Modelo - Política de Proteção de Dados Pessoais - LGPD

POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) – GRUPO XXXXX

Destinada a funcionários, potenciais funcionários, gestores, administradores, visitantes, prestadores de serviços, fornecedores, influenciadores digitais e clientes do Grupo XXXXXX.

1. Definições

A leitura deste documento, no todo ou em partes, deverá ser realizada tomando-se em conta as definições abaixo destacadas:

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável, como por exemplo: nome, sobrenome, e-mail, telefone, dados bancários, dados sobre salários.

Dado pessoal sensível: categoria especial de dados pessoais referentes a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de carácter religioso, filosófico ou político, referentes à saúde ou à vida sexual, dados genéticos ou biométricos relativos à pessoa natural.

Grupo XXXXX: refere-se a todas as empresas que formam o Grupo XXXX, quais sejam: XXXX Nordeste S/A., XXXXX Calçados S/A., XXXX S/A e Criações XXXXX Ltda., incluindo seus estabelecimentos matriz e filiais.

Encarregado: pessoa encarregada de atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Tratamento: Toda operação realizada com dados pessoais, como, exemplificativamente, as seguintes: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Titular de dados pessoais: Qualquer pessoa natural, cujos dados pessoais sejam tratados.

2. Informações Gerais

Esta Política de Proteção de Dados Pessoais aplica-se aos estabelecimentos matriz e filiais do Grupo XXXXX.

A atividade do Grupo XXXX consiste na industrialização, comércio, importação e exportação de calçados, partes e seus componentes, bolsas, cintos, carteiras, pastas, artigos de viagens e afins, partes e seus componentes, couros e artefatos de couro em geral.

Neste documento são estabelecidas orientações gerais para que o tratamento de dados pessoais observe as melhores práticas e atenda às determinações legais pertinentes, de modo a preservar os direitos individuais no que diz respeito aos dados pessoais.

Em linhas gerais, esta Política de Proteção de Dados Pessoais orienta-se pelo respeito à privacidade e à autodeterminação, de modo que os dados pessoais serão tratados quando necessários a finalidades específicas e legítimas.

Ainda, esta Política tem por objetivo fornecer uma visão clara de quais são os dados pessoais coletados dos funcionários, potenciais funcionários, gestores, administradores, visitantes, prestadores de serviços, fornecedores, influenciadores digitais e clientes, quais são as finalidades para as quais eles são utilizados, como eles são armazenados para proteger a privacidade dos seus titulares, quais são os direitos dessas pessoas e com quem esses dados são compartilhados.

Esta Política de Privacidade e Proteção de Dados foi elaborada em conformidade com o Código Civil Brasileiro (Lei n. 10.406/2002), o Marco Civil da Internet (Lei n. 12.965/2014) e com a Lei Geral de Proteção de Dados Pessoais (Lei n. 13.709/2018).

3. Aplicação da Política Interna de Proteção de Dados Pessoais

Esta Política de Proteção de Dados Pessoais aplica-se ao tratamento de dados de todos os funcionários, colaboradores, gestores e administradores do Grupo XXXXX, devendo ser observada por todos os seus integrantes.

Os funcionários e colaboradores do Grupo XXXXX estão cientes e concordam com esta Política Interna de Proteção de Dados Pessoais, que estará disponível no site interno do Grupo XXXXX (portal.xxxxx.com.br), ao qual todos têm acesso, bem como será fixada no mural de todos os estabelecimentos da empresa.

4. Bases legais para o tratamento de dados pessoais

Para o uso adequado dos dados pessoais é necessário que o seu tratamento seja realizado com fundamento em qualquer das hipóteses previstas no artigo 7º da Lei Geral de Proteção de Dados - LGPD. Por isso, o Grupo XXXX somente realiza o tratamento de dados pessoais com base nas seguintes hipóteses legais:

a) Mediante o consentimento do titular dos dados pessoais;
b) Para o cumprimento de obrigação legal ou regulatória;
c) Para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular de dados;
d) Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
e) Para a proteção da vida ou incolumidade física do titular ou de terceiro;
f) Para atender aos seus interesses legítimos ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
g) Para garantir a segurança, a vida e a incolumidade física do titular ou de terceiro;
h) Para a proteção do crédito.

