Version 6.0 • 04/01/2024 • Reviewed by Melissa Pulice, Head of Legal
DPO/Encarregado: Lopes Digital
privacidade@zarv.com
POLÍTICA DE PRIVACIDADE
Versão 01 • 11/01/2024 • Conferida por Lopes Digital (DPO as a Service)
1 OBJETIVOS
A Zarv do Brasil Ltda. (“ZARV” ou “Organização”) entende que a privacidade é um direito fundamental da pessoa natural e, por isso, é necessário garantir a gestão sistemática e efetiva de todos os aspectos relacionados à proteção de dados pessoais e dos direitos dos titulares no desenvolvimento de sua atividade profissional.
Dessa forma, a Zarv institui a presente Política de Privacidade e Proteção de Dados Pessoais (“Política”) a fim de promover uma cultura alinhada à privacidade e à proteção dos dados pessoais e fortalecer seu compromisso com os padrões de ética e de probidade que regem sua atuação profissional, a contínua valorização dos seus profissionais, clientes e parceiros e a satisfação das exigências estabelecidas pela Lei Geral de Proteção de Dados Pessoais (“LGPD”).
2 ESCOPO
Considerados os requerimentos legais, regulatórios, contratuais e técnicos a que se acha sujeita, a Zarv estabelece que o escopo da presente Política inclui todos os departamentos da empresa, os ativos de rede e de tecnologia da informação de que se utilizam e as atividades e processos que eles executam no cumprimento do objeto social da organização.
Eventuais exceções ao escopo desta Política não implicam a ausência de controles e medidas técnicas e administrativas apropriadas no departamento(s), atividade(s) e/ou processo(s) e ativo(s) de rede e de tecnologia da informação.
3 TERMOS E DEFINIÇÕES
a) Agente de Tratamento: O controlador e o operador.
b) Autoridade Nacional de Proteção de Dados (“ANPD”): Autarquia federal responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.
c) Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
d) Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
e) Titular dos dados pessoais: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
f) Encarregado pelo Tratamento de Dados Pessoais (“Encarregado”): Pessoa (física ou jurídica) indicada pelo controlador e operador para atuar como canal de comunicação entre o agente de tratamento, os titulares dos dados e a ANPD.
g) Dado pessoal: Qualquer informação que seja relacionada à pessoa natural identificada ou identificável. O conceito abrange informações que diretamente identificam o titular, como nome, RG, CPF e endereço, bem como as que indiretamente identificam o titular, como dados de localização e demais identificadores eletrônicos.
h) Dado pessoal sensível: Dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
i) Tratamento de dados pessoais: Toda e qualquer operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
4 PAPÉIS E RESPONSABILIDADES
A Zarv dispõe de dupla linha de atuação em privacidade e proteção de dados. Na primeira linha, figuram os apoiadores de privacidade responsáveis por zelar pela correta execução do programa de governança em privacidade e proteção de dados e prestar apoio e suporte à atividade do Encarregado. Já a segunda linha é composta pelo Encarregado pelo tratamento de dados pessoais.
4.1 Apoiadores de privacidade
Descrição: Cada área da Zarv contará com um apoiador de privacidade, que funcionará como o ponto focal da respectiva área junto ao Encarregado. O apoiador de privacidade é responsável por promover, no âmbito da respectiva competência, a observância das políticas, normas e procedimentos que compõem a o programa de governança em privacidade e proteção de dados da Zarv.
Responsabilidades:
• Observar fielmente a Política e demais instrumentos da governança em privacidade e proteção de dados pessoais;
• Apoiar a atualização do registro das operações de tratamento de dados pessoais, no âmbito das respectivas atribuições;
• Apoiar a identificação, avaliação e gestão de riscos em privacidade e proteção de dados, sob a orientação do Encarregado, no âmbito das respectivas atribuições;Apoiar as medidas técnicas, administrativas e organizacionais necessárias para conformidade com a LGPD e as leis de proteção de dados pessoais aplicáveis, no âmbito das respectivas atribuições;Apoiar relativamente à realização de Relatório de Impacto à Proteção de Dados Pessoais e a Avaliação de Legítimo Interesse, bem assim outras avaliações e relatórios que se fizerem necessários, sob orientação do Encarregado, no âmbito das respectivas atribuições;Promover a participação das campanhas de conscientização e treinamentos sobre temas correlatos à privacidade, proteção de dados e segurança da informação;Comunicar ao Encarregado qualquer evento que viole a Política, os demais instrumentos da estrutura de governança da Zarv ou resulte ou possa vir a resultar em incidente de segurança envolvendo dados pessoaisDe qualquer outro modo, apoiar o Encarregado no desempenho das suas atribuições.
