- Objetivo
Esta Política Corporativa de Privacidade e Proteção de Dados Pessoais (“Política”) consolida as diretrizes a serem adotadas pela WELLBE no Tratamento de Dados Pessoais.
Ela tem como objetivo dar diretrizes para o respeito dos direitos das pessoas físicas cujos dados foram tratados pela WELLBE, bem como às obrigações da WELLBE enquanto Agente de Tratamento, sendo estabelecida como base cultural e procedimental em relação à proteção de dados e privacidade.
As diretrizes aqui contidas se aplicam a (i) todo e qualquer Colaborador da WELLBE, e (ii) todas as operações que impliquem Tratamento de Dados Pessoais, sem exceção.
O conhecimento e a adoção das medidas indicadas neste documento são de responsabilidade de todos os Colaboradores da WELLBE e constituem fator fundamental para garantir sua conformidade com as melhores práticas de Privacidade e Proteção de Dados Pessoais.
Todas as expressões com iniciais em maiúsculo encontradas nesta Política têm o significado atribuído em Glossário, que se encontra ao final deste documento.
- Papéis e Responsabilidades
O Programa de Privacidade da WELLBE (“Programa”) é formado pelo conjunto de pessoas, cultura, processos, procedimentos e diretrizes com o intuito de definir e cumprir estratégias e executar ações que levem à gestão adequada dos controles de Privacidade e Proteção de Dados Pessoais na WellBe, de modo a garantir o cumprimento de leis e regulamentações sobre estes temas.
A WELLBE, enquanto Agente de Tratamento, deve se responsabilizar pelo Tratamento de Dados Pessoais de forma adequada, proporcional, justa e ética.
Para tanto, as estruturas, áreas e pessoas listadas neste documento estarão diretamente envolvidas na gestão do Programa e possuem as seguintes características e responsabilidades, no que diz respeito às matérias tratadas nesta Política:
2.1 Encarregado pelo Tratamento de Dados Pessoais
O Encarregado, ou Data Protection Officer – DPO, é o responsável por promover as regras de Privacidade e Proteção de Dados Pessoais definidas pela WELLBE, sendo também responsável por atuar como canal de comunicação entre os Titulares e a ANPD, devendo ser nomeado considerando a estrutura da WELLBE e a complexidade dos Tratamento de Dados Pessoais.
O Encarregado deverá ter uma visão ampla do risco associado às operações de Tratamento de Dados Pessoais considerando sua natureza, o contexto no qual está inserido e suas finalidades.
Compete ao Encarregado:
- Organizar e/ou ministrar treinamentos em proteção de dados pessoais aos colaboradores ou prestadores de serviço, promovendo a cultura de proteção de dados pessoais na WELLBE;
- Elaborar e/ou revisar os procedimentos internos relativos à proteção de dados pessoais;
- Auxiliar na definição de controles para garantir a integridade, confidencialidade e disponibilidade dos dados pessoais e registros auditáveis de todo o ciclo de vida dos dados pessoais;
- Apoiar na resposta aos incidentes de segurança que envolvam dados pessoais;
- Realizar acompanhamento legislativo/regulatório sobre proteção de dados pessoais e segurança da informação;
- Orientar as Áreas da WELLBE nos casos de mudanças nas finalidades de tratamentos;
- Auxiliar na manutenção e atualização do mapeamento dos fluxos de dados pessoais;
- Recomendar os requisitos adequados no caso de transferência de dados entre Agentes de Tratamento, especialmente transferências internacionais, além de verificar a adequação das práticas e políticas da WELLBE;
- Responder às consultas e apresentar recomendações sobre a aplicação das regras de privacidade junto às Áreas da WELLBE e demais Agentes de Tratamento;
- Zelar para que os Titulares sejam informados sobre seus direitos, obrigações e responsabilidades sobre a proteção de dados, além de aceitar reclamações e comunicações dos Titulares, prestar esclarecimentos e adotar providências;
- Apoiar investigações para apuração de responsabilidade dos envolvidos em violações de dados pessoais e auxiliar na definição de aplicação das penalidades internas, quando necessário;
- Avaliar Relatórios de Impacto à Proteção de Dados Pessoais;
- Receber comunicações da ANPD e adotar providências;
- Assegurar a divulgação e a disponibilidade dos documentos que compõem esta Política e outros documentos internos para proteção de dados pessoais na WELLBE;
- Auxiliar na aplicação das Políticas Internas elaboradas referentes à proteção de dados pessoais;
- Auxiliar no cumprimento dos requisitos para a contratação de fornecedores, junto da Assessoria Jurídica.
- A WELLBE deverá manter o contato do seu Encarregado no seu website, de forma clara e objetiva.
