Política SEI Nº 6017771/2020 – CAJ.DICAF.GTI
Joinville, 03 de abril de 2020.
POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS E PRIVACIDADE
A Diretora Presidente da Companhia Águas de Joinville, usando da atribuição conferida no Estatuto Social, resolve:
1. DISPOSIÇÕES GERAIS
1.1 Estabelece a Política de Proteção de Dados Pessoais e Privacidade da Companhia Águas de Joinville, disciplina as atribuições e dá outras providências.
1.2 Política submetida e aprovada pelo Conselho de Administração na reunião realizada no dia 16/03/2020.
2. OBJETIVOS
2.1 O objetivo desta Política é estabelecer diretrizes para uniformizar o comportamento da Companhia no que concerne ao tratamento de dados pessoais em seus processos, a privacidade e a proteção destes dados, além de disseminar a cultura de segurança destas informações em consonância com os seguintes princípios: legalidade, lealdade, transparência, integridade e confidencialidade.
2.2 A Política determina os seguintes compromissos:
I. Respeito à privacidade dos titulares;
II. Transparência aos titulares sobre às necessidades de tratamento de seus dados pessoais, a forma, a duração e a exatidão das informações;
III. O tratamento dos dados deve atender à finalidade legítima;
IV. Proteção aos dados pessoais dos titulares nos ambientes digitais e analógicos da Companhia;
V. Limitação do tratamento de dados ao mínimo necessário para realização das atividades e processos da Companhia; e
VI. Impossibilidade de realização do tratamento dos dados para fins discriminatórios ilícitos ou abusivos.
3. ABRANGÊNCIA
3.1 A Política de Proteção de Dados Pessoais e Privacidade alcança todos os processos que de alguma forma tratam dados pessoais digitais e analógicos dos titulares que se relacionam com a empresa. Portanto se aplica a todas as pessoas que trabalham na Companhia Águas de Joinville – CAJ sejam Conselheiros, Diretores, profissionais de qualquer natureza, estagiários e aprendizes, bem como para qualquer pessoa física ou pessoa jurídica, de Direito Público ou Privado, com quem se relaciona: fornecedores, prestadores de serviços, clientes, entre outros. Esta Política encontra-se disponível no endereço eletrônico: http://www.aguasdejoinville.com.br.com.br e, uma vez aprovada pelo Conselho de Administração, deverá ser divulgada a todas as pessoas que devem cumpri-la.
4. REFERÊNCIAS
4.1 Lei Federal n. 12.965/2014 (Marco Civil da Internet)
4.2 Lei Federal n. 13.709/2018 (Lei de Proteção de Dados Pessoais)
4.3 Código de Conduta e Ética
Esta Política deverá ser lida e interpretada juntamente com o Código de Conduta e Integridade da CAJ e demais políticas corporativas.
5. DEFINIÇÕES
5.1 Os principais termos citados nesta política corporativa incluem:
I. Controlador – No âmbito interno, o controlador é a Diretoria da Presidência, a quem compete as decisões referentes ao tratamento de dados pessoais e que por meio dos seus poderes e atribuições delegam as ações necessárias para operacionalizar a Política de Proteção de Dados Pessoais e Privacidade dentro da estrutura da empresa. Para o ambiente externo à empresa, o Controlador é a própria Empresa que exigirá das pessoas físicas e das pessoas jurídicas, de Direito Público ou Privado, com quem se relaciona, o cumprimento dessa política quando aquelas estiverem tratando dados pessoais originários da CAJ;
II. Comitê de Segurança da Informação e Comunicação – empregados designados para tratar de assuntos relevantes, a partir da necessidade identificada pelo DPO ou Encarregado;
III. Encarregado ou DPO – Data Protection Officer – encarregado, indicado pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;
IV. Líderes de Segurança de Dados Pessoais e Privacidade – Coordenadores e/ou Gerentes e/ou Assessores das diversas áreas que, de alguma forma, possuem tratamento de dados pessoais em seus processos;
V. Agentes internos de Tratamento de Dados (Operadores internos) – são todos os empregados que, na execução das atividades relativas aos processos da empresa, têm contato e tratam dados pessoais.
VI. Titular – pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VII. Tratamento – toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
VIII. Dado Pessoal – informação relacionada a pessoa natural identificada ou identificável;
IX. Dado Pessoal Sensível – dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
6. REVISÃO
6.1 Recomenda-se que haja revisão desta política ao final do primeiro ano de implantação ou se houver fato relevante a ser tratado para esta ação.
