DIRETRIZ DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

1. Objetivo

A presente Diretriz de Privacidade e Proteção de Dados Pessoais (“Diretriz”) tem por objetivo estabelecer as diretrizes gerais que devem ser observadas pelos profissionais da SISTEMA PRODUTOR SÃO LOURENÇO S.A. (SPSL) em suas atividades cotidianas que envolvam o Tratamento de Dados Pessoais.

Com a entrada em vigor da Lei nº 13.709/2018 em setembro de 2020, também conhecida como Lei Geral de Proteção de Dados ou LGPD, a SPSL busca constantemente adequar seus procedimentos, processos, fluxos e atividades, para estar em conformidade com a referida lei.

Este documento busca demonstrar o compromisso da SPSL com a segurança, sigilo, privacidade e proteção dos Dados Pessoais e Dados Pessoais Sensíveis de pessoa natural identificada ou identificável, assim como a transparência no Tratamento dos Dados Pessoais que são coletados em seus processos, durante todo o ciclo de vida dos Dados Pessoais.

Além disso, todos os profissionais da SPSL podem vir a tratar Dados Pessoais em suas atividades rotineiras, razão pela qual o principal aliado para garantir que a SPSL esteja cumprindo com a LGPD é a aplicação correta da lei pelos seus profissionais, mediante conscientização e treinamentos constantes quanto ao tema.

2. Condições Gerais

2.1. Definições

Agente de Tratamento de Dados

Refere-se ao Controlador e ao Operador

Autoridade Nacional de proteção de Dados (ANPD)

Órgão da administração pública federal responsável por zelar pela proteção de Dados Pessoais e por implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados.

Consentimento

Manifestação livre, informada e inequívoca pela qual o Titular concorda com o Tratamento de seus Dados Pessoais para uma finalidade determinada.

Controlador

Pessoa natural ou jurídica responsável por tomar decisões sobre o Tratamento de Dados Pessoais. Quando a SPSL realiza as decisões e determina as finalidades para o Tratamento de Dados Pessoais, ela é o Controlador.

Dados Pessoais

Informação vinculada ou vinculável à pessoa física identificada ou identificável.

Dados Pessoais Sensíveis

Dado Pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.  Esses dados necessitam de maior cuidado e proteção.

Encarregado de Dados (DPO)

Pessoa indicada pelo Controlador para atuar como canal de comunicação entre o Controlador, os Titulares dos Dados Pessoais e a ANPD.

Lei Geral de Proteção de Dados (LGPD)

Lei nº 13.709/2018, que dispõe sobre a proteção de Dados Pessoais.

Tratamento de Dados

Operações realizadas com Dados Pessoais, que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle, modificação, comunicação, transferência, compartilhamento, difusão ou extração da informação. Qualquer ação que envolva Dados Pessoais constitui-se automaticamente em Tratamento de tais Dados Pessoais.

Titular de Dados Pessoais

Pessoa natural que possa ser identificada, direta ou indiretamente, a quem se referem os Dados Pessoais que são objeto de Tratamento.

Operador

Pessoa natural ou jurídica que realiza o Tratamento de Dados Pessoais em nome do Controlador. Em muitas prestações de serviços, fornecimentos, parcerias, ou outros tipos de acordos entre empresas, é necessário o Tratamento de Dados Pessoais por ambas as partes. Sendo assim, a empresa que tomará as decisões será o Controlador e a empresa que realizará o Tratamento dos Dados Pessoais em nome do Controlador será o Operador.

2.2. Campo de Aplicação

Esta Diretriz de Privacidade e Proteção de Dados Pessoais aplica-se a todos os profissionais, clientes, parceiros de negócio e terceiros, além de outros usuários que tenham Dados Pessoais tratados pela SPSL, por meio físico ou digital.

2.3. Referências

ABNT NBR ISO 9001:2015 – Sistema de gestão da qualidade – Requisitos.

ABNT NBR ISO 14001:2015 – Sistema de gestão ambiental – Requisitos com orientações para uso.

