1. Objetivo
Estabelecer regras e práticas para o tratamento de dados pessoais, com o objetivo de proteger a privacidade dos clientes, fornecedores e colaboradores, observada a Lei n° 13.709/2018, conhecida como LGPD.
2. Definições Importantes:
a) dado pessoal: informação relacionada ao titular pessoa natural identificada ou identificável; e dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
b) banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
c) agentes de tratamento: o controlador (pessoa natural ou jurídica, a quem competem as decisões referentes ao tratamento de dados pessoais) e o operador (pessoa natural ou jurídica, que realiza o tratamento de dados pessoais em nome do controlador);
d) tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
e) consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
f ) eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento.
2.1. Companhia como Controladora:
Para fins do presente documento, define-se a Companhia como controladora dos dados pessoais de seus clientes, fornecedores e colaboradores.
3. Elegibilidade
Aplica-se a todos os “Colaboradores” da Companhia (funcionários e terceiros que prestam serviço em noma da Companhia e que venham a ter acesso ao seu banco de dados) e empresas que prestam serviço e/ou oferecem produtos para a Companhia “Fornecedores”.
O titular dos dados pessoais pode ser o Colaborador, Fornecedor e Cliente, dependendo do caso.
4. Procedimentos
As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III- necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII- prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas.
5. Embasamento Legal
Observado o art. 7º da Lei n° 13.790/2018 (conhecida como “LGPD”) existem 10 permissões legais para tratar os dados pessoais porventura coletados dos titulares dos dados pessoais pela Companhia, são elas:
I – mediante o fornecimento de consentimento pelo titular;
II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
III- pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
IV- para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI- para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII- para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
X – para a proteção do crédito, inclusive quanto ao disposto na legislação
Dentre as hipóteses previstas acima, a Companhia utiliza as seguintes permissões legais: (i) consentimento; (ii) obrigação legal; (iii) execução do contrato; (iv) exercício regular de direito; (v) legítimo interesse; e (x) proteção do crédito.
Além disso, o art. 11 da LGPD prevê as hipóteses legais para tratar os dados pessoais sensíveis, são elas:
Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f ) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Em relação aos dados pessoais sensíveis, a Companhia observa as seguintes hipóteses legais: (i) consentimento; (ii) obrigação legal; (iii) exercício regular de direito; e (iv) prevenção à fraude e à segurança do titular.
5.1.1. Consentimento
A Companhia deverá formalizar o consentimento do titular dos dados pessoais por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Em razão da quantidade de termos de consentimento que a Companhia possui, estes estão previstos em documento apartado desta Política.
É importante ressaltar que é dispensada a exigência do consentimento previsto para os dados tornados manifestamente públicos pelo titular, resguardados os direitos do titular e os princípios previstos neste documento.
Caso a Companhia tenha obtido o consentimento do cliente para uma finalidade específica, e aquela necessitar comunicar ou compartilhar os dados pessoais do cliente com outras empresas, é necessário obter consentimento específico do titular para esse fim.
O consentimento deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do cliente. Caso o consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais.
É vedado o tratamento de dados pessoais mediante vício de consentimento e o consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.
O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do cliente, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação.
Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o cliente deverá ser informado com destaque sobre esse fato.
5.2. Obrigação Legal
Toda e qualquer coleta de dados pessoais e/ou dados pessoais sensíveis exigida por previsão legal, observa esta hipótese legal.
Dentre as exigências legais observadas estão: (i) contratação de colaborador (cumprir com as exigências da CLT e Previdência); (ii) identificação das partes (verificar o representante legal / incluir duas
testemunhas); (iii) elaboração de escritura pública e matrícula (validade para transferência de propriedade); (iv) formalidade para entrega da obra (identificação do Engenheiro) dentre outras.
5.3. Execução do Contrato
A Companhia pode coletar dados pessoais para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados. Neste sentido, os dados coletados para fins de pesquisa de crédito do possível comprador, neste caso na qualidade de titular de dados pessoais, está conforme a esta hipótese.
Ademais, todo e qualquer documento solicitado para fins de executar o contrato de venda e compra e de imóvel também está em conformidade com este embasamento legal.
É fundamental verificar se os documentos e/ou informações solicitadas não sejam excessivas quanto ao objetivo do contrato.
