A S&D Tecnologia adota a Política de Privacidade e Proteção de Dados.
A S&D Tecnologia reconhece a importância da privacidade e da segurança, e tem o compromisso de cumprir as leis aplicáveis de proteção de dados e os requisitos contratuais do cliente na administração de dados pessoais.
Esta Política Global de Privacidade e Proteção de Dados estabelece os princípios que se aplicam ao processamento de dados pessoais pela S&D Tecnologia e descreve como a S&D Tecnologia cumpre esses princípios, e oferece uma visão geral da estrutura de governança de privacidade da S&D Tecnologia, e as funções e responsabilidades dos principais grupos e pessoas no cumprimento das obrigações e tarefas de conformidade da S&D Tecnologia. Esta política será complementada por políticas, procedimentos e diretrizes adicionais para abordar áreas, jurisdições, leis e requisitos específicos.
Esta Política se aplica a todos os dados pessoais S&D Tecnologia como controladora e processadora de dados, inclusive os dados relativos ao seu pessoal, clientes, demandantes, prestadores de serviço e outras partes. Todo o pessoal deve cumprir esta Política. O Funcionário que violar esta Política pode estar sujeito a medidas disciplinares segundo a legislação local ou termos laborais aplicáveis.
Todos os funcionários têm um papel importante a desempenhar na gestão adequada e na salvaguarda de dados pessoais, para identificar problemas de manuseio e proteção de dados à medida que surgem, e para encaminhá-los imediatamente ao Departamento Jurídico e Compliance.
Todos os funcionários também devem cooperar conforme necessário para a implementação de princípios, requisitos e componentes chave desta Política.
Processamento justo, transparente e legal. Dados pessoais serão coletados, armazenados e processados de maneira justa, legal e transparente. Isso significa que:
i. As pessoas serão informadas do processamento (pelo controlador de dados).
ii. Os dados pessoais são processados segundo a finalidade declarada para sua coleta ou para
propósitos compatíveis semelhantes, e estão sujeitos a uma base legal, tal como consentimento, onde
exigido por lei.
iii. Os dados pessoais não são processados de formas não esperadas razoavelmente pelo titular dos
dados.
iv. Ao agir como processador de dados, os dados pessoais só serão processados conforme necessário
para executar os serviços conforme orientado pelos clientes, ou onde, de outra forma, for exigido
pela legislação aplicável.
Minimização de dados. Os dados pessoais serão coletados apenas onde razoável e necessário para os fins declarados para os quais estão sendo processados, e serão adequados, relevantes e limitados ao que é necessário em relação a esses propósitos.
• Limite de propósito. Os dados pessoais serão processados para fins específicos, explícitos e
legítimos, e de uma maneira compatível com o propósito para o qual foram inicialmente coletados.
• Precisão. Os dados pessoais serão precisos e atualizados.
i. Serão tomadas medidas razoáveis para assegurar a precisão dos dados pessoais obtidos.
ii. Dados pessoais imprecisos (considerando o propósito de seu processamento) serão eliminados
ou retificados.
• Retenção limitada. Os dados pessoais serão retidos apenas enquanto forem necessários para
atingir o(s) fim(ns) específico(s) e estarão sujeitos às leis de proteção de dados aplicáveis e
aos requisitos contratuais dos clientes.
• Segurança e integridade. Medidas apropriadas de segurança organizacional, administrativa e
técnica serão implementadas para salvaguardar os dados pessoais, oferecer processamento seguro
para eles, além de identificar, prevenir, detectar e mitigar riscos aos dados pessoais,
sistemas, ferramentas e processos usados para processar dados pessoais.
i. Os dados pessoais serão processados de uma maneira que ofereça segurança apropriada
deles.
ii. Medidas de segurança precisam ser concebidas e implementadas para proteger contra
processamento ilegal e não autorizado, e perda, destruição ou dano acidental dos dados pessoais
e sistemas correlatos.
iii. Serão concebidos e implementados controles para detectar, mitigar e corrigir eventos e
incidentes de segurança.
iv. Serão estabelecidas políticas e procedimentos para que tais eventos e incidentes de
segurança e privacidade sejam imediatamente relatados internamente, e investigados, avaliados e
administrados segundo as leis de proteção de dados estabelecidas, onde possam impactar os dados
pessoais ou atividades de processamento correlatas.
• Concepção de privacidade. Atividades e processos serão concebidos, implementados e realizados
de forma que ofereçam, desde o princípio, conformidade com os princípios supracitados e a
integração de salvaguardas necessárias para dados pessoais.
