Política de Privacidade
Políticas22
sub
POLÍTICA DE PRIVACIDADE DA ENGEMATEX
Última atualização: 18/06/2021
1) PRINCÍPIOS DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
A Engematex Equipamentos Industriais Ltda. cumprirá com os seguintes princípios de proteção de dados pessoais quando do tratamento de dados pessoais:
- FINALIDADE: a Engematex realizará o tratamento de dados pessoais apenas para propósitos legítimos, específicos, explícitos e informados ao titular de dados pessoais, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
- ADEQUAÇÃO: a Engematex realizará o tratamento de dados pessoais de forma compatível com as finalidades informadas ao titular de dados, e de acordo com o contexto do tratamento;
- NECESSIDADE: o tratamento de dados pessoais realizado pela Engematex será limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento;
- ACESSO AS INFORMAÇÕES: a Engematex garantirá aos titulares de dados pessoais a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados. Estas informações deverão ser solicitadas com pelo menos 1 dia útil de antecedência para que o departamento de RH/DP possa reunir todas os dados dos titulares.
- QUALIDADE DOS DADOS: a Engematex garantirá, aos titulares de dados pessoais, a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
- TRANSPARÊNCIA: a Engematex garantirá, aos titulares de dados pessoais, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento de dados pessoais, observados os segredos comercial e industrial;
- SEGURANÇA: a Engematex utilizará medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão dos dados dos titulares;
- PREVENÇÃO: a Engematex adotará medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
- NÃO DISCRIMINAÇÃO: a Engematex garantirá a impossibilidade de realização do tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos;
- RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: a Engematex se compromete a demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, e a eficácia dessas medidas.
2) DIREITOS DOS TITULARES DE DADOS PESSOAIS
O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição com pelo menos 1 dia útil de antecedência para que o departamento de RH/DP possa reunir todas os dados dos titulares:
- DIREITO À CONFIRMAÇÃO DA EXISTÊNCIA DO TRATAMENTO: o titular de dados pessoais pode questionar, junto à Engematex, se há a realização de operações de tratamento relativos a dados pessoais seus;
- DIREITO DE ACESSO: o titular de dados pessoais pode solicitar e receber uma cópia de todos os dados pessoais coletados e armazenados;
- DIREITO DE CORREÇÃO: o titular de dados pessoais pode requisitar a correção de dados pessoais que estejam incompletos, inexatos ou desatualizados;
- DIREITO DE ELIMINAÇÃO: o titular de dados pessoais pode requisitar a exclusão de seus dados pessoais de bancos de dados geridos pela Engematex, salvo se houver um motivo legítimo para a sua manutenção, conforme descrito no item 6 desta política;
- DIREITO À REVOGAÇÃO DO CONSENTIMENTO: o titular de dados pessoais tem direito a revogar o seu consentimento, porém que isso não afetará a legalidade de qualquer tratamento realizado antes da retirada.
- DIREITO DE OPOSIÇÃO A UM TRATAMENTO DE DADOS PESSOAIS: nas hipóteses de tratamento de dados pessoais não baseadas na obtenção do consentimento, o titular de dados pessoais poderá apresentar à Engematex uma oposição, que será analisada a partir dos critérios presentes na LGPD;
- DIREITO DE SOLICITAR A SUSPENSÃO DE TRATAMENTO ILÍCITO DE DADOS PESSOAIS: a qualquer momento, o titular de dados pessoais poderá requisitar a Engematex a anonimização, bloqueio ou eliminação de seus dados pessoais que tenham sido reconhecidos por autoridade competente como desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei 13709 de 14 de agosto de 2018.
- DIREITO À PORTABILIDADE DOS DADOS: o titular de dados pessoais poderá requisitar à Engematex que seus dados pessoais sejam disponibilizados para um terceiro, desde que sejam respeitados os segredos comerciais e industriais da Engematex, bem como os limites técnicos de sua infraestrutura.
3) DEVERES PARA O USO DE DADOS PESSOAIS
Os destinatários dos dados pessoais dos titulares do qual a Engematex é detentora, devem se comprometer a cumprir as obrigações legais estabelecidas na LGDP através da implementação de estratégia de privacidade e proteção de dados pessoais.
