ENTENDENDO O GUIA DE BOAS PRÁTICAS DA ACX DERIVADOS DE PETRÓLEO LTDA

O Brasil, seguindo uma tendência mundial de regulação do uso de dados pessoais, aprovou em agosto de 2018 a Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018). Essa lei impacta todos os setores da economia, exigindo que organizações revisem suas práticas e adaptem seus processos.

Essa Lei versa sobre o tratamento de dados pessoais, dispostos em meio físico ou digital, feito por pessoa física ou jurídica de direito público ou privado e engloba um amplo conjunto de operações efetuadas em meios manuais ou digitais.

Nesse contexto, nasce este guia de boas práticas, cujo objetivo é fornecer orientações das boas práticas e da governança à empresa, no que tange às perações de tratamento de dados pessoais, conforme previsto no art. 50 da LGPD.

Importante ressaltar que a adequação em relação à LGPD envolve uma transformação cultural que deve alcançar os níveis estratégico, tático e operacional da empresa. Essa transformação envolve: considerar a privacidade dos dados pessoais do cidadão desde a fase de concepção do serviço até sua execução, bem como e promover ações de conscientização de todo corpo funcional no sentido de incorporar o respeito à privacidade dos dados pessoais nas atividades institucionais cotidianas.

Este documento, que será atualizado, aperfeiçoado, ampliado permanentemente, tem por objeto o contato inicial e a familiarização com o novo universo da proteção e tratamento de dados pessoais. Neste momento, não há aqui o propósito de se apresentar uma metodologia de implementação da LGPD ou abranger e esgotar todos os aspectos de tal Lei, uma vez que algumas diretrizes de proteção de dados da LGPD necessitam de detalhamento, em regulamentos e procedimentos próprios, a serem editados pela Autoridade Nacional de Proteção de Dados.

 

 

 

PROGRAMA DE GOVERNANÇA

No contexto de adequação à LGPD e para garantir o efetivo cumprimento das suas disposições, é altamente recomendável que as empresas adotem programas de governança em privacidade, cujo objetivo é o exercício de autoridade e controle (planejamento, monitoramento e execução) sobre a gestão de ativos de dados.

A governança de dados é responsável por definir e acompanhar o cumprimento de estratégias para gerir os dados da empresa, incluindo a definição de políticas, diretrizes, papéis, responsabilidades e processos de Gestão de Dados.

Este programa deve estabelecer, por exemplo, condições, regimes e procedimentos internos para o tratamento de dados pessoais, normas de segurança da informação, padrões técnicos, alocação de responsabilidades e obrigações aos diversos colaboradores envolvidos nas atividades de tratamento, ações educativas, mecanismos internos de supervisão e mitigação de riscos, procedimentos de resposta a incidentes de segurança, entre outros.

A adoção de políticas de boas práticas e governança não apenas auxilia a empresa a cumprir com as obrigações estabelecidas pela LGPD, como evidencia os esforços nesse sentido. E o presente Guia de Boas Práticas e Governança visa:

Demonstrar o comprometimento da empresa em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

Ser aplicável a todo o conjunto de dados pessoais que estejam sob o controle da empresa, independentemente do modo como se realizou sua coleta;

Ser adaptado à estrutura, à escala e ao volume das operações da empresa, bem como à sensibilidade dos dados tratados;

Estabelecer políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

Ter o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

Estar integrado a sua estrutura geral de governança de forma a estabelecer e aplicar mecanismos de supervisão internos e externos; e

Contar com planos de resposta a incidentes e remediação.
 

 

ETAPAS PROGRAMA DE GOVERNANÇA EM PRIVACIDADE
 

 

 

​

​

​

​

​

​

​

​

​

​

​

​

​

 

ENTENDENDO A PROTEÇÃO DE DADOS

Para que seja possível compreender como ocorre a proteção de dados pelas pessoas jurídicas ou naturais controladoras, é de extrema importância a compreensão dos conceitos e agentes responsáveis por esta proteção, bem como dos princípios que norteiam o tratamento de dados realizado pela empresa, conforme disposto na Lei Geral de Proteção de Dados.