• Responsabilidade. A conformidade com estes princípios será avaliada e as atividades de
processamento serão conduzidas de forma que demonstrem conformidade e possam ser auditadas e
avaliadas.
i. Consultas e reclamações relacionadas ao processamento de dados pessoais serão avaliadas,
respondidas e resolvidas (dentro do possível) de maneira justa e sem atraso injustificado.
ii. Processos razoáveis para receber, administrar e responder a perguntas, solicitações e
reclamações de pessoas e clientes são estabelecidos para fornecer respostas justas, oportunas,
coerentes e em conformidade com a lei.
iii. Registros precisos de atividades de processamento serão mantidas, incluindo registros de
incidentes de segurança, reclamações, solicitações do titular dos dados e outros registros
obrigatórios segundo as leis aplicáveis de proteção de dados.
A fim de cumprir todos os princípios supracitados, a S&D Tecnologia precisa tomar medidas para assegurar que estes princípios sejam abordados dentro de todos os processos e atividades comerciais relevantes, e implementar determinados processos e procedimentos, que incluam os seguintes componentes principais, cada um dos quais é abordado abaixo nesta Política:
• Notificação às pessoas físicas
• Base legal de processamento
• Manutenção de registros (e registros de processamento)
• Direitos do titular dos dados
• Gestão de terceiros e prestadores de serviço
• Resposta a incidentes
• Conscientização e treinamento referentes à privacidade
• Avaliações de impacto à privacidade
• Avaliações e auditorias contínuas
• Governança
A S&D Tecnologia notificará os titulares dos dados pessoais que ela os processa segundo exigido pela lei de proteção de dados, incluindo aviso do seguinte: os tipos de dados pessoais coletados, os propósitos do processamento, método de processamento, os direitos do titular dos dados com relação a seus dados pessoais, o período de retenção, possíveis transferências internacionais de dados, se eles serão compartilhados com terceiros e as medidas de segurança da Empresa para protegê-los. Para os funcionários, estas informações serão estabelecidas em um aviso de privacidade do funcionário e notificações adicionais, conforme requerido pela lei de proteção de dados. Onde aplicável, os avisos de privacidade do funcionário serão fornecidos aos novos funcionários durante o período de integração, e uma cópia do aviso de privacidade será publicada on-line, sempre que possível, e disponível através dos contatos do setor local de Recursos Humanos. Os funcionários serão notificados e receberão uma cópia dos avisos aplicáveis de privacidade do funcionário sempre que forem feitas mudanças substanciais. Para os clientes, prestadores de serviço e outros terceiros relevantes, um aviso de privacidade deve ser fornecido ou disponibilizado de forma recuperável e facilmente acessível, onde praticável no momento da coleta dos dados pessoais ou o mais rápido possível após.
Os dados pessoais apenas podem ser coletados e processados pela S&D Tecnologia em conformidade com as leis aplicáveis de proteção de dados e onde requerido com o consentimento do titular dos dados. Ao agir como processador de dados, os dados pessoais apenas serão processados conforme necessário para executar os serviços conforme orientado pelos clientes, ou onde, de outra forma, for exigido pela legislação aplicável. Sempre que o processamento dos dados pessoais estiver baseado no consentimento explícito do titular dos dados, um registro de tal consentimento precisa ser feito e mantido.
A S&D Tecnologia manterá registros precisos de suas atividades de processamento, incluindo registros obrigatórios conforme estabelecido nas leis aplicáveis de proteção de dados.
Os titulares dos dados têm direitos específicos relacionados a seus dados pessoais e o modo pelo qual eles são processados. Os titulares dos dados terão um mecanismo razoável para lhes permitir acessar seus dados pessoais, exercer qualquer outro direito aplicável, tais como o direito de atualizar, retificar, eliminar ou transmitir em forma portátil seus dados pessoais, se apropriado ou requerido pela lei (“Direitos do Titular dos dados”), e fazer uma consulta ou reclamação relacionada ao processamento de seus dados pessoais.
Ao agir como processador de dados, a S&D Tecnologia, em cumprimento às leis aplicáveis e requisitos contratuais, notificará o controlador de dados de qualquer solicitação feita pelo titular dos dados para exercer os direitos de titular dos dados e fornecer assistência razoável após solicitação para permitir que o controlador de dados responda à solicitação conforme requerido pelas leis de proteção de dados.
Ao agir como processador de dados, a S&D Tecnologia tem a responsabilidade de respeitar os direitos do titular dos dados e responder a solicitações relacionadas conforme exigido pelas leis de proteção de dados. Transferências internacionais de dados pessoais Leis aplicáveis de proteção de dados e compromissos com o cliente podem exigir que a S&D Tecnologia tom e medidas para proteger os dados pessoais antes de os transferir para fora do país onde foram coletados.
A S&D Tecnologia precisa tomar medidas para assegurar que as transferências internacionais, se for o caso, de dados pessoais estejam sujeitas às salvaguardas adequadas. Os dados pessoais que forem transferidos internacionalmente precisam ser processados pela S&D Tecnologia ou em nome dela conforme as leis aplicáveis de proteção de dados e compromissos do cliente.
