POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

Download: POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

1-POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS:

A SUBMARINER adota a Política de Privacidade e Proteção de Dados Pessoais, de acordo com a Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018), garantindo:

Segurança na retenção de dados pessoais.
Responsabilidade na proteção de dados.
Coleta de dados e informações de acordo com os requisitos legais.
Uso de dados pessoais em conformidade legal.
Ação imediata em caso de violação de dados.
Revisões periódicas nos procedimentos e análises dos dados coletados e mantidos.
Melhoria continua.

2- OBJETIVOS:

Garantir a proteção dos dados pessoais de todas as partes interessadas, de acordo com a Lei 13.709/2018, dando as devidas informações em relação à proteção, às responsabilidades e aos direitos dos dados mantidos pela SUBMARINER.
Dotar de elementos para implementar na Cadeia de Suprimentos as ações e práticas sobre segurança e proteção de dados pessoais.

3- AÇÕES DECORRENTES:

3.1-PRIVACIDADE:

Os dados pessoais mantidos pela SUBMERINER seguem os princípios de descrição e finalidade das informações e dos dados pessoais coletados e processados, em base legal para o processamento e retenção dos mesmos, garantindo os direitos dos titulares sobre a privacidade dos seus dados.

3.2- DATA PROTECTION OFFICER (DPO)/ PESSOA RESPONSÁVEL PARA PROTEÇÃO DE DADOS:

A SUBMERINER estabeleceu o DATA PROTECTION OFFICER (DPO) na pessoa de:

GUILHERME SIMÕES MAY

Sócio e Engenheiro Responsável Técnico

3.3- MAPEAMENTO DE DADOS:

O DPO- Data Protection Officer da Empresa ao realizar o mapeamento dos dados, as responsabilidades e possíveis vulnerabilidades dos que são coletados e armazenados, concluiu que até o momento não há indícios de incidentes, vazamentos ou usos indevidos.

No entanto, deve continuar com o mapeamento para evitar incidentes e vazamentos, identificando-o e mantendo o sistema de proteção, sobretudo em relação:

Aos dados pessoais;
De crianças e adolescentes; e
Os dados sensíveis, relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a um indivíduo.

Assim sendo, ao continuar em melhoria continua com o mapeamento dos dados armazenados, deve definir as pessoas / funções que podem ter acessos aos mesmos, mantendo a confidencialidade.

3.4-GESTÃO DE ACESSOS:

Devem ser mantidos os controles de acesso às informações e rotinas para atender às solicitações, entre outras, de acesso, retificação e exclusão.

3.5-GESTÃO DE PEDIDOS DE TITULARES:

Ao mapear e gerenciar os dados, as demandas de titulares devem ser atendidas, garantindo:

Privacidade e informações de contato;
Mecanismos de solicitação devem ser claros, encaminhados pelo e-mail submarin@terra.com.br, dedicado ao DPO- Data Protection Officer, Guilherme Simões May.
Confirmação da Identidade do detentor dos dados.
As respostas às solicitações dos titulares devem ser rápidas de acordo com a LGPD.
Retificação de dados, permitindo que os titulares solicitem a correção de dados pessoais incorretos ou incompletos.
Portabilidade de dados, permitindo que os titulares solicitem a transferência de seus dados pessoais para outro serviço ou organização.
Restrição de processamento, aos titulares ficam a opção de restringir o processamento de seus dados pessoais em certas circunstâncias amparadas legalmente.
Exclusão de dados ou direito ao esquecimento, permitindo aos titulares solicitarem exclusão de seus dados pessoais, desde que não haja razões legítimas para retê-los.
Avisos e comunicação aos titulares, informando a ação tomada em resposta às solicitações, incluindo recusa fundamentada de acordo com as leis de proteção de dados.

Treinamento da equipe, certificando que o responsável por agir com solicitações de titulares esteja treinada e ciente dos procedimentos adequados.
Registro e evidências, com a manutenção dos registros das solicitações dos titulares e ações adotadas em resposta para fins de comprovação de conformidade.

3.6-CONSENTIMENTOS:

Sempre que necessário, deve ser obtido o consentimento, com anonimização de acordo com a LGPD.

3.7- COMPARTILHAMENTO DE DADOS:

As rotinas descritas para compartilhamento de dados com terceiros devem ser cumpridas como boas práticas e de governança com ações educativas e mitigação de riscos no tratamento de dados pessoais.

3.8-AVALIAÇÃO DE RISCOS:

Na avaliação de riscos de incidentes e de vazamentos de dados, devem ser (i) identificadas as ameaças e vulnerabilidades, assim como a (ii) avaliação de impactos sobre os direitos e liberdades dos titulares de dados, garantindo:

I. Identificação de ativos de dados críticos, como informações financeiras, projetos, dados pessoais de

funcionários e clientes, documentos de licenciamento, entre outros.

II. Identificação das ameaças potenciais que podem afetar a segurança dos dados, incluindo ataques

cibernéticos, acesso não autorizado, desastres naturais e erros humanos.

III. Avaliação das vulnerabilidades existentes nos sistemas de informação, processos e procedimentos

relacionados aos dados, podendo incluir sistemas desatualizados, falta de controle de acesso adequado e

falhas de segurança.

IV. Determinação dos impactos que uma violação de dados ou uma interrupção de serviços, considerando os

custos financeiros, danos à reputação e possíveis implicações legais.

V. Avaliação das probabilidades de ocorrência de diferentes ameaças, levando em consideração a probabilidade

histórica, exposição atual e tendências do segmento de atuação.

VI. Avaliação do risco associado a cada ameaça, combinando a probabilidade e o impacto, podendo ser por uma

matriz de risco.

VII. Análise dos controles de segurança existentes, como firewalls ou dispositivo de segurança que protege as

portas e janelas de computadores de ameaças, antivírus, restrições e políticas de acesso e procedimentos de

backup.

VIII. Desenvolvimento de estratégias para gerenciar os riscos identificados, podendo incluir a implementação de

controles adicionais, a transferência de riscos por meio de seguros ou a aceitação de riscos menores.

IX. Verificação se as restrições, políticas e procedimentos de segurança de dados em vigor são adequados para

mitigar os riscos identificados.

X. Treinamento e conscientização para as pessoas estarem treinadas e conscientes das práticas de segurança

de dados, incluindo sobre phishing ou tentativas de fraude para obter ilegalmente informações, senhas fortes ou

devem ser adotadas e evidências de incidentes.

XI. Plano de resposta a incidentes, com as respostas descrevendo casos de violações de dados, incluindo a

notificação de partes interessadas relevantes; e

XII. Avaliação continua, devendo ser um processo contínuo, sujeito a revisões periódicas à medida que as

ameaças e o ambiente de segurança evoluem, não devendo ultrapassar o período de 2 anos.

3.9- MEDIDAS DE SEGURANÇA:

Na SUBMARINER são adotadas medidas de segurança da informação aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, a exemplo de:

Acesso restrito aos dados.
Monitoramento de atividades suspeitas.
Backup e recuperação de dados.

3.10-RETENÇÃO E DESCARTE:

Devem ser obedecidos os requisitos legais para retenção e descarte seguros de dados, entendendo que há dados relativos à saúde ocupacional e a seguridade social que devem ser mantidos por décadas.