1. OBJETIVO

A Política para Manuseio de Dados Pessoais tem como objetivo determinar e documentar que a coleta e o uso de dados pessoais sejam legais, bem como a base legal atribuída para o tratamento, nos termos do art. 7º e 11º da Lei nº 13.709/2018, a Lei Geral de Proteção de Dados (“LGPD”), e com propósitos claramente definidos e legítimos.

2. ABRANGÊNCIA

Aplica-se, independentemente de suas atribuições e responsabilidades, a todos os colaboradores da Companhia Brasileira de Gestão de Serviços (“CBGS”) e suas afiliadas, assim entendidas as empresas por ela controladas, sob controle comum e/ou coligadas, doravante denominadas em conjunto simplesmente como “Orizon”.

3. DOCUMENTAÇÃO COMPLEMENTAR

Lei Federal nº 13.709/2018
Código de Cofiança
Política de Segurança da Informação
Política de Gestão de Normativos
Procedimento de Mesa e Tela Limpa

4. CONCEITOS E SIGLAS

Coleta: operação de tratamento de dados pessoais na qual a ORIZON obtém, consegue, recebe, produz ou tem acesso a um dado pessoal.

Dados pessoais: qualquer informação relativa a uma pessoa singular identificada ou identificável (“Titular”). É considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo, um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa.

Dados pessoais sensíveis: qualquer dado pessoal que diga respeito à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, bem como dado referente à saúde ou à vida sexual, dado genético ou biométrico.

LGPD: Lei Geral de Proteção de Dados - Lei nº 13.709/18.

Terceiro: neste contexto, trata-se de qualquer pessoa jurídica, inclusive aquelas pertencentes a um mesmo grupo econômico, bem como qualquer pessoa física que utilize ou possa utilizar os respectivos dados pessoais com finalidade econômica (“Terceiro(s)”).

Titular: pessoa física a quem se referem os dados pessoais.

Uso: operação de tratamento de dados pessoais na qual a ORIZON classifica, reproduz, transmite, distribui, modifica, comunica, extrai ou de qualquer forma utiliza um dado pessoal.

5. DISPOSIÇÕES GERAIS

Todos os colaboradores da companhia devem ser capazes de identificar e documentar o propósito específico (finalidade) pelo qual os dados pessoais serão usados e coletados.

5.1. Identificação e documentação da finalidade da coleta e/ou uso de dados pessoais

A documentação de registro das operações de coleta e uso de dados pessoais deve ser suficientemente clara e detalhada para ser utilizável como informações necessárias a serem fornecidas ao titular dos dados no caso de requerimento de, para tanto, deve observar os termos da presente Política.

No caso do desenvolvimento ou atualização de novos produtos e/ou serviços, a documentação do propósito específico deverá ocorrer através do preenchimento do Anexo 01 da Política de Privacy by Design, pelo qual deverá seguir o fluxo de gestão previsto na referida Política.

Em todo tempo, e sempre que julgar necessário, o Encarregado de Dados poderá solicitar informações adicionais à área responsável pela coleta e uso dos dados pessoais, especialmente, mas não se limitando, para realização de monitoramento e fiscalização, conforme previsto no item 11 da presente Política.

5.2. Coleta de dados pessoais

5.2.1. Regras gerais

  • A coleta de dados pessoais deverá ser realizada nos termos desta Política e das demais políticas e procedimentos internos relacionados à proteção de dados pessoais.
  • A coleta de dados pessoais deverá ser realizada unicamente para o cumprimento de uma finalidade específica e predeterminada. Não é permitida a coleta de dados para um uso futuro incerto.
  • A coleta de dados pessoais deverá ser restrita ao mínimo necessário para o cumprimento da finalidade.
  • A coleta de dados pessoais deverá ser realizada de fonte lícita e idônea.
  • A Orizon deverá se atentar para a acurácia dos dados que pretende coletar.

5.2.2. Dados coletados diretamente de titulares

O titular dos dados pessoais coletados deverá ser devidamente informado e orientado sobre a atividade de tratamento que a ORIZON pretende realizar, conforme item 7, abaixo. A referida comunicação deverá ser realizada, idealmente, antes da coleta dos dados pessoais, por meio de:

  • avisos de privacidade;
  • comunicações direcionadas (envio de e-mails, pop-ups, banners impressos etc.);
  • outros meios que garantam a transparência do tratamento, conforme descrito no item 5, abaixo.

