1. OBJETIVO
Esta Política de Gestão de Dados Pessoais tem como objetivo apresentar aos colaboradores, prestadores de serviços, parceiros e fornecedores do GRUPO GR as diretrizes da proteção aos dados pessoais e a importância da adoção das melhores práticas, bem como estabelecer as responsabilidades e os limites de atuação, reforçando a cultura interna e priorizando as ações necessárias, formalizando o comprometimento do GRUPO GR em adequar-se às leis aplicáveis, fortalecendo os negócios, as parcerias e as relações com os titulares dos dados pessoais.
2. APLICAÇÃO
Esta Política aplica-se aos colaboradores, prestadores de serviços, parceiros e fornecedores do GRUPO GR.
3. DEFINIÇÕES E SIGLAS
Agente de Tratamento: O controlador e o operador;
Autoridade competente: Órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento da Lei de Proteção de Dados Pessoais aplicável.
Colaborador: Empregado, estagiário, menor aprendiz, ou qualquer outro indivíduo ocupante de cargo ou emprego no GRUPO GR.
Ciclo de Vida do Dado Pessoal: Fluxo do tratamento do dado pessoal, que envolve as ações de Coleta, Armazenamento, Uso, Compartilhamento e Eliminação do dado pessoal.
Compartilhamento de dados pessoais: Comunicação, difusão, transferência nacional ou internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos, entidades ou pessoais, e para uma ou mais modalidades de tratamento.
Consentimento: Manifestação livre, informada e inequívoca pela qual o Titular dos dados pessoais concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Controlador: Pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Dado anonimizado: Dado que não identifica de forma direta ou indireta um titular dos dados pessoais, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Dado pessoal: Informação relacionada à pessoa física identificada ou identificável. Para os propósitos desta Política, os dados pessoais são classificados como Informação Confidencial.
Dado pessoal sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física.
Dados de saúde: dados sensíveis que permitem inferir informações referentes à saúde do titular.
Encarregado pelo tratamento de dados pessoais: Pessoa física ou jurídica indicada pelo GRUPO GR e que atua como canal de comunicação entre o GRUPO GR e os Titulares dos dados pessoais ou a Autoridade competente.
Legalidade: Garantia de que todas as informações sejam criadas e gerenciadas de acordo com as disposições do Ordenamento Jurídico em vigor.
Operador: Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.
Pseudonimização: é o tratamento por meio do qual um dado pessoal perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
Relatório de Impacto à Proteção de Dados Pessoais: Documento que contém a descrição dos processos de tratamento de dados pessoais que possam gerar riscos às liberdades civis e aos direitos fundamentais dos titulares dos dados pessoais, bem como medidas, salvaguardas e mecanismos de mitigação desses riscos.
Requisições dos Titular dos dados pessoais: Requisição do Titular dos dados pessoais acerca de seus direitos estabelecidos em lei e relativos ao tratamento dos seus dados pessoais.
Titular dos dados pessoais: Pessoa física a quem se referem os dados pessoais que são objeto de tratamento.
Tratamento de Dados Pessoais: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Violação: Qualquer atividade que desrespeite as regras estabelecidas nos documentos normativos do GRUPO GR.
Violação de Dados Pessoais: Destruição, perda, alteração, divulgação acidental ou ilegal, não autorizada ou acesso a dados pessoais transmitidos, armazenados ou de outra forma processados, resultante de incidente de segurança.
4. DOCUMENTOS DE REFERÊNCIA
Lei no 13.709, de 14 de agosto de 2018, Lei de Proteção de Dados Pessoais;
Decreto no 8.771, de 11 de maio de 2016, regulamenta a Lei no 12.965, de 23 de abril de 2014, para tratar das hipóteses admitidas de discriminação de pacotes de dados na internet e de degradação de tráfego, indicar procedimentos para guarda e proteção de dados por provedores de conexão e de aplicações, apontar medidas de transparência na requisição de dados cadastrais pela administração pública e estabelecer parâmetros para fiscalização e apuração de infrações.