5. Princípios de Proteção de Dados Pessoais

Para o uso adequado dos dados pessoais é necessário que o seu tratamento observe os princípios abaixo descritos, em especial na coleta, armazenamento, compartilhamento interno e compartilhamento externo, para estar em conformidade com a legislação vigente sobre proteção de dados pessoais.

a) Princípio da finalidade: o Grupo XXXXX somente realiza o tratamento de dados pessoais para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

b) Princípio da adequação: o Grupo XXXXX somente realiza o tratamento de dados pessoais para as finalidades informadas ao titular, de acordo com o contexto de tratamento;

c) Princípio da necessidade: o Grupo XXXXX limita o tratamento dos dados ao mínimo necessário para a realização das finalidades do tratamento de dados, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação a essas;

d) Princípio do livre acesso: o Grupo XXXXX garante aos titulares de dados pessoais a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

e) Princípio da qualidade dos dados: o Grupo XXXXX garante aos titulares de dados pessoais a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

f) Princípio da transparência: o Grupo XXXXX garante aos titulares de dados pessoais informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

g) Princípio da segurança: o Grupo XXXXX utiliza medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

h) Princípio da prevenção: o Grupo XXXXX adota medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

i) Princípio da não discriminação: o Grupo XXXXX não realiza o tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos;

j) Princípio da responsabilização e prestação de contas: o Grupo XXXXXXX adota medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados, e inclusive, a eficácia dessas medidas.

6. Dados tratados

6.1. O Grupo XXXXX coleta e processa dados pessoais dos funcionários para administrar a relação de emprego e cumprir com as obrigações legais, isso inclui:

a) Informações fornecidas pelo funcionário durante o recrutamento através do preenchimento de ficha cadastral: currículo, foto, nome completo, data de nascimento, gênero, estado civil, endereço completo, telefone residencial, celular, e-mail, CPF, RG, PIS, número da CTPS, experiência profissional, formação acadêmica, cópia de diplomas, registros acadêmicos, referências licenças profissionais.

• Finalidade: participação em processo seletivo e para posterior execução do contrato de trabalho, exercício regular de direito, proteção da vida e da incolumidade física do titular ou terceiro, cumprimento de obrigações legais ou regulatórias.

b) Informações para identificação do funcionário: nome, endereço, telefones, e-mail, nacionalidade, data e local de nascimento, gênero, RG, CPF, INSS, PIS, número da carteira de trabalho - CTPS;

• Finalidade: execução do contrato de trabalho, exercício regular de direito, cumprimento de obrigações legais ou regulatórias.

c) Informações para possibilitar o pagamento do salário e outras remunerações: nome do banco, número da agência e número da conta bancária;

• Finalidade: execução do contrato de trabalho, exercício regular de direito, cumprimento de obrigações legais ou regulatórias.

d) Informações para admissão, afastamentos e referentes ao SESMT: exames admissionais, entregas de EPI’s e EPC’s, atestados médicos e vacinação contra a Covid-19 a fim de controlar surtos.

• Finalidade: execução do contrato de trabalho, proteção da vida ou da incolumidade física do titular ou terceiro, exercício regular de direito, cumprimento de obrigações legais ou regulatórias.

Em relação aos dados sobre a saúde dos funcionários, os Líderes do departamento de gestão de pessoas estão cientes de que são dados sensíveis e que são tratados para as seguintes finalidades: execução do contrato de trabalho, exercício regular de direito, proteção da vida ou da incolumidade física do titular ou de terceiro, cumprimento de obrigações legais ou regulatórias. Os Líderes do departamento de pessoas são orientados a manter esses dados sob sigilo e confidencialidade, estando vedado o compartilhamento, salvo situações excepcionais para o cumprimento de obrigação legal.

