Confira nossa

Política de Privacidade e Proteção de Dados Pessoais

1. Objetivo

Estabelecer diretrizes que permitam à Almata realizar o tratamento de dados pessoais, inclusive nos meios digitais, de modo a proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, em conformidade com a legislação brasileira.

2. Abrangência

A política geral de privacidade e proteção de dados pessoais descrita neste documento tem como abrangência: todos aqueles, pessoa física ou jurídica, que tenham o tratamento de seus dados pessoais em que a empresa Almata esteja na condição de agente de tratamento de dados como controlador ou operador.

3. Definições

  • Agentes de tratamento: o controlador e o operador;
  • Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
  • Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta lei em todo o território nacional;
  • Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
  • Bases legais: fundamentação legal que torna legítimo o tratamento de dados pessoais para uma determinada finalidade prévia;
  • Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • Dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
  • Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
  • Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
  • Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a autoridade nacional de proteção de dados (ANPD);
  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  • Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
  • Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
  • Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
  • Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
  • Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

4. Responsabilidades

 

  • Todos os colaboradores:Seguir as disposições da presente política de privacidade e proteção de dados pessoais;
  • Encarregado de dados:Atuar como canal de comunicação entre o controlador, os titulares dos dados e a autoridade nacional de proteção de dados (ANPD);
  • Controlador:Determinar as finalidades, condições e meios do processamento de dados pessoais, a quem compete decisões ferente ao tratamento de dados pessoais;
  • Operador: Responsável pelo processamento de dados pessoais em nome do controlador.
  • Almata: Zelar pela proteção de dados e privacidade dos dados pessoais a ela confiados. Quando controlador, determinar as finalidades, condições e meios do processamento de dados pessoais. Quando operador, tratar os dados pessoais de acordo com as instruções do cliente.

4.1 DO ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS

A Almata possui profissional responsável pelo processamento de dados pessoais, interna e externamente, que poderá ser contatado através do e-mail. Sendo assim, através deste instrumento, a Almata designa o seguinte como encarregado dos dados:

Nome: Camila Baschirotto

E-mail: dpo@almata.com.br

As atividades desenvolvidas pelo encarregado consistirão em:

  1. Prestar esclarecimentos e adotar providências quanto a informações solicitadas pelos titulares dos dados;
  2. Receber comunicações da autoridade nacional de proteção de dados e adotar as providências necessárias aos casos concretos;
  3. Orientar os colaboradores e contratados sobre as práticas adotadas em relação à proteção de dados pessoais;
  4. Executar as atribuições determinadas pelo controlador ou estabelecidas em normas complementares;
  5. Avaliar incidentes, confirmados ou não, de violação da privacidade e proteção de dados pessoais;
  6. Direcionar os responsáveis pelo desdobramento desta política em procedimentos e controles internos;
  7. Promover reuniões com as lideranças internas para garantir o alinhamento sistêmico dos processos internos com as diretrizes desta política.

5. Diretrizes

5.1 DO TRATAMENTO DE DADOS PESSOAIS

A empresa Almata respeita e valoriza os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da pessoa natural. Desse modo, se compromete para que o tratamento de dados pessoais seja realizado de acordo com a legislação vigente e busca com as diretrizes a seguir, que todos, segundo o escopo e público-alvo desta política, compartilhem deste comprometimento.

Devem ser observados os seguintes princípios nas atividades de tratamento de dados pessoais:

  • Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  • Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  • Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
  • Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
  • Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
  • Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
  • Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
  • Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
  • Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
  • Responsabilização e prestação de contas: demonstração, pelo agente de tratamento, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

O tratamento de dados pessoais, considerando o escopo desta política, somente poderá ser realizado nas seguintes hipóteses:

  1. mediante o fornecimento de consentimento pelo titular;
  2. para o cumprimento de obrigação legal ou regulatória pelo controlador;
  3. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  4. para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
  5. para a proteção da vida ou da incolumidade física do titular ou de terceiros;
  6. quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  7. para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

O Encarregado de Dados (DPO) deve ser consultado, antes do tratamento do dado, quando houver qualquer dúvida quanto ao atendimento dos requisitos acima e sempre que um novo tratamento de dados vier a ser realizado.

Cabe ao DPO a responsabilidade por identificar as hipóteses de tratamento de dados pessoais em que a obtenção de consentimento prévio possa ser dispensada, bem como, os casos em que a hipótese de interesse legítimo é aplicável.

O tratamento de dados pessoais sensíveis, definido nesta política como “dado pessoal sensível”, deve ser limitado às hipóteses em que for indispensável. Cabe ao DPO avaliar os casos específicos em que isto ocorra e definir, com base na interpretação da Lei Geral de Proteção de Dados – LGPD, a que for mais restritiva, quanto a exigência do consentimento prévio do titular.

5.1.3.1 Bases legais para o tratamento de dados pessoais sensíveis

A Almata reconhece que o tratamento de dados pessoais sensíveis representa riscos mais altos ao titular de dados pessoais e por esta razão assume o compromisso de resguardo e cuidados especiais frente ao tratamento de dados pessoais sensíveis.

