POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

1. Objetivo

Essa política estabelece as diretrizes e normas para a condução das atividades envolvendo o tratamento e a garantia da privacidade e da proteção de Dados Pessoais, ou seja, dados de pessoas naturais (“Titulares”) com as quais o SAMPLE4DOC se relaciona para executar suas atividades de negócio.

Todas as atividades relacionadas aos negócios do SAMPLE4DOC que lidem com Dados Pessoais são orientadas por esta política, que tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

2. Conformidade (“Compliance”) com Leis e Regulamentações

Esta Política foi elaborada de forma a atender aos requisitos da lei 13.709/2018, alterada pela lei 13.853/2019 (LGPD ou “Lei”), conhecida no Brasil como “Lei Geral de Proteção de Dados”, especialmente nos termos do seu Artigo 50, que trata das boas práticas e da governança da segurança dos Dados Pessoais, copiado abaixo:

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.

§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:

I - implementar programa de governança em privacidade que, no mínimo:
a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e
h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

II - demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei.

§ 3º As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.

3. Definições de Dados Pessoais e da Proteção de Dados Pessoais

Dados pessoais são informações relativas a uma pessoa viva, identificada ou identificável. Também constituem dados pessoais o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa.

Conforme a LGPD (Artigo 5º.) e outras referências similares, considera-se:

I – DADO PESSOAL: informação relacionada a pessoa natural identificada ou identificável.

II – DADO PESSOAL SENSÍVEL: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

III – DADO ANONIMIZADO: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Os Dados Pessoais são necessários em diferentes atividades de negócios no SAMPLE4DOC. Os Dados Pessoais podem ter várias formas de representação, armazenamento e transporte, sendo que o seu significado e valor dependem do contexto em que se encontram, podendo ser, por exemplo:

a. Em papel: listas de presença, formulários de cadastro em papel, relatórios, memorandos, cartas etc.
b. Em mídia digital: arquivos digitais gravados em computadores, discos, HDs, SSDs, flash pen drives, drives, fitas, DVDs, CDs, repositórios da internet (em nuvem) etc.
c. Em som: gravação de reuniões e outras atividades, secretária eletrônica, etc.
d. Em imagem: fotos de pessoas e de seus documentos, vídeos contendo pessoas, etc.

A proteção dos Dados Pessoais deve garantir fundamentos e direitos básicos das pessoas, como o respeito à privacidade, à dignidade e à autodeterminação; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; a livre iniciativa e a livre concorrência; a defesa do consumidor e outros direitos humanos relacionados com a personalidade e o exercício da cidadania.

Para o alcance dos objetivos de proteção de Dados Pessoais, os colaboradores e prestadores de serviços do SAMPLE4DOC seguem as práticas determinadas nesta Política de Privacidade e Proteção de Dados Pessoais, os procedimentos operacionais relacionados a este documento e também à Política de Segurança da Informação (PSI), documento que estabelece diretrizes e normas gerais de segurança para todos os ativos de informação do SAMPLE4DOC, incluindo dados pessoais e também outros tipos de dados sensíveis e de valor para os negócios.

4. Direitos dos Titulares:

Os Titulares dos dados coletados e processados pelo SAMPLE4DOC possuem os seguintes direitos em relação aos seus Dados Pessoais tratados pelo SAMPLE4DOC. a. Confirmação da existência de tratamento de seus Dados Pessoais.
b. Livre acesso de consulta aos seus Dados Pessoais.
c. Solicitar através do e-mail support.br@sample4doc.com, a qualquer momento, que sejam eliminados os seus Dados Pessoais não anonimizados.
d. Correção de seus Dados Pessoais, quando os dados estiverem incompletos, inexatos ou desatualizados.
e. Eliminação de seus Dados Pessoais, quando os dados forem desnecessários, excessivos ou tratados em desconformidade com a Lei, inclusive quando houver consentimento por parte do titular, desde que os dados pessoais não sejam utilizados para cumprir com obrigações legais e regulatórias.
f. Informação das entidades públicas e privadas com as quais o SAMPLE4DOC compartilhou seus Dados Pessoais.
g. Informação sobre a possibilidade de não fornecer consentimento para o tratamento de seus Dados Pessoais.
h. Revogação do consentimento para o tratamento de seus Dados Pessoais.

5. Coleta, Uso e Tratamento de Dados Pessoais

O SAMPLE4DOC coleta, utiliza e faz o tratamento dos Dados Pessoais para atender aos interesses legítimos do SAMPLE4DOC, comprometendo-se a cumprir com toda a legislação aplicável em relação à proteção dos Dados Pessoais, assegurando que sejam coletados, utilizados e tratados de acordo com as disposições da LGPD e outras leis e regulações aplicáveis, se houver.

