Política de Privacidade e Proteção de Dados Pessoais

1. INTRODUÇÃO E OBJETIVO      
No cotidiano da Beontag, ou “Empresa”, seja na condução dos negócios, na busca por novos produtos, serviços e oportunidades, ou na organização de sua estrutura interna, o processamento de dados pessoais é parte indispensável dessa realidade. A Beontag compreende que deve agir com responsabilidade e transparência, zelando por tais informações e conferindo-lhes medidas de segurança técnicas e administrativas.

A presente Política prevê diretrizes e estabelece regras relacionadas à privacidade e à proteção dos dados pessoais de clientes, colaboradores e terceiros durante o processamento de dados pessoais pela Beontag, e na relação com terceiros, nas quais haja compartilhamento ou uso compartilhado de dados pessoais.

Com este documento, a Beontag visa estar em conformidade com as normas aplicáveis de proteção de dados, promovendo a transparência e boa-fé perante os titulares, mediante a proteção de seus dados pessoais e de seus direitos e liberdades civis, bem como as melhores práticas ao seu alcance.

A Beontag adota 8 pilares, a serem demonstrados ao longo desta Política, para a implementação de um Programa de Privacidade e Proteção de Dados Pessoais efetivo na companhia:       
 

2. ABRANGÊNCIA       
A Política aplica-se à Beontag de forma integral, por todos os seus Colaboradores, estagiários, Alta Administração e todas as suas subsidiárias, principalmente às áreas de negócio e operacionais que realizem processamento de dados pessoais, bem como os terceiros com os quais a Empresa compartilhe dados pessoais, que atuem como controladores ou operadores/processadores de dados pessoais no âmbito do relacionamento, tanto no Brasil quanto no exterior.

As diretrizes aqui previstas são aplicáveis a todos os processos internos da Beontag em que há, em algum momento, processamento de dados pessoais e/ou de dados pessoais sensíveis de quaisquer Titulares.

3. REFERÊNCIAS

• Política de Gestão de Consentimento da Beontag;
• Procedimento de Gestão de Crise em Incidente de Segurança da Beontag;
• Política de Retenção e Eliminação de Dados da Beontag;
• Política de Transferência Internacional de Dados da Beontag;
• Política de Registro de Nova Atividade de Processamento da Beontag;
• Procedimento de Requisição do Titular de Dados.

4. TERMOS E DEFINIÇÕES

• Autoridade Supervisora: Autoridades nacionais que atuam na orientação, supervisão, fiscalização e proteção de dados pessoais, tais como ANPD (Autoridade Nacional de Proteção de Dados - Brasil), ICO (Information Comissioner’s Office – Reino Unido) ou CNIL (Commission Nationale de l'Informatique et des Libertés – França), Commission de la protection de la vie privée – Bélgica, Office of the Data Protection Ombudsman – Finlândia, Garante per la protezione dei dati personali – Itália, Commission Nationale pour la Protection des Données – Luxemburgo, GIODO (The Bureau of the Inspector General for the Protection of Personal Data – Polônia), Information Commissioner – Eslovênia, Datainspektionen – Suécia, European Data Protection Supervisor – Europa, Agencia de Acceso a la Información Pública – Argentina, Unidad Reguladora y de Control de Datos Personales – Uruguai.
• Beontag: Grupo Beontag
• Controlador ou controladores: pessoa(s) natural(is) ou jurídica(s), de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
• Dado Anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu processamento.
• Dado pessoal: informação relacionada a pessoa natural identificada ou identificável. Isto é, informação(ões) que identifiquem uma pessoa natural de forma direta (nome e sobrenome, nº de documento, endereço de e-mail, número de telefone, endereço de IP) ou indireta, a partir de associações e perfilamento (endereço, estado civil, profissão, renda, histórico financeiro, nota de crédito).
• Dado pessoal sensível ou dado pessoal especial: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, histórico criminal, quando vinculado a uma pessoa natural.
• Data Protection Officer (DPO) ou Encarregado: trata-se da pessoa responsável na Beontag que atua como representante da Empresa perante a Autoridade Supervisora, como canal de comunicação entre o controlador e os titulares dos dados e o responsável por disseminar, orientar e monitorar acerca das normas de Privacidade e Proteção de Dados na Empresa.
• Incidente de segurança: qualquer evento adverso relacionado a violação à segurança, técnica ou administrativa, dos dados pessoais, levando à perda de um ou mais princípios básicos de Segurança da Informação (Confidencialidade, Integridade e Disponibilidade) e que possa trazer riscos ou danos aos Titulares. São exemplos de incidentes: acesso não autorizado, acidental ou ilícito, que resulte em vazamento de dados, perda,  destruição ou alteração dos dados pessoais, entre outras formas de processamento de dados ilícitas ou inadequadas.
• Menores: refere-se às crianças (até doze anos incompletos) e adolescentes (entre doze e dezoito anos).
• Normas de Privacidade e Proteção de Dados: toda e qualquer legislação nacional ou internacional que tenha sido editada e promulgada para promover e proteger a privacidade e a proteção de dados pessoais, tais como: General Data Protection Regulation (“GDPR”) – Regulation (EU) 2016/679 - União Europeia; Lei Geral de Proteção de Dados Pessoais (“LGPD”) – Lei nº 13.709/2018 (Brasil); United Kingdom General Data Protection Regulation (“UK GDPR”) – Reino Unido; Decreto Legislativo nº 196/2003 e Decreto Legislativo nº 101/2018 – Itália; French Data Protection Act (“FDPA”) - Lei nº 2018-493 e Decreto nº 2018-687 (França); Ley de Protección de los Datos Personales – Lei nº 25.326 (Argentina); Lei de Proteção de Dados – HE 9/2018 – VP (Finlândia), Lei de Proteção de Dados Pessoais e Ação de Habeas Data – Lei nº 18.331/2008 – Uruguai.
• Programa: refere-se ao Programa de Privacidade e de Proteção de Dados Pessoais da Beontag.
• Operador ou operadores: pessoa(s) natural(is) ou jurídica(s), de direito público ou privado, que realiza(m) o tratamento de dados pessoais em nome do controlador.Relatório de Impacto do processamento de dados: relatório de impacto à proteção de dados pessoais é a documentação do controlador que contém as especificidades de determinadas atividades de processamento de dados que possam gerar riscos aos Titulares, prevendo medidas, salvaguardas e mecanismos de mitigação de risco, cujo objetivo é identificar e mitigar os riscos referentes à proteção de dados pessoais em determinada atividade de tratamento.
• Terceiros: fornecedores, parceiros, consorciados, prestadores de serviço, ou subcontratados da Empresa, incluindo, de forma exemplificativa, consultores, advogados, despachantes, bem como pessoas físicas e jurídicas que sejam representantes comerciais da Beontag.
• Teste de Avaliação do Legítimo Interesse: trata-se de teste a ser conduzido em paralelo ao Relatório de Impacto, sempre que a hipótese de processamento for o interesse legítimo da Beontag e do Titular, para demonstrar se o legítimo interesse é aplicável no contexto específico e para a finalidade prevista, com análise da necessidade, legitimidade, balanceamento e medidas de salvaguardas.
• Titular: pessoa natural a quem se referem os dados pessoais que são objeto de processamento pela Beontag, tais como clientes, colaboradores, terceiros, acionistas, candidatos de processo seletivo, sócios de pessoa jurídica.
• Transferência internacional: transferência dos dados pessoais para outro país e/ou organização internacional, em qualquer momento do processamento inclusive para mero armazenamento.
• Uso Compartilhado de Dados: Comunicação, difusão, transferência internacional, interconexão de dados pessoais ou processamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de processamento permitidas por esses entes públicos, ou entre entes privados.

