Política de Privacidade de Dados

 

 

INTRODUÇÃO

Para exercer suas atividades, a Intelliway Tecnologia necessita reunir e tratar informações obtidas de pessoas naturais como fornecedores, parceiros comerciais, empregados e outras com as quais a organização se relacione.

 

OBJETIVOS

·         Estabelecer as diretrizes para o tratamento dos dados pessoais coletados pela Intelliway Tecnologia de usuários de seus serviços, parceiros comerciais ou demais pessoas físicas;

·         Estar em conformidade com as legislações (como a Lei Geral de Proteção de Dados – LGPD) e melhores práticas aplicáveis;

·         Proteger os direitos dos membros da organização, seus clientes e parceiros comerciais;

·         Proteger a companhia do risco em ser vítima de um incidente de segurança.

 

ABRANGÊNCIA

Esta política aplica-se a todos as espécies de dados pessoais tratados  (nome, números de documentos, endereço postal, endereço de e-mail, número de telefone, dados financeiros e outros), e, a todas as espécies de tratamento conduzido pela Intelliway Tecnologia.

 

DEFINIÇÕES

LGPD

Se refere à Lei Geral de Proteção de Dados.

Anonimização

Utilização de meios técnicos razoáveis e disponíveis no momento do Tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

Encarregado (Data Protection Officer – DPO)

Pessoa indicada pela Empresa  para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Atividade de Tratamento

Toda operação realizada com Dados Pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Controlador

Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de Dados Pessoais.

Operador

Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de Dados Pessoais em nome do controlador.

Banco de Dados

Conjunto estruturado de dados estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

Titular

Pessoa natural a quem se referem os dados pessoais que são objeto de atividades de tratamento.

Inventário de Dados e Atividades de Tratamento

Se refere ao registro de todos os sistemas ou contextos em que os dados pessoais coletados são tratados pela empresa.

 

1. PRINCÍPIOS DE PROTEÇÃO DE DADOS

A Intelliway Tecnologia está empenhada em tratar os dados coletados (inclusive de colaboradores e demais membros da organização) de acordo com as responsabilidades e obrigações trazidas pela LGPD.

Os dados pessoais na Intelliway Tecnologia serão:

a.      tratados somente: I - caso sejam obtido mediante o consentimento (livre, inequívoco e informado) por parte de seu titular; II - para o cumprimento de obrigação ou regulatória; III – para a execução de contrato ou de procedimentos preliminares a ele relacionados; IV – para o exercício regular de direitos em processo judicial, administrativo ou arbitral; V – para a tutela da saúde de indivíduos; VI – para fins de legítimo interesse de terceiros ou da atividade conduzida pela Intelliway Tecnologia, especialmente em benefício de seus clientes.

b.      tratados em conformidade com a lei, de forma justa e transparente em relação aos indivíduos;

c.       coletados para fins específicos, explícitos e legítimos, e, não serão tratados de forma mais adicional incompatível com esses fins;

d.      armazenados de forma a garantir sua exatidão, clareza, relevância e, quando necessário, mantidos atualizados; todos os esforços razoáveis serão destinados para garantir que aqueles apresentem imprecisões, tendo em conta os propósitos para os quais são processados, sejam prontamente apagados ou corrigidos;

e.      mantidos de forma a permitir a identificação dos titulares dos dados apenas pelo tempo necessário para atender à finalidade para os quais foram coletados; caso sejam armazenados para além desse período será exclusivamente para fins de arquivamento para o cumprimento de obrigação legal por parte da empresa; E

f.        tratados por meios aptos a garantir a segurança adequada dos dados pessoais coletados pela empresa, incluindo formas de proteção contra o processamento não autorizado ou ilegal e contra perdas acidentais de dados, destruição ou danos, através das medidas técnicas ou organizacionais apropriadas.

