Politique de stockage et de suppression des données personnelles
1. CHAMP D'APPLICATION
1.1. Ce document (« Politique ») couvre les règles applicables au stockage et à la suppression des données personnelles contrôlées par CÂMARA DE MEDIÇÃO E ARBITRAAGEM EMPRESARIAL – BRASIL (CAMARB) (« CAMARB »), les tiers contractés par elle et les sous-traitants afin de garantir la l’élimination et la suppression appropriée et opportune des informations et des documents contenant des données personnelles.
1.2. Les données personnelles soumises à la présente Politique, conformément à la législation applicable, sont toutes les informations relatives à une personne physique identifiée ou qui peuvent être identifiées grâce à des efforts raisonnables de la part de la CAMARB, ou qui peuvent être individualisées grâce au traitement accordé à ces informations par la CAMARB. CAMARB, même sans être identifié.
2. APPLICATION
2.1. La Politique s’applique à tous les employés, administrateurs, conseillers, partenaires, fournisseurs et prestataires de services impliqués dans les opérations de traitement de données personnelles contrôlées par CAMARB et/ou sa société mère.
3. OBJECTIFS
3.1. Les objectifs de cette politique sont :
a) Veiller à ce que CAMARB ne conserve pas le contrôle de plus de données personnelles que nécessaire à leurs finalités respectives ni pendant une période plus longue que celle appropriée ou autorisée par la législation applicable ou par les détenteurs de ces données personnelles, afin de se conformer à la RGPD Loi. Protection des données personnelles – LGPD (loi n° 13.709, du 14 août 2018) et autres lois et réglementations applicables ;
b) Réglementer la gestion de l'inventaire des données personnelles contrôlées par CAMARB en désignant des délais ou des déclencheurs pour la suppression, l'anonymisation ou le blocage du traitement des données personnelles en fonction de leurs finalités de conservation et des caractéristiques de l'activité de traitement ;
c) Informer les employés, les administrateurs, les partenaires, les fournisseurs et les prestataires de services de CAMARB sur la nécessité et l’importance de contrôler le stockage et la suppression sécurisée des données personnelles ; et
d) Définir les attributions, les autorités et les responsabilités dans le processus de partage de l’information.
4. CONTRÔLE DE L'INVENTAIRE DES DONNÉES PERSONNELLES
4.1. Les employés, administrateurs, partenaires, fournisseurs et prestataires de services impliqués dans les opérations de traitement de données personnelles, contrôlées par CAMARB, sont responsables de l'enregistrement, du contrôle d'accès, du stockage, du blocage et de la suppression des données personnelles conformément aux procédures établies par cette norme.
4.2. CAMARB tient un Registre des Opérations de Traitement des Données Personnelles indiquant chaque catégorie de données personnelles contrôlées par CAMARB, les finalités respectives, les bases juridiques du traitement, les opérations de traitement auxquelles les données seront soumises, le partage des données avec d'autres sociétés du groupe économique. avec des tiers, ainsi que leur cycle de vie respectif.
4.3. Les employés responsables des activités de CAMARB impliquant le traitement de données personnelles doivent les inscrire dans le registre des opérations de traitement des données personnelles auprès du responsable du traitement des données personnelles de CAMARB et doivent également prévoir leur mise à jour, car il y a un changement dans l'activité ou le processus. Si l’activité ou le processus implique des tiers, le responsable du contrat doit s’assurer que le partage avec le tiers et leur rôle respectif dans le cycle de vie des données personnelles sont enregistrés dans le registre des opérations de traitement des données personnelles.
5. STOCKAGE DES DONNÉES PERSONNELLES
5.1. Les documents physiques et numériques et autres informations contenant des données personnelles seront conservés sous le contrôle de CAMARB pendant la durée de leurs finalités légales et déterminées, telles qu'enregistrées dans le Registre des Opérations de Traitement des Données Personnelles.
5.2. Il appartient aux employés responsables des activités impliquant le traitement de données personnelles, avec l'aide du délégué au traitement des données personnelles, d'établir des calendriers consignant les périodes de sauvegarde spécifiques des informations et des documents contenant des données personnelles, en tenant compte de leurs finalités de traitement, délais de prescription, conditions contractuelles et conditions légales ou réglementaires de conservation obligatoire.
5.3. Le Registre des opérations de traitement des données personnelles correspondant à chaque ensemble d’activités déclarées sera mis à jour chaque fois qu’il sera nécessaire d’ajuster les tables de temporalité pour un ensemble donné de données personnelles.
5.4. Les documents contenant des données personnelles stockées à des fins différentes seront physiquement ou logiquement séparés afin que seules les personnes impliquées dans leurs activités de traitement puissent y accéder et avoir connaissance de leur contenu.
5.5. Dans le cas où des données personnelles requises pour plus d'une finalité doivent être supprimées en relation avec l'une des finalités conformément à la présente Politique, tout traitement des données personnelles sera bloqué pour la finalité en question, mais continuera à être stocké et utilisé à d'autres fins qui subsistent.