7. DIRETRIZES
7.1 No atendimento ao que é requerido pela legislação e pelos compromissos assumidos nesta política, a CAJ seguirá, em seus processos, as seguintes diretrizes:
I. Os dados pessoais do titular serão processados de forma lícita, leal e transparente;
II. Os dados pessoais do titular serão coletados apenas para finalidades determinadas, explícitas e legítimas, não podendo ser tratados posteriormente de forma incompatível com essas finalidades (limitação das finalidades);
III. Os dados pessoais do titular serão coletados de forma adequada, pertinente e limitada às necessidades do objetivo para os quais eles são processados (minimização dos dados);
IV. Os dados pessoais do titular serão exatos e atualizados sempre que necessário, de maneira que os dados inexatos sejam apagados ou retificados quando possível (exatidão);
V. Os dados pessoais do titular serão conservados de forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados, (limitação da conservação, anonimização);
VI. Os dados pessoais do titular serão tratados de forma segura, protegidos do tratamento não autorizado ou ilícito e contra sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas (integridade e confidencialidade);
VII. É garantido ao titular dos dados a consulta gratuita sobre a forma e a duração do tratamento, bem como sobre a integridade de seus dados pessoais (transparência); (Art. 6º – IV e VI da Lei Federal n. 13.709);
VIII. Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas (Art. 6º – X da Lei Federal n. 13.709);
IX. Assegurar que o tratamento de dados pessoais somente será realizado nas seguintes hipóteses:
a. Mediante o fornecimento de consentimento pelo titular quando assina o contrato de adesão aos serviços prestados pela Companhia;
b. Para o cumprimento de obrigação legal ou regulatória pelo controlador;
c. Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
d. Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
e. Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
f. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
g. Para a proteção da vida ou da incolumidade física do titular ou de terceiros;
h. Para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
i. Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
j. Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
8. PROCESSO DE IDENTIFICAÇÃO E PROCESSAMENTO DE DADOS PESSOAIS
8.1 Todas as áreas da Companhia são contempladas com ações que promovam a conformidade à LGPD. Tais ações estão alicerçadas em três pilares, quais sejam: Tecnologia, Processo e Pessoas. São pilares indissociáveis e devem ser fortalecidos de forma harmônica. O tratamento contínuo dos dados deve ser pautado pelo conjunto de diretrizes desta política.
9. RESPONSABILIDADES
9.1 Conselho de Administração (CONSAD)
I. Aprovar a Política de Proteção de Dados Pessoais e Privacidade;
II. Deliberar sobre temas afetos às suas atribuições.
9.2 Diretoria
I. Promover o processo de atendimento às diretrizes aprovadas e garantir que estejam alinhados às boas práticas de gestão, inclusive ao planejamento estratégico da Companhia;
II. Deliberar sobre os procedimentos que sejam encaminhados pelo Encarregado no caso de ocorrências;
III. Encaminhar ao Conselho de Administração, para aprovação, os casos específicos que impliquem em decisões estratégicas;
IV. Assegurar o alinhamento das ações de planejamento, promovendo as adequações necessárias por meio de padrões de funcionamento normatizados em suas respectivas diretorias;
V. Apoiar os líderes de segurança de dados pessoais e privacidade para o atendimento à lei;
VI. Exigir das pessoas físicas e das pessoas jurídicas, de Direito Público ou Privado, com quem se relaciona, o cumprimento dessa política quando aquelas estiverem tratando dados pessoais originários da CAJ.
9.3 Controlador
I. Tomar decisão referente ao tratamento de dados pessoais;
II. Delegar as ações necessárias para operacionalizar a Política da Proteção de Dados Pessoais e Privacidade dentro da estrutura da empresa.
9.4 Comitê de Segurança da Informação e Comunicação
I. Foro de discussão e proposição de melhorias na Política de Proteção de Dados Pessoais e Privacidade;
II. Deve sugerir, acompanhar e reavaliar a implementação do Programa de Proteção de Dados Pessoais;
III. Dar apoio ao Encarregado na execução das ações relativas à Política e ao Programa de Proteção de Dados Pessoais.
9.5 Encarregado (DPO ou Data Protection Officer)
I. Receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II. Receber comunicações da autoridade nacional e adotar providências;
III. Orientar os empregados e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
IV. Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares; e
V. Coordenar as ações que visam implantar a Política de Proteção de Dados Pessoais e Privacidade e a execução do Programa de Proteção de Dados Pessoais.
Tais ações deverão ser executadas com a participação dos Líderes de Segurança e Privacidade e das suas equipes alocadas nas diversas áreas da empresa que tratam dados pessoais em seus processos.
9.6 Líderes de Segurança e Dados Pessoais e Privacidade
I. Identificar os processos que possuem tratamento de dados pessoais;
II. Disseminar a Política de Proteção de Dados Pessoais e Privacidade do Programa de Proteção de Dados Pessoais e das ações deles decorrentes;
III. Comunicar ao Encarregado (DPO) situações em desconformidade com a Política.
9.7 Agentes Internos de Tratamento de Dados (Operadores Internos)
I. Realizar o tratamento de dados conforme as instruções fornecidas pelo Controlador – formalizadas através de Política e Normativos sobre tal matéria;
II. Identificar e relatar ao Líder e ao Encarregado situações-problema que possam pôr em risco a segurança da informação e privacidade.
10. DISPOSIÇÕES FINAIS
10.1 Dúvidas com relação à interpretação desta Política devem ser esclarecidas com a área de Compliance da CAJ. Esta política entra em vigor na data de sua aprovação pelo Conselho de Administração.
11. HISTÓRICO
14/08/2018 publicação da lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais
08/07/2019 publicação da lei 13.853/2019 – Promove alteração na Lei 13.709/2018 e cria a Autoridade Nacional de Proteção de Dados
20/08/2019 criação do Comitê de Segurança da Informação e Comunicação – Portaria 2525/2019
27/02/2020 apresentação da Política de Proteção de Dados Pessoais e Privacidade para Diretoria
16/03/2020 aprovação Política de Proteção de Dados Pessoais e Privacidade da no Conselho de Administração.