Lei no 12.965, de 23 de abril de 2014, estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil;
Lei no 12.527, de 18 de novembro de 2011, regula o acesso a informações previsto no inciso XXXIII do art. 5o , no inciso II do § 3o do art. 37 e no § 2o do art. 216 da Constituição Federal; altera a Lei no 8.112, de 11 de dezembro de 1990; revoga a Lei no 11.111, de 5 de maio de 2005, e dispositivos da Lei no 8.159, de 8 de janeiro de 1991; e dá outras providências.
5. DIRETRIZES
5.1. O Tratamento De Dados Pessoais Deve Ser Regido Pelos Princípios Abaixo.
5.1.1. Finalidade: Os dados pessoais devem ser tratados apenas para as finalidades determinadas, explícitas, legítimas e informadas antes do tratamento, não podendo ser tratados
posteriormente para finalidades incompatíveis.
5.1.2. Adequação: Os dados pessoais devem ser tratados de modo adequado e pertinente às suas
finalidades de uso.
5.1.3. Necessidade e Proporcionalidade:O tratamento dos dados pessoais deve ser proporcional
aos objetivos do negócio, não sendo feito tratamento de tipos de dados pessoais que não sejam necessários e proporcionais aos objetivos de negócio. As áreas que realizam o tratamento dos dados pessoais devem buscar tratar o menor volume possível de dados pessoais, devendo esse volume ser proporcional aos objetivos do negócio.
5.1.3.1. Minimização: Os dados pessoais tratados pelo GRUPO GR devem ser limitados ao mínimo necessário para execução das finalidades de tratamento informadas. Não se deve coletar dados pessoais que não têm uma finalidade definida.
5.1.3.2. Subsidiariedade: Deve-se sempre buscar formas alternativas (subsidiárias) de se atingir as mesmas finalidades por meios menos invasivos à privacidade do titular dos dados pessoais. Devem ser cogitados métodos alternativos ou subsidiários que levem em consideração os direitos dos titulares dos dados para o cumprimento das finalidades de tratamento.
5.1.3.3. Limitação de armazenamento: Os dados pessoais e registros devem ser armazenados apenas durante o período estritamente necessário de acordo com sua finalidade, com os padrões a serem estabelecidos pela Autoridade Nacional de Proteção de dados (ANPD) e de acordo com a legislação aplicável. Os dados pessoais devem ser armazenados por período limitado, sendo que o período (ou critério) estabelecido deve ser informado ao titular dos dados pessoais antes do tratamento, excetuando-se hipóteses legais nas quais seja permitido o armazenamento por maior período de tempo. O período para a guarda dos dados pessoais deve ser definido na tabela de temporalidade.
5.1.4. Livre acesso: Assegurar aos titulares a consulta facilitada e gratuita sobre a forma e a duração do tratamento de seus dados pessoais.
5.1.5. Qualidade dos dados Assegurar aos titulares, a exatidão, clareza, relevância e atualização dos dados pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
5.1.6. Transparência: Assegurar que os titulares tenham informações claras, precisas e facilmente acessíveis sobre o tratamento de seus dados pessoais, observados os segredos comercial e industrial. Antes de realizar o tratamento de dados pessoais, o titular dos dados pessoais deve receber informação clara, concisa, inteligível, de fácil acesso e de fácil compreensão sobre a coleta, finalidade, armazenamento, compartilhamento e descarte de seus dados pessoais.
5.1.7. Segurança: O tratamento deve ser realizado de modo a assegurar a proteção e segurança dos dados pessoais, incluindo a proteção contra o tratamento não autorizado ou ilícito, perda, destruição ou dano acidental, devendo o GRUPO GR adotar medidas técnicas e organizacionais para salvaguardar a integridade, confidencialidade e disponibilidade dos dados pessoais.
