Tatoh Logo

Política de Privacidade e Proteção de Dados

POLÍTICA EMPRESARIAL DE PRIVACIDADE E PROTEÇÃO DE DADOS - TATOH

1. OBJETIVO

Estabelecer as diretrizes e orientações necessárias para proteção de Dados Pessoais na “TATOH”, visando:

  • Estar em conformidade com a Lei Geral de Proteção de Dados (Lei Federal nº 13.709/2018);
  • Proteger os direitos dos titulares, envolvendo clientes, colaboradores, parceiros ou fornecedores contra os riscos de violações de Dados Pessoais;
  • Em consonância com o Legítimo Interesse e Princípio da Finalidade;
  • Observando a Confidencialidade, Disponibilidade e Integridade nos seus processos e tratamentos;
  • Transparência com relação aos procedimentos da empresa no tratamento de dados pessoais; e
  • Promover conscientização para colaboradores em relação à proteção de Dados Pessoais e questões de privacidade.

2. ABRANGÊNCIA

Aplica-se, independentemente de suas atribuições e responsabilidades, a todos os colaboradores da Companhia e suas afiliadas, assim entendidas as empresas por ela controladas, sob controle comum e/ou coligadas, doravante denominadas em conjunto simplesmente como “TATOH”.

3. DOCUMENTAÇÃO COMPLEMENTAR

  • Lei Federal nº 13.709/2018
  • Código de Conduta e Ética
  • Política de Auditoria Interna
  • Política de Segurança da Informação
  • Termo de Sigilo e Confidencialidade - NDA
  • Política de Gestão de Normativos (Regimento)
  • Procedimento de Mesa e Tela Limpa
  • Política para Manuseio de Dados Pessoais
  • Política para Uso e Gestão de Consentimento
  • Procedimento para o Compartilhamento de Dados Pessoais com Terceiros
  • Procedimento para Resposta a Incidentes de Violação de Dados Pessoais

4. CONCEITOS E SIGLAS

  • ANPD: Autoridade Nacional de Proteção de Dados;
  • Base Legal: Hipóteses legais para o tratamento de dados pessoais conforme a LGPD;
  • Master: Colaboradores responsáveis por disseminar a cultura de privacidade;
  • Dados Pessoais: Informações relativas a uma pessoa singular identificada ou identificável;
  • Dados Sensíveis: Dados pessoais relacionados à origem racial, saúde, vida sexual, entre outros;
  • LGPD: Lei Geral de Proteção de Dados Pessoais;
  • Medidas de Segurança: Técnicas ou organizacionais para proteger dados pessoais;
  • Terceiro: Pessoa física ou jurídica que utiliza dados pessoais com finalidade econômica;
  • Tratamento: Operações realizadas com dados pessoais, como coleta, armazenamento, eliminação, etc.

5. DISPOSIÇÕES GERAIS

Os colaboradores da “TATOH” são responsáveis por conhecer, compreender e aplicar esta política, bem como todos os documentos orientadores relacionados à proteção e privacidade de dados.

Todas as áreas são responsáveis em adequar seus normativos (políticas, normas, procedimentos e procedimentos confidenciais) em observância ao tema relacionado à proteção de dados e privacidade, para que as atividades de tratamento de dados pessoais ocorram de maneira correta e nos termos pretendidos pela “TATOH”.

A violação de qualquer uma das políticas de proteção e privacidade de dados da Companhia pode resultar em consequências graves à “TATOH” e aos colaboradores envolvidos. Portanto, a falha em cumprir esta Política ou relatar o conhecimento de violação desta Política poderá resultar em ação disciplinar para qualquer colaborador envolvido.

5.1. Papéis e Responsabilidades

5.1.1. Segurança da Informação

  • Analisar violações e vazamentos de Dados Pessoais bem como efetuar a coleta de evidências técnicas;
  • Reportar ao Comitê de Privacidade, ao Encarregado e ao Comitê de Diretoria os eventos relacionados a vazamento de Dados Pessoais;
  • Implementar e monitorar medidas de segurança para garantir o cumprimento da legislação e da regulamentação aplicáveis;
  • Revisar e manter atualizada políticas, normas e procedimentos relativos à Segurança da Informação;
  • Prestar suporte e analisar novas ferramentas e sistemas com foco na exposição de Dados Pessoais;
  • Garantir a aplicação das medidas de segurança da informação proporcionais ao risco gerado pelo Tratamento de Dados Pessoais e em linha com a expectativa de proteção do Titular do Dado Pessoal, garantindo a CID (integridade, disponibilidade e confidencialidade) destas informações.