4.2 Encarregado pelo Tratamento de Dados Pessoais Descrição: A ZARV assegura que o Encarregado, com perfil e experiência profissional compatíveis com a sensibilidade, volume e complexidade das operações de tratamento de dados pessoais realizadas pela organização, goza da autonomia operacional necessária ao desempenho de suas atribuições, observados os papéis e responsabilidades descritos, e garantido o envolvimento tempestivo e adequado nos temas relativos à proteção da privacidade e de dados pessoais.
Responsabilidades: O Encarregado é responsável, especificamente, por:Aconselhar e recomendar sobre a interpretação e aplicação da LGPD e as leis de proteção de dados pessoais aplicáveis, inclusive sobre os deveres da Zarv e de seus colaboradores e fornecedores nesse sentido, de forma a promover o programa de governança em privacidade e proteção de dados; Aconselhar a adoção das medidas técnicas, administrativas e organizacionais necessárias para conformidade com a LGPD e as leis de proteção de dados pessoais aplicáveis; Aconselhar relativamente ao registro das atividades de tratamento de dados pessoais; Aconselhar relativamente à realização de Relatório de Impacto à Proteção de Dados Pessoais e a Avaliação de Legítimo Interesse, bem assim outras avaliações e relatórios que se fizerem necessários; Aconselhar relativamente à identificação e análise de risco relativo ao tratamento de dados pessoais, inclusive quando houver transferência internacional;Aconselhar relativamente a análise de acordos de tratamento de dados pessoais, inclusive quando houver transferência internacional;Orientar os colaboradores e os contratados da Empresa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; Auxiliar no treinamento e conscientização dos funcionários e, quando o caso, de terceiros contratados, a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; Monitorar o cumprimento e a adequação das medidas técnicas e organizacionais adotadas pela Empresa, bem como o nível de conformidade com as normas de proteção de dados aplicáveis; Aconselhar e adotar, nos limites de sua competência, as providências necessárias quando da ocorrência de violações de dados pessoais, em conformidade com os prazos legais, inclusive quanto à elaboração da comunicação de incidente de segurança com dados pessoais; Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, em conformidade com os prazos legais; Receber comunicações da ANPD e adotar providências, em conformidade com os prazos legais; Executar as demais atribuições determinadas ou estabelecidas em normas complementares.
4.3 Colaboradores
Descrição: Os colaboradores são responsáveis por apoiar a gestão eficiente da governança em privacidade e proteção de dados, respeitadas as respectivas competências, mediante cumprimento do procedimento estabelecido nesta Política e demais instrumentos aplicáveis.
Responsabilidades:Observar fielmente a Política e demais instrumentos da governança em privacidade e proteção de dados pessoais;Auxiliar, quando requisitados e no âmbito das respectivas atribuições, o Encarregado ou os apoiadores de privacidade;Participar das campanhas de conscientização e treinamentos conduzidos pela equipe de privacidade; Comunicar ao Encarregado qualquer evento que viole a Política, os demais instrumentos da estrutura de governança da Zarv ou que resulte ou possa vir a resultar em incidente de segurança envolvendo dados pessoaisDe qualquer outro modo, apoiar o Encarregado no desempenho das suas atribuições.
5 NORMAS GERAIS PARA AS OPERAÇÕES DE TRATAMENTO DE DADOS
A gestão da governança em privacidade e proteção de dados pessoais apoia-se nas diretrizes estabelecidas nesta Política e nos seguintes instrumentos, os quais disciplinarão os respectivos temas no âmbito da Organização:Normativo para monitoramento do programa de privacidade;Normativo para gestão de riscos de terceiros em privacidade e proteção de dados pessoais;Normativo para gestão das petições dos titulares de dados pessoais;Normativo para gestão de riscos em privacidade e proteção de dados pessoais;Normativo para aplicação da privacidade por design;Normativo para gestão de Relatório de Impacto à Proteção de Dados;Normativo para gestão da Avaliação de Legítimo Interesse;Normativo para gestão de incidente de segurança envolvendo dados pessoais.