Os dados pessoais de crianças e adolescentes serão tratados com o mesmo nível de cuidado exigido e oferecido aos dados pessoais sensíveis, mas também estarão sujeitos às disposições próprias estabelecidas no Capítulo II, Seção III, da LGPD, e outras normas específicas aplicáveis.

A realização de operações de tratamento de dados pessoais sensíveis pela Almata somente poderão ser realizada:

  • Quando o titular de dados pessoais ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
  • Sem fornecimento de consentimento do titular de dados pessoais, nos casos em que o tratamento for indispensável para:
  1. o cumprimento de obrigação legal ou regulatória pela Almata;
  2. o exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
  3. proteção da vida ou da incolumidade física do titular de dados pessoais ou de terceiros;
  4. tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
  5. garantia da prevenção à fraude e à segurança do titular de dados pessoais, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

A LGPD em seu artigo 14, §1º, estabelece que o tratamento de dados de crianças deverá ser realizado com o consentimento específico e em destaque, dado por pelo menos um dos pais ou pelo responsável legal.

Conforme definição prevista no Estatuto da Criança e Adolescente (ECA), criança é a pessoa até doze anos de idade incompletas, e adolescente como aquela entre doze e dezoito anos de idade.

O tratamento de dados pessoais de crianças e adolescentes, inclusive quando o titular estiver na condição de aprendiz e estagiário, somente poderá ser realizado mediante consentimento específico e em destaque por pelo menos um dos pais ou pelo responsável legal.

É dever do responsável interno pela atividade, onde os dados de crianças e adolescentes são tratados, garantir que o consentimento, nas condições acima, foi obtido antes do efetivo tratamento.

O artigo 15 da LGPD enuncia hipóteses que determinam o término do tratamento desses dados pessoais:

  1. Quando alcançada a finalidade específica ou quando os dados deixaram de ser pertinentes;
  2. Fim do período de tratamento;
  3. Interesse do titular;
  4. Por determinação da autoridade nacional.

A Almata adota procedimentos para atender os direitos dos titulares ao término do tratamento, quando aplicável, e dispõe um canal de contato através do e-mail: dpo@almata.com.br.

Os dados pessoais poderão ser eliminados, nos limites técnicos da Almata, por solicitação do titular ou pelo término do tratamento. Todavia é autorizado a conservação dos dados para atender os critérios abaixo.

  1. Cumprimento de obrigação legal ou regulatória pelo controlador, para o qual deve ser mantido apenas os dados necessários para atender esta finalidade;
  2. Consentimento do titular dos dados;
  3. Anonimização dos dados para uso exclusivo da Almata.

Em situações neste âmbito, a Almata não poderá ser responsabilizada, uma vez que cumprirá com dispositivos previstos na legislação brasileira vigente sobre o tema.  

Devem ser observados os direitos do titular dos dados pessoais na forma descrita no capítulo III da LGPD, considerando os procedimentos internos definidos.

Quando não houver procedimento ou o procedimento definido for insuficiente, deve-se imediatamente comunicar o DPO, para que as medidas necessárias possam ser tomadas em tempo hábil.

O titular de dados tem os seguintes direitos em relação aos seus dados:

  1. Direito à confirmação da existência do tratamento:o titular de dados pessoais pode questionar se há a realização de operações de tratamento relativos a dados pessoais seus;
  2. Direito de acesso:o titular de dados pessoais pode solicitar e receber uma cópia de todos os dados pessoais coletados e armazenados;
  3. Direito de correção:o titular de dados pessoais pode requisitar a correção de dados pessoais que estejam incompletos, inexatos ou desatualizados;
  4. Direito de eliminação:o titular de dados pessoais pode requisitar a exclusão de seus dados pessoais de bancos de dados geridos pela Almata, salvo se houver um motivo legítimo para a sua manutenção, como eventual obrigação legal de retenção de dados ou estudo por órgão de pesquisa;
  5. Direito de solicitar a suspensão de tratamento ilícito:a qualquer momento, o titular de dados pessoais poderá requisitar da Almata o bloqueio ou eliminação de seus dados pessoais que tenham sido reconhecidos por autoridade competente como desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
  6. Direito de oposição a um tratamento:nas hipóteses de tratamento de dados pessoais não baseadas na obtenção do consentimento, o titular de dados pessoais poderá apresentar à Almata uma oposição, que será analisada a partir dos critérios presentes na LGPD;
  7. Direito à portabilidade dos dados:o titular de dados pessoais poderá requisitar à Almata que seus dados pessoais sejam disponibilizados a outro fornecedor de serviço ou produto, respeitados o segredo comercial e industrial, bem como os limites técnicos de sua infraestrutura;
  8. Direito à revogação do consentimento:o titular de dados pessoais tem direito a revogar o seu consentimento. Entretanto, ressalta-se que isso não afetará a legalidade de qualquer tratamento realizado antes da retirada.

Para fazer perguntas, exercer qualquer um dos seus direitos acima definidos ou retirar o seu consentimento para o processamento dos seus Dados (onde o consentimento é a base legal para o processamento dos Dados), poderá ser realizado através do seguinte endereço de e-mail: dpo@almata.com.br

Toda transferência internacional de dados pessoais, inclusive para armazenamento em nuvem, deve ser comunicada com antecedência ao DPO da empresa para que seja avaliada a legalidade da operação.

