Sumário

1.     Objetivo.. 3

2.     Documentos de referência. 3

3.     Terminologia básica de privacidade. 3

4.     Gerenciando a privacidade da informação.. 4

4.1.      Papéis e Responsabilidades. 4

4.2.      Objetivos. 4

4.3.      Aplicabilidade. 5

4.4.      Atividade de tratamento de dados pessoais. 5

4.5.      Atividade de tratamento de dados pessoais sensíveis. 6

4.6.      Consentimento. 6

4.7.      Tratamento de Dados Pessoais de Crianças e Adolescentes. 6

4.8.      Término de tratamento de dados. 6

4.9.      Direitos do Titular de Dados pessoais. 7

4.10.    Comunicação com operadores de DP sobre modificação ou revogação. 7

4.11.    Transferência de dados pessoais com poder público. 7

4.12.    Transferência Internacional de Dados pessoais. 8

4.13.    Responsabilidades como controlador e operador. 8

4.14.    Privacy by default e Privacy by design. 8

4.15.    Regras de proteção como Operador. 9

4.16.    Da Proteção ao Dado Pessoal. 9

4.17.    Incidente de Segurança com Dados Pessoais. 9

5.     Suporte para a implementação da proteção a privacidade. 10

6.     Validade e gestão de documentos. 10

 

                                                                                                 

1.Objetivo

O objetivo desta Política de alto nível é definir as principais regras para a Gestão da Privacidade na Multitch atendendo os requisitos da Lei N. 13.709 de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).

Esta política aplica-se a todo o Sistema de Gestão da Segurança da Informação e Privacidade e a todas as informações pessoais tratadas por qualquer colaborador da Multitch.

 

2.Documentos de referência

• Norma ISO/IEC 27001

• Normal ISO/IEC 27701

• Política de Segurança da Informação e Privacidade

• Lista de obrigações Legais, Regulamentares e Contratuais

• Lei N. 13.709 de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD)

 

3.Terminologia básica de privacidade

Dado Pessoal – informação relacionada a pessoa natural identificada ou identificável.

Dado Pessoal Sensível - dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

 

ANPD: Autoridade Nacional de Proteção de Dados

 

Dado Anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

 

Outras definições para o processo de tratamento de dados pessoais estão definidas na Lei N. 13.709 de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).

 

4.Gerenciando a privacidade da informação

4.1.Papéis e Responsabilidades

• O principal responsável pela privacidade dos dados pessoais na Multitch é Alex Andrade, Gerente de Segurança da Informação.

• O Gerente de Segurança da Informação assume todas as responsabilidades, conforme definidas na LGPD, do Encarregado pelo Tratamento de Dados Pessoais.

• A Multitch atua como controlador de dados pessoais quando necessário;

• A Multitch atua como operador de dados pessoais quando necessário;

• O Encarregado deve promover programas de conscientização em privacidade para os colaboradores da Multitch;

• Todos os incidentes relacionados a proteção de dados pessoais devem ser comunicados ao Encarregado e este deve tratar os incidentes de acordo com procedimento definido;

• A proteção dos dados pessoais e a garantia da privacidade é de responsabilidade de TODOS da organização.

• Outras responsabilidades mais específicas poderão ser definidas nas demais Políticas, Procedimentos ou Documentos da Multitch.

 

4.2.Objetivos

Os objetivos gerais com a Gestão da Privacidade têm a finalidade de proteger os direitos fundamentais de liberdade e de privacidade, e o livre desenvolvimento da personalidade da pessoa natural.

Os objetivos da gestão da Privacidade na Multitch são:

1. Proteção de dados pessoais para garantir o respeito à privacidade garantindo a liberdade de expressão, de comunicação e opinião;

2. Garantir a inviolabilidade da intimidade, da honra e da imagem;

3. Reduzir os danos causados por possíveis incidentes envolvendo dados pessoais.

 

 

4.3.Aplicabilidade

A Multitch entende que precisa estar de acordo com as disposições da Lei N. 13.709 de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD) pois precisa efetuar tratamento de dados pessoais para oferta de seus produtos e serviços.

A Multitch pode efetuar tratamento de dados pessoais em território nacional e internacional, para ambos devem ser respeitadas as legislações específicas dos países em que o tratamento será realizado.

A Multitch não se enquadra nas regras de não aplicabilidade da lei em relação a possíveis exclusões em determinadas opções de tratamento de dados pessoais conforme definida em seu Art. 4. Caso venha ser necessário utilizar das exceções conforme definidos na Lei, o Encarregado deve ser consultado e este deve fazer uma avaliação e comunicar à Direção.