3.1 Figuras da LGPD

 

 

​
 

 

 

 

 

 

 

 

 

 

 

 

“Titular”: pessoa natural, pessoa física, identificada ou identificável, a quem aqueles dados se referem. Portanto, que de forma direta ou indireta, seja possível levar a identificação do seu titular.

“Controlador”: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de Dados Pessoais.

“Dado Pessoal”: dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa, bem como nome, prenome, estado civil, filiação e endereço, e-mail e telefone, ou seja, informações sob sua identidade, tais como nome, endereço, número de telefone, documentos pessoais e endereço de email, etc.

“Dado Pessoal Sensível”: Nem todo dado pessoal é sensível, apenas aqueles assim classificados pela LGPD. Dado pessoal sensível guarda relação com as características da personalidade do indivíduo e suas preferências. Como dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

“Dado anonimizado e pessoa identificável”: dado anonimizado é o oposto de dado pessoal, ou seja, é o dado que não pode ser associado a um indivíduo. É importante notar que ainda que um dado não esteja direta e explicitamente associado a uma pessoa identificada, ele pode ser considerado um dado pessoal (e não anônimo) sempre que for possível associá-lo a um indivíduo utilizando os meios técnicos disponíveis na ocasião.

“Tratamento de dados”: é toda operação realizada com dados pessoais – da coleta ao descarte, incluindo o mero armazenamento. A LGPD menciona expressamente diversos outros exemplos: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

“Encarregado” (DPO): pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os Titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

“Operador” ou “Agente”: pessoa natural ou jurídica que realiza o tratamento de Dados Pessoais em nome do controlador.

“Produtos e Serviços”: produtos ou serviços cuja comercialização/prestação seja feita sob a marca da empresa.

“Tratamento”: toda operação realizada com Dados Pessoais , como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
 

DOS PRINCÍPIOS NORTEADORES DA LGPD

A empresa trabalha diariamente para proteger a privacidade e manter a segurança seus Dados Pessoais que controla, seguindo os seguintes princípios ao efetuar o tratamento de dados pessoais:
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
 

 

A LEI GERAL DE DADOS PESSOAIS NÃO SE APLICA:

 

Importante esclarecer que a LGPD se aplica apenas a dados de pessoas naturais, não garantindo a privacidade de dados em hipóteses em que não há a identificação do titular de dados. Deste modo, verifica-se que a Proteção de Dados não se aplica a:

Dados que identifiquem pessoas jurídicas (como razão social e CNPJ);

Dados anonimizados – que não permitem a identificação das pessoas;

Atividades de tratamento realizadas para fins exclusivamente particulares e não econômicos;

Atividades de tratamento com fins jornalísticos e artísticos;

Atividades de tratamento com fins acadêmicos; e

Atividades de tratamento realizadas pelo poder público ou por entidade privada agindo em nome do poder público com fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais.
 

​

DOS DIREITOS DO TITULAR DE DADOS
 

O direito mais elementar da pessoa física em termos de proteção de dados é o de titularidade de seus dados pessoais (artigo 17 da LGPD).

Significa que, ao permitir o tratamento de seus dados pessoais, de modo algum e em nenhuma circunstância, a pessoa transfere a outrem a condição de dono de seus próprios dados pessoais. O titular dos dados pessoais tem o direito de requisitar do controlador, a qualquer momento:

 

​
 

 

 

 

 

 

 

 

 

 

 

 

 

a confirmação da existência de tratamento de algum tratamento com os Dados Pessoais do respectivo titular; o acesso aos dados pessoais mantidos pelo controlador, podendo requisitar uma cópia eletrônica da informação que temos sobre o respectivo titular de dados; a correção de dados incompletos, inexatos ou desatualizados, podendo solicitar tais alterações na armazenagem dos dados pelo controlador; Solicitar a anonimização, bloqueio ou eliminação de Dados Pessoais desnecessários e excessivos; Solicitar a portabilidade dos Dados Pessoais a outro fornecedor de produtos ou serviços similares; Solicitar a eliminação dos Dados Pessoais coletados e utilizados com base no seu consentimento; Obter informações sobre as entidades públicas ou privadas com as quais compartilhamos os seus Dados Pessoais; Quando a atividade de tratamento necessitar do seu consentimento, você pode se negar a consentir. Nesse caso, lhe informaremos sobre as consequências da não realização de tal atividade; Quando a atividade de tratamento necessitar do seu consentimento, a qualquer momento você poderá revogá-lo.
 