6 PRINCÍPIOS ORIENTADORES DO TRATAMENTO DE DADOS PESSOAIS
A ZARV reconhece a importância dos princípios para a garantia de proteção da privacidade e dos dados pessoais dos titulares, assim como para a salvaguarda da conformidade da Organização. Diante disso, a Zarv adere e replica o conjunto de princípios que orientam as suas operações de tratamento de dados pessoais.
6.1 Legalidade, finalidade e boa-fé
A Zarv assegura que o tratamento dos dados pessoais é realizado de forma lícita, justa e compatível com os padrões sociais de ética, correção e transparência, respeitadas as legítimas expectativas nela depositadas, para atender objetivos bem determinados.
6.2 Adequação e Necessidade
A Zarv assegura que o tratamento dos dados pessoais é realizado de forma compatível e com o emprego dos dados estritamente necessários para alcançar a finalidade previamente informada ao titular dos dados pessoais. Assim, a Organização não realiza e não admite a realização de tratamento posterior dos dados pessoais para finalidades novas, distintas ou incompatíveis com o propósito original, salvo quando comunicado ao titular ou se tratar de hipótese admitida pela LGPD. Do mesmo modo, a Zarv não utiliza e não admite a utilização de dados excessivos, desproporcionais ou não necessários em relação ao propósito que ensejou o tratamento dos dados pessoais. Desse modo, a Zarv assegura a retenção dos dados pessoais pelo tempo estritamente necessário para atender à finalidade que ensejou a operação de tratamento realizada pela Organização, excetuadas as hipóteses legais estabelecidas na LGPD.
6.3 Livre acesso, qualidade e transparênciaA Zarv assegura ao titular de dados o acesso facilitado às informações relativas ao tratamento de seus dados pessoais.Além disso, a Zarv garante ao titular dos dados pessoais a consulta facilitada e gratuita à integralidade dos seus dados pessoais objetos de tratamento pela Organização. Por fim, a Zarv se compromete a garantir a exatidão, a clareza, a relevância e a atualização dos dados pessoais objetos de tratamento, considerada a respectiva finalidade, dentro dos limites da responsabilidade da Organização.
6.4 Não discriminação
A Zarv não realiza e não admite a realização de tratamento de dados pessoais com fins discriminatórios, ilícitos ou abusivos, independentemente da qualidade ou das categorias dos dados pessoais envolvidos, da forma e dos recursos tecnológicos utilizados pela Organização.
6.5 Segurança, prevenção e responsabilização
A Zarv assegura a adoção de medidas organizacionais e técnicas aptas a garantir a proteção da privacidade e dos dados pessoais dos indivíduos, a fim de prevenir ou minimizar riscos e danos eventualmente decorrentes do tratamento para os titulares interessados e para a Organização.Igualmente, a Zarv assegura a adoção de medidas eficientes e capazes de demonstrar a observância e a estrita conformidade com a LGPD, cuja supervisão caberá ao Encarregado, nos limites dos papéis e responsabilidades descritos em sua estruturação.
7 CONFIDENCIALIDADE
A Zarv entende que os dados pessoais são, por definição, classificados como confidenciais. Diante disso e a fim de garantir a necessária confidencialidade em todas as etapas do tratamento, a Zarv dispõe de procedimentos e mecanismos que facultam o acesso aos dados pessoais aos colaboradores, colaboradores terceirizados e operadores de acordo com a necessidade , conforme o caso, estritamente para garantir o desenvolvimento seguro e eficaz das correspondentes responsabilidades e garantindo o sigilo mediante a celebração de acordos de não confidencialidade e mecanismos eficazes de seu cumprimento.
8 DIREITOS DOS TITULARES DOS DADOS PESSOAIS
A Zarv assegura o respeito e viabiliza os mecanismos adequados ao exercício dos direitos conferidos aos titulares dos dados pessoais pela LGPD, na forma do normativo para gestão das petições dos titulares de dados pessoais.
9 SANÇÕES
As violações, mesmo que por mera omissão ou tentativa não consumada, desta Política, bem como demais instrumentos da estrutura de governança serão devidamente apuradas e podem resultar na aplicação de penalidades. Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em riscos aos titulares de dados pessoais, ou dano à Zarv, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes, sem prejuízo daquelas descritas acima.