Deveres dos titulares de dados pessoais
- Fornecer dados verídicos para a Engematex;
- Comunicar a Engematex quaisquer modificações nos dados pessoais que são tratados pela Engematex;
- A comunicação deverá ser realizada, obrigatoriamente, pessoalmente junto ao RH/DP;
- Caso não seja possível comunicar pessoalmente, poderá ser realizado por e-mail endereçado ao: rh@engematex.com.br e dp@engematex.com.br
Deveres dos agentes de tratamento dos dados pessoais e terceiros
Não disponibilizar nem garantir acesso aos dados pessoais mantidos pela Engematex para quaisquer pessoas não autorizadas ou competentes, conforme estabelecido nesta instrução de trabalho;
- Obter a autorização necessária para o tratamento de dados;
- Ter os documentos necessários que demonstrem que o tratamento de dados está sendo realizado conforme esta política;
- Cumprir as normas, recomendações, orientações de segurança da informação e prevenção de incidentes de segurança da informação conforme esta política e o procedimento P-SGI-019 – Política da Tecnologia da Informação;
- Acionar o Plano de Resposta a Incidentes de Segurança da Informação (IT-SGI-051) sempre que houver algum incidente no que tange aos dados pessoais de titulares.
- Seguir as recomendações dos itens 12 e 13 desta política.
Deveres dos destinatários desta política
Todos os destinatários desta Política têm o dever de contatar o Encarregado da ENGEMATEX, quando da suspeita ou da ocorrência efetiva das seguintes ações:
- Qualquer outra violação desta Política ou de qualquer um dos princípios de proteção de dados dispostos no item 5 desta política;
- Tratamento de dados pessoais sem a autorização por parte da Engematex no escopo das atividades que desenvolve;
- Operação de tratamento de dados pessoais realizada sem base legal que a justifique;
- Operação de tratamento de dados pessoais que seja realizada em desconformidade com a Política da Tecnologia da Informação (P-SGI-019);
- Eliminação ou destruição não autorizada pela Engematex de dados pessoais de meios digitais ou meios físicos por ela utilizada;
TRATAMENTO DE DADOS PESSOAIS
O tratamento de dados Pessoais, no âmbito das operações das atividades conduzidas pela Engematex terão uma base legal que irá legitimar o seu tratamento, como: coletar, produzir, receptar, classificar, utilizar, acessar, reproduzir, transmitir, distribuir, processar, arquivar, armazenar, eliminar, avaliar ou controlar a informação, modificar, comunicar, transferir, difundir ou extrair os dados pessoais.
A base legal preferencialmente utilizada pela Engematex será a lei (art. 7º, II da LGPD), seguindo-se do tratamento para atender interesses legítimos da empresa de acordo com sua atividade empresarial e como descrito em sua Tabela de Finalidades IT-SGI-052, e somente em casos estritamente necessários será usado o consentimento do titular dos dados como base legal para seu tratamento. As bases legais citadas acima não excluem outras que venham a subsidiar o tratamento de dados pela Engematex.
Como compromisso, a Engematex irá avaliar periodicamente as finalidades de suas operações de tratamento, considerando o contexto em que estas operações se inserem, os riscos e benefícios que podem ser gerados ao titular de dados pessoais.
As operações de tratamento de dados pessoais realizados pela Engematex são:
- Mediante solicitação e/ou consentimento do titular dos dados;
- Para o cumprimento de obrigação legal ou regulatória
- Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
- Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
- Para a proteção da vida ou da incolumidade física do titular de dados pessoais ou de terceiros.
Os registros das operações de tratamento de dados pessoais poderão ser consultados pelo titular dos dados pessoais, bem como por autoridades públicas competentes para o acesso e retenção dos dados em seu nome, resguardados os direitos do titular de dados pessoais.
