A MARLUVAS reserva-se no direito de alterar esta Política de Proteção de Dados a qualquer momento, sem aviso.
Anonimização: Processo e técnica por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Dado anonimizado não é considerado Dado Pessoal.
Consentimento: Manifestação livre, informada e inequívoca pela qual o Titular concorda com o Tratamento de seus Dados Pessoais para uma finalidade determinada.
Controlador: Pessoa jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados Pessoais.
Dado(s) Pessoal(is): Qualquer informação relativa a uma pessoa singular identificada ou identificável, que pode ser identificada, direta ou indiretamente, por referência a um identificador como nome, número de identificação, dados de localização, identificador on-line ou a um ou mais fatores específicos a identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa natural.
Dado(s) Pessoal(is) Sensível(is): Todo Dado Pessoal que pode gerar qualquer tipo de discriminação, como por exemplo os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso. Dados que possam gerar um pré-conceito do titular
Documentação(ões) Orientadora(s): Documento(s) formal(is) da MARLUVAS que fornece(m) conteúdo sobre decisões, regras e orientações corporativas que são vitais para direcionar o trabalho da MARLUVAS com legitimidade, rastreabilidade e aplicabilidade e deve ser observado e praticado por um certo universo definido de Integrantes.
Encarregado de Proteção de Dados ou Data Protection Officer (“DPO”): Pessoa designada como encarregado formal/oficial de proteção de dados, conforme previsto nas leis de proteção de dados – LGPD, para um determinado território. O DPO pode ser um integrante ou uma pessoa terceirizada.
Integrante(s): Funcionários/empregados que trabalham na MARLUVAS em todos os níveis, incluindo executivos, conselheiros, diretores, estagiários e aprendizes.
LGPD: Lei Federal nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais (“LGPD”), que regula as atividades de Tratamento de Dados Pessoais.
Pseudoanonimização: Processos, métodos e técnicas por meio dos quais um dado tem sua possibilidade de associação dificultada a partir de um único dado. O dado Pseudoanonimizado é considerado Dado Pessoal tendo em vista a possibilidade de associação desse dado a uma pessoa natural.
Terceiro(s): Qualquer pessoa, física ou jurídica, que atue em nome, no interesse ou para o benefício da MARLUVAS, preste serviços ou forneça outros bens, assim como Parceiros comerciais que prestem serviços à MARLUVAS, diretamente relacionados à obtenção, retenção ou facilitação de negócios, ou para a condução de assuntos da MARLUVAS, incluindo, mas não se limitando a, quaisquer distribuidores, agentes, corretores, despachantes, intermediários, Parceiros de cadeia de suprimentos, consultores, revendedores, contratados e outros prestadores de serviços profissionais.
Titular(es) de Dados: Pessoa natural singular identificada ou identificável a quem se refere um Dado Pessoal específico.
Tratamento de Dados Pessoais ou Tratamento: Qualquer operação ou conjunto de operações efetuadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, por meios automatizados ou não automatizados, tais como a coleta, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
Esta Política de Proteção de Dados visa descrever o comportamento esperado de todos os colaboradores da MARLUVAS que usam e processam Dados Pessoais. Aborda-se também como o MARLUVAS e terceiros, agindo em seu nome, coletarão, manusearão, usarão, armazenarão, protegerão e processarão informações relacionadas (ou que possam estar relacionadas) a pessoas físicas identificadas ou identificáveis (“Dados Pessoais”), com o escopo de:
(i) Estar em conformidade com toda a legislação aplicável à proteção de dados, seguindo-se as melhores práticas de governança, mormente no que pertine à transparência;
(ii) Promover a educação e conscientização em toda a MARLUVAS em relação à Proteção de Dados Pessoais e políticas de privacidade
A presente política é aplicável à MARLUVAS e todas as suas unidades em território nacional, bem como a todos os integrantes, diretores, conselheiros, membros, colaboradores que acessem ou tenham acesso a quaisquer Dados Pessoais tratados pela MARLUVAS ou terceiros por ela determinados em seu nome.
Além disso, a presente aplica-se ao Tratamento de Dados Pessoais coletados no Brasil, independentemente se o tratamento ocorrer no Brasil ou Exterior.
O presente capítulo define os princípios a serem observados na coleta, manuseio, armazenamento, divulgação e tratamento de “Dados Pessoais pela MARLUVAS, para fins de atendimento e conformidade aos padrões legais e regulamentais de proteção de dados
3.1 Princípio da Legalidade e da transparência
A MARLUVAS tratará os DADOS PESSOAIS de forma transparente e em estrita conformidade e cumprimento dos normativos aplicáveis, não devendo usar os dados pessoais de forma a prejudicar os Titulares.
