Title Image

Política de Tratamento de Dados Pessoais

introdução

A Presente Política de Tratamento de Dados Pessoais para Fornecedores e Parceiros se destina a todos os fornecedores de produtos ou prestadores de serviços para o Grupo Felidae, suas subsidiárias e afiliadas e, objetiva notificar os Fornecedores e Parceiros sobre a forma como deverão tratar os dados pessoais recebidos ou aos quais tenham tido acesso em razão dos serviços prestados. 

Com a entrada em vigor da Lei Geral de Proteção de Dados Pessoais – Lei nº 13.709/2018 (“LGPD”), precisamos que todos os Fornecedores estejam em conformidade com a LGPD a fim de continuarmos garantindo a proteção dos dados pessoais de todas as pessoas físicas, doravante denominadas “Titulares de Dados”, cujos dados o Fornecedor trate em nome do Grupo Felidae. Por meio desta Política, o Fornecedor será informado sobre os requisitos mínimos que deve seguir para tratar os dados pessoais dos Titulares de Dados, sem prejuízo do contido nos contratos ou aditivos assinados entre Fornecedores e o Grupo Felidae. 

A fim de esclarecer aos seus fornecedores e parceiros as implicações da referida lei, bem como criar regras básicas a serem seguidas por qualquer empresa que queira ou venha contratar com o Grupo Felidae, é que foi criada esta Política.

Nas próximas páginas, você terá acesso às definições mais importantes da lei, entenderá como o Grupo Felidae espera que você atue e saberá como se precaver em relação ao descumprimento da lei. Vale lembrar que as infrações à LGPD podem resultar em multas administrativas de até 50 milhões de reais, além de impactar no seu contrato de prestação de serviços ou de parceria.

Desta forma, o Grupo Felidae espera de você o comprometimento necessário para cumprimento da presente Política, que visa resguardar os direitos não apenas de nossas empresas (contratante e contratada/parceira), mas também o direito dos titulares dos Dados Pessoais.

definições de lgpd

Para efeitos de entendimento e fácil compreensão da política ora criada neste instrumento, serão apresentados as definições legais e conceitos que serão utilizados no decorrer deste documento:

a.         Dados: Parte elementar da estrutura do conhecimento incapaz de, por si só, gerar conclusões inteligíveis ao destinatário, mas computáveis. Representa uma ação não descrita, uma quantidade sem especificar o objeto, por exemplo, dentro da LGPD temos os seguintes tipos de categorização de dados;

b.         Dados pessoais: São todos os tipos de dados que podem levar a identificação de uma pessoa, de forma direta ou indireta. Alguns tipos de dados pessoais incluem (nome completo, RG e CPF, passaporte e carteira de habilitação, endereço, telefone, e-mail, endereço de IP, data de nascimento, localização via GPS, entre outros);

c.         Dados sensíveis: Qualquer informação que relacione com a origem racial, étnica, credo, opinião política, filiação a sindicato; que se referem à saúde ou vida sexual, dados genéticos e biométricos;

d.         Dados anonimizados: Operação que seja realizada com os dados pessoais de forma anônima, sem que haja identificação do indivíduo;

e.         Dados públicos: São dados que ainda públicos podem ser restringidos pelo indivíduo;

f.          ANPD – Autoridade nacional de proteção de dados: Órgão da administração pública direta federal com atribuições relacionadas a regulamentação  e  fiscalização do cumprimento da LGPD;

g.         Titular: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

h.         Controlador: Pessoa natural ou jurídica, a quem competem as decisões referentes ao tratamento de dados pessoais;

i.          Operador: Pessoa natural ou jurídica, que realiza o tratamento de dados pessoais em nome do controlador;

j.          Encarregado de dados: Responsável frente à ANPD e aos titulares indicados pelo controlador – (DPO)  termo em inglês Data Protecion Officer ;

k.         Tratamento de dados: Qualquer operação que seja realizada com os dados pessoais (incluindo: acesso, armazenamento, arquivamento,           classificação, coleta, comunicação, controle, difusão, distribuição, eliminação, extração, modificação,    processamento, produção, recepção, reprodução, transferência, transmissão e utilização;

l.           Cliente: Pessoa natural ou jurídica que contrate os serviços do Grupo Felidae, ou que estejam em vias de contratar serviços;