 

2. DISPOSIÇÕES GERAIS

a.      Esta política aplica-se a todos os dados pessoais (inclusive de titularidade dos empregados e demais membros da organização) tratados pela Intelliway Tecnologia e presentes em suas bases de dados.

b.      A pessoa responsável assumirá a responsabilidade pela conformidade contínua da empresa com esta política.

c.       A presente política deverá ser reavaliada periodicamente, em intervalo não maior que doze meses.

d.      A organização irá promover treinamento adequado a todos seus colaboradores para auxiliá-los a compreender suas responsabilidades relacionadas à proteção de dados pessoais.

e.      Os colaboradores da Intelliway Tecnologia devem requisitar ajuda de seus superiores ou do Encarregado (Data Protection Officer – DPO) da empresa para os casos em que possuam dúvidas sobre qualquer aspecto relacionado à proteção de dados.

f.        Todos os terceiros que tenham acesso e manipulem os dados pessoais controlados pela Intelliway Tecnologia deverão ter padrões de segurança adequados para realizar seu tratamento, e, observar os mesmos princípios de privacidade de dados que pautam a conduta da Intelliway Tecnologia.

 

3. PROCESSAMENTO LEGAL, JUSTO E TRANSPARENTE

a.      Para garantir que o processamento de dados seja conduzido em conformidade com a lei, de forma justa e transparente, a Intelliway Tecnologia irá manter um registro dos tratamentos conduzidos pela empresa (Inventário de Dados e Atividades de Tratamento).

b.      O método e adequação dos registros deverão ser revisados pelo menos anualmente.

c.       Os titulares têm o direito de acessar seus dados e quaisquer pedidos feitos à empresa serão respondidos em até 30 dias.

 

4. PROPÓSITOS LEGAIS

a.      Todos as atividades de tratamento de dados conduzidos pela Intelliway Tecnologia são realizados em conformidade com uma das seguintes bases legais: consentimento, cumprimento contratual, obrigação legal ou regulatória, para defesa legal ou administrativa, ou, por interesses legítimos.

b.      A Intelliway Tecnologia identifica as base legais apropriadas e as registra no seu Inventário de Dados e Atividades de Tratamento.

c.       Se o consentimento for identificado como a base legal adequada para a atividade de tratamento, as evidências que comprovem sua concessão são devidamente documentadas e arquivadas.

d.      Quando comunicações são enviadas a indivíduos tendo por base seu consentimento, é garantida a possibilidade de revogar o seu consentimento de forma fácil e acessível, podendo ser feita a solicitação por e-mail, telefone ou pelo Assistente Virtual que fica no site da Intelliway Tecnologia.

e.      Os sistemas pertinentes operam operando de forma adequada para garantir que a revogação seja refletida de forma precisa nos sistemas da Intelliway Tecnologia.

 

5. RISCOS RELACIONADOS À PRIVACIDADE DE DADOS

a.      Quebra de confidencialidade – por exemplo, quando uma informação é fornecida de forma inapropriada ou ao destinatário equivocado. Para eliminar este risco, a permissão para acessar os dados é controlada e os controladores e operadores são treinados antes de manipulá-los, fazendo isso sempre dentro dos limites estabelecidos nesta Política. Além disso, os acessos aos sistemas são passíveis de auditoria e rastreamento, permitindo identificar quaisquer desvios.

b.      Falha em garantir escolha livre e informada – por exemplo, a todos os titulares deve ser conferida a possibilidade de livremente escolher como a companhia irá utilizar as informações deles coletadas (quando a base legal utilizada for o consentimento livre, inequívoco e informado do titular). Para reduzir este risco, os consentimentos são sempre livres, inequívocos e informados ao titular. Quando, por algum motivo, o titular desejar alterar suas permissões, poderá fazê-lo usando um dos nossos canais.

c.       Dano reputacional – por exemplo, em caso de ataques cibernéticos permitirem o acesso não autorizado à dados sensíveis relacionados aos titulares de dados. Para mitigar este risco, a Intelliway Tecnologia usa ferramentas tecnológicas como concessão e monitoramento dos acessos, firewall, ferramentas de gestão de endpoint e ainda outras técnicas para dificultar a ação de acessos maliciosos.

 

6. RESPONSABILIDADES

Todos aqueles que trabalham para ou com a Intelliway Tecnologia possuem um certo grau de responsabilidade por garantir que a coleta, o armazenamento e o tratamento de dados pessoais são feitos de forma adequada.

Todas os setores da organização que lidam com dados pessoais devem garantir que o fazem em observância a esta política e aos princípios de privacidade de dados aqui presentes e trazidos pela LGPD.

