Política de proteção de dados
Código: PD-03 Emissão: 29/09/2020 Versão: 1.0 Classificação: Uso externo Aprovador por:
GLOSSÁRIO:
Alta Gestão: órgão decisório máximo de uma dada organização. Para os fins desta política pode se referir também a órgãos inferiores imediatamente subordinados a este para os quais o órgão deliberativo máximo tenha delegado os poderes para a tomada de determinadas decisões.
Autoridade Nacional de Proteção de Dados: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados em todo o território nacional.
Aplicação: conjunto de funcionalidades telemáticas que visa auxiliar as partes na operação de transporte de carga, fornecendo uma ferramenta digital para a logística, e que podem ser acessadas por meio de um terminal conectado à internet.
Clientes da Embarcadora: referidos, dentro do software e aplicação de internet “WXEQ”, apenas como “clientes”, constituem, como o nome indica, clientes, pessoas físicas ou jurídicas, da embarcadora, sendo os adquirentes da carga, ou de parte dela, podendo, ou não, ser o destinatário final da mesma.
Clientes do serviço de tecnologia: são os sujeitos que contrataram diretamente os serviços de tecnologia da PROVEDORA, que não devem ser confundidos com os serviços de transporte, efetivamente a remunerando. É em decorrência do contrato com o cliente do serviço de tecnologia que os demais Usuários possuem acesso a aplicação.
Colaboradores: categoria que engloba todos os trabalhadores, prestadores de serviço e representantes, atuais, antigos e potenciais futuros (candidatos) de um dado ente, seja a Transportadora, Embarcadora, Cliente da Transportadora ou do próprio Motorista.
Controlador: aquele que define a finalidade e o meio de tratamento. Neste documento, em regra, se referirá as embarcadoras e as transportadoras.
Conta de acesso: credencial que permite a um dado usuário acessar certas funcionalidades da aplicação;
Dados Pessoais: todo e qualquer dado ou informação que possa ser associado direta ou indiretamente a uma pessoa física (humana)
Embarcadora/Embarcador: USUÁRIO que contrata os serviços das transportadoras, em regra uma empresa que necessita do deslocamento do produto entre dois pontos da cadeia de suprimentos.
Entes reguladores: para fins desta política são todos as pessoas jurídicas e órgãos que possuem como função precípua a fiscalização de dadas atividades econômicas.
Importar dados: salvar, copiar, compartilhar, transferir ou, de qualquer modo, inserir em dispositivo, computador, nuvem, ou qualquer outro meio, dados da aplicação.
Incidente de segurança: evento, causada por forças humanas ou não-humanas, que violem a confidencialidade, integridade ou disponibilidade da informação.
Informação: é o significado extraído de determinado dado quando inserido em um dado contexto.
Login: nome do usuário, utilizado para fins de acesso às funcionalidades da aplicação;
Manutenção: serviço de correção de falhas apresentadas pelo software.
Motorista: usuário que realiza, em nome e por conta da transportadora, o deslocamento da carga, tendo acesso ao sistema em decorrência de sua relação com a transportadora.
Operador: sujeito que trata dados pessoais em nome e por conta dos controladores. A Provedora da Aplicação, como regra, atua como mera operadora.
Parceiros Econômicos: sujeito, pessoa física ou jurídica, com quem uma dada organização tem ou planeja estabelecer negócios, incluindo, mas não se limitando a fornecedores, operadores e representantes contratados;
Provedora: forma encurtada de “provedora de aplicação de internet”, se refere ao fornecedor e/ou desenvolvedor da aplicação de internet. No presente contrato se referirá à empresa que fornece a aplicação de internet “WXEQ”.
Segurança da informação: matéria que versa a respeito do conjunto de medidas técnicas, organizacionais e físicas utilizadas para a manutenção da confiabilidade (confidencialidade, integridade e disponibilidade) da informação;
Sites/Websites: denominação comum para as páginas de internet.
Suporte: serviço de apoio e orientação quanto ao funcionamento do software objeto do presente instrumento.