5.  ATRIBUIÇÕES E RESPONSABILIDADES       
É dever de todos na Beontag e Terceiros com os quais haja compartilhamento ou uso compartilhado de dados pessoais, realizar os processamentos de dados pessoais em observância à presente Política.

5.1. Alta Administração       
A Alta Administração deverá:

• Apoiar as iniciativas do Encarregado/DPO e Comitê de Proteção de Dados fornecendo informações e acesso aos dados, sempre que necessário;
• Apoiar o Encarregado/DPO e o Comitê de Proteção de Dados com recursos financeiros e comprometimento com o Programa de Privacidade e Proteção de Dados da Beontag;
• Incentivar e aplicar cotidianamente boas práticas de processamento de dados pessoais na Beontag, garantindo que os colaboradores da Beontag e seus terceiros estão aderentes às políticas e procedimentos internos da Empresa.
• Aprovar formalmente as políticas, metas e estratégias relacionadas ao Programa de Privacidade e Proteção de Dados da Beontag, bem como as medidas necessárias para sua implementação e monitoramento;
• Permitir que o Encarregado/DPO tenha acesso a todas as informações, instalações e recursos necessários para a execução de suas funções na Beontag.

5.2.    Comitê de Proteção de Dados       
O Comitê de Proteção de Dados da Beontag é formado pelas seguintes áreas:

• Compliance;
• Tecnologia da Informação; e
• Jurídico.

Conforme a necessidade, o Comitê de Proteção de Dados da Beontag poderá requisitar a participação de outras áreas.       
São responsabilidades do Comitê:

• Apoiar o Encarregado/DPO na execução de suas atividades;
• Observar eventuais alterações normativas, jurisprudenciais e de boas práticas referentes à proteção de dados;
• Executar as atividades da Política de Privacidade e Proteção de Dados perante a Beontag;
• Elaborar e revisar periodicamente as políticas, procedimentos e demais documentos internos relativos ao Programa, conforme a necessidade;
• Propor metas e estratégias relacionadas ao Programa de Privacidade e Proteção de Dados;
• Analisar os formulários para registro de novas atividades de processamento de dados pessoais, observando os aspectos legais, técnicos e administrativos, para aprovar ou reprovar o fluxo de processamento, com eventuais adequações e aplicação de medidas de segurança;
• Elaborar e revisar o relatório de impacto de processamento de dados e o teste de avaliação do legítimo interesse, sempre que aplicáveis;
• Monitorar os indícios e solucionar eventuais incidentes de segurança, aplicando as medidas de remediação adequadas e registrando as evidências;
• Monitorar as diretrizes de Autoridades Supervisoras e realizar eventuais adequações do programa a tais orientações;
• Auxiliar o Encarregado/DPO na comunicação aos Titulares e à Autoridade Supervisora aplicável em caso de incidente de segurança, em observância ao Procedimento de Gestão de Crise em Incidente de Segurança da Beontag.