5.2.3. Dados coletados indiretamente (através de terceiros)

Quando a coleta de dados pessoais ocorrer de maneira indireta, ou seja, sem a participação direta do titular dessas informações, a Orizon deverá:

  • comunicar a coleta e sua finalidade aos titulares dos dados pessoais, utilizando, para tanto, os meios referidos no item 1;
  • verificar a idoneidade do terceiro que lhe fornecer os dados e as medidas adotadas por este para garantir a licitude da coleta e tratamento dos dados pessoais objeto do compartilhamento; e
  • adotar cláusulas contratuais específicas que resguardem juridicamente a empresa nos contratos firmados com os terceiros fornecedores dos dados pessoais.

5.2.4. Dados coletados indiretamente (através de bases públicas)

As informações disponíveis publicamente, em sítios eletrônicos oficiais de instituições do governo, via de regra, somente poderão ser utilizadas para atender à finalidade pela qual foram originalmente divulgadas.

Exemplo: dados disponibilizados no sítio eletrônico da Junta Comercial deverão ser utilizados para consulta de informações referentes a empresas e sociedades empresariais, e não para formação de profile de marketing.

O Encarregado pela proteção de dados pessoais deverá:

  • divulgar para os colaboradores da Orizon uma lista contendo as fontes idôneas e autorizadas para a coleta de dados pessoais;
  • verificar a idoneidade da fonte utilizada para a coleta das informações;
  • elaborar um relatório de impacto da atividade de tratamento que se utilizará destas informações, quando entender necessário; e
  • garantir a transparência das atividades de tratamento dos dados coletados publicamente, utilizando, para tanto, os meios referidos no item 1.

5.3. Uso de dados pessoais

O uso de dados pessoais deverá ser realizado em observância a esta Política e às demais políticas e procedimentos internos relacionados à proteção de dados pessoais. Seu uso não poderá ser realizado para atendimento de finalidade diversa da originalmente registrada e informada ao titular dessas informações.

O Encarregado pela proteção de dados pessoais deverá ser informado em caso de eventual hipótese de alteração da finalidade do tratamento previamente informada ao titular. Caso a alteração da finalidade seja lícita e necessária, o Encarregado deverá garantir que os titulares dos dados sejam informados sobre tal alteração, o que poderá ocorrer por meio do Aviso de Privacidade, ou outro meio eficaz e que garanta a transparência, nos termos do item 5, abaixo.

5.3.1. Dados pessoais sensíveis

Dados pessoais inseridos em uma das categorias listadas abaixo, ou que por ventura venham a ser apontados pelo Encarregado de dados, devem ser considerados dados sensíveis, nos termos da Lei Geral de Proteção de Dados:

  • origem racial ou étnica;
  • convicção religiosa;
  • opinião política;
  • filiação a sindicato;
  • participação em organização de caráter religioso, filosófico ou político;
  • saúde ou vida sexual;
  • dado genético ou biométrico;
  • dados de menores entre 12 e 18 anos;
  • dados de menores de 12 anos; e
  • demais dados considerados sensíveis/protegidos.

O Encarregado pela proteção de dados deverá garantir que todos os cuidados necessários sejam observados, em consonância com a Lei nº 13.709/2018.

5.4. Coleta de uso de dados pessoais de crianças

Em decorrência da vulnerabilidade de indivíduos menores de 12 anos de idade, o tratamento de suas informações pessoais deverá se dar apenas em hipóteses excepcionais. Nesses casos, a atividade deverá ser conduzida:

  • visando ao melhor interesse de tais indivíduos, ou seja, com a finalidade de beneficiá-los, ainda que de forma indireta;
  • de forma transparente, de modo que informações destinadas a esse público deverão ser prestadas de maneira simples, clara e acessível, consideradas as condições físico-motoras, perceptivas, sensoriais, intelectuais e mentais dos destinatários, com o uso de recursos audiovisuais, quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento da criança.

Ainda, não obstante o cumprimento dos requisitos acima, o tratamento de dados pessoais de crianças necessita da prévia coleta do consentimento específico e em destaque de pelo menos um dos pais ou responsável legal, mantendo-se públicas as informações sobre o tipo de dados coletados, a forma de utilização e as garantias dos demais direitos dos titulares assegurados pela legislação de proteção de dados.

Quando do consentimento do responsável legal, este deverá anexar documento comprobatório da respectiva responsabilidade reconhecida pelos órgãos oficiais brasileiros.

5.5. Transparência

Para todas as atividades de tratamento de dados pessoais, deve ser apresentado ao titular um Aviso de Privacidade, que traga transparência em relação ao uso de seus dados.

