|
POLÍTICA DE GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
SUMÁRIO
1.
Objetivo
2.
Definições
3.
Responsabilidades dos Funcionários
3.1.
Novas Obrigações
3.2.
Coleta, utilização e armazenamento de dados
3.3.
Garantindo a confidencialidade dos dados
3.4.
Eliminação dos Dados Pessoais
4.
Contratação de prestadores de serviçoS e fornecedores
5.
Transferência Internacional dos Dados Pessoais
6.
Novas atividades ou alterações em atividades já existentes
7.
Garantindo os direitos dos Titulares
8.
lgpd na área jornalística
9.
Incidentes de Segurança
10.
Contatos
11.
Documentos Relacionados
A presente Política de
Governança em Privacidade e Proteção de Dados Pessoais (“Política”) tem
por objetivo estabelecer as diretrizes gerais que devem ser observadas pelos
funcionários da TV CABRÁLIA LTDA em suas atividades cotidianas que
envolvam o tratamento de dados pessoais.
Com a entrada em vigor da
Lei nº 13.709/2018 em setembro de 2020, também conhecida como Lei Geral de
Proteção de Dados ou LGPD, a TV CABRÁLIA teve de adequar seus procedimentos e
fluxos internos para estar em conformidade com referida lei.
Como você verá adiante,
todos os funcionários da TV CABRÁLIA podem vir a tratar dados pessoais em suas
atividades rotineiras, razão pela qual o nosso principal aliado para garantir
que a TV CABRÁLIA esteja cumprindo com a LGPD é você, funcionário! Por isso,
esta política tem por finalidade explicar os principais procedimentos e
diretrizes que você deve observar e seguir para nos auxiliar a estar sempre em
conformidade com a lei.
Abaixo constam as principais definições que irão te ajudar caso tenha qualquer
dúvida em relação às diretrizes e orientações presentes nesta Política:
(i)
Dado Pessoal:
é qualquer informação que possa identificar uma pessoa, seja individualmente ou
em conjunto com outras informações. Pode ser também uma informação que não
identifique diretamente um indivíduo, mas que esteja relacionada a um indivíduo
que já tenha sido individualmente identificado ou possa ser individualmente
identificado pela TV CABRÁLIA.
Veja abaixo alguns exemplos de dado pessoal (em negrito alguns dados que
podem te surpreender):
- Nome e sobrenome;
- Número de identificação do
funcionário;
-
Imagem ou gravação de voz;
- Número do cartão de crédito ou da
conta bancária;
- Número de telefone;
- Endereço IP;
-
E-mail;
- Dados de localização.
(ii)
Dado Pessoal Sensível:
dado
pessoal sensível é um tipo de dado que pode trazer algum tipo de discriminação
ao titular quando do seu tratamento, quais sejam: dados sobre origem racial ou
étnica, convicção religiosa, opinião política, filiação a sindicato ou a
organização de caráter religioso, filosófico ou político, dado referente à saúde
ou à vida sexual. Também são considerados sensíveis, por sua criticidade, dados
biométricos (impressão digital, por exemplo), ou genéticos. Esses dados
necessitam de maior cuidado e proteção.
(iii)
Tratamento:
tratamento significa todo tipo de atividade que pode ser realizada com um dado,
desde a coleta, utilização, acesso, compartilhamento, armazenamento e descarte.
Se você está fazendo algo com dados pessoais, você automaticamente está
fazendo o tratamento de tais dados pessoais.
(iv)
Titular:
é a pessoa a quem se referem os dados. Por exemplo, o titular do seu nome é
você.
(v)
Controlador:
é a pessoa ou empresa que irá decidir porquê é necessário utilizar aquele dado,
a forma de coleta, quais tipos de dados devem ser coletados/utilizados, dentre
outras questões. É a pessoa (física ou jurídica) responsável por tomar as
decisões em relação ao tratamento daquele dado pessoal. Quando a TV CABRÁLIA
realiza as decisões e determina as finalidades para o tratamento de dados
pessoais ela é a controladora.