2.2 Comitê de Privacidade
Compete ao Comitê:
- Analisar e tomar decisões sobre os reportes realizados pelo Encarregado;
- Garantir o direcionamento e suporte da gestão para as iniciativas voltadas à garantia da Privacidade e Proteção de Dados Pessoais na WELLBE.
- Reunir-se a cada três meses;
2.3 Área de Tecnologia da Informação (TI)
Compete à área de Tecnologia da Informação da WELLBE:
- Assegurar que todos os sistemas, serviços e equipamentos usados para o tratamento de dados pessoais estejam dentro de um padrão aceitável de segurança;
- Analisar os aspectos técnicos de todo e qualquer produto ou serviço de terceiros que a WELLBE esteja considerando contratar para tratar dados pessoais (exemplos: nuvem, hardware, equipamentos de rede);
- Implementar medidas, procedimentos, controles e rotinas necessários e apropriados para manutenção da confidencialidade, integridade e disponibilidade dos dados pessoais;
- Coletar e manter registros das atividades de tratamento de dados pessoais;
- Investigar incidentes de segurança e propor medidas de remediação e mitigação em conjunto com a WELLBE;
- Demais responsabilidades previstas na Política de Segurança da Informação
2.4 Assessoria Jurídica
Compete à Assessoria Jurídica da WELLBE:
- Prestar consultoria jurídica a respeito dos processos de contratação e aquisição de produtos e serviços da WELLBE;
- Apoiar o Encarregado quanto à possibilidade de tratamento de dados pessoais no exterior, auxiliando no entendimento de validação do nível de proteção de dados pessoais do país destino;
- Apoiar o Encarregado na elaboração de respostas à ANPD;
- Fornecer orientação legal na ocorrência de incidentes de violação de dados pessoais.
- Auxiliar o Encarregado na aplicação das políticas internas referentes à proteção de dados pessoais.
2.5 Administrativo
Compete à Área Administrativa da WELLBE:
- Promover, em conjunto com o Encarregado, a cultura de proteção de dados pessoais na WELLBE, realizando campanhas de capacitação e divulgação da proteção dos dados pessoais;
- Assegurar a divulgação dos documentos que compõem esta Política e outros documentos internos para proteção de dados pessoais na WELLBE;
- Assegurar que os colaboradores estejam cientes do tratamento realizado aos seus dados pessoais;
- Definir controles de proteção de dados pessoais especificamente relacionados aos processos de contratação, desligamento (ou encerramento de prestação de serviços), modificação de atividades (incluindo a promoção) e afastamentos (incluindo férias e quaisquer licenças ou suspensões).
2.6 Gestores
Compete aos Gestores da WELLBE:
- Cumprir, fazer cumprir e gerenciar o cumprimento desta Política e demais documentos complementares por parte de seus colaboradores;
- Consultar o Encarregado em caso de mudanças de finalidades de tratamento de dados pessoais;
- Realizar e manter atualizado o mapeamento dos fluxos de dados pessoais;
- Assegurar que qualquer dado pessoal só poderá ser tratado de acordo com as atividades profissionais autorizadas pela WELLBE e nos termos desta Política e de seus documentos internos;
- Identificar e avaliar riscos relacionados à proteção de dados pessoais em suas atividades e propor melhorias;
- Submeter à análise do Encarregado todo novo processo, incluindo novas aplicações, serviços, produtos, dentre outros, onde houver tratamento de dados pessoais;
- Ao identificar violações de dados pessoais ou qualquer ação duvidosa, comunicar o Encarregado imediatamente.
2.7 Colaboradores
Compete aos Colaboradores da WELLBE:
- Cumprir as diretrizes desta Política e seus documentos complementares;
- Tratar os dados pessoais sob responsabilidade da WELLBE somente para fins autorizados, de forma ética e legal, respeitando os direitos do Titular e de acordo com as orientações desta Política, demais instrumentos regulamentares relacionados à proteção de dados pessoais e da legislação aplicável;
- Zelar pela integridade, disponibilidade, confidencialidade, autenticidade e legalidade dos dados pessoais acessados ou manipulados, não utilizando, enviando, transmitindo ou compartilhando indevidamente estes dados pessoais, em qualquer local ou mídia, inclusive na Internet;
- Reportar formalmente ao Encarregado quaisquer eventos relativos à violação ou possibilidade de violação de dados pessoais ou atividades suspeitas de que tiver conhecimento.
- Diretrizes de Privacidade e Proteção de Dados Pessoais
As diretrizes contidas nesta Política devem ser observadas desde a fase de concepção de novas operações de Tratamento de Dados Pessoais, produtos e serviços até a sua execução, devendo a WELLBE demonstrar a efetividade da adoção dessas diretrizes quando apropriado e, em especial, a pedido da ANPD, ou de outra autoridade competente responsável por promover o cumprimento de boas práticas de Privacidade e Proteção de Dados Pessoais.