Os Titulares dos Dados deverão ser informados sobre como seus dados pessoais estão sendo ou serão tratados. Em geral, os dados pessoais devem ser coletados diretamente do indivíduo em questão. Quando forem coletados os Dados Pessoais, o Titular deverá ser cientificado, expressamente, sobre:
- A identidade do Controlador de Dados;
- O objetivo do processamento de dados;
- Terceiros ou categorias de terceiros a quem os Dados Pessoais podem ser transmitidos.
A MARLUVAS deverá obter o consentimento dos Titulares para tratamento de seus dados pessoais, assegurando que tal
consentimento seja concedido de forma especifica, livre e inequivocamente informada. Além disso, deverá a MARLUVAS coletar, armazenar e gerenciar todos os consentimentos de maneira organizada e acessível, para que a comprovação do consentimento possa ser fornecida quando necessário de forma eficaz e imediata.
Deverá, ainda, a MARLUVAS, informar ao Titular sobre a possibilidade de retirar seu consentimento a qualquer momento, destacando a possibilidade de manutenção dos dados na hipótese:
(i) Necessidade para a execução de um contrato do qual o Titular dos Dados é parte;
(ii) Exigência decorrente de lei ou regulamento ao qual a MARLUVAS está sujeita.
3.2 Limitação de Finalidade
A MARLUVAS somente poderá tratar dados pessoais quando a finalidade se enquadrar em alguma hipótese legal predefinida, não podendo ser tratados posteriormente de forma incompatível com a referida finalidade predeterminada.
Os fins específicos para os quais os Dados Pessoais são/serão processados devem ser explícitos, legítimos e determinados no momento da coleta dos Dados Pessoais. Assim, antes se de coletar Dados Pessoais, a MARLUVAS considerará cuidadosamente, em detalhes suficientes, os efeitos do processamento a que se destina.
Os dados obtidos com uma finalidade específica não devem ser utilizados para um fim que é incompatível com o objetivo identificado.
3.3 Necessidade ou Minimização de dados
A MARLUVAS deverá observar se os dados pessoais serão adequados, pertinentes e limitados à estrita finalidade. Apenas os dados pessoais necessários a cumprir com a finalidade para o qual é coletado deverão ser tratados. Assim, os dados pessoais deverão ser, para cumprimento da finalidade:
(i) Adequados e suficientes
(ii) Relevantes
(iii) Limitados ao necessário para cumprir com o objetivo de seu tratamento
3.4 Precisão e exatidão
A MARLUVAS deverá adotar todas as medidas razoáveis para assegurar que quaisquer Dados Pessoais por ela, ou terceiros em seu nome, tratados sejam mantidos precisos e, caso necessário, atualizados em relação às finalidades para as quais foram coletados.
Deverá, ainda, ser disponibilizado ao Titular do Dado Pessoal, de forma clara e precisa, seu direito de requerer a exclusão ou correção de dados imprecisos ou desatualizados.
3.5 Limitação de Armazenamento
A MARLUVAS deverá ter conhecimento de suas atividades de Tratamento, períodos de retenção estabelecidos em lei e demais regulamentos, bem como dos processos de revisão periódica, sendo vedado a manutenção dos Dados Pessoais por prazo superior ao necessário para atender as finalidades pretendidas.
Os Dados Pessoais serão mantidos de modo a permitir a identificação dos Titulares dos Dados não mais do que o necessário para as finalidades para as quais os dados pessoais são processados.
Os Dados Pessoais não devem ser mantidos por mais tempo do que o necessário para os fins para os quais são processados e em conformidade com os requisitos legais aplicáveis em matéria de retenção de documentos. Os Dados Pessoais devem ser destruídos, com registro rastreável, ou arquivados após o período de retenção quando não forem mais necessários para a atividade de Processamento.
3.6 Integridade e Confidencialidade
Os Dados Pessoais serão Processados de modo a garantir a segurança adequada dos Dados Pessoais, incluindo proteção contra processamento não autorizado ou indevido, e contra perda, destruição e danos acidentais, usando medidas técnicas e organizacionais adequadas.
Os Dados Pessoais deverão ser tratados de uma forma que garanta sua integridade, sendo mandatória a proteção a fim de alcançar e manter sua integridade. A Integridade de Dados Pessoais deve ser considerada para todo o ciclo de vida de um projeto ou processo.