4) TRATAMENTO DE DADOS SENSÍVEIS
A realização de operações de tratamento de dados pessoais sensíveis pela Engematex só poderá ser realizada:
- Quando o titular de dados pessoais ou seu responsável legal (para menores aprendizes) consentir de forma específica e destacada, para finalidades determinadas pelo titular;
- Quando o tratamento for indispensável para[1]:
- O cumprimento de obrigação legal ou regulatória pela Engematex;
- O exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
- d. Proteção da vida ou da incolumidade física do titular de dados pessoais ou de terceiros;
- Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
- Garantia da prevenção à fraude e à segurança do titular de dados pessoais, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
5) TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E DE ADOLESCENTES
O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos desta Política e da legislação pertinente.
- O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
- No tratamento de dados de que trata o item anterior, a Engematex deverá manter pública a informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos, conforme estabelecido no parágrafo 6 desta política.
- Os dados pessoais de crianças poderão ser coletados sem o consentimento quando a coleta for necessária para contatar os pais ou o responsável legal, utilizados uma única vez e sem armazenamento, ou para sua proteção, e em nenhum caso poderão ser repassados a terceiro sem o consentimento do representante legal do titular dos dados.
- A Engematex não deverá condicionar a participação dos titulares em jogos, aplicações de internet ou outras atividades ao fornecimento de informações pessoais além das estritamente necessárias à atividade.
- A Engematex deve realizar todos os esforços razoáveis para verificar que o consentimento do uso de dados foi dado pelo responsável pela criança, consideradas as tecnologias disponíveis.
- As informações sobre o tratamento de dados referidas neste capítulo deverão ser fornecidas de maneira simples, clara e acessível, consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais do usuário, com uso de recursos audiovisuais quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.
6) TÉRMINO DO TRATAMENTO DE DADOS
O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:
- Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
- Fim do período de tratamento;
- Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º da LGPD, resguardado o interesse público; ou
- Determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.
Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades.
A conservação dos dados dos titulares é autorizado para as seguintes finalidades:
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
- Transferência a terceiro[2], desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
- Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados
7) MEIOS DE PROTEÇÃO DOS DADOS PESSOAIS
Dados físicos
Os dados pessoais impressos são armazenados em pastas dentro de salas e/ou armários com controle de acesso.
Somente os interessados nos dados tem acesso a estes, sendo que outros colaboradores estão expressamente proibidos de acessar os locais restritos.
Dados digitais
Os dados digitais em servidores externos:
- M3 Solutions: dados armazenados nas pastas da Rede
- Microsoft: dados armazenados no Onedrive (somente Departamento Pessoal).
O acesso das pastas é restrito ao grupo de usuários interessados no acesso daqueles dados, ou seja, caso o uso do Dado Pessoal seja de interesse do RH/DP, somente estes tem acesso as pastas nos quais os dados são armazenados.
A políticas das empresas responsáveis pelo segurança dos dados digitais pode ser consultado nos links abaixo:
- M3 Solution: AVISO_DE_PRIVACIDADE.pdf (m3solutions.com.br)
- Microsoft: Proteja seus dados com a Microsoft
8) MEIOS DE ELIMINAÇÃO DOS DADOS PESSOAIS
Os meios de eliminação dos Dados Pessoais podem verificados na IT-SGI-052 - Tabela de Finalidades.
9) DADOS ANONIMIZADOS E PSEUDONIMIZADOS
Dado Anonimizados
Os dados pessoais que devem ser legalmente controlados pela a Engematex serão anonimizados.
Quando houve a necessidade de levantamentos estatísticos por parte da Engematex, os dados coletados serão dados anonimizados, onde não será necessário que se identifique diretamente o titular, mas que algumas informações são relevantes para uma metrificação, análise estatística.
É importante destacar que, para que se categorize de fato ANONIMIZAÇÃO é necessário que a desassociação das informações que possam identificar diretamente o indivíduo seja um procedimento irreversível ou, pelo menos, realizado por meios técnicos exclusivamente próprios, que possam ser considerados razoáveis, seguros e suficientemente atualizados no critério espaço temporal, de modo que a sua reversão seja consideravelmente custosa e dificultada em questão de tempo despendido e habilidades técnicas necessárias para realizar o processo de reversão (reidentificação dos titulares).
Portanto, de forma geral, a forma mais segura de se realizar a anonimização será através do recolhimento de dados com a exclusão dos identificadores diretos (ex.: nome, RG, CPF, passaporte), de forma definitiva e buscando, inclusive, apagar possíveis registros e rastros remanescentes que possam levar à recuperação de tais dados (e, consequentemente, à reidentificação dos titulares).
