Política de Privacidade e Proteção de Dados
Estabelecer as diretrizes e procedimentos eficazes para:
- Uso compartilhado de Dados Pessoais e para a transferência internacional de Dados Pessoais pela Torgansa.
- Gerenciamento da confidencialidade das informações mantidas pela Torgansa, através da realização de procedimentos diretos ou indiretos que impeçam a revelação destas informações.
- Definição de períodos de retenção de todas as informações da Torgansa, definindo os padrões mínimos a serem aplicados na eliminação de dados.
- Uso de celulares e dispositivos similares, por colaboradores, nas dependências da Empresa, dada a relevância do sigilo das informações tratadas, levando em consideração o know-how da Torgansa e a Proteção aos seus Segredos Industriais, com fito em proteger as informações.
Privacidade e Proteção de Dados
1 Princípios da Proteção de Dados Pessoais Os princípios abaixo elencados deverão ser observados na coleta, manuseio, armazenamento, divulgação e tratamento de dados pessoais pela Torgansa, para atender aos padrões de proteção de dados no âmbito corporativo e estar em conformidade com a legislação e regulamentação aplicáveis nos respectivos países onde tiver operação ou atividade comercial:- a) Legalidade, Transparência e Não-Discriminação
- Necessidade para a execução de um contrato do qual o titular dos dados é parte;
- Exigência decorrente de lei ou regulamento ao qual a Instituição está sujeita;
- Interesse legítimo no tratamento dos dados; e
- Necessidade de prover o exercício regular de direito em processo judicial, administrativo ou arbitral.
- Dados relacionados à saúde do titular;
- Dados genéticos ou biométricos vinculados ao titular;
- Dados acerca da orientação sexual do titular;
- Dados que evidenciem a origem racial ou étnica, opiniões políticas, filiação a sindicato ou a organização de caráter religioso, filosófico ou político.
- Exigência decorrente de lei ou regulamento ao qual a Torgansa está sujeita (art. 11, inciso II, alínea “a” da LGPD);
- Necessidade para a execução de um contrato do qual o titular dos Dados é parte (art. 11, inciso II, alínea “d” da LGPD);
- Necessidade de promover o exercício regular de direito em processo judicial, administrativo ou arbitral (art. 11, inciso II, alínea “d” da LGPD).
- Proteção da vida ou da incolumidade física do titular (art. 11, inciso II, alínea “e” da LGPD);
- a) Limitação e Adequação da Finalidade
- b) Necessidade e Proporcionalidade dos Dados
- c) Exatidão e Qualidade dos Dados
- d) Limitação da Retenção e do Armazenamento de Dados
- e) Integridade e Confidencialidade
- f) Responsabilização e Prestação de Contas
- Garantias de que os titulares possam exercer os seus direitos previstos nesta Política;
- Registro de dados pessoais, dispostos em seu Data Mapping, incluindo: (i) registros de atividades de tratamento de dados pessoais, com a descrição das finalidades desse tratamento, os destinatários do compartilhamento dos dados pessoais e os prazos pelos quais a Torgansa deve retê-los; (ii) registro de incidentes de dados pessoais; e (iii) registro de violações de dados pessoais.
- Garantias de que os terceiros que sejam operadores de dados pessoais também estejam agindo de acordo com esta Política e com a legislação e regulamentação aplicáveis;
- Garantias de que a Torgansa possua um Encarregado designado, nos moldes do art. 41, da LGPD; e
- Garantias de que a Torgansa esteja cumprindo todas as exigências e solicitações de qualquer autoridade regulamentar à qual esteja sujeita.
- Diretrizes e Padrões de Segurança
- Gestão das Relações Controlador-Operador de Dados Pessoais
- Transferência Internacional de Dados Pessoais
- Direitos dos Titulares de Dados Pessoais
- A informação sobre como seus dados pessoais estão ou serão tratados;
- A informação, a qualquer momento, sobre o tratamento de seus dados pessoais e o acesso aos dados que a Torgansa detenha;
- A possibilidade de correção de seus dados pessoais se estiverem imprecisos, incorretos ou incompletos;
- A possibilidade de exclusão, bloqueio ou anonimização dos seus dados pessoais em determinadas circunstâncias, nos termos da diretriz de Retenção de Dados da Torgansa;
- A restrição do tratamento de seus dados pessoais em determinadas circunstâncias;
- A possibilidade de oposição ao tratamento, se o tratamento for baseado em legítimo interesse;
- A possibilidade de retirada do consentimento a qualquer momento, se o tratamento dos dados pessoais se basear no consentimento do indivíduo para um propósito específico;
- A portabilidade dos dados pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa em determinadas circunstâncias;
- A possibilidade de revisão das decisões tomadas unicamente com base em tratamento automatizado de dados pessoais; e
- A possibilidade de apresentação de queixa à Torgansa através do contato com o DPO responsável, ou através de comunicação à Autoridade de Proteção de Dados, se o titular dos dados pessoais tiver motivos para supor que qualquer um de seus direitos tenha sido violado.