5.1.8. Prevenção: Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
5.1.9. Não discriminação: Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
5.1.10. Responsabilização e prestação de contas: Demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
5.2. Bases Legais Para Tratamento De Dados Pessoais
5.2.1. O tratamento dos dados pessoais deve ser realizado de modo lícito, justo e transparente
com relação ao titular dos dados pessoais.
5.2.1.1. Dados Pessoais: O tratamento de dados pessoais somente é permitido e, portanto, está legitimado:
5.2.1.1.1. Com o consentimento do titular dos dados pessoais, conforme detalhado no item 4. É vedado o tratamento de dados pessoais mediante vício de consentimento;
5.2.1.1.2. Em caso do cumprimento de uma obrigação legal ou regulatória pelo GRUPO GR;
5.2.1.1.3. Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
5.2.1.1.4. Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
5.2.1.1.5. Quando o titular dos dados pessoais é parte em contrato ou os seus dados pessoais são necessários para execução de procedimentos preliminares para se firmar o contrato;
5.2.1.1.6. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, prezando sempre pelo pedido de segredo de justiça quando envolver dado pessoal;
5.2.1.1.7. Para a proteção da vida ou da segurança física da pessoa a quem os dados pessoais se referem;
5.2.1.1.8. Para proteção da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
5.2.1.1.9. Por interesse legítimo do GRUPO GR ou de terceiros, sendo obrigatória a confecção de relatório de impacto à proteção de dados pessoais;
5.2.1.1.10. Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
5.2.1.1.11. Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
5.2.1.2. Dados Pessoais Sensíveis: O tratamento de dados pessoais sensíveis deve ser precedido de relatório de impacto à proteção de dados pessoais. As hipóteses legais de tratamento de dados pessoais sensíveis, conforme ordenamento jurídico brasileiro vigente, são:
5.2.1.2.1. Quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
5.2.1.2.2. Sem o fornecimento de consentimento, quando for indispensável para:
5.2.1.2.2.1. Cumprimento de obrigação legal ou regulatória pelo Controlador;
5.2.1.2.2.2. Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
5.2.1.2.2.3. realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
5.2.1.2.2.4. exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
5.2.1.2.2.5. proteção da vida ou da incolumidade física do titular ou de terceiro; tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
5.2.1.2.2.6. garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9o desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
5.2.1.2.2.7. saúde poderão ser compartilhados entre Controladores levando em consideração o benefício dos interesses dos titulares e se for realizado, exclusivamente, para:
5.3. Dados De Saúde:
5.3.1. Os dados de
5.3.1.1. prestação de serviços de saúde;
5.3.1.2. assistência farmacêutica;
5.3.1.3. assistência à saúde;
5.3.1.4. serviços auxiliares de diagnose;
5.3.1.5. serviços de terapia.
5.3.2. O tratamento de dados de saúde deverá, obrigatoriamente, permitir ao titular o direito a
portabilidade dos seus dados, quando solicitada ou as transações financeiras e
administrativas resultantes do uso e da prestação dos serviços.
5.4. Diretrizes Gerais Para Tratamento Dos Dados Pessoais:
5.4.1. O tratamento de dados pessoais significa toda e qualquer operação realizada pelo GRUPO
GR com dados pessoais, a exemplo de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração entre outras operações possíveis.
5.4.2. O tratamento de dados pessoais deve ser realizado de acordo com os princípios do item 5 desta Política.
5.4.2.1. Ciclo de vida do dado pessoal: Todo o ciclo de vida do Dado Pessoal no GRUPO GR deverá estar de acordo com as diretrizes do Anexo I da Política, bem como diretrizes quanto à transferência internacional indicadas no Anexo II desta Política.
5.4.2.2. Contratos: O GRUPO GR na figura de Controlador, sempre que fizer uso de um Operador, deve estabelecer contrato tendo em vista as regulamentações relacionadas à privacidade e proteção de dados pessoais vigentes no país onde ocorrerá o tratamento dos dados pessoais, observando as diretrizes indicadas no Anexo III desta Política.
