Política de Governança em Privacidade e Proteção de Dados Pessoais
Download em PDF
Esta Política de Governança em Privacidade e Proteção de Dados Pessoais (“Política”) compreende os princípios e os padrões de conduta que nortearão a CAMARB – CÂMARA DE MEDIAÇÃO E ARBITRAGEM EMPRESARIAL – BRASIL (“CAMARB”) com relação aos dados pessoais que estejam sob seu controle, inclusive dados de seus diretores, colaboradores, fornecedores, prestadores de serviço, parceiros e quaisquer outras pessoas, independentemente do meio pelo qual tais dados pessoais foram coletados, recebidos, ou gerados pela CAMARB.
Essa Política impõe e demonstra que a gestão e o tratamento de dados pessoais pela CAMARB observa os princípios norteadores da proteção de dados pessoais, conforme disciplinado na Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709, de 14 de agosto de 2018), no Marco Civil da Internet (Lei nº 12.965, de 23 de abril de 2014), na Constituição Federal de 1988 e nas Resoluções publicadas pela Autoridade Nacional de Proteção de Dados Pessoais, indicando os procedimentos aplicáveis, e estabelecendo uma estrutura de responsabilidade focada na implementação e manutenção das práticas de governança em privacidade.
1. ESCOPO
São dados pessoais sujeitos a esta política, na forma da legislação aplicável, toda e qualquer dado relacionado a uma pessoa natural identificada ou que possa ser identificada mediante esforços razoáveis da CAMARB, ou ainda que possa ser individualizada por meio do tratamento dado pela CAMARB a essas informações, mesmo sem que seja identificada.
2. APLICAÇÃO
Esta Política aplica-se a todos os colaboradores, diretores e administradores, parceiros, fornecedores, representantes e prestadores de serviços quando, no exercício de suas funções, se envolvam, participem ou, de qualquer forma, interfiram nas operações de tratamento de dados pessoais controlados pela CAMARB.
3. OBJETIVOS
A CAMARB respeita a privacidade e a autodeterminação informativa das pessoas cujos dados pessoais estejam sob seu controle, pautando-se sempre pela boa fé e pelo uso ético desses dados. A CAMARB não comercializa dados pessoais e age de modo a preservar os direitos e liberdades dos titulares e terceiros afetados pelo tratamento de dados pessoais feito pela CAMARB.
4. PRINCÍPIOS
As práticas relacionadas à coleta, utilização, compartilhamento, manutenção, exclusão e, enfim, toda operação de tratamento de dados pessoais pela CAMARB observarão os seguintes princípios:
· Finalidade: o tratamento de dados pessoais sempre será realizado para propósitos legítimos, específicos, explícitos e informados ao titular, quando solicitado, e compatíveis com os interesses e atividades da CAMARB, de acordo com os objetivos de seus negócios, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
- Adequação: o tratamento de dados pessoais sempre será adequado à sua finalidade, de acordo com o contexto do tratamento;
- Necessidade: o tratamento de dados pessoais, inclusive sua coleta e guarda pela CAMARB, está limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação a tais finalidades;
- Livre acesso: a CAMARB garantirá aos titulares, conforme adiante indicado, a consulta facilitada e gratuita sobre a forma e a duração do tratamento de seus respectivos dados pessoais, bem como, na medida do possível, acesso seus dados pessoais tratados pela CAMARB, salvo nos casos em que seja legítimo recusar-lhes tal acesso devido às finalidades e circunstâncias da utilização desses dados pessoais;
- Qualidade dos dados: a CAMARB manterá os dados pessoais exatos, claros e atualizados;
- Transparência: nos limites previstos em lei, a CAMARB fornecerá informações claras, precisas e facilmente acessíveis sobre a realização de tratamento de dados pessoais aos respectivos titulares, assim como os respectivos agentes de tratamento, na forma adiante identificada;
- Segurança e confidencialidade: a CAMARB adotará medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, sempre aplicando os padrões de segurança adequados aos riscos específicos de cada atividade e observando o estado da técnica e melhores práticas de mercado aplicáveis;
- Prevenção e mitigação de danos: serão adotados os melhores esforços pela CAMARB para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais e para mitigá-los ou repará-los caso venham a ocorrer;
- Não discriminação e tratamento ético dos dados pessoais: nunca será feito nenhum tratamento para fins discriminatórios, antiéticos, ilícitos ou abusivos; e
- Responsabilização e prestação de contas: a CAMARB adotará mecanismos para confirmar e demonstrar a eficácia de seu programa de governança em privacidade e proteção de dados, inclusive no cumprimento da legislação aplicável.
