POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS (PPPD)
BONY FIT CONDICIONAMENTO FÍSICO LTDA
HISTÓRICO DE REVISÕES
DATA | VERSÃO | DESCRIÇÃO | ALTERAÇÕES | AUTOR |
20/02/2020 | 1.0 | Criação da política |
# |
Walgeferson Sobrinho Rêgo |
05/01/2023 | 2.0 | Atualização | Inclusão de novas informações | Lucas Gomes Bombonato – OAB/PA 19.067 |
SUMÁRIO
- AGENTE DE TRATAMENTO.
- FUNDAMENTOS PARA A PROTEÇÃO DE DADOS.
- A QUEM SE APLICA?.
- GLOSSÁRIO E DEFINIÇÕES.
- PRINCÍPIOS NORTEADORES PARA O TRATAMENTO DE DADOS.
- QUAIS DADOS SÃO COLETADOS E TRATADOS?.
- MOTIVOS PARA O TRATAMENTO DE DADOS.
- COMPARTILHAMENTO.
- MANUTENÇÃO DOS DADOS.
- RETENÇÃO E EXCLUSÃO DOS DADOS.
- GESTÃO DE INCIDENTES.
- DIREITOS DOS TITULARES DE DADOS.
- LEGISLAÇÃO APLICÁVEL E FORO.
1. AGENTE DE TRATAMENTO
A empresa BONY FIT CONDICIONAMENTO FISICO LTDA, pessoa jurídica de direito privado, inscrita no CNPJ sob o nº. 22.762.690/0001-59, com sede na Avenida Mendonça Furtado, nº. 2300, Aldeia, CEP 68.040-050, Santarém/PA, atua majoritariamente como controladora de dados, coletados dos seus funcionários, clientes, fornecedores e prestadores de serviços.
2. FUNDAMENTOS PARA A PROTEÇÃO DE DADOS.
A proteção de dados dentro da empresa é critério fundamental e basilar no desenvolvimento de rotinas de trabalho, contratação de novas tecnologias e estabelecimento de condutas e políticas internas, sempre tendo como fundamento os seguintes princípios.
- Respeito à privacidade;
- Autodeterminação informativa;
- Liberdade de expressão, de informação, de comunicação e de opinião;
- Inviolabilidade da intimidade, da honra e da imagem;
- Desenvolvimento econômico e tecnológico e a inovação;
- Livre iniciativa, a livre concorrência e a defesa do consumidor;
- Direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
3. A QUEM SE APLICA?
Esta política de privacidade se aplica aos seguintes casos de coleta e tratamento de dados pessoais e as seguintes pessoas.
- Tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
- Operação de tratamento realizada no território nacional;
- Atividade de tratamento que tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
- Dados pessoais, objeto do tratamento, tenham sido coletados no território nacional.
4. GLOSSÁRIO E DEFINIÇÕES
Para que esta política possa ser entendida em sua integralidade, é importante que alguns conceitos e definições sejam expostos.
- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
- Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
- Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
- Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
- Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
- Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
- Agentes de tratamento: o controlador e o operador;
- Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
- Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
- Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
- Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
- Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
- Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
- Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
- Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
- Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
- Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
5. PRINCÍPIOS NORTEADORES PARA O TRATAMENTO DE DADOS
O ato de tratar dados praticado pela empresa sempre deve visar o respeito aos seguintes princípios.
- Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
- Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
- Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
- Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
- Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
- Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
- Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
- Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
- Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
- Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Com base nesses princípios norteadores, todas as rotinas de trabalho são realizadas pelo sistema integrado e informatizado presente na empresa, de modo que cada colaborador somente tem acesso aos dados que são necessários para que ele exerça as suas funções.
6. QUAIS DADOS SÃO COLETADOS E TRATADOS?
A empresa se restringe a coletar unicamente dados pessoais necessários para o cumprimento das suas obrigações legais e contratuais, em sua maioria de pessoas maiores de idade.
O tipo de dado pessoa coletado depende do titular, de modo que os dados funcionários, prestadores de serviço, clientes e fornecedores fornecem tipos diferentes de dados, em função das necessidades específicas da empresa.
Eventualmente a empresa poderá coletar dados pessoais sensíveis, contudo, quando assim o faz é para a proteção da vida e incolumidade física do próprio e de terceiros, assim como para prevenir fraudes e tutelar a sua segurança.
É possível, em situações exigidas por lei, que a empresa colete dados pessoais de crianças e adolescentes, o qual ocorre apenas mediante consentimento expresso conferido pelo seu responsável legal.
7. MOTIVOS PARA O TRATAMENTO DE DADOS
Em regra, a empresa trata dados pessoais pelos seguintes motivos.
- Mediante o fornecimento de consentimento pelo titular;
- Para o cumprimento de obrigação legal ou regulatória pelo controlador;
- Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
- Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
- Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
- Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
8. COMPARTILHAMENTO
A empresa realiza o compartilhamento dos dados coletados por ela, em grau maior ou menor, a depender da qualificação do titular entre cliente, funcionário, prestador de serviços e fornecedor, a fim de que as suas obrigações legais, principalmente de cunho trabalhista, fiscal, tributário e contábil sejam cumpridas.