5.1.2. Comitê de Privacidade, Segurança da Informação e Proteção de Dados - CPSIPD

  • Propor, ao Comitê Executivo, a criação de novas políticas internas que se mostrem necessárias, sempre que relacionadas ao tema de privacidade e proteção de dados, ou que se mostrarem imprescindíveis para a conformidade sobre o tema;
  • Discutir e propor tomada de decisão ao Comitê Executivo sobre o nível de risco relacionado à proteção de dados pessoais que a Companhia pode aceitar nas atividades que envolvam o tratamento de dados pessoais;
  • Avaliar, quando provocado, os relatórios de impacto à proteção de dados pessoais e sugerir alterações que sejam necessárias para adequação do risco ao aceitável pela Companhia;
  • Discutir e expor opinião sobre a contratação de terceiros que terão acesso a dados pessoais detidos pela Companhia, com base em relatórios de due diligence;
  • Discutir e endereçar situações relacionadas ao atendimento de direitos de titulares de dados.

5.1.3. Encarregado

  • Responsabilizar-se pelo uso adequado de Dados Pessoais em suas atividades;
  • Aceitar reclamações e comunicações dos titulares (quando aplicável), prestar esclarecimentos e adotar providências;
  • Cooperar e se relacionar com a Autoridade Nacional de Proteção de Dados (ANPD);
  • Propor a revisão e atualização desta Política;
  • Elaborar e manter atualizada políticas, normas e procedimentos relativos à privacidade que estejam na sua competência;
  • Efetuar a análise de impacto de privacidade de dados (“Relatório de Impacto a Privacidade de Dados”);
  • Definir, revisar e atualizar avisos de privacidade;
  • Conduzir periodicamente avaliações de maturidade da Companhia em relação às iniciativas de privacidade, identificando melhorias assim como a sua evolução;
  • Acompanhar e apoiar a implementação dos planos de ação para correção de gaps das iniciativas de privacidade;
  • Reportar ao Comitê de Privacidade, a Segurança da Informação e ao Comitê de Diretoria os eventos relacionados a vazamento de Dados Pessoais;
  • Participar e orientar sob a ótica de privacidade os projetos que envolvam Tratamento de Dados Pessoais a fim de validar a aderência aos requisitos da legislação e da regulamentação aplicáveis;
  • Acompanhamento de exceções quanto da tratativa de Dados Pessoais.
  • Conforme previsto no artigo 41 da Lei Geral de Proteção de Dados, o encarregado pelo tratamento de dados pessoais na TATOH fica aqui publicado para execução das atividades presentes na LGPD.
    • Fabricio Barbi, DPO – dpo@barbiadvogados.com.br

5.1.4. Masters

  • Prestar suporte às áreas com relação à privacidade de dados pessoais a partir de treinamentos e trabalhos de conscientização;
  • Facilitar a coleta de evidências sobre a aplicação das regras internas de privacidade e proteção de Dados Pessoais;
  • Disseminar a cultura de privacidade e proteção de Dados Pessoais nas respectivas áreas.

5.1.5. Jurídico

  • Assegurar que os contratos que contemplem a cessão ou o Tratamento de Dados Pessoais contenham cláusulas de privacidade adequadas à legislação e regulamentação aplicáveis;
  • Prestar apoio jurídico na ocorrência de vazamentos de Dados Pessoais;
  • Prestar apoio jurídico na interpretação da legislação e regulamentação relativas à proteção de Dados Pessoais;
  • Apoiar na renegociação de contratos/aditivos com fornecedores e clientes que realizam o Tratamento de Dados Pessoais;
  • Apoiar na interface com Autoridades Nacionais de Proteção de Dados.

5.1.6. Colaboradores

  • Responsabilizar-se pelo uso adequado de Dados Pessoais em suas atividades;
  • Cumprir a legislação e regulamentação aplicáveis, bem como as políticas, normas e procedimentos relativos à proteção de Dados Pessoais e aplicação das medidas adequadas de Segurança da Informação;
  • Relatar ao Encarregado de Dados e Segurança da Informação a ocorrência de quaisquer incidentes de Dados Pessoais ou segurança de dados, bem como as deficiências identificadas relacionadas ou possíveis riscos de privacidade;
  • Participar das atividades de treinamento em proteção de dados conforme orientado.