Transferência Internacional de Dados Pessoais: operação na qual se transfere dados pessoais para fora do território nacional, independente do meio em que ocorra.
Transportador: usuário que se obriga a realizar o serviço de transporte de carga, incluindo Empresas de Transporte Rodoviário de Carga, Cooperativa de Transporte Rodoviário de Cargas, Transportador Autônomo de Carga e, quando for o caso, o próprio Embarcador.
Tratamento: qualquer operação feita com dados pessoais.
Titular: pessoa física a quem os dados pessoais se referem.
Usuário: pessoa física ou jurídica, incluindo os eventuais controladores e usuários indiretos, que faz uso da aplicação de internet, seja na condição de mero visitante, seja acessando as funcionalidades por meio da Conta de Acesso.
Usuário Indireto: termo referente aos Usuários que, não sendo o Contratante do Serviço de Tecnologia, possuem acesso à aplicação em razão de sua relação jurídica com o Contrate do Serviço de Tecnologia, seja essa relação uma relação direta, seja uma relação indireta.
Violação de dados pessoais: incidente de segurança que atinja dados pessoais.
INTRODUÇÃO:
1. O que é uma Política de Proteção de Dados? Uma Política de Proteção de Dados é um documento formal que delimita as principais regras e princípios de proteção de dados aplicadas a organização responsável pelo WXEQ.
2. Para que serve? A Política de Proteção de Dados tem como objetivo formalmente instituir as regras relativas à proteção de dados internamente aplicáveis às organizações que formam o WXEQ, seus colaboradores e, quando aplicável, parceiros econômicos.
3. Abrangência: a Política de Proteção de Dados se aplica às organizações responsáveis pela aplicação de internet WXEQ, bem como qualquer de suas filiais, devendo ser respeitada por todos aqueles que representem, integrem ou mantenham relações com quaisquer dessas organizações.
4. Relação com outras normas internas: a Política de Proteção de Dados não derroga (revoga) outras normas internas, desde que sejam com ela compatíveis.
DOS PRINCÍPIOS SEGUIDOS PELO WXEQ
Nós, da equipe WXEQ, realizamos o tratamento de dados pessoais em acordo com os seguintes princípios internos:
Eficiência e necessidade, visando tratar o mínimo de dados pessoais possível para a obtenção dos melhores resultados.
Segurança, implementando medidas físicas, técnicas e organizacionais para garantir a confiabilidade (integridade, confidencialidade e disponibilidade) e privacidade dos dados pessoais dos titulares;
Legalidade, nós apenas tratamos dados pessoais obedecendo os limites da lei, acobertados por uma base legítima de tratamento, com propósitos específicos e respeitando à boa fé;
Transparência, garantindo, ao máximo, que o titular se encontre informado dos usos dados aos seus dados pessoais;
DO TRATAMENTO DE DADOS PELO WXEQ:
O WXEQ entende o valor e a importância dos dados pessoais e da privacidade dos titulares, apenas tratando esses dados de forma legítima, para a persecução de uma finalidade expressa, adotando medidas de segurança adequadas e sendo transparentes com os titulares dos dados.
1. Requisitos mínimos para o tratamento de dados: toda operação de tratamento de dados a ser realizado pelo WXEQ deve, no mínimo, conter os seguintes requisitos mínimos:
1.1. Possuir uma finalidade expressa, legítima e não-discriminatória.
1.2. Ser necessária e adequada, isto é, não ser possível alcançar o resultado almejado sem o tratamento de dados pessoais a ser realizado;
1.3. Se fundamentar em uma das bases legais de tratamento de dados pessoais previstas na Lei Geral de Proteção de Dados ou outra legislação aplicável;
1.4. Ser transparente, fornecendo ao titular informação adequada e prévia ao tratamento e devendo encontrar-se, no mínimo, expressamente prevista em nossa Política de Privacidade ou outro documento que, no caso em concreto, seja mais apropriado;
1.5. Encontrar-se resguardada por medidas de segurança adequadas ao potencial danoso dos dados a serem tratados;
2. Da aprovação de novas hipóteses de tratamento: todas as novas hipóteses de tratamento de dados pessoais devem ser aprovadas de forma fundamentada pela Alta Gestão, após a realização de parecer pelo DPO que, para além dos requisitos mínimos previstos no ponto “1” deste capítulo, avaliará:
2.1. Se existe uma relação de proporcionalidade entre o grau de violação à privacidade do titular e a finalidade perseguida.
