POLÍTICA  DE  PRIVACIDADE  E  PROTEÇÃO  DE  DADOS PESSOAIS 

1-POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS:

A SUBMARINER adota a Política de Privacidade e Proteção de Dados Pessoais, de acordo com a Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018), garantindo:

• Segurança na retenção de dados pessoais.

• Responsabilidade na proteção de dados.

• Coleta de dados e informações de acordo com os requisitos legais.

• Uso de dados pessoais em conformidade legal.

• Ação imediata em caso de violação de dados.

• Revisões periódicas nos procedimentos e análises dos dados coletados e mantidos.

• Melhoria continua.

2- OBJETIVOS:

• Garantir a proteção dos dados pessoais de todas as partes interessadas, de acordo com a Lei 13.709/2018, dando as devidas informações em relação à proteção, às responsabilidades e aos direitos dos dados mantidos pela SUBMARINER.

• Dotar de elementos para implementar na Cadeia de Suprimentos as ações e práticas sobre segurança e proteção de dados pessoais.

3- AÇÕES DECORRENTES:

3.1-PRIVACIDADE:

• Os dados pessoais mantidos pela SUBMERINER seguem os princípios de descrição e finalidade das informações e dos dados pessoais coletados e processados, em base legal para o processamento e retenção dos mesmos, garantindo os direitos dos titulares sobre a privacidade dos seus dados.

3.2- DATA PROTECTION OFFICER (DPO)/ PESSOA RESPONSÁVEL PARA PROTEÇÃO DE DADOS:

• A SUBMERINER estabeleceu o DATA PROTECTION OFFICER (DPO) na pessoa de:

GUILHERME SIMÕES MAY

Sócio e Engenheiro Responsável Técnico

3.3- MAPEAMENTO DE DADOS:

O DPO- Data Protection Officer da Empresa ao realizar o mapeamento dos dados, as responsabilidades e possíveis vulnerabilidades dos que são coletados e armazenados, concluiu que até o momento não há indícios de incidentes, vazamentos ou usos indevidos.

No entanto, deve continuar com o mapeamento para evitar incidentes e vazamentos, identificando-o e mantendo o sistema de proteção, sobretudo em relação:

• Aos dados pessoais;

• De crianças e adolescentes; e  

• Os dados sensíveis, relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a um indivíduo.

Assim sendo, ao continuar em melhoria continua com o mapeamento dos dados armazenados, deve definir as pessoas / funções que podem ter acessos aos mesmos, mantendo a confidencialidade.

3.4-GESTÃO DE ACESSOS:

• Devem ser mantidos os controles de acesso às informações e rotinas para atender às solicitações, entre outras, de acesso, retificação e exclusão.

3.5-GESTÃO DE PEDIDOS DE TITULARES:

Ao mapear e gerenciar os dados, as demandas de titulares devem ser atendidas, garantindo:

• Privacidade e informações de contato;

• Mecanismos de solicitação devem ser claros, encaminhados pelo e-mail submarin@terra.com.br, dedicado ao DPO- Data Protection Officer, Guilherme Simões May.

• Confirmação da Identidade do detentor dos dados.

• As respostas às solicitações dos titulares devem ser rápidas de acordo com a LGPD.

• Retificação de dados, permitindo que os titulares solicitem a correção de dados pessoais incorretos ou incompletos.

• Portabilidade de dados, permitindo que os titulares solicitem a transferência de seus dados pessoais para outro serviço ou organização.

• Restrição de processamento, aos titulares ficam a opção de restringir o processamento de seus dados pessoais em certas circunstâncias amparadas legalmente.

• Exclusão de dados ou direito ao esquecimento, permitindo aos titulares solicitarem exclusão de seus dados pessoais, desde que não haja razões legítimas para retê-los.

• Avisos e comunicação aos titulares, informando a ação tomada em resposta às solicitações, incluindo recusa fundamentada de acordo com as leis de proteção de dados.

• Treinamento da equipe, certificando que o responsável por agir com solicitações de titulares esteja treinada e ciente dos procedimentos adequados.

