Pular para o conteúdo principal

🔐 POLÍTICA DE GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

Atualizado

📑 1. OBJETIVO

O Digiteam coleta, guarda, usa e compartilha informações pessoais de colaboradores, clientes (seus representantes), clientes de clientes, fornecedores e outros terceiros ligados à empresa. Essas atividades podem representar riscos à privacidade dos titulares dos dados e, por consequência, o Digiteam.

Dada a importância da adoção e padronização de procedimentos que garantam a proteção dessas informações, foi criada a presente Política.

Este documento compõe a estrutura de Governança em privacidade e proteção de dados pessoais do Digiteam, que tem como objetivo garantir o cumprimento da legislação aplicável, em especial a Lei 13.709/2018 (Lei Geral de Proteção de Dados - LGPD), por meio da adoção de boas práticas no tratamento de dados pessoais.

Ao formalizar e adotar as diretrizes estabelecidas nesta Política, o Digiteam busca, além do atendimento aos requisitos legais estabelecidos, demonstrar seu compromisso em proteger os direitos individuais, promover a confiança dos titulares de dados e fortalecer a abordagem ética no tratamento de informações pessoais em todas as suas operações.

 

🌐 2. ABRANGÊNCIA

Esta política é aplicável ao tratamento de dados pessoais de qualquer pessoa que tem ou teve vínculo com o Digiteam, independente da natureza dessa relação.

As regras aqui estabelecidas devem ser seguidas por todos os colaboradores e, também, por prestadores de serviços que tratam dados pessoais em nome do Digiteam.

Esta Política tem aplicação imediata a partir da sua publicação.

O seu descumprimento será considerado falta grave, podendo resultar na aplicação de sanções, incluindo a rescisão do contrato.

 

👨‍💼 3. PAPÉIS E RESPONSABILIDADES

Para a aplicação desta Política, cada cargo ou função dentro do Digiteam deverá desempenhar os papéis e terá as responsabilidades conforme descrito abaixo:

  1. Diretoria:

    • Aprovar e garantir a manutenção e aplicação desta Política;

    • Garantir aos demais departamentos os recursos necessários para atendimento a esta política e para a proteção dos dados pessoais tratados pela empresa.

  2. Gestores:

    • Garantir a efetiva participação dos colaboradores e terceirizados nas ações relacionadas à privacidade e à proteção de dados pessoais e apoiar, quando necessário, no tratamento e notificação de incidentes de segurança com dados pessoais relacionados ao seu departamento;

    • Fiscalizar a adesão de todos os colaboradores e terceirizados sob sua gestão às diretrizes estabelecidas nesta Política;

    • Manter o inventário de dados atualizado em conjunto com o(a) Encarregado(a) de Dados (DPO).
  3. Colaboradores e prestadores de serviços

    • Cumprir as orientações desta Política assim como as legislações e regulamentos aplicáveis ao tratamento de dados pessoais;

    • Buscar orientação junto ao superior mediato ou ao(à) Encarregado(a) de Dados (DPO) em caso de dúvidas associadas a esta Política;

    • Comunicar imediatamente o(a) Encarregado(a) de Dados (DPO) e os responsáveis pelo Time de Tecnologia em caso de ocorrência ou suspeita de incidentes de segurança envolvendo dados pessoais;

    • Assinar o Termo de Responsabilidade na admissão ou o Termo de Ciência, quando aplicável.
  4. Departamento Administrativo/Financeiro

    • Coletar a assinatura dos colaboradores e prestadores de serviços terceirizados formalizando o aceite do Termo de Responsabilidade ou do Termo de Ciência, quando aplicável, e manter em arquivo;

    • Definir em conjunto com diretores e/ou gestores quando necessário, a adoção de sanções em caso de violação a esta Política.

  5. Departamento de Tecnologia da Informação (TI)

    • Assegurar a devida implementação das medidas tecnológicas definidas em políticas, normas e processos associados à privacidade e à proteção de dados pessoais;

    • Adotar as medidas necessárias para resposta a incidentes de segurança envolvendo dados pessoais e fornecer as informações necessárias ao(à) Encarregado(a) de Dados (DPO) para notificação aos órgãos competentes, caso necessário.

  6. Encarregado(a) de Dados (DPO)

    • Receber questionamentos e notificações dos titulares, prestar esclarecimentos e tomar providências;
    • Receber comunicações da autoridade nacional e tomar providências;

    • Orientar os colaboradores, terceirizados e fornecedores a respeito das práticas a serem adotadas em relação à proteção de dados pessoais.