 

4.4.Atividade de tratamento de dados pessoais

Todas as atividades de tratamento de dados pessoais na Multitch deverão atender aos seguintes princípios:

• Ter uma finalidade legítima e específica, e o titular deve ser informado e estar ciente das finalidades;

• Transparência para o titular sobre todas as atividades feitas durante o processo de tratamento dos dados pessoais, assim como possibilidade de consulta sobre o processo de tratamento dos dados;

• Garantia de proteção adequada através de medidas técnicas ou administrativas para proteção dos dados pessoais em todas as etapas do tratamento;

O tratamento dos dados pessoais só pode ser feito mediante o fornecimento do consentimento do titular através de procedimento definido e quando necessários para atender aos interesses legítimos da Multitch. Prevalecendo sempre os direitos e liberdades fundamentais do titular.

A Multitch, atuando como controlador ou operador, para atendimento a requisitos legais pode efetuar tratamento de dados pessoais.

A Multitch atuando como controlador ou operador pode compartilhar dados com outra organização, desde que seja comunicado previamente ao titular ou esteja acordado em contrato ou no termo de aceite.

Caso haja necessidade de alteração de finalidade quanto ao objetivo de tratamento do dado pessoal, o titular deve ser comunicado e novo consentimento deve ser solicitado.

Qualquer dúvida a respeito de atividades de tratamento de dados pessoais deve ser esclarecida com o Encarregado.

 

4.5.Atividade de tratamento de dados pessoais sensíveis

O tratamento de dados pessoais sensíveis somente podem ser realizado pela Multitch mediante a obtenção de consentimento do titular.

Também poderão ser feitas o tratamento de dados pessoais sensíveis pela Multitch, mas com a dispensa do consentimento do titular, caso seja necessário para cumprir obrigações legais do controlador.

 

4.6.Consentimento

O consentimento fornecido pelos titulares de dados pessoais, para que possa ser efetuado o tratamento dos dados poderá ser obtido através dos seguintes meios:

• Por escrito com o titular fornecendo o direito ao tratamento;

• Através de contrato com cláusula específica;

• Através de termo com cláusulas e regras específicas;

• Através de email do titular fornecendo o direito ao tratamento;

• Através de formulário ou botão de aceite nos sítios eletrônicos ou sistemas da Multitch;

O termo de consentimento, independente do meio, deve conter obrigatoriamente e de forma explicita não havendo dúvidas:

• As finalidades para quais o tratamento de dados pessoais é autorizado;

• A duração (prazo) do consentimento;

• Com quais operadores o dado pessoal poderá ser compartilhado e qual a justificativa;

• Como o consentimento pode ser consultado ou revogado;

• Como o dado pessoal será protegido durante as etapas de tratamento;

• Direitos do titular em relação a proteção dos dados pessoais;

 

4.7.Tratamento de Dados Pessoais de Crianças e Adolescentes

Caso a Multitch precise tratar dados pessoais de crianças e adolescentes, deve ser solicitado o consentimento de forma clara e específica para o responsável legal.

As mesmas regras quanto as atividades de tratamento e de obtenção do consentimento definidas anteriormente devem ser seguidas.

 

4.8.Término de tratamento de dados

O ciclo de vida do dado pessoal tratado pela Multitch deve ser controlado para identificar quando ocorrer o fim do período de tratamento do dado pessoal.

O dado pessoal deve ser eliminado de acordo com os métodos definidos pelo Encarregado de Proteção de Dados da Multitch.

Caso algum dado pessoal precise ser conservado mesmo após o término do seu tratamento, o Encarregado deve ser comunicado e este deve ser o responsável pela proteção do dado pessoal seguindo as regras determinadas na LGPD.

 

4.9.Direitos do Titular de Dados pessoais

Qualquer titular que tenha seus dados tratados pela Multitch tem o direito de solicitar informações a cerca das operações de tratamento efetuadas.

Os titulares de dados pessoais podem:

• Solicitar informações sobre os dados pessoais existentes;

• Solicitar a correção e atualização dos dados existentes;

• Solicitar uma cópia dos dados existentes;

• Solicitar a revogação do consentimento

• Solicitar informações sobre as operações de tratamento efetuadas;

​

As solicitações por parte dos titulares devem ser formalizadas através do e-mail alex@multitch.com.br contendo quais informações deseja saber.

A Multitch, representada pelo Encarregado, possui 15 dias corridos para responder todas as solicitações de informações a respeito do tratamento de dados pessoais.

Todas as respostas fornecidas pelo encarregado devem ser claras e devidamente justificadas, para que fique claro para o titular de dados pessoais como estão sendo tratadas suas informações e quais os posicionamentos da Multitch.

 

4.10.Comunicação com operadores de DP sobre modificação ou revogação

O Encarregado deve comunicar aos operadores de DP com os quais um dado pessoal foi compartilhado sobre qualquer modificação do dado pessoal ou a revogação do consentimento por parte do titular.

 

4.11.Transferência de dados pessoais com poder público

A Multitch pode vir a atuar como operador de dados pessoais de alguma entidade da administração pública. As regras para o tratamento, assim como as responsabilidades de ambas as partes devem estar acordadas e definidas em contrato.