A MARLUVAS deverá garantir que os Dados Pessoais não serão acessados por pessoas que não precisam dos mesmos. A MARLUVAS garantirá que os Dados Pessoais serão processados somente por agente autorizado. O Tratamento de Dados Pessoais também garantirá a devida confidencialidade, utilizando-se de medidas técnicas, tais como (Vide definições):
Anonimização: os Dados Pessoais são tornados anônimos, de tal forma que os dados não mais poderão ser ligados a uma pessoa direta ou indiretamente identificável. Para fins de anonimato, o processo deverá ser irreversível.
Pseudoanonimização: é um processo pelo qual os Dados Pessoais não mais se relacionam diretamente com uma pessoa identificável (por exemplo, mencionando seu nome). Todavia, não será anônimo, pois ainda será possível, com confrontações informações adicionais, mantidas separadamente, identificar o titular.
3.7 Responsabilização e Prestação de Contas
A Marluvas deverá ser capaz de demonstrar as medidas tomadas para garantir a conformidade com a LGPD, bem como demonstrar a eficácia destas medidas.
A Marluvas será responsável, como controladora, por demonstrar a sua conformidade com os princípios e normas estabelecidos para a proteção de dados, assegurando a completa implementação das seguintes medidas:
(i) Garantia de que os Titulares dos Dados Pessoais possam exercer os seus direitos;
(ii) estabelecer documentação, procedimentos e orientações claras, complementares a esta Política, assim como a privacidade e a proteção de dados, se necessário;
(iii) Manter Registro de Atividades de Processamento de Dados Pessoais, incluindo as seguintes:
(a) Registro com a descrição clara e precisa das finalidades do Tratamento de Dados Pessoais, os destinatários do compartilhamento dos Dados Pessoais e os prazos pelos quais a MARLUVAS deverá retê-los;
(b) Registro de incidentes de Dados Pessoais e violações de Dados Pessoais;
(c) Garantia de que os Terceiros que sejam Processadores de Dados Pessoais também estejam agindo de acordo com esta Política e com a legislação e regulamentação aplicáveis;
(d) Garantia de que a MARLUVAS, quando requerido, registre junto à Autoridade Supervisora aplicável um Encarregado de Dados ou DPO; e
(e) Garantia de que a MARLUVAS esteja cumprindo todas as exigências e solicitações de qualquer Autoridade de Supervisão à qual esteja sujeita.
O ponto de partida de uma política de privacidade deve ser informar ao Titular dos Dados sobre:
(i) O motivo da necessidade dos dados pessoais;
(ii) O que se fará com as informações, bem como, com quais agentes as informações serão compartilhadas.
A MARLUVAS está comprometida com a implementação dos padrões de Segurança da Informação e com a proteção de Dados Pessoais garantindo o exercício da autodeterminação da informação.
Todos os Agentes com acesso a Dados Pessoais estão obrigados ao dever de confidencialidade dos Dados Pessoais
A Proteção de Dados parte da premissa que os titulares de dados pessoais têm o direito de receber informações sobre o Tratamento dos seus Dados Pessoais no momento da sua coleta. Assim, são direitos dos Titulares:
(i) Acesso a informações sobre a natureza dos dados pessoais tratados pela Marluvas, bem como sobre como seus dados pessoais são ou serão tratados;
(ii) Correção de seus dados pessoais que estivem imprecisos, incorretos ou incompletos;
(iii) Opor, restringir, cessar ou impedir o Tratamento de dados pessoais, inclusive com a exclusão e/ou anonimização de seus dados pessoais em determinadas circunstâncias;
(iv) Retirar o consentimento, a qualquer tempo, na hipótese de o tratamento de dados se basear em consentimento para um determinado propósito;
(v) Portar seus dados pessoais a outro agente, fornecedor de produto e/ou serviço, por meio de requerimento expresso em determinadas circunstâncias;
(vi) Revisão das decisões tomadas unicamente com base em tratamento de dados automatizados
O consentimento é uma expressão livremente determinada, específica, informada, precisa e clara do desejo/autorização do titular para o tratamento de seus dados pessoais. O consentimento poderá ser expresso sob a forma de uma declaração ou de uma ação afirmativa clara, sem qualquer tipo de pressão ou vicio de vontade.
O consentimento não poderá ser presumido pela ausência de resposta ou declaração, a menos que exista uma base jurídica alternativa para o tratamento
Os prestadores de serviços terceirizados que tratem Dados Pessoais sob as instruções/orientações da MARLUVAS estão sujeitos às obrigações impostas aos Agentes de acordo com a legislação e demais normas de regulamentação de proteção de Dados Pessoais.
A Marluvas assegurará que o contrato de prestação de serviço contemple cláusulas de privacidade que exijam que o Processador de Dados terceirizado implemente medidas de segurança inclusive com controles técnicos e administrativos que garantam a confidencialidade, privacidade e segurança dos Dados Pessoais e especifiquem que o Processador está autorizado a tratar Dados Pessoais apenas quando seja formal e expressamente autorizado pela MARLUVAS.
