Política de Privacidade de Dados Pessoais Brasil
1. Objeto
A EdgeUno, em cumprimento à Lei 13.709/2018 (Lei Geral de Proteção de Dados, aqui denominada apenas LGPD) se compromete a atuar com cuidado e sensibilidade em suas operações de tratamento de dados pessoais. Esta Política estabelece as diretrizes para que a EdgeUno e suas afiliadas (coletivamente “EdgeUno” ou “Empresa”) possam realizar o tratamento de Dados Pessoais, reforçando seu compromisso com o cumprimento das regras e princípios de privacidade e proteção de dados pessoais aplicáveis.
2. Escopo
Esta política deve ser seguida por todos os funcionários e colaboradores da EdgeUno que tenham acesso a informações pessoais de clientes, fornecedores e afiliados da EdgeUno. E da mesma forma se dirige a todas as pessoas que compartilham informações pessoais com a EdgeUno para conhecimento de seus direitos.
3. Definições
AGENTES DE TRATAMENTO DE DADOS PESSOAIS: O controlador e o operador de dados pessoais.
ANONIMIZAÇÃO: Utilização de meios técnicos, razoáveis e disponíveis no momento do tratamento de dados pessoais, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. O dado anonimizado não é considerado dado pessoal para os fins da LGPD.
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (“ANPD”): Órgão da administração pública, submetida a regime autárquico especial, responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo território nacional.
CONTROLADOR DE DADOS PESSOAIS: Pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
COMPARTILHAMENTO DE DADOS PESSOAIS: Comunicação, difusão, transferência nacional ou internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgsãos, entidades entre outros para uma ou mais modalidades de tratamento.
CONSENTIMENTO: Manifestação livre, informada e inequívoca pela qual o titular dos dados pessoais concorda com o tratamento de seus dados para uma finalidade pré-determinada.
DADOS PESSOAIS: Informação relacionada a pessoa natural identificada ou identificável. Também são considerados dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural.
DADOS PESSOAIS SENSÍVEIS: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a pessoa natural.
ENCARREGADO DE DADOS PESSOAIS: Pessoa física ou jurídica indicada pelo Agente de Tratamento para atuar como canal de comunicação entre o Controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados. LEI GERAL DE PROTEÇÃO DE DADOS (“LGPD”): Diploma normativo (Lei nº 13.709, de 14 de agosto de 2018) que dispõe sobre o tratamento de dados pessoais em meios digitais ou físicos realizados por pessoa natural ou por pessoa jurídica, de direito público ou privado, tendo como objetivo defender os titulares de dados pessoais e ao mesmo tempo permitir o uso dos dados para finalidades diversas, equilibrando interesses e harmonizando a proteção da pessoa humana com o desenvolvimento tecnológico e econômico.
OPERADOR DE DADOS PESSOAIS: Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.
TITULAR DE DADOS PESSOAIS (“TITULAR”): Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
TRATAMENTO DE DADOS PESSOAIS (“TRATAMENTO”): Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, modificação, comunicação, transferência, difusão ou extração.
TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS: É a transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro que implica o uso compartilhado de dados (Art. 5º, XV e XVI LGPD). O mero transporte de informações pela rede não se caracteriza como transferência internacional de dados, de forma que, por exemplo, o provedor de internet não será caracterizado como Operador. Entretanto, quando agentes situados nos pontos “A” e “B”, em países diversos, desejam realizar uso compartilhado de informações de pessoas naturais identificadas ou identificáveis para a consecução de determinadas finalidades, isto implicará transferência internacional e ela apenas poderá ser realizada quando cumprir determinados requisitos legais (ou regulatórios) para tanto.
VIOLAÇÃO DE DADOS PESSOAIS: Ocorre quando os dados pessoais são de alguma forma acessados por pessoas ou entidades não autorizadas podendo ocasionar a destruição, perda, alteração, divulgação acidental ou ilegal, ou acesso a dados pessoais transmitidos, armazenados ou de outra forma processados, resultante de incidente de segurança.
4. Políticas e directrizes
4.1. A POLÍTICA DE PRIVACIDADE DE DADOS PESSOAIS E SEUS DESTINATÁRIOS
A Edgeuno (“EdgeUno” ou “Empresa”) atribui grande importância à proteção de dados pessoais e com intuito de reforçar o princípio da transparência, esta política se presta a informar os seus destinatários sobre o processamento de dados pessoais realizado pela EdgeUno na posição de “controlador de dados” de acordo com a LGPD.
