Para exercício de sua atividade, a IDENTIDADE EMPREENDIMENTOS LTDA. (ID SINGULAR) realiza o Tratamento de Dados Pessoais, tanto de pessoas relacionadas à sua estrutura interna, quanto de terceiros, sejam parceiros ou clientes e estudantes. A presente Política Corporativa de Privacidade e Proteção de Dados Pessoais (“Política”) tem como objetivo apresentar as regras aplicáveis para o Tratamento de Dados Pessoais, em atenção às disposições da Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais ou “LGPD”), bem como organizar todos os pontos necessários para a construção de um Programa de Privacidade – Gestão e Governança que garanta a conformidade com a referida legislação.
Esta Política se aplica à ID Singular e a todos os seus Colaboradores, entendidos como funcionários, estagiários, terceiros e prestadores de serviços, independentemente do cargo ou função exercida.
Para os fins desta Política, as seguintes definições se aplicam:
Assim, informações como tipo sanguíneo, raça, religião, filiação partidária e impressão digital são consideradas Dados Pessoais sensíveis. É importante ressaltar que o dado pessoal sensível se enquadra como espécie integrante do conceito mais abrangente de dado pessoal “lato sensu”.
Toda atividade de Tratamento de Dados Pessoais deverá se dar em observância à boa-fé e aos princípios norteadores da privacidade e proteção dos dados pessoais, em especial:
Todos os princípios serão observados internamente em consonância com o alcance e significado dado a eles pela LGPD e subsequentes interpretações ulteriores advindas da ANPD e de nossos tribunais superiores.
Consoante artigos 7º e 11 da LGPD, toda atividade de Tratamento de Dados Pessoais realizada pela ID Singular deverá possuir uma base legal para tratamento, que será definida em conjunto pelo(a) Encarregado(a) (DPO) e pelo Departamento Jurídico.
No quadro abaixo detalhamos com um símbolo “V” as hipóteses de bases legais legitimadoras para tratamento de dados pessoais que poderão ser utilizadas na ID Singular e com um símbolo “X” as situações em que as respectivas bases legais não poderão ser utilizadas como legitimadoras para o tratamento dos dados pessoais.
Base legal | Definição | Dados Pessoais (lato sensu) | Dados Pessoais Sensíveis |
Consentimento | Manifestação positiva do Titular quanto ao Tratamento de seus Dados Pessoais, que deve ser livre, informada, inequívoca, destacada (se em contratos), específica e revogável a qualquer tempo. | V | V |
Obrigação legal ou regulatória | Cumprimento pelo Controlador de obrigação legal ou regulatória específica quanto ao Tratamento dos Dados Pessoais do Titular. | V | V |
Execução de contrato ou procedimentos preliminares | Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o Titular, a pedido do Titular dos Dados Pessoais. Não aplicável a contratos entre pessoas jurídicas. | V | X |
Exercício regular de direitos | Exercício regular de direitos do Controlador em processos judiciais, administrativos e arbitrais. Caso sejam Dados Pessoais Sensíveis, há também a situação de exercício regular de direitos previstos inclusive em contrato. | V | V |
Proteção da vida | Quando Dados Pessoais são necessários para proteção da vida ou da incolumidade física do Titular ou de terceiros. | V | V |
Tutela da saúde | Quando o Tratamento de Dados Pessoais é necessário para atender aos interesses legítimos do Controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos Dados Pessoais. | V | V |
Legítimo interesse | Quando o Tratamento de Dados Pessoais é necessário para atender aos interesses legítimos do Controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos Dados Pessoais. | V | X |
Proteção do crédito | Tratamento de Dados Pessoais relacionados a atividades de proteção do crédito conforme disposto na legislação pertinente. | V | X |
Por fim, o tratamento de dados pessoais sensíveis também poderá ser feito a partir da base legal prevista no artigo 11, II, g da LGPD, de garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
O Programa da ID Singular possuirá os elementos abaixo delineados.
A documentação base para a estruturação do Programa da ID Singular obedecerá à seguinte orientação:
São os documentos estruturais do Programa, estabelecem os princípios e fundamentos que deverão nortear os demais instrumentos que compõem o Programa, sendo considerados como sua camada estruturante.
