Política de Proteção de Dados Pessoais
Propósito[Objetivo da Política]
A Política de Proteção de Dados Pessoais tem por objetivo estabelecer diretrizes, princípios e conceitos a serem seguidos por todas as pessoas que se relacionam com a PONTUAL TELECOM que em algum momento realizam operações de tratamento de dados pessoais, visando o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) e outras normas vigentes.
Escopo [Amplitude, alcance da Política]
Defina a quem e a quais sistemas esta política se aplica. Liste os agentes públicos e colaboradores necessários para cumprir ou simplesmente indique “todos” se todos devem cumprir. Também indique quaisquer exclusões ou exceções que estejam fora de escopo, ou seja, essas pessoas, elementos ou situações que não estejam cobertas por esta política ou onde uma consideração especial possa ser feita.
Exemplo:
Instituir a Política de Proteção de Dados Pessoais (PPDP), no âmbito interno da PONTUAL TELECOM, com a finalidade de estabelecer princípios e diretrizes para a implementação de ações que garantam a proteção de dados pessoais, e no que couber, no relacionamento com outras entidades públicas ou privadas.
Esta Política regula a proteção de dados pessoais, onde a PONTUAL TELECOM é o agente de tratamento, bem como o meio utilizado para este tratamento, seja digital ou físico, além de qualquer pessoa que realize operações de tratamento de dados pessoais em seu nome ou em suas dependências.
Termos e Definições, CONFORME LEI 13709/2018
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Encarregado: pessoa indicada pelo controlador, para atuar como canal de comunicação entre o controlador, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD);
Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
Declarações da política
CAPÍTULO I
Das Diretrizes Gerais
Art. 1º A PONTUAL TELECOM deverá estar apta a demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, e a eficácia dessas medidas.
Art. 2º Devem ser estabelecidas revisões de processos com o objetivo de aferir a diminuição ou aumento de riscos que envolvem o tratamento de dados pessoais.
Art. 4º O(a) [Órgão ou entidade] poderá utilizar arquivos (cookies) para registrar e gravar no computador do usuário as preferencias e navegações realizadas nas respectivas páginas para fins estatísticos e de melhoria dos serviços ofertados, respeitando o consentimento do titular.
Art. 5º É competência do[Comitê de Proteção de Dados Pessoais (CPDP) ou estrutura equivalente], quando instituído pela organização, a responsabilidade por gerenciar a implementação da LGPD dentro da organização e a administração da Política de Proteção de Dados Pessoais.
Art. 6º O(a) [Órgão ou entidade] deve manter registro das operações de tratamento de dados pessoais que realizarem.
Art. 7º Deve ser elaborado o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) relacionados às operações de tratamento, e atualizá-lo quando necessário.
Art. 8º O(a) [Órgão ou entidade] deverá desenvolver e manter atualizados as políticas/avisos de privacidade, que fornecerão informações sobre o processamento de dados pessoais em cada ambiente físico ou virtual, bem como detalhar as medidas de proteção de dados adotadas para salvaguardar esses dados pessoais.
Art. 9º Será estabelecido oprograma de treinamento e conscientização para que os colaboradores entendam suas responsabilidades e procedimentos na proteção de dados pessoais;
Art. 10º Serão formuladas regras de segurança,de boas práticas e de governança que definam procedimentos e outras ações referentes a privacidade e proteção de dados pessoais.
[Acrescente aqui as diretrizes gerais que fazem parte do escopo da organização e que devem ser consideradas para a política]
CAPÍTULO II
Tratamento de Dados Pessoais
É necessário deixar claro que o órgão adotará medidas para garantir os direitos dos titulares de dados pessoais quando houver tratamento, quais princípios deverão ser observados em todas as operações realizadas com os dados pessoais, dentre outras diretrizes que julgar pertinentes ao escopo desta política.
Art. 11. A aplicação desta Política será pautada pelo dever de boa-fé e pela observância dos princípios previstos no art. 6º da LGPD.
