador de seus dados pessoais, deverá garantir que o operador possui implementadas medidas técnicas, de segurança e organizacionais apropriadas para garantir o cumprimento de princípios e boas práticas que dizem respeito à privacidade dos titulares e proteção dos dados pessoais que serão tratados. Ademais, deve ser celebrado contrato ou acordo com este Operador definindo sua qualificação e delimitando suas atribuições e obrigações em relação a proteção de dados.
6.3. Princípios e Bases Legais
A Beontag apenas realiza operações de processamento que estejam alinhadas com os requisitos das Normas de Privacidade e Proteção aplicáveis. Não haverá qualquer processamento de dados que não possua finalidade específica em acordo com a legislação aplicável. A Beontag respeita os princípios essenciais para o processamento dos dados pessoais.
6.3.1. Bases Legais
Todos os dados pessoais são processados pela Beontag para fins legítimos e lícitos. A depender do dado pessoal e da finalidade específica, bem como da localidade do processamento, a Beontag atribuirá uma base legal adequada para processar os dados após análise minuciosa das características do fluxo de processamento. Não haverá processamento sem que haja a devida adequação à base legal apropriada, de acordo com a legislação da jurisdição do processamento de dados em específico.
É possível que as bases legais se alterem conforme o decorrer do ciclo de vida do processamento do dado pessoal, decorrente da mudança da finalidade do processamento, o que consequentemente alterará o mapeamento/inventário de dados da companhia. Sendo assim, o mapeamento/inventário de dados pessoais da Beontag deverá ser atualizado periodicamente, ao menos de forma anual, e sempre que se fizer necessário, para refletir fidedignamente os dados processados pela Empresa e a devida finalidade e correspondente base legal. Caso, após atualização, seja identificado que não há mais base legal para que a Beontag continue o processamento, este deverá ser interrompido imediatamente e as devidas providências de retenção e eliminação adotadas.
6.3.2. Princípios
Os princípios representam elementos fundamentais que devem ser rigorosamente considerados em todos os processamentos de dados para garantia de conformidade com as Normas de Privacidade e Proteção de Dados e as boas práticas globais. A Beontag sempre deverá processar dados de acordo com os princípios abaixo:
(i) Legalidade e Justiça
Todo processamento de dados pessoais deve ocorrer com base legal válida e aplicável, jamais em desacordo com qualquer legislação aplicável, sempre de forma justa e equilibrada na relação com os Titulares.
(ii) Transparência
A Beontag deverá ser clara, precisa e inequívoca com os Titulares de dados para que estes saibam, em todos os contextos, como e para que processamos seus dados pessoais.
A transparência inclui acessibilidade e facilidade nas comunicações com os Titulares para que haja máxima compreensão a respeito da realização de processamento e dos respectivos agentes.
(iii) Não Discriminação
Sob nenhuma circunstância, os dados pessoais e dados pessoais sensíveis poderão ser tratados para fins discriminatórios ilícitos ou abusivos.
(iv) Finalidade
O processamento dos dados deve ocorrer para propósitos legítimos, específicos, explícitos e informados ao Titular, sem a possibilidade de processamento posterior de forma incompatível com essas finalidades.
(v) Adequação
Refere-se à compatibilidade do processamento com as finalidades informadas ao titular, de acordo com o contexto do processamento e de forma condizente com uma das bases legais.
(vi) Necessidade e Minimização
Trata-se da limitação da realização do processamento ao mínimo necessário para a realização da finalidade pretendida, com abrangência apenas aos dados pertinentes, de forma proporcional e não excessiva.
(vii) Livre Acesso, Qualidade e Precisão dos Dados
Aos Titulares, a Beontag garantirá a consulta facilitada e gratuita sobre a forma e duração do processamento, além de informações precisas e claras quanto à realização do processamento e os agentes envolvidos, desde que não viole segredo comercial ou industrial da Beontag ou de Terceiro.
Também asseguramos a qualidade, exatidão, relevância e atualização dos dados pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu processamento.
(viii) Segurança, Prevenção e Limitação (Integridade e Confidencialidade)
A Beontag adota padrões de segurança adequados às suas operações, principalmente quando envolvem processamento de dados pessoais, utilizando medidas técnicas e administrativas aptas a proteger os dados pessoais de incidentes de segurança.
Nenhum dado pessoal deverá ser retido por mais tempo do que o necessário, de forma que a Beontag avalia periodicamente os prazos de retenção de cada dado e adota medidas de eliminação, quando necessário.