5.4. Exercício Regular de Direito
É permitida à Companhia coletar dados pessoais de seus clientes, fornecedores e colaboradores para fins de se resguardar judicial e administrativamente, bem como no caso de arbitragem. Por essa razão, a retenção dos dados pessoais durante o período prescricional de sua respectiva ação judicial é permitida.
Ademais, cabe ao colaborador solicitar todas as informações e/ou documentos necessários para garantir o exercício regular de direito pela Companhia, tal como:
I – verificar se o cliente é capaz (com, no mínimo 18 anos) e/ou tem poderes para adquirir um imóvel (se pessoa jurídica, se há procuração ou é nomeado administrador no ato societário ou em ata de reunião);
II – verificar o endereço atual do cliente (para possível citação, em caso de ação judicial);
III – solicitar documento de identidade, para evitar confusão com homônimos;
IV– solicitar e-mail, telefone e/ou celular, para fins de meio de contato entre a Companhia e o cliente; dentre outras.
Os dados pessoais referentes ao exercício regular de direitos pelo titular não podem ser utilizados em seu prejuízo.
5.5. Legítimo Interesse
Este embasamento legal pode ser usado pela Companhia, exceto no caso de prevalecerem direitos e liberdades fundamentais do cliente que exijam a proteção dos dados pessoais.
O legítimo interesse da Companhia somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I – apoio e promoção de atividades da Companhia; e
II – proteção, em relação ao cliente, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades
Quando o tratamento for baseado no legítimo interesse da Companhia, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
A Companhia e seus colaboradores devem adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.
5.6. Proteção do Crédito
A Companhia pode tratar dados pessoais com a finalidade de identificar o perfil de crédito do cliente, para resguardar suas atividades.
É vedado tratar os dados pessoais do cliente coletado para esta finalidade de proteção do crédito para finalidade diversa, sem o consentimento prévio e registrado do cliente.
5.7. Prevenção à Fraude
A Companhia pode tratar dados pessoais sensíveis do cliente, colaborador e fornecedor, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, como biometria e reconhecimento facial, com a finalidade de evitar fraude.
6. Direito do Titular
A Companhia, em cumprimento do art. 18 da LGPD, responde a solicitação feita pelo titular dos dados pessoais mediante envio de e-mail para dpo@lindenberg.com.br. O titular, seja ele, colaborador, cliente ou fornecedor, pode solicitar à Companhia o quanto segue:
I – confirmação da existência de tratamento;
II – acesso aos dados;
III – correção de dados incompletos, inexatos ou desatualizados;
IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
V- portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
VI – eliminação dos dados pessoais tratados com o consentimento do titular;
VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX – revogação do consentimento.
A Companhia responderá em até 2 dias úteis, no caso de solicitação simples. Contudo, caso a resposta demande um trabalho mais criterioso, a Companhia responderá em até 15 dias.
A resposta da Companhia será enviada para o mesmo e-mail no qual o titular solicitou sua demanda.
7. Compartilhamento dos Dados Pessoais
Quando necessário para viabilizar a comercialização e manutenção de um produto adquirido por você, a Companhia pode compartilhar seus dados pessoais com outras empresas, tais como agentes financiadores, empresas responsáveis por análise de crédito, imobiliárias parceiras e empresas terceiras responsáveis por repasses e cobrança e/ou antecipação de pagamentos.
Seus dados pessoais não são compartilhados com prestadores de serviços alheios ao objeto de atuação da Companhia. A Companhia jamais autoriza ou libera dados para que terceiros ofereçam quaisquer tipos de serviços além daquilo que fora estritamente contratado por você.
No entanto, a Companhia pode compartilhar seus dados pessoais com órgãos reguladores, órgãos fiscalizadores, outras autoridades e órgãos oficiais ou empresas de auditoria, com o propósito de cumprir a legislação vigente ou atender demandas legais.
Esse compartilhamento de dados pessoais e dados pessoais sensíveis por parte da Companhia, por meio de seus colaboradores, para terceiros (fornecedores), devem observar os seguintes critérios:
I – fazer parte do escopo do serviço contratado pela Companhia;
II – deve ser essencial para a execução do Contrato;
III– prever cláusula de proteção dos dados pessoais;
IV– prever que o terceiro seja responsável por seus “suboperadores”, nos termos da LGPD;
V – informar ao titular que seu dados pessoais poderão ser compartilhados com terceiros com a finalidade de executar o contrato firmado; e
VI– caso o compartilhamento ocorra por meio do consentimento do titular, deve informar e coletar seu consentimento prévio para o caso de compartilhamento de informações.