Algumas funções possuem responsabilidades-chave:

a.      Os membros da Alta Direção, que são responsáveis por:

                                i.            Assegurar o cumprimento desta política;

                               ii.            Assegurar que os recursos necessários para o Sistema de Gestão de Privacidade de Dados Pessoais estejam disponíveis;

                             iii.            Comunicar a importância do Sistema de Gestão de Privacidade de Dados Pessoais e desta Política;

                             iv.            Assegurar que esta Política alcance os seus objetivos e resultados pretendidos;

                               v.            Promover a melhoria contínua do Sistema de Gestão de Privacidade de Dados Pessoais;

                             vi.            Apoiar os papéis relevantes no ciclo de gestão do Sistema de Gestão de Privacidade de Dados Pessoais.

b.      Os responsáveis pelas áreas Administrativo e Financeiro da Intelliway Tecnologia, que:

                                i.            Manipulam dados de contratos;

                               ii.            Cuidam de pagamentos e recebimentos;

                             iii.            Realizam contato com clientes, fornecedores, parceiros de negócio e empregados;

                             iv.            Cuidam de garantir que a companhia cumpra suas obrigações legais.

c.       O Encarregado (Data Protection Officer – DPO) é responsável por:

                                i.            Manter administração da Intelliway Tecnologia atualizada em relação a responsabilidades, riscos e questões conexas à privacidade de dados;

                               ii.            Revisar periodicamente políticas e procedimentos relacionados à privacidade de dados;

                             iii.            Fornecer treinamento adequado em proteção de dados para os indivíduos contemplados nesta política;

                             iv.            Responder a questões sobre privacidade de dados feitas por colaboradores ou outro indivíduo pertinente;

                               v.            Lidar com requisições de informação, alteração, exclusão, portabilidade e acesso a dados pessoais feitas pelos indivíduos titulares dos mesmos;

                             vi.            Avaliar (e aconselhar a Direção acerca de) qualquer contrato ou acordo com terceiros que manipulem dados sensíveis controlados pela Intelliway Tecnologia.

d.      O responsável pela função de Tecnologia da Informação é responsável por:

                                i.            Garantir que todos os sistemas, serviços e equipamentos usados para o armazenamento de dados possuem padrões aceitáveis de segurança;

                               ii.            Realizar checagens e varreduras periódicas para garantir que os respectivos hardwares e softwares de segurança estão funcionando de forma apropriada;

                             iii.            Avaliar qualquer serviço ofertado por terceiro para armazenar ou tratar dados pessoais (e seu nível de segurança), como, por exemplo, serviços de computação em nuvem.

e.      Os responsáveis pela função Comercial, que são responsáveis por:

                                i.            Contatar clientes usando diversos meios de comunicação, como e-mail, telefone e aplicativos de mensagens;

                               ii.            Elaborar propostas comerciais;

                             iii.            Acessar contratos;

                             iv.            Acessar outras informações do ambiente dos clientes.

 

7. ARMAZENAMENTO DE DADOS PESSOAIS

a.      Qualquer dúvida sobre o armazenamento seguro de dados deve ser encaminhada ao DPO, através dos meios formais disponíveis, para que enderece aos responsáveis pela função de Tecnologia da Informação ou a quem detém o controle do dado.

b.      Os dados armazenados fisicamente são arquivados em local seguro, que impedem o acesso de pessoas não autorizadas.

c.       Sobre as informações impressas, os seguintes cuidados são tomados:

                                i.            Quando não exigido maior nível de segurança, arquivos físicos são mantidos em local com tranca.

                               ii.            Colaboradores devem assegurar que nenhum papel ou impressão é deixado à vista de pessoas não autorizadas, como esquecido na impressora.

                             iii.            Dados impressos devem ser inutilizados e eliminados adequadamente quando não mais necessários.

d.      Os dados pessoais armazenados digitalmente são protegidos de acesso não autorizado, eliminação acidental e tentativas de invasão mal-intencionada. Alguns cuidados que são tomados:

                                i.            Se o dado pessoal for armazenado em mídia removível (como pendrive ou disco), a mídia dever ser armazenada de forma segura enquanto não estiver em uso.

                               ii.            Dados pessoais somente devem ser armazenados nas unidades de disco e nos servidores autorizados, e, somente podem ser carregados para serviços de computação em nuvem autorizados.

                             iii.            Servidores que contenham dados pessoais devem ser dispostos em local seguro, segregado do ambiente regular do escritório.

                             iv.            Dados pessoais não devem ser salvos diretamente em laptops ou em outros dispositivos móveis, como tablets ou smartphones.