Na hipótese de o prestador de serviços ser sediado no exterior, deverão ser incluídas cláusulas contratuais que garantam salvaguardas em relação à adequabilidade à toda a legislação de proteção de dados aplicáveis.
A MARLUVAS garantirá revisões periódicas e contínuas a fim de confirmar que as iniciativas de Privacidade, seu sistema, medidas, processos, precauções e outras atividades incluindo o gerenciamento de proteção de Dados Pessoais são efetivamente implementados e mantidos e estão em conformidade com a legislação e regulamentação aplicáveis.
A MARLUVAS deverá ter processo interno, centralizado ou não, para Registros de reclamações sobre o tratamento dos dados pessoais.
Na hipótese de Reclamação, o Titular dos Dados, ao considerar a realização de um Tratamento ilegal ou inapropriado de seus Dados Pessoais, bem como que seja incompatível com a Política de Proteção de Dados, deverá enviar sua reclamação para:
(i) Encarregado de Dados Pessoais da MARLUVAS; e/ou
(ii) Autoridade Nacional de Proteção de Dados.
A MARLUVAS deverá manter em seus sítios eletrônicos ferramentas claras e precisas que permitam aos Titulares dos Dados registrarem reclamações, incluindo pelo menos uma das abaixo:
(i) Link da internet para um formulário de reclamação;
(ii) Endereço de e-mail;
(iii) Telefone;
(iv) Endereço postal.
As reclamações recebidas deverão ser investigadas da maneira célere, com a conclusão em no máximo até 01 (um) mês, apresentando os próximos passos em até 05 (cinco) dias úteis ao titular dos dados pessoais.
Quando os Dados Pessoais dos Titulares dos Dados estiverem comprometidos, os responsáveis pela MARLUVAS deverão notificar o DPO/Encarregado de Dados imediatamente. Então MARLUVAS, juntamente com o Encarregado de Dados, notificará a Autoridade Nacional de Proteção de Dados em um prazo razoável contado da ciência do incidente de segurança.
Todos os responsáveis pela MARLUVAS devem estar cientes de sua responsabilidade pessoal de noticiar, encaminhar ou informar sobre possíveis problemas, inclusive o dever de denunciar violações ou suspeita de violações de Dados Pessoais imediatamente ao tomarem ciência ou identificarem tais questões.
O Encarregado de Dados assegurará revisões e atualizações regulares da Política de Proteção de Dados, por exemplo, como consequência de alterações maiores na estrutura corporativa e no ambiente regulatório.
Neste sentido, o Encarregado de Dados auxiliará a definir e atualizar as medidas técnicas e organizacionais a serem implementadas ao coletar, tratar e/ou usar Dados Pessoais em conformidade com os requisitos legais.
Os Dados Pessoais não poderão ser guardados/armazenados ou sofrer qualquer tipo de tratamento por mais tempo do que é exigido para cumprir com a finalidade de sua coleta.
Com o término ou expiração da finalidade para o Processamento ou a base jurídica para processamento, poderá não ser necessário reter os dados pessoais, a menos que legalmente exigido. Assim, alguns Dados Pessoais serão mantidos por períodos mais longos do que os outros.
As políticas de retenção de dados apropriados serão desenvolvidas em conformidade com as exigências legais e regulatórios locais para guiar com disposição e retenção de registro.
Os Dados Pessoais deverão ser descartados de uma forma que proteja os direitos e liberdades dos Titulares dos Dados (por exemplo, mas não se limitando a, picotamento, descarte como lixo confidencial, exclusão eletrônica segura) e em consonância com as orientações para a eliminação segura de mídia de armazenamento, sendo necessária a comprovação do descarte ao seu Titular.
Os Integrantes, Agentes e demais pessoas constantes na presente política de proteção de dados são responsáveis por conhecer e compreender todas as orientações que lhes forem aplicáveis.
Violações de qualquer documento da MARLUVAS poderão resultar em consequências graves à MARLUVAS bem como aos Integrantes envolvidos. Assim, a falha em cumprir esta Política ou relatar o conhecimento de violação
desta Política poderá resultar em ação disciplinar para qualquer Integrante envolvido.
Caso qualquer Integrante e/ou Terceiro tenha conhecimento de uma potencial conduta ilegal ou antiética, incluindo potenciais violações às Leis aplicáveis e/ou documentações orientadoras da MARLUVAS, incluindo esta Política de Proteção de Dados Documento, devem imediatamente reportar a potencial violação ao DPO/Encarregado.