5. DIRETRIZES PARA O TRATAMENTO DE DADOS PESSOAIS
Todo e qualquer tratamento de dado pessoal coletado, recebido ou gerado pela CAMARB deve ser realizado para uma ou mais finalidades legítimas, devidamente mapeadas, registradas e, se necessário, comunicadas aos respectivos titulares. Nenhum dado pessoal será objeto de tratamento se não for necessário para uma ou mais finalidades. Todo dado pessoal terá seu ciclo de vida controlado e registrado desde o momento em que a CAMARB passar a ter controle sobre ele até o momento de seu descarte definitivo.
A CAMARB controla e realiza o tratamento de diversos tipos de dados pessoais, quais sejam:
- Dados de seus diretores e administradores para a tomada e registro de decisões de gestão administrativa e jurídica da CAMARB, bem como alteração de seus documentos societários;
- Dados de seus colaboradores e prestadores de serviços relacionados ao cumprimento de seus contratos de trabalho e de prestação de serviços, ao respectivo pagamento, comunicação interna e à direção dos trabalhos realizados, bem como aqueles dados necessários para produção de relatórios de cumprimento do contrato às entidades e autoridades de fiscalização competentes na forma da lei e para o exercício dos direitos correspondentes;
- Dados biométricos e outros dados pessoais de colaboradores e demais pessoas que tenham acesso às premissas, redes e sistemas da CAMARB, com a finalidade de gerenciar acessos, garantir sua segurança e evitar fraudes com relação à utilização de recursos da CAMARB;
- Dados de colaboradores e dependentes necessários para realizar a gestão de benefícios contratuais e previdenciários;
- Dados de fornecedores de bens e serviços relacionados ao cumprimento dos contratos firmados com a CAMARB e exercício dos direitos correspondentes;
- Dados de usuários de website da CAMARB, coletados para seus propósitos específicos na forma de seus respectivos avisos e políticas de privacidade;
- Dados de representantes, advogados e procuradores que atuam em defesa dos interesses da CAMARB, conforme necessário para o exercício de direitos e para a gestão de processos judiciais, administrativos e arbitrais;
- Dados pessoais obtidos por meio das redes de comunicação da CAMARB, para gestão de contatos, publicidade e estatísticas internas;
- Dados pessoais transmitidos e/ou circulados no âmbito dos procedimentos administrados pela CAMARB, independentemente da natureza (arbitragem, mediação ou DRB), pelo período necessário para a gestão completa dos respectivos procedimentos; e
- Dados pessoais de participantes de eventos promovidos pela CAMARB, incluindo a Competição Brasileira de Arbitragem e Mediação Empresarial – CAMARB.
As atividades de tratamento de dados pessoais realizadas pela CAMARB estão amparadas em dispositivo legal e registradas em documentos ou sistemas específicos para controle dos riscos de seu tratamento, adoção de medidas de mitigação desses riscos e limitação da circulação interna e externa dos dados pessoais. Esses documentos estão disponíveis para consulta pelas autoridades competentes.
Somente as pessoas que tenham estrita necessidade de acesso a determinadas categorias de dados pessoais terão acesso a elas, levando-se em conta o papel que desempenham na CAMARB, reduzindo-se a informação acessada ao mínimo necessário por meio de medidas técnicas e organizacionais adequadas.
