Política de Privacidade

Declaração de Conformidade com a Lei Geral de Proteção de Dados (Lei Federal nº 13.709/18

As partes contratantes, considerando:

I – Os fundamentos da Lei Geral de Proteção de Dados (LGPD), que dispõe sobre a proteção de dados pessoais, além de: 

  1. a) o respeito à privacidade, 
  2. b) a autodeterminação informativa, 
  3. c) a liberdade de expressão, de informação, de comunicação e de opinião, 
  4. d) a inviolabilidade da intimidade, da honra e da imagem, 
  5. e) o desenvolvimento econômico e tecnológico e a inovação, 
  6. f) a livre iniciativa, a livre concorrência e a defesa do consumidor, e 
  7. g) os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais; 

II – O inteiro teor da Lei nº 12.965, de 23 de abril de 2014, denominada Marco Civil da Internet; 

Comprometem-se a tornar efetiva e concreta a presente Declaração, que passa a vigorar nos termos a seguir:

 

DEFINIÇÕES

 

Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do Tratamento, por meio dos quais um Dado Pessoal perde a possibilidade de associação, direta ou indireta, a um indivíduo.

 

Autoridade Nacional de Proteção de Dados (“ANPD”): A Autoridade Nacional de Proteção de Dados é órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados em todo o território nacional.

 

Base legal de tratamento de dados pessoais: hipótese legal que configura situação legitimadora do Tratamento de Dados Pessoais pelos agentes de Tratamento (Controlador ou Operador). São exemplos de bases legais de tratamento de dados pessoais: consentimento, cumprimento de obrigação legal ou regulatória, execução de políticas públicas pela Administração Pública, realização de estudos por órgãos de pesquisa, execução de contrato ou de procedimentos preliminares a um contrato, exercício regular de direitos em processos judiciais, administrativos ou arbitrais, proteção da vida, tutela da saúde, legítimo interesse, proteção do crédito e garantia de prevenção à fraude e à segurança do titular. 

 

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados Pessoais.

Colaboradores: todos os funcionários, estagiários, terceiros e prestadores de serviços, independentemente do cargo ou função exercida.

 

Dado Pessoal ou Dados Pessoais (lato sensu): Qualquer “informação relacionada a uma pessoa natural identificada ou identificável. Exemplos: nome e número de registro na OAB (que permite a identificação de uma pessoa quando realizada uma consulta na base de dados da entidade).

 

Dado Pessoal Sensível ou Dados Pessoais Sensíveis: é a informação, ou conjunto de informações, que podem representar um risco elevado à segurança e/ou às liberdades do Titular ou, ainda, que podem gerar discriminações ilícitas quando tratados. Ou, conforme precisamente definido na LGPD, o Dado Pessoal Sensível é aquele relacionado à “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico. Assim, informações como tipo sanguíneo, raça, religião, filiação partidária e impressão digital são consideradas Dados Pessoais sensíveis. É importante ressaltar que o dado pessoal sensível se enquadra como espécie integrante do conceito mais abrangente de dado pessoal “lato sensu”.

 

Eliminação: exclusão de Dado Pessoal ou de conjunto de Dados Pessoais armazenados em banco de dados, online e fisicamente, independentemente do procedimento empregado.

 

Encarregado(a) ou DPO (Data Protection Officer): Pessoa formalmente indicada pela Ânima como responsável pela gestão do Programa de Privacidade – Gestão e Governança.

 

Incidente de Segurança envolvendo Dados Pessoais (“Incidente de Segurança”): qualquer evento adverso, confirmado ou sob suspeita, que pode gerar o comprometimento das características de confidencialidade, integridade e disponibilidade dos dados pessoais.

 

LGPD: Lei Federal nº 13.709/2018 ou “Lei Geral de Proteção de Dados”.

 

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador.

 

Programa de Privacidade – Gestão e Governança ou apenas Programa (“Programa”): conjunto de regras para salvaguardar o direito constitucional à privacidade, principalmente em atendimento à Lei Geral de Proteção de Dados e posteriores normas que venham a legislar sobre o tema. 

 

Tipos de Dados Pessoais: é a referência aos tipos legais de dados pessoais “lato sensu” e dados pessoais sensíveis.

 

Titular: Pessoa física a quem os Dados Pessoais se referem.

 

Tratamento: Qualquer operação efetuada com Dados Pessoais, por meios automatizados ou não automatizados, tais como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

 

PRINCÍPIOS

As partes garantem que toda atividade de Tratamento de Dados Pessoais realizada no âmbito de sua parceria se dará em observância à boa-fé e aos princípios norteadores da privacidade e proteção dos dados pessoais, em especial: 

Princípio da finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; 

Princípio da adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento; 

Princípio da necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; 

Princípio do livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais; 

Princípio da qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; 

Princípio da transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; 

Princípio da segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; 

Princípio da prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; 

Princípio da não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; 

Princípio da responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. 

Todos os princípios serão observados internamente em consonância com o alcance e significado dado a eles pela LGPD e subsequentes interpretações ulteriores advindas da ANPD e de nossos tribunais superiores.