📘 4. CONCEITOS UTILIZADOS

Para fins de delimitação de conceitos e definições, os termos empregados nesta Política deverão ser interpretados conforme o “ANEXO – CONCEITOS” e, na falta de previsão expressa no referido Anexo, conforme a Lei Geral de Proteção de Dados (“LGPD” ou “Lei 13.709/2018”).

 

⚖️ 5. NORMAS GERAIS SOBRE O TRATAMENTO DE DADOS PESSOAIS

As regras a seguir devem ser observadas em todas as operações que envolvam o tratamento de dados pessoais.

  • Princípios
    O tratamento de dados pessoais realizados em nome do Digiteam deverá respeitar os seguintes princípios.

    1. Finalidade
      O tratamento de dados pessoais deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular dos dados, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades previamente estabelecidas.

    2. Adequação
      O tratamento de dados pessoais deve ser compatível com as finalidades previamente definidas e informadas ao titular, adequado ao contexto do tratamento.

    3. Necessidade
      O tratamento de dados pessoais deve ser limitado ao mínimo necessário para as finalidades pretendidas, sem que sejam cometidos excessos.

    4. Livre acesso
      Deve ser garantido aos titulares de dados pessoais tratados pela empresa a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como o acesso a todos os seus dados pessoais em posse do Digiteam.

    5. Transparência
      Deve ser garantido aos titulares o acesso a informações claras, precisas e facilmente acessíveis o tratamento de seus dados pessoais e os respectivos agentes de tratamento, observados os segredos comercial e industrial.

    6. Prevenção
      Deverão ser adotadas medidas (técnicas ou organizacionais) para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais. As medidas adotadas devem ser proporcionais aos riscos associados à violação.

    7. Não discriminação
      O tratamento de dados pessoais não deverá ser realizado com fins discriminatórios, ilícitos ou abusivos.

    8. Responsabilização e Prestação de Contas
      Deverão ser adotadas medidas eficazes e capazes de comprovar o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

      Este princípio deverá ser atendido por meio da manutenção de documentação atualizada como relatórios, registros, políticas, contratos e demais documentos pertinentes à demonstração de conformidade e da adoção dessas medidas.

  • Segurança
    O acesso aos dados pessoais tratados pelo Digiteam deverá ser restrito aos colaboradores e/ou fornecedores autorizados e que necessitam realizar o tratamento dessas informações exclusivamente para o desempenho das funções para as quais foram designados ou contratados.

    O acesso deverá ser limitado apenas aos dados estritamente necessários para a realização da atividade relacionada à sua função ou serviço.

    Deverão ser adotadas medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou divulgação indevida.

  • Confidencialidade
    Todos aqueles que realizarem qualquer atividade de tratamento de dados pessoais em nome do Digiteam, seja por vínculo empregatício, comercial (contratação de serviço) ou parceria, devem estar submetidos a um dever de confidencialidade em relação a essas informações.

    O dever de confidencialidade deve ser formalizado por meio de cláusula específica em contrato ou da assinatura de termo de confidencialidade, a depender do caso.

  • Registro das Operações de Tratamento
    Deverá ser mantido registro atualizado de todas as operações de tratamento com dados pessoais, em formato adequado e pronto para ser fornecido à autoridade competente, caso solicitado.

    As informações constantes no registro devem respeitar os modelos e regulamentos publicados pela Autoridade Nacional de Proteção de Dados (ANPD).

    O documento deverá ser revisado atualizado pelo menos uma vez por ano ou sempre que novas operações ou atividades que representem alto risco aos titulares de dados forem identificadas.

  • Incidentes de Segurança envolvendo Dados Pessoais
    Deverá ser mantido um processo de resposta a incidentes de segurança que envolvam dados pessoais, com procedimentos pré-definidos, responsabilidades e que garanta o registro das violações pela empresa e eventuais notificações, quando necessárias.

    Todos os incidentes de segurança, ou potenciais violações, que envolvam dados pessoais devem ser reportados ao(à) Encarregado e ao responsável pelo time de Tecnologia (TI) por aqueles que os identificarem.
    Quando o Digiteam atuar na condição de Operadora dos dados pessoais tratados, deverá comunicar o Controlador da ocorrência do incidente.