10) COMPARTILHAMENTO DE DADOS PESSOAIS DOS TITULARES
A Engematex compartilha os dados pessoais dos titulares (colaboradores) somente com:
- Prestadores de serviços que compõe as atividades do RH/DP;
- Órgãos legais;
- Clientes: quando há necessidade de envio de documentação legal para realização de obras externas na planta do Cliente.
A relação dos dados que são compartilhados estão definidos na IT-SGI-052 - Tabela de Finalidades.
Devido a possibilidade de a Engematex ser responsabilizada solidariamente por ações de terceiros que vão contra ao que é estabelecido na Lei 13709 de 14 de agosto de 2018, a Engematex determina que:
- Todos os contratos com terceiros, em que ocorra o compartilhamento de dados pessoais dos titulares, deverão seguir a sistemática da F-SGI-125 – Termo de Compartilhamento de dados com terceiros, onde há cláusulas referentes à proteção de dados pessoais e estabelecerá deveres e obrigações dos terceiros em relação aos dados pessoais compartilhados.
- O intuito é atestar o compromisso dos terceiros com as legislações de proteção de dados pessoais aplicáveis.
11) PROGRAMA DE CONFORMIDADE ÀS LEIS DE PROTEÇÃO DE DADOS PESSOAIS
Com o compromisso de garantir o tratamento adequado de dados pessoais dos titulares, a Engematex estabelece o Programa de Conformidade da LGPD; reforçando o compromisso das boas práticas de proteção e privacidade de dados através das ações relacionadas abaixo:
- Identificação os riscos que podem comprometer o alcance dos objetivos da Engematex na área de privacidade e proteção de dados pessoais:
- Definindo, criando e implementando procedimentos, instruções de trabalho e planos de ação para mitigar os riscos identificados;
- Mantendo uma avaliação contínua se as medidas implementadas não requerem novas diretrizes e atitudes.
- Fornecimento de treinamentos e orientações para os colaboradores e terceiros da Engematex;
- Incorporação de cuidados no tratamento de dados pessoais sob responsabilidade da Engematex;
- Produção e disseminação de informações que descrevam as responsabilidades individuais dos destinatários desta Política no que compete a privacidade e proteção de dados pessoais.
A Engematex reitera o seu compromisso em zelar pelo tratamento adequado dos dados pessoais de pessoas naturais para fins de ser usado somente no objeto de suas atividades, conforme definido na Lei Geral de Proteção de Dados Pessoais (LGPD) e, reforça o seu compromisso de boas práticas em relação a privacidade e proteção de dados.
RESPONSABILIDADES
CONTROLADOR E OPERADOR
- Manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse;
- Elaborar o relatório de impacto à proteção de dados pessoais (F-SGI-122), inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial, quando solicitado pela Autoridade Nacional de Proteção de Dados (ANPD);
- O relatório deverá conter, no mínimo: a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados
- O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria
- CONTROLADOR:
- Razão Social: Engematex Equipamentos Industriais Ltda.
- Pessoa jurídica de direito privado
- CNPJ: 60.549.474/0001-19
- Endereço: Rua Eduardo Augusto Mesquita, 935 - Parque Santa Teresa, Carapicuíba - SP, 06340-380.
- Razão Social: Engematex Equipamentos Industriais Ltda.
- OPERADOR:
- Denilson Queiroz Domingues.
- Pessoa natural ou jurídica de direito público ou privado.
- Telefone: (11) 4146-8600 e 4186-3322.
- Denilson Queiroz Domingues.
ENCARREGADO
A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador.
- Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
- Receber comunicações da autoridade nacional e adotar providências;
- Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
- Representado por:
- Willian de Jesus Costa.
- Pessoa natural ou jurídica de direito público ou privado.
- Telefone: (11) 4146-8600 e 4186-3322.
- Willian de Jesus Costa.
[1] Escritório de advocacia, bancos, contabilidade, juiz etc.
[2] Não havendo necessidade fornecimento de consentimento do titular de dados pessoais