Neste contexto, a WELLBE, bem como seus Colaboradores, devem observar, no mínimo, as seguintes diretrizes:
3.1 Tratamento de Dados Pessoais
Tratar Dados Pessoais significa, basicamente, realizar qualquer atividade que envolva a utilização de dados de pessoas físicas. São exemplos de atividades que envolvem o Tratamento de Dados Pessoais:
- Coletar, receber;
- Produzir, reproduzir, utilizar, acessar;
- Processar, classificar, avaliar, controlar;
- Modificar, extrair;
- Comunicar, transmitir, difundir, distribuir, transferir;
- Arquivar, armazenar; e
- Eliminar.
O Tratamento de qualquer Dado Pessoal na WELLBE deve ser feito em observância a essa Política, observando também os requisitos legais aplicáveis. Por isso, é importante destacar que, de acordo com a LGPD, a WELLBE só poderá tratar um Dado Pessoal nas hipóteses previstas em lei.
No caso de uma nova hipótese de tratamento de Dado Pessoal na empresa, é necessário encaminhar essas informações ao Encarregado para que este defina se o novo tratamento já está ou não legitimado. Caso não esteja, o Encarregado deverá propor as estratégias de como este tratamento será legitimado, antes de sua realização.
3.2 Tratamento de Dados Pessoais Sensíveis
A legislação de proteção de dados pessoais classifica alguns tipos de dados pessoais como dados sensíveis, dada a capacidade que possuem de gerar danos ou discriminação ao titular destas informações. Por isso, Dados Sensíveis deverão receber a máxima prioridade na segurança.
Os seguintes Dados Pessoais são considerados “sensíveis” e estão sujeitos a condições de tratamento específicas:
- dados pessoais que revelem a origem racial ou étnica, opiniões políticas e convicções religiosas ou filosóficas;
- filiação sindical;
- dados genéticos, dados biométricos tratados simplesmente para identificar um ser humano;
- dados relacionados com a saúde;
- dados relativos à vida sexual ou orientação sexual da pessoa.
3.3 Tratamento de Dados Pessoais de Crianças, Adolescentes e Idosos
Da mesma forma, o tratamento de dados pessoais de “crianças” e “adolescentes” deve ser situação excepcionalíssima. Nestes casos remotos, ele somente deverá ser realizado:
- Visando o melhor interesse de tais indivíduos, ou seja, com a finalidade de beneficiá-los, ainda que de forma indireta;
- De forma clara e compreensível, de modo que informações destinadas a este público deverão ser prestadas de modo claro, acessível, consideradas as condições físico-motoras, perceptivas, sensoriais, intelectuais e mentais dos destinatários, com o uso de recursos audiovisuais, quando adequado.
- Quando do tratamento dos dados de “crianças”, deverá, necessariamente, haver a coleta do consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, mantendo públicas as informações sobre o tipo de dados coletados, a forma de utilização e as garantias dos demais direitos dos titulares assegurados pela LGPD.
3.4 Direitos dos Titulares
Em toda atividade de tratamento de Dados Pessoais, a WELLBE deverá buscar garantir os direitos dos titulares abaixo. Em todos os casos, a identidade dos titulares requerentes deverá ser verificada, e o atendimento deverá ocorrer sob a orientação do Encarregado.
Com relação ao recebimento de requisições de exercício dos direitos dos titulares, a WELLBE possui um canal específico direcionado para tanto, disponível por meio do endereço eletrônico: [email protected].
Eventual decisão de recusa no atendimento às requisições de titulares deverá ser validada pelo Encarregado.
3.5 Gestão de Descarte
Todo Tratamento de Dados Pessoais deverá ter um processo de gestão do descarte de informações, o qual garanta que a WELLBE só armazene dados pelo tempo necessário ou consentido, no âmbito e limites técnicos das atividades.
Dados Pessoais deverão ser eliminados ou anonimizados em toda e qualquer fonte onde estiverem armazenados (eletrônica ou física), de acordo com a Política de Retenção e Descarte.
O descarte das mídias que possuam Dados Pessoais Sensíveis deverá ser definido pela Área de TI, para assegurar que o processo seja realizado com garantias contra acesso não autorizado ou uso impróprio.
3.6 Compartilhamento de Dados Pessoais
O compartilhamento de Dados Pessoais com terceiros deve ter sua relação regida por instrumentos adequados, que estabeleçam garantias, responsabilidades e medidas necessárias de adequação à LGPD, bem como adoção das medidas apropriadas para o uso compartilhado de Dados Pessoais em consonância com os procedimentos de Privacidade e Proteção de Dados Pessoais e políticas relacionadas.
