Política de Privacidade Cliqx

Esta política tem como objetivo estabelecer diretrizes e normas de proteção de dados, fundamentadas no respeito à privacidade, aos direitos humanos, a liberdade de expressão, a inviolabilidade da intimidade e da imagem; que permitam aos colaboradores adotar padrões de comportamento adequados às metas e necessidades da empresa, aos padrões de melhores práticas de mercado e à legislação vigente aplicável; em destaque à Lei Geral de Proteção de Dados – Lei nº 13.709/18, conforme alterada pela Lei nº 13.853/19.

 

ABRANGÊNCIAS

Aplicável a todos os funcionários, colaboradores, clientes e parceiros da Cliqx em todas as suas localidades e Unidades de Negócios, que tratam ou tem acesso a dados pessoais.

DEFINIÇÕES

  • Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável;
  • Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  • Dado Anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
  • Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada; podendo ser removido a qualquer momento pelo titular;
  • Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
  • Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
  • Encarregado: pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação entre o Controlador, os Titulares dos Dados e a Autoridade Nacional de Proteção de Dados (ANPD);
  • Controlador(a): pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados Pessoais;
  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador.

DIRETRIZES

 A Cliqx estabelece sua PP – Política de Privacidade, como parte integrante do seu SGSI – Sistema de Gestão de Segurança da Informação e das melhores práticas de Governança Corporativa, em conformidade com a legislação vigente, com adoção de medidas para proteger a privacidade dos Titulares dos Dados Pessoais.

A Presidência, seus executivos e a Governança Corporativa estão comprometidos com uma proteção efetiva da privacidade. Desta forma, adotam todas as medidas cabíveis para garantir que esta Política seja adequadamente comunicada, entendida e seguida em todos os níveis da organização. Revisões periódicas serão realizadas para garantir sua contínua pertinência e adequação às necessidades da Cliqx.

Todo Dado Pessoal é classificado adequadamente para definir seu Tratamento durante o seu ciclo de vida.

Qualquer forma de transmissão, divulgação, transferência ou qualquer outro Tratamento de Dados Pessoais sem seguir as diretrizes estabelecidas por essa Política e normas acessórias é expressamente proibido sob pena de processo civil e/ou criminal, além da aplicação das leis trabalhistas, podendo resultar na rescisão do contrato de trabalho.

PRINCÍPIOS DE TRATAMENTO DE DADOS PESSOAIS

Todo Tratamento de Dados Pessoais deve seguir os seguintes princípios:

Finalidade: realização do Tratamento para propósitos legítimos, específicos, explícitos e informados ao Titular, sem possibilidade de Tratamento posterior de forma incompatível com essas finalidades;

Adequação: compatibilidade do Tratamento com as finalidades informadas ao Titular, de acordo com o contexto do Tratamento;

Necessidade: limitação do Tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos Dados pertinentes, proporcionais e não excessivos em relação às finalidades do Tratamento de Dados;

Livre Acesso: garantia, aos Titulares, de consulta facilitada e gratuita sobre a forma e a duração do Tratamento, bem como sobre a integralidade de seus Dados Pessoais;

Qualidade dos Dados: garantia, aos Titulares, de exatidão, clareza, relevância e atualização dos Dados, de acordo com a necessidade e para o cumprimento da finalidade de seu Tratamento;

Transparência: garantia, aos Titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do Tratamento e os respectivos agentes de Tratamento, observados os segredos comercial e industrial;

Segurança: utilização de medidas técnicas e administrativas aptas a proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do Tratamento de Dados Pessoais

Não Discriminação: impossibilidade de realização do Tratamento para fins discriminatórios ilícitos ou abusivos; e

Responsabilização e Prestação de Contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de Dados Pessoais e, inclusive, da eficácia dessas medidas.

HIPÓTESES DE TRATAMENTO DE DADOS PESSOAIS

O Tratamento de Dado Pessoal só poderá ser realizado nas seguintes hipóteses:

  • Mediante o fornecimento de Consentimento pelo Titular;
  • Para o cumprimento de obrigação legal ou regulatória pela Controladora;
  • Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos Dados Pessoais;
  • Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o Titular, a pedido do Titular dos Dados;
  • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  • Para a proteção da vida ou da incolumidade física do Titular ou de terceiro;
  • Quando necessário para atender aos interesses legítimos da Controladora ou de terceiro, exceto no caso de prevalecer direitos e liberdades fundamentais do Titular que exijam a proteção dos Dados Pessoais;
  • Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
  • O Tratamento de Dado Pessoal Sensível só poderá ser realizado nas seguintes hipóteses:
  • Quando o Titular ou seu responsável legal Consentir, de forma específica e destacada, para finalidades específicas; e
  • Sem fornecimento de Consentimento do Titular, nas hipóteses em que for indispensável para:
    • Cumprimento de obrigação legal ou regulatória pela Controladora;
    • Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos Dados Pessoais Sensíveis;
    • Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
    • Proteção da vida ou da incolumidade física do Titular ou de terceiro;
    • Garantia da prevenção à fraude e à segurança do Titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º da LGPD e exceto no caso de prevalecer direitos e liberdades fundamentais do Titular que exijam a proteção dos Dados Pessoais.