2.2. Os riscos aos titulares e à organização, incluindo riscos remanescentes, isto é, não resguardados pelas medidas de segurança propostas;
SUBCONTRATAÇÃO DE OPERADORES E TRANSFERÊNCIA DE DADOS:
1. Subcontratação de operadores: quando da subcontratação de novos operadores, ou modificação dos operadores contratados, o WXEQ observará se o potencial contratado apresenta indícios de conformidade com a Lei Geral de Proteção de Dados e outras normas de privacidade aplicáveis, seu histórico conhecido de incidentes de segurança, eventuais medidas corretivas adotadas e se as soluções de segurança técnica adotadas são adequadas para as operações de tratamento a serem realizadas.
1.1. Antes de se proceder com a subcontratação do operador, será consultado o DPO, que emitirá parecer sobre os pontos elencados no ponto “1” deste capítulo, bem como os demais pontos que entender relevantes.
1.2. Para além dos pontos acima elencados, caso o operador encontre-se fora do território nacional, deverá ser observado pelo WXEQ:
1.2.1. Se o país em que se encontra o operador possui legislação que ofereça proteção aos dados pessoais de forma compatível com a LGPD, analisando notadamente se uma decisão de adequação já foi expedida em relação àquela legislação;
1.2.2. Se, inexistindo legislação adequada, é possível a realização de cláusulas contratuais padrão, normas corporativas globais ou a organização possua selo ou certificado que indique a existência de um nível adequado de segurança;
1.3. Sempre que possível, se requererá, ao Operador, que adira formalmente com a presente política e demais políticas internas da organização.
2. Transferência para/com controladores dentro do território brasileiro: embora nossa função principal seja de operador, em regra, não tendo controle sobre os Controladores e as partes por ele envolvidas, o WXEQ busca, nos limites de sua capacidade enquanto operador, resguardar os direitos dos titulares, para tanto:
2.1. Buscamos conscientizar os controladores de suas obrigações enquanto tal, por meio de cláusulas contratuais expressas, por meio de limitações técnicas ao armazenamento (instituindo um prazo máximo dentro de nosso sistema), ou mesmo solicitando, sempre que possível, adesão a esta política de proteção de dados.
3. Transferência para/com Controladores Internacionais de Dados: embora nossa função principal seja de operador, em regra, não tendo controle sobre os controladores e as partes por ele envolvidas, o WXEQ busca, nos limites de sua capacidade enquanto operador, resguardar os direitos dos titulares, para tanto:
3.1. Buscamos conscientizar os controladores de suas obrigações enquanto tal, por meio de cláusulas contratuais expressas, por meio de limitações técnicas ao armazenamento (instituindo um prazo máximo dentro de nosso sistema), ou mesmo solicitando, sempre que possível, adesão a esta política de proteção de dados.
3.2. Incluímos, em nossos contratos, cláusulas contratuais-padrão, estabelecendo cuidados que os controladores localizados fora do território brasileiro devem adotar em relação aos dados tratados pela aplicação de internet WXEQ.
DOS DIREITOS DOS TITULARES:
O WXEQ atende e respeita aos direitos dos titulares, nos termos de sua Política de Privacidade e procedimentos internos, cabendo, aos titulares, os seguintes direitos:
• Direito a Informação: é o direito do titular dos dados de obter informações claras, precisas e em linguagem simples e inteligível a respeito do tratamento de informações a seu respeito. Inclui o direito de confirmar a existência de um tratamento, de acessar os dados que a organização contenha a seu respeito, de ser informado sobre a transferência desses dados para terceiros e as consequências de, uma vez solicitado o seu consentimento, este recusar.