Art. 12. O tratamento de dados pessoais deverá ser realizado para o atendimento de sua finalidade pública, conforme o interesse público, com o objetivo de executar competências legais e de cumprir as atribuições legais do serviço público.
Art. 13. O(a) [Órgão ou entidade] adotará mecanismos para que o titular do dado pessoal usufrua dos direitos assegurados pela LGPD e normativos correlatos.
[Listar por quais canais de atendimento o órgão irá garantir esses direitos].
Art. 14. Deverá ser realizado o tratamento de dados pessoais sensíveis somente nos termos da seção II do capítulo II da LGPD e devem ser estabelecidos procedimentos de segurança no tratamento destes dados conforme a LGPD e demais normativos.
Art. 15.Deverá ser realizado o tratamento de dados pessoais de crianças e de adolescentes nos termos da seção III do capítulo II da LGPD,bem como, poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados
Pessoais (LGPD), desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei.
Art. 16. O uso compartilhado de dados deverá observar o art. 26 da LGPD bem como sua comunicação estará sujeita ao que consta no art. 27 da mesma lei.
Art. 17. No caso de transferência internacional de dados pessoais deverá ser observado o que consta no Capítulo V da LGPD.
[Liste aqui demais diretrizes a serem seguidas nas operações de tratamento dos dados pessoais].
CAPÍTULO III
Conscientização, Capacitação e Sensibilização
Essa seção tem como objetivo dispor de diretrizes sobre a conscientização, capacitação e sensibilização dos colaboradores da organização na temática de proteção de dados pessoais e privacidade conforme o que a LGPD e normativos estipulam.
Art. 18. As pessoas que possuem acesso aos dados pessoais na(o)[a organização] devem fazer parte de programas de conscientização, capacitação e sensibilização em matérias de privacidade e proteção de dados pessoais.
- A conscientização, capacitação e sensibilização em privacidade e proteção de dados pessoais deve ser adequada aos papéis e responsabilidades das pessoas.
[Liste aqui diretrizes que julgue necessários para à conscientização, capacitação e sensibilização]
CAPÍTULO IV
Segurança e Boas Práticas
A segurança e o conjunto de boas práticas visam prevenir violações de privacidade e segurança, cumprir normas e regulamentações, bem como proteger a privacidade e promover a confiança dos titulares de dados pessoais. O órgão deve apresentar suas abordagens, políticas e ações recomendadas que asseguram a integridade, confidencialidade e disponibilidade de dados. Nesta seção, poderá ser especificado aspectos gerais das boas práticas e segurança que o órgão adota para garantir a proteção adequada dos dados pessoais coletados. Não havendo medidas técnicas de privacidade e segurança implementadas, deverão ser listadas ações de mitigação de riscos que se destinam a privacidade e proteção dos dados pessoais.
Art. 19.O(a) [Órgão ou entidade]deve manter uma base de conhecimento com documentos que apresentam condutas e recomendações que melhoram o gerenciamento de risco e que orientam na tomada de ações adequadas em caso de comprometimento de dados pessoais.
Art. 20. Qualquer ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos dados pessoais dostitulares deve ser comunicada a Autoridade Nacional de Proteção de Dados (ANPD) dentro do prazo previsto pela LGPD.
Art. 21. Serão adotadas medidas técnicas e organizacionais de privacidade e proteção de dados, dispostas a seguir,com o objetivo diminuir ou mitigar a existência incidentes com os dados pessoais do titular:
- o acesso aos dados pessoais é limitado as pessoas que realizam o
- as funções e responsabilidades dos colaboradores envolvidos nos tratamentos de dados pessoais são claramente estabelecidas e comunicadas;
- são estabelecidos acordos de confidencialidade, termos de responsabilidade ou termos de sigilo com operadores de dados pessoais;
- todos os dados pessoais são armazenados em ambiente seguro, de modo que terceiros não autorizados não possam acessá-los.
