Autopark
Política de Privacidade e Proteção de Dados Pessoais
Versão 1 (2020)
Introdução
O presente documento representa o comprometimento da Autopark com a proteção dos dados pessoais envolvidos em todas as suas atividades.
O sistema orienta-se a garantir um nível máximo de proteção e de segurança de dados pessoais. Isto se aplica aos dados de nossos clientes, potenciais pessoas interessadas, parceiros comerciais e, inclusive, aos dados de todos os nossos colaboradores.
A proteção de dados significa a proteção da própria pessoa.
A presente Política estabelece a diretriz corporativa relacionada à proteção de dados, contando com os requisitos para o processamento de dados pessoais de clientes, potenciais interessados, parceiros comerciais e colaboradores, correspondente às exigências da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 - LGPD), aplicável à toda a organização.
É dever de todos os executivos, desde a mais alta administração da Autopark, e de todos os colaboradores respeitar a presente Política e cumprir a respectiva legislação sobre proteção de dados pessoais.
Sumário
1. Finalidade da Política de Privacidade e Proteção de Dados Pessoais e declaração da Autopark
2. Âmbito de aplicação e atualização da Política
3. Conceitos
4. Princípios do tratamento de dados pessoais
5. Admissibilidade do tratamento de dados pessoais
5.1. Dados de clientes e parceiros
5.2. Dados de colaboradores e candidatos a vagas de emprego.
6. Compartilhamento de dados
7. Direitos dos titulares de dados
8. Confidencialidade e segurança dos dados pessoais
9. Incidentes de segurança de dados pessoais
10. Responsabilidade e sanções
11. Implementação de produtos, serviços, processos e projetos: privacidade e proteção de dados desde a concepção
1. Finalidade da Política de Privacidade e Proteção de Dados Pessoais e declaração da Autopark
A presente política reflete a posição assumida pela Autopark frente o respeito à privacidade e à proteção de dados pessoais e governa a direção estratégica da empresa sobre o tema.
No âmbito da sua responsabilidade social, a Autopark compromete-se a cumprir os direitos de proteção dos dados pessoais.
A proteção de dados constitui base para as relações de negócios e para a reputação da Autopark.
Esta Política aplica-se a toda a organização e está alinhada aos princípios básicos mundialmente aceitos sobre a matéria de proteção de dados e à legislação brasileira, principalmente na LGPD.
2. Âmbito de aplicação e atualização da Política
A presente Política, de âmbito de aplicação interno, volta-se à toda a organização da Autopark, devendo ser cumprida por todos os seus executivos, desde o mais alto nível de administração, e respectivos colaboradores.
A compreensão e cumprimento desta Política demanda a contínua capacitação, pela Autopark, de seus colaboradores.
Esta Política orienta todas as atividades de tratamento de dados pessoais pela Autopark.
Esta Política deverá, rotineiramente, ser avaliada em sua eficácia, revista e atualizada, mediante aprovação da alta administração, visando especialmente o cumprimento da legislação nacional. As atualizações deverão ser informadas amplamente, direcionadas a todos os colaboradores e garantindo-se a acessibilidade necessária ao entendimento.
Conforme revisões e atualizações, deverá ser alterada a numeração da versão na primeira lauda deste documento, acrescentando-se a data da atualização a cada versão com o fito de registrar o histórico do desenvolvimento desta Política e o amadurecimento da própria organização quanto ao tema.
3. Conceitos
Para aplicação da presente Política, são adotados os conceitos presentes na LGPD, destacando-se os seguintes:
- Dado pessoal: informação relacionada a pessoa natural (pessoa física) identificada ou identificável.
Ex. nome e sobrenome; endereço; e-mail; número de identificação; dados de localização; endereço de IP; cookies de identificação.
- Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
- Danos anonimizados: são aqueles que perderam a possibilidade de vinculação a uma pessoa natural identificada ou identificável, de forma irreversível. Não são dados pessoais, portanto, estando fora do âmbito de aplicação da presente Política e da própria LGPD. Ex. informações estatísticas.
- Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Ex. clientes; parceiros comerciais; diretores; colaboradores.
- Tratamento (ou atividade de tratamento): toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
- Agentes de tratamento: controlador e operador, que realizam alguma atividade de tratamento sobre dados pessoais.
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. O controlador define as finalidades das atividades de tratamento.