(vi)
Operador:
em muitas prestações de serviços, fornecimentos, parcerias, ou outros tipos de
acordos entre empresas é necessário o tratamento de dados por ambas as partes.
Sendo assim, a empresa que tomará as decisões será a controladora e a empresa
que realizará o tratamento dos dados em nome da controladora será a operadora.
Veja alguns exemplos de relações entre controlador e operador:
-
Processamento da Folha de Pagamento:
a empresa que realiza o processamento da folha de pagamento é a operadora e a
empresa que a contrata é a controladora;
-
Envio de E-mail Marketing: a empresa responsável pela prestação do
serviço de e-mail marketing é a operadora e a empresa que a contrata é a
controladora.
(vii)
Encarregado: é a pessoa, ou
empresa, escolhida pela TV CABRÁLIA, que irá auxiliá-la em todas as atividades
relacionadas à privacidade e à proteção de dados, sendo o principal canal de
comunicação com os titulares e a Autoridade Nacional de Proteção de Dados.
(viii)
Autoridade Nacional de Proteção de Dados (ANPD):
é o órgão
público responsável por conscientizar, zelar, implementar e fiscalizar o
cumprimento da LGPD, podendo inclusive aplicar sanções administrativas previstas
na lei.
A LGPD estabelece diversos
direitos aos titulares de dados pessoais, mas também estabelece obrigações e
responsabilidades às entidades que realizarão o tratamento desses dados (seja
controlador ou operador). Portanto, com a entrada em vigor da LGPD, você como
funcionário da TV CABRÁLIA deverá tomar alguns cuidados ao tratar dados
pessoais, seja de funcionários da TV CABRÁLIA, prestadores de serviço (pessoas
físicas) contratados, clientes, dentre outros.
Portanto, a seguir
apresentaremos os principais cuidados que devem ser observados e seguidos por
você.
Para que a TV CABRÁLIA
possa coletar, utilizar e armazenar dados pessoais, é necessária uma razão
específica prevista na LGPD (“base legal”). A LGPD estabelece 10 bases
legais que podem ser utilizadas como justificativa para o tratamento dos
dados pessoais. Porém, a TV CABRÁLIA normalmente se utilizará das seguintes
justificativas:
(i)
Consentimento:
o titular poderá autorizar a TV CABRÁLIA a utilizar seus dados pessoais para uma
finalidade específica e legítima. Lembrando que tal autorização deve ser
livre, informada e inequívoca.
Exemplo:
coleta de dados pessoais através do site da TV CABRÁLIA.
(ii)
Cumprimento de obrigação legal ou regulatória:
sempre que a TV CABRÁLIA for obrigada por lei ou por algum regulamento a tratar
os dados pessoais do titular.
Exemplo:
envio de dados de funcionários para o eSocial.
(iii)
Execução de contrato ou procedimentos preliminares:
sempre que, em razão de um contrato firmado, a TV CABRÁLIA tenha que realizar o
tratamento dos dados pessoais do titular.
Exemplo:
execução do contrato de trabalho do funcionário com a TV CABRÁLIA.
(iv)
Exercício regular de direitos em processo judicial, administrativo ou arbitral: a TV CABRÁLIA poderá
tratar dados pessoais para dar início a, ou se defender de um processo judicial,
administrativo ou arbitral.
Exemplo:
armazenamento de dados pessoais de funcionários para defesa em eventual ação
judicial.
(v)
Legítimo interesse:
essa é a justificativa mais ampla, porém para poder utilizá-la é necessário que
o tratamento seja para uma finalidade legítima e que o titular tenha a
expectativa de que seus dados pessoais serão tratados pela TV CABRÁLIA para
aquela finalidade específica.
Exemplo:
análise de fraude.
Já para os dados pessoais
sensíveis, a quantidade de possibilidades é menor, sendo que as justificativas a
serem utilizadas pela TV CABRÁLIA provavelmente serão: consentimento,
cumprimento de obrigação legal ou regulatória, e exercício regular de direitos,
inclusive em contrato e em processo judicial, administrativo e arbitral.
