LGPD

POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS E COMPLIANCE EM PRIVACIDADE

Esta Política de Proteção de Dados Pessoais e Compliance em Privacidade estabelece diretrizes gerais para adequação da RR&CONT CONTABILIDADE às normas vigentes relacionadas ao tratamento de dados pessoais, além de para estabelecer o
compromisso com a segurança das informações dos titulares dos dados tratados.

Inicialmente, a adequação da entidade em relação à LGPD envolve uma transformação cultural que deve alcançar os níveis estratégico, tático e operacional da instituição. Essa transformação envolve: considerar a privacidade dos dados pessoais do cidadão desde a fase de concepção do serviço ou produto até sua execução (Privacy by Design); e promover ações de conscientização de todo corpo funcional no sentido de incorporar o respeito à privacidade dos dados pessoais nas atividades institucionais cotidianas por padrão (Privacy by Default).

1 CONCEITOS PRINCIPAIS DA LGPD (Art. 5, da LGPD)

a) Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável;
b) Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
c) Dado Anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
d) Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
e) Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
f) Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
g) Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

2 DOS FUNDAMENTOS

Esta política de proteção de dados e compliance em privacidade tem como fundamentos:
a) o respeito à privacidade;
b) a autodeterminação informativa;
c) a liberdade de expressão, de informação, de comunicação e de opinião;
d) a inviolabilidade da intimidade, da honra e da imagem;
e) o desenvolvimento econômico e tecnológico e a inovação;
f) a livre iniciativa, a livre concorrência e a defesa do consumidor; e
g) os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

3 DOS PRINCÍPIOS

Esta política aplica-se a qualquer operação de tratamento, sendo observadas a boa fé e os seguintes princípios:
a) finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
b) adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
c) necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
d) livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
e) qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
f) transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
g) segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
h) prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
i) não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
j) responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

4 DAS ATIVIDADES DE TRATAMENTO

O tratamento de dados pessoais é qualquer ação que se faça com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Assim, será realizado o tratamento de dados pessoais nos seguintes casos:
a) relações contratuais;
b) comunicações específicas e gerais;
c) monitoramento;
d) cadastro
e) marketing;
f) disposições legais;
g) outras iniciativas, desde que vinculadas às finalidades e objetivos institucionais.

4.1 Dos Tipos de Dados Tratados

A adequação do tratamento de dados depende do contexto da sua interação com a necessidade para o cumprimento das finalidades institucionais, podendo incluir:
a) Informações de identificação pessoal: (nome, endereço residencial, telefone, etc.)
b) Informações de identificação atribuídas por instituições governamentais: (CPF, RG, data de expedição do RG, número da CTPS, número do PIS/PASEP, etc)
c) Dados de identificação eletrônica: (e-mail, endereço de IP, cookies, etc)
d) Dados pessoais: (data de nascimento, sexo, etc)
e) Dados bancários (pró-labore)
f) Composição familiar: (nome do pai/mãe/filhos, datas de nascimento, etc)
g) Dados sensíveis: (raça, cor da pele, sindicato, etc)

4.2 Das Bases Legais para Tratamento

O tratamento de dados pessoais somente poderá ser realizado nas seguintes
hipóteses:
a) mediante o fornecimento de consentimento pelo titular;
b) para o cumprimento de obrigação legal ou regulatória pelo controlador;
c) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
d) para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

4.3 Do Compartilhamento dos Dados

Os dados pessoais poderão ser compartilhados com:
a) o titular dos dados, através de consulta facilitada e gratuita;
b) setores institucionais da empresa, para execução das finalidades contratada;
c) órgãos da Administração Pública, para cumprimento de obrigações jurídicas a que se encontre adstrita;
d) instituições do setor bancário e seguradoras, para gestão e processamento de pagamentos e celebração de contratos;
e) instituições com as quais haja algum tipo de pactuação contratual ou outros instrumentos jurídicos dessa natureza, nos termos estritamente necessários para a execução daqueles;
f) Poder Judiciário, para cumprimento de determinação judicial ou extrajudicial;
g) outras instituições ou pessoas singulares caso para tal disponha de consentimento.
A conservação dos dados pessoais será realizada pelo período necessário para o cumprimento das finalidades de tratamento e de acordo com as normativas relativas ao prazo de arquivamento de documentos.