10 CANAL DE COMUNICAÇÃO
A ZARV adota o seguinte endereço como canal de comunicação para comunicações versando sobre a governança em privacidade e proteção de dados: privacidade@zarv.com
11 MANUTENÇÃO E ATUALIZAÇÃO
A Zarv reserva-se o direito, a seu próprio critério e prazo, de excluir, modificar, suprimir ou complementar as diretrizes estabelecidas nesta política. A validade deste documento é indeterminada. Não há um prazo definido para a expiração do documento. Esta Política entrará em vigor na data de sua emissão.
12 ANEXOS
Esta Política é complementada pelos seguintes anexos:
ANEXO I – INDICAÇÃO DO ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS
ANEXO II – INDICAÇÃO DOS APOIADORES DE PRIVACIDADE
ANEXO I – INDICAÇÃO DO ENCERREGADO PELO TRATAMENTO DE DADOS PESSOAISZARV DO BRASIL LTDA, sociedade empresária limitada, inscrita no CNPJ sob o n.º 46.661.574/0001-01, com sede na Rua Doutor Vicente de Finis Neto, 65, Altos do Esplanada São Jose dos Campos, SP, CEP: 12.246-011, Brasil.INDICA MELISSA POLICE para exercer a função de ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS de acordo com o art. 41 da Lei Geral de Proteção de Dados Pessoais, doravante “LGPD”.
1. Do papel do Encarregado. O Encarregado será responsável por gerenciar o programa de conformidade com a Lei Geral de Proteção de Dados Pessoais – Lei n.º 13.709, de 14 de agosto de 2018, bem assim com as demais normas de proteção de dados pessoais eventualmente aplicáveis.
2. Do escopo de atuação. O Encarregado desempenhará a função nos limites da atuação da Zarv do Brasil LTDA e das respectivas filiais já constituídas, se existentes, e das que vierem a ser constituídas durante a vigência do presente Acordo.
3. Das atribuições. Sem prejuízo de outras que se fizerem necessárias, o Encarregado será responsável por cumprir as seguintes atribuições:
3.1 Aconselhar e recomendar sobre a interpretação e aplicação da LGPD e as leis de proteção de dados pessoais aplicáveis, inclusive sobre os deveres da Zarv e de seus colaboradores nesse sentido, de forma a promover o programa de governança em privacidade e proteção de dados;
3.2 Aconselhar a adoção das medidas técnicas, administrativas e organizacionais necessárias para conformidade com a LGPD e as leis de proteção de dados pessoais aplicáveis
3.3 Aconselhar relativamente ao registro das operações de tratamento de dados pessoais;
3.4 Aconselhar relativamente à realização de Relatório de Impacto à Proteção de Dados Pessoais e a Avaliação de Legítimo Interesse, bem assim outras avaliações e relatórios que se fizerem necessários;
3.5 Aconselhar relativamente à identificação e análise de risco relativo ao tratamento de dados pessoais, inclusive em sede de transferência internacional de dados pessoais;3.6 Aconselhar relativamente a análise de acordos de tratamento de dados pessoais, inclusive em sede de transferência internacional de dados pessoais;
3.7 Orientar os colaboradores e os contratados da Empresa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
3.8 Auxiliar no treinamento e conscientização dos funcionários a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
3.9 Monitorar o cumprimento e adequação das medidas técnicas e organizacionais adotadas pela Empresa, bem como o nível de conformidade com as normas de proteção de dados aplicáveis;
3.10 Aconselhar e adotar, nos limites de sua competência, as providências necessárias quando da ocorrência de violações de dados pessoais, em conformidade com os prazos legais, inclusive quanto à elaboração da comunicação de incidente de segurança com dados pessoais;
3.11 Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, em conformidade com os prazos legais;
3.12 Receber comunicações da autoridade nacional e adotar providências, em conformidade com os prazos legais;
3.13 Executar as demais atribuições determinadas ou estabelecidas em normas complementares.
4. Das garantias. O Encarregado gozará das garantias descritas no presente documento, atribuídas em função do cargo e exercitáveis nos limites necessários ao cumprimento das atribuições estabelecidas pela LGPD, das leis de proteção de dados pessoais aplicáveis e deste documento
4.1. Envolvimento tempestivo e adequado. O Encarregado será informado de forma adequada e o mais brevemente possível acerca das questões relacionadas à privacidade e proteção de dados pessoais enfrentadas pela Zarv.
4.2. Autonomia operacional. O Encarregado cumprirá as respectivas atribuições de forma autônoma e desimpedida, sendo-lhe vedado receber quaisquer tipos de instruções relativas ao desempenho do cargo. O Encarregado, embora dotado de autonomia operacional, permanecerá sujeito às leis trabalhistas, cíveis e quaisquer outras aplicáveis, bem assim às normas de governança corporativa da Zarv.