5.4.2.3. Relatório de Impacto a Proteção dos Dados Pessoais (RIPD): O relatório de impacto à proteção de dados pessoais visa a descrição dos processos de tratamento de dados pessoais e as medidas e mecanismos empregados para mitigar esses riscos pelo GRUPO GR.
5.4.2.3.1. Todo tratamento de dados pessoais tendo como base legal o legítimo interesse deve ser precedido de relatório de impacto à proteção de dados pessoais.
5.4.2.3.2. O relatório de impacto à proteção de dados pessoais deve ser elaborado pelo Encarregado pelo Tratamento de Dados Pessoais, com envolvimento das áreas necessárias para entendimento da elaboração deste relatório, conforme procedimento específico e, também, de acordo com as diretrizes do Anexo IV desta Política.
5.4.2.4. Segurança da Informação: Durante todo o ciclo de vida do dado pessoal, devem ser observadas as diretrizes de segurança existentes na Política de Segurança da Informação do GRUPO GR, bem como diretrizes gerais existentes na forma do Anexo V desta Política.
5.4.2.5. Decisões Automatizadas: As áreas devem listar os processos sob sua responsabilidade que envolvem decisões automatizadas baseada no tratamento de dados pessoais que ocorrem em sua área.
5.4.2.5.1. Toda decisão automatizada que envolve o tratamento de dados pessoais deve ter formalizada informações claras e adequadas, disponíveis aos titulares dos dados pessoais, quanto aos:
● Critérios utilizados para tomada de decisão automatizada;
● Procedimentos utilizados para a tomada de decisão automatiza;
5.4.2.5.2. O titular dos dados pessoais tem o direito de solicitar a revisão de tomada de decisão baseada em tratamento automatizado dos dados pessoais, tendo o acesso aos critérios e procedimentos, não sendo exigido que esta revisão seja por pessoa natural.
5.4.2.6. Legítimo interesse: O legítimo interesse deverá ser previamente analisado e validado junto ao Encarregado da Proteção de Dados Pessoais do GRUPO GR conforme procedimento específico, levando em consideração a proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem:
● Fazendo coleta dos dados estritamente necessários para a finalidade pretendida;
● Garantindo total transparência ao titular quando o tratamento dos dados pessoais estiver utilizando o legítimo interesse como base; e
● Elaborando Relatório de Impacto a Proteção de Dados (RIPD) conforme orientação do item 5.4.2.3 para as atividades cuja base legal para tratamento seja legítimo interesse.
5.5. Diretrizes De Resposta À Solicitações E Requisições
5.5.1. As diretrizes de procedimentos de resposta às requisições dos titulares dos dados pessoais
serão regidas pelo Procedimento de resposta à requisição do titular dos dados pessoais, disponível na <intranet ou rede interna>, conforme orientações do Anexo VI, no tocante a:
5.5.1.1. Resposta a requisição do titular dos dados pessoais;
5.5.1.2. Acesso aos dados pessoais pelo titular dos dados pessoais;
5.5.1.3. Apagamento e/ou bloquei de tratamento dos dados pessoais por requisição do titular dos dados pessoais;
5.5.1.4. Resposta a autoridade fiscalizadora;
5.5.1.5. Resposta a autoridade judicial.
6. MANUTENÇÃO DA POLÍTICA DE GOVERNANÇA DE DADOS PESSOAIS
O GRUPO GR deve estabelecer compromissos organizacionais, controles, avaliação e revisão das atividades para sustentar a sua Política de Governança de Dados Pessoais, bem como manter a conformidade de suas operações.
Caberá ao Comitê de Privacidade e Encarregado pela Proteção de Dados Pessoais estabelecer planos de ações ao identificar eventuais lacunas nos elementos que compõe esta Política.
