RESPONSÁVEIS
Elaboração:
Vilela e Batista Sociedade de Advogados
Risco e Compliance
Gislaine Parra Freund
Segurança da Informação
Validação:
Jaime Furlan
Diretor de Tecnologia Code7
Aprovação:
Roberto Dariva
Diretor Geral Code7
Carlos Alberto Ferreira da Silva
CEO
SUMÁRIO
1. OBJETIVO…………………………..…………………………..…………………………..….. 4
2. APLICABILIDADE E VIGÊNCIA…………..……………………………..………………….. 4
3. DEFINIÇÕES…………………………..…………………………..………………………….... 5
4. PRINCÍPIOS PARA O TRATAMENTO DE DADOS ……………..……………….…….... 7
5. DIREITOS DO TITULAR DOS DADOS…………..………………………………………... 9
6. PRINCÍPIOS DE RESPONSABILIDADE…………..………………………………………... 9
7. CONTRATAÇÃO DE TERCEIROS………..……………………………..………………….. 10
8. GESTÃO DE CONSEQUÊNCIAS………..………………………………………………….. 11
9. DOCUMENTAÇÃO COMPLEMENTAR ……………………..………………………….... 12
1. OBJETIVO
A Política de Privacidade e Proteção de Dados foi criada para reafirmar o compromisso da Code7
com a segurança e privacidade dos dados, estabelecer e manter padrões elevados de segurança na
coleta, registro, armazenamento, uso, compartilhamento e eliminação dos dados coletados, de
acordo com as leis em vigor, seja por meios eletrônicos ou físicos, com fins únicos e exclusivos, para
o atendimento de seus objetivos, garantindo o cumprimento da Lei Geral de Proteção de Dados
(LGPD), de nº 13–709/2018 sancionada em 14/08/2018.
A Code7 presta serviços de valor, adicionado de integração com operadoras de telefonia para o
tráfego mecanizado por meio do canal de mensagens SMS e VOZ, e/ou licenciamento de uso, e
acesso às suas Plataformas de Comunicação, que contêm ferramentas, módulos e soluções de
comunicação digital, além do acesso a outros canais de comunicação digital (como o WhatsApp
Business, E-mail, Facebook, Messenger, Telegram, Twitter e Instagram).
Na qualidade de responsável pela manipulação e armazenamento de dados pessoais, a Code7
executa e promove as medidas técnicas e organizacionais adequadas de forma lícita, leal e
transparente, em cumprimento aos princípios da proteção de dados pessoais.
2. APLICABILIDADE E VIGÊNCIA
A Política de Privacidade e Proteção de Dados se aplica a todos os colaboradores, fornecedores,
prestadores de serviços, clientes e outros terceiros que tenham acesso aos dados pessoais.
<br role=”presentation” /><br role=”presentation” />
Deve–se considerar o início da vigência no ato de sua publicação, com revisão sistemática a
cada ano, ou em um intervalo menor, caso haja necessidade de qualquer alteração que afete as
instruções aqui descritas
3. DEFINIÇÕES
3.2 Dados Pessoais: Informação relacionada a uma pessoa natural identificada ou
identificável, ou seja, qualquer informação que identifique ou possa identificar uma
pessoa, tais como: nome, sobrenome, data de nascimento, documentos pessoais
(CPF, RG, CNH, carteira de trabalho, passaporte e título de eleitor), endereço
residencial ou comercial, telefones, e–mail, cookies e endereços de IP.
3.3 Dado Pessoal Sensível: É o dado pessoal sobre origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter
religioso, filosófico ou político, dado referente à vida sexual, genético ou biométrico,
quando vinculado a uma pessoa natural.
3.4 Tratamento de Dados: Toda operação realizada com o dado pessoal, desde a
coleta até a produção, recepção, classificação, utilização, acesso, reprodução,
transmissão, distribuição, processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação, modificação, comunicação,
transferência, difusão ou extração.
3.5 Consentimento: Manifestação livre, informada e inequívoca pela qual o titular
concorda com o tratamento de dados pessoais para uma finalidade determinada. A
Code7 não se responsabilizará pela coleta do consentimento, uma vez que o
responsável pela coleta dos dados é o contratante/controlador.
