OBJETIVO
Esta Política estabelece os princípios de Proteção de Dados Pessoais que todos os departamentos da Ibitu Energia S/A, inscrita no CNPJ/MF sob o n. 31.908.280/0001-64, e suas empresas investidas, diretamente ou indiretamente controladas, subsidiárias integrais e coligadas (doravante em conjunto apenas “Companhia”), irão implementar e exercer para garantir a conformidade com os requisitos de proteção de dados aplicáveis, especialmente a Lei 13.709/2018 – Lei Geral de Proteção de Dados (LGPD) e melhores práticas corporativas para coleta, processamento, armazenamento e divulgação de Dados Pessoais (definidos abaixo).
ABRANGÊNCIA
Esta Política se aplica a todos os departamentos da Companhia, bem como a seus administradores, prepostos, colaboradores, estagiários ou aprendizes, contratados, clientes, fornecedores, parceiros e/ou consultores externos que trabalham para e/ou em nome da Companhia.
TERMOS E DEFINIÇÕES
Atividades de Tratamento: Atividades desenvolvidas no âmbito das operações empresariais da Companhia, desenvolvidas por seus colaboradores, representantes, mandatários e/ou sistemas informáticos da Companhia, realizadas com a utilização do Dado Pessoal, como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle de informação, comunicação, transferência, difusão ou extração.
Autoridade Nacional de Proteção de Dados – ANPD: Trata-se de órgão nacional regulador e fiscalizador sobre o cumprimento das obrigações e respeito aos direitos previstos na LGPD.
Base Legal (para Tratamento dos Dados Pessoais): Previsão legal, advinda de instrumento normativo aceito em Direito, que autoriza o Tratamento de Dados Pessoais. Dentre as diversas bases legais previstas na lei, cada atividade de tratamento exercida pela empresa deve ter uma respectiva base legal que a fundamente, devidamente atribuída pela Companhia.
Dado Pessoal: Qualquer informação que possa ser vinculada a uma pessoa indentificada ou identificável. Isso inclui, mas não se limita a, nome, informações de contato (endereço residencial, telefone e endereço de e-mail), data de nascimento, números de seguro, nacionalidade, cópias do passaporte, cópias da certidão de nascimento e casamento, detalhes do cartão de crédito, estado militar, estado civil, número de filhos, fotografia, detalhes do cartão de milhagem (companhias aéreas), países visitados e registros de vacinação, localização, trabalho/cargo contato de trabalho (números de telefone e fax e endereço de e- mail), salário, grau educacional e quaisquer outras categorias de Dados Pessoais que a Ibitu Energia vier a tratar.
Dado Pessoal Sensível: Nos termos da LGPD, é todo dado pessoal que identifique ou permita identificar, referente a um indivíduo, sua origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
Titular: Pessoa natural (indivíduo) a que se referem os Dados Pessoais que são objeto de tratamento, como, por exemplo: consumidores quando aplicável, colaboradores em geral, representantes, usuário do site da internet etc. A Companhia trata dados de pessoas que são ou foram seus colaboradores, representantes e funcionários de empresas contratadas ou em negociações, clientes e usuários quando aplicável, terceiros que frequentem seus estabelecimentos no país ou troquem comunicação e usuários do site na internet. Tais dados poderão ser obtidos diretamente do titular, por meio de plataformas digitais utilizadas pela Companhia, por meio de terceiros contratados, órgãos públicos ou ainda de forma automatizada, quando o titular navegar no website ou utilizar aplicações tecnológicas disponibilizadas pela Companhia.
PRINCÍPIOS E DIRETRIZES
4.1 Transparência/Notificação: A Companhia sempre manterá disponível suas políticas e detalhes sobre práticas relacionadas às atividades que tratem Dados Pessoais através de avisos de privacidade e/ou documento equivalente que permita de forma objetiva, transparente e de fácil acesso, que o titular entenda quais dados são coletados, qual o prazo de tratamento e retenção dos Dados Pessoais, como serão usados, compartilhados e eliminados, assim como informações de contato para o envio de consultas, reclamações e quaisquer direitos disponíveis para indivíduos em relação a Dados Pessoais sob o controle da Companhia.
