Política de Dados

Atualização de Política de Dados

Nosso propósito é simplificar o uso da tecnologia, enquanto mantemos uma experiência incrível de parceria, transparência e segurança.
Para manter nosso compromisso, atualizamos nossas políticas de privacidade e cookies e contrato de tratamento de dados para ficarem de acordo com a nova Lei Geral de Proteção de Dados (LGPD).

  1. OBJETIVO 

Estabelecer princípios e diretrizes para o tratamento de dados pessoais realizados pela IMAP, criando um Sistema de Gestão de Privacidade da Informação – SGPI, visando garantir os direitos dos titulares de dados pessoais e cumprir as obrigações impostas aos agendes de tratamento.  

  1. A QUEM SE DESTINA

São parte interessadas desta política todos os colaboradores da IMAP como titulares de dados pessoais sujeitos a atividades de tratamento realizadas pela empresa. 

Também são partes interessadas os clientes e fornecedores da IMAP, uma vez que acaba por realizar atividades de tratamento de colaboradores das referidas. 

Em última instância, a Autoridade Nacional de Proteção de Dados Pessoais, uma vez que pode demandar comprovação de adoção de boas práticas e governança.

  1.  DEFINIÇÕES

 Além das terminologias descritas na Política de Segurança da Informação, entende-se:

  1. CONTROLADOR:pessoa natural ou jurídica, de direito público ou privado a quem competem as decisões referentes ao tratamento de dados pessoais.
  2. TITULAR: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;
  3. TRATAMENTO: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
  4. CONSENTIMENTO: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
  5. ELIMINAÇÃO: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independente do procedimento empregado;
  6. OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  7. DADOPESSOAL: informação relacionada a pessoa natural identificada ou identificável;
  8. DADO PESSOAL SENSÍVEL:dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico oi político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  9. INCIDENTE DE SEGURANÇA:situação de violação da segurança que pode levar à destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado à dados pessoais.
  1. CONTEXTO DA ORGANIZAÇÃO

 

IMAP figura como CONTROLADORA e OPERADORA DE DADOS PESSOAIS de dados pessoais de seus colaboradores, sendo responsável por definir diretrizes para a coleta, tratamento e eliminação dos dados pessoais sujeitos à legislação trabalhistas.  

IMAP também figura como controladora de dados pessoais de colaboradores e representantes de seus clientes quando realiza tratamentos necessários para a execução de contratos, além de oferecer produtos e serviços por meio de ações do Marketing da organização. 

Em nenhuma hipótese a IMAP é operadora de dados pessoais para seus clientes, devendo os contratos futuros preverem cláusulas definidoras dos papéis de cada parte como agente de tratamento, e se possível, excluindo das atividades necessárias para execução contratual aquelas que possam caracterizar a IMAP como operadora de dados pessoais. 

Além da explica da LEI nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais, também existem fatores externos determinantes para delimitação de atividades como agente de tratamento, tais como os contratos de clientes e fornecedores.  

  1. DEFINIÇÃO DE RISCO

Todas as atividades de tratamento de dados pessoais realizadas pela IMAP devem possuir uma definição de risco. Convém ser utilizada o modelo estabelecido no documento “Análise de Adequação”.  

Com a definição de risco, deverá haver previsão de medidas de mitigação correspondente para cada risco.  

  1. DO ENCARREGADO

 

IMAP indicará e sempre manterá um Encarregado de Dados Pessoais que deverá possuir livre acesso à Alta Direção em assuntos relacionados ao tratamento de dados pessoais, atuando com independência dentro da organização nas questões relacionadas ao tratamento de dados pessoais. 