4.4 Tratamento de Dados Sensíveis

A RR&CONT CONTABILIDADE realiza o tratamento de dados sensíveis de acordo com o consentimento do titular, ou do seu responsável legal, de forma específica e destinada a finalidades específicas.

Esse consentimento é dispensado para o cumprimento de obrigação legal, execução de políticas públicas, realização de estudos com a anonimização dos dados pessoais sensíveis, no exercício regular de direitos em contrato, processos judiciais, administrativos e arbitrais, para a proteção da vida e segurança física das pessoas, tutela da saúde em procedimento realizado por profissionais de saúde ou autoridade sanitária e prevenção à fraude.

4.5 Tratamento de Dados Pessoais de Crianças e Adolescentes

Uma vez que para realização do serviço prestado pela RR&CONT CONTABILIDADE, qual seja e-social e folha de pagamento, poderão ser tratados dados pessoais que envolvam crianças, adolescentes ou outro grupo vulnerável.

Contudo, para acessar esses dados, devem ser observados requisitos de
representação legal. Há também dados de dependentes de colaboradores/funcionários que envolvem
crianças e adolescentes, sendo necessários para fins trabalhistas, previdenciários ou tributários, dispensado o consentimento nesses casos.

4.6 Do Término do Tratamento De Dados

De acordo com a LGPD, o término do tratamento de dados pessoais pela instituição ocorrerá nas seguintes hipóteses:
a) verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
b) fim do período de tratamento;
c) comunicação do titular quanto à revogação do consentimento, resguardado o interesse público;
d) determinação pela autoridade nacional, quando houver violação à proteção de dados pessoais.

A RR&CONT CONTABILIDADE realiza o tratamento de dados pessoais pelo tempo necessário para cumprir a finalidade para os quais foram coletados, de acordo com sua base legal. Quando no término do tratamento, os dados pessoais serão eliminados, sendo autorizada a conservação nas situações previstas na legislação vigente.

5 DAS COMPETÊNCIAS

5.1 Do Controlador

O Controlador tem, entre outras, as seguintes competências previstas na LGPD:
a) manter registro das operações de tratamento de dados pessoais;
b) elaborar relatório de impacto à proteção de dados pessoais, inclusive dados sensíveis, relativo ao tratamento de dados;
c) orientar o operador quanto ao tratamento de dados segundo instruções internas, da legislação vigente e das regulamentações da Autoridade Nacional de Proteção de Dados (ANPD).

5.2 Do Operador

Operador é a pessoa natural ou jurídica, de direito público ou privado, externa ao quadro funcional da RR&CONT CONTABILIDADE, que realiza o tratamento de dados pessoais em nome e por ordem do controlador.

5.3 Do Encarregado

De acordo com a LGPD, o Encarregado é responsável por:
a) receber as reclamações e comunicações dos titulares, responder e adotar providências;
b) receber as comunicações da ANPD e adotar as providências necessárias;
c) orientar todos os colaboradores da instituição sobre as práticas a serem tomadas em relação à proteção de dados pessoais;
d) executar outras atribuições determinadas pelo controlador ou estabelecidas em normas complementares estabelecidas pela ANPD.

6 DOS DIREITOS DOS TITULARES

O titular dos dados pessoais poderá, a qualquer tempo e por meio de requisição específica, obter informações sobre o tratamento de seus dados pessoais perante a RR&CONT CONTABILIDADE garantidos os seguintes direitos:

a) Confirmação de que existe um ou mais tratamento de dados sendo realizado.
b) Acesso aos dados pessoais conservados que lhe digam respeito.
c) Correção de dados pessoais incompletos, inexatos ou desatualizados.
d) Eliminação de dados pessoais desnecessários, excessivos ou caso o seu tratamento seja ilícito.
e) Portabilidade de dados a outro fornecedor de serviço ou produto, observados os segredos comercial e industrial.
f) Eliminação de dados (exceto quando o tratamento é legal, mesmo que sem consentimento do titular).
g) Informação sobre compartilhamento de seus dados com entes públicos e provados, caso isso exista.
h) Informação sobre o não consentimento, ou seja, sobre a opção de não autorizar o tratamento e as consequência da negativa.
i) Revogação do consentimento, nos termos da lei.
j) Reclamação contra o controlador dos dados junto à autoridade nacional.
k) Oposição, caso discorde de um tratamento feito sem seu consentimento e o considere irregular

Quando solicitado pelo titular dos dados pessoais, a RR&CONT CONTABILIDADE fornecerá informações de privacidade (confirmação de existência ou acesso a dados pessoais), imediatamente em formato simplificado, e em prazo condizente com o determinado pela ANPD, por meio de declaração clara e completa, que indique a origem dos dados, inexistência de registro, critérios utilizados, finalidade do tratamento. As informações poderão ser entregues por meio eletrônico ou de forma impressa, a critério do titular.