ABNT ISO 45001:2018 – Sistema de gestão de saúde e segurança ocupacional – Requisitos com orientações para uso.

3. Condições Específicas

3.1. Bases Legais

Para que a SPSL possa coletar, utilizar e armazenar Dados Pessoais, é necessária uma razão específica prevista na LGPD (“base legal”). A LGPD estabelece 10 bases legais que podem ser utilizadas como justificativa para o Tratamento dos Dados Pessoais. As bases legais essencialmente aplicáveis à SPSL são as seguintes:

  • Legítimo interesse;
  • Cumprimento de obrigação legal ou regulatória;
  • Execução de contrato; e
  • Exercício regular de direitos em processo judicial, administrativo ou arbitral.
  1. Legítimo Interesse: É a justificativa mais ampla, porém, para utilizá-la, é necessário que o Tratamento seja para uma finalidade legítima e que o Titular tenha a expectativa de que seus Dados Pessoais serão tratados pela SPSL para aquela finalidade específica.

Exemplo: Coleta de Dados Pessoais em processos de recrutamento de profissionais promovidos pela SPSL S.A.

  1. Cumprimento de obrigação legal ou regulatória: Verifica-se sempre que a SPSL S.A. seja obrigada por lei ou por algum regulamento a tratar os Dados Pessoais do Titular.

Exemplo: Envio de Dados Pessoais de profissionais para o e-Social.

  • Execução de contrato: Ocorre sempre que, em razão de um contrato firmado, a SPSL S.A. precise realizar o Tratamento dos Dados Pessoais do Titular.

Exemplo: Execução do contrato de trabalho do profissional com a SPSL S.A.

  1. Exercício regular de direitos em processo judicial, administrativo ou arbitral: A SPSL S.A. poderá tratar Dados Pessoais para dar início a ou defender-se em um processo judicial, administrativo ou arbitral.

Exemplo: Armazenamento de Dados Pessoais de profissionais para defesa em eventual ação judicial.

Já para os Dados Pessoais Sensíveis, as hipóteses são mais restritas, sendo as justificativas mais provavelmente aplicáveis às hipóteses de Tratamento de Dados Pessoais pela SPSL: consentimento, cumprimento de obrigação legal ou regulatória e exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo ou arbitral.

Ao determinar a base legal que justifica o Tratamento, é necessário sempre informar o Titular dos Dados Pessoais a respeito da finalidade, específica e legítima, para a qual os seus Dados Pessoais serão utilizados, garantindo transparência na relação. Além disso, caso a justificativa para realizar o Tratamento seja o consentimento, é necessário informar ao Titular que ele poderá revogar tal autorização a qualquer momento, de forma gratuita e sem qualquer ônus.

3.2. Finalidades de Tratamento

A SPSL coleta Dados Pessoais e, em alguns casos, Dados Pessoais Sensíveis para realizar suas atividades, podendo tratar os Dados Pessoais coletados para as seguintes finalidades, mas não se limitando a elas:

  • Elaboração de contratos;
  • Realização de procedimentos necessários em processos judiciais;
  • Atendimento de solicitações de auditoria externa;
  • Elaboração de orçamento;
  • Realização de reembolsos;
  • Atendimento aos usuários de seu website;
  • Controle de comparecimento de profissionais de terceiros;
  • Obtenção de licenças e autorizações;
  • Processo de seleção, contratação, cadastro, admissão e demissão de profissionais, incluindo exames médicos admissionais, demissionais e periódicos;
  • Atendimento de requisitos legais ou regulatórios relacionados à Saúde e Segurança do Trabalho;
  • Controle de acidentes e investigação de ocorrências;
  • Integração de profissionais;
  • Gestão da folha de ponto;
  • Controle de acesso a instalações operacionais e administrativas;
  • Automação e integração de sistemas;
  • Conciliação de valores da folha de pagamento;
  • Contratação e utilização de planos de saúde e outros benefícios;
  • Programação, divulgação e realização de eventos internos.