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome (a mando) do controlador.
- Bases/hipóteses legais de tratamento: são as hipóteses, previstas em lei, nas quais está autorizada a realização das atividades de tratamento de dados pessoais. Ex. consentimento do titular; cumprimento de obrigação legal; exercício regular de direitos em processo judicial.
4. Princípios do tratamento de dados pessoais
As atividades de tratamento deverão observar os seguintes princípios:
- Boa-fé: o tratamento deve ser realizado sempre com base na honestidade, lealdade e transparência;
- Finalidade: o tratamento é realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
- Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
- Necessidade, economia e minimização de dados: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. Antes do tratamento, deverá ser verificado se e até que ponto os dados são necessários para o atingimento da finalidade pretendida com o tratamento. Os dados não devem ser guardados para eventualidades futuras, exceto se para cumprimento de obrigação legal;
- Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
- Qualidade dos dados: deverão ser adotadas medidas para assegurar a exatidão, clareza, relevância e atualização dos dados, devendo os dados ser eliminados, corrigidos, completados ou atualizados;
- Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
- Segurança: utilização de medidas técnicas e administrativas/organizacionais capazes de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
- Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
- Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
- Responsabilização e prestação de contas: demonstração, pela Autopark, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
5. Admissibilidade do tratamento de dados pessoais
As atividades de tratamento de dados são admissíveis para as seguintes finalidades abaixo listadas.
5.1. Dados de clientes e parceiros
- Formalização, execução e extinção de uma relação contratual
Dados pessoais do interessado, do cliente ou do parceiro podem ser tratados para fundamentar, realizar e terminar um contrato. Na preparação de um contrato, ou seja, na sua fase inicial, é permitido o tratamento de dados pessoais para a realização de propostas, atendimento à solicitações ou o cumprimento de outras necessidades do interessado direcionadas para a realização de um contrato.
Uma atividade de tratamento poderá ser autorizada mediante consentimento do titular. Para fins de comprovação, a declaração de consentimento deverá ser obtida, basicamente, por escrito ou por via eletrônica. Em alguns casos, por exemplo, de contato telefônico, o consentimento também poderá ser dado verbalmente. Em todo caso, o consentimento deverá ser documentado para fins de comprovação.
- Cumprimento de obrigação legal e exercício regular de direitos
O tratamento de dados poderá ser exigido para o cumprimento de uma obrigação legal, entendendo-se obrigações estipuladas por lei, decisão judicial ou norma infralegal.
Poderá o tratamento, ainda, ser necessário para resguardar a organização quanto ao exercício regular de direitos em processo judicial, administrativo ou arbitral, situação na qual as informações poderão ser mantidas exclusivamente para esta finalidade e pelo período legal definido para a prescrição da pretensão, conforme disposto em lei ou em posicionamento de Tribunais, ou enquanto pendente ação judicial em trâmite.
A verificação deste prazo deverá ser avaliado junto ao setor jurídico.
- Atendimento a interesses legítimos do controlador ou de 3º
Excepcionalmente, e somente nos casos em que não se sobreporem os direitos e liberdades do titular de dados envolvido, poderá a atividade de tratamento servir à finalidade de atendimento a interesses legítimos da organização ou de 3º. Deverá ser avaliado os interesses que se pretende atender para cada processamento.
O interesse a ser atendido deverá ser especificado, documentado e justificado, não podendo perdurar por tempo indeterminado, de modo que o prazo do tratamento deve ser definido previamente ao início do tratamento.
5.2. Dados de colaboradores e candidatos a vagas de emprego
- Formalização, execução e extinção de uma relação contratual empregatícia
Para o vínculo empregatício, poderão ser tratados os dados necessários para a celebração, execução e rescisão do contrato de trabalho.
Os dados pessoais de candidatos a vagas poderão ser processados para o início de um vínculo empregatício. Após uma recusa, os dados do candidato deverão ser eliminados, tendo em conta os respectivos prazos legais, exceto se o candidato tiver consentido que os dados continuem armazenados para um processo de seleção posterior. É necessário consentimento também para uma utilização dos dados em outros processos de candidatura ou antes do encaminhamento a outras empresas que também estejam realizando seleção de pessoas à vagas de emprego.