Da mesma forma, os dados podem ser eventualmente compartilhados por determinação judicial ou de autoridade policial, assim como para a tutela de direitos da empresa em processo administrativo ou judicial.
Os atos de compartilhamento sempre são realizados com todos os cuidados tecnológicos possíveis, visando impedir qualquer vazamento ou acesso indevido.
Além disso, os operadores que recebem os dados compartilhados, em regra apresentam portal próprio para esse tipo de compartilhamento, o qual é revestido dos cuidados necessários, assim como já apresentam política de privacidade bem definida e implementada.
A empresa não realiza qualquer tipo de compartilhamento internacional dos dados que coleta.
9. MANUTENÇÃO DOS DADOS
Os dados pessoais coletados pela empresa são mantidos através de rotinas bem definidas e sistemas de última geração, que visam garantir um alto nível de controle, organização e proteção.
Dessa forma, o acesso aos dados pessoais sempre é monitorado, pelo sistema, protocolos, funcionários e câmeras de segurança, de modo que qualquer irregularidade é facilmente identificada e corrigida.
10. RETENÇÃO E EXCLUSÃO DOS DADOS
Os dados pessoais coletados e tratados pela empresa são retidos no seu banco de dados enquanto o titular de dados tiver relação jurídica ativa com a empresa
Encerrada a relação jurídica entre eles, a depender de cada caso, a empresa aplica as suas regras de retenção para apenas eliminar os dados após o referido prazo.
Esse prazo é necessário para que a empresa possa adimplir toda e qualquer eventual obrigação legal ou contratual que venha a surgir, mesmo depois de encerrada a relação jurídica com o titular, ou mesmo para que ela possa tutelar os seus direitos em eventual demanda judicial, extrajudicial ou administrativa.
A exclusão desses dados sempre é acompanhada de registro do ato, seja pelo log do sistema informatizado utilizado pela empresa, seja através do registro no respectivo livro de controle.
11. GESTÃO DE INCIDENTES
A empresa apresenta Plano de Resposta a Incidentes – PRI, onde além da formação do comitê de gestão de incidentes, também define o papel de cada um dos seus integrantes, em todos os momentos de qualquer possível incidente.
Essas definições abarcam os seguintes procedimentos:
- Preparação (Pré Incidente)
- Essa fase engloba todas as medidas que a empresa vem adotando para garantir a sua adequação a LGPD, envolvendo as partes documental, tecnológica, procedimental e cultural.
- Monitoramento e Identificação
- Em função da sua adequação, a empresa reforçou e adicionou procedimento e ferramentas capazes de lhe auxiliar no monitoramento de todas as atividades de tratamento de dados e os agentes envolvidos, de modo a lhe fornecer meios para identificar e classificar eventuais problemas.
- Contenção e Erradicação
- Na hipótese do incidente acontecer, a empresa já estabeleceu as rotinas que deverão ser adotadas para conter o problema e erradica-lo, inclusive já prevendo no seu PRI, diversas hipóteses de incidente, dentre as mais rotineiramente vistas.
- Recuperação (Pós Incidente)
- Por fim, o PRI aponta quais as medidas deverão ser adotadas para recuperar os sistemas afetados pelo incidente, a fim de que eles possam voltar a funcionar corretamente, assim como sanar a falha que permitiu a ocorrência do incidente, de modo que os parâmetros de segurança fiquem mais robustos.
Aqui também é importante destacar que qualquer incidente identificado pela empresa será avaliado pelo seu encarregado e pelo comitê, inclusive em função da necessidade de produção do Relatório Técnico de análise do incidente e, se for o caso, de comunicação da questão aos titulares e a ANPD.
12. DIREITOS DOS TITULARES DE DADOS
A LGPD define que os titulares de dados têm os seguintes direitos perante os controladores e operadores.
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
- Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
- Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 dasta Lei;
- Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- Revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
Esses direitos poderão ser exercidos pelos titulares de dados de forma gratuita, nos termos abaixo.
Os titulares de dados poderão exercer os seus direitos, conforme previsto na LGPD e elencado acima, através de requerimento físico presente na recepção da empresa controladora, ou através de email a ser enviado diretamente ao encarregado.
Email - tecnico@bonyfit.com
Endereço - Avenida Mendonça Furtado, 2300. Bairro Aldeia, Santarém - Pará. CEP 68040-060.
O prazo para resposta do requerimento é de 10 (dez) dias úteis.
Toda e qualquer denúncia relativa à violação ou suspeita de violação aos termos desta política deverão ser informadas diretamente ao encarregado, conforme email acima.
13. LEGISLAÇÃO APLICÁVEL E FORO
Esta Política de Privacidade e Proteção de Dados – PPPD é regida pela LGPD e será periodicamente atualizada, sempre que necessário, seja por adequações internas da empresa, seja porque a Autoridade Nacional de Proteção de Dados – ANPD editou normas de aprimoramento das condutas de boas práticas e governança, ficando desde já eleito o foro da comarca de Belém/PA para dirimir quaisquer questões relativas a este documento.