Política de Armazenamento e de Exclusão de Dados Pessoais
Download em PDF
1. ESCOPO
1.1. Este documento (“Política”) abrange regras aplicáveis ao armazenamento e exclusão de dados pessoais controlados pela CÂMARA DE MEDIAÇÃO E ARBITRAGEM EMPRESARIAL – BRASIL (CAMARB) (“CAMARB”), terceiros contratados por ela e eventuais subcontratados de modo a garantir o descarte e eliminação adequados e tempestivos de informações e documentos que contenham dados pessoais.
1.2. São dados pessoais sujeitos a esta Política, na forma da legislação aplicável, toda e qualquer informação relacionada a uma pessoa natural identificada ou que possa ser identificada mediante esforços razoáveis da CAMARB, ou ainda que possa ser individualizada por meio do tratamento dado a essas informações pela CAMARB, mesmo sem que seja identificada.
2. APLICAÇÃO
2.1. A Política aplica-se a todos os colaboradores, diretores, conselheiros, parceiros, fornecedores e prestadores de serviços envolvidos nas operações de tratamento de dados pessoais controlados pela CAMARB e/ou por sua matriz.
3. OBJETIVOS
3.1. São objetivos dessa Política:
a) Garantir que a CAMARB não mantenha o controle de mais dados pessoais que o necessário para suas respectivas finalidades nem por tempo maior que o adequado ou autorizado pela legislação aplicável ou pelos titulares desses dados pessoais, de modo a observar o cumprimento da Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709, de 14 de agosto de 2018) e demais leis e regulamentos aplicáveis;
b) Regular a gestão de inventário de dados pessoais controlados pela CAMARB por meio da designação de prazos ou gatilhos para exclusão, anonimização ou bloqueio do tratamento de dados pessoais segundo suas finalidades de retenção e características da atividade de tratamento;
c) Instruir os colaboradores, diretores, parceiros, fornecedores e prestadores de serviço da CAMARB a respeito da necessidade e importância do controle do armazenamento e da exclusão segura de dados pessoais; e
d) Definir as atribuições, autoridades e responsabilidades no processo de compartilhamento de informações.
4. CONTROLE DE INVENTÁRIO DE DADOS PESSOAIS
4.1. Os colaboradores, diretores, parceiros, fornecedores e prestadores de serviços envolvidos nas operações de tratamento de dados pessoais, controlados pela CAMARB, são responsáveis pelo registro, controle de acesso, armazenamento, bloqueio e eliminação dos dados pessoais de acordo com os procedimentos estabelecidos por esta norma.
4.2. A CAMARB mantem um Registro das Operações de Tratamento de Dados Pessoais indicando cada categoria de dados pessoais controlados pela CAMARB, as respectivas finalidades, bases legais para tratamento, operações de tratamento a que os dados estarão sujeitos, compartilhamento dos dados com outras empresas do grupo econômico e com terceiros, bem como respectivo ciclo de vida.
4.3. Os colaboradores responsáveis pelas atividades da CAMARB envolvendo tratamento aos dados pessoais deverão registrá-las no Registro das Operações de Tratamento de Dados Pessoais junto ao Encarregado pelo Tratamento de Dados Pessoais da CAMARB, devendo, também, providenciar sua atualização, conforme haja alteração na atividade ou processo. Caso a atividade ou processo envolva terceiros, o responsável pelo contrato deverá garantir que o compartilhamento com o terceiro e respectivo papel no ciclo de vida dos dados pessoais seja registrado no Registro de Operações de Tratamento de Dados Pessoais.
5. ARMAZENAMENTO DE DADOS PESSOAIS
5.1. Documentos físicos e digitais e outras informações contendo dados pessoais serão armazenados sob controle da CAMARB enquanto suas finalidades lícitas e determinadas subsistirem, conforme registrado no Registro de Tratamento das Operações de Dados Pessoais.
5.2. Cabem aos colaboradores responsáveis pelas atividades envolvendo tratamento de dados pessoais, com auxílio do Encarregado pelo Tratamento dos Dados Pessoais, elaborar tabelas de temporalidade registrando os prazos de salvaguarda específicos para informações e documentos contendo dados pessoais, levando em conta suas finalidades de tratamento, prazos prescricionais, prazos contratuais e prazos legais ou regulamentares de guarda obrigatória.
5.3. O Registro de Operações de Tratamento de Dados Pessoais correspondente a cada conjunto de atividades reportado será atualizado sempre que for necessário ajustar as tabelas de temporalidade de determinado conjunto de dados pessoais.
5.4. Documentos que contenham dados pessoais armazenados para diferentes finalidades serão segregados física ou logicamente de modo que apenas as pessoas envolvidas em suas atividades de tratamento possam acessá-los e tenham conhecimento de seu conteúdo.
5.5. No caso de um dado pessoal necessário para mais de uma finalidade precisar ser excluído com relação a alguma das finalidades na forma desta Política, todo o tratamento do dado pessoal será bloqueado para a finalidade em questão, mas continuará a ser armazenado e utilizado nas demais finalidades que subsistirem.