O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse:

  • O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
  • Os controladores não deverão condicionar a participação dos titulares em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
  • O controlador deve realizar todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.

Todo Tratamento de Dado Pessoal deve estabelecer um prazo para sua conclusão, quando os Dados devem ser removidos, a menos que exista alguma base legal para sua preservação, tais como:

  • Cumprimento de uma obrigação legal ou regulatória pela Controladora;
  • Estudo por órgão de pesquisa, garantida a anonimização dos Dados Pessoais;
  • Transferência para terceiros, conforme permitido pela LGPD, como no caso de portabilidade dos dados para terceiros, quando solicitado pelo Titular dos Dados; ou,
  • Uso exclusivo da Controladora, se os dados forem Anonimizados.

Cumpre ressaltar que Dados Anonimizados não são considerados Dados Pessoais perante a LGPD, salvo quando o processo utilizado para a anonimização possa ser revertido utilizando exclusivamente meios próprios, ou quando, com esforço razoável, puder ser revertido.

DIREITOS DE TITULAR DE DADOS PESSOAIS

Todo Titular de Dado Pessoal tem direito de obter da Cliqx – enquanto Controladora, em relação aos Dados tratadas por ela, a qualquer momento e mediante requisição:

  • A confirmação da existência do Tratamento;
  • Acesso aos Dados tratados;
  • A correção de Dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação dos Dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  • Portabilidade dos Dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial;
  • A eliminação dos Dados Pessoais tratados com o Consentimento do Titular;
  • Informação das entidades públicas e privadas com as quais a Controladora realizou o uso compartilhado de dados;
  • Ser informado de forma clara e transparente no momento da concessão de seu Consentimento, e possibilidade de remover tal Consentimento a qualquer momento e com a mesma facilidade e utilizando os mesmos meios utilizados para a concessão;
  • Ser informado caso ocorra algum tipo de incidente/vazamento de seus Dados.

PRIVACY BY DESIGN

Sob a LGPD, os Controladores e Operadores devem adotar medidas de segurança técnicas e administrativas aptas a proteger os Dados Pessoais de acesso não autorizado, destruição, perda, modificação, comunicação ou outros tipos de Tratamento não autorizados ou ilegais. Assim, para garantir a privacidade dos Titulares dos Dados Pessoais que são tratados pela empresa, todo sistema que envolva Tratamento de Dados Pessoais deve seguir as seguintes diretrizes:

  • Todo sistema deve ser desenvolvido levando em consideração o conceito de Privacy by Design. Ou seja, as medidas de segurança da informação devem ser observadas desde a fase de concepção dos sistemas até a sua execução. Logo, o impacto à privacidade deve ser analisado antes mesmo do início de seu desenvolvimento, fazendo-se os ajustes necessários para garantir que a privacidade dos Titulares seja preservada;
  • No processo de concepção deve ser preenchido o questionário de “Análise de Impacto à Privacidade”, e o desenvolvimento só poderá ser iniciado após a aprovação do Jurídico e da área de InfoSec;
  • A menos que seja tecnicamente inviável, os processos de desenvolvimento, testes e homologação devem utilizar Dados Anonimizados.

RESPONSABILIDADES

Todos os funcionários das empresas da Cliqx são responsáveis por garantir a adequação às regras estabelecidas na legislação vigente, em especial a LGPD. Porém, algumas áreas específicas terão um papel maior na garantia da privacidade dos Titulares de Dados, conforme as responsabilidades estabelecidas abaixo:

RESPONSABILIDADES DO ENCARREGADO:

  • Definir padrões de privacidade que atendam às demandas legais e do negócio, em alinhamento com as diretrizes de Governança Corporativa e da LGPD, assim como orientar todas as áreas da Cliqx sobre tais padrões e exigir seu cumprimento;
  • Escrever e atualizar a Política, assim como garantir que seja revisada, conforme periodicidade definida pela Governança Corporativa;
  • Receber e avaliar os questionários de “Análise de Impacto à Privacidade”, recomendando adequações quando necessário;
  • Apoiar as áreas da empresa para a manutenção da conformidade com esta Política;
  • Definir e manter o processo de resposta às demandas legais dos Titulares sobre seus Dados Pessoais;
  • Receber e direcionar à área de Tecnologia da Informação e ao Jurídico as demandas legais dos Titulares de Dados Pessoais;
  • Atender às demandas da ANPD e demais órgãos governamentais;
  • Coordenar as ações de resposta a incidentes relacionados à privacidade.