 

📋 6. DIRETRIZES PRÁTICAS PARA O TRATAMENTO DE DADOS PESSOAIS

  • Identificação das Bases Legais
    Para cada finalidade (propósito/objetivo) previamente identificada na operação de tratamento de dados pessoais deverá ser estabelecida uma base legal apropriada nos termos do art. 7o e art. 11 da Lei 13.709/2018 (LGPD).

    1. Consentimento
      Quando a base legal utilizada for a do consentimento, é necessário que seja mantido um processo para documentar e demonstrar como e quando o consentimento para o tratamento daqueles dados pessoais específicos foi obtido do titular dos dados.

      Deve ser garantido que o consentimento foi fornecido por meio de manifestação livre, específica (em relação às finalidades), inequívoca e informada ao titular de dados.

      Também deverá ser mantido processo que controle e registre a retirada do consentimento pelo titular.

  • Privacy by design
    Todos os processos, procedimentos, atividades e sistemas devem ser estruturados com base na abordagem denominada “Privacy by Design” (“privacidade desde a concepção” e “privacidade por padrão”). As medidas adotadas para a proteção de dados pessoais também deverão ser observadas desde a fase de concepção do produto, software, serviço ou processo em geral, até a sua efetiva execução.
  • Tratamento de dados em Recursos Humanos

    1. Antes da contratação
      Os dados solicitados aos candidatos que desejarem enviar seus currículos deverão limitar-se exclusivamente aos dados pessoais necessários.

      Os currículos deverão ser armazenados em local adequado e mantidos pela empresa por, no máximo, 01 (um) ano. Após, deverão ser descartados respeitando as diretrizes estabelecidas nesta e nas demais políticas do Digiteam.

      Nos casos em que os currículos forem recebidos por intermédio de empresas de recrutamento, as cópias devem ser descartadas tão logo seja realizada a contratação.

    2. Na contratação
      O profissional contratado deverá receber cópia das políticas internas e demais documentos publicados pelo Digiteam e assinar Termo de Responsabilidade atestando ciência em relação à obrigação de cumprimento das disposições estabelecidas nesses documentos, sob pena de aplicação de sanção.

    3. Na vigência do contrato
      É indicado que sejam realizadas ações de conscientização de forma periódica.

      Em caso de atualização ou publicação de novas políticas, os colaboradores devem receber uma cópia (física ou digital) e atestar ciência em relação a esses novos documentos.

    4. Na rescisão
      O colaborador deverá assinar Termo de Desligamento no qual se comprometa a eliminar todas as cópias de dados e documentos contendo dados pessoais de clientes, ou seus representantes, outros funcionários e fornecedores que, eventualmente, mantenha em seus dispositivos pessoais (celulares, tablets, computadores etc.) e tenha obtido em razão do seu trabalho.

      Deve ser garantido que todos os ativos da empresa que estavam em posse do colaborador, como equipamentos, mídias, documentos, tokens de acesso, entre outros, sejam devolvidos.

      Deve ser realizada a remoção dos acessos de sistemas e plataformas da empresa.

  • Compartilhamento com terceiros
    O compartilhamento de dados pessoais deve ocorrer apenas quando estritamente necessário e para terceiros que garantam a adoção de medidas técnicas e administrativas suficientes para a garantia da privacidade e da proteção dos dados compartilhados.

    Devem ser definidos controles mínimos de exigência com base no risco de cada operação.

    Poderão ser realizadas auditorias nos terceiros para a avaliação prévia do nível de conformidade e segurança, priorizando-se a contratação daqueles que apresentarem um nível maior e mais completo nesses quesitos.

    As relações entre o Digiteam e terceiros que resultarem no compartilhamento de dados pessoais devem ser formalizadas por meio de contrato ou termo específico.

  • Término do tratamento
    Deverá ser mantida política de retenção e descarte estruturada em relação a todos os dados tratados pelo Digiteam, com a definição do prazo para término do tratamento e pronta eliminação.

    Os dados pessoais deverão ser descartados pela empresa quando:

    • For constatado o fim do período de tratamento;
    • For verificado que a finalidade previamente definida para o tratamento foi alcançada;
    • For verificado que os dados pessoas deixaram de ser necessários;

    • Houver solicitação do titular, por oposição ao tratamento (quando aplicável) ou quando decidir por revogar o consentimento (quando aplicável);

    • Houver determinação da Autoridade Nacional de Proteção de Dados (ANPD).