6. ELIMINAÇÃO DE DADOS PESSOAIS
6.1. Dados pessoais, em quaisquer suportes, serão excluídos nos casos em que os colaboradores responsáveis ou Encarregado pelo Tratamento dos Dados Pessoais da CAMARB verificarem que não existe mais nenhuma finalidade de tratamento que justifique a sua manutenção em decorrência de (i) revisão de inventário ou Registro das Operações de Tratamento de Dados Pessoais; (ii) exercício de direito do titular dos dados pessoais que obrigue a CAMARB a descartá-los; (iii) revogação do consentimento do titular para tratamento dos dados pessoais, nos casos em que a CAMARB realizar o tratamento desses dados com base em seu consentimento; (iv) instrução de terceiro controlador dos dados pessoais conforme regulado em contrato de compartilhamento de dados ou instrumento similar firmado com a CAMARB; ou (v) por determinação do Poder Judiciário ou das autoridades competentes.
6.2. Uma vez conhecida a possível necessidade de se excluir dados pessoais, deverão ser consultadas: (i) as áreas de negócios identificadas no Registro das Operações de Tratamento de Dados Pessoais como usuárias desses dados; e (ii) o Comitê de Privacidade e Proteção de Dados, na pessoa do Encarregado pelo Tratamento dos Dados Pessoais da CAMARB, para que opinem acerca do descarte ou pela salvaguarda parcial dos dados pessoais se forem necessários para cumprimento de deveres legais ou regulatórios, para contratos, por causa de algum prazo prescricional ou devido a algum processo administrativo ou judicial em curso.
6.2.1. Se for tomada a decisão de excluir dados pessoais, eles deverão ser descartados de forma segura e irrecuperável pelos colaboradores responsáveis pela atividade, por exemplo mediante trituração ou incineração de documentos e sobrescrição de mídias. Além disso, a CAMARB deverá providenciar que: (i) os dados pessoais sejam eliminados em backups e sistemas legados, ou ter seu tratamento bloqueado caso sua eliminação não seja tecnicamente viável considerando os recursos e as tecnologias à disposição da CAMARB; (ii) que as demais áreas de negócios que possam ter cópias dos dados procedam ao seu descarte seguro; e (iii) que as demais empresas do grupo econômico e terceiros que possuam dados pessoais sob controle da CAMARB procedam ao descarte seguro dos dados pessoais na forma dos respectivos contratos firmados com a CAMARB.
6.2.2. Se for tomada a decisão de salvaguarda parcial dos dados pessoais, a CAMARB providenciará o bloqueio de seu tratamento e acesso para as finalidades que motivaram a sua exclusão, mantendo-se somente os dados necessários e segregados para as finalidades restantes.
6.3. A CAMARB poderá realizar a anonimização de dados pessoais quando decidir pela sua exclusão ou bloqueio conforme descrito nesta Política, assim quando uma ou mais áreas de negócios da CAMARB considerarem que tais dados possuem alguma utilidade para alguma atividade ou processo sem que ninguém esteja identificado ou individualizado. Neste caso, serão utilizados de meios técnicos razoáveis e disponíveis na época, que garantam a impossibilidade de associação, direta ou indireta, daqueles dados pessoais a um indivíduo, de modo que os respectivos titulares não possam mais ser identificados também pela utilização de meios técnicos razoáveis e disponíveis. Após anonimizadas, essas informações deixarão de ser consideradas dados pessoais para todos os efeitos.
7. RESPONSABILIDADES
7.1. Cada colaborador, diretor, conselheiro, parceiro, prestador de serviço e fornecedor da CAMARB é responsável por observar as normas desta Política com relação à proteção dos dados pessoais que acessar, que receber de outrem e que compartilhar com outrem, bem como por auxiliar o Encarregado pelo Tratamento de Dados Pessoais da CAMARB a realizar suas atribuições e tarefas.
7.2. O desrespeito às normas desta Política causará a aplicação de sanções disciplinares ou contratuais ao responsável pelo descumprimento conforme Código de Conduta da CAMARB, sem prejuízo da indenização da CAMARB pelas perdas e danos sofridos.
8. GOVERNANÇA DE PRIVACIDADE DA CAMARB
8.1. A CAMARB possui um programa global de proteção de dados pessoais baseado em um contrato entre as empresas, que estabelece uma base mínima de proteção aos dados pessoais. Além disso, a CAMARB mantém um programa local de governança em privacidade e dados pessoais baseado em políticas e regras relativas à proteção de dados sob a vigilância constante de seu Encarregado pela Proteção de Dados Pessoais e de seus gestores.
8.2. As práticas de armazenamento e a exclusão de dados pessoais da CAMARB deverão ser atualizadas e alteradas sempre que for identificado que estão inadequadas ao nível mínimo exigido pela LGPD, demais leis e regulamentos aplicáveis, buscando elevar-se pelo menos ao nível mais rigoroso entre eles.
8.3. Fica estabelecida uma reunião de revisão com periodicidade anual.