Política de Privacidade e Proteção de Dados Pessoais
Última atualização feita em 19 de abril de 2022
-
OBJETIVO, ESCOPO E USUÁRIOS
Objetivos Gerais:
A iTFLEX desenvolve confiáveis soluções de segurança com o objetivo de facilitar o gerenciamento da infraestrutura pela equipe de TI dos nossos clientes. A confiança do mercado é nosso maior objetivo e por isso mesmo levamos muito a sério a forma como tratamos dados pessoais que são confiados a nós. A privacidade de clientes, usuários e terceiros é objetivo presente em nossos esforços recorrentes de gerenciamento da informação.
Ao estabelecer o programa de Governança em Privacidade e Proteção de Dados Pessoais, a iTFLEX consolida os princípios e procedimentos a serem observados quando do tratamento de dados pessoais de seus funcionários, colaboradores, sócios, prestadores de serviços, parceiros, fornecedores, clientes e terceiros direta ou indiretamente afetados pela execução das atividades relacionadas a suas atividades profissionais ou ações de prospecção de negócios.
As diretrizes e recomendações contempladas neste programa e nas políticas de privacidade e de proteção de dados que o compõem devem ser observados pelos seus sócios, funcionários, colaboradores eventuais ou temporários, parceiros e prestadores de serviços da iTFLEX.
Objetivos Específicos:
No propósito de assegurar as melhores práticas de proteção de dados pessoais bem como de atender as exigências legais de efetivação de privacidade, o Programa de implantação da Governança em Privacidade e Proteção de Dados Pessoais tem como objetivos específicos:
(i) Prestar esclarecimentos acerca das obrigações legais e corporativas de proteção de dados pessoais;
(ii) Orientar os trabalhos de adequação das atividades profissionais às medidas organizacionais, técnicas e pessoais de proteção de dados pessoais;
(iii) auxiliar o trabalho de revisão de procedimentos e práticas que envolvem tratados de dados pessoais;
(iv) instituir princípios e diretrizes para condução de atividades já existentes ou ainda por desenvolvidas que façam uso de dados de natureza pessoal;
2. DOCUMENTOS DE REFERÊNCIA
-
Lei Nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais)
-
Lei Nº 12.965/2014 (Marco Civil da Internet)
-
Lei Nº 10.406/2002 (Código Civil)
-
Lei Nº 9.610/1998 (Lei do Direito Autoral)
-
Lei Nº 9.279/1996 (Lei da Propriedade Industrial)
-
Lei Nº 8.078/1990 (Código de Defesa do Consumidor)
-
Constituição da República Federativa do Brasil
-
Contrato de Teletrabalho iTFLEX
-
Atribuições do Encarregado de Proteção de Dados iTFLEX
-
Atribuições do Comitê de Privacidade e Proteção de Dados iTFLEX
-
Política de Segurança da Informação iTFLEX
-
Domínio público para nos ajudar a manter a precisão dos dados, fornecer e aprimorar os serviços.
3. DEFINIÇÕES
Para perfeita compreensão dos termos do Programa de Privacidade e Proteção de Dados Pessoais a iTFLEX estabelece alguns conceitos úteis para auxílio na tarefa de proteger dados pessoais nas atividades cotidianas da empresa:
Tratamento de Dados: Toda atividade que envolver qualquer tipo de dado pessoal, desde a coleta até a eliminação, passando por armazenamento, uso, reprodução, edição, classificação, compartilhamento, transmissão, arquivamento, avaliação, recebimento, modificação, transferência, publicação, dentre outras.
Dado pessoal: tudo que possa identificar ou tornar identificável uma pessoa natural. Esses dados podem identificar direta (dado pessoal direto) ou indiretamente (dado pessoal indireto).
Dados pessoais sensíveis: Informações que podem implicar em algum tipo de risco, ameaça, discriminação ou constrangimento ao titular. São dados sensíveis informações como orientação sexual, credo religioso, filiação partidária, origem étnica ou racial, dados de saúde, dados genéticos e resultados de exames clínicas, por exemplo.