O Encarregado deve avaliar cada contrato e regras de forma individual e quando necessário comunicar a Diretoria ou a Autoridade Nacional de Proteção de Dados.

 

4.12.Transferência Internacional de Dados pessoais

Nos casos em que a Multitch precise compartilhar dados pessoais com operadores internacionais, deve ser solicitado ao Encarregado uma avaliação dos mecanismos de segurança adotados pelo operador e das leis do país estrangeiro. E o Encarregado deve emitir parecer concordando ou não e comunicar a Diretoria sobre o assunto.

No termo de consentimento assinado pelo titular deve estar claro que haverá compartilhamento de dados pessoais com operadores de outros países.

Preferencialmente a Multitch deve utilizar datacenters localizados no Brasil, mas caso a Multitch utilize e armazene dados pessoais em servidores e datacenters localizados fora do Brasil, os dados pessoais devem sempre que possível passar pelo processo de anonimização utilizando técnicas de criptografia definidas pelo Encarregado.

 

4.13.Responsabilidades como controlador e operador

A Multitch quando fizer tratamento de dados pessoais, tanto como controlador ou operador, deve manter registros das operações de tratamento comprovando que os dados foram tratados de acordo com as finalidades expostas aos titulares e que foram adotadas práticas de proteção suficientes.

A Multitch deve assegurar que seus operadores de dados pessoais protejam a informação de maneira adequada e conheçam sua responsabilidade.

Caso considere necessário, o Encarregado deve elaborar um relatório de impacto das operações de tratamento de dados pessoais e dos procedimentos adotados para garantir a proteção a informação tanto da Multitch quanto dos operadores, e comunicar a Diretoria a respeito do nível de proteção das informações pessoais.

 

4.14.Privacy by default e Privacy by design

A Multitch atuando como Controlador ou Operador de dados pessoais deve garantir que seus processos e sistemas sejam projetados de tal forma que a coleta e o tratamento dos dados pessoais estejam limitados apenas para o alcance do propósito identificado. Portanto deve-se avaliar:

• Limite de coleta dos dados pessoais;

• Limite de tratamento dos dados pessoais;

• Precisão e qualidade dos dados pessoais;

• Minimização dos dados pessoais;

• Anonimização e ou exclusão dos dados pessoais;

• Controle dos arquivos temporários;

• Controle sobre a retenção dos dados pessoais;

• Descarte seguro dos dados pessoais;

• Transmissão segura dos dados pessoais;

O Encarregado deve avaliar todos os sistemas que possuem interação com os titulares de DP (colaboradores, clientes, fornecedores) e que exista troca de informações pessoais e avaliar o atendimento aos itens descritos acima.

 

4.15.Regras de proteção como Operador

A Multitch pode efetuar tratamento de dados pessoais como operador. Para isso obrigatoriamente deve possuir um contrato assinado com as regras necessárias e os dados devem ser tratados apenas para o propósito claramente definido.

Caso a Multitch queira utilizar dados pessoais obtidos como Operador em ações de marketing, está ação só pode ser feita caso existam regras no contrato permitindo.

Caso algum colaborador da Multitch detecte que o cliente está violando alguma regra de proteção a privacidade dos dados pessoais, deve comunicar ao Encarregado e este deve avaliar como comunicar ao cliente.

Caso algum cliente solicite informações sobre como a Multitch atua em relação a privacidade e como ela pode contribuir para a proteção das informações dos seus clientes, o Encarregado deve ser comunicado e este deve analisar e responder a solicitação de forma apropriada.

​

4.16.Da Proteção ao Dado Pessoal

A Multitch adota uma série de medidas para proteger os dados pessoais, tais como:

• Conjunto de políticas e procedimentos de segurança da informação;

• Implementação de controles técnicos de segurança da informação;

• Backup dos dados;

• Plano de recuperação de desastres;

 

 

4.17.Incidente de Segurança com Dados Pessoais

Caso ocorra algum incidente de segurança da informação com dados pessoais, o Encarregado deve ser comunicado e este deve:

• Seguir o procedimento de gestão de incidentes de segurança para o devido tratamento;

• Avaliar o nível do incidente e comunicar a Diretoria caso necessário;

• Comunicar aos titulares de dados pessoais afetados caso necessário;

• Comunicar a Autoridade Nacional caso necessário;

 

 

5.Suporte para a implementação da proteção a privacidade

Deste modo, a Diretoria declara que a implementação das regras para proteção a privacidade de dados pessoais e seu contínuo aprimoramento serão suportadas pelos recursos apropriados para alcançar todos os objetivos definidos nesta Política, assim como atender todos os requisitos identificados.

 

6.Validade e gestão de documentos

Este documento é válido a partir de 18/01/2023. O proprietário do documento é o Encarregado, que deve verificar e, se necessário, atualizar o documento pelo menos uma vez a cada 12 meses.