4.2 Finalidades e Bases Legais: Os Dados Pessoais são tratados pela Companhia exclusivamente para planejamento, gestão e execução de suas atividades fim, conforme seus objetivos sociais, seja na seleção e contratação de força de trabalho para tanto, de aquisição de produtos e serviços para o mesmo fim, ou cumprimento dos contratos firmados. A Companhia também trata Dados Pessoais para cumprimento de exigências legais e regulatórias previstas para as atividades acima descritas.
Portanto, as Bases Legais, previstas detalhadamente na documentação de registro de processos e análise de risco das atividades de tratamento, são preponderantemente aquelas previstas para cumprimento/execução de contrato, obrigação legal ou regulatória e legítimo interesse.
4.3 Dados Pessoais Sensíveis: São dados tratados apenas quando essenciais às finalidades da atividade, como, por exemplo e sem se limitar a, em virtude da utilização do plano de saúde corporativo, cumprimento de obrigação legal ou regulatória (como, por exemplo, informação de etnia para o e-Social e realização de exame médico admissional) e segurança do trabalho aplicáveis à própria Companhia ou a clientes/fornecedores, também devidamente detalhadas e fundamentadas nos documentos que registram os processos de Tratamento de Dados Pessoais e análise de risco, quando aplicável.
4.4 Minimização de Dados: Os Dados Pessoais são obtidos e empregados somente para o propósito de negócios legítimos e em conformidade com as normas vigentes. Quando tratados, os Dados Pessoais devem ser limitados ao mínimo necessário para as finalidades de cada atividade e adequados para o uso pretendido pela Companhia.
4.5 Coleta, Qualidade e Retenção: A Companhia somente coletará Dados Pessoais na medida em que estejam razoavelmente relacionados aos usos para os quais foram obtidos, somente reterá os Dados Pessoais pelo tempo necessário para esses usos e conforme necessário para fins legais e comerciais legítimos. Os Dados Pessoais serão sempre mantidos de forma íntegra e de acordo com as características que foram coletadas, conforme aplicável, salvo atualização necessária e/ou solicitada pelo titular para adequar a sua exatidão.
4.6 Uso e Divulgação: A Companhia limitará o uso de Dados Pessoais para aqueles fins esperados pelos indivíduos, com base na natureza do relacionamento ou contexto em que os Dados Pessoais foram coletados. Divulgações de Dados Pessoais a terceiros serão limitadas àquelas diretamente relacionadas a execução de serviços em nome da Companhia (por exemplo, prestadores de serviços), conforme exigido ou permitido pela lei aplicável e, conforme aplicável, em que terceiros se obriguem para com a segurança de dados e demais obrigações legais.
Todos os colaboradores diretos e indiretos, contratados, fornecedores, clientes e representantes de terceiros, somente devem ter acesso a Dados Pessoais de titulares se e quando estritamente necessário para o desempenho das atividades fim da Ibitu Energia, cuja natureza, finalidade e resultado dependam do tratamento de tais dados. Ainda, sempre que necessário tratarem os Dados Pessoais, estes deverão envidar os melhores esforços para garantir a privacidade, o sigilo e proteção dos Dados Pessoais, agindo de forma a prevenir que qualquer vazamento, acesso ou uso indevido possa ocorrer, causando ou não danos a titulares de dados pessoais.
O compartilhamento e a divulgação de Dados Pessoais de titulares da Companhia somente poderá ocorrer quando legalmente permitido e quando previsto no processo interno que regula a respectiva atividade de tratamento. Transferências internacionais são aplicáveis para dados tratados através de sistemas e aplicações em nuvem, cujos bancos de dados estejam localizados em outro território – tais informações estão previstas de forma detalhada e legalmente amparada na documentação de registro de processos e análise de risco das atividades de tratamento.