3.6 Controlador: Pessoa física ou jurídica que tem competência para tomar decisões
referentes ao tratamento de dados pessoais coletados.
3.7 Operador: Pessoa física ou jurídica, de direito público ou privado, que realiza o
tratamento dos dados pessoais em nome do controlador.
3.8 Suboperador: Pessoa jurídica contratada pelo operador para auxiliar no
cumprimento das obrigações da prestação dos serviços.
3.9 Agentes de Tratamento: São o controlador e o operador.
3.10 Encarregado/D.P.O: Pessoa indicada pelo controlador e operador para atuar
como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade
Nacional de Proteção dos Dados (ANPD).
3.11 Banco de Dados: Conjunto estruturado de dados pessoais, estabelecido em um
ou em vários locais, em suporte eletrônico ou físico.
3.12 Anonimização: Utilização de meios técnicos razoáveis e disponíveis no momento
do tratamento, por meio dos quais um dado perde a possibilidade de associação,
direta ou indireta, a um indivíduo.
3.13 Eliminação: Exclusão de dado ou de conjunto de dados armazenados em banco
de dados, independentemente do procedimento empregado.
3.14 Uso Compartilhado De Dados: Comunicação, difusão, transferência
internacional, interconexão de dados pessoais ou tratamento compartilhado de
bancos de dados pessoais por órgãos e entidades públicos, no cumprimento de suas
competências legais, ou entre esses e entes privados, reciprocamente, com
autorização específica, para uma ou mais modalidades de tratamento permitidas por
esses entes públicos, ou entre entes privados.
3.15 Finalidade: Realização do tratamento para propósitos legítimos, específicos,
explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma
incompatível com essas finalidades.
3.16 Adequação: Compatibilidade do tratamento com as finalidades informadas ao
titular, de acordo com o contexto do tratamento.
3.17 Necessidade: Limitação do tratamento ao mínimo necessário para a realização de
suas finalidades, com abrangência dos dados pertinentes, proporcionais e não
excessivos em relação às finalidades do tratamento de dados.
3.18 Qualidade dos Dados: Garantia aos titulares de exatidão, clareza, relevância e
atualização dos dados, de acordo com a necessidade e para o cumprimento da
finalidade de seu tratamento.
3.19 Transparência: Garantia aos titulares de informações claras, precisas e facilmente
acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento,
observados os segredos comercial e industrial
3.20 Segurança: Utilização de medidas técnicas e administrativas aptas a proteger os
dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou difusão.
3.21 Prevenção: Adoção de medidas para prevenir a ocorrência de danos em virtude do
tratamento de dados pessoais.
4. PRINCÍPIOS PARA O TRATAMENTO
DE DADOS
a) Serão utilizados somente dados pessoais essenciais e para fins específicos, explícitos
e legítimos. Qualquer processamento subsequente deve ser compatível com tais
finalidades, a menos que a Code7 tenha obtido o consentimento do controlador de dados
ou o processamento seja permitido por lei, oriundo de fonte segura, idônea e lícita.
b) Os dados disponibilizados serão processados ou usados mediante consentimento do
controlador de dados, de forma clara, específica e legítima, não sendo utilizados para
qualquer outro propósito.
c) O controlador será comunicado, de forma clara, a necessidade de tratamento dos dados,
assim como duração e os receptivos agentes de tratamento, observados os segredos
comerciais da Code7, e limitando ao mínimo necessário para realização de suas
finalidades, ficando sob responsabilidade do controlador a decisão de tratar ou não o
dado, respeitando sempre o direito do titular.
