Política de Privacidade
1. Objetivo
Estabelecer princípios e diretrizes para o tratamento de dados pessoais realizados pela FastHelp, criando um Sistema de Gestão de Privacidade da Informação – SGPI, visando garantir os direitos dos titulares de dados pessoais e cumprir as obrigações impostas aos agendes de tratamento.
2. A quem se destina
Também são partes interessadas os clientes e fornecedores da FastHelp, uma vez que acaba por realizar atividades de tratamento de colaboradores das referidas.
Em última instância, a Autoridade Nacional de Proteção de Dados Pessoais, uma vez que pode demandar comprovação de adoção de boas práticas e governança.
3. Definições
Além das terminologias descritas na Política de Segurança da Informação, entende-se:
- CONTROLADOR: pessoa natural ou jurídica, de direito público ou privado a quem competem as decisões referentes ao tratamento de dados pessoais.
- TITULAR: pessoa natural a quem se referem os dados pessoais que são objetos de tratamento;
- TRATAMENTO: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
- CONSENTIMENTO: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
- ELIMINAÇÃO: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independente do procedimento empregado;
- OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
- DADO PESSOAL: informação relacionada a pessoa natural identificada ou identificável;
- DADO PESSOAL SENSÍVEL: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico oi político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- INCIDENTE DE SEGURANÇA: situação de violação da segurança que pode levar à destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado à dados pessoais.
4. Contexto da organização
A FastHelp figura como CONTROLADORA e OPERADORA DE DADOS PESSOAIS de dados pessoais de seus colaboradores, sendo responsável por definir diretrizes para a coleta, tratamento e eliminação dos dados pessoais sujeitos à legislação trabalhistas.
A FastHelp também figura como controladora de dados pessoais de colaboradores e representantes de seus clientes quando realiza tratamentos necessários para a execução de contratos, além de oferecer produtos e serviços por meio de ações do Marketing da organização.
Em nenhuma hipótese a FastHelp é operadora de dados pessoais para seus clientes, devendo os contratos futuros preverem cláusulas definidoras dos papéis de cada parte como agente de tratamento, e se possível, excluindo das atividades necessárias para execução contratual aquelas que possam caracterizar a FastHelp como operadora de dados pessoais.
Além da explica da LEI nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais, também existem fatores externos determinantes para delimitação de atividades como agente de tratamento, tais como os contratos de clientes e fornecedores.
5. Definição de Risco
Todas as atividades de tratamento de dados pessoais realizadas pela FastHelp devem possuir uma definição de risco. Convém ser utilizada o modelo estabelecido no documento “Análise de Adequação”.
Com a definição de risco, deverá haver previsão de medidas de mitigação correspondente para cada risco.
6. Do encarregado
A FastHelp indicará e sempre manterá um Encarregado de Dados Pessoais que deverá possuir livre acesso à Alta Direção em assuntos relacionados ao tratamento de dados pessoais, atuando com independência dentro da organização nas questões relacionadas ao tratamento de dados pessoais.
O Encarregado terá como responsabilidade:
- Ter conhecimento de todas as atividades de tratamento de dados pessoais realizadas pela FastHelp;
- Fornecer orientações para a execução das atividades de tratamento de dados pessoais em conformidade com esta Política e a legislação aplicável;
- Atuar junto à Autoridade Nacional de Proteção de Dados Pessoais quando necessário;
- Informar à Alta Direção e a todos os colaboradores as obrigações no tratamento de dados pessoais.
7. DO SISTEMA DE RESPOSTA À INCIDENTES DE SEGURANÇA DA INFORMAÇÃO
Verificado um caso de incidente de segurança, os colaboradores deverão seguir às seguintes diretrizes:
- Relatar documentalmente todo o incidente para o Encarregado. O relatório deverá conter: descrição do incidente com sua natureza (se interno ou externo), período, consequências do incidente contendo o número de titulares afetados, e nome do relator;
- O Encarregado irá relatar imediatamente à Alta Direção sobre o incidente;
- O Encarregado deverá relatar à Autoridade Nacional de Proteção de dados em até 5 dias úteis (ou prazo a ser definido pela Autoridade) o incidente com as seguintes informações: descrição da natureza dos dados pessoais afetados, informações sobre os titulares envolvidos, indicação das medias técnicas e de segurança utilizadas para a proteção dos dados, riscos relacionados incidente e medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo;
- O Encarregado irá conduzir uma investigação interna sobre incidente, verificando a plena funcionalidade dos sistemas de segurança envolvidos, entrevistando os colaboradores com acesso aos dados pessoais e indicando melhorias que deverão ser tomadas para a segurança dos dados pessoais envolvidos;
- Na hipótese de identificação de colaborador envolvido culposamente ou dolosamente no incidente, medidas sancionatórias podem ser tomadas pelo setor de Gestão de Pessoas, devendo ser considerado o grau de envolvimento do colaborador e as consequências do incidente para os titulares afetados e para a empresa.
8. DAS OBRIGAÇÕES DA FASTHELP COMO CONTROLADORA
A FastHelp tem as seguintes obrigações em todo o processo de tratamento de dados pessoais que figure como controladora:
- Especificar a finalidade de cada processo de tratamento de dado pessoal;
- Identificar a categoria de dado pessoal tratado;
- Identificar a base legal aplicada ao processo de tratamento de dado pessoal;
- Documentar e armazenar o consentimento de titular de dados pessoais quando necessário;
- Requerer e armazenar o consentimento expresso do titular de dados pessoais para realização de transferência de dados pessoais para outras empresas, informando dados da empresa receptora;
- Possibilitar aos titulares de dados pessoais acesso às informações relacionadas ao tratamento de dados pessoais;
- Fornecer aos titulares de dados pessoais, quando solicitado, as informações relacionadas ao tratamento de dados pessoais em meio eletrônico ou físico, conforme a escolha do titular, de maneira imediata ou em até 15 dias, contendo, neste caso, declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento;
- Possibilitar ao titular a revogação do consentimento;
- Manter processos de eliminação de dados pessoais em períodos definidos e justificados ou sob requisição ao titular.
9. DA PRIVACIDADE COMO PADRÃO E DESDE A CONCEPÇÃO
Em todos os processos de tratamento de dados pessoais que a FastHelp implementar para a execução de um serviço as seguintes medidas deverão ser tomadas a fim de garantir a privacidade do titular:
- Limitar a coleta de dados pessoais a um mínimo relevante, proporcional e necessário;
- Limitar temporalmente o processo de tratamento de dados pessoais justificadamente;
- Manter os dados pessoais atualizados e completos;
- Realizar a transferência de dados pessoais somente com consentimento expresso, livre e específico do titular, identificando a organização receptora e tomando as medidas de segurança adequadas para o modo de transferência.
10. DA CULTURA INTERNA DE PROTEÇÃO DE DADOS PESSOAIS
A FastHelp irá fomentar a cultura de proteção de dados pessoais junto a seus colaboradores, realizando treinamentos com periodicidade e que conscientize todos os colaboradores sobre as responsabilidades, obrigações e direitos dos titulares nos processos de tratamento de dados pessoais.