m.        Colaborador: Pessoa natural que faz parte do quadro de contratados e societário do Grupo Felidae;

n.         Parceiro de Negócio: Pessoa natural ou jurídica que prestas serviços o Grupo Felidae no âmbito das atividades;

o.         Recursos tecnológicos: São todos os recursos físicos e digitais utilizados para criar, armazenar, manusear, transportar, compartilhar e descartar informações. Entre os tipos de recursos podemos destacar: computares de mesa ou portáteis, smartphones, tablets, pen drive, discos externos, mídias, impressoras, scanner, entre outros;

p.         Dispositivo móvel: Entende-se qualquer equipamento eletrônico com atribuições de mobilidade, como: notebooks, smartphones e tablets;

q.         Incidentes de segurança da informação: Ocorrência identificada de um estado de sistema, dados, informações, serviço ou rede, que indica possível violação à esta política, a LGPD, falha de controles, ou situação previamente desconhecida, que possa ser relevante à segurança da informação. São exemplos de Incidentes de Segurança da Informação:

i.             Perda de serviços ou recurso;
ii.            Mau funcionamento ou sobrecarga de sistema;
iii.          Erros humanos;
iv.           Não conformidade com a Política e a Norma;
v.            Observações ou suspeitas de fragilidade em sistemas ou serviços;
vi.           Vazamento de informação de clientes ou pessoas físicas que estejam armazenadas e tratadas em nosso ambiente digital;
vii.         Violações de procedimentos de segurança e violações de acesso.

r.          LGPD – Lei geral de proteção de dados pessoais: Lei de nº 13.709/2018 que “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”;

s.         Criptografia: é a conversão de dados de um formato legível em um formato codificado. Os dados criptografados só podem ser lidos ou processados depois de serem descriptografados.

ATENÇÃO: A definição de Tratamento inclui as ações mais básicas com Dados Pessoais, como o mero acesso ou armazenamento.

compromisso do fornecedor ou parceiro em relação ao tratamento de dados pessoais

O Fornecedor de produtos ou serviços ou o Parceiro são classificados, nos termos da LGPD, como Operadores no tratamento de Dados Pessoais, ou seja, só podem tratar Dados Pessoais de acordo com o previsto no contrato.

No caso de dúvida ou de omissão no contrato, você deve questionar formalmente o Grupo Felidae para que haja pronunciamento oficial. Como o Grupo Felidae é a Controladora do tratamento de dados delegado a você, somente ela pode decidir sobre o tratamento de Dados Pessoais relacionados, direta ou indiretamente, ao contrato, devendo o Fornecedor/Parceiro observar estritamente suas orientações.

Espera que seus Fornecedores e demais Parceiros Comerciais, ao tratar Dados Pessoais em nome do Grupo Felidae ou no âmbito da relação comercial, cumpram com as normas e políticas de proteção de Dados Pessoais praticadas pelo Grupo Felidae, bem como com as normas de privacidade e proteção de dados aplicáveis, inclusive a LGPD e quaisquer outras leis e regulamentos relacionados ao tratamento de dados pessoais e privacidade aplicáveis, bem como com todas as diretrizes e códigos de conduta expedidos pela Autoridade Nacional de Proteção de Dados.

O Fornecedor ou Parceiro deverá garantir que:

a)      Adotou e implementou, e manterá durante o tratamento de dados pessoais dos Titulares de Dados, as medidas organizacionais e técnicas de segurança para proteger os dados pessoais contra destruição indevida, compartilhamento irregular ou não-autorizado, perda acidental, alteração, acesso ou divulgação irregulares e/ou qualquer forma de tratamento inadequado ou ilícito dos dados pessoais;

b)     Que os Dados Pessoais sejam Tratados em acordo com a legislação aplicável, incluindo o Tratamento em consonância com os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, não descriminalização, responsabilização e prestação de contas;

c)      Somente Tratar Dados Pessoais mediante instruções documentadas do Grupo Felidae, e informar imediatamente caso considere que qualquer instrução do Grupo Felidae viola a LGPD ou qualquer lei ou regulamentação aplicável;