4.7 Não Discriminação: Os Dados Pessoais tratados pela Companhia jamais poderão ser utilizados ou embasarem qualquer ato que implique ou presuma fins discriminatórios, de qualquer natureza, sendo certo que a Companhia, em caso de descumprimento do aqui previsto, adotará imediatamente as medidas cabíveis para que tais atos sejam imediatamente cessados, assim como as sanções administrativas, disciplinares e/ou legais aplicáveis contra os infratores.
4.8 Segurança/Salvaguardas: A Companhia toma medidas razoáveis para proteger os Dados Pessoais contra perda, acesso não autorizado, uso, destruição, modificação ou divulgação, apropriadas ao nível de risco e sensibilidade dos dados, conforme estabelecido na Política de Segurança da Informação da Companhia, cujos padrões e diretrizes nela previstos descrevem as medidas a serem tomadas por todos os departamentos da Companhia para proteger os Dados Pessoais.
A Companhia se compromete a sempre envidar os melhores esforços para proteger os Dados Pessoais objeto de tratamento contra incidentes de segurança internos e externos, empregando recursos em conformidade com a legislação, regulamentação e melhores práticas aplicáveis.
RESPONSABILIDADES
5.1 Compartilhamento de Dados Pessoais com terceiros: As atividades de tratamento de Dados Pessoais que envolvem mais de um Agente de Tratamento são um ponto crítico para a Proteção de Dados Pessoais. Nesse sentido, é importante estabelecer garantias, definir as responsabilidades e adotar medidas a serem observadas quando seja necessário o compartilhamento de Dados Pessoais com terceiros, sejam eles Controladores ou Operadores de dados.
A Companhia poderá compartilhar Dados Pessoais com terceiros no desenvolvimento de suas atividades, sempre seguindo as regras e princípios de Proteção de Dados Pessoais e Segurança da Informação. O compartilhamento poderá ser feito com:
Ressalta-se que apenas os dados necessários para realizar o respectivo Tratamento devem ser compartilhados, mediante celebração de contrato com cláusulas protetivas aos Titulares e que garantam que o terceiro cumprirá com todas as determinações legais aplicáveis, exceto se autorizado de forma diferente pelo encarregado pela área de Privacidade e Proteção de Dados da Companhia, mas desde que sejam atendidas medidas de segurança para o compartilhamento. Em qualquer hipótese, o compartilhamento deve estar formalmente mapeado e identificado nos controles internos da Companhia.
Antes do compartilhamento de Dados Pessoais ocorrer, é importante definir se o destinatário atuará como Controlador ou Operador no Tratamento de Dados Pessoais, sendo suas responsabilidades e requisitos para o compartilhamento refletidos no instrumento contratual mais adequado que regerá a relação.
O Compartilhamento de Dados Pessoais com terceiros deve ocorrer, em regra, única e exclusivamente: (i) para atender a finalidade que justificou o Tratamento de Dados Pessoais, nos limites da base legal definida para tanto; e (ii) em conformidade com a atividade que fundamenta a relação do fornecedor e do parceiro junto à Companhia. Quando for necessário outro tipo de compartilhamento de Dados Pessoais que não atenda às condições acima estabelecidas, será necessário que haja a correspondência a uma das bases legais estabelecidas pela LGPD.
O terceiro deverá demonstrar que possui garantias adequadas, considerando aspectos de proteção de Dados Pessoais e Segurança da Informação. Sempre que possível, o terceiro deverá demonstrar ser capaz de atender às políticas e procedimentos da Companhia que versem sobre proteção de Dados Pessoais e Segurança da Informação.
A Companhia não realizará o compartilhamento de Dados Pessoais quando houver vedação legal, restrição contratual ou que resulte em ofensa a direitos do Titular previstos em lei.
