1. Finalidade e Destinatários
A presente Política tem como objetivo estabelecer diretrizes claras e princípios para o tratamento de dados pessoais no âmbito da MARLUVAS, em sua matriz e filiais, aplicando-se, portanto, a todas as atividades relacionadas à coleta, processamento e armazenamento de dados pessoais realizadas pela organização, em formato físico ou digital. Isso inclui, mas não se limita, dados de clientes, fornecedores, colaboradores e visitantes.
Esta política é dirigida a todos os colaboradores, fornecedores, prestadores de serviços, parceiros e demais agentes que, de alguma forma, têm acesso ou estão envolvidos no tratamento de dados pessoais em nome da MARLUVAS.
2. Documentos de Referência
3. Criação e Atualização
O Encarregado pelo tratamento de dados pessoais (DPO) é o responsável pela Política, bem como por mantê-la atualizada.
Esta Política entra em vigor na data de sua publicação e tem validade de dezoito meses a partir da data de sua publicação, podendo ser alterada a qualquer tempo e critério antes do prazo estabelecido.
4. Termos e Definições
5. Diretrizes Gerais
5.1 Princípios norteadores do tratamento de dados na MARLUVAS
Todo tratamento de dados realizado no âmbito da MARLUVAS deverá seguir os seguintes princípios:
5.2 Privacy by design e Padrões de Segurança
A MARLUVAS se compromete a implementar medidas para garantir a proteção dos dados pessoais desde o processo de criação de novos projetos, processos, procedimentos ou sistemas que de alguma forma envolvam operações de tratamento de dados pessoais, bem como durante sua execução. Também se compromete a implementar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
Todos os colaboradores com acesso a dados pessoais estão obrigados aos deveres de confidencialidade.
5.3 Prestadores de Serviços Terceirizados
Quando houver tratamento de dados pessoais operado por terceiros sob as instruções da MARLUVAS, aqueles estarão sujeitos às obrigações impostas aos Operadores de Dados Pessoais, de acordo com as normas aplicáveis sobre proteção de Dados Pessoais.
A MARLUVAS deve garantir que haja cláusulas de proteção de dados nos contratos de prestação de serviços que exijam que o fornecedor/prestador de serviços adote medidas de segurança adequadas, visando garantir a confidencialidade e segurança dos dados pessoais, e especificando que o Operador está autorizado a tratar Dados Pessoais somente dentro dos limites do que for determinado pela MARLUVAS.
Além disso, a MARLUVAS promoverá periodicamente as diligências necessárias com o objetivo de garantir que seus parceiros que atuem na figura de Operadores de dados pessoais estejam em conformidade com as normas regulamentares sobre proteção de dados pessoais e privacidade.
5.4 Monitoramento e revisão
A MARLUVAS poderá promover auditorias a fim de garantir a manutenção do programa de proteção aos dados pessoais e privacidade.
As políticas que integram ou se relacionam com a proteção dos dados pessoais e privacidade serão revisadas periodicamente e sempre que houver modificação de processos, identificação de novos riscos e atualização de normas e regulamentos.
6. Atribuições e Responsabilidades
6.1 Compete ao Encarregado pelo tratamento de dados pessoais (DPO):
6.2 Compete aos gestores:
6.3 Compete ao Responsável pela Segurança da Informação:
6.4 Todos a serviço da MARLUVAS:
7. Disposições Finais
Esta Política é parte integrante da estratégia de Treinamentos e Comunicação da MARLUVAS.
Os colaboradores que violarem esta Política estarão sujeitas às medidas legais e/ou disciplinares cabíveis, as quais serão endereçadas de acordo com a gravidade da infração.
Caso algum colaborador tenha dúvidas sobre o conteúdo desta Política deverá procurar o gestor de sua respectiva área e, se necessário, o Encarregado de tratamento de dados pessoais (DPO).
8. Política de Retenção e Descarte de Dados Pessoais
8.1 Objetivo
O objetivo desta Política é orientar o processo de descarte de informações dentro da MARLUVAS.
??????????????8.2 Abrangência
Todas as áreas da MARLUVAS.
??????????????8.3 Criação e Atualização
O (a) Encarregado pela proteção dos dados pessoais (DPO) é o proponente e responsável por mantê-lo atualizado.