A Política é destinada: (i) aos empregados da Empresa (ii) a todos os terceiros, sejam eles pessoas físicas ou jurídicas que atuam para ou em nome da Empresa em operações que envolvam tratamento de dados pessoais que sejam realizadas no escopo das atividades conduzidas pela Empresa; (iii) aos agentes de tratamento de dados pessoais externos à Empresa que de qualquer forma se relacionem com a Empresa; e (iv) aos titulares de dados pessoais, cujos dados são tratados pela Empresa.
A adesão a esta Política e às leis de proteção de dados pessoais é obrigatória a todos os destinatários acima indicados na medida em que se relacionam com a Empresa. A Política é publicada pela Empresa em seu site e declarada ao público. A Empresa se reserva o direito de alterar a Política a qualquer momento.
PRINCÍPIOS PARA O TRATAMENTO DE DADOS PESSOAIS
O tratamento de dados pessoais será regido pelos seguintes princípios:
• Licitude: O tratamento será realizado de modo lícito, justo e transparente com relação ao titular dos dados pessoais.
• Finalidade: a empresa realizará o tratamento de dados pessoais apenas para propósitos legítimos, específicos, explícitos e informados ao titular de dados pessoais, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
• Adequação: a empresa realizará o tratamento de dados pessoais de forma compatível com as finalidades informadas ao titular de dados, e de acordo com o contexto do tratamento;
• Necessidade: o tratamento de dados pessoais será limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento;
• Livre Acesso: a empresa assegurará aos titulares de dados pessoais a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados;
• Qualidade dos dados: a empresa garantirá, aos titulares de dados pessoais, a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
• Transparência: a empresa garantirá, aos titulares de dados pessoais, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento de dados pessoais, observados os segredos comercial e industrial;
• Segurança: a empresa utilizará medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
• Prevenção: a empresa adotará medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
• Não discriminação: a empresa atuará de forma a impedir a realização do tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos;
• Responsabilização e prestação de contas: a empresa se compromete a demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, e a eficácia dessas medidas.
4.2. CATEGORIAS DE DADOS PESSOAIS
A EdgeUno pode processar as seguintes Categorias de dados pessoais:
• Dados de Identidade: Esta categoria de dados se refere a tipos de dados como Número de Identificação, nome completo, local e data de nascimento, estado civil, gênero, dados bancários.
• Dados de contato: Grupo de dados que podem ser usados para se contatar uma pessoa como telefone, endereço postal, e-mail, número de fac-símile, endereço IP
• Dados Pessoais Sensíveis: Esta categoria de dados representa tipos de dados tais como (i) dados sobre origem racial ou étnica, (ii) filiação a sindicato, (iii) dados referentes à saúde (iv) dados biométricos para segurança do trabalho, tais como impressões digitais, (v) registros criminais relativos a condenações penais de pessoas.
• Dados Visuais: Significa imagens recebidas após o recrutamento de membros da equipe ou imagens de pessoas gravações de vídeo com o propósito de segurança em ambientes físicos EdgeUno.
• Dados de áudio: são dados relativos às vozes de pessoas gravadas durante chamadas de call center ou por meio de câmeras de vigilância em ambientes físicos EdgeUno.
• Dados do Empregado: Tipo de dados contendo profissão, educação, informações de dados financeiros, além de identidade, detalhes de contato dos funcionários arquivados em pasta pessoal do empregado legalmente criada a partir de contratos de trabalho celebrados com membros do pessoal.
• Informações sobre produtos adquiridos: são dados inseridos em bancos de dados EdgeUno sob responsabilidade e garantia do fabricante, além do cumprimento do serviço técnico ou serviço de instalação a produtos e serviços adquiridos pelas pessoas.
• Dados de contrato: significa todos os dados relativos à qualificação de pessoa natural, sua assinatura, seja ela eletrônica ou não, circular de assinatura ou ainda informações de sociedade unipessoal inseridas no banco de dados pela EdgeUno como resultado de relacionamento contratual que estabelece com parceiros de negócios, fornecedores e terceirizados com quem a EdgeUno tem relações legais ou comerciais.