Antes que qualquer transferência a um prestador de serviços ocorra, a S&D Tecnologia tomará medidas para incorporar as cláusulas contratuais padrão no acordo contratual aplicável entre a S&D Tecnologia e o prestador.
Relacionamentos comerciais com terceiros e com sua contratação precisam ser conduzidos de maneira que cumpra com esta Política e as leis aplicáveis de proteção de dados e compromissos com o cliente. Prestadores de serviço e subprocessadores apenas podem ser contratados se forem capazes de cumprir os padrões adequados e fornecer as proteções pertinentes para os dados pessoais.
Pelo menos:
• Análise detalhada adequada de todos os prestadores de serviço e subprocessadores deve ser
conduzida,
antes do processamento de seus dados pessoais (incluindo armazenamento e acesso), e em uma base
contínua
após, conforme necessário.
• Devem ser implementadas obrigações contratuais pertinentes com cada prestador de serviço (onde
relevante), que incluem obrigações contratuais equivalentes àquelas que se aplicam à S&D Tecnologia
segundo seus contratos relevantes com o cliente.
• A S&D Tecnologia tomará medidas para incorporar as cláusulas contratuais padrão no acordo
contratual
aplicável entre a S&D Tecnologia e o prestador, caso haja alguma transferência restrita.
• Todas as medidas necessárias segundo as leis aplicáveis de proteção de dados e compromissos
contratuais com o cliente serão cumpridos. Resposta a incidentes
Controles adequados são necessários para que os incidentes de segurança que possam impactar os dados
pessoais sejam detectados, relatados e administrados segundo as políticas e procedimentos
estabelecidos.
Quando um evento ou incidente de segurança puder impactar os dados pessoais ou indicar uma violação
a
esta Política, as leis de proteção de dados ou compromissos com o cliente, o Departamento Jurídico e
Compliance deverá ser imediatamente notificado. O Departamento Jurídico e Compliance tem a
responsabilidade de avaliar, investigar e determinar a resposta e obrigações de notificação que
surgem
de um evento ou incidente de privacidade, e todo o pessoal deve cooperar com Departamento Jurídico e
Compliance conforme necessário para avaliar, investigar, mitigar, relatar e resolver eventos e
incidentes de privacidade.
Onde uma violação de dados é determinada, a S&D Tecnologia precisa agir prontamente para fornecer
qualquer aviso necessário aos clientes relevantes, autoridades supervisórias e titulares dos dados.
Governança de privacidade e proteção de dados são essencialmente importantes para a S&D Tecnologia,
e sua capacidade de:
• Cumprir as leis e compromissos contratuais com os clientes
• Controlar riscos
• Manter a confiança
• Operar efetivamente
• Suportar metas estratégicas e o modelo de governança de dados
Treinamento obrigatório sobre privacidade e segurança será obrigatório para todo o pessoal, pelo menos, em caráter anual, referente à privacidade, proteção de dados e segurança da informação. Treinamento adicional baseado na função Pessoal com funções que envolvem administração regular de dados pessoais e aqueles com responsabilidades chave específicas dentro da estrutura de governança da privacidade receberão treinamento e recursos adicionais baseados na função.
É estritamente importante que as atividades e processos sejam concebidos, implementados e realizados de forma que ofereça conformidade com as leis de proteção de dados e políticas da S&D Tecnologia e a integração das proteções necessárias para dados pessoais.
Avaliações de impacto da privacidade (PIA, Privacy Impact Assessments) devem ser conduzidas para avaliar o impacto à privacidade e identificar riscos relacionados aos projetos, atividades e prestadores de serviço que possam impactar a privacidade e a segurança dos dados pessoais. Antes de contratar um novo prestador de serviços, começar um novo projeto, conceber ou atualizar substancialmente um novo sistema, combinar dados de dois sistemas ou registrar configurações, ou de outra forma, envolver-se toda atividade ou processo novos ou substancialmente modificados que possam impactar os dados pessoais ou como são processados, uma PIA precisa ser conduzida.
Onde uma PIA indicar que o processamento dos dados pessoais tem a probabilidade de resultar em um alto risco aos direitos e liberdade das pessoas, uma avaliação de impacto à proteção de dados (DPIA, Data Protection Impact Assessment) será conduzida antes de tal processamento a fim de determinar a natureza desses riscos e mitigá-los dentro do possível. Tal processamento não pode começar até que o Departamento Jurídico e Compliance tenha determinado que os riscos do processamento foram adequadamente mitigados.