Documentos físicos e digitais contendo dados pessoais serão armazenados enquanto suas finalidades de tratamento subsistirem, em conformidade com a legislação aplicável. Dados pessoais, em quaisquer suportes, serão eliminados de forma segura e da maneira mais irrecuperável possível, imediatamente após o esgotamento de todas as suas finalidades, desde que alcançado o prazo de salvaguarda para cumprimento de obrigações legais ou exercício de direitos, ou no caso de solicitação do respectivo titular que obrigue a CAMARB à exclusão desses dados pessoais.
Todo e qualquer tratamento de dados pessoais em que a CAMARB identificar impacto provável a direitos e liberdades fundamentais dos titulares ou o tratamento de dados pessoais sensíveis, nos termos da Lei, serão objeto de avaliação de impacto à proteção de dados pessoais em que serão levantados os riscos esperados e medidas adequadas para sua mitigação, prevenção ou eliminação.
A CAMARB, com auxílio do Encarregado pelo Tratamento de Dados Pessoais (“DPO”), trabalhará no desenvolvimento de normas de boas práticas para garantir o tratamento adequado dos dados pessoais nos termos acima.
6. POLÍTICA DE COOKIES
Ao acessar o website da CAMARB, o computador do usuário recebe os denominados “cookies”. Esses arquivos de texto são fontes de algumas informações coletadas e armazenadas automaticamente pela CAMARB. O website da CAMARB utiliza os cookies para as seguintes finalidades:
· “_gat_gtag_UA_140387405_1” necessários para o funcionamento do website (cookies essenciais), desenvolvidos pelo Google Analytics e implementados pelo próprio website (first party). São cookies não persistente com expiração em 54 segundos utilizado para controlar a taxa de solicitações que um navegador ou dispositivo faz a um servidor web em um determinado período. Eles são usados principalmente para gerenciar a carga do servidor e prevenir abusos ou sobrecargas;
· “_gid” necessários para o desempenho do website, desenvolvidos pelo Google Analytics e implementados pelo próprio website (first party). São cookies não persistentes com expiração diária e objetivo de gerar identificadores únicos para cada uma das páginas, de modo a identificar as páginas mais acessadas e eventuais problemas técnicos em páginas menos acessadas;
· “ga_zdxg7fw4sf” utilizados para prover o website de funcionalidades adicionais, desenvolvidos pelo Google Analytics e implementados pelo próprio website (first party). São cookies persistentes com expiração mensal e objetivo de salvar, temporariamente, a sessão de modo a evitar recarregamento do website;
· “_ga” utilizados para prover o website de funcionalidades adicionais, desenvolvidos pelo Google Analytics e implementados pelo próprio website (first party). São cookies não persistentes com expiração mensal e objetivo de gerar números randômicos para cada usuário como forma de obter dados de visitação e sessão.
Exceto pelos cookies necessários ao funcionamento do website, os cookies só serão gravados no dispositivo e passarão a coletar os dados do usuário mediante aceite do titular dos dados. Não há obrigatoriedade de aceitá-los e o cancelamento da anuência pode se dar a qualquer momento. Além disso, o navegador do usuário pode ser configurado para recusar o recebimento de cookies e possui funções para removê-los a qualquer momento. As opções e ferramentas estão disponíveis no respectivo menu.
7. COMPARTILHAMENTO DE DADOS PESSOAIS COM TERCEIROS
Dados pessoais são compartilhados, transferidos ou divulgados, pela CAMARB, a terceiros, conforme seja estritamente necessário para o cumprimento de finalidades legítimas, específicas, expressas e registradas pela CAMARB e mediante o uso de instrumentos que vinculam o terceiro à Política, e que estabelecem regras de fiscalização e auditoria pela CAMARB, ou terceiros por ela contratados.