Esta Política entra em vigor na data de sua publicação e tem validade de doze meses a partir da data de sua publicação, podendo ser alterada a qualquer tempo e critério antes do prazo estabelecido.
???????8.4 Termos e Definições
8.5 Documentos de Referência
8.6 Retenção e Descarte
???9. Do término do tratamento e da conservação dos dados
9.1 O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
9.2 Os dados pessoais deverão ser eliminados após o término de seu tratamento, autorizada a conservação para as seguintes finalidades:
???????9.3 Regras Gerais de Retenção
9.3.1 A Gerência definira o período de retenção dos documentos e registros eletrônicos utilizados nos processos de sua responsabilidade que tratam informações pessoais. Para tanto, convém que sejam considerados requisitos legais, regulamentares e de negócio. A temporalidade da retenção dos registros será indicada na Tabela de Temporalidade.
9.3.2 Caso haja alguma categoria de documento/registro que não tenha sido mencionada na Tabela de Temporalidade, o período de retenção aplicado a esse documento/registro será definido pela Gerência responsável pelo processo que trata as informações, nos termos do item 6.2.1, devendo-se considerar, para tanto, os interesses da empresa, a necessidade da retenção do documento/registro para uma finalidade específica ou eventual exigência legal de retenção. O Encarregado pelo tratamento de dados (DPO) poderá ser consultado para auxiliar.
9.3.3 Todos os procedimentos e sistemas que garantem o acesso à informação durante o período de retenção (tanto no que diz respeito ao portador da informação quanto na legibilidade dos formatos) serão resguardados de maneira a proteger as informações contra perdas decorrentes de futuras mudanças tecnológicas.
9.4 Regras Gerais de Descarte
9.4.1 Os colaboradores devem consultar sua respectiva Gerência sobre a temporalidade de guarda de um registro/documento e regularmente rever todos os processos de sua responsabilidade que envolvam tratamento de dados pessoais a fim de verificar se os registros atingiram as finalidades para os quais foram criados e eram utilizados, e, assim, apurar se estão aptos a serem eliminados.
9.4.2 Uma vez tomada a decisão de eliminar um registro de dados, estes devem ser eliminados tendo em conta o seu valor para outros setores da empresa e o seu nível de confidencialidade.
9.4.3 Para garantir a eliminação dos documentos/registros, inclusive daqueles que eventualmente sejam baixados de servidores em nuvem para terminais do colaborador/prestador de serviço, deverão ser utilizadas técnicas de eliminação eletrônica segura.
9.4.4 Em relação aos documentos/registros baixados de servidores em nuvem para um terminal particular, o colaborador/prestador de serviços que não esteja apto a promover a eliminação adequada (item 6.3.3) deverá conceder acesso ao responsável pela área de Tecnologia da Informação para que seja promovida a eliminação eletrônica segura.
9.4.5 No caso de dispositivos defeituosos que contenham dados pessoais ou informações sensíveis, é recomendável que se avalie se convém destruir fisicamente e/ou desmagnetizar (se for o caso) o dispositivo em vez de mandá-lo para o conserto ou descartá-lo. As informações podem ser comprometidas por um descarte feito sem os devidos cuidados ou pela reutilização do equipamento.
9.4.6 Para dados armazenados com parceiros contratados, verifique se a exclusão ocorre no prazo definido internamente ou em virtude de lei. Caso a MARLUVAS tenha obrigação de manter esses dados, solicite à empresa contratada uma cópia completa antes do prazo final, armazene-a em local seguro e, em seguida, formalize o pedido de exclusão dos dados no banco do parceiro. A responsabilidade da MARLUVAS será considerada cumprida somente após o recebimento de uma comprovação formal da exclusão dos dados pelo parceiro.
9.4.7 Os requisitos pertinentes ao processo de descarte/eliminação de informações, particularmente os previstos nas normas de proteção de dados aplicáveis e nas políticas internas da MARLUVAS, devem ser integralmente observados.
???????10. Métodos de Descarte/Eliminação
10.1 Os registros/documentos que contenham informações confidenciais e dados pessoais devem ser triturados/fragmentados ou sujeitos a uma eliminação eletrônica segura. A destruição dos documentos deve incluir prova de destruição (ex: termo contendo data, descrição do que está sendo descartado e declaração de acompanhamento do evento por testemunha).