 

 

DAS HIPÓTESES DE TRATAMENTOS DE DADOS PESSOAIS NA EMPRESA

 

O tratamento de dados pessoais só pode ser realizado em dez hipóteses estabelecidas pela LGPD. Essas hipóteses são conhecidas como bases legais de tratamento. Todavia, a empresa efetua o tratamento de dados pessoais somente mediante o fornecimento de consentimento pelo respectivo titular, ou, excepcionalmente, nas hipóteses autorizativas previstas pela LGPD.

O consentimento do titular de dados dentro da EMPRESA, no entanto, respeita requisitos estabelecidos pela legislação:

Livre: o consentimento deve refletir uma manifestação livre da vontade do titular. Ou seja, o titular dos dados não pode ser compelido a consentir com o tratamento.

Informado: o titular deve ter recebido informações claras, objetivas e suficientes para decidir de maneira consciente se concorda com o tratamento de seus dados pessoais para as finalidades mencionadas.

Inequívoco: o consentimento deve ser demonstrado de maneira inequívoca. Isso pode ser feito por escrito ou por outros meios que demonstrem a vontade do titular, desde que não deixem dúvidas (por exemplo, gravação de uma ligação telefônica).

Relacionado a uma finalidade determinada: o titular de dados deverá autorizar o tratamento de dados.

Dentre as demais hipóteses legais autorizativas para o tratamento de dados, a empresa poderá utilizar:

Cumprimento de obrigação legal ou regulatória pelo controlador.

Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular.

A pedido do titular dos dados.

Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

Para a proteção da vida ou da incolumidade física do titular ou de terceiros.

Para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos Dados Pessoais.

Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
 

 

QUAIS INFORMAÇÕES A EMPRESA COLETA?
 

Coleta as informações que o titular fornece e que são essenciais para o bom desenvolvimento do relacionamento contratual entre as partes, e que inclui:

Dados Pessoais – como nome, número de documentos CPF/CNPJ, endereço, e-mail, data de nascimento, estado civil, número de telefone, etc.

 

​

 

 

 

 

A EMPRESA NÃO COLETA DADOS SENSÍVEIS para operacionalizar suas atividades. Entretanto, caso colete dados considerados sensíveis, estes serão protegidos e tratados com extremo rigor, conforme determina as diretrizes da Lei Geral.

A EMPRESA coleta apenas as informações essenciais para o exercício de suas atividades e prestações de serviços.
 

 

DAS FONTES DE COLETA DADOS PESSOAIS NA EMPRESA
 

Seus dados pessoais podem ser coletados pela empresa, da seguinte forma:

Os dados de clientes são coletados pelo setor comercial, que por sua vez passa para o setor de programação e faturamento. São coletados os dados da pessoa jurídica e os dados dos colaboradores (nome, telefone e e-mail), para entrega e envio de Nota Fiscal.

Formulários de Registro de Dados Cadastrais - Formulários impressos ou digitais, que solicitam a atualização dos dados cadastrais de nossos clientes;

Suporte Operacional. Comunicações com nosso Suporte Operacional;

E-mail, Mensagens de Texto e Outras Mensagens Eletrônicas - Interações que realizamos com você como comunicações eletrônicas enviadas pela empresa por e-mail, por exemplo;

Interação com nossos Produtos: Utilização e interação com os nossos Produtos e Serviços;

Contratos – Ao contratar com a empresa você fornece dados essenciais á respectiva prestação de serviços (venda de produtos);

Cookies ou Dados de Navegação - Os cookies coletam dados de forma automática, por meio de cookies relacionados ao sítio eletrônico, e serão esclarecidos no item 3.3 desta Política.
 

 

COOKIES OU DADOS DE NAVEGAÇÃO
 

Os cookies são um pequeno arquivo adicionado ao seu dispositivo ou computador quando o usuário visita as Páginas da ACX, e são amplamente utilizados para fazer os sites funcionarem, ou funcionarem de forma mais eficiente, bem como para fornecer uma experiência personalizada de acesso e fornecer informações aos proprietários do site.