• Direito de retificação: é o direito do titular de corrigir eventuais dados que estejam equivocados ou desatualizados sobre si.
• Direito ao esquecimento: concede ao titular o direito de anonimização, bloqueio ou exclusão de dados que tenham se tornado desnecessários ou estejam sendo tratados em desconformidade com a Lei Geral de Proteção de Dados.
• Direito de Portabilidade: é o direito do titular dos dados de receber uma cópia de todos os dados pessoais atinentes a sua pessoa que estejam em poder da organização, ou de requerer que citada cópia seja enviada diretamente a outro controlador.
• Direito de Retirada do Consentimento: garante ao Titular que, caso o tratamento de dados seja pautado em seu consentimento, este possa, a qualquer tempo e de modo não mais complexo do que aquele com o qual seu consentimento foi colhido, retirar o citado consentimento e demandar a eliminação, bloqueio ou anonimização de seus dados pessoais tratados com base neles.
1. Atendimento das requisições dos titulares: ao atender as requisições dos titulares de dados, observar-se-á o seguinte:
1.1 Se adotará, preferencialmente, medidas que permitam o exercício, pelos titulares, de seus direitos, de forma direta, isto é, independente de intermediários, por meio de ferramentas disponibilizadas na própria aplicação de internet WXEQ.
1.2 Quando não for possível o exercício, pelos titulares, de seus direitos de forma direta, o atendimento das requisições dos titulares se fará por meio de procedimento que preveja, no mínimo:
1.2.1. Meio para a confirmação da identidade do titular, podendo incluir a requisição de apresentação de cópia de um documento.
1.2.2. Hipóteses de direcionamento para o controlador, ou requisição de sua permissão, quando se entender que as informações Requeridas envolvem informações sensíveis e/ou confidenciais dos respectivos controladores.
2. Canal de comunicação e exercícios de direitos: as comunicações entre os titulares de dados e o WXEQ se darão por intermédio do DPO, operando-se por meio do endereço de e-mail dpo@wxeq.com.br.
AÇÕES DE CONFORMIDADE, ACCOUNTABILITY E COOPERAÇÃO COM AUTORIDADES REGULADORAS:
1. Ações de conformidade: nós, do WXEQ, sabemos que o resguarde da privacidade e da proteção de dados é uma tarefa diária, que depende do esforço comum de todos aqueles que compõem a nossa organização, razão pela qual adotamos ações internas adequadas para a manutenção da conformidade e engajamento.
1.1. Governança: nós, do WXEQ, reconhecemos a importância de uma estrutura de governança adequada para o resguarde da Proteção de Dados e Privacidade, em decorrência disso, e, tendo em conta nossas características próprias enquanto startup, dividimos a nossa organização em três níveis, cada qual com suas próprias atribuições no resguarda à proteção de dados e a privacidade:
1.1.1. A Alta Gestão, formada por aqueles que detenham poder de administração das organizações responsáveis pela aplicação de internet WXEQ, bem como qualquer de suas filiais, é responsável por:
Tomar, com base nos relatórios, consultas e informações fornecidas pelo DPO, a decisão final em matéria de Proteção de Dados e Privacidade, incluindo, na eventual sanção de colaboradores.
Realizar, bianualmente, uma análise crítica do desempenho da organização em proteção de dados e privacidade, estabelecendo objetivos (correções de não-conformidades recorrentes, pontos de melhoria...) para o biênio seguinte;
Apoiar o DPO, conferindo-lhe, frente a toda organização, as competências, poderes e autoridade adequados para a realização de seu trabalho com independência.
Fornecer, à área de Privacidade e Proteção de Dados, tendo em conta os limites econômicos do WXEQ, os recursos necessários para a realização de suas funções.