Esse Aviso de Privacidade deve conter as seguintes informações sobre as atividades de tratamento de dados pessoais:

  • escopo (a quais atividades de tratamento de dados o Aviso de Privacidade se refere);
  • quais são os dados envolvidos nas respectivas atividades de tratamento e como são coletados, indicando a fonte, quando a coleta ocorrer por meio indireto – vide itens 1.3. e 1.4. supra;
  • finalidade à qual as atividades de tratamento pretendem atender;
  • como os dados pessoais estão sendo tratados (por exemplo, uso de algoritmo para criar profile de consumo; uso de processador de planilhas para limpar dados incorretos etc.);
  • por quanto tempo os dados serão tratados e o que ocorrerá após o término desse prazo;
  • identificação e informações de contato do(s) controlador(es);
  • indicação sobre o compartilhamento dos dados com terceiros, listando o nome destes terceiros e para qual finalidade os dados são compartilhados;
  • indicação de quais são as responsabilidades do controlador e do operador, quando houver, em relação às operações de tratamento em questão;
  • indicação de como o titular pode exercer cada um dos seus direitos (vide item 8);
  • indicação sobre se o uso dos dados pessoais objetos da operação de tratamento é indispensável para o fornecimento de um produto ou serviço, ou para o exercício de determinado direito;
  • data em que o Aviso de Privacidade foi publicado e das revisões subsequentes; e
  • existência de decisões tomadas de maneira automatizada com base nos dados pessoais tratados.

O Aviso de Privacidade pode ser referente a uma única atividade de tratamento de dados ou pode englobar diversas atividades, desde que indique de maneira específica como os dados serão tratados, sendo vedada a apresentação de informações genéricas.

O Aviso de Privacidade deve ser apresentado, quando viável, antes da coleta dos dados pessoais ou, caso contrário, no primeiro momento possível após a coleta.

Ainda, os Avisos de Privacidade podem ser internos (direcionados exclusivamente aos colaboradores da ORIZON) ou externos (direcionados ao público externo que é impactado pelas atividades de tratamento de dados como, por exemplo, clientes e fornecedores).

A transparência também poderá ser exercida por comunicações direcionadas (envio de e-mails, pop-ups, banners impressos etc.).

As áreas responsáveis pelas atividades de tratamento devem garantir que qualquer alteração seja refletida nos Avisos de Privacidade.

O Encarregado de dados deverá garantir que os Avisos de Privacidade sejam revisados periodicamente e que haja rastreabilidade das alterações e versões publicadas, bem como que este seja apresentado ao titular do dado de maneira clara, em linguagem acessível e com acesso facilitado.

5.6. Princípios norteadores da legislação

Em todas as atividades de tratamento, deverão ser observados os princípios a seguir.

  • Princípio da boa-fé: todas as operações de tratamento deverão observar um padrão ético de conduta socialmente aceito.
  • Princípio da finalidade e adequação: o tratamento de dados pessoais deve se limitar aos propósitos legítimos, específicos, explícitos e informados ao titular, e somente deve ocorrer de formas compatíveis com essas finalidades. Dados pessoais não poderão ser coletados para uma finalidade, e depois utilizados para outra, sem que haja ampla transparência sobre essa alteração.
  • Princípio da necessidade: a coleta e a utilização de dados pessoais deverão ser limitadas ao mínimo necessário para o cumprimento das finalidades pretendidas e expostas ao titular, além disso, tais informações deverão ser armazenadas pelo menor tempo possível/necessário.
  • Princípio do livre acesso e da qualidade dos dados: aos titulares deverá ser garantida a consulta facilitada e gratuita quanto a forma e duração do tratamento e integralidade de seus dados pessoais, estando asseguradas a exatidão, clareza, relevância e atualização destes.
  • Princípio da transparência: serão garantidas aos titulares dos dados informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
  • Princípio da segurança e da prevenção: a segurança e confidencialidade dos dados pessoais deverão ser garantidas por medidas técnicas e organizacionais, a fim de prevenir a ocorrência de incidentes de segurança envolvendo dados pessoais e danos aos titulares.
  • Princípio da não discriminação: as atividades de tratamento de dados pessoais jamais poderão objetivar fins discriminatórios, ilícitos ou abusivos.
  • Princípio da responsabilização: deverão ser armazenados os registros de todas as atividades de tratamento de dados pessoais e as respectivas medidas tomadas para adequar tais atividades às normas relativas à privacidade e proteção de dados pessoais, comprovando-se a eficácia e eficiência de tais medidas.

5.7. Hipóteses autorizadoras (bases legais para o tratamento de dados pessoais)

Para que uma atividade de tratamento seja lícita e adequada à LGPD, ela deve ser fundamentada em uma das hipóteses a seguir.