Adicionalmente, a CAMARB adota procedimentos para, na medida do possível, certificar-se de que apenas compartilha dados pessoais com terceiros que adotam medidas técnicas e administrativas suficientes para garantir a adequada segurança e proteção dos dados pessoais de acordo com os riscos a que estejam expostos, a salvaguarda dos direitos e liberdades fundamentais dos respectivos titulares e a responsabilização do terceiro perante a CAMARB pelas ações e omissões que praticar.
O compartilhamento, transferência e divulgação de dados pessoais às autoridades públicas e entidades governamentais é limitado ao necessário para o cumprimento de obrigações legais e regulatórias, para o cumprimento de ordens judiciais e requisições das autoridades competentes, e à defesa ou exercício de direitos da CAMARB ou de terceiros. Nessas condições, a legalidade e legitimidade da ordem ou obrigação, a competência do requisitante, a extensão do dever e as respectivas consequências são avaliadas antes de se facultar acesso dos dados às autoridades ou órgãos públicos em questão.
8. SEGURANÇA DA INFORMAÇÃO
A CAMARB adota medidas técnicas e organizacionais de segurança de informação compatíveis com o estado da técnica e com o nível de risco avaliado para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência de seus sistemas informáticos, bancos de dados, arquivos físicos e outros repositórios de informações, de modo a evitar acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão de dados pessoais.
A CAMARB também mantém um plano de resposta a incidentes de segurança que garante a rápida avaliação, interrupção, remediação e, quando necessário, mitigação e reparação dos danos eventualmente causados pelos incidentes. Serão mantidos registros de incidentes de segurança, identificando as categorias e titulares de dados pessoais eventualmente afetados, para possibilitar a comunicação imediata desses incidentes às autoridades competentes e aos respectivos titulares na forma da lei, comprometendo-se a CAMARB a auxiliá-los de boa-fé na mitigação ou reparação dos danos efetivamente sofridos.
9. DIREITOS DOS TITULARES DE DADOS PESSOAIS
A CAMARB compromete-se a adotar medidas efetivas para a garantia de todos os direitos dos titulares de dados pessoais controlados por ela, conforme especificados pela Lei Geral de Proteção de Dados Pessoais e demais leis e regulamentos brasileiros aplicáveis à privacidade e proteção de dados pessoais. São direitos legais dos titulares de dados pessoais:
- Confirmação da existência de tratamento de seus dados pessoais pela CAMARB e acesso aos dados;
- Correção de dados pessoais incompletos, inexatos ou desatualizados sob controle da CAMARB;
- Anonimização, bloqueio ou eliminação de dados pessoais desnecessários, excessivos ou tratados pela CAMARB em desconformidade com o disposto nesta Lei, bem como oposição ao tratamento de dados pessoais pela CAMARB nas mesmas circunstâncias;
- Portabilidade dos dados a outro fornecedor de serviços semelhantes aos da CAMARB, mediante requisição expressa e observados os segredos de negócio da CAMARB, conforme este direito venha a ser regulamentado pelo poder público;
- Informação das entidades públicas e privadas com as quais a CAMARB venha a realizar uso compartilhado de dados pessoais;
- Informação sobre a possibilidade de não fornecer consentimento para o tratamento de dados pessoais pela CAMARB e sobre as consequências da negativa de consentimento, bem como os direitos à retirada desse consentimento a qualquer tempo e à eliminação dos dados pessoais tratados com base nele, podendo esses dados ser mantidos pela CAMARB para o uso exclusivo em outras finalidades lícitas que não dependam do consentimento ou mediante anonimização; e
- Possibilidade de revisão de decisões que afetem seus interesses e forem tomadas pela CAMARB unicamente com base em tratamento de dados pessoais de forma automatizadas.