Caso você não tenha
certeza qual base legal poderá justificar o seu tratamento (principalmente em
caso de uma atividade nova), entre em contato com o Encarregado da TV CABRÁLIA,
por meio do e-mail lgpd@recordtvcabralia.com.br.
Após determinada a base
legal que justifica o tratamento, é necessário sempre informar o titular dos
dados a respeito da finalidade, específica e legítima, para a qual os seus dados
serão utilizados, garantindo transparência na relação. Além disso, caso a
justificativa para realizar o tratamento seja o consentimento, é
necessário informar ao titular que ele poderá revogar tal autorização a
qualquer momento, de forma gratuita e sem qualquer ônus.
Além disso, o funcionário
da TV CABRÁLIA deve sempre observar as seguintes diretrizes:
-
Os dados pessoais somente poderão ser utilizados para a finalidade para a qual
foram originalmente coletados. Exceções limitadas podem ser aplicadas; para
tanto, consulte sempre o Encarregado da TV CABRÁLIA;
-
Todos os dados pessoais a que você tiver acesso nas suas atividades de trabalho,
independentemente se o dado estiver em papel, no e-mail ou em qualquer sistema
da TV CABRÁLIA, devem ser mantidos em sigilo, inclusive após eventual término de
sua relação de emprego com a TV CABRÁLIA;
-
É proibido o tratamento de dados pessoais para fins particulares (por exemplo,
para consultas sobre parentes ou conhecidos);
-
Envolver o Encarregado desde o início do processo ao contratar um novo
fornecedor que possa ter acesso a dados pessoais de funcionários, clientes,
outros fornecedores da TV CABRÁLIA, dentre outros;
-
Envolver o Encarregado desde o início de uma nova atividade de tratamento de
dados pessoais.
Para garantir que os dados
pessoais sejam tratados de forma sigilosa, protegida e segura, os funcionários
devem tomar certos cuidados para proteger o conteúdo do que recebem e enviam,
especialmente por e-mail e telefone. Veja abaixo algumas precauções que todo
funcionário da TV CABRÁLIA deverá adotar:
-
Somente utilizar o telefone no viva-voz após avisar as partes na outra linha e
receber seu consentimento para tanto;
-
Bloquear a tela de seu computador/notebook sempre que tiver que se ausentar de
sua posição de trabalho;
-
Somente salvar e armazenar os documentos utilizados conforme orientado por seu
gestor imediato e equipe de TI;
-
Somente se conectar à unidade de rede da TV CABRÁLIA mediante a ferramenta VPN a
ser fornecida pela TV CABRÁLIA, nunca se utilizando de outros dispositivos
fornecidos por terceiros;
-
Somente enviar, compartilhar e transferir dados pessoais a indivíduos que tenham
necessidade de acessar e utilizar tais dados pessoais para a realização de suas
atividades de trabalho;
-
Sempre conferir a identidade da pessoa a que está enviando dados pessoais e
demais informações (inclusive anexos) antes do envio;
-
Somente imprimir documentos quando for estritamente necessário, e armazená-los
de forma segura e protegida, evitando acessos indevidos;
-
Nunca realizar capturas da tela do computador/notebook/celular da TV CABRÁLIA
sem a aprovação prévia e expressa de seu gestor imediato;
-
Somente realizar gravações de voz ou vídeo com outros indivíduos, sejam internos
ou externos, após consentimento destes.
A LGPD também estabelece
que os dados pessoais não podem ficar armazenados por período indeterminado, ou
seja, cada tipo de dado pessoal somente pode ficar armazenado enquanto possuir
uma finalidade e uma base legal que justifica o seu armazenamento.
A TV CABRÁLIA é
responsável pelo tratamento de dados pessoais, inclusive quando este tratamento
não é realizado integralmente por ela, ou seja, quando há a contratação de
terceiros para realizar atividades de tratamento de dados pessoais em nome da TV
CABRÁLIA, ou seja, contratação de operadores.