Dado anonimizado: dado relativo a um titular que não possa ser identificado, considerando a utilização de meios técnicos ou administrativos que excluam a relação entre uma informação e a pessoa sobre a qual revela um dado;
Titular: Pessoa Natural (Pessoa Física) a qual se refere um dado pessoal.
Banco de Dados: a base estruturada de dados, pessoais ou não, desenvolvida e utilizada pela empresa em suas atividades profissionais.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
Agentes de Tratamento: O controlador e o operador numa atividade de processamento de dados;
Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
Relatório de Impacto à Proteção de Dados: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
Autoridade Nacional: Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
4. PRINCÍPIOS BÁSICOS SOBRE TRATAMENTOS DE DADOS PESSOAIS
Boa-fé: Em nenhuma hipótese ou condição o tratamento de dados pessoais executado pela iTFLEX ou seu corpo de funcionários, colaboradores e parceiros, terá finalidade de prejudicar o titular do dado pessoal;
Finalidade: Todo tratamento de dados pessoais ocorrido nas atividades da iTFLEX terá um legítimo propósito, especificamente determinado e sujeito à prévia informação dos titulares;
Adequação: Os dados pessoais serão tratados de forma adequada ao propósito que se destinam, sendo expressamente vedado o tratamento de dados com desvio de finalidade;
Necessidade: Os dados a serem tratados serão reduzidos ao mínimo necessário para atingimento de determinada finalidade, sendo vedada a utilização desproporcional ou excessivo de dados de natureza pessoal;
Livre acesso: A iTFLEX se compromete a disponibilizar a pessoas naturais, gratuita e rapidamente, acesso a informações sobre a existência ou não de tratamento de dados pessoais de sua titularidade, bem como esclarecimentos sobre forma e especificações sobre tais atividades;
Qualidade de Dados: Ao tratar dados pessoais a iTFLEX adotará as medidas necessárias para garantir que tais informações sejam utilizadas com integridade, clareza e exatidão, de acordo com a necessidade e para o cumprimento da finalidade do seu tratamento;
Transparência: A iTFLEX se compromete a prestar informações claras, objetivas e assertivas sobre as atividades de tratamento de dados, se comprometendo, ainda, a disponibilizar tais informações em meios de fácil acesso;
Segurança: A iTFLEX se obriga a avaliar o emprego dos melhores esforços e medidas técnicas e organizacionais voltadas à efetivamente prover proteção dos dados pessoais necessários para execução de suas atividades legítimas, adotando critérios de controle de acesso e registros de atividades, a fim de assegurar confidencialidade, integridade e disponibilidade controlada às informações;
Prevenção: Nas atividades que envolvem tratamento de dados pessoais a iTFLEX adotará medidas preventivas para que incidentes com dados pessoais não ocorram, cuidando para que estas práticas de prevenção sejam recorrentemente revisadas;
Não discriminação: A iTFLEX ou seus quadros de funcionários, colaboradores, sócios, parceiros e prestadores de serviços não adotarão tratamento de dados de pessoais com finalidades discriminatórias;
Responsabilização e prestação de contas (Accountability): Na operação de atividades que envolvem tratamento de dados pessoais a iTFLEX cuidará de implementar medidas técnicas e gerenciais capazes de assegurar e demonstrar o cumprimento das determinações decorrentes de lei e de suas políticas de segurança da informação e de proteção de dados pessoais.
5. CRIANDO PROTEÇÃO DE DADOS EM ATIVIDADES DE NEGÓCIO
Para demonstrar conformidade com os princípios de proteção de dados, a iTFLEX deve incorporar a proteção de dados em todas as suas atividades. Implementado os princípios de proteção de dados pessoais em suas atividades de negócios, a iTFLEX cuidará de observar os seguintes critérios.