A CAMARB adota normas, controles e processos atualizados que garantam a apresentação das devidas informações aos respectivos titulares de dados pessoais, preferencialmente no momento ou no contexto da coleta desses dados ou na primeira oportunidade após o seu recebimento ou obtenção, limitado às hipóteses em que não seja viável ou haja justo motivo para não proceder à entrega de determinadas informações aos titulares. A CAMARB também adota normas, controles e processos atualizados que garantam a resposta aos direitos dos titulares sem demora, dentro de 15 (quinze) dias ou em prazos maiores caso sejam previstos em lei ou nos regulamentos aplicáveis para essa resposta, de forma gratuita e mediante confirmação prévia e adequada da identidade do titular requisitante.
Serão mantidos canais de contato direto com o DPO para que os titulares possam exercer seus direitos, fazer reclamações e solicitações, bem como enviar sugestões com relação às práticas da CAMARB.
10. RESPONSABILIDADES
Cada colaborador, diretor e administrador, prestador de serviço e contratado da CAMARB é responsável pelos próprios atos com relação às atividades de tratamento de dados pessoais, pelo cumprimento desta Política e demais normas aplicáveis, bem como por possibilitar a boa realização dos trabalhos do Encarregado pelo Tratamento de Dados Pessoais e do Comitê de Privacidade. Os gerentes e pessoas com posição de supervisão respondem, ainda, pela garantia das boas práticas de tratamento de dados pessoais pelos colaboradores e terceiros sob sua responsabilidade, de acordo com suas atribuições. O Encarregado de Proteção de Dados Pessoais somente responderá pela sua atuação quando e se agir com dolo ou má-fé em suas atribuições, sendo resguardado contra responsabilidade pessoal pelos atos e decisões executivas da CAMARB.
11. COMITÊ DE PRIVACIDADE E PROTEÇÃO DE DADOS
Conforme definido pela administração da CAMARB, foi instituído o Comitê de Segurança da Informação e Proteção de Dados Pessoais da CAMARB (“Comitê”), com mandato de três anos e composto pelo DPO, e por representantes das diretorias administrativa, financeira, institucional e de tecnologia da CAMARB, além de sua Diretora-Presidente e de sua Secretária-Geral. O mandato inicial dos membros coincidirá com o mandato da diretoria da instituição, ora em curso.
12. ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS
A CAMARB mantem como seu Encarregado de Proteção de Dados um colaborador ou consultor externo com conhecimento teórico e prático sobre proteção de dados pessoais e segurança de informação, cujas atribuições serão:
- Aconselhar as instâncias de decisão da CAMARB com relação a comunicações, requisições e intimações da Autoridade Nacional de Proteção de Dados (“ANPD”) e outras autoridades, a solicitações e reclamações de titulares e incidentes de segurança, bem como em outras decisões que possam ter impacto à privacidade ou à proteção de Dados Pessoais de quaisquer pessoas;
- Levar temas relativos à privacidade e proteção de dados pessoais à discussão e aprovação do Comitê, como a necessidade de avaliação, implantação ou revisão de novas normas, processos e políticas;
- Receber e dar encaminhamento interno a comunicações, requisições e intimações da ANPD, bem como apresentar resposta à ANPD, na forma da Política de Resposta a Solicitações de Titulares de Dados Pessoais e Requisições de Autoridades;
- Receber e dar encaminhamento interno a solicitações e reclamações de titulares de dados pessoais, bem como apresentar resposta da CAMARB, na forma da Política de Resposta a Solicitações de Titulares de Dados Pessoais e Requisições de Autoridades;
- Esclarecer dúvidas de titulares de dados pessoais quanto às práticas da CAMARB com relação a seus Dados Pessoais, na forma da Política de Resposta a Solicitações de Titulares de Dados Pessoais e Requisições de Autoridades;
- Orientar os colaboradores, contratados e terceirizados da CAMARB com relação às políticas e práticas em vigor relativas à privacidade e proteção de dados pessoais;
