POLÍTICA DE PRIVACIDADE E SEGURANÇA DA INFORMAÇÃO
SUMÁRIO
Identificação, Contexto e Objetivo
Identificação do Controlador de Dados:
PDCA TI – CONSULTORIA E TREINAMENTOS LTDA. ME., intitulada “PDCA TI”, inscrita no CNPJ 23.740.167/0001-94, localizada na Av. Presidente Vargas, 2121, sala 2302, Ribeirão Preto – São Paulo.
Contexto de atuação:
A PDCA TI atua no setor de Tecnologia da Informação, com foco nas boas práticas de mercado, levando aos nossos clientes, conhecimento e experiência na implementação de Políticas, Processos e Procedimentos relacionados.
Não atuamos diretamente com Pessoas Físicas (Titular dos Dados). Nosso escopo de atuação é no mercado B2B (Business-to-Business) e lidamos, na essência, com dados corporativos. Os dados pessoais coletados estão relacionados aos colaboradores internos, de clientes e/ou de parceiros.
Conhecemos a Lei Geral de Proteção de Dados Pessoais (LGPD), entendemos a sua importância para o mercado e respeitamos integralmente as diretrizes estabelecidas na Lei, além de cumprir as demais legislações vigentes.
Somos conduzidos pela ética, respeito ao próximo e pela transparência na condução de nossos serviços e processos; sendo assim, esta Política foi elaborada para trazer maior transparência e controle para você, Titular dos Dados, além de garantir a conformidade legal.
Caso ainda não conheça a LGPD, ela foi sancionada em 14 de agosto de 2018, Lei n° 13.709, a qual aborda um conjunto de diretrizes e boas práticas que visam regulamentar o ‘Tratamento de Dados Pessoais’, realizado por empresas públicas e/ou privadas, além de exigir que essas empresas estruturem um Programa de Privacidade (Governança de Dados e Segurança da Informação).
A seguir, o link para acesso à LGPD: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
Objetivo:
Nosso objetivo é apresentar ao Titular dos Dados, de forma clara, simples e transparente, como a PDCA TI lida com as exigências estabelecidas na LGPD, quais são os controles de segurança e conformidade que possuímos, além de disponibilizar um formulário para que o Titular possa reivindicar os seus direitos (requisições).
Conceitos (definições) envolvidos na LGPD
Objetivo da Lei: “Proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural“. Art. 1º – LGPD
“informação relacionada a pessoa natural identificada ou identificável“.
Qualquer informação que possa identificar ou permitir a identificação de um Titular. Exemplos: Nome completo; CPF; RG; Endereço completo; Geolocalização; entre outros.
“pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”
A LGPD só se aplica para dados de Pessoas Físicas.
“pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais“
“toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”
“manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada“
“Relatório de Impacto à Proteção de Dados Pessoais.”
O objetivo do RIPD é analisar os riscos que possam acarretar risco ou dano relevante ao Titular, além de formalizar as ações para mitigação destes riscos.
“dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural“
“pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)”
“pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador“
Autoridade Nacional de Proteção de Dados. “órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional”
Qualquer tratamento de dados pessoais somente poderá ser realizado por meio de uma hipótese de tratamento (base legal), conforme artigos 7º, 11 e 14 da LGPD.
“LIA – Legitimate Interest Assessment” ou Avaliação do Legítimo Interesse.
Relatório utilizado para analisar a viabilidade da base legal – Legítimo Interesse.
Relacionamento entre as partes envolvidas
- O Titular de Dados poderá reivindicar seus direitos (art. 18 – LGPD), a qualquer momento, perante o Controlador, por intermédio do Encarregado;
- Caso o Titular não tenha sucesso na sua requisição, poderá acionar a ANPD;
- O Controlador deverá notificar os Operadores para realizarem tal procedimento, quando aplicável;
- Na imagem ao lado, é possível entender um pouco melhor esta relação.