5.3.    Data Protection Officer (DPO)/Encarregado

• Receber requisições, reclamações e comunicações dos titulares, bem como prestar esclarecimentos, adotar providências e endereçá-las internamente quando necessário, registrando todas as devidas evidências, conforme Procedimento de Requisição do Titular de Dados da Beontag;
• Receber comunicações da Autoridade Supervisora, bem como prestar esclarecimentos, adotar providências e endereçá-las internamente quando necessário;
• Orientar os Colaboradores, estagiários e a Alta Administração a respeito das práticas a serem tomadas;
• Monitorar a adequação da Beontag às normas de proteção de dados pessoais, bem como às políticas internas elaboradas sobre esse tema;
• Realizar treinamentos relacionados ao Programa;
• Aconselhar e monitorar a elaboração de Relatório de Impacto à Proteção de Dados Pessoais e Teste de Avaliação do Legítimo Interesse;
• Comunicar-se com os agentes responsáveis pelo processamento de dados (controladores, co-controladores, operadores/processadores) com os quais a Beontag possua relacionamento e organizar demandas decorrentes de tais relações;
• Executar as demais atribuições determinadas pela Beontag;
• Acessar e zelar pelas informações pertinentes aos processamentos de dados pessoais a qualquer momento;
• Atuar ativamente em casos de incidente de segurança com dados pessoais, de acordo com o Procedimento de Gestão de Crise de Incidente de Segurança;
• Promover medidas de conscientização e conformidade da Beontag para aperfeiçoamento do Programa;
• Gerir e endereçar internamente eventuais relatos, solicitações e questionamentos enviados ao Canal de Privacidade da Beontag.

5.4.    Tecnologia da Informação

• Realizar monitoramento contínuo dos padrões de segurança da Beontag, adequando-os sempre que possível aos riscos de incidente de segurança;
• Analisar os indícios de incidentes de segurança, de forma técnica, e aplicar as medidas de aprimoramento necessárias;
• Propor medidas e soluções técnicas de proteção de dados pessoais na Beontag;
• Realizar testes periódicos nos sistemas e ambientes da Beontag para monitoramento e aprimoramento dos padrões de segurança internos;
• Orientar, em conjunto com o Encarregado/DPO, sobre temas de segurança da informação e proteção técnica dos dados pessoais dentro da Beontag;
• Garantir os padrões de segurança em linha com as exigências das Normas de Privacidade e Proteção de Dados aplicáveis, boas práticas de mercado, bem como eventuais novas exigências legais e regulatórias aplicáveis à Beontag;
• Implementar e aperfeiçoar ferramentas e mecanismos internos que possibilitem a garantia aos direitos dos Titulares;
• Auxiliar em incidentes de segurança que envolvam dados pessoais, de acordo com o Procedimento de Gestão de Crise de Segurança;
• Apresentar resultados e planos de ação relacionados a avaliações de segurança e tecnologia da informação à Alta Administração para aperfeiçoamento interno da privacidade e proteção de dados na Beontag.

5.5.    Jurídico e Compliance

• Dar ciência e instruir os colaboradores e Terceiros continuamente da presente Política e demais instrumentos integrantes do Programa de Privacidade e Proteção de Dados Pessoais da Beontag;
• Monitorar efetividade do Programa da Beontag, propondo medidas de adequação aplicáveis;
• Garantir a adequação dos contratos com Terceiros, por meio de cláusulas adequadas às Normas de Privacidade e Proteção de Dados aplicáveis ao caso específico;
• Monitorar as diretrizes de Autoridades Supervisoras e jurisprudência de tribunais com relação a aplicação de leis de privacidade e proteção de dados, comunicando o Comitê de Proteção de Dados, sempre que necessário, sobre atualizações relevantes à Beontag;
• Auxiliar na condução de investigações internas relacionadas a violações de privacidade e proteção de dados e às Políticas e Procedimentos do Programa da Beontag.

5.6.    Gestores responsáveis 

• Conhecer e aplicar os procedimentos operacionais para que a Beontag esteja em conformidade com as Normas de Privacidade e Proteção de Dados aplicáveis, assim como em relação aos processamentos realizados em sua área;
• Comunicar-se com o Encarregado/DPO para registrar formalmente, a partir do Formulário para Registro de Novos Processamentos de Dados Pessoais, quaisquer novas atividades que envolvam processamento de dados pessoais relacionados aos processos da área sob sua gestão e enviar ao Comitê de Proteção de Dados, que analisará e aprovará ou reprovará, com ou sem adequações a serem implementadas;
• Acompanhar e participar das atividades do Comitê de Proteção de Dados, quando solicitado;
• Participar de treinamentos e implementar medidas de adequação conforme demandado pelo Grupo de trabalho.

5.7.    Marketing

• Apoiar o Comitê de Proteção de Dados e o Encarregado/DPO com ações para promoção da cultura de privacidade e proteção de dados da Beontag;
• Quando necessário, auxiliar na análise de riscos à imagem e reputação da Beontag, com relação a temas de privacidade e proteção e dados
• Assessorar o Comitê de Proteção de Dados e o Encarregado/DPO com divulgação de medidas preventivas de incidentes de segurança e em procedimentos de gestão de crise.

