Política de Privacidade e Proteção de Dados Pessoais
Versão I – 2025
Contextualização
A presente Política de Privacidade e Proteção de Dados Pessoais (“Política”) tem como objetivo fornecer orientações sobre como gerenciar as diversas atividades e operações de tratamento de dados pessoais existentes na empresa.
Este documento faz parte do programa de compliance da empresa à Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – “LGPD”) e outras leis setoriais sobre o tema.
A empresa, consciente da importância e da necessidade de adequar as suas operações de tratamento de dados pessoais a uma nova e ampla regulação sobre o tema, deu início ao seu processo de conformidade à Lei.
Nota-se que a LGPD é uma lei transversal, que perpassa diferentes agentes econômicos no Brasil — do setor privado, público e do terceiro setor — e oferece as regras e condições para que os dados pessoais possam ser utilizados nas atividades desses agentes.
Na condução das atividades previstas no seu setor de atuação, a empresa realiza diversas operações de tratamento de dados pessoais buscando o melhor interesse dos titulares e respeitando seus direitos, podendo ser caracterizada como Controladora, Operadora ou Co-Controladora de Dados Pessoais, de acordo com as definições da LGPD. Em todas as posições que ocupar, reforça o seu compromisso com o cumprimento das regras de privacidade e proteção de dados pessoais aplicáveis.
Essas atividades abrangem particularidades nos tratamentos de dados pessoais realizados em sua estrutura. Por exemplo, é necessário atender às obrigações legais específicas do segmento e de outros órgãos reguladores, muitas vezes com sinergia com o campo da proteção de dados. Além disso, a empresa é depositária de um grande volume de dados de caráter pessoal, inerentes à sua atividade e desenvolvimento administrativo.
O processo de compliance regulatório que culminará no Programa de Conformidade da LGPD envolve um trabalho de interpretação da Lei para definição das obrigações legais, diagnóstico dos fatos pertinentes e levantamento de fluxos e processos que contribuem ou não para o cumprimento das exigências legais.
Esta Política integra o Sistema de Controles Internos e de Conformidade da empresa e deve ser lida e interpretada em conjunto com os demais documentos e normativos que compõem sua estrutura de governança da informação.
Definições
AGENTES DE TRATAMENTO DE DADOS PESSOAIS: O controlador e o operador de dados pessoais.
ANONIMIZAÇÃO: Utilização de meios técnicos, razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD): Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.
CONTROLADOR DE DADOS PESSOAIS: Pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
DADOS PESSOAIS: Informação relacionada à pessoa natural identificada ou identificável, inclusive para formação de perfil comportamental.
DADOS PESSOAIS SENSÍVEIS: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados referentes à saúde, vida sexual, genéticos ou biométricos quando vinculados à pessoa natural.
ENCARREGADO OU DATA PROTECTION OFFICER (DPO): Pessoa indicada pelo agente de tratamento para atuar como canal de comunicação entre Controlador, Titulares e ANPD.
FORNECEDORES: Terceiros contratados e subcontratados, pessoa física ou jurídica, não enquadrados como parceiros comerciais.
LGPD: Lei nº 13.709/2018, que dispõe sobre o tratamento de dados pessoais em meios digitais ou físicos, com objetivo de defender os titulares e equilibrar o uso dos dados com o desenvolvimento tecnológico e econômico.
OPERADOR DE DADOS PESSOAIS: Pessoa física ou jurídica que realiza o tratamento de dados pessoais em nome do Controlador.
PARCEIROS COMERCIAIS: Terceiros contratados (consultores, conveniados, agentes comerciais, etc.) que atuam em nome da empresa.
TERCEIRO: Pessoa física ou jurídica contratada pela empresa para desenvolver ou auxiliar em suas atividades.
TITULAR DE DADOS PESSOAIS: Pessoa natural a quem se referem os dados pessoais tratados.
TRATAMENTO DE DADOS PESSOAIS: Toda operação realizada com dados pessoais, como coleta, produção, classificação, armazenamento, eliminação, compartilhamento, entre outras.
Escopo
A presente Política estabelece as diretrizes da empresa para resguardo e uso de dados pessoais tratados em suas atividades, com base na LGPD e em normas nacionais e internacionais correlatas, incluindo a GDPR (General Data Protection Regulation) para casos envolvendo países da União Europeia.
Destinatários
Esta Política se aplica:
(i) aos colaboradores da empresa;
(ii) a todos os terceiros, pessoas físicas ou jurídicas, que atuem para ou em nome da empresa;
(iii) aos agentes externos de tratamento de dados pessoais; e
(iv) aos titulares de dados pessoais tratados pela empresa.