Em nenhuma circunstância os Dados Pessoais poderão ser divulgados publicamente, salvo se tal atividade estiver formalmente mapeada e com base legal adequada prevista para tanto.
5.2. Encarregado pelo Tratamento de Dados Pessoais: O Encarregado pelo Tratamento de Dados Pessoais (apenas “Encarregado”, ou ainda “DPO”) é o principal responsável pelo desenvolvimento e administração desta Política; deverá se manter informado sobre os desenvolvimentos legais e regulatórios e fornecer alertas relacionados; manter acordos sobre privacidade de toda a empresa, avisos e materiais de treinamento. O Encarregado é responsável pela representação e comunicação da Companhia com os Titulares de Dados Pessoais, com a ANPD e outros órgãos que tratem ou venham a tratar sobre esta matéria.
O Encarregado da Companhia é Alexandre Fonte (Blasquez da Fonte Advogados), com base em São Paulo/SP, com endereço de e-mail lgpd@ibituenergia.com.
Exercício de Direitos dos Titulares e Reclamações: A Companhia se compromete a garantir a proteção dos direitos dos Titulares, nos termos das normas aplicáveis, que podem ser exercidos mediante solicitação endereçada ao encarregado/DPO através do e-mail lgpd@ibituenergia.com, entre eles:
desconformidade com a Lei;
Caso uma solicitação encaminhada por Titular seja negada, a Companhia fornecerá, de forma fundamentada, resposta contendo as razões para o Titular.
5.3 Resposta a Incidentes: Em caso de iminência ou ocorrência de incidentes que possam comprometer Dados Pessoais, a Companhia responderá prontamente a fim de evitar e/ou cessar o incidente e evitar ou minimizar danos. Caso se confirme a ocorrência de incidente que comprometa efetivamente os Dados Pessoais de Titulares, a Companhia os notificará, assim como às autoridades competentes, detalhando as informações afetadas, extensão e demais detalhes cabíveis.
EXCEÇÕES
A LGPD não se aplica, e, portanto, estarão fora da abrangência desta Política de Privacidade, os dados utilizados para fins exclusivamente jornalísticos e artísticos, de segurança pública, de defesa nacional, de segurança do Estado, de investigação e repressão de infrações penais, particulares (ou seja, que não tenha finalidade econômica) e os dados anonimizados.
SANÇÕES DISCIPLINARES
A observância irrestrita das diretrizes, responsabilidades e aplicação da presente Política, assim como das regras nela contidas e da legislação vigente é condição para se relacionar e manter vínculo com a Companhia, sob pena de aplicação de sanções disciplinares.
Em caso de constatação de não cumprimento e/ou detecção de atitude que infrinja um ou mais pontos dispostos nesta política, haverá apuração dos fatos pela função de DPO, com apoio de pessoas e equipes internas e/ou externas a seu critério. Caso a infringência envolva a pessoa do DPO, as tratativas serão conduzidas pela alta direção da empresa, cabendo tomar ou determinar as medidas necessárias para apuração dos fatos.
Os infratores que causarem infração e/ou se omitam em relação ao previsto nesta Política poderão ter seu vínculo definitivamente encerrado com a Companhia, motivadamente, além de responderem civil e/ou criminalmente pelos danos a que derem causa à Companhia e/ou a terceiros, sem prejuízo de adoção pela empresa de outras medidas previstas legal e contratualmente.
REFERÊNCIAS
Este site se utiliza de cookies para estatísticas de navegação (analytics). A maioria dos navegadores de internet aceita cookies automaticamente, mas você pode impedir que os cookies sejam salvos no seu dispositivo ou ainda excluir os cookies armazenados no seu dispositivo a qualquer momento acessando a configuração sobre cookies do seu navegador. Saiba mais sobre sua privacidade e tratamento de dados pessoais no site acessando nosso Aviso de Privacidade clicando aqui.