Avaliação e atualizações contínuas Avaliações de risco contínuas de processos e sistemas administrativos serão conduzidas para:
• verificar a implementação e o cumprimento de controles internos, políticas e procedimentos; e
• identificar qualquer falha de conformidade. Processos e procedimentos de conformidade com a
privacidade serão atualizados para responder por:
• novas ameaças ou riscos aos negócios que foram identificados;
• mudanças a operações e atividades;
• mudanças na legislação de privacidade; e
• áreas para melhoria com base nos resultados das avaliações de risco, PIA, auditorias,
reclamações,
lições aprendidas de iniciativas de resposta a incidentes, e/ou outros meios.
A S&D estabeleceu o Departamento Jurídico e Compliance para desenvolver, administrar e orientar
iniciativas de privacidade em toda a empresa.
• Inicia e incentiva uma cultura de privacidade dentro da S&D Tecnologia
• Assegura que a privacidade seja incluída nos objetivos e metas da empresa
• Administra a conformidade em um ambiente regulamentar complexo
“Cliente” significa um cliente atual, anterior ou potencial da S&D Tecnologia, e qualquer outra parte em cujo nome a S&D Tecnologia age segundo orientação de tal cliente. “Controlador de dados” ou “Controlador” significa a pessoa/entidade natural ou jurídica que sozinha ou em conjunto com outros, determina os propósitos e meios do processamento de dados pessoais. “Dados confidenciais” significa dados pessoais considerados confidenciais ou que, de outra forma, estão sujeitos a normas regulamentares mais estritas segundo as leis de proteção de dados (incluindo “categorias especiais de dados pessoais” conforme as leis de proteção de dados da UE), e dados pessoais que, se acessados ou divulgados sem autorização, poderiam levar a roubo de identidade ou dano substancial financeiro, físico ou à reputação, incluindo também: raça ou etnia; crenças religiosas ou filosóficas; associação a sindicatos; afiliação política; orientação sexual ou vida privada; informações de saúde, tratamento médico; informações sobre deficiência física ou mental; informações de saúde protegidas; saúde mental; genética, biometria; números de cartão de crédito ou contas financeiras; dados de cartão de pagamento; número de CPF ou identificadores do governo; relatório de crédito ou verificação de antecedentes; e antecedentes criminais ou processos penais. “Dados pessoais” significa toda informação relacionada a uma pessoa natural identificada ou identificável; inclui informações em qualquer formato ou meio, independentemente de a informação estar criptografada ou não. Uma pessoa pode ser diretamente identificada por seu nome, endereço, ID de funcionário, número de reclamação, endereço de e-mail, número de telefone ou identificador do governo, por exemplo. Uma pessoa pode ser indiretamente identificada por meio de vinculação ou combinação de informações adicionais que podem ou não estar sob custódia ou controle da S&D Tecnologia, tais como um endereço de IP, endereço MAC, identificador de dispositivo, identificador biométrico ou outro identificador exclusivo, informações de geolocalização, informações genéticas ou de DNA, por exemplo. “Dados pessoais dos clientes” significa dados pessoais que a S&D Tecnologia processa (como processador de dados) em nome de seus clientes. “Processador de dados” ou “Processador” significa a pessoa/entidade natural ou jurídica que processa dados pessoais em nome do controlador. “Leis de proteção de dados” significa, na medida do que se aplica à S&D, as leis, normas e regulamentações referentes à proteção da privacidade ou dos dados, ou de outra forma, que regem o processamento dos dados pessoais. “Pessoal” significa todos os funcionários que trabalham em período integral, em meio período, temporários, regulares e terceirizados, consultores e trabalhadores sem vínculo empregatício. “Prestador de serviços” significa um processador de dados terceirizado (incluindo um subprocessador) que fornece mercadorias ou serviços para uma entidade da S&D Tecnologia ou para outra entidade ou pessoa em nome de uma entidade da S&D Tecnologia. “Processo” significa toda operação ou conjunto de operações executadas em dados pessoais ou conjunto destes, seja por meios automatizados ou não, tais como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou outra forma de disponibilização, alinhamento ou combinação, restrição, eliminação ou destruição dos dados. “Subprocessador” significa um prestador de serviços nomeado por ou em nome de uma entidade da S&D Tecnologia (em sua capacidade como processador de dados) que processará dados pessoais do cliente. “Titular dos dados” significa a pessoa física a quem os dados pessoais se referem. “Violação de dados” significa todo acesso não autorizado conhecido ou razoavelmente suspeito, uso, divulgação ou outro processamento de dados pessoais, bem como toda perda, roubo ou aquisição de dados pessoais ou qualquer incidente que comprometa a segurança dos dados pessoais.
Qualquer dúvida em relação à nossa Política pode ser esclarecida entrando em contato conosco.
Envie um e-mail para contato@sdtecnologia.com.br
Estamos localizados na Rua Monte Alegre, 212 cj 22
(11) 2503 5790