5.8.    Colaboradores ou Terceiros

• Exercer as funções estabelecidas neste documento respeitando os deveres de lealdade, diligência e boa-fé;
• Evitar situações de conflito que possam afetar os interesses da Beontag;
• Guardar sigilo das informações da Beontag;
• Atuar ativamente na prevenção e proteção dos dados pessoais acerca de quaisquer incidentes de segurança;
• Cumprir diretrizes de retenção de dados e eliminação adequada de acordo com a presente Política e a Política de Retenção e Eliminação de Dados. Informar ao Comitê de Proteção de Dados sobre retenção indevida de dados ou de eliminação indevida;
• Coletar consentimento dos Titulares de dados nos casos em que este seja necessário, conforme disposto na Política de Gestão de Consentimento da Beontag;
• Cumprir diretrizes propostas na presente Política e nos demais materiais do Programa de Privacidade e Proteção de Dados Pessoais da Beontag;
• Informar o gestor do departamento responsável pelos dados pessoais sobre processamento para comunicação ao Comitê de Proteção de Dados de novos projetos que envolvam dados pessoais. 
• No caso de terceiros, sempre que for necessário ter acesso a dados pessoais dos quais a Beontag seja controladora dos dados pessoais, celebrar um acordo de confidencialidade (NDA) e/ou assinar um contrato no qual haja cláusula de confidencialidade e de privacidade e proteção de dados pessoais.

6.    DISPOSIÇÕES GERAIS       
6.1.    Conceitos Gerais       
6.1.1.    Processamento de Dados Pessoais       
O processamento de dados pessoais é qualquer operação realizada com os dados, tais como coleta, produção, recepção, classificação, adaptação, alteração, consulta, organização, estruturação, disseminação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.        
Pela ampla definição legal, qualquer ação acima envolvendo dados pessoais configura uma atividade de processamento. A mera visualização, a partir do acesso aos dados pessoais, já caracteriza o processamento e, portanto, será abrangido pelas Normas de Privacidade e Proteção de Dados.

A Beontag, preocupada com a conformidade de cada processamento realizado sob sua responsabilidade, busca conscientizar seus Colaboradores e Terceiros a adotar continuamente medidas de segurança.

Exemplos de processamentos realizados pela Beontag:

• Coleta, recepção, utilização e armazenamento de dados pessoais de sócios, administradores ou representantes para cadastro de novos clientes e manutenção da base de clientes existentes;
• Coleta de dados pessoais para acesso a instalações da Empresa;
• Controle da informação de colaboradores e transmissão a órgãos públicos em observância aos normativos vigentes;
• Arquivamento de dados pessoais de Terceiros, pelo prazo legal;
• Eliminação de dados pessoais de colaboradores desligados, após decorrido o período de guarda obrigatória.

6.1.2.    Agentes Responsáveis pelo Processamento de Dados Pessoais       
Os controladores são responsáveis pelas decisões a serem tomadas quanto ao processamento de dados pessoais, enquanto os operadores/processadores são responsáveis por conduzir as atividades de processamento conforme determinações do controlador. 

Ainda, há a figura do co-controlador, que é aquele que exerce a controladoria conjunta dos dados pessoais com outros controladores, de forma que a tomada de decisões é competência coletiva e as atribuições, responsabilidades e ônus são determinadas em acordo formal entre as partes.

A Beontag atuará ora como controlador, ora como co-controlador, ora como operador/processador, a depender do processamento e do relacionamento em específico.

Sempre que a Beontag atuar como controlador, co-controlador ou operador de dados pessoais, deve: 

• Tratar os dados pessoais de acordo com os princípios estabelecidos no item. 6.3 deste documento e de acordo com as Normas de Privacidade e Proteção de Dados aplicáveis;
• Realizar treinamentos e registrar a participação da alta liderança e colaboradores-chaves que lidem com dados pessoais;
• Garantir que os indivíduos autorizados a realizar qualquer tipo de processamento de dados pessoais tenham se comprometido com a confidencialidade ou estejam sob obrigação adequada de confidencialidade; 
• Processar os dados pessoais somente de acordo com as instruções do controlador ou co-controlador de dados, a menos que seja exigido de outra forma por Autoridade Supervisora; 
• Registrar todas as atividades de processamento de dados pessoais e dados pessoais sensíveis/especiais contendo o departamento e o responsável por cada atividade, a categoria do titular de dados, sua finalidade, tipos de dados processados, suas fontes, com quem os dados são compartilhados, existência de transferência internacional de dados, seu período de retenção, sistemas utilizados durante a atividade de processamento, sua base legal adequada, entre outras informações pertinentes;
• Elaborar, registrar e arquivar o relatório de impacto de dados pessoais sempre que requerido por lei, obrigação legal, administrativa ou institucional;
• Implementar medidas técnicas e organizacionais apropriadas para garantir o processamento de dados adequado e em concordância com os princípios aplicáveis de privacidade e proteção de dados pessoais; 
• No caso de transferência de Dados Pessoais fora do Brasil, aplicar as medidas de proteção;
• Formalizar a relação com controladores, co-controladores e operadores/processadores através de contrato, acordo ou outro ato legal formal contendo as cláusulas e previsões aplicáveis;
• Não nomear outro operador/processador sem a prévia autorização específica do controlador;
• Auxiliar o controlador no cumprimento de suas obrigações com respeito a obrigações perante a Autoridade Supervisora e Titulares de dados, tal como resposta de solicitações relacionadas aos direitos de Titulares (item 6.4 deste documento);
• Notificar o controlador ou co-controlador em prazo razoável em relação a qualquer violação de dados pessoais ou incidente com  dados pessoais
• Após o término da prestação de serviços, excluir as cópias existentes dos dados pessoais, a pedido do controlador, a menos que a legislação exija a conservação dos dados ou que seja necessário para defesa em processo judicial, administrativo ou arbitral;
• Disponibilizar ao controlador de dados todas as informações necessárias para demonstrar estar em conformidade com suas obrigações legais e permitir e cooperar com auditorias, incluindo inspeções, conduzidas pelo controlador ou outro auditor nomeado por este;
• Realizar e registrar as garantias de que os direitos dos Titulares são cumpridos plenamente.