O acesso e a utilização dos dados dos funcionários são limitados ao setor de gestão de pessoas e ao setor financeiro, cujos integrantes são orientados a manter as informações sob sigilo e confidencialidade e a não utilizarem os dados pessoais para nenhuma finalidade que não esteja aqui discriminada e não tenha sido informada ao titular.

Os dados dos funcionários serão armazenados de maneira segura por cinco (05) anos após o término da relação trabalhista, com exceção daqueles em que é exigido o armazenamento por tempo superior para o cumprimento de obrigações legais e/ou administrativas.

Os dados das pessoas (ficha cadastral e currículo) que participaram de processo
seletivo do Grupo XXXX e que não foram admitidas serão mantidos por até 1 (um
ano) após o encerramento do processo seletivo.

6.2. O Grupo XXXXX coleta os seguintes dados de prestadores de serviços, fornecedores e demais visitantes para acesso às suas unidades: nome completo, relacionamento, empresa, CPF, telefone, foto, país e placa do veículo de acesso.

Esses dados são coletados com a finalidade de garantir segurança às unidades do Grupo XXXXX, sendo utilizados para essa finalidade e para o exercício regular de direito, cumprimento de obrigações legais ou regulatórias. Os dados coletados serão armazenados de maneira segura por até dois (02) anos após o término da relação para o cumprimento de obrigações legais, salvo quando necessário para cumprimento de obrigação legal pelo controlador.

6.3. O Grupo XXXXX pode coletar o número de celular de fornecedores e demais prestadores de serviços com a finalidade de possibilitar o contato com os referidos titulares. Os funcionários que possuem acesso a esses dados estão cientes e orientados a mantê-los em sigilo, sendo vedada a sua divulgação e compartilhamento, salvo para o cumprimento de obrigação legal. Esses dados são armazenados de forma segura até o encerramento da relação com os referidos titulares, salvo quando necessário o armazenamento para cumprimento de obrigação legal pelo controlador.

6.4. O Grupo XXXXX pode coletar dados de influenciadores digitais a fim de executar o contrato visando à promoção das suas marcas e os produtos comercializados. Os dados coletados são: nome, CPF, data de nascimento, telefone, endereço, e-mail, nome/página nas redes sociais. Podem ser coletados dados pessoais bancários e o número PIS para possibilitar o pagamento de bonificações. Esses dados são armazenados de forma segura até que seja cumprida a sua finalidade, podendo haver a extensão para cumprimento de obrigação legal ou regulatória.

6.5. O Grupo XXXXX trata dados de clientes, conforme regulação constante no seguinte link: https://www.xxxxxx.com.br/loja-online#seguranca.

6.6. O Grupo XXXXXX não trata intencionalmente dados de menores de 18 anos, estando os funcionários e colaboradores orientados a não realizar a coleta desses dados.

7. Compartilhamento de dados

Os dados pessoais dos funcionários e colaboradores do Grupo XXXXX, tais como nome completo, CPF, endereço completo, banco, agência, conta, são compartilhados com instituições financeiras para possibilitar a realização de pagamentos, em cumprimento a contrato e/ou obrigações legais.

Os dados pessoais dos funcionários e colaboradores do Grupo XXXXX podem ser compartilhados com autoridades de segurança e agências regulatórias, quando solicitados por essa e a solicitação estiver fundamentada na legislação nacional.

Os dados também serão compartilhados quando exigidos por autoridade, seja por disposição legal ou determinação judicial.

O Grupo XXXXX poderá divulgar e/ou transferir dados pessoais para um comprador ou sucessor em conexão com aquisição, fusão ou reorganização de qualquer das empresas que formam o Grupo XXXXX.

8. Atribuições e responsabilidades

8.1. Os diretores e administradores do Grupo XXXXX responsabilizam-se pelo uso adequado de Dados Pessoais em suas atividades e por exigir dos Líderes o cumprimento das disposições dessa Política de Proteção de Dados Pessoais.