Os Dados Pessoais não são coletados sem que exista uma finalidade. A coleta somente ocorre quando necessário para estabelecer a relação comercial entre o SAMPLE4DOC e seus colaboradores e parceiros de negócios, para a execução de um contrato ou para o cumprimento de uma obrigação legal à qual o SAMPLE4DOC está sujeito.

Ao coletar Dados Pessoais, o SAMPLE4DOC informa previamente, com transparência, de forma clara e inequívoca, quais são as finalidades para o tratamento daqueles dados pessoais e por quanto tempo serão retidos e tratados, podendo informar também que o tempo de retenção é indefinido.

Em todos os casos em que os dados pessoais coletados não forem anonimizados e a coleta não for para fins de (i) cumprimento de obrigação legal ou regulatória, (ii) execução de contrato ou procedimentos preliminares relacionados a contrato do qual seja parte o titular, (iii) exercício regular de direitos em processo judicial, administrativo ou arbitral, e (iv) proteção do crédito, o SAMPLE4DOC requererá o consentimento expresso do titular dos dados e este ficará registrado e arquivado em mídia digital ou impressa.

Sempre que houver mudanças na finalidade, o SAMPLE4DOC informará previamente o titular sobre as mudanças e pedirá novo consentimento, podendo o titular revogar o consentimento, caso discorde das alterações.

Quando o tratamento de dados pessoais for condição para o SAMPLE4DOC fornecer um produto ou serviço, ou para o exercício de seu direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos elencados na Lei.

Os titulares ficam cientes que ao interagir com as plataformas digitais do SAMPLE4DOC, poderão se vincular ou se conectar a sites, serviços, redes sociais, aplicativos ou outros recursos não titularizados pelo SAMPLE4DOC. A ativação desses recursos levará outras pessoas além do SAMPLE4DOC a processar informações sobre os titulares. O SAMPLE4DOC não tem controle sobre esses recursos de outras partes, daí porque não cabe SAMPLE4DOC qualquer responsabilidade pelo manuseio de tais informações pessoais. Assim, o SAMPLE4DOC recomenda que os titulares acessem as políticas de privacidade dessas partes antes de utilizarem esses recursos.

Algumas funcionalidades poderão permitir com que os titulares enviem comentários, documentos e arquivos. Nestes casos, os titulares anuem com a possibilidade de outros usuários terem acesso aos conteúdos publicados, sem que o SAMPLE4DOC tenha qualquer responsabilidade por estes.

5.1 Novos projetos e processos de mudanças em Dados Pessoais

Qualquer nova atividade de tratamento de Dados Pessoais será devidamente comunicada ao Encarregado dos DP, inclusive envolvendo este último no planejamento de novos projetos que possam envolver a coleta e tratamento de Dados Pessoais, de forma que os riscos à proteção de Dados Pessoais sejam plenamente avaliados e tratados.

Nos processos normais de operação dos negócios, toda e qualquer mudança em Dados Pessoais será comunicada ao Encarregado dos DP, de forma manual ou automática (integração sistêmica), para que o mesmo possa atualizar os registros na(s) sua(s) ferramenta(s) de controle. Incluem-se neste processo de comunicação/integração tanto as mudanças na estrutura de dados como nos registros, por exemplo:

• Novos Dados Pessoais coletados em sistemas/processos atuais.
• Alteração, correção ou eliminação de registros de Dados Pessoais nos sistemas/processos atuais.
• Mudanças na estrutura das bases de Dados Pessoais de sistemas/processos já existentes.

6. Descarte de Dados Pessoais

Encerrado o período de utilização ou quando terminar a finalidade para a qual determinados Dados Pessoais foram coletados e tratados, os Dados Pessoais relacionados serão excluídos, utilizando-se de métodos de descarte seguro, ou de forma anonimizada, para fins estatísticos, desde que os dados pessoais não sejam utilizados para cumprir com obrigações legais e regulatórias. Sempre que possível, estes descartes deverão ser evidenciáveis.

Nos casos em que o SAMPLE4DOC não puder excluir os Dados Pessoais para cumprir exigências legais ou por alguma outra necessidade legítima, os Dados Pessoais serão arquivados com segurança, isolados de qualquer tratamento posterior, até que a exclusão seja possível.

7. Processos de comunicação com titulares e com a ANPD

O SAMPLE4DOC estabelecerá um canal de comunicação para que a ANPD e os titulares possam entrar em contato com o SAMPLE4DOC sempre que desejarem exercer seus direitos.