• Registro e evidências, com a manutenção dos registros das solicitações dos titulares e ações adotadas em resposta para fins de comprovação de conformidade.

3.6-CONSENTIMENTOS:

• Sempre que necessário, deve ser obtido o consentimento, com anonimização de acordo com a LGPD.

3.7- COMPARTILHAMENTO DE DADOS:

• As rotinas descritas para compartilhamento de dados com terceiros devem ser cumpridas como boas práticas e de governança com ações educativas e mitigação de riscos no tratamento de dados pessoais.

3.8-AVALIAÇÃO DE RISCOS:

Na avaliação de riscos de incidentes e de vazamentos de dados, devem ser (i) identificadas as ameaças e vulnerabilidades, assim como a (ii) avaliação de impactos sobre os direitos e liberdades dos titulares de dados, garantindo:

I. Identificação de ativos de dados críticos, como informações financeiras, projetos, dados pessoais de

funcionários e clientes, documentos de licenciamento, entre outros.

II. Identificação das ameaças potenciais que podem afetar a segurança dos dados, incluindo ataques

cibernéticos, acesso não autorizado, desastres naturais e erros humanos.

III. Avaliação das vulnerabilidades existentes nos sistemas de informação, processos e procedimentos

relacionados aos dados, podendo incluir sistemas desatualizados, falta de controle de acesso adequado e

falhas de segurança.

IV. Determinação dos impactos que uma violação de dados ou uma interrupção de serviços, considerando os

custos financeiros, danos à reputação e possíveis implicações legais.

V. Avaliação das probabilidades de ocorrência de diferentes ameaças, levando em consideração a probabilidade

histórica, exposição atual e tendências do segmento de atuação.

VI. Avaliação do risco associado a cada ameaça, combinando a probabilidade e o impacto, podendo ser por uma

matriz de risco.

VII. Análise dos controles de segurança existentes, como firewalls ou dispositivo de segurança que protege as

portas e janelas de computadores de ameaças, antivírus, restrições e políticas de acesso e procedimentos de

backup.

VIII. Desenvolvimento de estratégias para gerenciar os riscos identificados, podendo incluir a implementação de

controles adicionais, a transferência de riscos por meio de seguros ou a aceitação de riscos menores.

IX. Verificação se as restrições, políticas e procedimentos de segurança de dados em vigor são adequados para

mitigar os riscos identificados.

X. Treinamento e conscientização para as pessoas estarem treinadas e conscientes das práticas de segurança

de dados, incluindo sobre phishing ou tentativas de fraude para obter ilegalmente informações, senhas fortes ou

devem ser adotadas e evidências de incidentes.

XI. Plano de resposta a incidentes, com as respostas descrevendo casos de violações de dados, incluindo a

notificação de partes interessadas relevantes; e

XII. Avaliação continua, devendo ser um processo contínuo, sujeito a revisões periódicas à medida que as

ameaças e o ambiente de segurança evoluem, não devendo ultrapassar o período de 2 anos.

3.9- MEDIDAS DE SEGURANÇA:

Na SUBMARINER são adotadas medidas de segurança da informação aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, a exemplo de:

• Acesso restrito aos dados.

• Monitoramento de atividades suspeitas.

• Backup e recuperação de dados.

3.10-RETENÇÃO E DESCARTE:

• Devem ser obedecidos os requisitos legais para retenção e descarte seguros de dados, entendendo que há dados relativos à saúde ocupacional e a seguridade social que devem ser mantidos por décadas.

3.11-CONTRATOS COM FORNECEDORES E PRESTADORES DE SERVIÇOS:

• As cláusulas de proteção de dados em contratos com terceiros devem ser explicitamente determinadas.

3.12-TREINAMENTO E CONSCIENTIZAÇÃO:

• Os colaboradores devem ser treinados e conscientizados sobre esse Política de Privacidade e Proteção de Dados Pessoais.

4-MELHORIA CONTÍNUA

• A SUBMARINER se compromete com a implementação das ações e com a melhoria contínua.

Revisão: 0

Salvador – BA, 04.09.2023

Pablo Estaban Koss

Sócio Gerente Operacional