4.3. PROPÓSITOS PARA O PROCESSAMENTO DE DADOS PESSOAIS
Os dados pessoais dos titulares podem ser processados para os seguintes fins, dentre outros, de acordo com a legislação relativa à proteção de dados pessoais:
a. Dados de Clientes (pessoas naturais que se beneficiam de produtos e serviços oferecidos pela Empresa):
• Realização de processos de compra de mercadorias/ serviços
• Execução de serviços / serviços pós-vendas ou serviços de suporte de vendas
• Realização de processos de vendas de bens/ serviços
• Realização de processos de gestão de relacionamento com o cliente
• Realização de atividades destinadas à satisfação do cliente
• Realização de Estudos de Análise de Marketing
• Realização de Publicidade/ Campanha / Processos de Promoçãos
• Garantia da segurança do local físico
• Realização de transações e operações sob relações Comerciais/Contratuais e cumprimento de obrigações financeiras e legais
• Fornecimento de pedidos on-line e prestação de serviços
• Promoção e comercialização de produtos e serviços, entrando em contato com você para tanto
• Solicitações/ Reclamações
• Cumprimento das obrigações de garantia sob responsabilidade do fabricante.
b. Dados de Empregados (pessoas naturais que prestam serviço na Empresa sob um contrato de trabalho e vínculo empregatício):
• Realização de Processos e Pesquisas de Satisfação e Compromisso dos Funcionários
• Cumprimento de obrigações decorrentes de contratos de trabalho e legislação
• Realização de Processos de Benefícios para Funcionários
• Realização de Auditoria/Operações éticas
• Realização de Operações de Treinamento
• Autorizações para Acesso
• Realização de Operações em Conformidade com a Legislação
• Realização de trabalhos financeiros e contábeis
• Processos de Planejamento de Recursos Humanos
• Realização/Auditoria de Operações de Negócios
• Operações de Saúde/Segurança Ocupacional
• Processos de segurança da informação
• Operações de Gestão
• Realização de operações para garantir a continuidade dos negócios e garantir a segurança do local físico
• Para atendimento às notificações/fiscalizações de órgãos governamentais, para beneficiar-se de incentivos perante agências governamentais, para prover informações às autoridades competentes e para atendimento de auditorias de órgãos reguladores
• Realização de operações de recursos humanos e atividades de funcionários em particular
• Garantir a auditoria dos funcionários e o envolvimento em operações necessárias de processamento de dados sob seu direito de gestão.
c. Dados de candidatos a emprego (pessoas naturais que se candidataram a um emprego enviando um CV para a Empresa ou através de outros métodos):
• Realização regular de Processo de Recrutamento e Seleção
• Realização de Processos de Inscrição de Candidatos
• Realização de Processos e pesquisas de Satisfação e Compromisso dos Funcionários
• Realização de operações para garantir a continuidade dos negócios e a segurança do local físico.
d. Dados de fornecedores/parceiros de negócios
Fornecedores e Parceiros são entendidos como as Partes que estabelecem parceria comercial para fins como a realização de operações comerciais, fornecendo bens ou serviços à Empresa de acordo com as instruções da Empresa e com base em um contrato, e os funcionários destas Partes. Sob esta relação comercial, os dados pessoais das Partes, de seus representantes e funcionários podem ser processados sob os propósitos elencados abaixo, de acordo com os princípios básicos previstos na LGPD e dentro do prazo de processamento necessário para o desempenho de Contratos, cumprimento de obrigações legais e interesses legítimos da empresa.
• Realização de Operações em Conformidade com a Legislação
• Realização de trabalhos Financeiros e Contábeis
• Execução de processos judiciais
• Realização de Operações Internas da Empresa
• Planejamento estratégico e gestão de negócios, parceiros e fornecedores
• Garantia da segurança do local físico;
e. Dados de visitantes (pessoas naturais que visitam a Empresa, loja, campus ou site):
Em suas visitas à empresa, site e outros locais de trabalho, as imagens de vigilância em ambientes
físicos e registros de visitantes são processadas conforme as finalidades elencadas a seguir,
sujeitos aos interesses legítimos da empresa:
• Cumprimento de obrigações legais e regulatórias
• Realização de Auditoria ou outras Operações éticas
• Realização de processos de segurança da informação
• Realização de Operações de Saúde/Segurança Ocupacional
• Criação e Execução de registros de Visitantes
• Garantia da segurança do local físico
• Fornecimento de informações a Pessoas, Agências e Organizações Autorizadas
• Garantia da segurança de empregados, terceiros e visitantes
• Garantia da segurança das operações do controlador de dados
• Fornecimento de acesso à internet e garantia da segurança do acesso
f. Dados de clientes em potencial (pessoas naturais que demonstrem interesse em usar produtos e serviços oferecidos pela Empresa, com potencial para se transformarem em clientes):
• As visitas aos sites e locais da empresa, postagens em mídias sociais, solicitações e reclamações transmitidas ao call center da empresa e dados de identificação obtidos diretamente dos titulares mediante formulários com expresso consentimento, poderão ser processados com a finalidade de marketing e apresentação dos produtos e serviços prestados pela empresa.