- Cumprimento de obrigação legal e exercício regular de direitos
O tratamento de dados poderá ser exigido para o cumprimento de obrigação legal, entendendo-se obrigações estipuladas por lei, decisão judicial, norma infralegal ou acordos coletivos de trabalho.
Poderá o tratamento, ainda, ser necessário para resguardar a organização quanto ao exercício regular de direitos em processo judicial (especialmente de competência da Justiça do Trabalho), administrativo ou arbitral, situação na qual as informações poderão ser mantidas exclusivamente para esta finalidade e pelo período legal definido para a prescrição da pretensão, conforme disposto em lei ou em posicionamento de Tribunais, ou enquanto pendente ação judicial em trâmite.
A verificação deste prazo deverá ser avaliado junto ao setor jurídico.
- Atendimento a interesses legítimos do controlador ou de 3º
Excepcionalmente, e somente nos casos em que não se sobreporem os direitos e liberdades do titular de dados envolvido, poderá a atividade de tratamento servir à finalidade de atendimento a interesses legítimos da organização ou de 3º. Deverá ser avaliado os interesses que se pretende atender para cada processamento.
O interesse a ser atendido deverá ser especificado, documentado e justificado, não podendo perdurar por tempo indeterminado, de modo que o prazo do tratamento deve ser definido previamente ao início do tratamento.
6. Compartilhamento de dados
Eventuais compartilhamentos ou transmissões de dados pessoais para outros agentes de tratamento (ex. empresas terceiras prestadoras de serviços) serão autorizados se atendidas as condições dos itens 4 e 5 desta Política, ficando estes terceiros sujeitos ao estipulado em contrato.
Inclusive, a contratação de terceiros prestadores de serviços que realizem, eventualmente ou não, sob qualquer forma, algum tratamento de dados pessoais oriundos da Autopark, deve ser precedido de procedimento de due diligence (diligência prévia) para verificação das condições ofertadas por este terceiro e de sua aderência aos requisitos da LGPD. O terceiro deverá ser capaz de demonstrar, antes da formalização da contratação, o cumprimento com a LGPD.
O compartilhamento de dados pessoais a um destinatário que se encontre em país terceiro é proibido, exceto nas situações expressamente previstas na LGPD no que tange às transferências internacionais de dados ou para o cumprimento de uma obrigação legal.
7. Direitos dos titulares de dados
Em atendimento à LGPD, a todo titular de dados pessoais são garantidos os seguintes direitos que devem ser atendidos prontamente pela área responsável da Autopark, de forma gratuita, e sem qualquer prejuízo a este.
- Confirmação da existência de tratamento (art. 18, I)
- Acesso aos dados (art. 18, II)
- Correção de dados incompletos, inexatos ou desatualizados (art. 18, III)
- Anonimização (art. 18, IV)
- Bloqueio (art. 18, IV)
- Eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei (art. 18, IV)
- Portabilidade de dados a outro fornecedor (art. 18, V)
- Eliminação dos dados tratados com o consentimento (art. 18, VI)
- Informação das entidades a quem os dados foram compartilhados (art. 18, VII)
- Informação da possibilidade de recusar o consentimento e consequências (art. 18, VIII)
- Revogação do consentimento (art. 18, IX)
- Direito de petição à autoridade (art. 18, §1º)
- Direito de oposição em havendo descumprimento da lei nas hipóteses de dispensa do consentimento (art. 18, §2º)
- Revisão de decisão tomada com base em tratamento unicamente automatizado (art. 20)
Se, de acordo com legislação trabalhista, estiverem previstos direitos mais abrangentes de acesso a documentação do empregador, estes permanecem inalterados.
Atualmente, alguns dos direitos previstos pela LGPD dependerão de regulamentação pela ANPD para serem operacionalizados, a exemplo do direito à portabilidade.
Os dados poderão ainda ser conservados, dentre outras hipóteses previstas em lei, para as seguintes finalidades:
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Exercício regular de direitos pelo controlador em processo judicial, administrativo e arbitral;
8. Confidencialidade e segurança dos dados pessoais
Os dados pessoais gozam de proteção sob a legislação brasileira, o que pode ser realizado por meio de uma série de medidas por parte da organização, que podem ser técnicas ou administrativas/organizacionais.