- Coordenar times de resposta a incidentes de segurança e comunicá-los à ANPD e aos titulares afetados em nome da CAMARB quando necessário, após aprovação pelo Comitê de Privacidade;
- Participar como consultor na revisão e no estabelecimento de processos da CAMARB que possam trazer risco relevante à privacidade ou à proteção de dados pessoais de quaisquer pessoas (e.g. vazamentos, desvio de finalidade e tratamento ilícito de dados pessoais);
- Participar na elaboração e revisão das cláusulas, minutas e documentos relacionados com o compartilhamento e transferência de dados pessoais e das políticas e avisos de privacidade da CAMARB para colaboradores, consumidores, intranet, usuários de sites etc.;
- Controlar periodicidade e coordenar as revisões dos registros de operação de tratamento de dados pessoais e das normas internas relativas à privacidade, proteção de dados pessoais e segurança de informação;
- Coordenar projetos de implantação e auditar processos e práticas relativas à privacidade, proteção de dados pessoais e segurança de informação, levando suas conclusões ao Comitê de Privacidade;
- Participar na seleção e auditar prestadores de serviços com potencial de risco relevante à privacidade e proteção de Dados Pessoais;
- Recomendar e dirigir a realização de avaliações de interesse legítimo, avaliações de impacto à privacidade e outras avaliações de riscos relacionados à proteção de dados pessoais, discutir seus resultados com os líderes dos projetos afetados e, se necessário, levar suas conclusões às instâncias de decisão;
- Recomendar e dirigir a realização de relatórios de impacto à proteção de dados pessoais e encaminhá-los à ANPD após aprovação pelo Comitê de Privacidade;
- Participar do estabelecimento e revisão de processos e diretrizes de minimização de Dados Pessoais, eliminação de dados pessoais, “privacy by design” (i.e. garantir a proteção de dados pessoais desde a concepção de um projeto/atividade) e “privacy by default” (i.e. garantir o maior nível de privacidade possível quando houver alternativas ou escolhas);
- Ser informado de todas as novas atividades e processos da CAMARB que tenham potencial de risco relevante à privacidade e proteção de dados pessoais; e
- Compor e dirigir a atuação do time de Privacidade, assim como constituir e participar em grupos de trabalho relacionados a melhorias na gestão de privacidade e mitigação de riscos à privacidade e proteção de dados pessoais.
Todos os colaboradores, prestadores de serviço e contratados da CAMARB auxiliarão, na medida do possível, o DPO em suas funções e a zelar pela governança e boas práticas de privacidade e proteção de dados pessoais da CAMARB.
A administração da CAMARB compromete-se a garantir a independência do DPO na realização de suas funções e o acesso direto a todas as instâncias executivas da CAMARB para que possam ser tomadas as decisões necessárias com relação a questões que impactem a privacidade e a proteção de dados pessoais sob controle da CAMARB. Também serão garantidos ao DPO o acesso a todas as informações sobre novas atividades e processos da CAMARB que tenham potencial de risco relevante à privacidade e proteção de dados pessoais e demais informações relevantes às suas atribuições, independentemente de sua classificação de confidencialidade, desde que observadas as políticas e normas corporativas aplicáveis para garantir seu sigilo e segurança.
O DPO atuará com independência, imparcialidade, decoro e boa-fé, mantendo estrito sigilo sobre assuntos que digam respeito às discussões havidas no âmbito do Comitê.
13. COMUNICAÇÃO
A CAMARB manterá controles e processos que garantam a pronta resposta aos direitos dos titulares e requisições das autoridades competentes com relação a proteção de dados pessoais. São disponibilizados os seguintes canais de contato direto com o DPO para que os titulares possam exercer seus direitos, fazer reclamações e solicitações, bem como enviar sugestões:
CAMARB – CÂMARA DE MEDIAÇÃO E ARBITRAGEM EMPRESARIAL – BRASIL
Encarregado pelo Tratamento de Dados Pessoais
Endereço: Rua Paraíba, 550, 9º andar, Funcionários, Belo Horizonte, MG
E-mail: tecnologia@camarb.com.br