8.2. Os Líderes das unidades do Grupo XXXXX responsabilizam-se pelo uso adequado de Dados Pessoais nas atividades de suas respectivas áreas, em especial, destacam-se:

a) Os Líderes do departamento de gestão de pessoas responsabilizam-se pelo uso adequado dos Dados Pessoais dos funcionários do Grupo XXXX, comprometendo-se a manter em sigilo e a não divulgar os dados pessoais aos quais têm acesso;

b) Os Líderes do departamento responsável pelo Serviço de Atendimento ao Consumidor (SAC) responsabilizam-se pelo uso adequado dos Dados Pessoais dos consumidores do Grupo XXXXX comprometendo-se a manter em sigilo e a não divulgar os dados pessoais aos quais têm acesso, tais como, nome, e-mail, telefone, endereço e CPF. O SAC somente tem acesso a dados pessoais informados pelos consumidores.

c) Os Líderes do departamento de marketing e do departamento comercial responsabilizam-se pelo uso adequado dos Dados Pessoais dos consumidores, influenciadores digitais e demais colaboradores do Grupo XXXXX, comprometendo-se a manter em sigilo e a não divulgar os dados pessoais aos quais têm acesso;

d) Os Líderes do departamento financeiro e contábil responsabilizam-se pelo uso adequado dos Dados Pessoais aos quais têm acesso, especialmente, as informações financeiras e bancárias dos funcionários e demais colaboradores do Grupo XXXX, comprometendo-se a mantê-las em sigilo e a não as divulgar.

Os Líderes de todos os departamentos do Grupo XXXXXXX estão cientes de suas responsabilidades com o tratamento de Dados Pessoais, estando orientados a manter em sigilo e sob confidencialidade os dados aos quais têm acesso.

Os Líderes de todos os departamentos do Grupo XXXXXX devem orientar os funcionários de seu respectivo departamento quanto ao conteúdo dessa Política de Privacidade de Proteção de Dados Pessoais, para que todos os funcionários e colaboradores tenham ciência e não se eximam de cumprir as disposições aqui expostas.

8.3. Todos os integrantes da área de tecnologia da informação (TI) do Grupo XXXXX responsabilizam-se pelo uso adequado de Dados Pessoais, comprometendo-se a:

a) manter seguros os dados pessoais coletados e tratados pelo Grupo XXXXX;
b) não divulgar ou compartilhar quaisquer dados pessoais que tenham ou possam a ter acesso em função de suas atividades;
c) adotar medidas para mitigar os riscos de vazamento e acessos não autorizados dos dados pessoais;
d) informar ao Encarregado sempre que houver suspeitas de vazamento e/ou acessos não autorizados aos sistemas de dados do Grupo XXXXXX.

8.4. Todos os integrantes do Grupo XXXXXXXX, incluindo funcionários, diretores, administradores e colaboradores:
a) responsabilizam-se pelo uso adequado dos dados pessoais em suas atividades;
b) comprometem-se a não divulgar os dados pessoais aos quais têm acesso para terceiros, cujo acesso não seja estritamente necessário para o atendimento da finalidade para os quais os dados foram coletados;
c) comprometem-se a manter em sigilo e confidencialidade os dados pessoais aos quais têm acesso;
d) comprometem-se a relatar ao Encarregado a ocorrência de quaisquer incidentes de Dados Pessoais ou segurança de dados, bem como as deficiências identificadas relacionadas ou possíveis riscos à privacidade;

8.5. O Encarregado responsabiliza-se pelo uso adequado de Dados Pessoais em suas atividades, bem como, nos termos da legislação em vigor, compromete-se a:

a) aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
b) receber comunicações da autoridade nacional e adotar providências;
c) orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
d) executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

8.6. Qualquer integrante do Grupo XXXXX que utilize Dados Pessoais de forma indevida e descumpra esta Política de Proteção de Dados Pessoais, poderá ser submetido a consequências de um processo disciplinar.