O Encarregado terá como responsabilidade: 

  • Ter conhecimento de todas as atividades de tratamento de dados pessoais realizadas pela IMAP;
  • Fornecer orientações para a execução das atividades de tratamento de dados pessoais em conformidade com esta Política e a legislação aplicável; 
  • Atuar junto à Autoridade Nacional de Proteção de Dados Pessoais quando necessário; 
  • Informar à Alta Direção e a todos os colaboradores as obrigações no tratamento de dados pessoais.  
  1. DO SISTEMA DE RESPOSTA À INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

 

Verificado um caso de incidente de segurança, os colaboradores deverão seguir às seguintes diretrizes: 

  • Relatar documentalmente todo o incidente para o Encarregado. O relatório deverá conter: descrição do incidente com sua natureza (se interno ou externo), período, consequências do incidente contendo o número de titulares afetados, e nome do relator; 
  • O Encarregado irá relatar imediatamente à Alta Direção sobre o incidente; 
  • O Encarregado deverá relatar à Autoridade Nacional de Proteção de dados em até 5 dias úteis (ou prazo a ser definido pela Autoridade) o incidente com as seguintes informações: descrição da natureza dos dados pessoais afetados, informações sobre os titulares envolvidos, indicação das medias técnicas e de segurança utilizadas para a proteção dos dados, riscos relacionados incidente e medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo; 
  • O Encarregado irá conduzir uma investigação interna sobre incidente, verificando a plena funcionalidade dos sistemas de segurança envolvidos, entrevistando os colaboradores com acesso aos dados pessoais e indicando melhorias que deverão ser tomadas para a segurança dos dados pessoais envolvidos; 
  • Na hipótese de identificação de colaborador envolvido culposamente ou dolosamente no incidente, medidas sancionatórias podem ser tomadas pelo setor de Gestão de Pessoas, devendo ser considerado o grau de envolvimento do colaborador e as consequências do incidente para os titulares afetados e para a empresa. 
  1. DAS OBRIGAÇÕES DA IMAP COMO CONTROLADORA

 

IMAP tem as seguintes obrigações em todo o processo de tratamento de dados pessoais que figure como controladora: 

  • Especificar a finalidade de cada processo de tratamento de dado pessoal; 
  • Identificar a categoria de dado pessoal tratado; 
  • Identificar a base legal aplicada ao processo de tratamento de dado pessoal; 
  • Documentar e armazenar o consentimento de titular de dados pessoais quando necessário; 
  • Requerer e armazenar o consentimento expresso do titular de dados pessoais para realização de transferência de dados pessoais para outras empresas, informando dados da empresa receptora; 
  • Possibilitar aos titulares de dados pessoais acesso às informações relacionadas ao tratamento de dados pessoais; 
  • Fornecer aos titulares de dados pessoais, quando solicitado, as informações relacionadas ao tratamento de dados pessoais em meio eletrônico ou físico, conforme a escolha do titular, de maneira imediata ou em até 15 dias, contendo, neste caso, declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento; 
  • Possibilitar ao titular a revogação do consentimento; 
  • Manter processos de eliminação de dados pessoais em períodos definidos e justificados ou sob requisição ao titular.  
  1. DA PRIVACIDADE COMO PADRÃO E DESDE A CONCEPÇÃO

 

Em todos os processos de tratamento de dados pessoais que a IMAP implementar para a execução de um serviço as seguintes medidas deverão ser tomadas a fim de garantir a privacidade do titular: 

  • Limitar a coleta de dados pessoais a um mínimo relevante, proporcional e necessário; 
  • Limitar temporalmente o processo de tratamento de dados pessoais justificadamente; 
  • Manter os dados pessoais atualizados e completos; 
  • Realizar a transferência de dados pessoais somente com consentimento expresso, livre e específico do titular, identificando a organização receptora e tomando as medidas de segurança adequadas para o modo de transferência.
  1. DA CULTURA INTERNA DE PROTEÇÃO DE DADOS PESSOAIS

 

IMAP irá fomentar a cultura de proteção de dados pessoais junto a seus colaboradores, realizando treinamentos com periodicidade e que conscientize todos os colaboradores sobre as responsabilidades, obrigações e direitos dos titulares nos processos de tratamento de dados pessoais.   

Carrinho

Sign in

No account yet?