4.4. MÉTODO DE COLETA E BASE LEGAL PARA PROCESSAMENTO DE DADOS PESSOAIS
Os dados pessoais poderão ser coletados por qualquer tipo de meio físico e eletrônico automatizado total ou parcialmente ou não automatizados, pelo preenchimento de contratos de compra de bens ou serviços, fornecimento de bens ou serviços, contratos de trabalho, dentre outros, ou de informações inseridas em termos, ficha ou formulários físicos ou digitais, em compras nos sites da empresa ou de parceiros, call center, visitas a sites, processos de recrutamento, visitas aos locais de negócios, entre outros meios.
Os dados pessoais serão coletados e processados conforme as bases legais para tanto ou por seu consentimento expresso, sempre em conformidade com os princípios da LGPD e demais legislações aplicáveis. Os dados pessoais serão coletados e tratados em conformidade com as bases legais que legitimem a sua realização, podendo ser processados e transferidos para os fins estabelecidos neste documento.
A realização de operações de tratamento de dados pessoais pela Empresa poderá ser realizada:
• Mediante o fornecimento de consentimento pelo titular de dados pessoais;
• Para o cumprimento de obrigação legal ou regulatória;
• Para a realização de estudos por órgão de pesquisa;
• Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular de dados pessoais;
• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
• Para a proteção da vida ou da incolumidade física do titular de dados pessoais ou de terceiros;
• Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
• Quando necessário para atender aos interesses legítimos da Empresa ou de terceiros;
• Para a proteção do crédito;
• Conforme estipulado por legislação local ou estrangeira à que a EdgeUno esteja sujeita.
A realização de operações de tratamento de dados pessoais sensíveis pela Empresa podem ser realizadas:
I. Quando o titular de dados pessoais ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II. Sem fornecimento de consentimento do titular de dados pessoais, nos casos em que o tratamento for indispensável para:
a. O cumprimento de obrigação legal ou regulatória pela Empresa;
b. O exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
c. Proteção da vida ou da incolumidade física do titular de dados pessoais ou de terceiros;
d. Garantia da prevenção à fraude e à segurança do titular de dados pessoais, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
4.5. COMPARTILHAMENTO DE DADOS PESSOAIS
A EdgeUno pode compartilhar dados pessoais com as entidades abaixo listadas, observadas as medidas de segurança indicadas pela área de gestão da segurança da informação.
• Suas afiliadas e subsidiárias e/ou outras empresas com as quais tenha interesse econômico ou direitos de propriedade ou como parte de uma reestruturação societária;
• Parceiros e fornecedores autorizados e sujeitos a esta Política ou que sigam práticas pelo menos tão protetoras quanto as descritas neste documento e para as finalidades aqui informadas;
• A Terceiros e Autoridades (1) se houver razão para crer que houve uma violação das políticas internas ou da legislação aplicável; (2) se houver razões para crer que alguém pode estar causando danos aos direitos ou propriedade da empresa, a outros usuários ou a qualquer outra pessoa; (3) dentro das hipóteses de cumprimento de obrigação legal ou regulatória; (4) cumprimento do contrato; ou (5) segurança do cliente/usuário. Nestes casos, a EdgeUno irá compartilhar o mínimo de informações necessárias para atingir sua finalidade, garantindo sempre que possível, a anonimização dos dados pessoais.
4.6. MEDIDAS DE SEGURANÇA
Os sistemas da EdgeUno são projetados com a segurança e privacidade dos dados em mente sendo aplicadas as medidas técnicas de segurança administrativas e físicas, disponíveis à época destinadas a proteger suas informações pessoais contra acesso, divulgação, uso e modificação não autorizados e exigimos que nossos fornecedores sigam esses mesmos padrões de segurança, com base nas melhores práticas de mercado e o uso de:
• Protocolos e softwares de criptografia;
• Firewall;
• Uso de VPN para acesso fora das dependências da empresa;
• Controles de acesso físico e lógico;
• Registros de log e trilhas de auditoria do ciclo de vida do dado pessoal;
• Uso de autenticação em dois fatores;
• Implementação de segurança de endpoint;
• Auditorias de segurança regulares de nossos sistemas e redes;
• Implementação e aplicação de políticas de segurança da informação;
• Mantemos salvaguardas físicas, eletrônicas e processuais relacionadas à coleta, armazenamento e divulgação de dados pessoais dos clientes. Embora nos esforcemos para manter suas informações pessoais seguras, nenhuma medida de segurança é absoluta e não podemos garantir que nenhuma medida de segurança será 100%
eficaz.