8. Medidas de Segurança
Para salvaguardar os dados pessoais coletados, a Companhia conta com as seguintes medidas de segurança, nos termos do art. 46 da LGPD:
Medidas de Segurança Física:
I – Sala trancada;
II – Armários trancados;
III – Política de mesa limpa (não deixar documentos expostos);
IV – Câmera de vigilância na entrada da sala (para monitorar os acessos); e
V – Exclusão correta dos documentos, com a utilização de
Medidas de Segurança Digital:
I – Política de tela limpa – bloqueio ao se ausentar do ambiente de trabalho;
II – Política de Senha – com a segurança necessária exigida; e senha intransferível, além de troca de senha periodicamente;
III – Restrição de acesso na pasta da rede, apenas pessoas
IV – Compartilhamento de Arquivos – apenas com pessoas autorizadas e situações necessárias, obedecendo as obrigações legais;
V – Armazenamento de documentos necessários para cumprir com a sua finalidade, eliminando os demais documentos desnecessários.
9. Período de Retenção
Os dados pessoais e dados pessoais sensíveis ficarão armazenados durante o período necessário para o cumprimento de sua finalidade ou quando seu prazo se encerrar. A Companhia respeita os prazos legais de retenção, considerado a finalidade de sua coleta.
Por exemplo, para os dados pessoais coletados dos colaboradores da Companhia, esta observa o prazo de 2 a 30 anos, conforme determina a legislação trabalhista e previdenciária. Já para os dados pessoais advindos da execução de contrato, a Companhia observa os arts. 205 e 206 do Código Civil que prevê o período prescricional de 1 a 10 anos.
A política proteção de dados pessoais de cada departamento da Companhia é apartada deste documento e prevê o período de retenção correspondente.
10. Eliminação dos Dados
O término do tratamento dos dados pessoais e dados pessoais sensíveis coletados, ocorrem conforme previsto no art. 15 da LGPD:
I – verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II – fim do período de tratamento;
III – comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento, resguardado o interesse público;
IV – determinação da autoridade.
Contudo, a Companhia manterá os dados pessoais caso ocorra uma das hipóteses previstas no art. 16 da LGPD:
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
I – cumprimento de obrigação legal ou regulatória;
II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD;
IV – uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
11. Conscientização e Treinamento
Para que a presente Política de Proteção e Privacidade dos Dados Pessoais seja efetiva e obedecida é fundamental que os colaboradores e fornecedores da Companhia sejam periodicamente conscientizadas e treinadas sobre o tema.
Por essa razão a Companhia realiza as seguintes atividades:
I – Envio periódico de e-mail de conscientização sobre a segurança da informação;
II – Realização anual de treinamento sobre o tema.
Como meio de evidência da realização dos treinamentos, são elaboradas lista de presença, certificado para os participantes e verificação da eficácia do treinamento. Referidos documentos ficam armazenados no prontuário do colaborador.
12. Monitoramento
Observado o art. 46 da LGPD, a Companhia reserva-se o direito de monitorar o funcionamento e operação de seus sistemas, acessar todos os registros dentro dele e reter ou alienar registros que julgue necessário. Esta reserva de direito tem por objetivo assegurar que o sistema está sendo utilizado exclusivamente para fins profissionais, que não há uso indevido ou ilegal do sistema e para proporcionar o acesso a dados mesmo quando um funcionário não estiver disponível. A Companhia reserva-se ainda o direito de bloquear qualquer uso inaceitável dos recursos de tecnologia, a seu critério exclusivo, a qualquer momento e sem aviso prévio. Tais monitoramentos, bloqueios e restrições são consideradas medidas de segurança aptas a proteger os dados pessoais, de responsabilidade da Companhia de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração comunicação ou qualquer forma de tratamento inadequado ou ilícito.
13. Revisão
O presente documento poderá revisado e alterado a qualquer momento pela Companhia para refletir os processos atuais e manter sua ações em conformidade com a legislação vigente.
Eventual modificação deste Política será informada previamente a todos os colaboradores para que estes estejam cientes das novas regras e práticas a serem adotadas.