5.1 Finalidades legítimas de tratamento:
A iTFLEX somente poderá tratar dados pessoais se configuradas as seguintes hipóteses:
(i) mediante o fornecimento de consentimento do titular;
(ii) para o cumprimento de obrigação legal ou regulatória pelo controlador;
(iii) quando necessário para a execução de contrato ou de procedimento preliminares relacionados a contrato do qual parte o titular, a pedido do titular dos dados;
(iv) para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei da Arbitragem);
(v) para proteção da vida ou da incolumidade física do titular ou de terceiros;
(vi) quando necessário para atender aos interesses legítimos da iTFLEX ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
(vii) para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Como regra geral, a iTFLEX não promoverá tratamento de dados sensíveis. As exceções ocorrerão nas hipóteses de:
(i) quando o titular consentir de forma específica e expressa para fins específicos;
(ii) para cumprimento de obrigação legal ou regulatória;
(iii) para compartilhamento de dados necessários à execução de políticas públicas por parte da Administração Pública;
(iv) para exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo ou arbitral;
(v) para proteção da vida ou da incolumidade física do titular ou terceiro;
(vi) para garantir prevenção à fraude e segurança do titular, em processos de identificação e autenticação de cadastro em sistemas eletrônicos, ressalvados os direitos dos titulares e o respeito às liberdades fundamentos dos titulares.
5.2 Direitos dos Titulares
É compromisso da iTFLEX a observância e promoção dos direitos dos titulares de dados pessoais. Além do tratamento de dados com observância dos direitos fundamentais de liberdade, intimidade e privacidade, a iTFLEX e seus sócios, funcionários, colaboradores, parceiros e prestadores de serviços asseguração o respeito aos seguintes direitos especiais dos titulares:
(i) confirmação da existência de tratamento;
(ii) livre e gratuito acesso aos dados;
(iii) correção de dados incompletos, inexatos ou desatualizados;
(iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei Geral de Proteção de Dados Pessoais;
(v) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
(vi) eliminação dos dados pessoais tratados com base em consentimento do titular;
(vii) informação sobre as entidades públicas e privadas com as quais a iTFLEX realizou uso compartilhado de dados;
(viii) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
(ix) revogação do consentimento, nos termos do § 5º do art. 8º desta Lei;
(x) direito de oposição ao tratamento efetuado em umas hipóteses que dispensem consentimento.
No propósito de assegurar o atendimento desses direitos a iTFLEX implementará e cuidará de manter atualizado uma Política de Atendimento ao Titulares de Dados.
5.3 Notificação para os titulares dos dados
Os titulares de dados pessoais deverão ser notificados pela iTFLEX em atenção aos princípio da transparência, responsabilidade e prestação de contas sempre que verificada uma ou mais das seguintes hipóteses:
(i) a coleta de um dado até então inexistente na empresa; e
(ii) a ocorrência de fatos que possam representar algum risco à privacidade e/ou segurança dos titulares.
A notificação deverá ser promovida previamente ao tratamento de dados pessoais, o que se concretiza pelos avisos de privacidade em operações que envolverão a coleta de dados pessoais de clientes, usuários ou de terceiros que se relacionem com a iTFLEX de qualquer forma.
Na hipótese de incidentes de segurança com envolvam a potencial violação de dados pessoais, a iTFLEX promoverá a notificação dos titulares comunicando o ocorrido de forma clara e objetiva, seguindo procedimento determinado em Plano de Gestão e Resposta a Incidentes.
5.4 Escolha e consentimento do titular dos dados:
Na eventual utilização de dados pessoais amparadas na hipótese de legalidade do Consentimento, a iTFLEX deverá adotar avaliação prévia de procedimentos que outorguem aos titulares a liberdade de escolha sobre os tipos, duração e propósito de tratamento, de forma a caracterizar o consentimento livre, informação e prévio.