7. COMPROMISSOS ORGANIZACIONAIS
7.1. Diretoria
7.1.1. Cumprir e fazer cumprir esta Política e demais documentos que a compõem;
7.1.2. Analisar e aprovar a política de gestão de dados pessoais;
7.1.3. Zelar para que o GRUPO GR esteja adequada à legislação de proteção de dados pessoais;
7.1.4. Aprovar os investimentos em segurança da informação e proteção de dados pessoais,
considerando a viabilidade, os custos, a técnica disponível e o tratamento de dados
pessoais;
7.1.5. Analisar e aprovar, ou não, as exceções a esta Política, considerando os riscos que
quaisquer exceções podem trazer à operação, caso vão de encontro às boas práticas em
termos de proteção de dados pessoais.
7.2. Encarregado Pelo Tratamento De Dados Pessoais
7.2.1. Elaborar e/ou revisar os procedimentos internos relativos à proteção de dados pessoais;
7.2.2. Organizar e/ou ministrar treinamentos em proteção de dados pessoais aos colaboradores
ou prestadores de serviço;
7.2.3. Analisar contratos que envolvam tratamento de dados pessoais, seguindo o framework
legal específico aplicável a cada situação em suas particularidades;
7.2.4. Apoiar investigações para apuração de responsabilidade dos envolvidos em violações de dados pessoais e auxiliar na definição de aplicação das penalidades internas, quando
necessário;
7.2.5. Avaliar e auxiliar na elaboração de Relatórios de Impacto à Proteção de Dados Pessoais;
7.2.6. Manter mapeamento de fluxos de dados Pessoais atualizado;
7.2.7. Fazer cumprir a Tabela de Temporalidade;
7.2.8. Desenvolver plano de análise e resposta a violações de dados pessoais que identifique o
tipo de violação, o número de registros afetados, quais registros foram afetados e as categorias de dados pessoais envolvidas, as notificações apropriadas e plano de mitigação dos efeitos da violação;
7.2.9. Receber as requisições dos titulares dos dados pessoais sobre privacidade e proteção de dados pessoais, bem como as comunicações da Autoridade Nacional;
7.2.10. Verificar a adequação das práticas e políticas do GRUPO GR no que se refere à transferência internacional de dados pessoais e ao manejo de dados pessoais sensíveis.
7.3. Comitê de Privacidade
7.3.1. Definir controles para garantir a integridade, confidencialidade e disponibilidade dos dados
pessoais, conforme preceituado pela lei;
7.3.2. Definir os controles para garantir a existência de registros auditáveis de todo o ciclo de
vida dos dados pessoais, desde o consentimento para o tratamento até o descarte,
certificando-se que o descarte seja confirmado em dupla verificação, sempre que possível;
7.3.3. Identificar e avaliar riscos relacionados à segurança da informação e proteção de dados
pessoais e propor melhorias e recursos necessários;
7.3.4. Analisar ou auxiliar na análise das violações de dados pessoais reportadas;
7.3.5. Manter comunicação com o Encarregado pelo Tratamento de Dados Pessoais sobre os
aspectos relevantes à segurança da informação e proteção de dados pessoais.
7.4. Área de Tecnologia da Informação
7.4.1. Cumprir e fazer cumprir esta Política e demais documentos que a compõem;
7.4.2. Assegurar continuamente que todos os sistemas, serviços e equipamentos usados para o
tratamento de dados pessoais estejam dentro de um padrão aceitável de segurança;
7.4.3. Analisar os aspectos técnicos de todo e qualquer produto ou serviço de terceiros que o GRUPO GR esteja considerando contratar para processar ou armazenar dados pessoais
(exemplos: nuvem, hardware, equipamentos de rede);
7.4.4. Atuar de forma coordenada com o Encarregado pelo Tratamento de Dados Pessoais para
viabilizar a implementação de procedimentos e rotinas necessárias para o tratamento de
dados pessoais, como a dupla verificação da exclusão de dados pessoais;
7.4.5. Indicar colaborador ou prestador de serviço para supervisionar cada sistema que contenha dados pessoais coletados, utilizados ou armazenados e garantir que as medidas necessárias e apropriadas para manutenção da confidencialidade, integridade e
disponibilidade dos dados pessoais estejam sendo tomadas;
7.4.6. Coletar e manter registros das atividades de tratamento de dados pessoais, desde evidências que comprovem o consentimento dos titulares dos dados pessoais (logs de consentimento, por exemplo) até registro de utilização, compartilhamento, exclusão e outros, pelo período legal exigido conforme a Tabela de Temporalidade.
