PROTEÇÃO DE DADOS ORGANIZACIONAIS

OBRIGAÇÃO DO FUNCIONÁRIO EM TERMOS DE CONFIDENCIALIDADE

Todos os sócios e funcionários da SENDI devem estar sujeitos à confidencialidade e prestação de contas relacionadas a isto, mediante assinatura de uma declaração de confidencialidade. É proibida a coletar, o processamento ou uso de dados pessoais sem autorização. A obrigação de confidencialidade continua mesmo após o término das funções colaborativas.

​

COMUNICAÇÃO DE INCIDENTES RELACIONADOS À PROTEÇÃO DE DADOS

​

CONTEXTO LEGAL

Todo funcionário é obrigado a informar imediatamente o seu supervisor se violar a LGPD, no decorrer de seu trabalho. No caso de uma violação de dados pessoais, a SENDI, conforme o artigo 48 da LGPD, tem a obrigação de informar a Autoridade Nacional de Proteção de Dados em prazo razoável até 72 (setenta e duas) horas. Além disso, a SENDI pode ser obrigada, nos termos do artigo 48 da LGPD, a adotar providências, tais como ampla divulgação do fato em meios de comunicação.

​

PRÉ-REQUISITOS PARA OCORRÊNCIA DE VIOLAÇÃO NA PROTEÇÃO DE DADOS

Uma violação de privacidade ocorre sempre que uma violação da segurança de dados resulta na destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais que foram transmitidos, armazenados ou processados. Existe uma divulgação ilegal, por exemplo, se as pessoas envolvidas (funcionários, clientes, etc.) não tiverem consentido e a divulgação não for permitida por lei (por exemplo, pela LGPD) ou por qualquer outra disposição legal (por exemplo, um contrato da empresa). Basta que haja apenas uma suposição, com certa probabilidade, para que exista uma falha na proteção de dados.

​

CÓDIGO DE CONDUTA PARA UMA POLÍTICA DE PROTEÇÃO DE PRIVACIDADE

Para poder reagir de forma adequada a uma falha na proteção de dados, por favor siga as instruções abaixo e reporte nos canais especificados:

​

MENSAGEM

Assim que determinar ou acreditar que ocorreu uma violação de privacidade, notifique imediatamente os canais de comunicação para este fim. Enviando uma notificação do incidente ao encarregado de dados que consta ao final desta Política de Privacidade e também para o seguinte endereço de e-mail comitelgpd@sendi.com.br.

 

Observação: Não hesite em relatar situações nas quais não tem certeza se elas atendem as condições de uma falha proteção de dados. Considerando que a análise pode ser difícil, funcionários e especialistas treinados, como o encarregado pela proteção de dados, determinarão e decidirão finalmente se realmente existe um caso de falha.

​

INFORMAÇÕES A SEREM RELATADAS

No caso de uma violação de privacidade, verifique se todas as informações necessárias foram coletadas. Cada etapa da quebra de proteção de dados deve ser documentada com precisão e remetido imediatamente ao encarregado de dados pelo e-mail dpo@sendi.com.br.

​

NOTIFICAÇÃO DE OBRIGAÇÕES EM CASO DE INCIDENTES NO PROCESSAMENTO DE PEDIDOS

Se a SENDI atua como operador, os deveres de fornecer informações decorrem do processamento do pedido. O cliente deve ser informado imediatamente que houve uma violação da proteção de seus dados pessoais pela SENDI ou pelos funcionários da SENDI incorreram em uma falha na proteção de dados. Esta obrigação de relatar é válida para cada violação de proteção de dados se os dados pessoais processados são/foram afetados. A notificação deve ser feita diretamente no dia que a violação se tornou conhecida. As regras de conduta desta seção deverão ser aplicadas.

​

​

PROCEDIMENTO PARA UMA MENSAGEM DE NOTIFICAÇÃO

Os seguintes passos deverão ser seguidos:

​

1. Em casos do titular dos dados usuário do site e/ou assinante de newsletter, por exemplo, deverá informar imediatamente e diretamente ao Encarregado pela proteção de dados da SENDI. Internamente, a pessoa responsável deverá informar imediatamente ao seu superior, o Encarregado pela proteção de dados e o responsável do RH/TI sobre a notificação.

​

2. O Encarregado pela proteção de dados examinará o assunto juntamente com o responsável do RH/TI e fornecerá à gerência uma avaliação e recomendações.

​

3. O responsável pela proteção de dados também irá, juntamente com o responsável do RH/TI e com a participação da pessoa relatora, preencher ou finalizar o registro de falha na Proteção de Dados e disponibiliza-lo à diretoria.

​

4. A decisão sobre o que fazer no caso concreto será tomada pela Diretoria após consulta com o Encarregado pela proteção de dados e do RH/TI.