Todas as medidas de segurança implementadas pela Beontag, bem como as ações tomadas em relação aos dados pessoais ao longo de seu processamento são devidamente documentadas internamente.
(ix) Prestação de Contas e Responsabilização
A Beontag adota as medidas necessárias para demonstração e comprovação da adoção das medidas eficazes e capazes de comprovar a observância e cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia de tais medidas.
Também assumimos que somos responsáveis por toda forma de processamento dos dados pessoais que ocorra no âmbito da nossa organização, adotando uma postura séria e respeitosa em relação aos dados e os respectivos Titulares.
6.4. Direitos dos Titulares
A Beontag assegura a observância aos direitos dos Titulares dos processamentos de dados pessoais que realiza, conforme as disposições abaixo mencionadas:
De modo a atender requisições dos Titulares, a Beontag possui ferramentas e mecanismos que visam a celeridade e efetividade na resposta ou observância destes direitos, bem como o devido arquivamento das medidas que forem adotadas em relação a essa requisição, conforme detalhado no Procedimento de Requisição do Titular dos Dados.
Para tanto, disponibilizamos um canal de comunicação aos titulares, acessível publicamente em nosso website. Que poderá ser acessado pelo seguinte meio: https://www.contatoseguro.com.br/beontag.
7. DIRETRIZES ESPECÍFICAS
7.1. Acesso aos Dados Pessoais
A Beontag compreende que acessos indevidos qualificam incidentes de segurança. Por esta razão, os acessos são limitados aos colaboradores que necessitem, justificadamente, dos dados pessoais para conduzir suas atividades, em linha com os fluxos de processamento previamente mapeados.
7.2. Retenção e Eliminação
Os dados pessoais tratados pela Beontag devem ser permanentemente eliminados, através de deleção sistêmica ou destruição de documentos físicos, assim que atingirem suas finalidades, a pedido do Titular quando cabível, ou a pedido de Autoridade Supervisora.
Todavia, é possível que a Beontag retenha os dados pessoais, quando autorizada sua conservação para hipóteses específicas previstas em lei.
Quando os dados pessoais forem retidos após cumprir sua finalidade original, eles devem ser criptografados ou anonimizados para proteger a identidade do Titular dos dados.
No que diz respeito à retenção de dados pessoais nos casos em que os dados sejam tratados com o objetivo de exercer direitos, tanto de acionamento de partes quanto de defesa em processos judiciais, administrativos ou arbitrais, deverá ser observado, para fins de retenção de dados, o prazo disposto em leis específicas de prescrição e decadência.
Durante o período de qualquer procedimento judicial em que possa haver necessidade de utilização dos dados pelao Grupo CCRR, tais dados poderão ser armazenados seguindo as medidas de segurança, os princípios e as diretrizes internas do Grupo CCRR referentes ao tratamento de dados enquanto perdurar a discussão judicial.
Conforme estabelecido na Política de Retenção e Eliminação de Dados Pessoais, o prazo padrão de retenção de dados pessoais pelo Grupo CCRR é de 5 anos após a extinção do vínculo que originou o tratamento desses dados, tal prazo é decorrente dos prazos prescricionais, decadenciais e tributários geralmente adotados na legislação nacional.
Nos casos excepcionais em que os prazos de guarda não estão previstos ou claros na legislação vigente ou que não haja entendimento pacificado sobre o prazo, bem como em que a viabilidade da retenção esteja em discussão, o Encarregado/DPO deverá analisar a situação e, possivelmente acionar o Comitê de Proteção de Dados para deliberação para declaração do prazo de retenção de determinado documento que contém dados pessoais e relacionados, sempre tendo em consideração as diretrizes da presente política e todas as outras políticas referentes a privacidade e proteção de dados do Grupo CCRR.
7.3. Transferência Internacional
A Beontag adota conduta restritiva quanto à transferência internacional de dados pessoais, entendendo que não deverá ser realizada indiscriminadamente e realizando-a apenas quando estritamente necessário à condução de suas atividades ou quando há padrão de segurança compatível com suas diretrizes, sempre de acordo com a previsão nas Normas de Privacidade e Proteção de Dados, conforme estabelecido na Política de Transferência Internacional de Dados.
7.4. Processamento de Dados Pessoais de Menores
A Beontag não realiza, em regra, o processamento de dados pessoais de menores (crianças e adolescentes). Contudo, existem ocasiões em que será necessário processá-los. Nestes casos, os dados serão processados no melhor interesse do menor e em estrita conformidade com as hipóteses legais que permitem tal processamento.