5.5 Coleta e obtenção de dados pessoais
Cada operação que envolva a coleta e obtenção de dados pessoais passará pela prévia validação do Comitê de Privacidade e Proteção de Dados da iTFLEX, o qual certificará a identificação de um propósito legítimo, de uma finalidade legalmente prevista para o tratamento, que os dados coletados são realmente necessários para realização da finalidade a que se propõem, se há fluxo de dados previamente descrito e se o armazenamento será adequado.
O Comitê validará, ainda, as medidas técnicas e organizacionais de segurança. Por fim, o Comitê validará se há mecanismo válido de obtenção de consentimento (caso seja esta a hipótese de legalidade) ou se há relatório de impacto à proteção de dados com teste de proporcionalidade prévio ao tratamento de dados com base em interesses legítimos (caso seja esta a hipótese de tratamento).
5.6 Uso, retenção e descarte
A iTFLEX deverá promover tratamento de dados pessoais com utilização adequada, nos termos das leis vigentes. Nesse propósito, adotará medidas técnicas que assegurem que os dados serão armazenados em ambiente seguro e com garantia de confidencialidade, integridade e disponibilidade. O Comitê em conjunto com o CTO deverão validar a presença destes requisitos e implementar, sempre que entender necessário, ajustes, correções e melhorias.
O Armazenamento de dados deverá ocorrer em formato que possibilite o atendimento de solicitações dos titulares ou das autoridades responsáveis pela fiscalização de tratamento de dados pessoais.
5.7 Compartilhamento de dados pessoais
Na hipótese de ocorrer necessidade de compartilhamento de dados pessoais com terceiros, operadores (ou processadores) ou mesmo co-controladores, a iTFLEX avaliará a necessidade de comunicar previamente os titulares eventualmente interessados ou sujeitos do tratamento.
Sempre que a ITFLEX usar um fornecedor ou parceiro de negócios para tratar dados pessoais em seu nome, o Comitê deverá garantir que este operador forneça medidas de segurança adequadas aos riscos associados para proteger os dados pessoais. Para esse fim, a iTFLEX avaliará cuidadosamente a conformidade do terceiro com a Lei Geral de Proteção de Dados Pessoais.
A iTFLEX exigirá contratualmente que o terceiro, co-controlador, operador (ou processador), fornecedor ou parceiro de negócios, forneça o mesmo nível de proteção de dados pessoais. Eles devem tratar apenas aqueles dados pessoais necessários para cumprir suas obrigações contratuais com a iTFLEX ou mediante instruções da iTFLEX, nunca para quaisquer outros fins. Quando a iTFLEX tratar dados pessoais em conjunto com um terceiro independente, deve documentar explicitamente suas respectivas responsabilidades.
5.8 Transferência internacional de dados pessoais
Na execução de suas atividades, alguns dos processadores diretos e indiretos de dados pessoais de interesse e controle da iTFLEX poderão estar fora do território brasileiro. A iTFLEX se compromete a zelar e exigir o cumprimento das exigências legais decorrentes das normas de proteção de dados pessoais destes terceiros com atuação extraterritorial. Em especial, a iTFLEX se compromete a exigir de terceiros a assinatura de Compromisso com Segurança da informação e Proteção de Dados Pessoais.
A organização do exterior que receber os dados pessoais deve cumprir os princípios de tratamento de dados pessoais estabelecidos no Procedimento de Transferência de Internacional de Dados Pessoais.
A iTFLEX providenciará que tanto os clientes quanto possíveis interessados em contato direto (via canais de relacionamento) tenham a possibilidade de prévio acesso a informações acerca da possibilidade de transferência internacional de dados pessoais por meio de publicação de Políticas de Privacidade.
5.9 Atendimento de Direitos dos Titulares - Acesso, Retificação, Portabilidade
As solicitações de titulares de dados pessoais tratados ou não pela iTFLEX serão direcionadas ao Comitê através do e-mail privacidade@itflex.com.br, que promoverá as diligências necessárias para que a resposta seja fornecida de forma ágil, precisa e clara.