9. Segurança

O Grupo XXXXX está comprometido com a proteção dos Dados Pessoais, de modo a evitar acessos não autorizados, destruição, perda, extravio ou alteração desses dados. Para tanto adota medidas organizacionais e técnicas de segurança.

O acesso aos dados é limitado às pessoas que realizarão tratamento, em conformidade com as disposições dessa Política.

Todos os funcionários e integrantes do Grupo XXXXX estão orientados a deveres de confidencialidade dos Dados Pessoais aos quais tenham acesso.

Todos os dados pessoais são armazenados em ambiente seguro, de modo que terceiros não autorizados não possam acessá-los.

O Grupo XXXXX possui certificação de segurança dos serviços WEB emitido pela Digicert, uma das maiores autoridades certificadoras do mundo.

Para proteger os dados contra vazamentos e acessos indevidos o Grupo XXXXX usa proteção anti-vírus e anti-malware do fabricante TrendMicro e firewall do fabricante WatchGuard.

Nada obstante o comprometimento com a segurança dos dados pessoais, em caso de incidente de vazamento, os Líderes comprometem-se a comunicar o Encarregado, que adotará as medidas pertinentes de forma imediata.

10. Direitos dos titulares de dados pessoais

O Grupo XXXXX está comprometido em respeitar todos os direitos dos titulares de dados pessoais.

Nos termos do artigo 18 da Lei Geral de Proteção de Dados - LGPD, o titular dos dados tem o direito a obter:

a) a confirmação da existência de tratamento de dados pessoais;
b) acesso aos seus dados pessoais;
c) correção de dados incompletos, inexatos ou desatualizados;
d) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
e) portabilidade de dados;
f) eliminação de dados pessoais tratados com base no consentimento, à exceção daqueles necessários ao cumprimento de obrigação legal ou regulatória pelo controlador, transferidos a terceiro e de uso exclusivo do controlador e anonimizados;
g) informação das entidades públicas e provadas com as quais o controlador realiza uso compartilhado de dados;
h) informação sobre a possibilidade de não consentir com o tratamento (quando o consentimento for a base legal do tratamento) e as consequências da negativa; e,
i) revogação do consentimento.

Esses direitos poderão ser exercidos através de contato com o Encarregado de Dados, que antes de fornecer qualquer informação pessoal, adotará medidas idôneas para confirmar a identidade do Requerente e a titularidade dos dados pessoais. O Encarregado de Dados poderá ainda, se for possível no caso, entrar em contato por telefone ou e-mail registrado para confirmar a solicitação.

11.Alterações na Política Interna de Privacidade

Esta Política de Privacidade pode ser alterada a qualquer momento, em especial para adaptá-la e aprimorá-la.

Os integrantes do Grupo XXXXX serão avisados quando houver modificação.

12.Disposições finais

Todos os integrantes do Grupo XXXXX têm ciência e comprometem-se a cumprir essa Política de Proteção de Dados Pessoais (LGPD).

Caso qualquer integrante do Grupo XXXX, o que inclui líderes e funcionários, tenha conhecimento de uma potencial conduta que viole essa Política de Proteção de Dados Pessoais ou a legislação vigente de proteção de dados pessoais, deve imediatamente informar o Encarregado para que sejam adotadas as medidas cabíveis.

INFORMAÇÕES DE CONTATO:

Caso você tenha qualquer pergunta sobre a utilização de seus dados pessoais, sobre como exercer seus direitos ou sobre nossa Política de Privacidade, sinta-se à vontade para entrar em contato conosco através do canal mencionado abaixo:

ENCARREGADO DE PROTEÇÃO DE DADOS

Nome do Encarregado: XXXXXXXXX.
E-mail: [email protected]

Caso prefira entrar em contato por correspondência regular, envie sua solicitação ao endereço a seguir:  XXXXXXXXX

Cidade/UF, XXX de XXXXX de 20XX.

Imagens por: Depositphotos