O compartilhamento de Dados Pessoais com terceiros deve ocorrer, em regra, única e exclusivamente: (i) para atender a finalidade que justificou a coleta dos Dados Pessoais; e (ii) em conformidade com a atividade que fundamenta a relação com o terceiro junto à WELLBE.
3.7 Representantes Externos
A contratação de Representantes Externos poderá representar riscos à WELLBE, uma vez que as empresas poderão ser responsabilizadas por incidentes que os envolvam.
Por isso, os instrumentos de contratação dos Representantes Externos deverão conter cláusula que preveja o cumprimento, pelo Representante Externo, das diretrizes estabelecidas nesta Política.
- Treinamento
A WELLBE poderá repetir ou realizar novos treinamentos aos seus colaboradores sempre que julgar necessário, de modo a assegurar o entendimento a respeito dessa Política ou de outras boas práticas de proteção e segurança de dados e privacidade.
- Sanções
Qualquer desrespeito ou violação a esta Política será investigado com observância às leis aplicáveis a esta Política e demais procedimentos e interesses da WELLBE.
Para garantir sua efetividade, violações a esta Política poderão resultar na aplicação de medidas disciplinares aos Colaboradores que a infringirem.
A aplicação de tais medidas poderá ser cumulada com eventuais penalidades cíveis, criminais, trabalhistas e administrativas cabíveis.
- Normas e Documentos Relacionados
É importante destacar que aplicam-se à WELLBE outras diretrizes e normas no contexto do Tratamento de Dados Pessoais, inclusive:
- A Lei nº. 13.709/18, Lei Geral de Proteção de Dados Brasileira;
- A Lei nº 12.965/14, o Marco Civil da Internet;
- Os regulamentos e normas publicados pela Autoridade Nacional de Proteção de Dados Pessoais, e
- Leis e regulamentações, nacionais ou estrangeiras, em vigor e/ou vigentes nos demais países em que atua, conforme aplicável.
- Caso seja identificado algum conflito, a Assessoria Jurídica e o Encarregado da WELLBE deverão ser consultados.
- Disposições Gerais
Esta Política deve ser revisada, no mínimo, anualmente, ou sempre que existir a necessidade de alterações nos critérios definidos nas demais normas e políticas específicas da WELLBE.
Esta Política e as demais Normas e Procedimentos da WELLBE encontram-se disponíveis na Intranet ou, em caso de indisponibilidade, podem ser solicitadas para ao Encarregado pelo Tratamento de Dados Pessoais, por meio do e-mail [email protected]
Esta Política entra em vigor na data de sua publicação.
ANEXO I – PAPÉIS E CONTATOS IMPORTANTES DO PROGRAMA PRIVACIDADE E GOVERNANÇA DE DADOS PESSOAIS DA WELLBE
Encarregado de Proteção de Dados:
Data Guide
Responsável pela área de Tecnologia da Informação:
Lucas Werner
Assessoria Jurídica:
Lívia Nakandakari
Responsável pela área Administrativa:
Paula Fernandes
Comitê de Privacidade:
Participantes:
Guilhermino Afonso
Lucas Werner; e Lívia Nakandakari
ANEXO II – Glossário
Para os fins da presente política, são adotados os seguintes termos, com as seguintes definições:
Colaborador: Empregado, estagiário, prestador de serviço, terceirizado, fornecedor, menor aprendiz ou qualquer outro indivíduo ou organização que venham a ter relacionamento profissional, direta ou indiretamente, com a WELLBE.
Comitê de Privacidade e Proteção de Dados: Comitê multidisciplinar da WELLBE dedicado a tratar com as questões de privacidade e proteção de Dados Pessoais.
Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
Dados pessoais sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Encarregado pelo Tratamento dos Dados Pessoais: pessoa física ou jurídica indicada pelo controlador e operador, para atuar como canal de comunicação com os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
Operador: Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.
Requisições dos Titular dos dados pessoais: Requisição do Titular dos dados pessoais acerca de seus direitos estabelecidos em lei e relativos ao tratamento dos seus dados pessoais.
Titular: é toda pessoa natural identificada ou identificável a quem se referem os Dados Pessoais tratados, incluindo clientes, prestadores de serviço e Colaboradores da WELLBE, a depender do caso concreto.
Tratamento de dados pessoais: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Violação: Qualquer atividade que desrespeite as regras estabelecidas nos documentos normativos da WELLBE.
Violação de Dados Pessoais: Destruição, perda, alteração, divulgação acidental ou ilegal, não autorizada ou acesso a dados pessoais transmitidos, armazenados ou de outra forma processados, resultante de incidente de segurança.