No propósito de assegurar o cumprimento desses direitos o Comitê deve se certificar de que os processos e operações com tratamento de dados pessoais tenham sido auditados a fim de mapear o local de armazenamento destes dados, com informações relacionadas a finalidades, embasamentos legais, tempo de duração do tratamento, se houve ou não houve compartilhamento de dados pessoais, a forma de obtenção de consentimento (se for o caso), e outras informações a serem exigidas pelas normas e pelas autoridades de proteção de dados pessoais.
O Comitê deverá manter os registros de tratamento de dados pessoais atualizados e completos a fim de facilitar a execução de suas atividades. O Comitê avaliará ainda a adoção de ferramentas de varredura e controle de gestão de dados pessoais, se necessário.
O mecanismo de acesso ao titular, o qual permitirá informações sobre os seus dados, está detalhado na Política de Atendimento ao Titular de Dados Pessoais.
5.10 Direito a exclusão dos dados
Mediante solicitação, os titulares dos dados têm o direito à exclusão dos seus dados pessoais, ressalvada a manutenção dos dados necessários ao cumprimento de dever legal e ao exercício do direito de defesa em processo judicial e/ou administrativo.
A iTFLEX assegura que, encerrada a relação contratual ou revogado o consentimento para tratamento dos dados, as informações de natureza pessoal, coletadas e armazenadas, serão eliminadas, ressalva feita à manutenção dos registros necessários ao cumprimento de dever legal ou para eventual defesa em processo judicial ou administrativo, sendo que nem todo pedido de eliminação de dados pessoais poderá ser atendido.
6.DIRETRIZES LEGAIS DE TRATAMENTO
Os dados pessoais só devem ser tratados quando explicitamente autorizados pelo Comitê de Privacidade e Proteção de Dados da iTFLEX.
Para auxiliar a execução do Programa de Governança em Proteção de Dados Pessoais, os profissionais da iTFLEX deverão se atentar às seguintes diretrizes de instrumentação da conformidade.
6.1 Avisos aos titulares dos dados
No momento da coleta, ou antes de recolher dados pessoais para qualquer tipo de atividades de tratamento, incluindo, mas não limitado à venda de serviços ou atividades de marketing, o Comitê é responsável por informar adequadamente às pessoas em causa sobre:
(i) os tipos de dados pessoais coletados;
(ii) finalidades do tratamento;
(iii) base legal;
(iv) direitos dos titulares de dados em relação a seus dados pessoais;
(v) período de retenção;
(vi) possíveis transferências internacionais de dados;
(vii) se os dados serão compartilhados com terceiros e as
(vii) medidas de segurança adotadas pela iTFLEX para proteger os dados pessoais.
Sobre essas atividades de tratamento, o Comitê deve garantir que os titulares dos dados tenham sido notificados por meio de um Aviso de Privacidade.
Nos casos em que os dados pessoais estão sendo transferidos para um país terceiro, o Aviso de Privacidade deve refletir isso e indicar claramente para onde e para qual organização os dados pessoais estão sendo transferidos.
Nos casos em que dados pessoais sensíveis sejam coletados, o Encarregado deve garantir que o Aviso de privacidade indique explicitamente a finalidade para a qual esses dados pessoais sensíveis estão sendo tratados.
-> O Comitê é responsável por criar e manter um registro dos avisos de privacidade.
6.2 Avisos de Privacidade
No intuito de efetivar os princípios da boa-fé e transparência, e de manifestar previamente aspectos mais importantes do tratamento de dados pessoais para interessados em interagir com a iTFLEX sem qualquer vínculo contratual ou legal, a iTFLEX disponibilizará publicamente, em local de fácil acesso em seus canais de comunicação, a declaração de seus propósitos de tratamento com aviso de privacidade (Aviso de Privacidade) e, para os visitantes de seu(s) website(s), a Declaração de Uso de Cookies.