5.2. Princípios de Proteção de Dados Pessoais

Esta seção descreve os princípios que devem ser observados na coleta, manuseio, armazenamento, divulgação e tratamento de Dados Pessoais dos colaboradores da “TATOH” para atendimento aos padrões de proteção de dados no âmbito corporativo e estar em conformidade com a legislação e regulamentação aplicáveis.

5.3. Legalidade e Transparência

A Companhia trata os Dados Pessoais de forma justa, transparente e em conformidade com legislação e regulamentação aplicáveis. Somente são tratados Dados Pessoais quando o propósito/finalidade do tratamento se enquadra em uma das hipóteses legais permitidas, abaixo elencadas:

  • Necessidade para a execução de contrato;
  • Exigência decorrente de lei ou regulamento ao qual a empresa esta sujeita;
  • Interesse legítimo pelo tratamento, hipótese na qual tal interesse legítimo será comunicado previamente; e
  • Necessidade de prover ao Titular dos Dados o exercício regular de direito em processo judicial, administrativo ou arbitral.

Como em suas operações a “TATOH” atua como Processadora de Dados Pessoais, fica a cargo das Operadoras de Saúde obter e realizar a gestão do consentimento junto aos titulares dos dados, sendo a mesma a principal gestora da informação.

Quando, em casos específicos, a “EMPRESA” seja responsável por realizar a coleta dos dados pessoais, sendo Controladora dos Dados, caso o tratamento dos dados não se enquadrem nos itens elencados acima, a companhia deve obter o Consentimento dos Titulares dos Dados para o tratamento e assegurar que este consentimento seja obtido de forma específica, livre, inequívoca informada. Os responsáveis pelas áreas que realizam tratamento dos dados pessoais devem coletar, armazenar e gerenciar todas as respostas de Consentimento de maneira organizada e acessível, de acordo com a Política Para Uso e Gestão de Consentimento, para que a comprovação de Consentimento possa ser fornecida quando necessário.

5.4. Manuseio de Dados Pessoais

A Companhia fornece a Política para Manuseio de Dados Pessoais da qual auxilia os colaboradores a identificar e documentar o propósito específico (finalidade) pelo qual os dados pessoais serão usados e coletados.

5.5. Limitação e Adequação da Finalidade

O Tratamento de Dados Pessoais deve ser realizado de maneira compatível com a finalidade original para a qual os Dados Pessoais foram coletados, não podendo ser coletados com um propósito e utilizados para outro. Quaisquer outras finalidades devem ser compatíveis com a razão original para quais as informações foram coletadas.

5.6. Princípio da Necessidade (Minimização de Dados)

A Companhia e todos seus colaboradores somente podem tratar Dados Pessoais na medida em que seja necessário para atingir um propósito específico, este é o princípio da minimização de dados conforme artigo 6º. O compartilhamento de Dados Pessoais com outras áreas, empresas e terceiros devem considerar este princípio, só podendo ser compartilhados quando tenham um amparo legal adequado.

5.7. Exatidão

A Companhia e todos seus colaboradores devem adotar medidas razoáveis para assegurar que quaisquer Dados Pessoais em sua posse sejam mantidos precisos, atualizados em relação às finalidades para as quais foram coletados, sendo certo que deve ser possibilitado ao Titular do Dado Pessoal a possibilidade de se requerer a exclusão ou correção de dados imprecisos ou desatualizados em conformidade ao artigo 18 da LGPD.

5.8. Retenção e Limitação do Armazenamento de Dados

A Companhia e todos seus colaboradores devem ter conhecimento de suas atividades de Tratamento, períodos de retenção estabelecidos e processos de revisão periódica, não podendo manter os Dados Pessoais por prazo superior ao necessário para atender as finalidades pretendidas.

5.9. Responsabilização e Prestação de contas

A Companhia e todos seus colaboradores são responsáveis e devem demonstrar o cumprimento desta Política, assegurando a implementação de diversas medidas que incluem, mas não se limitam a:

  • Garantia de que os titulares dos dados pessoais possam exercer os seus direitos conforme descritos na Seção 5.5 deste Documento;
  • Registro de Dados Pessoais, incluindo:
    • Registros de atividades de Tratamento de Dados Pessoais, com a descrição dos propósitos/finalidades desse Tratamento, os destinatários do compartilhamento dos Dados Pessoais e os prazos pelos quais a Companhia deve retê-los;
    • Registro de incidentes de Dados Pessoais e violações de Dados Pessoais;
  • Garantia de que os Terceiros que sejam Operadores de Dados Pessoais também estejam agindo de acordo com esta Política e com a legislação e regulamentação aplicáveis;
  • Garantia de que a Companhia, quando requerido, registre junto à ANPD um Encarregado de Dados; e
  • Garantia de que a Companhia esteja cumprindo todas as exigências e solicitações da ANPD.