6. SUPPRESSION DES DONNÉES PERSONNELLES
6.1. Les données personnelles, sur quelque support que ce soit, seront supprimées dans les cas où les employés responsables ou le Responsable du Traitement des Données Personnelles de CAMARB vérifient qu'il n'existe plus aucune finalité de traitement justifiant son maintien à la suite (i) d'un inventaire ou d'un Enregistrement examiner les opérations de traitement des données personnelles ; (ii) l’exercice du droit du titulaire des données personnelles qui oblige CAMARB à les supprimer ; (iii) la révocation du consentement du titulaire au traitement des données personnelles, dans les cas où CAMARB traite ces données sur la base de son consentement ; (iv) instruction d’un tiers responsable du traitement des données personnelles, telle que réglementée dans un contrat de partage de données ou un instrument similaire signé avec CAMARB ; ou (v) par décision du pouvoir judiciaire ou des autorités compétentes.
6.2. Une fois connue la nécessité éventuelle de supprimer des données personnelles, il convient de consulter : (i) les secteurs d’activité identifiés dans le Registre des opérations de traitement des données personnelles comme utilisateurs de ces données ; et (ii) le Comité de protection de la vie privée et des données, représenté par le responsable du traitement des données personnelles de la CAMARB, pour donner son avis sur la suppression ou la sauvegarde partielle des données personnelles si nécessaire pour se conformer aux obligations légales ou réglementaires, afin de conclure des contrats, en raison de en raison d’un terme prescriptif ou d’un processus administratif ou judiciaire en cours.
6.2.1. Si la décision est prise de supprimer des données personnelles, celles-ci doivent être éliminées de manière sécurisée et irrécupérable par les employés responsables de l'activité, par exemple en déchiquetant ou en incinérant les documents et en écrasant les supports. En outre, la CAMARB doit s'assurer que : (i) les données personnelles sont supprimées dans les sauvegardes et les systèmes hérités, ou leur traitement est bloqué si leur suppression n'est pas techniquement possible compte tenu des ressources et des technologies dont dispose la CAMARB ; (ii) que d’autres secteurs d’activité susceptibles de détenir des copies des données procèdent à leur élimination sécurisée ; et (iii) que d'autres sociétés du groupe économique et des tiers qui ont des données personnelles sous le contrôle de CAMARB procèdent à l'élimination sécurisée des données personnelles conformément aux contrats respectifs signés avec CAMARB.
6.2.2. Si la décision est prise de sauvegarder partiellement les données personnelles, CAMARB bloquera leur traitement et leur accès aux fins qui ont conduit à leur suppression, en conservant uniquement les données nécessaires et séparées pour les finalités restantes.
6.3. CAMARB peut anonymiser les données personnelles lorsqu'elle décide de les supprimer ou de les bloquer comme décrit dans la présente Politique, ainsi que lorsqu'un ou plusieurs secteurs d'activité de CAMARB considèrent que ces données ont une utilité pour une activité ou un processus sans que personne ne soit identifié ou individualisé. Dans ce cas, des moyens techniques raisonnables disponibles à ce moment-là seront utilisés, qui garantissent l'impossibilité d'association directe ou indirecte de ces données personnelles avec une personne physique, de sorte que les titulaires respectifs ne puissent plus être identifiés même par l'utilisation de moyens techniques raisonnables. . et disponible. Une fois anonymisées, ces informations ne seront plus considérées comme des données personnelles à toutes fins.
7. RESPONSABILITÉS
7.1. Chaque employé, directeur, conseiller, partenaire, prestataire de services et fournisseur de CAMARB est responsable du respect des règles de la présente politique concernant la protection des données personnelles auxquelles il accède, reçoit d'autres personnes et partage avec d'autres, ainsi que de l'assistance à la protection des données. Responsable du traitement des données personnelles par la CAMARB pour mener à bien ses missions et ses devoirs.
7.2. Le non-respect des règles de la présente Politique entraînera l'application de sanctions disciplinaires ou contractuelles à l'encontre de la personne responsable du non-respect conformément au Code de conduite de la CAMARB, sans préjudice de l'indemnisation par la CAMARB des pertes et dommages subis.
8. GOUVERNANCE DE LA CONFIDENTIALITÉ DE CAMARB
8.1. CAMARB dispose d'un programme mondial de protection des données personnelles basé sur un contrat entre les entreprises, qui établit une base minimale pour la protection des données personnelles. Par ailleurs, CAMARB maintient un programme local de gouvernance de la confidentialité et des données personnelles basé sur des politiques et des règles concernant la protection des données sous la supervision constante de son délégué à la protection des données personnelles et de ses responsables.
8.2. Les pratiques de stockage et de suppression des données personnelles de CAMARB doivent être mises à jour et modifiées chaque fois qu'il est identifié qu'elles ne sont pas suffisantes pour atteindre le niveau minimum requis par la LGPD, les autres lois et réglementations applicables, en cherchant à atteindre au moins le niveau le plus rigoureux d'entre elles.
8.3. Une réunion annuelle de bilan est instaurée.