3.3. Tratamento de Dados Pessoais

A SPSL poderá tratar os seguintes Dados Pessoais, a depender da relação mantida com o Titular:

3.4. Tratamento de Dados Pessoais Sensíveis

Eventualmente, a SPSL pode tratar Dados Pessoais considerados pela LGPD como sensíveis, por exemplo, na execução de atividades de admissão, cadastro e demissão de profissionais, ou em cumprimento de obrigação legal ou regulatória, entre outras. Neste caso, o uso destas informações será realizado tão somente nas hipóteses especificamente previstas pela Lei nº 13.709/2018 (Lei Geral de Proteção de Dados).

3.5. Tratamento de Dados de Crianças e Adolescentes

A SPSL realiza o Tratamento de Dados de crianças e de adolescentes nos termos da legislação pertinente e/ou mediante consentimento dado, quando aplicável, por, pelo menos, um dos pais ou pelo responsável legal, observando as medidas necessárias e determinações legais quanto a proteção, integridade, transparência e segurança de tais Dados.

3.6. Compartilhamento de Dados Pessoais

A SPSL somente realizará o compartilhamento de Dados Pessoais nos casos em que haja necessidade para execução da atividade pretendida, cumprindo as disposições da LGPD e normativos que regem o tema, respeitando os princípios e as finalidades do compartilhamento.

Os Dados Pessoais coletados podem ser compartilhados, sempre observando-se esta Diretriz, com:

  • Autoridades judiciais, administrativas ou governamentais competentes, sempre que houver determinação legal ou ordem nesse sentido;
  • Empresas do grupo econômico da SPSL no Brasil e no exterior;
  • Partes interessadas, incluindo clientes, prestadores de serviço, instituições financeiras, companhias seguradoras, operadoras de planos de saúde, escritórios de advocacia, auditores, dentre outros.

3.7. Guarda e Retenção

A LGPD também estabelece que os Dados Pessoais não podem ficar armazenados por período indeterminado, ou seja, cada tipo de Dado Pessoal somente poderá ficar armazenado enquanto perdurarem as finalidades para as quais os Dados Pessoais tenham sido coletados, ou para cumprimento de quaisquer obrigações legais ou regulatórias, ou, ainda, para preservação de direitos.

Após os prazos previstos na legislação e/ou regulamentos aplicáveis, os Dados Pessoais coletados pela SPSL serão descartados por métodos seguros. A SPSL apenas conservará os Dados Pessoais para os casos de:

  • Cumprimento de obrigação ou necessidade legal ou regulatória do Controlador;
  • Estudos e pesquisas ou fins estatísticos, mediante anonimização dos usuários, sempre que possível;
  • Uso exclusivo do Controlador, desde que respeitado o requisito de anonimização de dados;
  • Transferência a terceiros, respeitando os requisitos de Tratamento de Dados expressos em lei.

3.8. Transferência Internacional de Dados

A SPSL possui servidores localizados no Brasil, contudo, a matriz de sua acionista fica localizada na República Popular da China, o que poderá exigir transferência e/ou processamento dos Dados Pessoais que a SPSL coleta naquele país. Essas transferências envolvem apenas empresas do mesmo grupo econômico, as quais se encontram em um país com legislação própria sobre o tema, mantendo um nível de conformidade semelhante ao previsto na legislação brasileira.

3.9. Garantindo os Direitos dos Titulares

A LGPD também estabeleceu alguns direitos aos Titulares dos Dados Pessoais, cujo  exercício pode ser solicitado perante as empresas responsáveis pelo Tratamento, sendo o Controlador o responsável por atender tais solicitações.

Assim, sempre que a SPSL estiver atuando como Controlador, será responsável por garantir tais direitos e responder adequadamente ao Titular.