- Prestadores de Serviço Terceirizados
- Da Gestão de Incidentes de Segurança da Informação
- Auditorias de Proteção de Dados
Diretriz de Compartilhamento de Dados Pessoais
- Uso Compartilhado de Dados Pessoais
- Antes do compartilhamento de quaisquer Dados Pessoais, deve-se observar se os agentes receptores destes dados estão devidamente adequados à LGPD e demais legislações e regulamentações aplicáveis, vedando-se o compartilhamento com agentes que não possuam nível adequado de proteção aos Dados Pessoais dos titulares;
- Atentar-se a solicitações do titular de Dados Pessoais, tendo em vista que este, a qualquer tempo, poderá solicitar acesso às informações relativas ao compartilhamento de seus Dados Pessoais com terceiros (art. 9º, inciso V da LGPD);
- Caso haja algum procedimento de alteração, correção, eliminação ou anonimização de Dados Pessoais pela Torgansa, os agentes receptores destes dados devem ser informados para que repitam o mesmo processo, nas hipóteses e nos prazos estabelecidos pelo Responsável pela Segurança da Informação (art. 18, §6º da LGPD);
- A Torgansa utilizará os padrões de portabilidade de Dados Pessoais estabelecidos em regulamentação estabelecida pela ANPD.
- A Torgansa poderá reter os Dados Pessoais dos titulares transferidos a terceiros, desde que respeitado o disposto no Cronograma de Retenção de Dados Pessoais e nos demais requisitos contidos nas legislações e regulamentações aplicáveis.
- É vedado o compartilhamento de informações relacionadas à saúde do titular com Empresas Terceiras para fins comerciais (art. 11, §4º da LGPD). A limitação do compartilhamento de outros tipos de dados pessoais sensíveis estará condicionada às regulações aplicáveis.
- Transferência Internacional de Dados Pessoais
- Para o cumprimento de uma obrigação legal ou regulamentar;
- Para a proteção da vida ou da incolumidade física do titular ou de colaborador terceiro;
- Para o exercício regular de direito em processo judicial ou administrativo;
- Para a execução de contratos ou de procedimentos preliminares a sua formação, a pedido do titular;
- Caso a ANPD autorize a transferência;
- Caso o titular tenha fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente a transferência internacional;
- Caso a Torgansa ofereça garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados pelos agentes receptores, na forma de (i) cláusulas contratuais específicas para determinada transferência; (ii) cláusulas-padrão contratuais; (iii) normas corporativas globais; ou (iv) selos, certificados e códigos de conduta regularmente emitidos.
Procedimentos de Anonimização e Pseudononimização.
- Técnicas de anonimização de Informações e Dados
- a) Supressão de seção
- b) Supressão de registro
- c) Supressão de valores
- d) Generalização
- e) Pseudodonimização
- f) Agregação
- Diretrizes de anonimização
- Limitação do número de pessoas e fornecedores com acesso às bases de dados da Torgansa que contenham Dados Pessoais, de acordo com os níveis de confidencialidade da informação previstos na Política de Segurança da Informação e com as disposições do art. 13 do Regulamento do Marco Civil da Internet (Decreto nº 8.771/16);
- Controle restrito do acesso às informações capazes de reverter os processos de anonimização e pseudonimização da base de dados da Torgansa, de acordo com os níveis de confidencialidade da informação previstos na Política de Segurança da Informação;
- Segregação das bases de dados da Torgansa, limitando os riscos internos de reversão do processo de anonimização;
- Previsão contratual de proibição de reversão do processo de anonimização, de delimitação de papeis de acordo com o objeto da atividade de tratamento e de eliminação dos dados tão logo concluído o tratamento ou condição resolutiva;
- A revisão e atualização periódicas dos procedimentos de anonimização e pseudonimização, com o fito de garantir a melhoria contínua destes procedimentos.
Diretriz de Retenção de Dados
- Programa Geral de Retenção de Dados e Informações
- Os Dados Pessoais tratados de acordo com as bases legais contidas no art. 7º da LGPD serão retidos pelo período máximo estabelecido e apontado no Data Mapping da Torgansa.
