Olá! Faça seu login ou cadastre-se.
Politica de privacidade
Política Geral de Privacidade e Proteção de Dados
1. OBJETIVO
Este documento apresenta diretivas que visam a orientar e disciplinar as regras de proteção de dados pessoais relevantes para aplicação nas Lojas Três Passos Ltda. (“Monjuá”), conforme Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018, doravante LGPD).
A Monjuá trata seus dados pessoais em conformidade com as atividades dispostas em seu objeto social, através de processos adequados à LGPD e seguidores das melhores práticas.
Destarte, os objetivos da presente Política são:
a) Implementar diretrizes que devem ser incondicionalmente seguidas quando do tratamento de dados pessoais por parte de qualquer pessoa relacionada, na condição de colaborador ou prestador de serviço, com a Monjuá; e
b) Incentivar o uso das melhores práticas de proteção de dados, a fim de atender às expectativas regulatórias estabelecidas com o advento da LGPD.
2. DEFINIÇÕES
Para efeito desta Política Geral de Privacidade e Proteção de Dados, os conceitos a seguir se entendem com os seguintes significados:
a. LGPD: Lei 13.709/18 – Lei Geral de Proteção de Dados e sua regulamentação.
b. Dado Pessoal: qualquer informação relacionada a uma pessoa natural identificada ou identificável - ou seja, dados que permitem identificar, ainda que indiretamente, a pessoa a qual eles pertencem.??
c. Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
d. Dado Anonimizado: dado relativo a Titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
e. Agentes de Tratamento: o Controlador e o Operador, que realizam tratamento de dados.
f. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
g. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.
h. Titular do dado: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
i. Encarregado / DPO: pessoa indicada pelo Controlador, que atua como canal de comunicação entre o Controlador, de um lado, e os Titulares e a Autoridade Nacional, de outro.
j. Autoridade Nacional de Proteção de Dados: órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.
k. Tratamento: todo e qualquer tipo de operação realizada com dados pessoais, executada ou não por processos automatizados, como, mas não limitado a, coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
l. Operação de Tratamento de Dados (OTD): Macroprocesso da empresa que envolve o tratamento de dados pessoais.
m. Relatório de Impacto à Proteção de Dados: relatório elaborado para comprovar a adequação de empresa, produto ou serviço com a LGPD.
n. Consentimento: manifestação livre, informada e inequívoca pela qual o Titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
o. Incidente com vazamento de dados: violação das medidas de segurança adotadas pela empresa que resulte em vazamento de dados pessoais.
3. APLICAÇÃO
A Politica Geral de Privacidade é aplicável a todos que, de alguma forma, realizam algum tipo de tratamento de dados pessoais em nome da Monjuá, seja na posição de colaboradores, parceiros comerciais, fornecedores, representantes, entre outros que possuam acesso a informações, serviços, sistemas e recursos de sua propriedade (“Stakeholders”).
Assim, essa Política aplica-se para todas as áreas, lojas e unidades administrativas da Monjuá, e está vinculada às seguintes políticas internas da empresa:
a. Política de confidencialidade e sigilo da informação
b. Aviso de Privacidade c. Código de Ética e Conduta
4. LEGISLAÇÃO DE REFERÊNCIA
Lei 13.709/2018 – Lei Geral de Proteção de Dados - LGPD
5. DISPOSIÇÕES GERAIS
5.1. FINALIDADE E FUNDAMENTO JURÍDICO
Os dados pessoais de colaboradores, representantes e prestadores de serviços só serão utilizados para dar suporte às operações da empresa e administrar programas de remuneração, benefícios, recursos humanos ou, ainda, quando for necessário para cumprimento de obrigações legais. Excepcionalmente, será necessária a obtenção de consentimento dos referidos titulares para tratamento de dados cuja finalidade for diferente daquelas descritas nesta política.
Todo e qualquer tratamento de dados pessoais no ou em favor da Monjuá deverá contar com uma finalidade legítima, específica e amparada em pelo menos uma das hipóteses legais previstas na LGPD, sendo que nenhum dado pessoal deverá ser tratado para finalidade diversa daquela informada ao seu titular.
Todo e qualquer novo processo, atividade ou operação da Monjuá que envolva o tratamento de dados pessoais deverá ser reportado por escrito ao Encarregado, o qual poderá formular recomendações de ajuste de conformidade.
5.2. TRANSPARÊNCIA
Devem ser empreendidos esforços para que o titular seja adequadamente informado acerca do tratamento de seus dados pessoais. Nos casos em que for necessário o compartilhamento de dados pessoais com outras empresas, a Monjuá garantirá a disponibilização, quando solicitado pelos titulares, de informações claras e ostensivas acerca deste compartilhamento, incluindo qual a sua finalidade.