6.2.    Relação com Operadores/Processadores        
Sempre que a Beontag estabelecer relacionamento com agente de que atuar como operador/processador de seus dados pessoais, deverá garantir  que o operador possui implementadas medidas técnicas, de segurança e organizacionais apropriadas para garantir o cumprimento de princípios e boas práticas que dizem respeito à privacidade dos titulares e proteção dos dados pessoais que serão tratados. Ademais, deve ser celebrado contrato ou acordo com este Operador definindo sua qualificação e delimitando suas atribuições e obrigações em relação a proteção de dados.

6.3.    Princípios e Bases Legais       
A Beontag apenas realiza operações de processamento que estejam alinhadas com os requisitos das Normas de Privacidade e Proteção aplicáveis. Não haverá qualquer processamento de dados que não possua finalidade específica em acordo com a legislação aplicável. A Beontag respeita os princípios essenciais para o processamento dos dados pessoais.

6.3.1.    Bases Legais       
Todos os dados pessoais são processados pela Beontag para fins legítimos e lícitos. A depender do dado pessoal e da finalidade específica, bem como da localidade do processamento, a Beontag atribuirá uma base legal adequada para processar os dados após análise minuciosa das características do fluxo de processamento. Não haverá processamento sem que haja a devida adequação à base legal apropriada, de acordo com a legislação da jurisdição do processamento de dados em específico.

É possível que as bases legais se alterem conforme o decorrer do ciclo de vida do processamento do dado pessoal, decorrente da mudança da finalidade do processamento, o que consequentemente alterará o mapeamento/inventário de dados da companhia. Sendo assim, o mapeamento/inventário de dados pessoais da Beontag deverá ser atualizado periodicamente, ao menos de forma anual, e sempre que se fizer necessário, para refletir fidedignamente os dados processados pela Empresa e a devida finalidade e correspondente base legal. Caso, após atualização, seja identificado que não há mais base legal para que a Beontag continue o processamento, este deverá ser interrompido imediatamente e as devidas providências de retenção e eliminação adotadas.

6.3.2.    Princípios       
Os princípios representam elementos fundamentais que devem ser rigorosamente considerados em todos os processamentos de dados para garantia de conformidade com as Normas de Privacidade e Proteção de Dados e as boas práticas globais. A Beontag sempre deverá processar dados de acordo com os princípios abaixo:

(i)    Legalidade e Justiça       
Todo processamento de dados pessoais deve ocorrer com base legal válida e aplicável, jamais em desacordo com qualquer legislação aplicável, sempre de forma justa e equilibrada na relação com os Titulares.

(ii)    Transparência       
A Beontag deverá ser clara, precisa e inequívoca com os Titulares de dados para que estes saibam, em todos os contextos, como e para que processamos seus dados pessoais.       
A transparência inclui acessibilidade e facilidade nas comunicações com os Titulares para que haja máxima compreensão a respeito da realização de processamento e dos respectivos agentes.

(iii) Não Discriminação       
Sob nenhuma circunstância, os dados pessoais e dados pessoais sensíveis poderão ser tratados para fins discriminatórios ilícitos ou abusivos.

(iv) Finalidade        
O processamento dos dados deve ocorrer para propósitos legítimos, específicos, explícitos e informados ao Titular, sem a possibilidade de processamento posterior de forma incompatível com essas finalidades. 

(v) Adequação       
Refere-se à compatibilidade do processamento com as finalidades informadas ao titular, de acordo com o contexto do processamento e de forma condizente com uma das bases legais. 

(vi) Necessidade e Minimização        
Trata-se da limitação da realização do processamento ao mínimo necessário para a realização da finalidade pretendida, com abrangência apenas aos dados pertinentes, de forma proporcional e não excessiva. 

(vii) Livre Acesso, Qualidade e Precisão dos Dados        
Aos Titulares, a Beontag garantirá a consulta facilitada e gratuita sobre a forma e duração do processamento, além de informações precisas e claras quanto à realização do processamento e os agentes envolvidos, desde que não viole segredo comercial ou industrial da Beontag ou de Terceiro.       
Também asseguramos a qualidade, exatidão, relevância e atualização dos dados pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu processamento.

(viii) Segurança, Prevenção e Limitação (Integridade e Confidencialidade)        
A Beontag adota padrões de segurança adequados às suas operações, principalmente quando envolvem processamento de dados pessoais, utilizando medidas técnicas e administrativas aptas a proteger os dados pessoais de incidentes de segurança.

Nenhum dado pessoal deverá ser retido por mais tempo do que o necessário, de forma que a Beontag avalia periodicamente os prazos de retenção de cada dado e adota medidas de eliminação, quando necessário.       
Todas as medidas de segurança implementadas pela Beontag, bem como as ações tomadas em relação aos dados pessoais ao longo de seu processamento são devidamente documentadas internamente.