Esses direitos podem ser requisitados pelo titular por meio do canal de atendimento
com o encarregado de dados, pelo e-mail lgpd@rrecont.com.br

7 DAS BOAS PRÁTICAS DE SEGURANÇA E GOVERNANÇA

a) Em conformidade com os princípios da LGPD e com as boas práticas de segurança da informação e de proteção de dados pessoais, a RR&CONT CONTABILIDADE garante que os dados pessoais coletados são tratados de forma íntegra e segura, de acordo com padrões de segurança da informação, confidencialidade e integridade pelo tempo for necessário para realizar as finalidades para as quais foram coletados ou para cumprir com os requerimentos legais aplicáveis.
b) No entanto, é necessário esclarecer que nenhum sistema é completamente seguro. Conforme previsto na legislação, as medidas de segurança existentes consideram a natureza dos dados e de tratamento, os riscos envolvidos, a tecnologia existente e sua disponibilidade.
c) Os dados pessoais tratados são considerados sigilosos e somente serão acessados por pessoas autorizadas e capacitadas para lhes conferir o tratamento adequado, conforme medidas de segurança adequadas para a proteção contra acesso não autorizado, alteração, divulgação ou destruição de dados pessoais coletados e armazenados.
d) Caso haja solicitação do titular, os dados pessoais coletados poderão ser excluídos antes do prazo. No entanto, por motivos legais, por determinação judicial ou para fins de auditoria e segurança, eles poderão ser mantidos por período superior, findo o qual, serão excluídos com uso de métodos de descarte seguro, ou anonimizados de forma a impedir a sua identificação.
e) Caso o usuário retire seu consentimento para finalidades fundamentais ao funcionamento do(s) serviço(s), algumas funcionalidades poderão ficar indisponíveis.
f) Em caso de incidente de segurança que envolva dados pessoais, a ocorrência será comunicada à ANPD e ao titular quando envolver risco ou dano relevante.
g) A comunicação sobre a descrição da natureza, riscos, titulares envolvidos, medidas técnicas e de segurança utilizadas, risco e medidas adotadas para o tratamento do incidente, será feita conforme o prazo definido pela ANPD.

7.1 Auditorias internas

Nos termos do art. 55-J, XVI, a Autoridade de Dados poderá realizar ou determinar a realização de auditorias sobre o tratamento de dados pessoais efetuados pelos agentes de tratamento. Contudo, em observância aos princípios da LGPD, em especial o da prevenção, da prestação de contas e responsabilidade, e do Privacy by Default 1, a RR&CONT CONTABILIDADE por intermédio de seu Encarregado de Dados, realizará ou providenciará auditorias semestrais para verificação do cumprimento da LGPD e das políticas de proteção de dados internas, atualizando os relatórios no mesmo período.

8 ALTERAÇÕES À PRESENTE POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS E COMPLIANCE EM PRIVACIDADE

Esta Política de Privacidade e Proteção de Dados Pessoais poderá ser alterada a qualquer tempo caso haja necessidade.
Por isso, recomenda-se que seja consultada com regularidade e verificada a data de modificação.

9 UTILIZAÇÃO DA POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS E COMPLIANCE EM PRIVACIDADE

A proteção da privacidade e dos dados pessoais é um direito que deve ser compreendido e respeitado. Em um ambiente altamente volátil quanto às transformações tecnológicas e de informação, o uso de dados pessoais nas interações sociais e profissionais tornou-se o grande catalisador para que esse tema fosse normatizado e esse direito garantido.

Nesse contexto, esta Política pode ser utilizada para promover uma cultura de privacidade e a conscientização das pessoas para a proteção de seus dados pessoais, pois os conceitos nela contidos não se aplicam somente a RR&CONT CONTABILIDADE.

Todos que tratam dados pessoais são responsáveis por sua proteção, inclusive o próprio titular.