Informações são relacionadas aos dados de acesso como local e horário de acesso e são armazenadas pelo navegador do usuário e visitante para que o servidor da plataforma possa lê-las posteriormente a fim de personalizar os serviços da plataforma. O cookie persistente permanece no disco rígido do usuário e visitante depois que o navegador é fechado e será usado pelo navegador em visitas subsequentes ao site. Os cookies persistentes podem ser removidos seguindo as instruções do seu navegador.

Já o cookie de sessão é temporário e desaparece depois que o navegador é fechado. É possível redefinir seu navegador da web para recusar todos os cookies, porém alguns recursos da plataforma podem não funcionar corretamente se a capacidade de aceitar cookies estiver desabilitada.

Neste sentido, ao utilizar as plataformas disponibilizadas e de titularidade Da EMPRESA o usuário manifesta conhecer e aceitar que pode ser utilizado um sistema de coleta de dados de navegação mediante à utilização de cookies.

Importante que o titular de dados fique sempre atento à Politica de Privacidade de Dados das Empresas com as quais se relaciona.
 

 

O COMPARTILHAMENTO DE DADOS
 

Para que a EMPRESA possa cumprir determinados dispositivos legais e contratuais, contará com outras empresas que auxiliam a entregar esses Serviços, e em alguns casos, para que essas empresas possam prestar seus serviços, é preciso compartilhar Dados com elas.

Entretanto o parceiros da empresa somente são autorizados a utilizar os Dados Pessoais para os fins específicos que eles foram contratados, mediante

a) oferta de termo de confidencialidade e

b) compromisso contratual de adequação às regras contidas na LGPD a fim de garantir a proteção dos Dados Pessoais e não utilização para outras finalidades.

A ACX DERIVADOS DE PETRÓLEO como responsável pelo tratamento de Dados Pessoais dos seus clientes e colaboradores exige, contratualmente, que os seus fornecedores e parceiros, criteriosamente escolhidos, atuem de forma segura e adotem todas as medidas de segurança técnicas para garantir o cumprimento da legislação aplicável quanto à proteção e privacidade de Dados Pessoais e, adicionalmente, desta Política.

Dentro deste contexto, a EMPRESA poderá compartilhar dados pessoais com:

Agências de análise de crédito/cobrança de dívidas: Empresas externas que utilizadas para verificação de crédito ou para cobrar boletos vencidos.

Terceiros que usam Dados Pessoais por motivos legais e contratuais ou devido a fusão/aquisição: há o compartilhamento de Dados Pessoais a terceiros por motivos legais ou no contexto de uma fusão ou aquisição.

Caso haja a necessidade que transferir Dados Pessoais para outros países, que possam ter leis e requisitos de proteção de dados diferentes daqueles que se aplicam ao Brasil, a ACX DERIVADOS DE PETRÓLEO adotará todas as medidas para proteger os dados pessoais, a exemplo de adoção de cláusulas contratuais que impõem aos terceiros com quem compartilhamos os Dados Pessoais às mesmas medidas de proteção adotadas pela EMPRESA.
 

 

​

​

​

​

​

DA POLÍTICA DE ARMAZENAMENTO DE DADOS
 

Este tópico tem como objetivos descrever como a empresa armazena os dados e quais as políticas que são aplicadas indicando quais são as práticas adotadas pela empresa para possibilitar uma melhor adequação no uso dos dados por seus colaboradores.

As políticas de tratamento de dados são normas que deverão ser implantadas, para garantir a segurança, confiabilidade e integridade dos dados que são pertinentes ao uso restrito das empresas pertencentes a EMPRESA. Estas práticas vão desde a responsabilidade dos colaboradores perante os tratamentos dos dados, até as ferramentas e configurações que serão implantadas para garantir que as políticas sejam seguidas.

12.1 - Política de Armazenamento de arquivos locais

Os arquivos locais são quaisquer arquivos armazenados nas plataformas internas da empresa e de seus colaboradores, estes arquivos normalmente são de uso cotidiano dos usuários, e deverão ser apagados quando o usuário finaliza sua sessão em sua pasta local. Caso o usuário esteja tratando arquivos que serão usados por um setor, ou que será continuamente editado, o mesmo deverá salvá-lo em rede conforme as politicas de armazenamento de arquivos em rede. Abaixo tabela descritiva:

 

 

 

 

​

​

​

​

 

 

12.2 Política de armazenamento de arquivos em rede

Os arquivos em rede são os arquivos de uso dos colaboradores que possuem políticas de controle de acesso, pertinente ao setor/grupo que os mesmos pertencem e que estão armazenados na rede local da empresa. Cada setor possui um diretório compartilhado com os demais colaboradores de seu setor, e um diretório exclusivo do usuário, que além do próprio usuário, somente o responsável do setor tem acesso.