É proibido aos colaboradores realizar qualquer operação sobre dados pessoais indevidamente, entendido como sendo o processamento executado sem incumbência ou determinação para tal no âmbito de suas tarefas ou sem autorização, a exemplo do uso de dados pessoais para fins particulares ou econômicos, transmiti-los a pessoas não autorizadas ou permitir-lhes, de qualquer forma, o acesso.
Aplica-se o princípio need-to-know (necessitar para conhecer), que significa que os colaboradores só poderão ter acesso a dados pessoais se e contanto que seja necessário para a realização de suas tarefas de trabalho.
Estes limites devem ser deixados claros aos novos colaboradores no início da relação de trabalho, e devem perdurar mesmo após o encerramento da relação de trabalho.
Para que isto seja concretizado, é necessária cuidadosa divisão e separação das funções e responsabilidades dentro da estrutura interna da organização, que deverão ser fiscalizadas e revistas continuamente.
Os dados pessoais devem ser protegidos de maneira integral em todas as fases de seu ciclo de vida dentro da organização e em qualquer operação de tratamento contra acesso não autorizado, tratamento ou divulgação indevidos, bem como contra perda, falsificação ou destruição, intencional ou acidental.
Estas exigências devem ser observadas independentemente da forma com que se realiza o tratamento dos dados, seja de forma eletrônica ou em papel, devendo ser adotadas medidas técnicas e organizacionais para eliminação ou mitigação dos riscos.
A implementação de novos sistemas de processamento de dados ou a inserção de quaisquer novidades tecnológicas ou reestruturação organizacional interna que, de alguma forma, envolvam o tratamento de dados pessoais devem ser avaliadas e consultado o responsável por assuntos de segurança.
9. Incidentes de segurança de dados pessoais
É dever de todo colaborador comunicar imediatamente ao seu chefe, coordenador ou imediato hierárquico casos de violações desta Política de Privacidade e Proteção de Dados Pessoais ou de outras disposições relativas à proteção de dados pessoais.
Para tanto, adota-se a seguinte definição:
Incidente de segurança (conceito amplo): acontecimento indesejado ou inesperado, hábil a comprometer a segurança dos dados pessoais, de modo a expô-los a acessos não autorizados e a situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Alguns exemplos práticos de incidentes de segurança de dados pessoais merecem ser citados:
- transmissão indevida, intencional ou não, de dados pessoais a terceiros;
- acesso indevido, intencional ou não, de terceiros a dados pessoais;
- perda de dados pessoais.
As ações a serem adotadas em relação a um incidente de segurança devem seguir o protocolo de incidentes de segurança envolvendo dados pessoais, presente na documentação anexa, para que possam ser cumpridas as obrigações legais, sobretudo as relativas à comunicação do incidente e respectivos registros.
10. Responsabilidade e sanções
A alta administração é responsável por garantir que os seus colaboradores sejam treinados adequadamente a respeito da proteção de dados pessoais.
Os treinamentos e conscientização devem ser contínuos e reforçados aos colaboradores por meio de ações diversas definidas pela Autopark, citando-se, mas não se limitando a:
- Workshops;
- Flyers, ebooks;
- Treinamentos formais;
- Técnicas de gamificação e incentivo aos colaboradores.
As infrações à esta Política podem ter consequências de ordem trabalhista, influenciando diretamente na própria relação de trabalho e, por isso, devem ser claramente informadas aos colaboradores no momento da contratação.
11. Implementação de produtos, serviços, processos e projetos: privacidade e proteção de dados desde a concepção
Por ocasião da seleção e implementação de novos produtos, serviços, processos ou projetos, a privacidade e a proteção de dados pessoais devem ser incorporadas desde a sua concepção, isto é, desde o momento inicial e devem balizar todo o seu desenvolvimento e aplicação.
Por exemplo, a escolha e adoção de um novo sistema digital dentro da organização deve ser precedida de análise quanto à sua aderência à legislação e à presente Política, sobretudo verificando-se a existência de garantias de segurança técnica em todo o ciclo de vida do dado pessoal que por ele pretende-se trafegar. O mesmo afirma-se a respeito da aptidão e do treinamento dos colaboradores ao uso do novo sistema em suas atividades, imprescindível para a segurança.
A adoção deste raciocínio colabora com a organização para evitar violações à legislação e gastos exacerbados de última hora para correções, substituições ou mesmo para a decisão de inviabilidade de um novo projeto.