A forma que a TV CABRÁLIA
consegue garantir que os terceiros contratados estão tratando os dados pessoais
adequadamente é por meio de contratos e também por meio de avaliações e
auditorias periódicas.
Sendo assim, sempre que
for necessário a contratação de um novo prestador de serviço ou fornecedor,
inclusive de um novo parceiro comercial, o funcionário da TV CABRÁLIA
responsável deverá entrar em contato com o Encarregado, e também com o
departamento jurídico da TV CABRÁLIA para verificar se haverá tratamento de
dados pessoais por aquele terceiro. Em caso negativo, poderá ser incluída uma
cláusula genérica, mais simplificada, sobre proteção de dados pessoais. No
entanto, caso tal terceiro venha a realizar operações de tratamento de dados
pessoais em nome da TV CABRÁLIA, será necessário a inclusão de uma cláusula mais
completa e robusta, que estabeleça todas as obrigações do terceiro na qualidade
de operador. Inclusive, será necessário estabelecer e delimitar algumas questões
da relação, como:
(i)
Quais são todos os dados
pessoais que tal terceiro poderá ou deverá ter acesso (especialmente se este
terceiro terá acesso a dados pessoais sensíveis)?
(ii)
De quais titulares?
(iii)
Para quais finalidades?
(iv)
Quais serão as atividades de tratamento a serem executadas pelo terceiro (por
exemplo, somente armazenamento dos dados)?
(v)
De que forma os dados
pessoais são transmitidos entre as partes (por e-mail, por sistema, etc.)?
(vi)
Haverá subcontratação?
(vii)
Haverá transferência internacional de dados?
Você, funcionário da TV
CABRÁLIA, como responsável pela contratação, conjuntamente com o Encarregado,
após a celebração do contrato, com todas as cláusulas necessárias, deve
garantir que o terceiro está realizando o tratamento dos dados pessoais seguindo
estritamente as instruções da TV CABRÁLIA, inclusive devendo realizar uma
revisão periódica de sua atuação.
Segue abaixo alguns
exemplos de prestadores de serviços que necessitam assinar contratos com a
cláusula completa para operadores de dados pessoais:
·
Prestadores de serviços
relacionados ao departamento de recursos humanos, como empresas de processamento
de folha de pagamento;
·
Prestadores de serviços
relacionados ao departamento jurídico, como escritórios de advocacia;
·
Prestadores de serviços
relacionados ao departamento de TI, como um prestador de serviços que hospeda um
banco de dados contendo dados pessoais em nome da TV CABRÁLIA.
Segue abaixo exemplo de
prestador de serviço que necessita assinar contratos com a cláusula genérica
de proteção de dados, ou seja, não haverá tratamento de dados pessoais por
este prestador de serviço:
·
Uma agência de marketing
contratada para consultoria sobre o sucesso de campanhas de marketing com base
em dados agregados/anonimizados.
Para realizar a
transferência internacional dos dados pessoais, ou seja, para transferir dados
pessoais para destinatários localizados em outros países, você deverá entrar em
contato com o Encarregado da TV CABRÁLIA pelo e-mail lgpd@recordtvcabralia.com.br.
A TV CABRÁLIA deve
garantir a mesma segurança e proteção no tratamento dos dados pessoais, seja no
Brasil ou em qualquer outra localidade.
Sempre que você, como
funcionário da TV CABRÁLIA, necessitar realizar uma nova atividade de tratamento
de dados pessoais, ou alterar alguma atividade de tratamento de dados já
existente, recomendamos que sejam feitos os seguintes questionamentos:
- POR QUÊ? Definir para qual finalidade
específica aqueles dados pessoais devem ser tratados.
- O QUE? Ter em mente quais dados realmente
são necessários para atingir a finalidade específica desejada. Não se deve
coletar e tratar mais dados do que o necessário. Se for possível atender à
finalidade coletando menos dados, colete menos dados.
- COMO?
Ter uma compreensão clara de como os dados pessoais serão tratados (em quais
meios, se fisicamente e/ou eletronicamente, quais sistemas serão utilizados,
...).
- QUEM?