5.3. ADEQUAÇÃO, NECESSIDADE E QUALIDADE
Toda e qualquer Operação de Tratamento de Dados Pessoais deve estar balizada pelo princípio da necessidade e se realizar da forma menos invasiva possível ao titular – ou seja, os dados pessoais devem ser adequados, relevantes e não excessivos para os fins aos quais são coletados/processados. Além disso, deve-se empregar os melhores esforços para que os dados pessoais tratados sejam corretos, completos de acordo com a finalidade do tratamento e, conforme o caso, atualizados.
5.4. CICLO DE VIDA DOS DADOS PESSOAIS
As diretrizes do tratamento de dados pessoais e da sua retenção devem observar o que se chama de Ciclo de Vida do Tratamento de Dados Pessoais, conforme se expõe no esquema abaixo:
i. Coleta (Nascimento)
Este documento apresenta diretivas que visam a orientar e disciplinar as regras de proteção de dados pessoais relevantes para aplicação nas Lojas Três Passos Ltda. (“Monjuá”), conforme Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018, doravante LGPD).
A Monjuá trata seus dados pessoais em conformidade com as atividades dispostas em seu objeto social, através de processos adequados à LGPD e seguidores das melhores práticas.
Destarte, os objetivos da presente Política são:
a) Implementar diretrizes que devem ser incondicionalmente seguidas quando do tratamento de dados pessoais por parte de qualquer pessoa relacionada, na condição de colaborador ou prestador de serviço, com a Monjuá; e
b) Incentivar o uso das melhores práticas de proteção de dados, a fim de atender às expectativas regulatórias estabelecidas com o advento da LGPD.
2. DEFINIÇÕES
Para efeito desta Política Geral de Privacidade e Proteção de Dados, os conceitos a seguir se entendem com os seguintes significados:
a. LGPD: Lei 13.709/18 – Lei Geral de Proteção de Dados e sua regulamentação.
b. Dado Pessoal: qualquer informação relacionada a uma pessoa natural identificada ou identificável - ou seja, dados que permitem identificar, ainda que indiretamente, a pessoa a qual eles pertencem.??
c. Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
d. Dado Anonimizado: dado relativo a Titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
e. Agentes de Tratamento: o Controlador e o Operador, que realizam tratamento de dados.
f. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
g. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.
h. Titular do dado: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
i. Encarregado / DPO: pessoa indicada pelo Controlador, que atua como canal de comunicação entre o Controlador, de um lado, e os Titulares e a Autoridade Nacional, de outro.
j. Autoridade Nacional de Proteção de Dados: órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.
k. Tratamento: todo e qualquer tipo de operação realizada com dados pessoais, executada ou não por processos automatizados, como, mas não limitado a, coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
l. Operação de Tratamento de Dados (OTD): Macroprocesso da empresa que envolve o tratamento de dados pessoais.
m. Relatório de Impacto à Proteção de Dados: relatório elaborado para comprovar a adequação de empresa, produto ou serviço com a LGPD.
n. Consentimento: manifestação livre, informada e inequívoca pela qual o Titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
o. Incidente com vazamento de dados: violação das medidas de segurança adotadas pela empresa que resulte em vazamento de dados pessoais.
3. APLICAÇÃO
A Politica Geral de Privacidade é aplicável a todos que, de alguma forma, realizam algum tipo de tratamento de dados pessoais em nome da Monjuá, seja na posição de colaboradores, parceiros comerciais, fornecedores, representantes, entre outros que possuam acesso a informações, serviços, sistemas e recursos de sua propriedade (“Stakeholders”).
Assim, essa Política aplica-se para todas as áreas, lojas e unidades administrativas da Monjuá, e está vinculada às seguintes políticas internas da empresa:
a. Política de confidencialidade e sigilo da informação
b. Aviso de Privacidade c. Código de Ética e Conduta
4. LEGISLAÇÃO DE REFERÊNCIA
Lei 13.709/2018 – Lei Geral de Proteção de Dados - LGPD
5. DISPOSIÇÕES GERAIS
5.1. FINALIDADE E FUNDAMENTO JURÍDICO
Os dados pessoais de colaboradores, representantes e prestadores de serviços só serão utilizados para dar suporte às operações da empresa e administrar programas de remuneração, benefícios, recursos humanos ou, ainda, quando for necessário para cumprimento de obrigações legais. Excepcionalmente, será necessária a obtenção de consentimento dos referidos titulares para tratamento de dados cuja finalidade for diferente daquelas descritas nesta política.