Componentes do Programa de Privacidade da PDCA TI
Política de Privacidade:
Estabelecer as diretrizes para o programa de Privacidade e Governança de Dados Pessoais, contemplando os critérios necessários para a conformidade legal, além da estruturação de processos e procedimentos para Atendimento dos Direitos dos Titulares; Notificação de Incidentes; Análise de Novos Tratamentos; Prestação de Contas; entre outros.
Gerenciamento do Risco:
Processo de identificação das ameaças, análise dos riscos, avaliação dos riscos (medidas mitigatórias) e formalização dos riscos residuais. Realizar RIPD e LIA, quando necessário, e manter atualizado o Inventário e Registro dos Tratamentos de Dados.
Garantia da Conformidade:
Verificar, de forma contínua, a efetividade das estratégias de conformidade com a LGPD e suportar a identificação de novos Tratamentos e/ou análise de novos riscos.
Promoção da Segurança:
Ações que visam fortalecer a cultura do Programa de Privacidade em todos os níveis da organização, contemplando treinamentos, workshops, cartilhas e lições aprendidas.
Quais Dados Pessoais são tratados pela PDCA TI?
Agente de Tratamento: | Controlador |
Processo – Finalidade do Tratamento: | Atendimento de contatos recebidos pelos formulários do site da PDCA TI, por e-mail e/ou telefonemas |
Dados Pessoais Coletados: | Nome, Telefone e E-mail |
Dados Pessoais Sensíveis Coletados: | Não coletado |
Coleta Dados de Menores de Idade? | Não coletado |
Origem dos Dados Tratados: | Diretamente com o Titular |
Operadores: | Não |
Base Legal: | (I) Legítimo Interesse |
Agente de Tratamento: | Controlador |
Processo – Finalidade do Tratamento: | Formalização/Execução de contratos |
Dados Pessoais Coletados: | Nome completo, CPF, Telefone, E-mail, Endereço corporativo e Assinaturas |
Dados Pessoais Sensíveis Coletados: | Não coletado |
Coleta Dados de Menores de Idade? | Não coletado |
Origem dos Dados Tratados: | Diretamente com o Titular |
Operadores: | Escritório de Advocacia e Contabilidade |
Base Legal: | (I) Execução de Contrato (II) Atendimento de obrigação legal/regulatória |
Agente de Tratamento: | Controlador |
Processo – Finalidade do Tratamento: | Envio de NEWSLETTER (comunicado de novos artigos publicados no Blog da PDCA TI) |
Dados Pessoais Coletados: | Nome e E-mail |
Dados Pessoais Sensíveis Coletados: | Não coletado |
Coleta Dados de Menores de Idade? | Não coletado |
Origem dos Dados Tratados: | Diretamente com o Titular |
Operadores: | Não compartilhado |
Base Legal: | (I) Legítimo Interesse |
Critérios de Segurança da Informação aplicados
A PDCA TI utiliza as melhores práticas de mercado e metodologias disponíveis, entre elas, ISO 27001; ISO 27701; COBIT 5; ITIL e NIST. A seguir, os critérios de segurança estruturados na PDCA TI:
Medidas Técnicas:
- Firewall e Antivírus corporativo nos equipamentos;
- Estrutura de Backup;
- Criptografia;
- Contingência;
- Entre outros.
Medidas Administrativas:
- Política de Segurança da Informação (PSI);
- Processos de backup; gestão de patches; credencial de acessos;
- Planos de Contingência;
- Processo de Gestão de Mudanças e Incidentes;
- Notificação de Incidentes LGPD;
- Entre outros.
Transferências Internacionais
Qualquer transferência internacional de Dados Pessoais respeitará os critérios estabelecidos no artigo 33 da LGPD, além de tornar pública quais são estas transferências, sua finalidade e os Operadores envolvidos.