                               v.            Todos os servidores e computadores que contenham dados pessoais devem estar devidamente protegidos por softwares de segurança e firewalls.

 

8. USO DE DADOS PESSOAIS

Dados pessoais só possuem utilidade para a Intelliway caso sejam pertinentes à atividade empresarial que desenvolve.

As operações de tratamento de dados pessoais trazem em si riscos de perda, corrupção e roubo de dados. Para mitigar tais riscos algumas medidas são recomendadas:

a.      Os colaboradores devem bloquear a tela de seus computadores sempre que não estiverem utilizando o equipamento.

b.      Dados pessoais não devem ser compartilhado informalmente, especialmente por e-mail, em razão de tal meio de comunicação não ser seguro.

c.       Dados pessoais devem ser, sempre que possível, adequadamente encriptados antes de que qualquer transferência eletrônica seja realizada. Qualquer dúvida relacionada ao envio de dados para uma parte externa pode ser tirada com o responsável pela função de Tecnologia da Informação.

d.      Dados pessoais não devem ser transferido para países cujas legislações em privacidade de dados não se equiparem às exigências nacionais.

e.      Os colaboradores não devem salvar cópias de dados pessoais em seus próprios computadores. Deve-se sempre acessar e atualizar cópia central do dado pessoal.

 

9. INTEGRIDADE DOS DADOS PESSOAIS ARMAZENADOS

É responsabilidade de todos que manuseiam dados pessoais tomar os cuidados adequados para assegurar que ele tenha sua integridade preservada.

Dados pessoais devem ser armazenados no menor número possível de locais diversos entre si.

Somente pessoas autorizadas devem ter acesso aos dados pessoais. Este controle é realizado através das ferramentas de sistema, como acesso por login e senha e permissionamento por grupos de acesso.

Qualquer um, empregado, parceiro de negócio, prestador de serviço, que acesse dados pessoais que não fazem parte do escopo do seu trabalho ou rotina, deve avisar imediatamente ao DPO para que tome as devidas providências.

 

10. REQUISIÇÃO DE ACESSO PELO TITULAR

a.      Todo titular de dados pessoais armazenados pela organização tem o direito de:

                                i.            Questionar quais informações a Intelliway Possui possui sobre eles, e por quê.

                               ii.            Questionar como poderia ter acesso a tais informações;

                             iii.            Ser informado sobre como se manter atualizado sobre o andamento de seu pedido;

                             iv.            Ser informado sobre os esforços que a companhia está destinando para se manter em conformidade com suas obrigações relacionadas à proteção dos dados pessoais por ela coletados e tratados;

                               v.            Solicitar alterações ou exclusão dos dados, quando enquadrados no que rege a lei.

b.      O responsável (Encarregado – DPO) deverá empregar o máximo de esforços para responder à solicitação do titular em no máximo 30 dias.

c.       O responsável (Encarregado – DPO), em ordem a prevenir o compartilhamento indevido (não intencional) de dados pessoais, sempre deverá verificar a identidade do requerente antes de lhe garantir acesso a qualquer informação

 

11. COMPARTILHAMENTO DE DADOS PESSOAIS COM AUTORIDADES PÚBLICAS

a.      Em algumas circunstâncias, a LGPD permite que dados pessoais sejam compartilhados com autoridade públicas sem o respectivo consentimento do titular dos dados.

b.      Quando alguma dessas circunstâncias exigir, a Intelliway Tecnologia irá realizar o compartilhamento dos dados pertinentes à autoridade competente. Contudo, a companhia irá assegurar-se de que o requerimento é legítimo, buscando assistência de sua consultoria em privacidade de dados e de sua assessoria jurídica, quando necessário.

 

12. FORNECIMENTO DE INFORMAÇÕES

a.      A Intelliway Tecnologia irá garantir que os titulares dos dados pessoais tenham ciência de que seus dados estão sendo tratados pela companhia, e, que eles saibam como seus dados estão sendo utilizados e como podem exercer seus direitos perante a companhia.

b.      Para tanto a companhia conta com uma Declaração de Privacidade e Termos de Serviço, detalhando como os dados pessoais coletados dos respectivos titulares são utilizados pela empresa.