10.2 Os registros/documentos que não contenham informações ou dados pessoais devem ser triturados ou descartados através de uma empresa de reciclagem e incluir, entre outras coisas, anúncios, catálogos, panfletos e boletins informativos. A destruição desses documentos não necessita incluir prova de destruição, embora seja uma boa prática.
11. Atribuições e Responsabilidades
12. Disposições Finais
13. Política de Resposta a Incidentes de Segurança da Informação
???????13.1.Objetivo
13.1.1 A Política de Respostas a Incidentes de Segurança (PRI) é o documento responsável por direcionar e estabelecer os procedimentos que deverão ser adotados pela MARLUVAS para gerenciar eventuais incidentes de segurança da informação, a fim de mitigar ao máximo os riscos que podem ser causados à empresa e às pessoas, tendo sido elaborada em consideração a RESOLUÇÃO CD/ANPD Nº 15, de 24 de abril de 2024, bem como as principais normas de padronização, tais como as ISO/ABNT 27001 e 27035, além de normas legais como a Lei Geral de Proteção de Dados (Lei 13.709/2018).
13.1.2. Esta política visa estabelecer os procedimentos necessários para garantir o gerenciamento consistente e eficaz de incidentes de segurança da informação que eventualmente sejam enfrentados pela MARLUVAS. O objetivo é conter quaisquer violações, minimizar os riscos associados e considerar quais ações são necessárias para proteger os ativos de informação e evitar novos incidentes.
13.1.3. Esta política se refere a todos os ativos de informação, incluindo os dados pessoais, mantidos pela MARLUVAS, independentemente do formato, e se aplica a todos os colaboradores da MARLUVAS, assim como aos representantes comerciais e prestadores de serviços que tenham acesso aos sistemas da empresa.
13.2 ???????Definições e Tipos de Incidentes
13.2.1. Para os fins desta política, as violações de segurança da informação incluem as que já foram confirmadas e as suspeitas de incidentes.
13.2.2. Um incidente no contexto desta Política é um evento ou ação que pode comprometer a confidencialidade, integridade, disponibilidade ou autenticidade de sistemas ou dados, seja acidental ou deliberadamente, e que tenha causado, ou que tenha potencial para causar, danos aos ativos de informação da MARLUVAS e/ou à sua reputação.
13.2.3. Um incidente inclui, mas não está restrito a:
13.3 Relatando a Ocorrência de um Incidente de Segurança
13.3.1. Qualquer pessoa que acessa, usa ou gerencia as informações da MARLUVAS é responsável por reportar violação de dados e incidentes de segurança da informação imediatamente para o responsável pela Segurança da Informação e para o Encarregado pelo Tratamento de Dados Pessoais (DPO).
13.3.2. Se a violação ocorrer ou for descoberta fora do horário normal de trabalho, deve ser relatada assim que for possível.
13.3.3. No caso de incidente em razão de furto ou roubo de equipamento de propriedade da MARLUVAS a autoridade policial deverá ser comunicada imediatamente e a cópia do boletim de ocorrência deverá ser apresentada ao Gestor.
13.3.4. O relatório deve incluir detalhes completos e precisos do incidente: quando a violação ocorreu (datas e horários); quem está relatando; se os dados se referem a uma pessoa natural; a natureza das informações; a descrição detalhada do problema; quais as consequências estimadas e como foi descoberto.
13.3.5. Todos os colaboradores devem estar cientes de que qualquer violação da legislação de proteção de dados pessoais pode resultar na instalação de procedimento disciplinar.
???????13.4 Contenção e Recuperação
13.4.1. Cabe ao Encarregado pelo Tratamento de Dados Pessoais (DPO) verificar se a violação ofende dados pessoais, e ao responsável pela Segurança da Informação identificar se a violação ainda está ocorrendo. Se sim, medidas apropriadas deverão ser tomadas imediatamente para minimizar o efeito da violação.
13.4.2. Quando se tratar de incidente de segurança da informação que afete dados pessoais, uma avaliação inicial com o fim de apurar a gravidade da violação será feita pelo Encarregado pelo Tratamento de Dados Pessoais (DPO) em conjunto com o responsável pela Segurança da Informação, com quem assumirá conjuntamente a liderança na investigação da violação.