Existe uma política de armazenamento dos arquivos em rede, onde somente arquivos sem dados pessoais de clientes, colaboradores e parceiros podem ser armazenados. Arquivos com este tipo de informação são armazenados em sistema, e caso sejam localizados arquivos com estes dados em rede, eles serão excluídos e o colaborador responsável penalizado. Os arquivos são armazenados em um servidor rede, que fica localizado na estrutura física da empresa. A seguir tabela descritiva:

 

 

 

 

 

 

 

 

 

 

12.3 Política de armazenamento de arquivos em sistema

Os arquivos do sistema são os arquivos com informações dos colaboradores, clientes e parceiros. Estes arquivos e informações são organizados e armazenados diretamente na solução do sistema, e cada colaboradores tem um usuário com suas permissões de acesso de acordo o nível hierárquico/setor.

O sistema utilizado até a criação deste documento é GLOBUS PRAXIO (BGM RODOTEC TECNOLOGIA E INFORMÁTICA LTDA) e através do sistema é possível definir as diretivas de armazenamento e auditoria destes arquivos. O sistema e os dados ficam armazenado no SERVIDOR, na estrutura da empresa. A seguir tabela descritiva:

​

​

​

 

 

 

 

 

 

 

12.4 Política de armazenamento de e-mail

Os arquivos de e-mail são as trocas de mensagens dos colaboradores entre sim, parceiros e clientes. Cada colaborador possui um e-mail próprio, cadastrado com o domínio da empresa. Os e-mails são armazenados no SERVIDOR e gerenciados internamente.

Existe uma política de armazenamento de e-mail, onde não é permitido o colaborador deixar armazenado em seu e-mail trocas de e-mails contendo dados pessoais de colaboradores, clientes e parceiros, após a finalização da troca de mensagens por mais de 3 dias, onde estes dados e registros devem ser inseridos no sistema conforme tópico 2.3 Política de armazenamento de arquivos no sistema. O colaborador que contiver estes dados em seu e-mail após o período será penalizado.

 

 

 

 

 

 

 

 

 

​

12.5 Política de armazenamento em dispositivos móveis

Alguns colaboradores possuem dispositivos móveis para comunicação interna e externa por voz. Alguns colaboradores também utilizam o dispositivo móvel para troca de mensagens de texto pelo aplicativo WhatsApp, onde é possível armazenar dados de contatos pessoais de outros colaboradores e clientes, além de trocas de informações pelo aplicativo.

As regras internas da empresa exigem de seus colaboradores total sigilo e confidencialidade com os dados de terceiros aos quais possuírem acesso em virtude de suas atividades, não sendo permitido ao colaborador compartilhar dados de contatos do dispositivo. Toda informação que contenha dados pessoais trocadas pelo aplicativo WhatsApp deve ser excluída do dispositivo após o uso. A Orientação é a não obtenção de dados pessoais pelos nossos colaboradores e a utilização do aplicativo WhatsApp, onde será pré-configurado a mensagem:
“Aviso de Privacidade”: A ACX DERIVADOS DE PETRÓLEO LTDA não coleta dados pessoais para a efetuar o suporte de sistema. Qualquer dado pessoal compartilhado com nossos colaboradores será imediatamente excluído ou anonimizado após o término do atendimento. Em caso de dúvidas sobre a nossa política de privacidade, consulte nosso site”.

A seguir tabela descritiva:

​

​

​

​

​

​

​​

​

​

​

RETENÇÃO E EXCLUSÃO DOS DADOS PESSOAIS
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

A ACX DERIVADOS DE PETRÓLEO LTDA manterá o armazenamento e arquivo dos Dados Pessoais somente pelo tempo que for necessário para cumprir com as finalidades para as quais foram coletados, inclusive para fins de cumprimento de quaisquer obrigações legais, contratuais, de prestação de contas ou requisição de autoridades competentes.