Os dados pessoais de crianças e adolescentes, assim como os dados sensíveis, devem estar sujeitos a maior proteção em relação a outros dados pessoais.
7.5. Privacy by Design e Privacy by Default
Em consideração ao princípio de Privacy by Design, todos os produtos e serviços que sejam criados pela Beontag são objeto de análise para que seja garantida a privacidade e a proteção de dados pessoais dos Titulares e observância a todos os princípios, diretrizes e regras do tema desde a fase de concepção até o lançamento/implantação destes produtos e serviços.
7.6. Divulgação de Dados Pessoais a Terceiros
A Beontag deve garantir que os dados pessoais em sua posse não sejam divulgados a terceiros não autorizados, incluindo familiares ou amigos de seus colaboradores, entes privados e órgãos governamentais, sem que haja autorização da Empresa ou ordem judicial ou de autoridade oficial para tanto.
Todos os colaboradores devem ter cuidado quando solicitados a divulgar dados pessoais a terceiros e deverão buscar autorização do Comitê de Proteção de Dados ou do Encarregado/DPO para tanto, inclusive em caso de ordem judicial.
Todas as solicitações para fornecer dados a terceiros devem ser suportadas por documentação apropriada e devidamente armazenadas junto à autorização do Comitê de Proteção de Dados ou do Encarregado/DPO.
7.7. Avaliação de Impacto da Proteção de Dados e Avaliação do Legítimo Interesse
O Comitê de Proteção de Dados deverá elaborar, com o auxílio do Encarregado/DPO e dos demais departamentos de negócio da Beontag, o relatório da avaliação de impacto da proteção de dados pessoais para as atividades de processamento de dados da Beontag.
Tal avaliação objetiva análise profunda quanto aos riscos envolvidos com os processamentos realizados pela Beontag, bem como medidas técnicas, administrativas e jurídicas que deverão ser implementadas para maior segurança dos dados pessoais processados em fluxos específicos.
O conteúdo do relatório deverá contar com a descrição dos processos de processamento de dados pessoais “comuns” e dados pessoais sensíveis que possam apresentar riscos às liberdades civis e aos direitos fundamentais, bem como dispor acerca das medidas técnicas, administrativas e jurídicas que deverão ser implementadas para mitigação dos riscos e maior segurança dos dados pessoais processados em fluxos específicos.
Nos casos em que for atribuída a base legal de interesse legítimo, será necessário elaborar uma avaliação para que seja possível ponderar se essa base é adequada ao tratamento ou não, devendo ser devidamente aprovada ou reprovada pelo Encarregado/DPO.
Trata-se de uma documentação do controlador que contém a Avaliação de Impacto do Interesse Legítimo, cujo tratamento de dados pessoais tenham como base legal o interesse legítimo, onde se avalia se o tratamento pode gerar riscos às liberdades civis e aos direitos fundamentais, por meio de sua legitimidade, necessidade, balanceamento e salvaguardas.
7.8. Incidentes de Segurança
Eventuais suspeitas de violações e incidentes relacionados aos processamentos de dados pessoais realizados pela Beontag ou por terceiros em seu nome, deverão ser imediatamente reportados ao Encarregado/DPO, conforme canais de comunicação interna e diretrizes previstas no Procedimento de Gestão de Crise de Incidente de Segurança.
O Encarregado/DPO levará todas as informações relevantes sobre o incidente ao Comitê de Proteção de Dados, para que analisem a criticidade e complexidade da ocorrência e tomem as medidas e decisões pertinentes.
A atuação do Comitê de Proteção de Dados tem por objetivo prevenir e mitigar perdas decorrentes de incidentes de segurança da informação ou rupturas dos serviços, afetando diretamente seus ativos de informações, confiança entre as partes interessadas, danos à reputação ou valor de mercado.
Deverão ser providenciadas todas as medidas possíveis de maneira a minimizar todos os impactos causados, bem como recuperar a integridade dos dados e sua confidencialidade.
8. PADRÕES TÉCNICOS
A Beontag seguirá os padrões técnicos, físicos e digitais, para proteção dos dados pessoais, sua integridade e confidencialidade.
9. MEDIDAS DE SEGURANÇA
9.1. Ações Educativas
De modo a capacitar seus colaboradores, a Beontag conduzirá anualmente treinamentos de privacidade e proteção de dados, elaborado pelo Comitê de Proteção de Dados e coordenado pelo Encarregado/DPO.