Todo e qualquer tratamento de dados pessoais no ou em favor da Monjuá deverá contar com uma finalidade legítima, específica e amparada em pelo menos uma das hipóteses legais previstas na LGPD, sendo que nenhum dado pessoal deverá ser tratado para finalidade diversa daquela informada ao seu titular.
Todo e qualquer novo processo, atividade ou operação da Monjuá que envolva o tratamento de dados pessoais deverá ser reportado por escrito ao Encarregado, o qual poderá formular recomendações de ajuste de conformidade.
5.2. TRANSPARÊNCIA
Devem ser empreendidos esforços para que o titular seja adequadamente informado acerca do tratamento de seus dados pessoais. Nos casos em que for necessário o compartilhamento de dados pessoais com outras empresas, a Monjuá garantirá a disponibilização, quando solicitado pelos titulares, de informações claras e ostensivas acerca deste compartilhamento, incluindo qual a sua finalidade.
5.3. ADEQUAÇÃO, NECESSIDADE E QUALIDADE
Toda e qualquer Operação de Tratamento de Dados Pessoais deve estar balizada pelo princípio da necessidade e se realizar da forma menos invasiva possível ao titular – ou seja, os dados pessoais devem ser adequados, relevantes e não excessivos para os fins aos quais são coletados/processados. Além disso, deve-se empregar os melhores esforços para que os dados pessoais tratados sejam corretos, completos de acordo com a finalidade do tratamento e, conforme o caso, atualizados.
5.4. CICLO DE VIDA DOS DADOS PESSOAIS
As diretrizes do tratamento de dados pessoais e da sua retenção devem observar o que se chama de Ciclo de Vida do Tratamento de Dados Pessoais, conforme se expõe no esquema abaixo:
i. Coleta (Nascimento)
a. Justificação para o tratamento de dados
b. Atendimento aos princípios trazidos em lei
c. Finalidade, necessidade e adequação
b. Atendimento aos princípios trazidos em lei
c. Finalidade, necessidade e adequação
ii. Tratamento
d. Cumprimento de obrigações de segurança
e. Atendimento a direitos do usuário
e. Atendimento a direitos do usuário
iii. Exclusão
f. Necessária exclusão do dado pessoal, quando atendida a finalidade do tratamento, salvo guarda obrigatória por determinação legal
Como regra, com o esgotamento da finalidade do tratamento dos dados pessoais no contexto de uma Operação de Tratamento de Dados, aqueles devem ser excluídos ou anonimizados, exceto se seguir existindo obrigação legal ou regulatória de guarda, ou, ainda, dever de transferência a terceiros. Antes da exclusão dos dados, deve ser apurado se estes não são necessários para outra Operação de Tratamento de Dados, devendo a exclusão ser validada junto ao Encarregado. Em qualquer cenário, deverão ser observados os prazos previstos em poli´tica especi´fica intitulada “Politica de Guarda de Dados”.
5.5. PRIVACIDADE BY DESIGN E BY DEFAULT
O respeito à privacidade deve se dar “by design” e “by default”, de modo que, desde a sua concepção, todo novo produto ou serviço deverá ser cautelosamente avaliado visando à redução de riscos à proteção de dados pessoais e não se poderá presumir a concessão de qualquer direito pelo titular dos dados pessoais.
5.6. RELAÇÕES COM TERCEIROS
Na contratação com terceiros, parceiros comerciais e/ou prestadores de serviço, deverão ser requeridos documentos e realizadas visitas técnicas, quando necessário, para fins de examinar a maturidade institucional da empresa/pessoa contratada no que atine à proteção de dados pessoais, privilegiando-se a contratação da empresa/pessoa que apresente maior maturidade institucional no que atine à proteção de dados, sem prejuízo do exame dos demais indicadores negociais.
5.7. TRATAMENTO DE DADOS PESSOAIS DE CRIANÇAS E ADOLESCENTES
Os dados pessoais de crianças e adolescentes deverão ser tratados com segurança especial, sempre no seu melhor interesse. Nas operações de tratamento de dados de criança (menores de 12 anos, segundo o ECA), à exceção da hipótese em que o tratamento de dados da criança e/ou adolescente decorra de obrigação legal ou regulatória, será necessária obtenção do consentimento expresso de seu responsável, sendo indicada a finalidade que atenderá tal operação de tratamento.
5.8. SEGURANÇA DA INFORMAÇÃO
A Monjuá deve constantemente buscar a adoção das melhores práticas em tecnologia e segurança da informação, visando a garantir a segurança e a prevenção do dado pessoal, incluindo medidas de segurança técnicas e organizacionais para proteger os dados pessoais contra acesso não autorizado, manipulação acidental ou intencional, perda e destruição.