​

VERIFICAÇÃO PELAS AUTORIDADES

Será permitido aos funcionários da Administração Pública e do Judiciário, que precisarem acessar os dados, em especial dados pessoais, no exercício de suas funções. Todas as medidas necessárias serão coordenadas e supervisionadas pelo Diretor Executivo ou por seu representante nomeado. Se isto acontecer, a pessoa responsável internamente deve ser informada imediatamente. A notificação da pessoa responsável, bem como o recebimento desta notificação deverá ser documentada.

​

CONTROLE PELAS AUTORIDADES DE SUPERVISÃO DE PROTEÇÃO DE DADOS

Se uma inspeção for realizada por uma autoridade supervisora de proteção de dados, a pessoa responsável internamente e o responsável pela proteção de dados deverão ser informados imediatamente. De acordo com a LGPD, a Autoridade Nacional de Proteção de Dados é obrigada a monitorar e supervisionar a execução da LGPD e outros regulamentos de proteção de dados. Nesse caso, a autoridade supervisora de proteção de dados tem o direito de entrar, sob supervisão, durante o horário comercial nas instalações da empresa, a fim de realizar inspeções e, assim, visualizar documentos comerciais, dados pessoais armazenados e os programas de processamento de dados da empresa. Não é necessário um anúncio por parte da autoridade competente sobre a inspeção no local. A SENDI deve tolerar essas medidas pela Autoridade Nacional de Proteção de Dados e garantir que as instalações nas quais ocorra o processamento de dados (como escritórios de funcionários, salas de computadores, arquivos) sejam disponibilizadas aos representantes da autoridade supervisora de proteção de dados, bem como haja a disponibilização das senhas necessárias e dos documentos relevantes. Além disso, mediante requerimento, a autoridade de supervisão também deve receber todas as informações necessárias para desempenhar suas funções.

​

TREINAMENTO

A SENDI treina os funcionários em relação às disposições relevantes sobre proteção de dados. Os treinamentos internos serão documentados, indicando o conteúdo, a data e o instrutor.

​

REGISTRO DE ATIVIDADES DE TRATAMENTO DE DADOS

 

GERAL

A Lei Geral de Proteção de Dados Pessoais exige que a SENDI compile e mantenha uma lista de atividades de tratamento. Isso deve ser feito, por um lado pelos controladores e, por outro pelos operadores. O registro de atividades de tratamento de dados geralmente é fornecido às autoridades de supervisão de proteção de dados durante a inspeção para proporcionar uma visão geral do processamento atual de dados. Portanto, verifique se elas estão sempre atualizadas.

​

CRIAÇÃO OU MODIFICAÇÃO DO REGISTRO DE ATIVIDADES DE TRATAMENTO DE DADOS

Os departamentos técnicos criam o Registro de atividades de tratamento de dados para todas as atividades de processamento que eles usam no local de trabalho e para as quais os dados pessoais são armazenados, processados e utilizados. No caso de novos procedimentos, a preparação deve ser realizada antes da sua introdução e entregue à pessoa responsável internamente.

O Registro de atividades de tratamento de dados é complementada por referência às análises de proteção de dados relacionadas à admissibilidade do processamento de dados, à necessidade de realizar uma avaliação de impacto e à respectiva declaração do responsável pela proteção de dados.

​

AVALIAÇÃO DE IMPACTO NA PRIVACIDADE

Em certos casos, a SENDI deve realizar um Relatório de Impacto à Privacidade dos dados, por exemplo, se o processamento puder representar altos riscos para os titulares dos dados. Podem surgir altos riscos quando são realizadas vigilância por vídeo ou desempenho automatizado de funções dos funcionários e quando são realizados testes comportamentais. A necessidade de realizar ou não uma avaliação de impacto será determinada pela diretoria e pelo Encarregado pela proteção de dados. Em casos específicos, eles também determinam quem será envolvido no processo ou quem irá implementar a avaliação de impacto.

​

CUMPRIMENTO DAS MEDIDAS TÉCNICO-ORGANIZACIONAIS/SEGURANÇA DOS DADOS

Para garantir a segurança dos dados pessoais armazenados na SENDI, foram implementadas medidas técnicas e organizacionais apropriadas que também garantem a proteção dos dados contra acesso, processamento ou divulgação não autorizados, bem como perda acidental, alteração ou destruição. Em particular, a SENDI tomou medidas para garantir um nível de proteção adequado ao risco de processamento em termos de confidencialidade, integridade, disponibilidade e resiliência dos sistemas de TI, banco de dados, etc. A proteção da confidencialidade é implementada através do controle de acesso e desconexão. A integridade é implementada através do controle de transferência, controle de entrada e controle de pedidos. A disponibilidade e a resiliência são garantidas por meio de medidas de disponibilidade e monitoramento regular. 

Essas medidas técnicas e organizacionais estão descritas no Sistema de Gerenciamento de Segurança da Informação da SENDI. Elas são adaptadas continuamente para refletirem desenvolvimentos técnicos e mudanças organizacionais.