5.10. Segurança dos Dados Pessoais

A Companhia está comprometida com a implementação de padrões de Segurança da Informação e com a proteção de Dados Pessoais com vistas a garantir o direito fundamental do indivíduo à autodeterminação da informação.

A confidencialidade, integridade e disponibilidade, bem como autenticidade, responsabilidade e não repúdio são objetivos a serem perseguidos para a segurança dos Dados Pessoais.

5.10.1. Integridade e Confidencialidade

A Companhia deve assegurar que medidas técnicas e administrativas apropriadas sejam aplicadas aos Dados Pessoais para protegê-los contra o tratamento não autorizado ou ilegal, bem como contra a perda acidental, destruição ou danos. O Tratamento de Dados Pessoais também deve garantir a devida confidencialidade.

Dentre as medidas técnicas mais comuns, podem ser descritas:

  • Anonimização significa que os Dados Pessoais são tornados anônimos de tal forma que os dados não mais se referem a uma pessoa direta ou indiretamente identificável. O anonimato tem que ser irreversível;
  • Pseudo Anonimização é um processo pelo qual os Dados Pessoais não mais se relacionam diretamente com uma pessoa identificável (por exemplo, mencionando seu nome), mas não é anônimo, porque ainda é possível, com informações adicionais, que são mantidas separadamente, identificar uma pessoa.

5.10.2. Sigilo dos Dados Pessoais

Todos os colaboradores com acesso a Dados Pessoais estão obrigados aos deveres de confidencialidade dos Dados Pessoais mediante a anuência na Política de Segurança da Informação da “TATOH”.

5.10.3. Privacidade de Dados Pessoais por Concepção e por Padrão

Ao implementar novos processos, procedimentos ou sistemas que envolvam o Tratamento de Dados Pessoais, devem-se adotar medidas para garantir que as regras de Privacidade e Proteção de Dados sejam adotadas desde a fase de concepção até o lançamento/implantação destes projetos.

Para novos projetos que envolvam o Tratamento de Dados Pessoais, o Encarregado e o Comitê de Privacidade devem ser consultados no início do projeto, para que se tomem as devidas medidas visando a Proteção e Privacidade dos dados.

5.11. Compartilhamento de Dados Pessoais Com Terceiros

Os prestadores de serviços terceirizados que tratem Dados Pessoais sob as instruções da “TATOH” estão sujeitos às obrigações impostas aos Operadores de acordo com a legislação e regulamentação de proteção de Dados Pessoais aplicáveis. A Companhia deve assegurar que no contrato de prestação de serviço sejam contempladas as cláusulas de privacidade que exijam que o Operador de Dados terceirizado programe medidas de segurança, bem como controles técnicos e administrativos apropriados para garantir a confidencialidade e segurança dos Dados Pessoais e especifiquem que o Operador está autorizado a tratar Dados Pessoais apenas quando seja formalmente solicitado pela “TATOH” para isto, sendo consultado o Encarregado e o Comitê de Privacidade.

Como regra, para o compartilhamento de Dados Pessoais, deve ser seguido o Procedimento de Compartilhamento de Dados Pessoais com Terceiros.

Nos casos em que o prestador de serviços estiver localizado fora do território nacional, as cláusulas contratuais padrão devem ser incluídas no contrato de proteção de Dados Pessoais como um Anexo para garantir que as devidas salvaguardas exigidas pela legislação e regulamentação aplicáveis de proteção de Dados Pessoais sejam implementadas.

5.12. Transferência internacional de dados

A TATOH realiza transferência de dados internacionalmente, dentro dos limites de necessidade e adequado à finalidade. Os detalhes sobre essa transferência são exibidos abaixo.