6.3 Obtenção do consentimento
Cada nova operação de tratamento de dados será previamente discutida e validada pelo Comitê. Se houver orientação no sentido de o tratamento ser legalmente embasado na hipótese de consentimento, o mecanismo de obtenção, registro e armazenamento do consentimento será previamente arquitetado e avaliado por uma equipe composta, no mínimo, por um profissional do jurídico e pelo encarregado, sugerindo-se ainda alguém da área interessada no tratamento de dados pessoais.
Sempre que o tratamento de dados pessoais for baseado no consentimento do titular dos dados ou em outros motivos legais, o Comitê será responsável por manter um registro desse consentimento.
O Comitê é responsável por fornecer aos titulares dos dados opções para fornecer o consentimento e deve informar e garantir que seu consentimento (nos casos em que o consentimento for usado como fundamento legal para o tratamento) possa ser retirado a qualquer momento.
Quando solicitações para corrigir, alterar ou destruir registros de dados pessoais, o Comitê deve garantir que essas solicitações sejam tratadas dentro de um prazo razoável. O Comitê também deve registrar as solicitações e manter um registro delas.
Os dados pessoais devem ser tratados apenas para os fins para os quais foram originalmente coletados.
Caso a iTFLEX deseje tratar os dados pessoais coletados para outro fim, deve buscar o consentimento de seus titulares por escrito, de forma clara e concisa. Qualquer solicitação desse tipo deve incluir a finalidade original para a qual os dados foram coletados, bem como a(s) finalidade(s) adicional(is). A solicitação também deve incluir o motivo da alteração da(s) finalidade(s).
O Comitê é responsável por cumprir as regras deste parágrafo.
6.4 Relatório de Avaliação de Impacto à Proteção de Dados Pessoais
A iTFLEX elaborará um Relatório de Impacto à Proteção de Dados Pessoais – RIPD – para cada atividade de tratamento de dados pessoais amparada na hipótese legal de atendimento de interesses legítimos.
Na medida do possível, a iTFLEX elaborará Relatórios de Impacto à Proteção de Dados Pessoais – RIPD – também para os tratamentos de dados pessoais amparados por outras hipóteses legais, tais como consentimento, cumprimento de dever legal e execução de contratos.
Cada RIPD será elaborado pelas partes interessadas no tratamento de dados pessoais e será orientado e validado pelo Comitê.
6.5 Registro de Atividades
Para cumprimento de exigência prevista em lei, a iTFLEX promoverá o registro constante e atualizado das atividades de tratamento de dados pessoais. Além disso, os registros objetivarão identificar as finalidades específicas, os processos e fluxos de dados, hipóteses de legitimidade, a observância dos princípios de proteção de dados pessoais e das diretrizes de segurança da informação.
Outro objetivo dos Registros de Atividades é avaliar a aderência das atividades da iTFLEX aos ditames legais e diretrizes internas de tratamento de dados com a proteção de dados de natureza pessoal, bem como adotar e aprimorar procedimentos de segurança da informação e de proteção de dados pessoais.
7. RESPONSABILIDADES INTERNAS
A responsabilidade de garantir o processamento adequado de dados pessoais é de todos que trabalham para ou com a iTFLEX e têm acesso aos dados pessoais tratados.
As principais áreas de responsabilidade pelo processamento de dados pessoais estão nas seguintes funções e estruturas organizacionais:
A direção da empresa tomará decisões acerca da Estratégia abrangente de privacidade e proteção de dados pessoais.
O Comitê LGPD na iTFLEX é o responsável pela gestão do programa de proteção de dados pessoais e pelo desenvolvimento e promoção de políticas de proteção de dados pessoais. O Comitê é composto por profissionais de diversos segmentos, com as atribuições a seguir elencadas em função de suas áreas de atuação.