7.5. Área Jurídica
7.5.1. Participar previamente dos processos de contratação e aquisição de produtos e serviços do
GRUPO GR, validando as minutas visando que atendam aos controles de proteção de
dados pessoais aplicáveis;
7.5.2. Apoiar o Encarregado pelo Tratamento de Dados Pessoais quanto a possiblidades de
tratamento de dados pessoais no exterior, auxiliando no entendimento de validação do
nível de proteção de dados pessoais do país destino;
7.5.3. Analisar, com apoio do Encarregado pelo Tratamento de Dados Pessoais, possiblidade de
compartilhamento de dados pessoais para outros países, validando o nível de proteção de
dados pessoais do país destino;
7.5.4. Elaborar comunicados oficiais de respostas à Autoridade Fiscalizadora e Autoridades
Judiciais Competentes, com apoio do Encarregado pelo Tratamento de Dados Pessoais;
7.5.5. Fornecer orientação a Diretoria, colaboradores ou prestadores de serviço, com apoio do Encarregado pelo Tratamento de Dados Pessoais, quanto a medidas a serem tomadas no
caso de violação de dados pessoais.
7.6. Área de Recursos Humanos
7.6.1. Promover, em conjunto com o Encarregado pelo Tratamento de Dados Pessoais, a cultura de proteção de dados pessoais no GRUPO GR, realizando campanhas de capacitação e divulgação da proteção dos dados pessoais;
7.6.2. Assegurar a divulgação e a disponibilidade dos documentos que compõem esta Política e outras políticas internas para proteção de dados pessoais no GRUPO GR;
7.6.3. Assegurar que os colaboradores que tratam dados pessoais tenham assinado Cláusulas de Confidencialidade que incluam disposições específicas para o tratamento de dados pessoais;
7.6.4. Estipular controles de proteção de dados pessoais especificamente relacionados aos processos de contratação, desligamento (ou encerramento de prestação de serviços), modificação de atividades (incluindo a promoção) e afastamentos (incluindo férias e quaisquer licenças ou suspensões).
7.7. Área - Marketing
7.7.1. Elaborar, com o apoio do Encarregado pelo Tratamento de Dados Pessoais, campanhas de conscientização e materiais de divulgação e alerta relacionados a proteção de dados pessoais;
7.7.2. Analisar e aprovar a forma das comunicações relacionadas à proteção de dados pessoais;
7.7.3. Responder, seguindo as orientações do Encarregado pelo Tratamento de Dados Pessoais,
eventuais questionamentos de veículos de imprensa;
7.7.4. Submeter à análise do Encarregado pelo Tratamento de Dados Pessoais textos e
comunicados sobre privacidade e proteção de dados pessoais, antes de sua publicação.