  • País: Japão
  • Organização: Toyota Tsusho Corporation
  • Dados Transferidos:

5.13. Direitos dos Titulares de Dados Pessoais

A Companhia está comprometida com os direitos dos Titulares de Dados Pessoais, os quais incluem:

  • A informação, no momento em que os Dados Pessoais são fornecidos, sobre como seus Dados Pessoais serão tratados;
  • A informação sobre o Tratamento de seus Dados Pessoais e o acesso aos Dados Pessoais que a Companhia detenha sobre eles;
  • A correção de seus Dados Pessoais se estiver imprecisos, incorretos ou incompletos;
  • A exclusão, bloqueio e/ou anonimização de seus Dados Pessoais em determinadas circunstâncias. Isso pode incluir, mas não se limita a, circunstâncias em que não é mais necessário que a “TATOH” retenha os Dados Pessoais para os propósitos para os quais foram coletados;
  • A restrição do Tratamento de seus Dados Pessoais em determinadas circunstâncias;
  • Opor-se ao Tratamento, se o Tratamento for baseado em legítimo interesse;
  • A retirar o Consentimento a qualquer momento, se o Tratamento dos Dados Pessoais se basear no Consentimento do indivíduo para um propósito específico;
  • A revisão das decisões tomadas unicamente com base em Tratamento automatizado de Dados Pessoais;
  • A apresentação de queixa à Companhia ou à Autoridade Nacional, se o Titular dos Dados Pessoais tiver motivos para supor que qualquer um de seus direitos de proteção de Dados Pessoais tenha sido violado.

5.14. Gerenciamento de Violação de Dados

Todos os incidentes e potenciais violações de dados devem ser reportadas ao canal de CSIRT e ao Encarregado de Privacidade de dados, conforme descrito no Procedimento de Resposta a Incidentes de Violação de Dados Pessoais. Todos os colaboradores devem estar cientes de sua responsabilidade pessoal de encaminhar e escalonar possíveis problemas, bem como de denunciar violações ou suspeitas de violações de Dados Pessoais assim que as identificarem. No momento em que um incidente ou violação real for descoberto é essencial que os incidentes sejam informados e formalizados de forma tempestiva.

Violações de Dados incluem, mas não se limita a, qualquer perda, exclusão, roubo ou acesso não autorizado de Dados Pessoais controlados ou tratados pela “TATOH”.

5.15. Auditoria Interna

A Companhia deve garantir que existam revisões periódicas a fim de confirmar que as iniciativas de Privacidade, seu sistema, medidas, processos, precauções e outras atividades incluindo o gerenciamento de proteção de Dados Pessoais são efetivamente implementados e mantidos e estão em conformidade com a legislação e regulamentação aplicáveis.

Adicionalmente e conforme previsto na política de Auditoria Interna, o tema deve ser avaliado com a devida periodicidade e de acordo com os riscos existentes.

6. DA LEI GERAL DA PROTEÇÃO DE DADOS

Aplica-se, independentemente de suas atribuições e responsabilidades, a todos os colaboradores da Companhia a Lei Federal nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados (“LGPD”), no que se refere ao tratamento de dados realizado pela “TATOH”, bem como por terceiros que o fazem em seu nome.

Para os fins de aviso, aplicar-se-ão aos mesmos termos as definições dispostas no artigo 5º da LGPD. Caso você tenha alguma dúvida sobre os termos utilizados neste normativo, sugerimos consultar a tabela abaixo:

| Termo | Definição | |----------------------|----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | Dado pessoal | Qualquer informação relacionada á pessoa natural, direta ou indiretamente, identificada ou identificável. | | Dado pessoal sensível| Categoria especial de dados pessoais referentes a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de carácter religioso, filosófico ou político, referentes à saúde ou à vida sexual, dados genéticos ou biométricos relativos a pessoa natural. | | Titular | Pessoa natural a quem se referem os dados pessoais, tais como antigos, presentes ou potenciais clientes, colaboradores, contratados, parceiros comerciais e terceiros. | | Tratamento | Toda operação realizada com dados pessoais, como as que se referem: a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. | | Anonimização | Processo por meio do qual o dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, considerados os meios técnicos razoáveis e disponíveis no momento do tratamento. |

Os Colaboradores se obrigam a respeitar todos os Normativos da “TATOH” sempre que utilizarem dados pessoais acessados em razão da relação de trabalho, se abstendo de extrair, copiar, compartilhar, transmitir ou publicar qualquer dado relativo a pessoas naturais, inclusive dados pessoais relacionados a outros empregados, fornecedores, clientes, etc.

Esta cláusula de privacidade se aplica em conjunto com as demais políticas aplicáveis à relação entre as partes. Eventuais alterações poderão ser feitas a qualquer momento e serão devidamente comunicadas aos colaboradores, a fim de garantir máxima transparência.

7. HISTÓRICO DAS REVISÕES

| PÁGINA | VERSÃO | DATA DA EMISSÃO | MOTIVO DAS ALTERAÇÕES | SOLICITADA POR | |--------|--------|-----------------|-----------------------|----------------| | Todas | 01 | 20/07/2022 | Criação do documento | CPSIPD |