Os colaboradores que forem contratados também receberão o treinamento, de modo a compreender conceitos básicos e observar o cumprimento do Programa de Privacidade e Proteção de Dados Pessoais da Beontag.
Além disso, com o auxílio do Departamento de Recursos Humanos, serão realizadas outras ações para conscientização e garantia de cumprimento das diretrizes, tais como:
9.2. Supervisão e mitigação de riscos
O Programa de Privacidade e Proteção de Dados Pessoais da Beontag será supervisionado pelo Comitê de Proteção de Dados, a partir:
10. CANAL DE PRIVACIDADE
O Canal é um meio de comunicação de fácil acesso entre o Data Protection Officer/Encarregado da Beontag e os Titulares de dados pessoais, de forma que podem exercer seus direitos em contato direito com a Empresa. A Beontag despende esforços para atender às solicitações dentro dos limites legais e limitações razoáveis, estando sempre comprometida com a transparência e proteção dos dados pessoais.
Adicionalmente, o Canal de Privacidade poderá ser utilizado para relatar quaisquer violações referentes a privacidade e proteção de dados pessoais, de forma que a Empresa possa tomar as devidas providências de investigação, mitigação de riscos e atuação com relação ao caso específico.
O Canal de Privacidade pode ser acessado via: lgpd@beontag.com.
Quaisquer relatos, dúvidas, questionamentos, esclarecimentos, exceções, solicitações sobre a aplicação desta Política de Privacidade e Proteção de Dados poderão também ser enviadas diretamente ao Comitê de Proteção de Dados por meio do e-mail comitelgpd@beontag.com ou ao Encarregado por e-mail lgpd@beontag.com.
11. INVESTIGAÇÕES E SANÇÕES
As eventuais denúncias, ainda que suspeitas, de violações a esta Política, serão encaminhados ao Comitê de Proteção de Dados e submetidos a procedimento de investigação interna pelo Departamento de Compliance da Beontag. Caso constatado, após investigação robusta, que houve violação, poderá haver aplicação de sanções pela Beontag, proporcionais à natureza ou gravidade da infração cometida, de acordo com deliberação pelo Comitê de Proteção de Dados.
Qualquer Colaborador ou Terceiro que viole qualquer disposição desta Política estará sujeito a sanções disciplinares e consequências relacionadas, tais como: (i) advertência verbal ou por escrito; (ii) suspensão; (iii) demissão sem justa causa; (iv) demissão com justa causa; (v) exclusão do Terceiro da lista de fornecedores da Empresa; (vi) ajuizamento de ação judicial pertinente.
Adicionalmente, o responsável pela prática de ato ilícito poderá sofrer punições judiciais e/ou administrativas, de acordo com a legislação do país em que houver jurisdição.
Caso a Beontag seja condenada a indenizar prejuízos de ordem moral ou material, comprovados em eventual ação de ordem judicial ou administrativa de qualquer natureza, o responsável poderá será chamado a participar do processo ou notificado regressivamente para reembolsar a Beontag quanto aos valores dispendidos, devidamente atualizados nos moldes da legislação vigente.
O ato de não reporte de violações de privacidade ou à integridade dos dados pessoais que representem infração às regras internas da Beontag e legislação aplicável configuram descumprimento desta Política e poderá ser devidamente punido. A imprudência, negligência e a falha voluntária são também consideradas violações a esta Política, sendo passíveis de aplicação de sanções disciplinares.
12. DISPOSIÇÕES FINAIS
O presente documento deve ser lido e interpretado em conjunto com as demais Políticas e Procedimentos adotados pela Beontag relacionados a Proteção de Dados, bem como com as leis e regulamentações relacionadas.
Esta Política, bem como os demais documentos que o complementam encontram-se disponíveis na intranet ou, em caso de indisponibilidade, podem ser solicitados ao Encarregado/DPO da Beontag.
Qualquer dúvida relativa a esta Política deve ser encaminhada ao Comitê de Proteção de Dados por meio do e-mail comitelgpd@beontag.com ou ao Encarregado por e-mail lgpd@beontag.com.
Esta Política entra em vigor na data de sua publicação.
13 – ENCARREGADO DE DADOS E FORMA DE CONTATO
O encarregado de dados do grupo Beontag, escolhido como ponto focal de comunicação com os titulares de dados e ANPD é a Suzane Oliveira Silva, podendo entrar em contato através do e-mail: lgpd@beontag.com.br, e pelo telefone (11) 99620-7865.