[Liste aqui medidas de segurança e conjunto de boas práticas que fazem parte do escopo de privacidade e proteção de dados pessoais da organização].
CAPÍTULO V
Auditoria e Conformidade
Essa seção tem por objetivo orientar como será realizada a avaliação para determinar se a organização está em conformidade com as normas que regem a política. É importante estabelecer os responsáveis pela auditoria, os instrumentos pelo qual poderá ser realizada e documentada, além da periodicidade que ela será realizada.
Art. 22. O cumprimento desta Política, bem como dos normativos que a complementam devem ser avaliados periodicamente por meio de verificações de conformidade, buscando a certificação do cumprimento dos requisitos de privacidade e proteção de dados pessoais e da garantia de cláusula de responsabilidade e sigilo constantes de termos de responsabilidade, contratos, convênios, acordos e instrumentos congêneres.
Art. 23. As atividades, produtos e serviços desenvolvidos no(a) [Órgão ou entidade] devem estar em conformidade com requisitos de privacidade e proteção de dados pessoais constantes de leis, regulamentos, resoluções, normas, estatutos e contratos jurídicos vigentes.
Art. 24. Os resultados de cada ação de verificação de conformidade devem ser documentados em relatório de avaliação de conformidade.
[Liste aqui procedimentos que julgue ser necessários à auditoria e conformidade].
CAPÍTULO VI
Funções e Responsabilidades
Essa seção tem o objetivo de estabelecer as funções e responsabilidades dos operadores, encarregado e controlador da organização. Também devem ser apresentadas as responsabilidades e diretrizes para o estabelecimento do Comitê de Proteção de Dados Pessoais (CPDP) ou estrutura equivalente. O uso da denominação “Comitê de Proteção de Dados Pessoais (CPDP)” apresenta caráter meramente ilustrativo, o órgão ou entidade deve citar, caso exista, o nome do colegiado que delibera sobre privacidade e proteção de dados pessoais na instituição.
É uma boa prática de governança existir o citado colegiado, mas seu destaque nesse modelo não significa que está sendo indicada a obrigatoriedade de existência, ficando a cargo da instituição avaliar a definição dessa estrutura. Se a instituição não adota colegiado sobre o tema privacidade e proteção de dados pessoais, então indica-se retirar os textos relacionados com o CPDP.
Art. 25. Qualquer pessoa natural ou jurídica de direito público ou privado que tenha interação em qualquer fase do tratamento de dados pessoais deve garantir a privacidade e a proteção de dados pessoais, mesmo após o término do tratamento, observando as medidas técnicas e administrativas determinadas pela organização.
Art. 26. Compete ao [Comitê de Proteção de Dados Pessoais (CPDP)] prover orientação e o patrocínio necessários às ações de privacidade e proteção de dados pessoaisno(a)[Órgão ou entidade], de acordo com os objetivos estratégicos e com as leis e regulamentos pertinentes.
- assessorar a implementação da proteção de dados pessoais;
- constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre proteção de dados pessoais;
- participar da elaboração da Política de Proteção de Dados Pessoais e das demais normas internas de privacidade e proteção de dados pessoais, além de propor atualizações e alterações nestes dispositivos;
- incentivar a conscientização, capacitação e sensibilização das pessoas que desempenham qualquer atividade de tratamento de dados pessoais dentro do(a) [Órgão ou entidade].
[Liste as demais atribuições do Comitê de Proteção de Dados Pessoais (CPDP) ou estrutura equivalente que julgue necessário.]
Art. 27. O [Comitê de Proteção de Dados Pessoais (CPDP) ou estrutura equivalente] terá a seguinte composição:
A composição destacada abaixo é meramente ilustrativa, ficando a cargo da instituição a definição da composição que considerar adequada a sua realidade.