4.3. Recursos. O Encarregado será aparelhado com os meios necessários ao cumprimento das respectivas atribuições, o que inclui, mas não se restringe, ao acesso livre e desembaraçado a todos os setores da Zarv, infraestrutura apropriada, treinamento contínuo e orçamento adequado, conforme a capacidade, limites e planejamento estratégico da Organização. Para os fins desta previsão, também se incluem os serviços de aconselhamento ou legal opinion, ofertados por escritórios de advocacia inscritos na Ordem dos Advogados do Brasil, assim como outras opiniões e pareceres técnicos de áreas especializadas de conhecimento, inclusive de segurança da informação e cybersegurança.
5. Confidencialidade. O Encarregado cumprirá as respectivas atribuições amparado por sigilo e confidencialidade que:
5.1 Com relação à Zarv, será aplicável com base na “necessidade de saber”, de tal modo que o Encarregado deverá avaliar a conveniência e a necessidade de publicizar informações;
5.2. Com relação a terceiros, terá caráter absoluto, salvo quando se tratar de atendimento à ordem legal ou regulatória ou quando expressamente autorizado pela Zarv.
6. Do reporte. O Encarregado se reportará diretamente à presidência da Zarv.
7. Da equipe de suporte. O Encarregado poderá contar com uma equipe de apoio e suporte para o fim de bem desempenhar sua função.
7.1 A equipe de suporte obedecerá ao quanto disposto no presente documento, inclusive quanto aos deveres e garantias gozáveis.
8. Dos conflitos de interesse. O Encarregado desempenhará a função livre de conflitos de interesse capazes de elidir a autonomia necessária ao exercício das atribuições conferidas pela LGPD, leis de proteção de dados aplicáveis e por este documento.
8.1 Entende-se por conflito de interesse a circunstância do Encarregado desempenhar, na Empresa, outro cargo que: a) Resulte na determinação dos fins e dos meios da operação de tratamento de dados pessoais;
b) Enseja a existência de “automonitoramento”, isto é, na circunstância do Encarregado ser “fiscal de si mesmo”, de forma a impossibilitar a supervisão e o aconselhamento adequados da área por qual é de qualquer maneira responsável, enquanto gestor ou líder;
c) Seja caracterizado por uma natureza excessivamente operacional, como, por exemplo, aquele sujeito a diversos níveis hierárquicos.
8.2 Na hipótese de cumulação da função de Encarregado com cargo de gestão ou liderança ou, ainda, de alta senioridade dotado de poder decisório, e com o objetivo de prevenir a ocorrência de conflito de interesse, o Encarregado deverá declarar a situação que implica em conflito de interesse, passando a atuar, para a atividade em específico, seu substituto. Alternadamente, na hipótese de não ser possível substituí-lo, deverá, enquanto gestor, líder ou funcionário sênior: Performar regularmente as análises, recomendações ou observações decorrentes do referido cargo; Submeter as análises, recomendações ou observações à Presidência a fim de que decidem pela adoção, ou não, das recomendações ou observações em análise; Efetuar o registro da submissão das análises, recomendações ou observações, assim como o registro do quanto decidido pela Presidência.
9. Do substituto. Nas ausências, impedimentos e vacâncias do Encarregado, a função será exercida por substituto formalmente designado, aplicando-lhes todos os deveres e garantias atrelados à função.
10. Do contato do Encarregado. A identidade e as informações de contato do Encarregado serão divulgadas publicamente no sítio eletrônico da Zarv: www.zarv.com
10.1 Sem prejuízo da publicização, a identidade e as informações de contato do Encarregado serão comunicadas internamente na Zarv a todos os colaboradores e contratados.
11. Efeitos. A indicação do Encarregado passa a produzir efeitos a partir da assinatura da carta de indicação.
12. Contrato de prestação de serviço. O presente Acordo não substitui o contrato de prestação de serviço ou o contrato de trabalho celebrado entre as Partes signatárias que dele passa a ser parte integrante no que este acordo for omisso.
13. Da aplicação da lei. Caso uma disposição deste Acordo seja considerada inválida, o Acordo como um todo continuará em vigor.
São José dos Campos, 11/01/2024
ANEXO II – INDICAÇÃO DOS APOIADORES DE PRIVACIDADE