5.9. HIERARQUIZAÇÃO DE ACESSOS
O acesso aos dados pessoais coletados será restrito aos colaboradores autorizados e que necessitarem realizar o tratamento desses dados para o desempenho de suas funções na empresa. Os colaboradores que utilizarem as informações coletadas de forma indevida ou inadequada, em descumprimento à Política de Privacidade, estarão sujeitos às consequências de um processo disciplinar. O armazenamento das informações coletadas de usuários, sejam elas fornecidas pelo próprio usuário ou automaticamente obtidas pelos sistemas eletrônicos da Monjuá, deve observar todos os padrões de segurança necessários para a preservação da confidencialidade e integridade dos dados pessoais. Todos os dados pessoais que são transmitidos através de sistemas eletrônicos deverão obedecer a uma conexão segura utilizando ferramentas adequadas. Os dados referentes as senhas e assinaturas eletrônicas dos usuários deverão ser armazenados na base de dados da Monjuá e criptografados por algoritmos que garantam um nível alto de segurança.
5.10. ATENDIMENTO ÀS DEMANDAS DO TITULAR DE DADOS
Sujeito às exceções legais, qualquer funcionário, representante ou prestador de serviço poderá obter, mediante solicitação, informações sobre seus próprios dados pessoais. Ainda, é assegurado o direito de revogar o consentimento previamente fornecido para tratamento de dados, respeitados às exceções previstas em lei.
5.11. TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
Excepcionalmente, os dados pessoais tratados poderão ser enviados para localidade fora do Brasil. Quando isso acontecer, a transferência deve observar das bases legais estabelecidas no art. 33 da Lei Geral de Proteção de Dados, com a certificação que os destinatários de suas informações possuam um nível adequado de proteção das mesmas.
5.12. CONTRATOS E SERVIÇOS
Previamente à pactuação de qualquer contratação com terceiros, a Monjuá deverá exigir que todos os stakeholders envolvidos:
• tenham efetuado o mapeamento de todas as suas operações de tratamento de dados, garantindo que nenhum dado pessoal seja tratado à míngua do devido enquadramento em pelo menos uma das hipóteses legais previstas nos artigos 7º ou 11º da LGPD e do respeito aos princípios norteadores do artigo 6º, da LGPD;
• possuam meios aptos a recepcionar e atender, de forma adequada, petições e/ou comunicações dos titulares de dados pessoais;
• adotem as melhores práticas para garantir a segurança dos dados pessoais tratados;
• tenham nomeado um Encarregado do tratamento de dados pessoais;
• possuam Plano de Prevenção e Resposta a Incidentes com vazamento de dados.
As condições acima poderão ser comprovadas mediante o fornecimento de documentos e/ou por intermédio da realização de visitas técnicas, quando necessário, para fins de examinar-se a maturidade institucional da empresa/pessoa contratada no que atine à proteção de dados pessoais.
Sem prejuízo do exame de indicadores negociais e de risco, em qualquer contratação com terceiros, a Monjuá deverá privilegiar aquelas empresas/pessoas que apresentem maior maturidade institucional no que atine à proteção de dados.
6. ENCARREGADO
A Monjuá informa em sua página oficial na Internet o nome e os meios de contato do seu Encarregado pelo tratamento de dados pessoais, ao qual caberá:
• Receber requerimentos, reclamações e comunicações em geral dos titulares de dados pessoais, coordenando o seu endereçamento;
• Ser ponto de contato com as autoridades fiscalizatórias;
• Coordenar a elaboração de Relatórios de Impacto à Proteção de Dados (RIPD) para averiguar o risco no uso de dados pessoais e a conformidade regulatória da empresa, especialmente no desenvolvimento de novos produtos, serviços e práticas;
• Realizar auditorias internas e proativamente estabelecer estratégias de compliance e prevenção de riscos envolvendo dados pessoais;
• Orientar e treinar os colaboradores da empresa a respeito das melhores práticas de proteção de dados pessoais;
• Coordenar as medidas de resposta a incidentes com vazamento ou furto de dados pessoais, incluindo o reporte às autoridades ou aos titulares respectivos.
• Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares, priorizando o monitoramento e a adequação da empresa às exigências e à conformidade legal.
• Acompanhar o processo de desenvolvimento de novos produtos e serviços, a fim de que seja assegurado o modelo Privacy by Design – “PbD” em todos os ni´veis de concepção de inovações na empresa.
7. CONSIDERAÇÕES FINAIS
A Política entra em vigor a partir de sua data de publicação, permanecendo vigente até que seja atualizada ou revogada, e será atualizada sempre que houver necessidade de adequações, sejam decorrentes de alterações normativas ou de fluxos/ processos internos.