1.1.2. O Encarregado pelo Tratamento de Dados Pessoais (DPO), responsável pelo setor de privacidade e proteção de dados da organização e da aplicação, sendo sua a tarefa de monitorar a conformidade da organização com os padrões internos adotados, bem como os legais aplicáveis, e servir como ponte entre a organização e os titulares ou os agentes reguladores, destacadamente a Autoridade Nacional de Proteção de Dados.
1.1.3. Os demais colaboradores, que devem obedecer às políticas e procedimentos da organização, participar dos treinamentos e capacitações e contribuir, no escopo de suas funções, ativamente com a proteção de dados e privacidade, inclusive por meio da sugestão de alteração nas práticas da organização.
1.2. Treinamento: nós, do WXEQ, entendemos a importância de realizar treinamentos regulares e adequados para o resguarde da Proteção de Dados e Privacidade
1.2.1. Nós realizamos, no mínimo, um treinamento anual para os colaboradores, voltado para proteção de dados e privacidade.
1.2.2. Nós treinamos novos colaboradores, logo após a sua admissão.
1.2.3. Em nossos treinamentos, buscaremos incluir, no mínimo:
Conceitos e noções básicas sobre proteção de dados e privacidade;
Regras legais para o tratamento de dados e os direitos dos titulares;
As políticas e procedimentos internos sobre proteção de dados e privacidade;
Um estudo de caso
1.2.4. Nós realizamos, no mínimo, anualmente, um treinamento em segurança da informação para nossos colaboradores.
1.2.5. O Treinamento em Segurança da Informação deverá incluir, no mínimo:
Conceitos e noções básicas sobre segurança da informação;
As políticas e procedimentos internos sobre proteção de dados e privacidade;
As principais ameaças no dia-a-dia e formas de prevenção.
1.3. Difusão cultural: nós, do WXEQ, entendemos que o resguarde à proteção de dados e a privacidade depende de uma verdadeira revolução cultural e, para tanto, realizamos algumas ações com o fito de melhor preparar nossos colaboradores, por meio de:
Fornecimento de material didático;
Propagação de conteúdo;
Incentivo à participação em eventos e workshops sobre o tema;
1.4. Controles: nós, do WXEQ, buscamos aplicar os controles técnicos e organizacionais adequados para o resguarde da proteção de dados e da privacidade dos titulares cujos dados pessoais nós venhamos, por qualquer causa, a ter contato.
1.4.1. Controles organizacionais: nós, do WXEQ, aplicamos controles organizacionais adequados à nossa estrutura enquanto startup, para tanto dedicamo-nos a:
Fornecer treinamento e educação aos membros de nossa equipe;
Limitar o acesso à dados pessoais de nossas aplicações ao necessário ao exercício das funções;
Adotar e seguir procedimentos internos para a manutenção da contínua conformidade com as normas de proteção de dados e privacidade;
Investigar violação às normas e políticas internas;
Investigar incidentes de segurança da informação ou violação de dados pessoais;
Sancionar ou reciclar, a depender do grau de culpa, membros de nossa equipe que violem dados pessoais.
1.4.2. Controles técnicos: nós, do WXEQ, aplicamos controles técnicos adequados à nossa estrutura enquanto startup, bem como à realidade de nossos produtos enquanto aplicações de internet, incluindo:
Uso de encriptação;
Manutenção de Backups e Redundâncias;
Manutenção de Registro de Log.
Medidas de Proteção Lógica
2. Accountability: todas as ações de conformidade realizadas, requisições recebidas e/ou respondidas, incidentes de segurança identificados e/ou tratados, espécies de operações de tratamento de dados realizadas, revisões nesta e em outras políticas e procedimentos internos, bem como, todas as demais ações que objetivem o resguarda da proteção de dados e privacidade, devem ser devidamente registrados, contendo, citado registro, no mínimo, as informações necessárias para identificar os fatos e as ações transcorridas, bem como os sujeitos envolvidos.