13.4.2.1 A liderança da investigação dependerá da natureza da violação; nos casos em que houver violação a dados pessoais, pode ser o próprio Encarregado pelo Tratamento de Dados Pessoais (DPO), nos demais, é recomendado que seja o responsável pela Segurança da Informação.
13.4.3. O líder da investigação estabelecerá se há algo que pode ser feito para recuperar quaisquer perdas e limitar os danos que a violação poderia causar.
13.4.4. O líder da investigação também estabelecerá quem precisa ser notificado como parte da contenção inicial e informará a polícia, quando for apropriado.
13.4.5. Pode ser solicitado o aconselhamento de especialistas em qualquer setor da MARLUVAS para resolver o incidente prontamente.
13.4.6. O líder da investigação determinará o curso de ação adequado a ser tomado para garantir a resolução do incidente.
??????????????13.5 Investigação e Análise de Risco
13.5.1. Uma investigação será realizada imediatamente e, sempre que possível, dentro de 24 horas da descoberta do incidente ou de sua relatoria.
13.5.2. O líder da investigação investigará o incidente e avaliará os riscos associados a ele; por exemplo, potenciais consequências adversas para as pessoas, o nível de gravidade e a probabilidade de ocorrência.
13.5.3. A investigação deverá levar em consideração e registrar o seguinte:
13. 6 Avaliação Sobre a Necessidade de Notificação
13.6.1. Cabe ao Encarregado pelo Tratamento de Dados Pessoais (DPO) verificar a necessidade de se notificar a ANPD (Autoridade Nacional de Proteção de Dados), o Ministério Público ou outro ente interessado a respeito do incidente ocorrido; em caso afirmativo, o ente responsável deverá ser notificado dentro de 3 dias úteis, após a empresa ter tomado conhecimento do incidente de segurança, conforme art. 6º da Resolução CD/ANPD Nº 15/2024.
13.6.2. Cada incidente será avaliado caso a caso, no entanto, os seguintes pontos deverão ser considerados:
13.6.3. Caso se considere que há um alto risco de o incidente afetar negativamente os direitos e liberdades dos indivíduos afetados, estes serão informados sem demora injustificada. A notificação incluirá uma descrição de como e quando o incidente ocorreu e quais os dados envolvidos.
13.6.4. A notificação conterá orientação clara e específica sobre o que os indivíduos podem fazer para se protegerem, além de indicar as ações já tomadas para mitigar os riscos.
13.6.5. Os indivíduos afetados pelo incidente deverão ser informados sobre como entrar em contato com a MARLUVAS para mais obter maiores informações ou para fazer perguntas sobre o que aconteceu.
12.6.6. Será mantido registro de qualquer incidente de segurança da informação e/ou violação de dados pessoais, independentemente da necessidade de notificação, pelo prazo mínimo de 5 anos, conforme disposto no Art. 10 da RESOLUÇÃO CD/ANPD Nº 15, de 24 de abril de 2024.
???????13.7 Revisão
13.7.1. Uma vez que o incidente inicial seja contido, o responsável pela Segurança da Informação (próprio ou contratado), em conjunto com o Encarregado pelo Tratamento de Dados Pessoais (DPO), irá realizar uma revisão completa das causas da violação; a eficácia da(s) resposta(s); e se há alterações nos sistemas, políticas e procedimentos que devem ser realizados.
13.7.2. Os controles existentes serão revisados para determinar sua adequação e se há alguma ação corretiva que deva ser tomada para minimizar o risco de ocorrência de incidentes semelhantes.
13.7.3. A revisão deverá considerar:
13.7.4. Se necessário, um relatório recomendando quaisquer mudanças nos sistemas, políticas e procedimentos será avaliado pela Direção da MARLUVAS.
13.7.5. Em caso de necessidade de mais detalhes e/ou dúvidas sobre o incidente, as partes envolvidas devem solicitar esclarecimentos pelo e-mail: <[email protected]>.???????
13.8 Revisão desta Política
13.8.1. Esta política será atualizada conforme necessário para refletir as melhores práticas e para garantir a conformidade com quaisquer alterações ou emendas à legislação pertinente.