POLÍTICA DE GOVERNANÇA EM PROTEÇÃO DE DADOS PESSOAIS

I. Objetivo

A presente Política de Governança em Proteção de Dados Pessoais (“Política”) tem por objetivo estabelecer diretrizes e princípios para o tratamento de dados pessoais e dados pessoais sensíveis, em conformidade com os valores da Alfa Laval e a Lei Geral de Proteção de Dados Pessoais (“LGPD”).

II. Abrangência

2. As diretrizes desta Política aplicam-se a todas as operações de tratamento de dados pessoais que a Alfa Laval venha a realizar, e, em razão disso, deve ser observada por todos os colaboradores.

III. Definições

3. Para efeitos desta Política, são adotadas as definições abaixo:

Anonimização: utilização de meios técnicos razoáveis e disponíveis por meio dos quais um dado perde a possiblidade de associação direta ou indireta a um indivíduo.

Autoridade Nacional de Proteção de Dados (ANPD): órgão público responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.

Colaborador: Para efeitos desta política, entende-se por “colaboradores” todos aqueles que possuam cargo, função, posição e/ou relação societária, empregatícia, comercial, profissional, contratual ou de confiança com a Alfa Laval.

Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Dado pessoal: qualquer informação relacionada a uma pessoa física que permita identificá-la direta ou indiretamente. São exemplos: nome, números de documentos, identidade funcional, endereço, números de telefone, e-mail, salário, tipo sanguíneo, atestados médicos etc.

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Encarregado de Proteção de Dados: pessoa indicada pela Alfa Laval para atuar como canal de comunicação entre a Empresa, os titulares de dados e a ANPD.

Incidente: evento, ação ou omissão que tenha permitido ou possa vir a permitir acesso não autorizado, interrupção ou mudança nas operações (inclusive pela tomada de controle), destruição, dano, deleção ou mudança da informação protegida, remoção ou limitação de uso da informação protegida ou, ainda, apropriação, disseminação e publicação indevida de informação protegida de algum ativo de informação crítico ou de alguma atividade crítica por um período de tempo inferior ao tempo objetivo de recuperação.

Incidente de segurança: qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança dos sistemas de computação ou das redes de computadores.

Incidente de segurança com dados pessoais: de acordo com a ANPD, incidente de segurança à proteção de dados pessoais é qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação de dados pessoais, sendo acesso não autorizado, acidental ou ilícito que resulte em destruição, perda, alteração, vazamento ou qualquer forma de tratamento de dados ilícita ou inadequada, que tem a capacidade de pôr em risco os direitos e as liberdades dos titulares de dados pessoais;

Lei Geral de Proteção de Dados (LGPD): lei que regulamenta o tratamento de dados pessoais independentemente do formato (físico ou digital) com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade.

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Privacidade: direito à reserva de informações pessoais e da própria vida pessoal. A privacidade é obtida através de medidas de proteção de dados.

Pseudonimização: Tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

Relatório de Impacto à Proteção de Dados (RIPD): documento contendo a descrição dos processos de tratamento de dados pessoais que podem gerar riscos de privacidade e proteção de dados, bem como medidas, salvaguardas e mecanismos de mitigação de risco. É fruto do processo de avaliação de impacto à proteção de dados.

Tratamento: qualquer operação ou conjunto de operações efetuadas sobre os dados, por meios automatizados ou não, incluindo, mas não se limitando, a coleta, gravação, organização, estruturação, alteração, uso, acesso, divulgação, cópia, transferência, armazenamento, exclusão, combinação, restrição, adaptação, recuperação, consulta, destruição ou anonimização;

Titular do dado: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Violação de dados: incidente de segurança da informação que comprometa a integridade, confidencialidade ou disponibilidade de dados pessoais em formato físico ou eletrônico.