3. Cooperação com Autoridades Reguladoras: nós, do WXEQ, presamos por uma relação colaborativa com as autoridades reguladoras, nomeadamente a Autoridade Nacional de Proteção de Dados, visando o nosso próprio
DOS DEVERES DOS COLABORADORES E PARCEIROS ECONÔMICOS:
Os colaboradores e parceiros econômicos devem estar cientes de que a proteção de dados pessoais é de responsabilidade de todos, nos limites das atribuições de cada um.
1. Da Gestão de Privacidade de Dados:
1.1. Os dados pessoais obtidos em razão do exercício das funções, ou, de qualquer outro modo, em razão de seu relacionamento com o WXEQ, são sigilosos, não podendo ser divulgados a pessoal não autorizado;
1.2. Os colaboradores e parceiros econômicos do WXEQ devem estar cientes que todo e qualquer tratamento de dados pessoais que venham a realizar em nome, por conta ou, de qualquer modo, relacionado com o WXEQ deve encontrar-se alinhado com os preceitos dessa política, com a Política de Privacidade, a Lei Geral de Proteção de Dados e demais leis e regulamentos aplicáveis;
1.3. Os colaboradores devem descartar adequadamente documentos, rascunhos e outros materiais que detenham dados pessoais e cujo armazenamento não seja mais necessário ou encontre-se em desconformidade com a presente política.
1.4. Sempre que identificarem dados pessoais incorretos, desatualizados ou que se encontrem em violação a presente política, ou a legislação, os colaboradores possuem o dever de informar ao Encarregado (Data Protection Officer);
1.5. Sempre que se aperceba de uma violação de dados pessoais, isto é, um evento no qual se comprometa a confiabilidade (confidencialidade, disponibilidade e integridade) dos dados pessoais detidos pelo WXEQ, o colaborador, ou parceiro econômico, deve informar imediatamente ao Encarregado (Data Protection Officer).
1.6. Caberá, ao colaborador, remeter, ao DPO, qualquer dúvida a respeito das normas, procedimentos e políticas internas
1.7. Poderá, o colaborador, remeter, ao DPO, sugestões fundamentadas para a modificação e/ou aprimoramento de qualquer política ou procedimento interno.
2. Da Segurança da Informação: os colaboradores e parceiros econômicos devem estar cientes de que são, junto ao WXEQ, corresponsáveis pela segurança da informação, pela garantia da confiabilidade da informação e pela preservação dos ativos de informação pertencentes à organização.
2.1. Os colaboradores e parceiros econômicos devem estar cientes que os ativos de informação, incluindo, mas não se limitando a, computadores, notebooks, rede de wifi, rede de intranet, e-mails corporativos, telefones, bancos de dados, códigos fonte e quaisquer informações obtidas em razão do exercício das funções, pertencem ao WXEQ;
2.1.1. O uso dos ativos de informação pertencentes ao WXEQ deve ser feito unicamente em razão do exercício das funções junto à organização;
2.2. As informações obtidas em razão do exercício das funções são sigilosas, não podendo ser divulgadas a pessoal não autorizado;
2.3. O WXEQ se reserva o direito de monitorar o uso de seus ativos, como forma de verificar sua utilização adequada, bem como para fins de investigação interna.
2.4. O uso dos ativos de informação pertencentes ao WXEQ deve ser feito de forma adequada e em acordo com as orientações da Alta Gestão e do fabricante do ativo;
2.4.1. A instalação de qualquer programa, software ou aplicativo em um ativo da informação pertencente ao WXEQ apenas pode ser realizado pelo pessoal autorizado e mediante prévia autorização da Alta Gestão;
2.4.2. É vedado o uso de softwares, programas ou aplicativos pirateados ou de fabricante não confiável;
2.5. Salvo autorização expressa do supervisor direito, é vedado o uso de equipamentos pessoais no exercício das funções junto ao WXEQ.