7.8. Gestores
7.8.1. Cumprir, fazer cumprir e gerenciar o cumprimento desta Política e demais documentos
complementares por parte de seus colaboradores ou prestadores de serviço;
7.8.2. Assegurar que qualquer dado pessoal só poderá ser recebido, tratado, excluído ou compartilhado por sua área mediante notificação ao Encarregado pelo Tratamento de
Dados Pessoais;
7.8.3. Garantir a observação desta Política e da legislação competente pelos parceiros de negócio
que recebam dados pessoais enviados por sua área, devendo:
● Obter documentos (procedimentos internos de segurança da
informação, treinamento aplicado aos colaboradores ou prestadores de serviços que manuseiam os dados pessoais, lista de controle de acesso, por exemplo) e garantias (acordo de confidencialidade assinado pelos colaboradores, cláusulas contratuais, dentre outras) do parceiro de negócio que confirmem a segurança no manuseio dos dados pessoais sob responsabilidade do GRUPO GR;
● Firmar Acordo de Confidencialidade com o parceiro de negócios;
● Requerer, por meio de contrato, que o parceiro de negócios obtenha aprovação prévia e por escrito do GRUPO GR antes de qualquer subcontratação para fins de tratamento de dados pessoais sob responsabilidade do GRUPO GR, independente de previsão legal nesse
sentido;
● Requerer, por meio de contrato, que o parceiro de negócios se
abstenha de utilizar os dados pessoais sob responsabilidade do GRUPO GR para qualquer outro propósito, e que, após concluído o objeto do contrato, que sejam devolvidos e/ou eliminados todos os dados pessoais enviados ou compartilhados pelo GRUPO GR ao parceiro.
7.8.4. Preparar e manter atualizada uma lista com todas as categorias de dados pessoais tratados em sua área, e submeter essa lista ao Encarregado pelo Tratamento de Dados Pessoais;
7.8.5. Assegurar que os dados pessoais são coletados, usados ou gerenciados apenas por colaboradores ou prestadores de serviços autorizados, devendo:
● Classificar os dados pessoais tratados em sua área como confidenciais;
● Aprovar acessos aos colaboradores ou prestadores de serviço diretamente envolvidos nas atividades que demandam os dados
pessoais;
● Assegurar que os colaboradores ou prestadores de serviço sob sua
supervisão realizem treinamentos em proteção de dados pessoais e
conheçam as políticas internas do GRUPO GR;
● Atuar em parceria com as demais áreas do GRUPO GR para identificar
as vulnerabilidades e ameaças à proteção de dados pessoais nos
processos e atividades de sua responsabilidade;
● Assegurar que os dados pessoais sob a responsabilidade do GRUPO GR
sejam utilizados com cuidado e de acordo com as orientações legais
aplicáveis;
7.8.6. Ao identificar violações de dados pessoais ou qualquer ação duvidosa, comunicar o
Encarregado pelo Tratamento de Dados Pessoais imediatamente.
7.9. Colaboradores E Prestadores De Serviço
7.9.1. Cumprir e fazer cumprir, manter-se atualizado com esta Política e demais documentos que
a compõem;
7.9.2. Tratar os dados pessoais sob responsabilidade do GRUPO GR somente para fins
autorizados, de forma ética e legal, respeitando os direitos do titular dos dados pessoais e
de acordo com as orientações desta Política e da legislação aplicável;
7.9.3. Zelar pela integridade, disponibilidade, confidencialidade, autenticidade e legalidade dos dados pessoais acessados ou manipulados, não utilizando, enviando, transmitindo ou compartilhando indevidamente estes dados pessoais, em qualquer local ou mídia, inclusive
na Internet;
7.9.4. Cumprir a legislação vigente e demais instrumentos regulamentares relacionados à
proteção de dados pessoais;
7.9.5. Reportar formalmente ao Encarregado pelo Tratamento de Dados Pessoais quaisquer
eventos relativos à violação ou possibilidade de violação de dados pessoais ou atividades suspeitas de que tiver conhecimento;
7.9.6. Cumprir a legislação nacional vigente e demais instrumentos regulamentares relacionados às atividades profissionais no GRUPO GR;
7.9.7. Reportar formalmente ao Encarregado pelo Tratamento de Dados Pessoais quaisquer eventos relativos à violação dados pessoais ou atividades suspeitas, por meio do e-mail contato.lgpd@grupogr.com.br .