IV. Princípios

4. A Alfa Laval observará, no desenvolvimento de operações de tratamento de dados pessoais de seus colaboradores, clientes e quaisquer outros titulares, os princípios previstos na LGPD:

  a) Finalidade: a realização do tratamento deve ocorrer para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

  b) Adequação: a compatibilidade do tratamento deve ocorrer conforme as finalidades informadas ao titular, de acordo com o contexto do tratamento;

  c) Necessidade: o tratamento deve se limitar à realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

  d) Livre acesso: é a garantia dada aos titulares de consulta livre, de forma facilitada e gratuita, à forma e à duração do tratamento, bem como à integralidade de seus dados pessoais;

  e) Qualidade dos dados: é a garantia dada aos titulares de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

  f) Transparência: é a garantia dada aos titulares de que terão informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

  g) Segurança: trata-se da utilização de medidas técnicas e administrativas qualificadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

  h) Prevenção: compreende a adoção de medidas para prevenir a ocorrência de danos por causa do tratamento de dados pessoais;

  i) Não discriminação: sustenta que o tratamento dos dados não pode ser realizado para fins discriminatórios, ilícitos ou abusivos;

  j) Responsabilização e prestação de contas: demonstração, pelo Controlador ou pelo Operador, de todas as medidas eficazes e capazes de comprovar o cumprimento da lei e a eficácia das medidas aplicadas.

V. Responsabilidades

5. A responsabilidade de garantir a privacidade e a segurança dos dados pessoais coletados e tratados pela Alfa Laval é compartilhada entre todos os colaboradores e o Encarregado de Proteção de Dados (DPO). Por isso, todos deverão, dentro de suas atribuições, tomar as providências necessárias para este fim.

6. São responsabilidades de todos os colaboradores:

  a) Observar o disposto nesta Política nos tratamentos de dados pessoais que venha a realizar.

  b) Assegurar, dentro de sua competência, que os dados pessoais sob seus cuidados sejam protegidos ao longo de todo o seu ciclo de vida;

  c) Notificar o seu gestor imediato e/ou o Encarregado de Proteção de Dados (privacy.brazil@alfalaval.com), caso identifique situação real ou potencial que possa comprometer a segurança, confidencialidade, integridade ou disponibilidade dos dados pessoais.

7. São responsabilidades do Encarregado de Proteção de Dados:

  a) Representar a Alfa Laval perante a ANPD e titulares de dados, sempre que necessário;

  b) Receber comunicações dos titulares de dados, prestar esclarecimentos e adotar providências, sempre que necessário;

  c) Analisar a eficiência das políticas sobre privacidade, atualizando-as sempre que necessário;

  d) Monitorar a aderência das práticas adotadas pela Alfa Laval a esta política e à legislação aplicável;

  e) Analisar a eficiência dos procedimentos de segurança adotados pela Alfa Laval e atualizá-los sempre que necessário;

  f) Realizar avaliações de riscos de proteção de dados e privacidade periodicamente e recomendar medidas de melhoria com base nos resultados

  g) Promover e coordenar ações e treinamentos de conscientização sobre privacidade para os colaboradores da Alfa Laval periodicamente;

  h) Receber os relatos de situações que possam comprometer a segurança, confidencialidade, integridade ou disponibilidade de dados pessoais dos dados pessoais e adotar medidas cabíveis.

VI. Diretrizes

8. A coleta de dados pessoais deve acontecer exclusivamente em uma das hipóteses previstas na LGPD, quais sejam:

a) Para o cumprimento de obrigação legal ou regulatória;

b) Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados;

c) Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

d) Para a proteção da vida ou da proteção e segurança física do titular dos dados;

e) Para a tutela da saúde em procedimento realizado exclusivamente por colaboradores do Ambulatório Médico ou da Segurança do Trabalho;

f) Mediante o fornecimento de consentimento pelo titular do dado;

g) Quando necessário para atender a interesses legítimos da Alfa Laval.

9. As medidas de proteção de dados pessoais devem ser incorporadas em todas as etapas do ciclo de vida do dado, desde a coleta até a eliminação.

10. As soluções tecnológicas implementadas devem prever configurações que preservem a proteção de dados pessoais e a privacidade dos titulares.

11. Os ambientes destinados ao tratamento de dados pessoais, sejam eles físicos ou eletrônicos, devem possuir medidas de proteção adequadas e compatíveis com a sensibilidade da informação tratada.

12. Caso surja a necessidade de novos tratamentos de dados pessoais ou de implementação ou alteração de processos ou sistemas de tratamentos já estabelecidos, estas pretensões devem ser comunicadas ao Encarregado de Proteção de Dados, que as avaliará com base nas diretrizes e princípios desta Política.