d)      Não reutilizar ou compartilhar Dados Pessoais, exceto se instruído ou autorizado pelo Grupo Felidae previamente, ou se exigido pela lei aplicável e, nesse caso, o Fornecedor deverá informar o Grupo Felidae sobre essa exigência legal antes do tratamento;

e)      Não transferir Dados Pessoais para fora do Brasil sem a aprovação prévia por escrito do Grupo Felidae, exceto quando a transferência de dados ocorrer para um país reconhecido pela ANPD como tendo um nível adequado de proteção;

f)      Manter uma estrutura interna adequada para garantir que o Tratamento realizado em nome do Grupo Felidae atenda aos requerimentos de segurança e confidencialidade da LGPD, incluindo a implementação de procedimentos adequados de gerenciamento de direitos de acesso, retenção e segurança dos Dados Pessoais;

g)      Caso perceba que será incapaz de cumprir com os requisitos exigidos pela LGPD, comunicará tal fato imediatamente e por escrito ao Grupo Felidae, que poderá, a seu único e exclusivo critério, suspender a transferência de dados pessoais dos Titulares de Dados e, por decorrência, as atividades dependentes do tratamento dos dados pessoais;

h)      Não subcontratar ou terceirizar o Tratamento dos Dados Pessoais sem autorização prévia e expressa do Grupo Felidae e, ainda assim, sempre mediante contrato escrito impondo as mesmas obrigações estabelecidas pelo Grupo Felidae para seus Fornecedores, incluindo obrigações de segurança e confidencialidade;

i)      Comunicar imediatamente o Grupo Felidae nos casos de (i) identificação ou suspeita de qualquer incidente relacionado aos Dados (eventos de acesso ou divulgação não autorizada de Dados Pessoais e/ou situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito de Dados Pessoais); (ii) qualquer reclamação ou demanda relacionada ao tratamento de Dados Pessoais, incluindo alegações de que o tratamento viola os direitos de um titular de dados; ou (iii) qualquer ordem, emitida por autoridade judicial ou administrativa, que tenha por objetivo solicitar a divulgação, acesso ou bloqueio de Dados Pessoais;

j)      Disponibilizar ao Grupo Felidae todas as informações necessárias para demonstrar o cumprimento com as obrigações aqui elencadas e (i) permitir e contribuir com a realização de auditorias, incluindo inspeções e investigações, e (ii)prestar assistência ao Grupo Felidae, inclusive na realização de avaliações de impacto à proteção de dados e garantia do exercício dos direitos dos titulares;

k)      Se responsabilizar pelo Tratamento de Dados Pessoais que realizar, obrigando-se a manter o Grupo Felidae indene de qualquer obrigação e responsabilidade por eventuais omissões ou erros cometidos pelo Fornecedor – ou por qualquer de seus empregados, prepostos, representantes, terceiros e subcontratados – no Tratamento dos Dados Pessoais, se tratados em desacordo com a Legislação Aplicável ou com as instruções do Grupo Felidae;

l)      Excluir ou devolver todos os Dados Pessoais conforme solicitado pelo Grupo Felidae após o término da prestação dos serviços relacionados ao contrato e excluir cópias existentes, exceto se as leis brasileiras exigirem o armazenamento dos Dados Pessoais;

m)      Manter a confidencialidade de todas as informações do Grupo Felidae que venha a ter acesso, protegendo e não as divulgando para terceiros, salvo se a divulgação for prévia e expressamente autorizada pelo Grupo Felidae.

procedimentos no caso de encerramento do contrato

Quando o seu contrato com o Grupo Felidae for encerrado1, você deve adotar os seguintes procedimentos:

a)              Se você tem acesso aos Dados Pessoais diretamente da estrutura de sistemas do Grupo Felidae, sem realizar qualquer cópia para si, DEVERÁ interromper imediatamente o acesso. Caso o acesso seja necessário mesmo após o encerramento do contrato, você deverá informar o Grupo Felidae de sua necessidade, a fim de que a empresa se pronuncie.

b)              Se você tem em sua posse2 Dados Pessoais que obteve do Grupo Felidae, DEVERÁ reuni-los e devolvê-los ou, ainda, seguir as orientações do Grupo Felidae para sua eliminação ou Anonimização. Caso a manutenção dos Dados Pessoais seja necessária mesmo após o encerramento do contrato, você deverá informar o Grupo Felidae de sua necessidade, a fim de que a empresa se pronuncie.