RESPONSABILIDADE DO CGSI – COMITÊ GESTOR DE SEGURANÇA DA INFORMAÇÃO 

Avaliar as questões de segurança da informação com foco em proteger os Dados Pessoais tratados pela Cliqx

RESPONSABILIDADES DA GOVERNANÇA CORPORATIVA:

  • Determinar as responsabilidades gerais na gestão da privacidade, bem como estabelecer diretrizes e oferecer suporte às iniciativas de privacidade;
  • Revisar e garantir a aprovação das políticas relacionadas à privacidade;
  • Identificar e mapear toda a legislação e regulamentação relevante sob as quais as empresas da Cliqx precisam estar em conformidade.

RESPONSABILIDADES DE TI – TECNOLOGIA DE INFORMAÇÃO

  • Garantir que logs sejam gerados, armazenados e tratados de acordo com demandas do negócio, requisitos legais e requisição de clientes;
  • Esses logs devem ser protegidos contra acesso/alteração indevido; e
  • Atividades realizadas por usuários com credenciais de “administrador” ou similares devem ser registradas em logs e revisadas regularmente.
  • Implantar e gerir um processo de controle de acesso ao Dado Pessoal baseado nos conceitos de “menor privilégio” e “necessidade de acesso”, que definem a concessão de acesso à menor quantidade de Dado Pessoal e com o menor privilégio possível para a realização de suas funções e atendimento das demandas do negócio;
  • Garantir que todo Dado Pessoal seja removido de forma segura dos equipamentos que forem descartados; e
  • Elaborar e manter um processo contínuo de identificação de Dados Pessoais;
  • Atender às demandas do Encarregado em cumprimento às demandas legais dos Titulares com relação aos seus Dados Pessoais.

RESPONSABILIDADE DO JURÍDICO

  • Inserir cláusulas contratuais que contemplem a responsabilidade dos fornecedores no cumprimento desta Política, além das normas e procedimentos internos vigentes;
  • Elaborar e aplicar, quando necessário, “acordo de confidencialidade” entre a empresa e partes terceiras envolvidas (clientes e fornecedores), que contemple o tema de privacidade;
  • Atender às demandas do Encarregado em cumprimento às demandas legais dos Titulares com relação aos seus Dados Pessoais.

RESPONSABILIDADE DE RECURSOS HUMANOS

  • Garantir que todos os funcionários tomem ciência formal desta Política, garantindo reciclagem desse conhecimento;
  • Garantir que o Tratamento de Dados Pessoais realizado pela área de Recursos Humanos esteja em conformidade com esta Política e com a LGPD.

RESPONSABILIDADE DO GESTÃO DE FORNECEDORES

  • Manter uma relação atualizada dos prestadores de serviço;
  • Garantir que os fornecedores atendem às demandas de privacidade da empresa, com a utilização do questionário de auto avaliação (Vendor Risk Assessment)

RESPONSABILIDADE DA LIDERANÇA

  • Gerenciar o cumprimento desta Política, por parte de seus funcionários e prestadores de serviços;
  • Garantir a gerência adequada das mudanças que possam gerar impactos à privacidade;
  • Comunicar imediatamente ao Encarregado, em caso de incidente envolvendo Dados Pessoais identificados em suas respectivas áreas;
  • Submeter qualquer novo projeto envolvendo Dados Pessoais ao Encarregado e à InfoSec, ainda em sua fase de desenho, visando assim garantir o conceito de Privacy by Design;
  • Garantir que nenhum projeto seja desenvolvido e/ou implementado sem a aprovação do Encarregado e de InfoSec.

RESPONSABILIDADE DE TODOS OS COLABORADORES

  • Observar e fazer cumprir todas as diretrizes gerais de privacidade da Cliqx;
  • Participar dos treinamentos de privacidade aos quais for convocado;
  • Tomar ciência e assinar esta Política;
  • Comunicar imediatamente ao Encarregado, na ocorrência de um incidente envolvendo Dados Pessoais;

Os colaboradores que não cumprirem as regras estabelecidas na PP, PSI – Política de Segurança da Informação, no Código de Conduta e demais políticas da Cliqx estão sujeitos a sanções disciplinares que podem resultar em seu desligamento.