O responsável pela operação deste canal de comunicação é o Encarregado dos Dados Pessoais.

Este canal de comunicação deverá ser publicado na Internet e/ou em outros meios que facilitem a divulgação aos titulares e à ANPD.

Adicionalmente, sempre que requerido, o Encarregado dos DP deverá também atender aos pedidos de informações, emissão de relatório de impacto para a ANPD e a ocorrência de incidentes, entre outras demandas legais que poderão ser futuramente regulamentadas pela ANPD.

8. Criação de Perfis para Tomada de Decisão

O SAMPLE4DOC não emprega técnicas para a tomada de decisão automatizada a partir de Dados Pessoais, incluindo a definição dos perfis individuais, que tenham efeitos legais ou que afetem os titulares de maneira significativa.

9. Comunicações em caso de incidentes

Um incidente de segurança pode ser qualquer evento que viole a proteção dos Dados Pessoais e dos Dados Pessoais Sensíveis.

De acordo com a Lei, o SAMPLE4DOC comunicará à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

O responsável pela Segurança da Informação executará atividades de monitoramento, alerta, responsabilização, resposta, comunicação entre os envolvidos, documentação e registro dos incidentes, contemplando as seguintes atividades:

a. O monitoramento e gerenciamento de incidentes de segurança relacionados aos Dados Pessoais, ou seja, que abranjam os bancos de dados dos sistemas, arquivos e locais da rede contendo Dados Pessoais.
b. O tratamento e o registro das respostas aos incidentes e das respectivas correções aplicadas.
c. A comunicação aos devidos responsáveis pela proteção dos Dados Pessoais, ao Encarregado e ao respectivo Proprietários dos DP, de toda e qualquer ocorrência relacionada à perda ou apropriação indevida de Dados Pessoais.
O Encarregado dos Dados Pessoais analisará a severidade dos incidentes conjuntamente com o Departamento Jurídico e com o Departamento responsável. Caso um incidente seja entendido como acarretando risco ou dano relevante aos titulares, o Encarregado dos Dados Pessoais haverá a elaboração e será realizada a devida comunicação à ANPD e aos titulares.

Conforme previsto na Lei, a comunicação conterá, no mínimo, os seguintes dados sobre o ocorrido:

a. A descrição da natureza dos dados pessoais afetados.
b. As informações sobre os titulares envolvidos.
c. A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial.
d. Os riscos relacionados ao incidente.
e. Os motivos da demora, no caso de a comunicação não ter sido imediata. f. As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

10. Atualização da Política

O SAMPLE4DOC poderá, a qualquer momento, promover revisões ou atualizações oportunas para esta política. Atualizações desta política entrarão em vigor assim que forem publicadas no site https://www.sample4doc.com

11. Glossário

• Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
• ANPD: Autoridade Nacional de Proteção de Dados - órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.
• Banco de Dados: conjunto estruturado de dados, podendo ter dados pessoais, em meio eletrônico ou físico.
• Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
• Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
• Controlador: pessoa natural ou jurídica a quem compete determinar a finalidade e o meio de tratamento dos Dados Pessoais executadas pela próprio SAMPLE4DOC ou pelo Operador.
• Dado Anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
• Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável.
• Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
• Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
• Encarregado dos Dados Pessoais: pessoa indicada pelo SAMPLE4DOC para atuar como canal de comunicação entre o SAMPLE4DOC, os titulares dos dados e a ANPD.
• Lei: o mesmo que LGPD.
• LGPD: Lei Geral de Proteção de Dados pessoais, Lei 13.709/2018.
• Operador: prestador de serviço externo, terceirizado, que realiza a coleta, e/ou uso, e/ou o tratamento de Dados Pessoais dos quais o SAMPLE4DOC é o controlador.
• Proprietário dos Dados Pessoais: pessoa ou grupo de pessoas responsável pela coleta e tratamento dos dados pessoais.
• Titular dos Dados: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
• Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

12. Da operacionalização da eliminação dos dados pessoais não anonimizados do Prescritor

Para o exercício do direito a eliminação dos dados pessoais não anonimizados do Prescritor, esse direito deverá ser solicitado através da utilização por e-mail: support.br@sample4doc.com, ou, no endereço: Av. Cupecê, 2.050, Andar 3, Cidade Ademar, São Paulo/SP, CEP 04.366-000, a qualquer momento.

13. Vigência

Esta Política entra em vigor nesta data e tem vigência por tempo indeterminado, até a próxima revisão ou sua revogação.