(ix) Prestação de Contas e Responsabilização       
A Beontag adota as medidas necessárias para demonstração e comprovação da adoção das medidas eficazes e capazes de comprovar a observância e cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia de tais medidas. 

Também assumimos que somos responsáveis por toda forma de processamento dos dados pessoais que ocorra no âmbito da nossa organização, adotando uma postura séria e respeitosa em relação aos dados e os respectivos Titulares.

6.4.    Direitos dos Titulares       
A Beontag assegura a observância aos direitos dos Titulares dos processamentos de dados pessoais que realiza, conforme as disposições abaixo mencionadas:

• Direito à Transparência das Informações: É direito dos Titulares serem informados de forma clara e acessível sobre a coleta e utilização de seus dados pela Beontag, e de todas as especificidades relacionadas as atividades de processamento que ocorram no âmbito da Empresa.
• Direito de Confirmação do Processamento e Direito de Acesso: Os Titulares possuem o direito de obter a confirmação de que a Beontag processa seus dados pessoais e de ter acesso às informações específicas sobre o seu processamento.
• Direito de Retificação: O Titular do dado pessoal poderá solicitar a retificação sobre o registro de seus dados pessoais, como dados imprecisos, incorretos ou desatualizados.
• Direito de Exclusão/Direito ao Apagamento: O Titular dos dados possui o direito de exclusão de seus dados pessoais e poderá solicitar a eliminação, bloqueio ou anonimização de seus dados pessoais processados pela Beontag em hipóteses determinadas. Isso pode incluir, mas não se limita a, circunstâncias em que não é mais necessário que a Beontag retenha seus dados pessoais para os propósitos para os quais foram coletados. 
• Direito de Restrição do Processamento: O Titular de dados pode solicitar a restrição ou supressão do processamento de seus dados pessoais. Nestes casos, a Beontag poderá armazenar os dados pessoais, mas não poderá utilizá-los em alguns casos específicos de acordo com a solicitação específica do Titular e desde que não haja hipótese em que tal processamento seja necessário, tal como obrigação legal ou regulatória.
• Direito de Oposição: O Titular pode realizar a oposição ao processamento de dados quando for baseado no legítimo interesse.
• Direito a Portabilidade: O Titular dos dados poderá solicitar a portabilidade de seus dados pessoais a outro prestador de serviços ou produtos, mediante solicitação expressa. Tal prática possibilita que haja transferência, transmissão ou cópia de dados pessoais para Terceiro, de forma que haja segurança e a usabilidade dos dados não seja afetada.
• Direito Relacionados a Decisões Automatizadas: Os Titulares de dados têm direito de não estar sujeitos a decisão baseada somente em processo automatizado, incluindo a definição de perfis, que produza efeitos legais diretos ou indiretos ao Titular. Os processos de decisão automatizados são aqueles feitos por meios automatizados que não possuem nenhum envolvimento de seres humanos.

De modo a atender requisições dos Titulares, a Beontag possui ferramentas e mecanismos que visam a celeridade e efetividade na resposta ou observância destes direitos, bem como o devido arquivamento das medidas que forem adotadas em relação a essa requisição, conforme detalhado no Procedimento de Requisição do Titular dos Dados.

Para tanto, disponibilizamos um canal de comunicação aos titulares, acessível publicamente em nosso website. Que poderá ser acessado pelo seguinte meio: https://www.contatoseguro.com.br/beontag.

7.    DIRETRIZES ESPECÍFICAS       
7.1.    Acesso aos Dados Pessoais       
A Beontag compreende que acessos indevidos qualificam incidentes de segurança. Por esta razão, os acessos são limitados aos colaboradores que necessitem, justificadamente, dos dados pessoais para conduzir suas atividades, em linha com os fluxos de processamento previamente mapeados.

7.2.    Retenção e Eliminação       
Os dados pessoais tratados pela Beontag devem ser permanentemente eliminados, através de deleção sistêmica ou destruição de documentos físicos, assim que atingirem suas finalidades, a pedido do Titular quando cabível, ou a pedido de Autoridade Supervisora.

Todavia, é possível que a Beontag retenha os dados pessoais, quando autorizada sua conservação para hipóteses específicas previstas em lei.       
Quando os dados pessoais forem retidos após cumprir sua finalidade original, eles devem ser criptografados ou anonimizados para proteger a identidade do Titular dos dados.

No que diz respeito à retenção de dados pessoais nos casos em que os dados sejam tratados com o objetivo de exercer direitos, tanto de acionamento de partes quanto de defesa em processos judiciais, administrativos ou arbitrais, deverá ser observado, para fins de retenção de dados, o prazo disposto em leis específicas de prescrição e decadência.        
Durante o período de qualquer procedimento judicial em que possa haver necessidade de utilização dos dados pelao Grupo CCRR, tais dados poderão ser armazenados seguindo as medidas de segurança, os princípios e as diretrizes internas do Grupo CCRR referentes ao tratamento de dados enquanto perdurar a discussão judicial.

Conforme estabelecido na Política de Retenção e Eliminação de Dados Pessoais, o prazo padrão de retenção de dados pessoais pelo Grupo CCRR é de 5 anos após a extinção do vínculo que originou o tratamento desses dados, tal prazo é decorrente dos prazos prescricionais, decadenciais e tributários geralmente adotados na legislação nacional.