 

SEGURANÇA

As partes garantem que implementaram e têm mantido medidas técnicas e organizacionais que garantem o tratamento de dados pessoais de acordo com os requisitos exigidos pela LGPD. 

Essas medidas foram tomadas para garantir a segurança, confidencialidade, disponibilidade e integridade dos dados pessoais, incluindo proteção contra processamento não autorizado e/ou ilegal, destruição, perda, alterações, danos acidentais e/ou ilegais bem como contra a divulgação ou acesso não autorizado desses dados. 

Tais medidas técnicas e organizacionais podem incluir (conforme apropriado, com base no risco para os titulares dos dados): 

  1. a) pseudonimização e criptografia de dados pessoais; 
  2. b) capacidade de assegurar a confidencialidade, a integridade, a disponibilidade e a resiliência contínua dos sistemas e serviços de processamento; 
  3. c) capacidade de restaurar a disponibilidade e o acesso a dados pessoais de maneira oportuna no caso de um incidente técnico ou físico; e 
  4. d) um processo para testar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento dos dados pessoais.

Todos os dados pessoais serão tratados como confidenciais, garantindo que todos os colaboradores, representantes e fornecedores envolvidos no tratamento desses dados sejam informados sobre sua natureza confidencial. 

As partes garantem que:

(a) apenas tem acesso aos dados pessoais aqueles colaboradores, representantes e fornecedores que utilizam os dados para finalidades legítimas e necessárias e em conformidade com bases legais existentes; 

(b) todos os envolvidos estão comprometidos com a confidencialidade, e recebem treinamento adequado sobre as suas responsabilidades no que diz respeito à privacidade e proteção de dados.

GOVERNANÇA DE RISCOS, CONFORMIDADE E SEGURANÇA DA INFORMAÇÃO 

As partes garantem que mantêm um adequado Programa de Privacidade – Gestão e Governança, além de um Programa de Segurança e Política Corporativa de Segurança da Informação, e de todo um substrato normativo interno relacionado à segurança da informação e às boas práticas de governança corporativa.

BASES LEGAIS

Consoante artigos 7º e 11 da LGPD, toda atividade de Tratamento de Dados Pessoais realizada pelas partes deverá possuir uma base legal para tratamento, conforme quadro explicativo abaixo: 

Base legal

Definição

Dados Pessoais (lato sensu)

Dados Pessoais Sensíveis

Consentimento

Manifestação positiva do Titular quanto ao Tratamento de seus Dados Pessoais, que deve ser livre, informada, inequívoca, destacada (se em contratos), específica e revogável a qualquer tempo.

 ✓ ✓ 

Obrigação legal ou regulatória

Cumprimento pelo Controlador de obrigação legal ou regulatória específica quanto ao Tratamento dos Dados Pessoais do Titular.

Execução de contrato ou procedimentos preliminares

Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o Titular, a pedido do Titular dos Dados Pessoais. Não aplicável a contratos entre pessoas jurídicas.

×

Exercício regular de direitos

Exercício regular de direitos do Controlador em processos judiciais, administrativos e arbitrais. Caso sejam Dados Pessoais Sensíveis, há também a situação de exercício regular de direitos previstos inclusive em contrato.

 ✓  ✓

Proteção da vida

Quando Dados Pessoais são necessários para proteção da vida ou da incolumidade física do Titular ou de terceiros.

 ✓  ✓

Tutela da saúde

Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.

 ✓  ✓

Legítimo interesse

Quando o Tratamento de Dados Pessoais é necessário para atender aos interesses legítimos do Controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos Dados Pessoais.

 ✓  ×

Proteção do crédito

Tratamento de Dados Pessoais relacionados a atividades de proteção do crédito conforme disposto na legislação pertinente.

 ✓  ×

 

Por fim, o tratamento de dados pessoais sensíveis também poderá ser feito a partir da base legal prevista no artigo 11, II, g da LGPD, de garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.


RESPOSTAS A VIOLAÇÕES DE DADOS PESSOAIS

Para garantir que os titulares de dados sejam notificados sobre alguma violação de seus dados pessoais, imediatamente após a descoberta de tal ato, caso se relacione aos dados da presente contratação, as partes asseguram que se notificarão no prazo máximo de 24 (vinte e quatro) horas do ocorrido e se auxiliarão mutuamente com qualquer investigação interna ou externa a respeito do incidente.   

 

USO DE SUBCONTRATANTES E TRANSFERÊNCIAS PARA FORA DO BRASIL

As partes somente poderão utilizar-se de subcontratantes e transferir os dados pessoais para fora do território nacional (especificamente quanto ao objeto contratual firmado) caso a outra parte esteja ciente de tais tratamentos.

 

RESPONSÁVEIS POR PRIVACIDADE E PROTEÇÃO DE DADOS

Contato responsável pelo Programa de Privacidade – Gestão e Governança:

E-mail: contato@mcampos.br

Endereço: Rua Milton Campos, 202 Vila da Serra – Nova Lima 34006-050 – MG – Brasil