- gestor de Segurança da Informação;
- o encarregado pelo tratamento de dados pessoais;
- um representante da Secretaria-Executiva ou estrutura equivalente;
- um representante do departamento de tecnologia da informação;
- um representante do departamento jurídico;
- um representante da ouvidoria;
- um representante da unidade de controle interno ou estrutura equivalente;
- um representante de cada unidade finalística.
[Liste os demais integrantes do Comitê de Proteção de Dados Pessoais (CPDP) ou estrutura equivalente que julgue necessário.]
Art. 28. A presidência do[Comitê de Proteção de Dados Pessoais (CPDP) ou estrutura equivalente]será exercida pelo titular/representante da Secretária-Executiva do(a) [Órgão ou entidade].
Art.29. A responsabilidade pelas decisões relacionadas ao tratamento de dados pessoais é do(a) [Órgão ou entidade]que no exercício das atribuições típicas de controlador determina as medidas necessárias para executar a Política de Proteção de Dados Pessoais dentro de sua estrutura organizacional.
Art. 30. São atribuições do controlador:
- observar os fundamentos, princípios da privacidade e proteção de dados pessoais e os deveres impostos pela LGPD e por normativos correlatos no momento de decidir sobre um futuro tratamento ou realizá-lo;
- considerar o preconizado pelosart. 7º, art. 11 e art. 23 antes de realizar o tratamento de dados pessoais;
- cumpriro previsto pelos art. 46 e art. 50 da LGPD buscando à proteção de dados pessoais e sua governança;
- indicar um encarregado pelo tratamento de dados pessoais, divulgando a identidade e as informações de contato do encarregado de forma clara e objetiva, preferencialmente no sítio institucional.
- elaborar o inventário de dados pessoais a fim de manter registros das operações de tratamento de dados pessoais;
- reter dados pessoais somente pelo período necessário para o cumprimentoda hipótese legal e finalidade utilizadas como justificativa para o tratamento de dados pessoais;
- criar e manter atualizados os avisos ou políticas de privacidade, que informarão sobre os tratamentos de dados pessoais realizados em cada ambiente físico ou virtual, e como os dados pessoais neles tratados são protegidos;
- requerer do titular a ciência com o termo de uso para cada serviço ofertado, informatizado ou não, que trate dados pessoais.
[Liste as demais atribuições do controlador que julgue necessário.]
- 1º É vedado qualquer tratamento de dados pessoais para fins não relacionados com as atividades desenvolvidas pela organização ou por pessoa não autorizada formalmente por este(a) [Órgão ou entidade].
Art. 31. São considerados operadores de dados pessoais as pessoas naturais ou jurídicas de direito público ou privado, que realizam operações de tratamento de dados pessoais em nome do controlador.
Parágrafo único. Qualquer fornecedor de produtos ou serviços, que por algum motivo, realiza o tratamento de dados pessoais a eles confiados, são considerados operadores e devem seguir as diretrizes estabelecidas nesta política, em especial o capítulo VII.
Art. 32. São atribuições do operador:
- observar os princípios estabelecidos no Art. 6º da LGPD, ao realizar tratamento de dados pessoais.
- seguir as diretrizes estabelecidas pelo controlador;
- antes de efetuar o tratamento, verificar se as diretrizes estabelecidas pelo controlador cumprem os requisitos legais presentes nos art. 7º, art. 11 e art. 23 da LGPD;
[Liste as demais atribuições do operador que julgue necessário.]
Parágrafo único. É proibida a decisão unilateral do operador quanto aos meios e finalidades utilizados para o tratamento de dados pessoais.
Art. 33. São atribuições do encarregado de proteção de dados:
- receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- receber comunicações e requisições da ANPD e adotar providências; e
- orientar os colaboradores da organização a respeito das práticas a serem adotadas em relação à proteção de dados pessoais.
[Liste as demais atribuições do encarregado que julgue necessário, conforme destacado pelo inciso IV do § 2º do art. 41 da LGPD].