5.7.1. Cumprimento de obrigação legal ou regulatória

Existência de lei, norma, decisão judicial ou regulação vigente, pela qual o tratamento se torna obrigatório (e não opcional).

Exemplos:

  • arquivamento de notas fiscais;
  • manutenção de documentos conforme exigências do Banco Central, SUSEP e CVM;
  • controle de ponto de colaboradores;
  • envio de dados ao e-Social.

5.7.2. Execução de contrato ou procedimento preliminares ao contrato

Quando necessário o tratamento para a execução de contrato ou de procedimentos preliminares relacionados a um contrato, do o titular seja parte.

Exemplos:

  • entrega de produtos e prestação de serviços aos clientes;
  • atendimento a clientes;
  • recrutamento e seleção;
  • pagamento de colaboradores;
  • fornecimento de benefícios aos colaboradores.

5.8. Exercício regular de direito

Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, em trâmite ou futuro.

Exemplos:

  • arquivo de processos judiciais;
  • arquivo de documentos para defesa em processos trabalhistas;
  • procurações para atuação em processos judiciais ou administrativos;
  • documentos de comprovação para obtenção de benefícios fiscais.

Para o tratamento de dados sensíveis, a legislação prevê que o exercício regular de direito também será aplicável no âmbito contratual.

5.8.1. Tutela da saúde

Para garantir a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.

Exemplos:

  • procedimentos de Medicina do Trabalho;
  • exames laboratoriais.

5.8.2. Proteção da vida ou incolumidade física

Para garantir a proteção da vida ou incolumidade física do titular ou de terceiros, quando em iminente perigo.

Exemplo:

  • atendimentos médicos de emergência.

5.8.3. Legítimo interesse

Para garantir a continuidade da atividade econômica/operação dos agentes de tratamento, desde que o titular dos dados tenha expectativa quanto à atividade de tratamento.

Exemplos:

  • estudos e relatórios internos sobre as atividades da companhia;
  • avaliações de desempenho de colaboradores;
  • oferta de serviços adicionais a titulares que já são clientes;
  • auditorias internas.

Embora a Lei Geral de Proteção de Dados Pessoais não elenque explicitamente a prevenção à fraude como uma base para o tratamento de dados pessoais, essa hipótese é abarcada pelo legítimo interesse.

5.9. Consentimento

Pode ser utilizado para fundamentar qualquer atividade de tratamento, desde que seja livre, informado e inequívoco. Contudo, o tratamento realizado com base unicamente no consentimento fica restrito à vontade do titular, que pode, a qualquer tempo, revogar o consentimento concedido.

Base legal Permite o tratamento de dados pessoais? Permite o tratamento de dados sensíveis? Permite o tratamento de dados de criança?
Cumprimento de obrigação legal ou regulatória SIM SIM NÃO
Execução de contrato ou procedimentos preliminares ao contrato SIM NÃO NÃO
Exercício regular de direito SIM SIM** NÃO
Tutela da saúde SIM SIM NÃO
Proteção da vida ou incolumidade física SIM SIM NÃO
Proteção ao crédito SIM NÃO NÃO
Proteção à fraude e à segurança do titular NÃO* SIM NÃO
Legítimo interesse SIM NÃO NÃO
Consentimento SIM SIM SIM

Toda a companhia também deverá observar a Política de Consentimento, de forma a garantir que:

  • o registro documentado do consentimento (por exemplo, a hora em que o consentimento foi fornecido, a identificação do titular de dados e a declaração de consentimento), de modo a fornecer, mediante solicitação do titular dos dados, os detalhes do consentimento;
  • será dado livremente;
  • será específico quanto à finalidade do processamento; e
  • será obtido de forma inequívoca e explícita.

Em todas as atividades de coleta e uso de dados pessoais, deverá ser observada a Política de Exercício dos Direitos dos Titulares, com objetivo de garantir os direitos apresentados a seguir.