 

13. MINIMIZAÇÃO DE DADOS PESSOAIS

a.      A Intelliway Tecnologia trabalha para garantir que os dados pessoais sejam precisos, relevantes e sua coleta e armazenamento limitados ao que é necessário com base nos propósitos para os quais são tratados.

b.      Quando cabível, técnicas para anonimização e pseudoanonimização serão utilizadas sobre os dados tratados pela organização.

c.       Assim que não mais persistir a finalidade para qual o dado pessoal foi coletado, e não mais existir qualquer obrigação ou interesse jurídico em mantê-lo, este será prontamente excluído da base de dados pessoais tratados pela Intelliway Tecnologia.

 

15. ARQUIVAMENTO / REMOÇÃO

a.      Para garantir que os dados pessoais não sejam mantidos por mais tempo do que o necessário, a organização irá colocar em prática uma política de arquivamento/retenção para cada área em que os dados pessoais são tratados. O presente processo deve ser revisado, ao menos, anualmente.

b.      A política de arquivamento/retenção deve considerar quais os dados podem/devem ser mantidos, por quanto tempo e por quê.

c.       Alguns prazos mínimos que devem ser observados e que são detalhados na referida política de arquivamento/retenção:

                                                        i.            Por pelo menos 5 (cinco) anos após o término da relação contratual com os consumidores dos serviços ofertados pela Intelliway Tecnologia (em razão do prazo prescricional presente no art. 27 do Código de Defesa do Consumidor);

                                                       ii.            Enquanto a finalidade para a qual determinado dado pessoal for coletado perdurar, e, para os casos em que o mesmo foi obtido através do consentimento do titular, este não tenha retirado seu consentimento, ou, para os casos em que a atividade de tratamento sendo conduzida estiver sua base legal ancorada no legítimo interesse, o titular não tenha exercido seu direito de oposição ao tratamento em questão;

 

16. SEGURANÇA

a.      A Intelliway Tecnologia continuamente investe em tecnologia e processos para que os dados pessoais sejam armazenados com segurança, mantendo seu ambiente monitorado e constantemente atualizado.

b.      O acesso aos dados pessoais é limitado aos empregados e parceiros de negócio que efetivamente necessitem deles, e medidas de segurança adequadas foram implementadas para evitar o compartilhamento não autorizado dessas informações.

c.       Dados pessoais não devem ser compartilhados informalmente. Caso necessitem de ter acesso à informação confidencial, o empregado deve requisitar tal acesso ao seu superior.

d.      A exclusão de dados pessoais deve ser feita com segurança, de modo a tornar os dados excluídos irrecuperáveis.

e.      Senhas “fortes” são utilizadas nos sistemas da Intelliway Tecnologia e nunca compartilhadas. Além disso, quando possível, é utilizado OTP (duplo fator de autenticação).

f.        Dados pessoais não devem ser compartilhados com pessoas sem autorização para ter acesso a eles, seja de fora ou de dentro da companhia.

g.      Soluções adequadas de recuperação de catástrofe/desastre e de back-up estão devidamente implementadas. Tais ferramentas têm sua eficácia avaliada periodicamente.

 

17. QUEBRA DE SEGURANÇA

No caso de uma quebra de segurança que conduza à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais, a empresa avaliará prontamente o risco para os direitos e liberdades dos titulares, reportando, se aplicável, o incidente de segurança à Autoridade Nacional de Proteção de Dados (ANPD) ou à autoridade pertinente.

 

18. DISPOSIÇÕES FINAIS

Este documento será avaliado anualmente, podendo ser alterado a qualquer tempo e critério.

As pessoas que violarem esta política estarão sujeitas às medidas legais e/ou disciplinares cabíveis.

Esta política entra em vigor na data de sua publicação, revogando disposições em contrário.

 

Para esclarecer dúvidas sobre como a Intelliway Tecnologia trata os dados pessoais, estão disponíveis os seguintes canais:

v  Assistente Virtual no site www.intelliway.com.br

v  Central de Atendimento no telefone 27 3376-0163

v  Encarregado pelo Tratamento de Dados Pessoais (DPO): Evando Lopes da Fonseca Filho

§  e-mail: evando@intelliway.com.br

 

19. DOCUMENTOS DE REFERÊNCIA

Lei nº 13.709/2018 – Lei Gerald e Proteção de Dados (LGPD)

 

Histórico de Atualizações:

Data da Modificação

Atividade

Responsável

18/09/2020

Publicação do Documento

Evando Fonseca (DPO)