2.6. Extinto o vínculo entre os colaboradores, ou parceiros econômicos, e o WXEQ, todos os ativos de informação do WXEQ que estejam em posse destes devem ser restituídos;
2.7. Caso os colaboradores e parceiros econômicos façam uso de equipamentos pessoais, estes devem ser entregues para que o departamento de tecnologia da informação dê o destino adequado a eventuais informações relativas ao WXEQ que permaneçam no equipamento.
DATA PROTECTION OFFICER, VIOLAÇÃO DE DADOS, SANÇÕES E REVISÃO DA POLÍTICA:
1. Encarregado pelo Tratamento de Dados/Data Protection Officer: o Encarregado (DPO) é o responsável pelo setor de privacidade e proteção de dados da organização e do software e aplicação de internet WXEQ, sendo sua a tarefa de monitorar a conformidade da organização com os padrões internos adotados, com os padrões legais aplicáveis, e servir como ponte entre a organização e os titulares ou agentes reguladores.
1.1. Funções:
Responder a requisições e reclamações dos Titulares de Dados, quando relativas a proteção de dados e privacidade, incluindo o exercício de seus deveres;
Responder as requisições e orientações dos agentes reguladores, nomeadamente a Autoridade Nacional de Proteção de Dados;
Acompanhar as modificações das disposições legais e regulamentares aplicáveis em privacidade e proteção de dados;
Avaliar criticamente e propor à Alta Gestão modificações nos documentos internos (políticas, manuais, contratos, registros...) de privacidade e proteção de dados, mantendo citados documentos atualizado
Servir de órgão consultor para toda organização, acompanhando, informando e a aconselhando matérias relativas a privacidade e proteção de dados;
Apontar a necessidade e acompanhar a execução de auditorias internas e externas relativas a proteção de dados, privacidade e segurança da informação;
Apontar a necessidade e acompanhar a execução de consultorias externas relativas a proteção de dados, privacidade e segurança da informação;
Monitorar internamente a organização, pontuando e investigando eventuais não-conformidades com as normas internas e externas que lhe sejam aplicadas, bem como, sugerindo, à Alta Gestão, medidas corretivas e/ou disciplinares.
Promover orientação e treinamento aos colaboradores da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
1.2. Garantias: Nós, do WXEQ, respeitamos a necessária independência do DPO, que:
1.2.1. Não será, de qualquer forma, penalizado pelo regular exercício de suas funções;
1.2.2. Responde diretamente à Alta Gestão;
1.2.3. É, em relação aos demais colaboradores, a autoridade máxima em matéria de privacidade e proteção de dados;
1.3. Quem é o nosso DPO? Nosso DPO é a Sra. Marcia Cristina e você pode entrar em contato com ela por meio do endereço de e-mail dpo.exitum@gmail.com ou pelo n° de contato (71) 98851-5605.
2. Sanções: o WXEQ compreende a importância de apreender com os erros, sendo o melhoramento contínuo da organização a principal razão para a identificação de eventuais violações à presente política. Contudo, quando a gravidade, ou o grau de culpa, da violação assim o exigir, a Alta Gestão, mediante parecer expedido pelo DPO, pode aplicar as sanções cabíveis, incluindo, mas não se limitando a: advertência, reciclagem, suspensão e demissão;
3. Violação de Dados Pessoais: cientificado da ocorrência de uma violação de dados, o DPO avaliará o risco para os direitos e liberdades das pessoas, tomando as medidas necessárias para melhor resguardá-los e notificará os controladores envolvidos, bem como, se apropriado, informará essa violação à autoridade competente e aos titulares respectivos.
4. Revisão: Nós, do WXEQ, encontramo-nos em processo de contínuo melhoramento, razão pela qual nos reservamos o direito de rever e atualizar a presente política sempre que assim se mostrar necessário. Além disso comprometemo-nos a revisitá-la e revisá-la, no mínimo, bianualmente.