  • Confirmação e acesso: O Titular poderá solicitar a confirmação sobre a existência de Tratamento de Dados Pessoais e o acesso aos seus Dados Pessoais.
  • Correção: O Titular poderá solicitar a correção de seus Dados Pessoais que estejam incompletos, inexatos ou desatualizados, sendo obrigação da SPSL a complementação ou correção dos seus Dados Pessoais.
  • Anonimização, bloqueio ou eliminação: O Titular poderá solicitar a anonimização dos seus Dados Pessoais, para que eles não possam mais ser relacionados a ele, o bloqueio dos seus Dados Pessoais, suspendendo temporariamente a possibilidade de Tratamento de Dados Pessoais para certas finalidades, ou a eliminação dos seus Dados Pessoais.
  • Portabilidade: O Titular poderá solicitar a portabilidade de seus Dados Pessoais a outro fornecedor de serviço ou produto, por meio de requisição expressa, de acordo com a regulamentação da ANPD e em observância aos segredos comercial e industrial.
  • Informação sobre compartilhamento: O Titular poderá solicitar informações sobre terceiros com os quais a SPSL compartilha seus Dados Pessoais, sejam entidades públicas ou privadas.
  • Revogação do Consentimento: O Titular poderá optar por retirar o consentimento para alguma finalidade a que ele tenha consentido. Essa revogação não afetará a legalidade de qualquer Tratamento de Dados realizado anteriormente.
  • Oposição: O Titular poderá se opor ao Tratamento dos seus Dados Pessoais, caso não concorde com alguma finalidade que não seja essencial ao cumprimento de obrigações legais da SPSL.
  • Revisão de decisões tomadas com base em tratamento automatizado: O Titular tem direito de solicitar à SPSL a revisão de decisões destinadas a definir o seu perfil pessoal, profissional, de consumo, de saúde, de crédito ou os aspectos da personalidade que afetem seus interesses, conforme aplicável.

Para a segurança do Titular, sempre que este apresentar uma requisição/petição no Canal de Privacidade da SPSL, a SPSL poderá solicitar informações complementares para comprovar sua identidade, buscando impedir fraudes. Além disso, a SPSL poderá deixar de atender alguma solicitação, caso o atendimento viole propriedade intelectual ou segredo de negócios, bem como quando houver obrigação legal ou regulatória quanto à retenção desses Dados Pessoais.

3.10 Incidentes e Medidas de Segurança

Um dos principais riscos inerentes às atividades de Tratamento de Dados Pessoais realizadas pelas empresas é a possibilidade de ocorrência de incidentes de segurança relacionados a tais atividades.

Um incidente de segurança pode ser entendido como sendo um acesso não autorizado aos Dados Pessoais, ou, ainda, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme art. 46 da LGPD.

Em cumprimento à legislação, a SPSL envida esforços constantes para adotar as medidas técnicas e administrativas de segurança adequadas, com o intuito de proteger a privacidade dos Dados Pessoais e Sensíveis contra situações adversas.

3.11. Contato do Encarregado de Dados

Em caso de qualquer dúvida com relação a esta Diretriz, assuntos referentes à aplicação da LGPD pela SPSL, exercício de direitos do Titular ou conhecimento de incidentes, o Titular poderá entrar em contato com o Encarregado de Dados e a Comissão de Privacidade da SPSL, por meio do seguinte endereço: privacidade@spsl.eco.br.

HOME
INSTITUCIONAL
SUSTENTABILIDADE
CÓDIGO DE CONDUTA
DIRETRIZ DE PRIVACIDADE
REGRAS DE OURO - SST
NOTÍCIAS
ARTIGOS
BOLETINS INFORMATIVOS
DEMONSTRAÇÕES FINANCEIRAS
CONTATO
FALE CONOSCO
PRIVACIDADE
CANAL DE ÉTICA
CANAL DA MULHER

FALE CONOSCO: CONTATO@SPSL.ECO.BR

Para falar com a SPSL sobre LGPD e tratamento de dados pessoais, entre em contato com o Encarregado de Dados (DPO – Grant Thornton Consultores de Negócio Ltda.) pelo e-mail: privacidade@spsl.eco.br