CAPÍTULO VII
Contratos, Convênios, Acordos e Instrumentos Congêneres
Este item tem como finalidade assegurar que o controlador observe rigorosamente se o terceiro, por meio de contratos, convênios ou quaisquer instrumentos afins, adota as medidas definidas pelo controlador com o propósito de cumprir os requisitos de privacidade e proteção de dados. O contrato entre as partes estabelece suas atribuições e responsabilidades. Cabe ao órgão citar quaisquer outras diretrizes pertinentes ao item.
Art. 34. Os contratos, convênios, acordos e instrumentos similares atualmente em vigor, que de alguma forma envolvam o tratamento de dados pessoais, devem incorporar cláusulas específicas em total conformidade com a presente Política de Proteção de DadosPessoais e que contemplem:
- requisitos mínimos de segurança da informação.
- determinação de que o operador não processe os dados pessoais para finalidades que divergem da finalidade principal informada pelo controlador.
- requisitos de proteção de dados pessoais que os operadores de dados pessoais devem atender.
- condições sob as quais o operador deve devolver ou descartar com segurança os dados pessoais após a conclusão do serviço, rescisão de qualquer contrato ou de outra forma mediante solicitação do controlador
- diretrizes especificas sobre o uso de subcontratados pelo operador para execução contratual que envolvatratamento de dados pessoais.
[Liste as demais diretrizes que julgarem pertinentes sobre os contratos, convênios, acordos e instrumentos congêneres que devem estar presentes nesta Política de Proteção de Dados Pessoais].
A Secretaria de Governo Digital disponibiliza em seu portal o Guia de Requisitos e Obrigações quanto à Privacidade e Segurança da Informação que orienta a adequação do processo de contratação para contemplar os requisitos mais importantes de privacidade e segurança dos dados.
Art. 35. São adotadas medidas rigorosas com o propósito de assegurar que os terceiros e processadores de dados pessoais contratados estão plenamente em conformidade com as cláusulas contratuais estabelecidas no momento da celebração do acordo entre as partes envolvidas.
CAPÍTULO VIII
Penalidades
Estabelecer as consequências e as penalidades para os casos de violação da Política de Proteção de Dados Pessoais ou de quebra de segurança, de acordo com as normas já existentes no ordenamento jurídico vigente sobre penalidades ao servidor público federal relativas ao assunto.
Art. 36. Ações que violem a Política de Proteção de Dados Pessoais poderão acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.
Art. 37. Casos de descumprimento desta Política deverão ser registrados e comunicados ao [responsável] para ciência e tomada das providências cabíveis.
[Liste, caso necessário, as penalidades que estarão sujeitos aqueles que infligirem a Política de Proteção de Dados Pessoais].
CAPÍTULO IX
Disposições Finais
Este item tem como finalidade dispor das diretrizes finais que a organização deve expor para a revisão, e melhoria contínua da Política de Proteção de Dados Pessoais.
Art. 38. Os integrantes do[Comitê de Proteção de Dados Pessoais (CPDP) ou estrutura equivalente] poderão expedir instruções complementares, no âmbito de suas competências, que detalharão suas particularidades e procedimentos relativos à Proteção de Dados Pessoais alinhados às diretrizes emanadas pelo [CPDP ou estrutura equivalente] e aos respectivos Planos Estratégicos Institucionais do(a) [Órgão ou entidade].
Art. 39. As dúvidas sobre a Política de Proteção de Dados Pessoais e seus documentos devem ser submetidas ao [Comitê de Proteção de Dados Pessoais ou estrutura equivalente].
Art. 40. Esta política deverá ser revisada no período de [definir o prazo para revisão da política], a partir do início de sua vigência.
Art. 41. Os casos omissos serão resolvidos pela [autoridade máxima da organização ou CPDP].
Art. 42. Esta política entra em vigor na data de sua publicação.
[Liste, caso necessário, as diretrizes finais da Política de Proteção de Dados Pessoais].