A adesão ao Programa de Conformidade da LGPD, incluindo esta Política, é obrigatória a todos os destinatários acima indicados.
Aplicabilidade
Esta Política estabelece diretrizes para garantir que todos compreendam e cumpram as legislações sobre proteção de dados pessoais em todas as interações com titulares, terceiros e agentes externos.
As informações abrangidas incluem todos os dados detidos, usados ou transmitidos pela empresa, em qualquer mídia — física, digital ou oral.
Objetivos
São objetivos desta Política:
Estabelecer diretrizes e responsabilidades da empresa para cumprimento das legislações aplicáveis.
Descrever regras a serem seguidas nas atividades de tratamento de dados pessoais realizadas pela empresa e seus destinatários.
Esta Política deve ser lida em conjunto com:
i. Contratos de trabalho e documentos de confidencialidade;
ii. Políticas e normas de segurança da informação;
iii. Outras normas internas sobre proteção de dados pessoais.
Deveres Para o Uso Adequado do Dado Pessoal
Todos os destinatários desta Política devem zelar pelo uso adequado dos dados pessoais e auxiliar a empresa no cumprimento da LGPD.
Deveres Específicos dos Titulares de Dados Pessoais:
Devem comunicar alterações de seus dados à empresa:
(i) pela plataforma de relacionamento;
(ii) por e-mail ao responsável; ou
(iii) diretamente ao representante da empresa.
Deveres Específicos dos Colaboradores:
O compartilhamento de dados entre unidades é permitido apenas se houver base legal e finalidade específica, observando o princípio da necessidade.
Deveres dos Colaboradores, Agentes e Terceiros:
(i) Não disponibilizar dados pessoais a pessoas não autorizadas.
(ii) Obter autorização e manter documentos que comprovem competência.
(iii) Cumprir normas e orientações de segurança da informação.
Deveres de Todos os Destinatários:
Devem contatar o responsável em casos de:
Tratamento sem base legal;
Violação da Política;
Eliminação não autorizada;
Qualquer incidente de segurança.
Relação com Terceiros
A LGPD prevê responsabilidade solidária entre todos os agentes de tratamento. Por isso, os contratos com terceiros devem conter cláusulas de proteção de dados e comprovar conformidade.
Todos os terceiros devem assinar o termo de aceitação desta Política, da Política de Segurança da Informação e do Plano de Resposta a Incidentes.
Programa de Conformidade à LGPD
O Programa garante o compromisso da empresa com boas práticas de privacidade, incluindo:
Disseminação de informações e responsabilidades;
Treinamentos e orientações;
Avaliação e mitigação de riscos;
Elaboração de relatórios e pareceres técnicos;
Atendimento a solicitações de titulares e autoridades.
Segurança da Informação
A empresa emprega medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acessos não autorizados, perda, destruição ou compartilhamento indevido, conforme a Política de Segurança da Informação.
Treinamento
Os destinatários devem participar de treinamentos e capacitações propostos, promovendo a cultura de proteção de dados.
Colaboradores com funções críticas receberão treinamentos adicionais.
Monitoramentos
A empresa revisará periodicamente esta Política, atualizando-a conforme normas e recomendações da ANPD ou outras autoridades competentes.
As alterações serão comunicadas pelos canais oficiais da empresa.
Requisitos para o Tratamento de Dados Pessoais
Todas as operações devem estar fundamentadas em bases legais válidas (Art. 7º e 11 da LGPD) e respeitar os princípios da Lei (Art. 6º e 16).
O tratamento deve ser:
Específico, explícito e informado ao titular;
Adequado e limitado ao mínimo necessário;
Compatível com sua finalidade legítima.
O titular deve ser informado sobre seus direitos e o canal para exercê-los — preferencialmente no site da empresa.
Perguntas de verificação da legitimidade do tratamento:
O tratamento é necessário à finalidade?
A finalidade é específica e informada?
Há base legal válida e adequada?
O consentimento (quando aplicável) é obtido e registrado corretamente?
Obrigação de Transparência e Segurança
O Controlador e o Operador respondem solidariamente por danos decorrentes de violações à LGPD (Art. 42).
A isenção de responsabilidade ocorre apenas se comprovado que:
(i) não realizaram o tratamento;
(ii) não houve violação à lei; ou
(iii) o dano foi causado exclusivamente pelo titular ou por terceiros.
O tratamento é irregular quando não observa a legislação ou não fornece a segurança esperada (Art. 44 da LGPD).