Nos casos excepcionais em que os prazos de guarda não estão previstos ou claros na legislação vigente ou que não haja entendimento pacificado sobre o prazo, bem como em que a viabilidade da retenção esteja em discussão, o Encarregado/DPO deverá analisar a situação e, possivelmente acionar o Comitê de Proteção de Dados para deliberação para declaração do prazo de retenção de determinado documento que contém dados pessoais e relacionados, sempre tendo em consideração as diretrizes da presente política e todas as outras políticas referentes a privacidade e proteção de dados do Grupo CCRR.

7.3.    Transferência Internacional       
A Beontag adota conduta restritiva quanto à transferência internacional de dados pessoais, entendendo que não deverá ser realizada indiscriminadamente e realizando-a apenas quando estritamente necessário à condução de suas atividades ou quando há padrão de segurança compatível com suas diretrizes, sempre de acordo com a previsão nas Normas de Privacidade e Proteção de Dados, conforme estabelecido na Política de Transferência Internacional de Dados.

7.4.    Processamento de Dados Pessoais de Menores       
A Beontag não realiza, em regra, o processamento de dados pessoais de menores (crianças e adolescentes). Contudo, existem ocasiões em que será necessário processá-los. Nestes casos, os dados serão processados no melhor interesse do menor e em estrita conformidade com as hipóteses legais que permitem tal processamento.

Os dados pessoais de crianças e adolescentes, assim como os dados sensíveis, devem estar sujeitos a maior proteção em relação a outros dados pessoais.

7.5.    Privacy by Design e Privacy by Default        
Em consideração ao princípio de Privacy by Design, todos os produtos e serviços que sejam criados pela Beontag são objeto de análise para que seja garantida a privacidade e a proteção de dados pessoais dos Titulares e observância a todos os princípios, diretrizes e regras do tema desde a fase de concepção até o lançamento/implantação destes produtos e serviços.

7.6.    Divulgação de Dados Pessoais a Terceiros       
A Beontag deve garantir que os dados pessoais em sua posse não sejam divulgados a terceiros não autorizados, incluindo familiares ou amigos de seus colaboradores, entes privados e órgãos governamentais, sem que haja autorização da Empresa ou ordem judicial ou de autoridade oficial para tanto. 

Todos os colaboradores devem ter cuidado quando solicitados a divulgar dados pessoais a terceiros e deverão buscar autorização do Comitê de Proteção de Dados ou do Encarregado/DPO para tanto, inclusive em caso de ordem judicial. 

Todas as solicitações para fornecer dados a terceiros devem ser suportadas por documentação apropriada e devidamente armazenadas junto à autorização do Comitê de Proteção de Dados ou do Encarregado/DPO.

7.7.    Avaliação de Impacto da Proteção de Dados e Avaliação do Legítimo Interesse        
O Comitê de Proteção de Dados deverá elaborar, com o auxílio do Encarregado/DPO e dos demais departamentos de negócio da Beontag, o relatório da avaliação de impacto da proteção de dados pessoais para as atividades de processamento de dados da Beontag.

Tal avaliação objetiva análise profunda quanto aos riscos envolvidos com os processamentos realizados pela Beontag, bem como medidas técnicas, administrativas e jurídicas que deverão ser implementadas para maior segurança dos dados pessoais processados em fluxos específicos.

O conteúdo do relatório deverá contar com a descrição dos processos de processamento de dados pessoais “comuns” e dados pessoais sensíveis que possam apresentar riscos às liberdades civis e aos direitos fundamentais, bem como dispor acerca das medidas técnicas, administrativas e jurídicas que deverão ser implementadas para mitigação dos riscos e maior segurança dos dados pessoais processados em fluxos específicos. 

Nos casos em que for atribuída a base legal de interesse legítimo, será necessário elaborar uma avaliação para que seja possível ponderar se essa base é adequada ao tratamento ou não, devendo ser devidamente aprovada ou reprovada pelo Encarregado/DPO.

Trata-se de uma documentação do controlador que contém a Avaliação de Impacto do Interesse Legítimo, cujo tratamento de dados pessoais tenham como base legal o interesse legítimo, onde se avalia se o tratamento pode gerar riscos às liberdades civis e aos direitos fundamentais, por meio de sua legitimidade, necessidade, balanceamento e salvaguardas.

7.8.    Incidentes de Segurança       
Eventuais suspeitas de violações e incidentes relacionados aos processamentos de dados pessoais realizados pela Beontag  ou por terceiros em seu nome, deverão ser imediatamente reportados ao Encarregado/DPO,  conforme canais de comunicação interna e diretrizes previstas no Procedimento de Gestão de Crise de Incidente de Segurança.

O Encarregado/DPO levará todas as informações relevantes sobre o incidente ao Comitê de Proteção de Dados, para que analisem a criticidade e complexidade da ocorrência e tomem as medidas e decisões pertinentes.       
A atuação do Comitê de Proteção de Dados tem por objetivo prevenir e mitigar perdas decorrentes de incidentes de segurança da informação ou rupturas dos serviços, afetando diretamente seus ativos de informações, confiança entre as partes interessadas, danos à reputação ou valor de mercado.

Deverão ser providenciadas todas as medidas possíveis de maneira a minimizar todos os impactos causados, bem como recuperar a integridade dos dados e sua confidencialidade.

8.    PADRÕES TÉCNICOS       
A Beontag seguirá os padrões técnicos, físicos e digitais, para proteção dos dados pessoais, sua integridade e confidencialidade.