A EMPRESA poderá reter alguns dados pessoais por períodos adicionais para cumprimento de obrigações legais ou regulatórias, para o exercício regular de direitos, eventuais ações judiciais, fins de auditoria de diversas naturezas, ou outros prazos definidos e fundamentados por bases legais que justifiquem a retenção destes dados.

Desta forma, dentro da EMPRESA os Dados Pessoais são eliminados ao término da relação contratual que originou a sua coletam, ou sempre que:

For verificado que a finalidade não contratual foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;

Houver o fim do período de tratamento;

Houver a comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento, resguardado o interesse público; ou

Por determinação da autoridade nacional.
 

 

MEDIDAS DE SEGURANÇA E PROTEÇÃO DE DADOS UTILIZADAS PELA EMPRESA
 

Os Dados Pessoais coletados são protegidos de modo a aprimorar continuamente a segurança e a confiabilidade dos serviços e atividades empreendidos pela ACX DERIVADOS DE PETRÓLEO LTDA, e se pauta em três pilares fundamentais:

a confidencialidade, a integridade, e a disponibilidade das informações que gerimos.

Como parte do compromisso e em conformidade com a legislação aplicável, a EMPRESA adotou todas as medidas de segurança para evitar qualquer incidente, utilizando práticas de segurança adequadas para o nosso mercado, com o uso de técnicas de criptografia, controle de acesso, gestão de registros e outras medidas de segurança da informação, técnicas e administrativas, aplicáveis, para evitar e minimizar os riscos relacionados ao tratamento de dados.

Desenvolvemos uma política interna de boas práticas de segurança, bem como optamos pelo uso de sistemas estruturados de forma a atender aos requisitos de segurança para o tratamento dos Dados Pessoais, sempre atendendo padrões de boas práticas e de governança e princípios gerais previstos nas legislações vigentes e demais normas, garantindo a proteção das suas informações.

A EMPRESA armazenará os dados que controla em servidores próprios ou por ela contratados. Desta forma, adota as seguintes precauções, em observância às diretrizes sobre padrões de segurança estabelecidas da legislação, tais como:

Utilização dos métodos padrão e de mercado para criptografar e anonimizar os dados coletados;

Efetuará a proteção contra acesso não autorizado aos seus aos seus sistemas;

Somente autorizará o acesso de pessoas previamente estabelecidas ao local onde são armazenadas as informações coletadas;

Aqueles que entrarem em contato com as informações deverão se comprometer a manter sigilo absoluto, mediante assinatura de termo de confidencialidade e afins. A quebra do sigilo acarretará responsabilidade civil e o responsável será responsabilizado nos moldes da legislação brasileira; e

Manutenção do inventário de dados indicando momento, duração, identidade do funcionário, ou do responsável pelo acesso e o arquivo objeto, com base nos registros de conexão e de acesso a aplicações.

A ACX DERIVADOS DE PETRÓLEO LTDA adota os melhores esforços, no sentido de preservar a privacidade dos dados dos Usuários. Entretanto, nenhum site é totalmente seguro e por esse motivo, nós incentivamos os clientes a tomar as medidas apropriadas para se proteger, como, por exemplo, manter confidenciais todos os nomes de usuário e senhas.

 

 

DA VIOLAÇÃO DE DADOS
 

A violação de dados ocorre quando a empresa/organização sofre um incidente de segurança relativo aos dados pelos quais é responsável que resulta numa violação da confidencialidade, da disponibilidade ou da integridade dos dados, ou seja, é uma violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

A ACX DERIVADOS DE PETRÓLEO considera que é importantíssimo garantir a proteção a violação de dados pessoais realizado de forma legítima, correta e transparente para o sucesso de suas atividades, bem como para resguardar sua imagem e credibilidade perante seus colaboradores, clientes, parceiros, fornecedores, promovendo a conscientização em toda a empresa em relação à proteção quanto a violação de Dados Pessoais.

Neste contexto a ACX DERIVADOS DE PETRÓLEO desenvolveu uma política interna de violação de dados com prazo de notificação para proteger os direitos dos colaboradores, clientes, fornecedores, parceiros e terceiros contra os riscos de violações de Dados Pessoais.