ATENÇÃO: Será considerada infração contratual o tratamento de Dados Pessoais após o encerramento do contrato com o Grupo Felidae, ainda que mera cópia ou armazenamento, salvo se houver pronunciamento do Grupo Felidae em sentido contrário ou o tratamento de dados se dê por expressa previsão legal ou regulatória.

PROPRIEDADES DE UM ARQUIVO DE COMPUTADOR: Cada arquivo de imagem que você nos envia pode conter informações adicionais em suas “PROPRIEDADES”. As fotos tiradas com um telefone celular podem indicar em suas “PROPRIEDADES” as coordenadas GPS do local onde a foto foi tirada. Por precaução, recomendamos que você remova todos os dados adicionais em “PROPRIEDADES” antes de enviar uma foto para nós.

 

 
 


 

1 Um contrato pode ser encerrado por diversos motivos: vencimento do prazo de vigência, rescisão, resilição, não renovação, etc.

 

2 Por exemplo, cópia de banco de dados, planilhas, relações, etc.

da propriedade dos dados pessoais tratados

Os Dados Pessoais sempre serão de propriedade do Titular, nunca dos agentes de tratamento, o que inclui você e o Grupo Felidae. Sendo assim, em nenhuma hipótese você poderá entender ou alegar que os Dados Pessoais provenientes de sua relação com o Grupo Felidae são de sua propriedade ou que há algum seu direito sobre eles, exceto se a LGPD dispuser expressamente em sentido contrário.

ocorrências relativas aos dados pessoais

Você deverá informar imediatamente ao Grupo Felidae qualquer ocorrência com os Dados Pessoais que estiver tratando em decorrência do contrato firmado entre as partes, tais como, mas sem limite, vazamento, destruição, perda, alteração ou comunicação indevida.

Você também deverá comunicar imediatamente ao Grupo Felidae qualquer intimação ou solicitação de autoridade que atinja o tratamento de Dados Pessoais.

indicação de um encarregado

Você deverá informar ao Grupo Felidae quem é seu Encarregado ou disponibilizar tal informação no site de sua empresa, salvo se houver regulamento da ANPD que o isente desta obrigação.

compartilhamento ou transmissão de dados pessoais com terceiros

Você não deve compartilhar ou transmitir os Dados Pessoais a que teve acesso, direta ou indiretamente, em razão do contrato firmado entre as partes a terceiros sem prévia autorização do Grupo Felidae.

Na contratação com terceiros que tenham acesso aos referidos Dados Pessoais, tais como sistemas, armazenamentos, softwares, entre outros, você deve verificar se o fornecedor se compromete ao cumprimento da LGPD. Ao realizar a contratação você está assumindo integralmente a responsabilidade pelo tratamento de Dados Pessoais que o terceiro realizará.

da segurança e prevenção

O GRUPO FELIDAE empenha seus melhores esforços para promover um alto nível de segurança no Tratamento e armazenamento de Dados Pessoais e informações confidenciais, e espera que o Fornecedor se comprometa de igual maneira. Dentre as práticas mínimas de segurança da informação exigidas, principalmente no Tratamento de Dados Pessoais em que o Grupo Felidae seja controladora, encontram-se:

1.       Informar, sem atraso, se Dados Pessoais ou mídia de armazenamento móvel forem perdidos, copiados sem autorização ou obtidos por espionagem, bem como se houver indícios de quaisquer outras irregularidades relacionadas com o tratamento de Dados Pessoais;

2.       Manter controles de acesso adequados, mantendo logs de acesso, com data, hora e computador responsável pelo acesso a referidos dados, assim como registro das atividades realizadas, bem como limitando o acesso aos Dados Pessoais ao estritamente necessário à prestação de serviços, garantindo, ainda, a segurança, integridade,  confidencialidade e rastreabilidade do acesso aos Dados;

3.       Fornecer aos agentes, empregados e todos os colaboradores treinamento apropriado sobre segurança da informação e proteção de Dados Pessoais;

4.       O sistema deve ser protegido por um software de proteção apropriado, como um verificador de vírus contra ataques mal-intencionados. O software de proteção deve ser mantido atualizado em todos os momentos;

