1. DISPOSIÇÕES GERAIS
Aprovada na 3ª Reunião Ordinária do Conselho de Administração – CA, realizada no dia 01 de Dezembro de 2019.
2. OBJETIVO
O objetivo desta Política é estabelecer diretrizes para uniformizar o comportamento da Companhia no que concerne ao tratamento de dados pessoais em seus processos, a privacidade e a proteção destes dados, além de disseminar a cultura de segurança destas informações em consonância com os seguintes princípios: legalidade, lealdade, transparência, integridade e confidencialidade.
A Política determina os seguintes compromissos:
- Respeito à privacidade dos titulares;
- Transparência aos titulares sobre às necessidades de tratamento de seus dados pessoais, a forma, a duração e a exatidão das informações;
- O tratamento dos dados deve atender à finalidade legítima;
- Proteção aos dados pessoais dos titulares nos ambientes digitais e analógicos da Companhia;
- Limitação do tratamento de dados ao mínimo necessário para realização das atividades e processos da Companhia;
- Impossibilidade de realização do tratamento dos dados para fins discriminatórios ilícitos ou abusivos.
3. ABRANGÊNCIA
A Política de Proteção de Dados Pessoais e Privacidade alcança todos os processos que de alguma forma tratam dados pessoais digitais e analógicos dos titulares que se relacionam com a empresa.
Portanto se aplica a todas as pessoas que trabalham na JBQ.Global sejam Conselheiros, Diretores, profissionais de qualquer natureza, estagiários e aprendizes, bem como para qualquer pessoa física ou pessoa jurídica, de Direito Público ou Privado, com quem se relaciona: fornecedores, prestadores de serviços, clientes, entre outros.
Esta Política encontra-se disponível no endereço eletrônico: http://jbq.global e, uma vez aprovada pelo Conselho de Administração, deverá ser divulgada a todas as pessoas que devem cumpri-la.
4. REFERÊNCIAS
- Lei Federal n. 12.965/2014 (Marco Civil da Internet)
- Lei Federal n. 13.709/2018 (Lei de Proteção de Dados Pessoais)
- Código de Conduta e Integridade
Esta Política deverá ser lida e interpretada juntamente com o Código de Conduta e Integridade da JBQ.Global e demais políticas corporativas.
5. DEFINIÇÕES
Os principais termos citados nesta política corporativa incluem:
- Controlador – No âmbito interno, o controlador é a Diretoria da Presidência, a quem compete as decisões referentes ao tratamento de dados pessoais e que por meio dos seus poderes e atribuições delegam as ações necessárias para operacionalizar a Política de Proteção de Dados Pessoais e Privacidade dentro da estrutura da empresa. Para o ambiente externo à empresa, o Controlador é a própria Empresa que exigirá das pessoas físicas e das pessoas jurídicas, de Direito Público ou Privado, com quem se relaciona, o cumprimento dessa política quando aquelas estiverem tratando dados pessoais originários da JBQ.Global;
- Comitê de Segurança de Dados Pessoais e Privacidade – empregados designados para tratar de assuntos relevantes, a partir da necessidade identificada pelo DPO ou Encarregado;
- Encarregado ou DPO – Data Protection Officer – encarregado, indicado pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;
d) Líderes de Segurança de Dados Pessoais e Privacidade –
Coordenadores e/ou Gerentes das diversas áreas que, de alguma forma, possuem tratamento de dados pessoais em seus processos;
- Agentes internos de Tratamento de Dados (Operadores internos) – são todos os empregados que, na execução das atividades relativas aos processos da empresa, têm contato e tratam dados pessoais.
- Titular – pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
- Tratamento – toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
- Dado Pessoal – informação relacionada a pessoa natural identificada ou identificável;
- Dado Pessoal Sensível – dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
6. REVISÃO
Recomenda-se que haja revisão desta política ao final do primeiro ano de implantação ou se houver fato relevante a ser tratado para esta ação.