Sem o fornecimento de consentimento do titular, os dados poderão ser compartilhados
nas hipóteses em que for indispensável para:
° Cumprimento de obrigação legal ou regulatória pelo controlador;
° Tratamento compartilhado de dados necessários à execução, pela
administração pública, de políticas públicas previstas em leis ou
regulamentos;
° Exercício regular de direitos, inclusive em contrato e em processo judicial,
administrativo e arbitral;
° Proteção da vida ou da incolumidade física do titular ou de terceiros;
Tutela da saúde, em procedimento realizado por profissionais da área da saúde
ou por entidades sanitárias;
° Interesses legítimos do controlador ou terceiro;
° Garantia da prevenção à fraude e à segurança do titular, nos processos de
identificação e autenticação de cadastro em sistemas eletrônicos, exceto no
caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a
proteção dos dados pessoais.
d) Os dados coletados serão mantidos precisos, completos e atualizados, conforme
orientação do controlador, e de acordo com a necessidade e finalidade nas quais eles
são processados, devendo respeitar sempre o consentimento do titular e seu desejo em
modificá–los e excluí–los.
e) O acesso aos dados é controlado e submetido a um fluxo de aprovações, sendo liberado
os acessos apenas aos dados necessários para execução das atividades.
f) Serão adotadas ferramentas e medidas administrativas que garantam proteção aos dados
pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição,
perda, alteração, comunicação ou qualquer forma de tratamento inadequado, discriminatório
ou ilícito, bem como ações para prevenção e controle de ocorrências em virtude de
tratamento e utilização dos dados de forma indevida, tais como: canal de reclamação e
denúncia; restrição, monitoramento e rastreabilidade dos acessos; capacitação dos
colaboradores no manuseio e proteção dos dados pessoais; e assinatura de termo de
confidencialidade, revisão periódica dos processos internos e melhoria contínua.
g) Os dados pessoais serão excluídos quando solicitado pelo controlador ou deixarem de ser
úteis para os fins para os quais foram coletadas, podendo ser preservadas apenas para
cumprimento de obrigação legal ou regulatória.
h) Serão mantidos os registros de todas as operações realizadas com dados pessoais,
assim como a divulgação do contato do D.P.O da Code7, para auxiliar na comunicação
entre Autoridade Nacional de Proteção dos Dados, órgãos fiscalizadores, clientes,
colaboradores e titulares dos dados.
i) D.P.O (Data Protection Officer) da Code7:
Escritório: Vilela e Batista Sociedade de Advogados
CNPJ: 08.881.788/0001–02
Endereço: Av. Salgado Filho, 252 – 3º andar – salas 308/309 – Guarulhos
Contato:
Marcio Santana Batista: marcio.batista@vilelaebatista.com.br
Valter Oliveira: valter.oliveira@vilelaebatista.com.br
5. DIREITOS DO TITULAR DOS DADOS
A Code7, na qualidade de operador de dados pessoais, disponibilizará o canal de atendimento
por meio do e–mail lgpd@connvert.com.br, aos titulares dos dados, a fim de orientá–los quanto à
formulação para o controlador dos dados, em relação aos pedidos de:
a) Acesso aos dados;
b) Correção de dados incompletos;
c) Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou
tratados ilicitamente;
d) Eliminação dos dados pessoais;
e) Portabilidade dos dados pessoais;
f) Informação das entidades com as quais os dados foram compartilhados;
g) Revogação do consentimento;
h) Reclamação à Autoridade Nacional;
i) Oposição ao tratamento, se irregular.
6. PRINCÍPIOS DE RESPONSABILIDADE
Os controladores dos dados deverão atentar–se a:
a) Não trafegar conteúdo dúbio, cuja natureza não possa ser claramente identificada;
b) Não trafegar mensagens, cujo conteúdo seja reconhecidamente falso ou
propositalmente desatualizado;
c) Respeitar a função social da comunicação;
d) Respeitar os direitos de titulares de dados pessoais tratados pela comunicação
realizada;
e) Observar e seguir a legislação, regulação e autorregulação brasileira, especialmente:
a Constituição Federal, o Código de Defesa do Consumidor, o Código Brasileiro de
Autorregulamentação Publicitária e a Lei Geral de Proteção de Dados.
Caso, em virtude do conteúdo trafegado pelo controlador, a Code7 venha sofrer qualquer tipo
de sanção, legal ou contratual, imposta por órgão governamental ou empresa controladora de
canal de comunicação, ou qualquer tipo de dano reclamado, o controlador será cobrado do valor
correspondente de forma integral e imediata, sem prejuízo de apuração de eventuais perdas e
danos adicionais.