- Os dados pessoais sensíveis tratados de acordo com as bases legais contidas no art. 11 da LGPD serão retidos pelo período máximo de 10 anos após o tratamento, salvo disposições contrárias para as situações de obrigação legal, atentando-se ao que está apontado no Data Mapping;
- Os Dados Pessoais de Crianças e Adolescentes tratados de acordo com o disposto no art. 14 da LGPD serão retidos pelo período máximo de 10 anos após o tratamento, sempre em atenção ao prazo estabelecido no Data Mapping.
- Os demais documentos e registros da Torgansa que não contenham Dados Pessoais, mas que contenham quaisquer informações relevantes, que poderão levar à identificação de dados pessoais, serão retidos pelo período estabelecido no Data Mapping da Torgansa.
- Investigações em andamento por autoridades brasileiras, havendo necessidade de manutenção de dados para que a Torgansao comprove o eventual cumprimento legislações e regulações aplicáveis; ou
- Na existência de litígios e processos judiciais ou administrativos envolvendo a Torgansa.
- Backup dos Dados Pessoais
- Eliminação dos Dados Pessoais
- Métodos de Eliminação de Dados Pessoais
- Os documentos de Nível I são aqueles que contêm informações de mais alta segurança e confidencialidade e aqueles que incluem Dados Pessoais Sensíveis, inclusive Dados Pessoais de crianças e adolescentes. Estes documentos deverão ser eliminados como lixo confidencial (triturado transversalmente e incinerados) ou estarão sujeitos a uma eliminação eletrônica segura. A destruição dos documentos deve incluir a prova da destruição.
- Os documentos de Nível II são documentos proprietários que contêm informações confidenciais, como nomes, assinaturas e endereços de terceiros, ou que podem ser usados por terceiros para cometer fraudes, mas que não contêm dados pessoais. Os documentos devem ser cortados transversalmente e depois colocados em lixeiras trancadas para recolha por uma Instituição de eliminação aprovada. Se forem documentos eletrônicos, estarão sujeitos à eliminação eletrônica segura. A destruição dos documentos deve incluir a prova da destruição.
- Os documentos de Nível III são aqueles que não contêm informações confidenciais ou dados pessoais da Torgansa e são documentos publicados. Estes deverão ser triturados ou descartados através de uma Instituição de reciclagem e incluir, entre outras coisas, anúncios, catálogos panfletos e boletins informativos. A destruição dos documentos não necessita incluir prova de destruição.
- Rotinas de Eliminação de Informações Não-Confidenciais
- Anúncios e avisos de reuniões diárias e outros eventos, incluindo aceitações e pedidos de desculpas;
- Solicitações de informações comuns, como rotas de viagens;
- Reservas para reuniões internas sem cobranças ou custos externos;
- Transmissão de documentos, tais como cartas, folhas de ponto, mensagens de e-mail ou postal, folhetos e itens semelhantes que acompanham documentos, mas não adicionam qualquer valor;
- Lista de endereços substituídas, listas de distribuição, dentre outros documentos desatualizados;
- Duplicação de documentos como cópias de documentação de identificação pessoal, rascunho inalterados, impressões de screenshots ou extratos de bancos de dados e arquivos diários;
- Publicações internas de estoque obsoletas; e
- Revistas comerciais, catálogos de fornecedores, folhetos e boletins informativos de fornecedores ou outras organizações externas.
Procedimentos para o Uso do Celular
- Diretrizes de Utilização de Celulares e Dispositivos Similares
- Usar o celular e dispositivos similares em horário de expediente para fins pessoais, incluindo navegação na internet, Facebook, Instagram, WhatsApp, Email, SMS, telefonemas e outros, salvo em caráter de urgência, que deverá ser comunicado o seu imediato superior;
- Usar o celular para registrar, por texto, áudio, vídeo ou foto, quaisquer informações empresariais ou confidenciais;
- Usar o celular enquanto estiver operando qualquer ferramenta, instrumento ou sistema que exija concentração para evitar erros e acidentes;
- Usar o celular para gravar conversas sem que todos os envolvidos na conversa tenham autorizado previamente a gravação;
- Usar o celular para atividades que infrinjam quaisquer leis ou normativas aplicáveis à pessoa física ou a Torgansa;
- Usar o celular para disseminar informações pessoais relacionadas a Torgansa.
- Quando autorizado pelo gestor da área, para receber telefonemas particulares em caráter de urgência, a qualquer horário, contanto que se trate de situação em que não seja possível a utilização de dispositivos fornecidos pela Torgansa e que isso não se manifeste como prática diária ou rotineira;
- Uso nos horários de intervalo do expediente, como é o caso do horário de almoço, contanto que o colaborador não acesse qualquer local que possua quaisquer tipos/espécies de documentos e, tampouco, esteja no seu posto de trabalho.
- Usos não autorizados