O Departamento de Tecnologia da Informação da iTFLEX contará com equipe profissional e estrutura de TI capacitada a avaliar e implementar medidas técnicas e organizacionais de gestão da segurança das informações e de dados pessoais, assessorando o Encarregado na avaliação de riscos, na contratação de soluções de terceiros, na fiscalização de prestadores de serviços de tecnologia, na constante avaliação e aprimoramento das medidas de segurança, dentre outros.
A iTFLEX disponibilizará consultoria com conhecimento jurídicos aptos a responder com agilidade questões relacionadas à adequação de tratamento às exigências legais, assim como em elaborar, revisar, ajustar e validar hipóteses legais de tratamento, testes de proporcionalidade, avaliação de riscos, adequação de medidas técnicas e organizacionais, contratos de prestação de serviços de terceiros, contratos de trabalho, compromissos de confidencialidade e outros termos necessários à adequação e manutenção da conformidade com a proteção de dados pessoais.
8.GERENCIAMENTO DE INCIDENTES E VIOLAÇÃO DE DADOS
No propósito de viabilizar agilidade, detecção, repressão e reparação de danos em caso de incidentes, a iTFLEX estruturou procedimentos detalhados nos seguintes documentos:
-
Plano de Gestão e de Resposta a Incidentes
-
Registro de Violação de Dados
Em linhas gerais, tais procedimentos devem assegurar que a iTFLEX promoverá a identificação da ocorrência de um incidente de segurança de informação e apuração acerca de qualquer tipo de violação de dados, em especial, se houve vazamento de dados pessoais e se este envolve informações que possam colocar em risco a saúde, integridade, honra e privacidade de terceiros.
Diante de uma violação concreta ou até mesmo de uma suspeita de violação, o Comitê pelo Tratamento de Dados deverá conduzir investigação interna e tomar as medidas corretivas apropriadas em tempo hábil, de acordo com o Plano de Gestão e Resposta a Incidentes. Onde houver risco aos direitos e liberdades dos titulares dos dados, a iTFLEX deve notificar as autoridades competentes em matéria de proteção de dados, em prazo razoável, conforme definido pela autoridade nacional.
Em se detectando que o incidente teve gravidade média ou alta, o Comitê providenciará a comunicação da Alta Direção e das Autoridades Cabíveis, em especial a Autoridade Nacional de Proteção de Dados Pessoais, caso se note que dados de natureza pessoal tenham sido violados de qualquer forma.
Em sendo apurado que dados pessoais de titulares que representem algum tipo de risco, ainda que em menor grau, tenham sido violados, o Comitê da iTFLEX cuidará de formalizar a notificação dos titulares, disponibilizando canal para obtenção de informações adicionais e cuidando de prestar atualizações, apoio e suporte contínuo.
A iTFLEX disponibilizará Canal de Denúncias, por meio do e-mail privacidade@itflex.com.br, veículo pelo qual eventuais vulnerabilidades, riscos ou incidentes não percebidos pela iTFLEX poderão ser comunicados por empregados, clientes ou terceiros.
9.AUDITORIA E PRESTAÇÃO DE CONTAS
Os membros do Comitê LGPD em conjunto com o departamento de Tecnologia da Informação serão responsáveis pela auditoria de quão bem as áreas de negócios da iTFLEX implementam esta Política.
Qualquer funcionário que violar esta Política estará sujeito a ação disciplinar e o empregado também poderá estar sujeito a responsabilidades civis ou criminais se sua conduta violar leis ou regulamentos.
10.CONFLITOS DE LEIS
Na eventual hipótese de conflito ou divergência entre as disposições da Política de Proteção de Dados e as disposições das Leis de Proteção de Dados Pessoais ou diretivas emanadas por autoridades nacionais de proteção de dados ou autoridades supervisoras, prevalecerão as disposições contidas nos estatutos de natureza legislativa/regulatória.
11.VALIDADE E GERENCIAMENTO DO DOCUMENTO
Este documento é válido a partir de 01 de agosto de 2021.
O proprietário deste documento é o Comitê LGPD , que deve verificar e, se necessário, atualizar o documento pelo menos uma vez por ano.