5.       As instalações que armazenam os sistemas ou partes devem ser protegidas por medidas adequadas para evitar a falsificação dos dados, como bloqueios e sistemas de controle contra o acesso de pessoas não autorizadas, em particular se o sistema ou partes não estiverem sob controle visual permanente do Fornecedor;

6.       Proteger os dados pessoais e confidenciais às pessoas autorizadas por meio de um ID de usuário e uma senha pessoal complexa, cuja alteração deve ser forçada pelo menos a cada 180 dias. Se o sistema também for usado por pessoas não autorizadas, é necessário garantir que tais pessoas não possam acessar os dados pessoais;

7.       Se o sistema for conectado à internet ou se o sistema puder ser acessado de outra forma, um firewall configurado apropriadamente ou outras medidas apropriadas devem ser usadas a fim de prevenir acesso externo não autorizado ao sistema;

8.    Se os Dados forem armazenados e transportados por meio de memória móvel, assim como cartões de memória ou CDs ou dispositivos de processamento de Dados, como notebooks, eles devem ser protegidos por uma criptografia forte.          

vistoria técnica

O Grupo Felidae poderá auditar o nível de segurança aplicado por você aos Dados Pessoais a que tiver acesso, sendo que, se o nível de segurança for inadequado ou, após aprovado, se degradar, o contrato de prestação de serviços/parceria poderá ser prejudicado, sendo rescindido motivadamente nos casos mais extremos.

O Grupo Felidae se reserva o direito de realizar vistoria técnica à sede e filiais de sua empresa, mediante agendamento e seu acompanhamento, para verificar se o tratamento de Dados Pessoais realizado se encontra de acordo com o contrato firmado.

disposições gerais

O Grupo Felidae desenvolveu uma estrutura de governança corporativa para lidar com as questões relacionadas à Proteção de Dados. Os Fornecedores também deverão manter uma estrutura de governança corporativa mínima relacionada ao controle de suas atividades de tratamento de dados pessoais, na forma da LGPD, seja na qualidade de controladores ou operadores de dados pessoais. 

cumprimento da lgpd

Você, Fornecedor ou Parceiro de Negócios, declara ao Grupo Felidae que conhece e cumpre a LGPD em relação ao seu negócio, bem como nos aspectos em que a lei incide sobre o contrato de prestação de serviços ou fornecimento de produto. Ao celebrar um relacionamento comercial como Fornecedor do Grupo Felidae, o Fornecedor ou Parceiro concorda em se obrigar a esta Política de Privacidade e Proteção de Dados para Fornecedores e Parceiros.

questionário de due diligence de privacidade - grupo felidae

Para o pleno entendimento acerca do tratamento de dados pessoais dos nosso parceiros, será enviado junto a esta política um link com o “ Questionário de Due Diligence – Grupo Felidae”. Todas as questões formuladas neste questionário visam avaliar o nível de atenção exigida pela LGPD sobre os dados pessoais. Foram redigidas de maneira que, ao final, sirvam para embasar as decisões que serão tomadas de acordo com as formas de tratamento operador (Fornecedor ou Parceiro) da cadeia. O questionário deverá ser respondido pelo responsável técnico do operador ou pelo seu encarregado de proteção de dados – Data Protecion Officer ou simplesmente DPO.

atualização

A presente Política poderá ser atualizada periodicamente. Todas as alterações deverão ser consideradas como de aplicação e vigência imediata, exceto em caso de comunicação em contrário enviada pelo Grupo Felidae aos Fornecedores e Parceiros de Negócios. O Grupo Felidae tomará medidas razoáveis para comunicar os Fornecedores acerca das atualizações aos termos dessa Política. Outras notificações e informações poderão, futuramente, ser enviadas aos Fornecedores, informando condições para a realização de atividades de tratamento dos dados pessoais realizadas em benefício do Grupo Felidae.

dúvidas

O Grupo Felidae encoraja que qualquer titular que tenha dúvidas sobre o tratamento de seus dados pessoais ou queira exercer seus direitos com base na boa-fé, utilize o nosso Canal do Titular disponível em nosso site ou entre em contato com o nosso Encarregado.

 

E-mail: dpo@grupofelidae.com

 

maio de 2023.