Competência para Alterações: Aprovação necessária da diretoria, mediante solicitação da área competente.
São os documentos contendo as regras internas de cada ponto estrutural do Programa, sempre fundamentadas e de acordo com a política e sendo a camada intermediária do programa.
Competência para Alterações: Aprovação da Diretoria Executiva.
São os documentos que trazem a descrição e divisão de tarefas para atendimento às regras apresentadas nas normas e nas políticas, sendo a camada inferior do Programa.
Todas as alterações de procedimentos que envolvam especificamente as atividades de tratamento de dados das áreas de negócio deverão ser atualizadas e enviadas para avaliação da DPO, juntamente com a atualização do formulário de mapeamento das atividades de tratamento de dados pessoais.
Competência para Alterações: Aprovação dos gestores das respectivas áreas e Encarregada (DPO).
A gestão e aplicação do Programa serão conduzidas no formato abaixo segmentado:
A ID Singular constituiu um Comitê de Privacidade, cujas atribuições, dentre outras, será apoiar a diretoria da Companhia em assuntos relacionados à privacidade e proteção de dados, visando ao atendimento à LGPD, às políticas e procedimentos internos e ao melhor interesse da Companhia, além de apreciar periodicamente os resultados do Programa.
A Comissão de Privacidade será composta por integrantes fixos e rotativos. São integrantes fixos os membros representantes das áreas de: Privacidade e Proteção de Dados, Tecnologia e Segurança da Informação, Jurídico, Gestão de Riscos e Compliance, Gestão de Pessoas e Diretoria de Operações.
Os membros rotativos serão definidos, conforme necessidade e serão convocados a participar das reuniões em que sejam necessários, de acordo com o assunto a ser tratado.
Os membros fixos serão indicados pelos gestores de suas respectivas áreas e terão mandato de dois anos, podendo ser reconduzidos.
A Comissão de Privacidade deverá sempre ser envolvida na tomada de decisões a respeito de atividades de Tratamento que envolvam riscos, de acordo com as disposições de seu Regimento Interno e com reporte ao Comitê de Auditoria, Gestão de Riscos e Compliance e a diretoria.
O reporte ao Comitê de Auditoria, Gestão de Riscos e Compliance e a diretoria terá periodicidade anual, em que deverão ser apresentadas as métricas do Programa relativas, mas não se limitando, a: volume de pedidos de titulares, incidentes de segurança e vazamento de dados, estado de compliance com a LGPD e maturidade do Programa.
A (O) Encarregada(o) pelo Tratamento de Dados Pessoais da ID Singular será representada na figura de: Sabrina Jonas Alcici (lgpd@idsingular.com.br)
A condução dos trabalhos da Comissão de Privacidade;
O gerenciamento do Programa de Privacidade como um todo e, em especial:
» A atuação como canal de comunicação entre o Controlador, os Titulares dos Dados e a Autoridade Nacional de Proteção de Dados (ANPD), recebendo comunicações desta e adotando providências;
» aceitar reclamações e comunicações dos Titulares, prestar esclarecimentos e adotar providências;
» orientar os funcionários e os contratados da ID Singular e suas subsidiárias a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
» definir, em conjunto com o Departamento Jurídico da ID Singular, as bases legais para cada tratamento de dados, levando decisões que envolvam riscos à Comissão de Privacidade, com reporte ao Comitê de Auditoria, Gestão de Riscos e Compliance e diretoria.
A ID Singular manterá um registro de suas operações de Tratamento de Dados Pessoais, contendo, no mínimo, as seguintes informações sobre cada operação:
» Descrição do fluxo geral da informação em cada etapa de seu ciclo de vida;
» Base legal para Tratamento;
» Tipos de Dados Pessoais coletados;
» Finalidade para a qual o Dado Pessoal é tratado;
» Local digital (nuvem, servidor, laptop etc.) e geográfico (se possível) onde o Dado Pessoal é tratado;
» Período de retenção do Dado Pessoal;
» Área responsável pelo Dado Pessoal; e
» Volume aproximado de registros existentes.
A Encarregada (DPO) será responsável por manter o registro atualizado.