5.2 DOS DEVERES PARA USO O ADEQUADO DE DADOS PESSOAIS

Os deveres de cuidado, atenção e uso adequado de dados pessoais se estendem a todos os destinatários desta política no desenvolvimento de seus trabalhos e atividades na Almata, comprometendo-se a auxiliar a empresa a cumprir suas obrigações perante a Lei Geral de Proteção de Dados e demais legislações vigentes.

Todos os destinatários desta política têm o dever de contatar o DPO quando da suspeita ou da ocorrência efetiva das seguintes ações:

  1. Acesso aos dados pessoais mantidos pela Almata por pessoas não autorizadas ou competentes;
  2. Operação de tratamento de dados pessoais realizada sem base legal que a justifique;
  3. Tratamento de dados pessoais sem a autorização por parte da Almata no escopo das atividades que desenvolve;
  4. Operação de tratamento de dados pessoais que seja realizada em desconformidade com a política de segurança da informação;
  5. Eliminação ou destruição não autorizada pela Almata de dados pessoais;
  6. Qualquer violação desta política ou de qualquer um dos princípios de proteção de dados dispostos no item 5.1.1.

5.3 DO COMPARTILHAMENTO E TRATAMENTO DE INFORMAÇÕES PESSOAIS

A Almata poderá compartilhar a terceiros os dados pessoais coletados, nas seguintes situações e nos limites exigidos e autorizados pela Lei:

  1. Com os seus clientes e parceiros quando necessário e/ou apropriado à prestação de serviços relacionados;
  2. Com as empresas e indivíduos contratados para a execução de determinadas atividades e serviços em nome da empresa;
  3. Com fornecedores e parceiros para consecução dos serviços contratados;
  4. Para propósitos administrativos como: pesquisa, planejamento, desenvolvimento de serviços, segurança e gerenciamento de risco;
  5. Quando necessário em decorrência de obrigação legal, determinação de autoridade competente, ou decisão judicial.

Nas hipóteses de compartilhamento de dados pessoais com terceiros, todos os sujeitos mencionados nos itens I a VI deverão utilizar os dados pessoais partilhados de maneira consistente e de acordo com os propósitos para os quais foram coletados e conforme o que for determinado por esta política de privacidade.

5.4 DAS BASES LEGAIS PARA PROCESSAMENTO

A Almata trata dados pessoais em situações em que está autorizada legalmente ou mediante o expresso consentimento titular.  

Utiliza-se as bases legais para coletar, produzir, receptar, classificar, utilizar, acessar, reproduzir, transmitir, distribuir, processar, arquivar, armazenar, eliminar, avaliar ou controlar a informação, modificar, comunicar, transferir, difundir ou extrair dados pessoais.

As bases legais incluem seu consentimento, contratos/procedimentos contratuais e interesses legítimos, de modo que tal processamento não viole seus direitos e liberdades.

Tais interesses incluem proteção de ameaças, cumprir a legislação aplicável, o exercício regular de direitos em processo judicial, administrativo ou arbitral, habilitar a realização ou administração dos negócios, incluindo controle de qualidade, relatórios e serviços oferecidos, gerenciar transações empresariais, entender e melhorar os negócios e relacionamentos com os clientes e permitir que os usuários encontrem oportunidades econômicas.

Caso tenha dúvidas sobre as bases legais para coleta, tratamento e armazenamento de seus dados pessoais, entre em contato com a Almata por meio do e-mail dpo@almata.com.br.

5.5 DAS MEDIDAS DE PROTEÇÃO DOS DADOS PESSOAIS

A Almata compromete-se a adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Caso seja verificada a ocorrência de acesso não autorizado e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, todos aqueles afetados por esta política, em seu escopo e público-alvo, devem reportar tão logo quanto possível aos seus responsáveis diretos ou por meio do e-mail dpo@almata.com.br.

O relator do incidente deve fornecer, sempre que possível, dados que permitam que a ocorrência seja apurada e as medidas necessárias sejam tomadas o mais breve possível.

A comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares dos dados pessoais afetados, deve ser realizada sempre que possa acarretar risco ou dano relevante aos titulares.

Sempre que houver suspeita de que a condição acima possa ter ocorrido, deve ser comunicado ao DPO da empresa, que verificará a necessidade de formação de um comitê de gestão de crise para apurar o fato. Verificada a necessidade, a formação do comitê deverá ser realizada tão logo quanto possível para minimizar o agravamento da situação.

6. Vigência e Revisão

 

Esta política entra em vigor ao mesmo tempo que a Lei Geral de Proteção de Dados – LGPD, devendo ser observada a data de início de vigência desta última.

A Almata assume o compromisso de revisitar a presente política periodicamente e, a seu critério, promover modificações que atualizem suas disposições de modo a reforçar o compromisso com a privacidade e a proteção de dados pessoais, sendo comunicadas todas as alterações realizadas oportunamente.

 

Rolar para cima