4.7. DIREITOS DO TITULAR DE DADOS PESSOAIS
A EdgeUno, no contexto de atividades de tratamento de dados pessoais, reforça o seu compromisso de respeito aos direitos dos titulares de dados pessoais, o titular de dados pessoais poderá requerer, por meio de nossos canais de atendimento:
• A confirmação da existência do tratamento;
• O acesso e exibição de seus dados pessoais;
• A correção de dados pessoais que estejam incompletos, inexatos ou desatualizados;
• A eliminação de dados pessoais dos bancos de dados geridos pela EdgeUno, salvo se houver um motivo legítimo para a sua manutenção, como eventual obrigação legal ou regulatória de retenção de dados. Na hipótese de eliminação, a empresa se reserva o direito de escolher o procedimento de eliminação empregado, comprometendo-se a utilizar meio que garanta a segurança e evite a recuperação dos dados. A solicitação de eliminação do dado pessoal pelo titular não será possível quando o dado já tiver sido anonimizado;
• A limitação ou anonimização do uso de dados pessoais, que tenham sido reconhecidos por autoridade competente como desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD.
• Oposição a um tratamento e dados pessoais, que será analisada a partir dos critérios da LGPD;
• A portabilidade dos dados pessoais a outro fornecedor de serviços ou produtos, mediante expressa requisição, respeitados o segredo comercial e industrial da empresa, bem como as regulamentações da Autoridade Nacional e os limites técnicos da infraestrutura da empresa.
• A revogação do consentimento. Entretanto, ressalta-se que isso não afetará a legalidade de qualquer tratamento realizado antes da retirada do consentimento. Na hipótese de revogação do consentimento, talvez não seja possível fornecer determinados serviços, situação que será informada ao titular dos dados pessoais. Muitos dos nossos Serviços EdgeUno também incluem configurações que fornecem opções sobre com as informações podem ser usadas e o titular poderá optar por não fornecer certas informações, o que pode significar que não seja possível acesso a todos os serviços da EdgeUno.
4.8 TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS
Caso os dados pessoais tenham a previsão de serem transferidos para outro país, a possibilidade de compartilhamento com outro controlador deverá ser submetida à análise do encarregado pelo tratamento de dados pessoais, pela área de gestão de segurança da informação e a área jurídica, de modo que possam avaliar se o país de destino possui grau de proteção de dados que esteja adequado ao ordenamento jurídico brasileiro.
Se o controlador receptor oferecer e comprovar garantias de cumprimento dos direitos do titular, a transferência internacional de dados também poderá ser possível na forma de:
• cláusulas contratuais específicas para determinada transferência;
• cláusulas-padrão contratuais;
• normas corporativas globais; e
• selos, certificados e códigos de conduta emitidos pela Autoridade Nacional de Proteção de Dados;
A transferência internacional de dados pessoais também pode ocorrer a partir das finalidades elencadas abaixo:
• Quando a transferência for necessária para a proteção da vida do titular ou de terceiros;
• Quando a Autoridade Nacional autorizar a transferência;
• Quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
• Quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente está de outras finalidades;
• Para cumprimento de obrigação legal ou regulatória pela empresa;
• Quando necessária para execução de contrato e procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados.
4.9. ARMAZENAMENTO E EXCLUSÃO
Os dados pessoais coletados serão armazenados em ambiente seguro e controlado por um prazo mínimo de acordo com a finalidade do tratamento e as obrigações legais e regulatórias da empresa ou enquanto durar a relação e não houver pedido de exclusão ou revogação do consentimento.
4.10. DEVERES PARA O USO ADEQUADO DE DADOS PESSOAIS
São deveres dos Destinatários desta política:
Titulares de dados pessoais: Incumbe aos titulares de dados pessoais comunicar a empresa sobre quaisquer modificações em seus dados pessoais na sua relação com a empresa (e.g. mudança de endereço), notificando-a por meio de e-mail a: legal@edgeuno.com.
Empregados da EdgeUno: O compartilhamento de dados pessoais internamente entre empresas do Grupo EdgeUno é permitido, desde que respeitada a sua finalidade e base legal, observado o princípio da necessidade, ficando o tratamento de dados pessoais sempre restrito ao desenvolvimento de atividades autorizadas pela empresa.