    O Digiteam poderá manter em sua base os dados pessoais tratados após o término do tratamento apenas para:

    • Cumprimento de obrigação legal ou regulatória;
    • Exercício regular de direitos.
    • Uso exclusivo do Digiteam, sendo vedado seu acesso por terceiro, e desde que anonimizados os dados.

 

👤 7. DIREITOS DOS TITULARES DE DADOS PESSOAIS

Deverão ser garantidos todos os direitos dos titulares de dados pessoais previstos pela legislação brasileira em relação aos tratamentos de dados realizados pelo Digiteam.

Convém que seja estruturado e mantido procedimento padrão para resposta às solicitações dos titulares em relação a esses direitos.

 

📬 8. CANAIS DE COMUNICAÇÃO

O Digiteam disponibiliza aos titulares de dados e eventuais interessados um canal de comunicação para assuntos relacionados à privacidade, à proteção de dados pessoais e à Lei Geral de Proteção de Dados.

O contato com dúvidas, requerimentos ou solicitações deverá ser direcionado ao e-mail privacidade@digiteam.com.br, endereçado ao(à) Encarregado(a) de Dados do Digiteam ou aos seus superiores diretos.

 

 

HISTÓRICO

Versão

Alterações

Data

1.0

-

31/01/2024

2.0

Resoluções

01/07/2025

   

 

 

ANEXO – CONCEITOS

  • Agentes de Tratamento: As empresas ou profissionais autônomos responsáveis por realizar o tratamento de dados em conformidade com a legislação aplicável, assim como pela garantia dos direitos dos titulares de dados pessoais. São agentes de tratamento, segundo a LGPD, o Controlador e o Operador. Colaboradores não são considerados agentes de tratamento, mas sim indivíduos subordinados que exercem atividades de tratamento de dados pessoais em função do vínculo contratual estabelecido com a empresa.

  • Autoridade Nacional de Proteção de Dados – ANPD: A ANPD é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei 13.709/2018 (“Lei Geral de Proteção de Dados” ou “LGPD”) em todo o território nacional.

  • Base Legal: Bases legais são as condições previstas na LGPD (art. 7o e art. 11) que autorizam o tratamento de dados pessoais.

  • Controlador: O agente de tratamento responsável por tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a sua finalidade. Entre essas decisões, incluem-se as instruções fornecidas a
    Operadores contratados para a realização de um determinado tratamento.

  • Dados Pessoais: Todas e quaisquer informações relacionadas a uma pessoa física identificada ou identificável. Exemplos: dados de identificação (nome, CPF, RG, CNH, CTPS, CNIS), dados de contato (endereço, e-mail, telefone, fax), dados financeiros, imagem, voz, perfis de consumo etc.

  • Dados Pessoais Sensíveis: Dados que, por sua natureza, possuem maior criticidade e risco de causar discriminação ou tratamento desigual ao titular. São dados pessoais sensíveis, segundo a LGPD: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física.

  • Encarregado de Dados (DPO): A pessoa (física ou jurídica) responsável por monitorar a conformidade de uma empresa à LGPD. É o ponto de contato entreos titulares de dados, a ANPD e empresa responsável pelo tratamento dos dados. Também chamado de Data Protection Officer (DPO). Obrigação dispensada de empresas consideradas agentes de tratamento de pequeno porte conforme Resolução ANPD no 2/2022.

  • Operador: O Operador é o agente responsável por realizar o tratamento de dados em conformidade com as diretrizes estabelecidas pelo Controlador e de acordo com a finalidade por este delimitada.

  • Relatório de Impacto à Proteção de Dados Pessoais: Documento elaborado pelo Controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos aos titulares de dados, assim como as medidas adotadas para redução desse risco. A elaboração deste relatório poderá ser determinada pela Autoridade Nacional de Proteção de Dados – ANPD durante o processo de fiscalização.

  • Suboperador: O Suboperador é aquele contratado como prestador de serviço pelo Operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do Controlador. Pode ser uma empresa ou um profissional autônomo.

  • Titular de Dados Pessoais: A pessoa física (indivíduo) a quem se referem os dados pessoais que são objeto de tratamento.

  • Tratamento de Dados: É toda ação realizada com dados pessoais. O tratamento de dados está presente em todo o fluxo de dados dentro da empresa, desde a sua coleta até o seu descarte. São consideradas atividades de tratamento de dados a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Artigos relacionados

Comentários

0 comentário

Por favor, entre para comentar.

Powered by Zendesk