Os encarregados pelo tratamento de dados pessoais são responsáveis por:
f) Cumprir com os princípios estipulados nesta Política de Privacidade e os exigidos na
legislação aplicável e ser capazes de demonstrá–lo, quando assim o exigir a
legislação;
g) Manter registros das atividades que descrevam os tratamentos que realizam no
âmbito de suas atividades;
h) Adotar medidas para resolver ou minimizar os possíveis efeitos negativos, no caso
de um incidente que ocasione a destruição, perda ou alteração acidental ou ilícita dos
dados, ou a comunicação ou acesso não autorizado, e, documentar.
Quando um incidente reportado ao canal de atendimento envolver dados pessoais e ou dados
pessoais sensíveis, este será encaminhado prontamente ao Data Protection Officer D.P.O,
encarregado em Privacidade e Proteção de Dados com a responsabilidade de avaliar a
ocorrência e comunicar a todos os níveis mediantes ao risco apresentado.
7. CONTRATAÇÃO DE TERCEIROS
A Code7, no âmbito das suas atribuições, poderá subcontratar empresas terceiras para
execução de determinados serviços contratados pelo controlador, sempre com a anuência e em
comum acordo com o controlador dos dados.
As empresas subcontratadas deverão ser submetidas às mesmas condições, e aos mesmos
padrões de qualidade, a serem observados pela Code7 no âmbito da relação com o contratante.
Os acessos aos dados deverão estar regulados por contrato, que vincula o subcontratado às
diretrizes estabelecidas pela Code7, quanto ao objeto e a duração da prestação do serviço, a
sua natureza e finalidade, o tipo de dados pessoais, as categorias dos titulares dos dados e as
obrigações e direitos do responsável pelo serviço, estipulando que o subcontratado:
a) Apenas manipule e/ou utilize os dados pessoais transmitidos mediante instruções
documentadas pela Code7;
b) Assegure que as pessoas autorizadas a manipular os dados pessoais assumam um
compromisso de confidencialidade ou estarão sujeitas a obrigações legais de
confidencialidade;
c) Adote as medidas de segurança adequadas e compatíveis com a atividade;
d) Apague ou devolva à Code7 todos os dados pessoais, incluindo cópias existentes,
depois de concluída a prestação de serviços, seguida após formalização e
autorização da Code7;
e) Disponibilize à Code7 todas as informações necessárias para demonstrar o
cumprimento das obrigações previstas no presente artigo, facilitando e contribuindo
as auditorias e inspeções, passíveis de serem realizadas pela Code7 ou autoridades
de proteção de dados;
f) O subcontratado não poderá contratar outro subcontratado sem autorização da
Code7.
8. GESTÃO DE CONSEQUÊNCIAS
Colaboradores, fornecedores ou outros stakeholders/públicos de interesse que observarem
quaisquer desvios às diretrizes desta Política, poderão relatar pela chave de e–mail
lgpd@connvert.com.br, podendo ou não se identificar.
Internamente, o descumprimento das diretrizes desta Política, enseja a aplicação de medidas de
responsabilização dos agentes, conforme a respectiva gravidade do ato.
Os fornecedores que descumprirem as diretrizes desta Política sofrerão as sanções descritas
em contratos e, dependendo da gravidade, poderá acarretar na rescisão do mesmo.
A LGPD implementa a aplicação de severas sanções para empresas que descumprirem as
disposições legais. A Autoridade Nacional de Proteção de Dados, dentre outros elementos,
deverá observar, no caso de aplicação de uma sanção, não somente o grau do dano
proporcionado, mas, também, as medidas, mecanismos e procedimentos internos adotados
previamente pela empresa.
Neste contexto, quando comprovada a legitimidade de qualquer ato ilícito cometido por
colaboradores, prestadores de serviços ou terceiros, a Code7 aplicará sanções administrativas,
de responsabilidade e financeiras, proporcionais ao grau dos prejuízos causados.
9. DOCUMENTAÇÃO COMPLEMENTAR
° Código de Ética e Conduta;
° Normas e procedimentos internos de Segurança da Informação aperfeiçoados
constantemente, aprovados pelas alçadas competentes e disponibilizados a todos os
colaboradores.