7. DIRETRIZES
No atendimento ao que é requerido pela legislação e pelos compromissos assumidos nesta política, a JBQ.Global seguirá, em seus processos, as seguintes diretrizes:
- – Os dados pessoais do titular serão processados de forma lícita, leal e transparente;
- – Os dados pessoais do titular serão coletados apenas para finalidades determinadas, explícitas e legítimas, não podendo ser tratados posteriormente de forma incompatível com essas finalidades (limitação das finalidades);
- – Os dados pessoais do titular serão coletados de forma adequada, pertinente e limitada às necessidades do objetivo para os quais eles são processados (minimização dos dados);
- – Os dados pessoais do titular serão exatos e atualizados sempre que necessário, de maneira que os dados inexatos sejam apagados ou retificados quando possível (exatidão);
- – Os dados pessoais do titular serão conservados de forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados, (limitação da conservação, anonimização);
- – Os dados pessoais do titular serão tratados de forma segura, protegidos do tratamento não autorizado ou ilícito e contra sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas (integridade e confidencialidade);
- – É garantido ao titular dos dados a consulta gratuita sobre a forma e a duração do tratamento, bem como sobre a integridade de seus dados pessoais (transparência); (Art. 6º – IV e VI da Lei Federal n. 13.709);
- – Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas (Art. 6º – X da Lei Federal n. 13.709);
- – Assegurar que o tratamento de dados pessoais somente será realizado nas seguintes hipóteses:
- Mediante o fornecimento de consentimento pelo titular quando assina o contrato de adesão aos serviços prestados pela Companhia;
- Para o cumprimento de obrigação legal ou regulatória pelo controlador;
- Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
- Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
- Para a proteção da vida ou da incolumidade física do titular ou de terceiros;
- Para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
- Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
- Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
8. PROCESSO DE IDENTIFICAÇÃO E PROCESSAMENTO DE DADOS PESSOAIS
Todas as áreas da Companhia são contempladas com ações que promovam a conformidade à LGPD.
Tais ações estão alicerçadas em três pilares, quais sejam: Tecnologia, Processo e Pessoas. São pilares indissociáveis e devem ser fortalecidos de forma harmônica.
O tratamento contínuo dos dados deve ser pautado pelo conjunto de diretrizes desta política.
9. RESPONSABILIDADES
9.1 Conselho de Administração
• Aprovar a Política de Proteção de Dados Pessoais e Privacidade; • Deliberar sobre temas afetos às suas atribuições.
9.2 Diretoria Executiva
- Promover o processo de atendimento às diretrizes aprovadas e garantir que estejam alinhados às boas práticas de gestão, inclusive ao planejamento estratégico da Companhia;
- Deliberar sobre os procedimentos que sejam encaminhados pelo Encarregado no caso de ocorrências;
- Encaminhar ao Conselho de Administração, para aprovação, os casos específicos que impliquem em decisões estratégicas;
- Assegurar o alinhamento das ações de planejamento, promovendo as adequações necessárias por meio de padrões de funcionamento normatizados em suas respectivas diretorias;
- Apoiar os líderes de segurança de dados pessoais e privacidade para o atendimento à lei.
9.3 Controlador
- Tomar decisão referente ao tratamento de dados pessoais;
- Delegar as ações necessárias para operacionalizar a Política da Proteção de Dados Pessoais e Privacidade dentro da estrutura da empresa;
- Exigir das pessoas físicas e das pessoas jurídicas, de Direito Público ou Privado, com quem se relaciona, o cumprimento dessa política quando aquelas estiverem tratando dados pessoais originários da JBQ.Global.
9.4 Comitê de Segurança de Dados Pessoais e Privacidade
Foro de discussão e proposição de melhorias na Política de Proteção de Dados Pessoais e Privacidade
- Deve sugerir, acompanhar e reavaliar a implementação do Programa de Proteção de Dados Pessoais;
- Dar apoio ao Encarregado na execução das ações relativas à Política e ao Programa de Proteção de Dados Pessoais.
9.5 Encarregado (DPO ou Data Protection Officer)
- Receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- Receber comunicações da autoridade nacional e adotar providências;
- Orientar os empregados e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
- Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares; e
- Coordenar as ações que visam implantar a Política de Proteção de Dados Pessoais e Privacidade e a execução do Programa de Proteção de Dados Pessoais.
Tais ações deverão ser executadas com a participação dos Líderes de Segurança e Privacidade e das suas equipes alocadas nas diversas áreas da empresa que tratam dados pessoais em seus processos.
9.6 Líderes de Segurança e Dados Pessoais e Privacidade
- Identificar os processos que possuem tratamento de dados pessoais;
- Disseminar a Política de Proteção de Dados Pessoais e Privacidade do Programa de Proteção de Dados Pessoais e das ações deles decorrentes;
- Comunicar ao Encarregado (DPO) situações em desconformidade com a Política.
9.7 Agentes Internos de Tratamento de Dados (Operadores Internos)
Realizar o tratamento de dados conforme as instruções fornecidas pelo Controlador – formalizadas através de Política e Normativos sobre tal matéria;
• Identificar e relatar ao Líder e ao Encarregado situações-problema que possam pôr em risco a segurança da informação e privacidade.
10. DISPOSIÇÕES FINAIS
Dúvidas com relação à interpretação desta Política devem ser esclarecidas com a área de Compliance da JBQ.Global.
Esta política entra em vigor na data de sua aprovação pelo CA.