A seguir, a lista de operador(es) envolvido(s) nas transferências internacionais:
Nome do Operador | Finalidade | Localidade | Política de Privacidade |
Hostgator | Hospedagem do website e e-mail | U.S.A | https://www.hostgator.com.br/politica-de-privacidade |
Compartilhamento de Dados Pessoais
A PDCA TI poderá compartilhar Dados Pessoais com empresas públicas e/ou privadas, nas seguintes situações:
Agente de Tratamento | Finalidade | Justificativa | Base Legal |
Operadores | Realizar atividades em nome do Controlador, sendo eles: Contabilidade e Escritórios de Advocacia. | Atuação para atendimento de atividades inerentes aos contratos e/ou para atendimento de obrigações legais/regulatórias. | I. Execução de Contrato; II. Atendimento de Obrigação Legal/Regulatória; III. Legítimo Interesse. |
Órgãos Públicos | Compartilhar Dados Pessoais com os órgãos públicos, sejam eles, municipais, estaduais e/ou federais. | Compartilhamento necessário para atendimento de obrigações legais/regulatórias, sejam elas: E-social; Emissão de Nota Fiscal; entre outras. | I. Atendimento de Obrigação Legal/Regulatória. |
Autoridades Judiciais, Administrativas e/ou Regulatórias | Compartilhar Dados Pessoais sempre que existir requisição ou ordem judicial para tal compartilhamento. | Compartilhamento necessário para atendimento de obrigações legais/regulatórias, ou para o exercício regular de direitos. | I. Atendimento de Obrigação Legal/Regulatória; II. Exercício Regular de Direitos. |
Exclusão de Dados Pessoais
Em atendimento ao artigo 16 da LGPD, a PDCA TI irá manter os dados pessoais somente para atender a finalidade específica e, uma vez atingida a finalidade, os dados serão eliminados, salvo exceções para atendimento de obrigatoriedade legal e/ou regulatória.
Encarregado pelo Tratamento de Dados Pessoais
O sócio responsável pela empresa PDCA TI, é o Encarregado de Dados – LGPD.
Nome: Gustavo de Castro Rafael
E-mail: [email protected]
A seguir, um resumo de suas qualificações:
- Formado em Sistemas de Informação
- Pós-graduação em Governança de TI
- MBA em Gestão de Segurança da Informação
- Certificações Internacionais, entre elas, ITIL, COBIT, ISO 20.000, ISO 27.001, DPO
- Link das certificações: EXIN – EXEED PRO
- Linkedin: Gustavo de Castro Rafael
Direitos do Titular de Dados Pessoais
Após a vigência da LGPD, o Titular dos Dados adquiriu diversos novos direitos, os quais poderá exercê-los em qualquer empresa. Conheça os principais direitos estabelecidos nos artigos 9°, 18, 20 e 22 na LGPD.
- Acesso/Confirmação dos Tratamentos de dados pessoais;
- Correção de dados pessoais;
- Eliminação/Anonimização de dados pessoais;
- Portabilidade de dados pessoais;
- Revogação de Consentimento;
- Relatório de compartilhamento de dados;
- Opor-se ao tratamento;
- Solicitar revisão de decisões automatizadas;
- Peticionar contra o controlador perante a ANPD, organismos de defesa do consumidor e/ou em juízo.
O Titular poderá realizar as requisições por meio do formulário, a seguir (Requisição dos Titular):
Obs.: Estas requisições são gratuitas.
Requisição do Titular - LGPD
A PDCA TI disponibilizou um formulário específico para que o Titular possa fazer suas requisições com base na LGPD.
Favor preencher os campos abaixo para que possamos analisar sua solicitação e retornar o mais breve possível, dentro dos prazos legais.
Obs.: Importante ressaltar que estas informações serão utilizadas apenas para atendimento da requisição. Nenhum tratamento adicional será realizado com estes dados.
Estrutura de Cookies e como excluí-los do equipamento
Atualização e Foro
A PDCA TI se reserva no direito de atualizar e/ou modificar esta Política de Privacidade a qualquer momento, seja para ajustes em suas diretrizes, melhoria nas informações apresentadas e/ou para atendimento de conformidade legal.
O Titular poderá consultar a Política de Privacidade sempre que necessário, por meio desta página (https://www.pdcati.com.br/politica-de-privacidade).
Esta Política será regida pela Legislação Brasileira e fica eleito o foro de Ribeirão Preto/SP para dirimir quaisquer controvérsias oriundas deste documento.
Data da última revisão: 20/07/2021
Em caso de dúvidas e/ou melhor entendimento, entre em contato conosco!