Serão assegurados aos Titulares de Dados Pessoais os direitos garantidos pela LGPD, mediante solicitação expressa nos canais disponibilizados pela ID Singular para tal, conforme abaixo apresentados:
» A confirmação da existência do Tratamento;
» o acesso aos Dados Pessoais tratados;
» a correção dos Dados Pessoais incompletos, inexatos ou desatualizados;
» a anonimização, o bloqueio ou a eliminação dos Dados Pessoais desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei;
» a portabilidade dos Dados Pessoais mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
» eliminação dos Dados Pessoais tratados apenas com base no consentimento do titular, exceto nas hipóteses de (i) cumprimento de obrigação legal ou regulatória pelo controlador; (ii) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; (iii) transferência a terceiro, por solicitação do titular dos dados pessoais; ou (iv) uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
» informação sobre as entidades públicas e privadas com as quais foi realizada o
compartilhamento de Dados Pessoais;
» informar as consequências da revogação do consentimento; e
» informar os fatores que levaram a uma decisão automatizada.
O atendimento aos direitos do Titular será realizado por meio de canais que serão amplamente divulgados, que estarão definidos e detalhados nas normas e procedimentos componentes do Programa.
Os relatórios de impacto à proteção de Dados Pessoais serão conduzidos pela ID Singular sempre quando a operação de Tratamento de Dados Pessoais for passível de gerar riscos às liberdades civis e aos direitos fundamentais.
A DPO, a Comissão de Privacidade e o Comitê de Auditoria, Gestão de Riscos e Compliance poderão adotar parâmetros e critérios específicos para qualificar uma operação de tratamento de Dados Pessoais como sujeita ao Relatório de Impacto à Proteção de Dados Pessoais.
São exemplos de parâmetros que poderão ser utilizados, em caráter meramente ilustrativo:
» Volumetria;
» tipos de Dados Pessoais envolvidos;
» titulares de Dados Pessoais envolvidos.
A ANPD também poderá definir e estabelecer os fatores que deverão, a seu critério, desencadear o Relatório de Impacto à Proteção de Dados, hipótese em que tal orientação passará a ser adotada pela Companhia, de forma complementar à presente Política.
Os relatórios deverão conter a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do Controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
A obrigatoriedade primária de elaboração do documento é do gestor da área responsável pela operação, tendo a Encarregada pela proteção de Dados Pessoais da ID Singular (DPO) o papel de avaliar o documento preparado por este colaborador e elaborar um parecer final sobre a atividade de Tratamento. Via de regra, tais documentos não deverão ser publicados ou disponibilizados ao público externo e serão mantidos em sigilo. Contudo, poderão ser objeto de requisição da ANPD, a qualquer tempo.
O Incidente de Segurança envolvendo Dados Pessoais que possa acarretar risco ou danos relevantes aos titulares, conforme previsão legal e ulteriores interpretações dadas pela ANPD, será comunicado à ANPD e ao titular, em prazo razoável, conforme definido pela ANPD, e deverá mencionar, no mínimo:
» A descrição da natureza dos dados pessoais afetados;
» as informações sobre os titulares envolvidos;
» a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
» os riscos relacionados ao incidente;
» os motivos da demora, no caso de a comunicação não ter sido imediata; e
» as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Todos os demais incidentes de segurança, os quais, a critério da Comissão de Privacidade, não representarem risco ou danos relevantes aos titulares, serão tratados internamente pela DPO, pela Comissão de Privacidade e pelo Comitê de Auditoria, Gestão de Riscos e Compliance, consoante as previsões dispostas no Plano de Respostas a Incidentes.
A ID Singular manterá canal para recebimento de notícias de incidentes de segurança, que pode ser utilizado, também, pelos seus membros e colaboradores.
As comunicações serão recebidas pela Encarregada (DPO), conforme determinado no Plano de Respostas a Incidentes da ID SINGULAR.
Esta Política entrou em vigor em 2022, aprovada em reunião pela diretoria. Sem prejuízo das disposições contidas nesta Política, a ID Singular se reserva ao direito de revisá-la, na periodicidade que melhor entender, sempre respeitando o prazo máximo estipulado em lei.