Limitar o acesso aos dados pessoais somente às pessoas que de fato necessitam
ter acesso para sua atividade comercial (inclusive terceiros).
- QUANDO?
Definir claramente por quanto tempo os dados pessoais serão necessários para a
finalidade desejada e, assim, evitar retê-los por mais tempo.
Além disso, será
necessário envolver, desde o início da nova atividade de tratamento de dados, o
Encarregado da TV CABRÁLIA, e também o departamento de TI da TV CABRÁLIA.
A LGPD também estabeleceu
alguns direitos aos titulares dos dados pessoais que podem ser solicitados
perante as empresas responsáveis pelo tratamento, sendo a controladora a
responsável por atender tais pedidos.
Sendo assim, sempre que a
TV CABRÁLIA estiver atuando como controladora ela será a responsável por
garantir tais direitos e responder ao titular.
Para tanto, por favor,
consulte a Lista de verificação para lidar com pedidos dos titulares
relacionados aos seus direitos garantidos pela LGPD e demais formulários de
resposta correlatos.
A LGPD não se aplica para alguns tipos específicos e determinados de atividades,
conforme previsto em seu artigo 4º. Dentre elas, consta as atividades realizadas
para fins exclusivamente jornalísticos e artísticos. Tal previsão tem como
objetivo garantir que a imprensa não sofra censuras ou limitações.
No entanto, é reconhecido que o direito à privacidade é um direito fundamental
do ser humano, de modo que, ainda que não aplicável a LGPD nas atividades
exclusivamente jornalísticas, é necessário que adequemos nossas operações tendo
em vista os princípios trazidos pela Lei.
Haverá aplicação da Lei em todas aquelas atividades que são próprias da empresa
como processamento de folha de pagamento, contratação, auditorias; bem como das
atividades que tenham viés comercial ou institucional, como anúncios de
parceiros, entre outros.
Dessa forma, embora atividades com fins exclusivamente jornalísticos estejam
previstas na exceção legal, as seguintes medidas devem ser sempre adotadas:
(i)
Caso os dados sejam
compartilhados com empresas terceiras, garantir que tais dados continuem a ser
tratados também por esses terceiros somente para fins jornalísticos;
(ii)
Adotar medidas razoáveis
para manter as informações pessoais de forma segura, mitigando desvios ou
utilização indevida;
(iii)
Ter cautela ao separar as
mais diversas bases de dados, de acordo com as respectivas finalidades (para que
fique demonstrado que os dados eram utilizados somente para fins jornalísticos);
(iv)
Avaliar quais informações
são passíveis de publicação, de forma a equilibrar com o nível de intrusão na
vida dos titulares e potenciais danos que tal publicação pode causar;
(v)
Caso os dados sejam
tratados também para outras finalidades, que não sejam de cunho exclusivamente
jornalístico e/ou artístico, será necessário avaliar cada finalidade no caso
concreto para determinar a base legal aplicável;
(vi)
Somente coletar
informações sobre saúde, vida sexual ou criminal de alguém, no caso de convicção
de que é relevante e de que o interesse público em fazê-lo justifica
suficientemente a invasão de sua privacidade.
Um dos principais riscos
inerentes às atividades de tratamento de dados pessoais realizadas pelas
empresas é a possibilidade de ocorrência de incidentes de segurança relacionados
a tais atividades.
Um incidente de segurança
pode ser entendido como sendo um acesso não autorizado dos dados pessoais, ou
ainda situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme art.
46 da LGPD.
Para mais informações em
relação a como proceder em casos de incidentes de segurança, por favor acesse o
documento Manual para Incidentes de Segurança com Dados Pessoais.
Caso tenha qualquer dúvida relacionada a esta Política, por favor entre em
contato por meio do e-mail
lgpd@recordtvcabralia.com.br.
§
Lista de verificação para
lidar com pedidos dos titulares relacionados aos seus direitos garantidos pela
LGPD.
§
Manual para Incidentes de Segurança com Dados Pessoais.
Data da última atualização: 27/07/2022
|