9.    MEDIDAS DE SEGURANÇA       
9.1.    Ações Educativas       
De modo a capacitar seus colaboradores, a Beontag conduzirá anualmente treinamentos de privacidade e proteção de dados, elaborado pelo Comitê de Proteção de Dados e coordenado pelo Encarregado/DPO.       
Os colaboradores que forem contratados também receberão o treinamento, de modo a compreender conceitos básicos e observar o cumprimento do Programa de Privacidade e Proteção de Dados Pessoais da Beontag.       
Além disso, com o auxílio do Departamento de Recursos Humanos, serão realizadas outras ações para conscientização e garantia de cumprimento das diretrizes, tais como:

• envio de e-mails com informativos/pílulas de conteúdo sobre temas de privacidade e proteção de dados, normas aplicáveis e o Programa da Empresa.

9.2.    Supervisão e mitigação de riscos       
O Programa de Privacidade e Proteção de Dados Pessoais da Beontag será supervisionado pelo Comitê de Proteção de Dados, a partir:

• Da revisão anual da presente Política;
• Do monitoramento constante dos indícios de incidentes de segurança e documentação das medidas de adequação implementadas.       
  Os Departamentos de Compliance, Tecnologia da Informação e Jurídico também contribuirão para a supervisão e mitigação dos riscos, a partir de:
• Monitoramento contínuo dos padrões de segurança da Beontag;
• Análise dos aspectos técnicos de indícios de incidentes de segurança;
• Constante revisão e implementação de ferramentas e mecanismos que garantam a segurança dos dados pessoais processados pela Beontag.

10.    CANAL DE PRIVACIDADE       
O Canal é um meio de comunicação de fácil acesso entre o Data Protection Officer/Encarregado da Beontag e os Titulares de dados pessoais, de forma que podem exercer seus direitos em contato direito com a Empresa. A Beontag despende esforços para atender às solicitações dentro dos limites legais e limitações razoáveis, estando sempre comprometida com a transparência e proteção dos dados pessoais.

Adicionalmente, o Canal de Privacidade poderá ser utilizado para relatar quaisquer violações referentes a privacidade e proteção de dados pessoais, de forma que a Empresa possa tomar as devidas providências de investigação, mitigação de riscos e atuação com relação ao caso específico.

O Canal de Privacidade pode ser acessado via: lgpd@beontag.com.       
Quaisquer relatos, dúvidas, questionamentos, esclarecimentos, exceções, solicitações sobre a aplicação desta Política de Privacidade e Proteção de Dados poderão também ser enviadas diretamente ao Comitê de Proteção de Dados por meio do e-mail comitelgpd@beontag.com ou ao Encarregado por e-mail lgpd@beontag.com.

11.    INVESTIGAÇÕES E SANÇÕES       
As eventuais denúncias, ainda que suspeitas, de violações a esta Política, serão encaminhados ao Comitê de Proteção de Dados e submetidos a procedimento de investigação interna pelo Departamento de Compliance da Beontag. Caso constatado, após investigação robusta, que houve violação, poderá haver aplicação de sanções pela Beontag, proporcionais à natureza ou gravidade da infração cometida, de acordo com deliberação pelo Comitê de Proteção de Dados.

Qualquer Colaborador ou Terceiro que viole qualquer disposição desta Política estará sujeito a sanções disciplinares e consequências relacionadas, tais como: (i) advertência verbal ou por escrito; (ii) suspensão; (iii) demissão sem justa causa; (iv) demissão com justa causa; (v) exclusão do Terceiro da lista de fornecedores da Empresa; (vi) ajuizamento de ação judicial pertinente.

Adicionalmente, o responsável pela prática de ato ilícito poderá sofrer punições judiciais e/ou administrativas, de acordo com a legislação do país em que houver jurisdição.

Caso a Beontag seja condenada a indenizar prejuízos de ordem moral ou material, comprovados em eventual ação de ordem judicial ou administrativa de qualquer natureza, o responsável poderá será chamado a participar do processo ou notificado regressivamente para reembolsar a Beontag quanto aos valores dispendidos, devidamente atualizados nos moldes da legislação vigente.

O ato de não reporte de violações de privacidade ou à integridade dos dados pessoais que representem infração às regras internas da Beontag e legislação aplicável configuram descumprimento desta Política e poderá ser devidamente punido. A imprudência, negligência e a falha voluntária são também consideradas violações a esta Política, sendo passíveis de aplicação de sanções disciplinares.

12.    DISPOSIÇÕES FINAIS       
O presente documento deve ser lido e interpretado em conjunto com as demais Políticas e Procedimentos adotados pela Beontag relacionados a Proteção de Dados, bem como com as leis e regulamentações relacionadas.       
Esta Política, bem como os demais documentos que o complementam encontram-se disponíveis na intranet ou, em caso de indisponibilidade, podem ser solicitados ao Encarregado/DPO da Beontag.       
Qualquer dúvida relativa a esta Política deve ser encaminhada ao Comitê de Proteção de Dados por meio do e-mail comitelgpd@beontag.com ou ao Encarregado por e-mail lgpd@beontag.com.       
Esta Política entra em vigor na data de sua publicação.

13 – ENCARREGADO DE DADOS E FORMA DE CONTATO

O encarregado de dados do grupo Beontag, escolhido como ponto focal de comunicação com os titulares de dados e ANPD é a Suzane Oliveira Silva, podendo entrar em contato através do e-mail: lgpd@beontag.com.br, e pelo telefone (11) 99620-7865.