15.1 Incidentes de Privacidade:

É essencial que todos relatem quaisquer incidentes de privacidade que possam gerar risco de dano aos Titulares de dados pessoais e viole esta Política, assegurando assim a proteção dos padrões éticos adotados pela ACX DERIVADOS DE PETRÓLEO reservando sua imagem e credibilidade no mercado. A empresa manterá canal para o público interno e externo para recebimento de relatos de incidentes. Estes serão recebidos pela área responsável, que verificará o ocorrido e procederá à aplicação do Plano de Respostas a Incidentes.

15.2 Comunicação, treinamentos e dúvidas

A ACX DERIVADOS DE PETRÓLEO manterá um plano de comunicação e treinamento periódico e constante para seus colaboradores com intuito de divulgar e conscientizar da importância do cumprimento das diretrizes e regras dessa Política e da Lei Geral de Proteção de Dados.

É de responsabilidade de todos os Líderes divulgar para seus liderados o conteúdo desta Política e conscientizá-los sobre a necessidade e importância de sua observância e incentivá-los a apresentar dúvidas com relação a sua aplicação.

Feitas as recomendações básicas necessárias, todos os colaboradores terão à disposição o atendimento do Encarregado de Proteção de Dados Pessoais para quaisquer situações, exceções e/ou esclarecimentos sobre a aplicação desta Política.
 

 

DA COMPETÊNCIA DO ENCARREGADO DE TRATAMENTO DE DADOS PESSOAIS (DPO)
 

O Encarregado de Tratamento de Dados Pessoais é o agente responsável pelo tratamento de dados nas empresas da EMPRESA, e a ele compete:

Efetuar o tratamento de Dados Pessoais apenas com o propósito de bem e fiel cumprir os fins a que se destinam, ou mediante autorização expressa do titular dos dados.

Manter procedimentos administrativos adequados à prevenção de extravio ou perda de quaisquer documentos ou informações confidenciais, bem como executar a política interna de proteção de dados, devendo comunicar à empresa, imediatamente, a ocorrência de incidentes desta natureza, o que não excluirá sua responsabilidade.

Aceitar reclamações e comunicações dos titulares de dados, prestar esclarecimentos e adotar providências.

Orientar e prestar aconselhamento a funcionários e terceiros contratados sobre práticas obrigatórias para proteção de dados; controlar a realização das avaliações e auditorias pertinentes e cooperar com autoridades de controle ou em caso de solicitação judicial de dados.

Ser o ponto de contato para autoridade nacional, titulares dos dados e processadores de dados, em particular fornecendo informações, alterando licenças e aplicando punições cabíveis ao não cumprimento dos termos de proteção de dados internos.
 

 

DAS ATUALIZAÇÕES DO GUIA DE BOAS PRÁTICAS E GOVERNANÇA
 

Este Guia de Boas Práticas e Governança poderá ser revisado a qualquer tempo e sem prévio aviso, levando-se em consideração a legislação aplicável e as mudanças organizacionais que ocorram a qualquer momento, a fim de manter sua pertinência e eficácia.
 

 

DO CANAL DE COMUNICAÇÃO
 

Como forma de atuação a ACX DERIVADOS DE PETRÓLEO já possui Encarregados de Dados Pessoais, que recebe do controlador todas as informações que identifiquem eventual atividade de tratamento de dados, entende todo o ciclo de vida dos Dados Pessoais, e atua para que as atividades de tratamento estejam em conformidade aos princípios, direitos e demais normas que constam na Lei Geral de Proteção de Dados.

Nossa equipe desenvolveu processos de orientação e controle de acesso de dados por funcionários e colaboradores, bem como condicionou a prestação de serviços à assinatura do Termo de Conduta, Confidencialidade, Compromisso, Sigilo das Informações Próprias, de Clientes e Parceiros, por todos os nosso funcionários e colaboradores que possam vir ter acesso a Dados Pessoais ou Sigilosos em função do projeto desenvolvido.

Em caso de dúvidas, reclamações ou informações sobre como estamos usando os dados pessoais ou para correção, bloqueio ou exclusão de dados, o titular poderá entrar em contato com o nosso Encarregado de Proteção de Dados.

DPO (encarregado): Cláudia Ap. G. Marques mediante o e-mail: lgpd@acx.com.br