13. Após o término de seu tratamento, os dados pessoais serão eliminados adequadamente (anonimização ou eliminação) no âmbito e nos limites técnicos das atividades, sendo autorizada a conservação somente nas seguintes finalidades:

  a) cumprimento de obrigação legal ou regulatória pelo controlador;

  b) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

  c) transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou

  d) uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

 

A. Controle de Acesso aos Dados Pessoais

14. O acesso aos dados pessoais deve ser limitado, visando a confidencialidade, integridade e disponibilidade.

15. Apenas os colaboradores com necessidade legítima e que exerçam função junto às áreas responsáveis pelo tratamento de dados pessoais, poderão ter acesso às informações pessoais tratadas pela Alfa Laval, mediante autorização.

16. Os dados pessoais devem ser armazenados em ambientes seguros com controles físicos e eletrônicos que impeçam o acesso não autorizado.

 

B. Avaliação de Impacto à Proteção de Dados

17. A cada 2 (dois) anos, ou sempre que necessário, a Alfa Laval deve realizar uma avaliação geral de impacto à proteção de dados para identificação de riscos e medidas de mitigação.

18. O Relatório de Impacto à Proteção de Dados (RIPD) deve ser apresentado à Autoridade Nacional de Proteção de Dados (ANPD) quando solicitado ou conforme periodicidade estabelecida em regulamentos aplicáveis.

 

C. Compartilhamento de Dados Pessoais

19. O compartilhamento de dados pessoais com instituições privadas ou públicas pode acontecer mediante o consentimento do titular e em situações de cumprimento de obrigação legal ou regulatória, decisão judicial ou demais hipóteses previstas pela Lei Geral de Proteção de Dados.

 

D. Direitos dos Titulares dos Dados

20. Os direitos dos titulares previstos pela legislação serão atendidos através de solicitação expressa ao Encarregado de Proteção de Dados pelo titular (ou de representante legalmente constituído) e mediante comprovação da identidade.

21. São direitos dos titulares:

  a) confirmação da existência de tratamento;
  b) acesso aos dados;
  c) correção de dados incompletos, inexatos ou desatualizados;
  d) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  e) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com as regulamentações aplicáveis;
  f) eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas em lei;
  g) informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  h) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  i) revogação do consentimento.

 

E. Incidentes de Violação de Dados Pessoais

22. Incidentes envolvendo violação de dados pessoais devem ser gerenciados conforme o Plano de Resposta a Incidentes pelo Comitê de Resposta a Incidentes.

23. As violações de dados capazes de acarretar risco ou dano relevante aos titulares devem ser comunicadas à ANPD e aos titulares, conforme estabelecido na LGPD (art. 48).

24. Após o gerenciamento do incidente que culminou em violação de dados, deverá ser realizada uma avaliação de impacto à proteção de dados e adoção de medidas de mitigação.

 

F. Soluções e Serviços de Tecnologia da Informação

25. A implementação e utilização de soluções de tecnologia na Alfa Laval devem sempre privilegiar a segurança dos dados pessoais e a privacidade dos titulares.

26. A fim de salvaguardar a confidencialidade, integridade e disponibilidade dos dados pessoais, as soluções de tecnologia da informação que operam e armazenam dados devem:

  a) prever recursos de logs de auditoria (audit logs);
  b) prever as opções mais seguras habilitadas por padrão, sem a necessidade de ação manual pelo usuário (privacidade por padrão);
  c) prever recursos que permitam o exercício dos direitos dos titulares dos dados.

27. Quando uma solução tecnológica com dados pessoais não mais for utilizada, o sistema e banco de dados deverão ser desativados com o descarte adequado (anonimização ou eliminação) dos dados pessoais.

28. As aplicações disponíveis para acesso pela internet devem conter os seguintes recursos:

  a) Alertas de exoneração de responsabilidade quanto a existência de eventuais links externos;
  b) Descrição dos tipos de cookies utilizados e recurso para a configuração deles;
  c) Dados de contato do Encarregado de Proteção de Dados; e
  d) Declaração de privacidade.

 

VII. Disposições Finais

29. O descumprimento desta Política e da legislação aplicável serão apurados internamente e podem caracterizar desvio de conduta com potencial responsabilização dos envolvidos.

30. É competência do departamento jurídico e TI a Alfa Laval alterar esta Política sempre que se fizer necessário.