Empregados, Agentes de tratamento e Terceiros:
• Não disponibilizar nem garantir acesso aos dados pessoais para quaisquer pessoas não autorizadas ou competentes de acordo com as normas da empresa.
• Obter a autorização necessária para o tratamento de dados e ter os documentos necessários que demonstrem a designação de sua competência para a realização da operação de tratamento de dados lícita.
• Cumprir as normas, recomendações e política de segurança da informação providos pelas áreas de Segurança da Informação.
Todos os Destinatários desta Política deverão contatar a área Jurídica e o Encarregado de Dados, quando da suspeita ou da ocorrência efetiva das seguintes ações:
• Operação de tratamento de dados pessoais realizada sem base legal que a justifique e, aos empregados da EdgeUno, caberá reportar também tratamento de dados que viole a política interna de segurança da informação.
• Tratamento de dados pessoais sem a autorização por parte da empresa no escopo das atividades que desenvolve;
• Eliminação ou destruição não autorizada de dados pessoais de plataformas digitais ou acervos físicos em todas as instalações da empresa ou por ela utilizadas;
• Qualquer outra violação desta Política ou de qualquer um dos princípios de proteção de dados dispostos nela;
• Incidente de segurança.
4.11. RESPOSTA À AUTORIDADE FISCALIZADORA
Os empregados, credenciadas ou prestadores de serviço têm o dever de notificar o encarregado pelo tratamento de dados pessoais e a área jurídica da empresa, sem demora injustificada, e antes de responder à Autoridade, sobre qualquer ordem ou requisição relativa à privacidade e proteção de dados pessoais recebida de autoridade fiscalizadora.
RESPOSTA À AUTORIDADE JUDICIAL
Os empregados, credenciadas ou prestadores de serviço têm o dever de notificar imediatamente o encarregado pelo tratamento de dados pessoais e a área jurídica da empresa sobre qualquer ordem ou determinação de autoridade judicial relativa a dados pessoais de que tome conhecimento. Quando requisitado por meio de ordem judicial, caberá à área jurídica fornecer quaisquer esclarecimentos e entregar as informações demandadas pela Autoridade, sem demora injustificada, podendo requisitar o apoio do encarregado pelo tratamento de dados pessoais e de outros departamentos caso entenda como necessário.
VIOLAÇÃO DE DADOS PESSOAIS
Os procedimentos relativos às violações de dados pessoais são regidos pelo procedimento de resposta a incidentes. A área de gestão de segurança da informação deve implementar controles técnicos apropriados de modo a capacitar a empresa quanto à possíveis violações de dados pessoais em seus ambientes lógicos, possibilitando reportar estas em tempo hábil à autoridade fiscalizadora.
Os empregados, credenciadas ou prestadores de serviço têm o dever de notificar a área de gestão de segurança da informação, por meio do e-mail csirt@edgeuno.com (EdgeUno Computer Security Incident Response Team) sem demora injustificada, acerca de qualquer violação ou tentativa de violação de dados pessoais da qual tenham conhecimento. Os empregados, credenciadas ou prestadores de serviço devem, na medida de suas possibilidades, cooperar para a investigação e mitigação de incidentes de violação de dados pessoais. Todos os procedimentos realizados nesta seção devem ser documentados pelas partes envolvidas, sob a supervisão do encarregado pelo tratamento de dados pessoais.
COTATO
Para exercer os direitos acima estabelecidos, os titulares de dados pessoais poderão enviar solicitação para o e-mail legal@edgeuno.com com documentos que permitam confirmar sua identidade e formulário de inscrição disponível em www.edgeuno.com ou outro documento escrito que atenda às condições exigidas pela legislação pertinente. Após o envio das solicitações por escrito, os processos necessários serão realizados para garantir que a requisição seja finalizada o mais rápido possível e no prazo máximo de 30 (trinta) dias.
Com o intuito de garantir a segurança dos dados, a empresa poderá solicitar informações para determinar se o solicitante é o titular dos dados pessoais sujeitos à requisição. A EdgeUno também poderá fazer perguntas sobre a solicitação, a fim de garantir que o pedido seja concluído de acordo com a finalidade da requisição do titular dos dados.
Para todos os efeitos de tratamento de dados, a EdgeUno conta com a figura do encarregado de dados para atuar como canal de comunicação entre a empresa, os titulares dos dados e Autoridade Nacional de Proteção de Dados (ANPD). Para obter mais informações, escreva para legal@edgeuno.com.