  • Confirmação de existência de tratamento: tem como principal finalidade garantir ao titular, caso este requisite, a confirmação de que seus dados pessoais são tratados pelo controlador/operador.
  • Acesso: tem como objetivo garantir ao titular o conhecimento de quais dados pessoais seus estão sendo tratados pelo controlador /operador.
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a legislação: em caso de tratamento de dados desnecessários, excessivos ou em desconformidade com a legislação, será garantido aos titulares o direito de anonimização, bloqueio ou eliminação desses dados.
  • Eliminação de dados pessoais tratados com base no consentimento: em caso de tratamento de dados com base exclusivamente no consentimento, estes poderão ser anonimizados, bloqueados ou eliminados, a pedido do titular.
  • Portabilidade de dados a outro fornecedor de serviço ou produto: confere ao titular o direito de que seus dados pessoais tratados pela ORIZON sejam compartilhados com terceiros, em formato estruturado, de modo que estes possam utilizar dessas informações para a prestação de seus serviços e/ou fornecimento de produtos ao titular.
  • Revisão de decisões automatizadas: garante ao titular dos dados pessoais contestar as decisões tomadas com base unicamente em tratamento automatizado e que afetem seus interesses, como por exemplo, quando há construção de um perfil pessoal, profissional, de consumo, de crédito etc.
  • Correção de dados incompletos, inexatos ou desatualizados: garante aos titulares a correção de dados pessoais imprecisos ou a complementação de dados incompletos, a depender dos propósitos do tratamento.
  • Informação das entidades públicas e privadas com as quais o controlador realizou o uso compartilhado de dados: garante ao titular o direito de ser informado sobre os terceiros com os quais o controlador compartilhou seus dados.
  • Informação sobre a possibilidade de não fornecer o consentimento e as consequências da negativa: nas atividades de tratamento que exigirem o consentimento do titular, a este deverá ser dada a oportunidade de não fornecer o consentimento. Nesses casos, as consequências do não fornecimento deverão ser informadas ao titular.
  • Revogação do consentimento: garante ao titular o direito de revogar o consentimento, impedindo assim a continuidade das atividades de tratamento realizadas unicamente com fundamento nessa base legal.

5.10. Descarte de dados pessoais

Os dados e informações utilizados pela ORIZON nos processos em que ela seja a controladora e que estejam em unidades físicas, sejam locais ou em cloud (nuvem), ou em qualquer outro meio digital, bem como os dados registrados em papel, serão descartados tão logo findem os processos que se utilizam desses dados pessoais e/ou por solicitação do titular, desde que não prevaleça nenhuma outra legislação e/ou regulação setorial que impeça, de maneira a preservar a confidencialidade das informações, de acordo com inciso XIV do artigo 5º da LGPD.

6. DA LEI GERAL DE PROTEÇÃO DE DADOS

Aplica-se, independentemente de suas atribuições e responsabilidades, a todos os colaboradores da companhia a Lei Federal nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados (“LGPD”), no que se refere ao tratamento de dados realizado pela ORIZON, bem como por terceiros que o fazem em seu nome. Para os fins de aviso, aplicar-se-ão aos mesmos termos as definições dispostas no artigo 5º da LGPD. Caso você tenha alguma dúvida sobre os termos utilizados neste normativo, sugerimos consultar a tabela abaixo:

Termo Definição
Dado pessoal Qualquer informação relacionada a pessoa natural, direta ou indiretamente, identificada ou identificável
Dado pessoal sensível Categoria especial de dados pessoais referentes a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referentes à saúde ou à vida sexual, dados genéticos ou biométricos relativos a pessoa natural
Titular Pessoa natural a quem se referem os dados pessoais, tais como antigos, atuais ou potenciais clientes, colaboradores, contratados, parceiros comerciais e terceiros
Tratamento Toda operação realizada com dados pessoais, como as que se referem a: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração
Anonimização Processo por meio do qual o dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, considerados os meios técnicos razoáveis e disponíveis no momento do tratamento

Os colaboradores se obrigam a respeitar todos os normativos da ORIZON sempre que utilizarem dados pessoais acessados em razão da relação de trabalho, se abstendo de extrair, copiar, compartilhar, transmitir ou publicar qualquer dado relativo a pessoas naturais, inclusive dados pessoais relacionados a outros empregados, fornecedores, clientes etc. Esta cláusula de privacidade se aplica em conjunto com as demais políticas aplicáveis à relação entre as partes. Eventuais alterações poderão ser feitas a qualquer momento e serão devidamente comunicadas aos colaboradores, a fim de garantir máxima transparência.

6.1. Do Encarregado de dados

Em conformidade com o art. 41 da Lei nº 13.709/2018, a ORIZON indicou o encarregado pelo tratamento de dados pessoais, divulgando sua identidade e informações de contato, de forma pública, clara e objetiva, tendo como atribuições e responsabilidades:

  • aceitar reclamações e comunicações dos titulares, internos e/ou externos, prestando esclarecimentos e adotando as devidas providências;
  • receber todas as comunicações das autoridades nacionais, adotando as devidas providências;
  • orientar todos os colaboradores e contratados terceiros a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • executar todas as demais atribuições determinadas pela ORIZON ou estabelecidas em normas complementares.