[MODELO]
TERMO DE VINCULAÇÃO A POLÍTICA DE PRIVACIDADE
(Parceiro Econômico)
[Nome/Razão Social], inscrito no [CPF/CNPJ], [por meio de seu representante legal], declaro, para os devidos fins, ter recebido uma cópia da Política de Proteção de Dados do WXEQ e estar ciente que devo guiar a minha postura e a dos meus colaboradores em consonância com as regras e princípios apresentados na citada política durante toda a execução de minhas obrigações decorrentes do [identificação do contrato]. Declaro, ainda, estar ciente que a violação do disposto na Política de Privacidade e Proteção de Dados equivale, para todos os fins legais, à violação do próprio contrato e pode implicar em justa causa para a rescisão contratual e responsabilidade jurídica por eventuais danos causados à EXITUM CONSULTORIA EM GESTÃO EMPRESARIAL EIRELI.
Salvador-BA, [data]
______________________________
[Nome/Razão Social]
[CNPJ]
[MODELO]
Termo Aditivo de Contrato
(Processador/Operador)
EXITUM CONSULTORIA EM GESTÃO EMPRESARIAL EIRELI, pessoa jurídica de direito privado, registrada no CNPJ n° 06.029.549/0001-95, com sede na Av. Jorge Armado, Nº 100, Loja 22 – Nova Vitoria, CEP: 42.802-906, Camaçari/BA, neste ato representada por seu sócio, doravante denominada CONTRATANTE, e [Nome/Razão Social], sediado no [ENDEREÇO], inscrito no [CPF/CNPJ], [por meio de seu representante legal], doravante CONTRATADA, vêm, em estrita observância ao Art. 39 da Lei Geral de Proteção de Dados (Lei 13.709/2018) e das melhores práticas em governança de dados, firmar Termo Aditivo do Contrato de Prestação de Serviços [IDENTIFICAR O CONTRATO], nos termos que seguem: 1. Das obrigações da CONTRATADA: passa a acrescer o conteúdo da [Colocar o N° da Cláusula], que versa sobre as obrigações da CONTRATADA, as seguintes alíneas:
[Alínea Y] A CONTRATADA obriga-se a conformar-se com todos os preceitos da Lei Geral de Proteção de Dados (Lei 13.709/2018), autorizando a CONTRATANTE a realizar auditorias periódicas para averiguar o seu nível de conformidade.
[Alínea X] A CONTRATADA obriga-se a apenas tratar dados pessoais com ela compartilhados pela CONTRATANTE em estrita obediência a instruções documentadas da CONTRATANTE.
[Alínea Y] A CONTRATADA compromete-se a manter a mais estrita confidencialidade dos dados pessoais e demais informações que, em razão do [IDENTIFICAR O CONTRATO] firmado com a CONTRATANTE, venha a ter contato.
[Alínea Y] A CONTRATADA compromete-se a firmar um termo de confidencialidade com todos os seus colaboradores que em razão do [IDENTIFICAR O CONTRATO] firmado com a CONTRATANTE venham a ter contato com informações da CONTRATANTE.
[Alínea Z] A CONTRATADA se compromete a adotar as melhores práticas de segurança da informação e a manter uma equipe com o adequado treinamento em segurança da informação e proteção de dados pessoais.
[Alínea Z] A CONTRATADA se compromete a auxiliar a CONTRATANTE a demonstrar a adequação a Lei Geral de Proteção de Dados (Lei n° 13.709/2018) sempre que essa demonstração depender da conformidade da CONTRATADA ou sempre que possível for.
[Alínea Z] A CONTRATADA se compromete a, uma vez encerrado o [IDENTIFICAR O CONTRATO], transferir a CONTRATANTE todos dados pessoais e demais informações que, em razão do[IDENTIFICAR O CONTRATO] firmado com a CONTRATANTE, venha a armazenar, excluindo-os de seus sistemas no prazo de [Negociar o período] após a transferência.
[LOCAL], [DATA]
______________________________
[Nome/Razão Social]
[CNPJ]
______________________________
[Nome/Razão Social]
[CNPJ]
Testemunhas:
______________________________
[Nome]
______________________________
[Nome]