1. Introdução  

A privacidade de nossos colaboradores, fornecedores, prestadores de serviços e clientes, é muito importante para a Usina Sonora.

A Política de Gestão de Dados Pessoais foi desenvolvida para demonstrar como coletamos, usamos, armazenamos, compartilhamos, transmitimos, transferimos, excluímos ou processamos (coletivamente, "processamos") os dados pessoais aos quais a empresa tem acesso. Esta Política descreve as medidas que são colocadas em prática para garantir a proteção dos dados pessoais acessados de alguma forma pela empresa. Nesta política também é informado como os titulares dos dados podem entrar em contato para que possam obter respostas sobre quaisquer perguntas que possam ter sobre a proteção de dados.

2. Aplicação

A Política de Gestão de Dados Pessoais se aplica à todos os colaboradores da Usina Sonora e às partes interessadas com as quais a empresa tenha negócios e contratos e em todas as dimensões e atividades, em todas as regiões onde a empresa tenha operação.

Esta política se aplica ao processamento de dados pessoais coletados pela Usina Sonora, direta ou indiretamente, de todos os indivíduos, incluindo, mas não limitados aos atuais, futuros ou potenciais candidatos a emprego, colaboradores, clientes, consumidores, crianças, fornecedores, contratados/subcontratados, acionistas ou quaisquer terceiros, com “Dados Pessoais” definidos como quaisquer dados que se relacionem com um indivíduo identificado ou identificável ou uma pessoa que possa ser identificada por meios razoavelmente prováveis ​​de serem usados.

3. Objetivo

Estabelecer a sistemática para o tratamento de toda e qualquer operação com dados pessoais, entre elas: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

4. Termos e Definições

Autoridade Nacional: Órgão da administração pública responsável por fiscalizar o cumprimento da LGPD no território brasileiro;

Controlador: Pessoa física, ou entidade do setor público ou privado, que determina a finalidade e a forma de tratamento dos dados pessoais, dentre outros fatores relacionados ao processamento;

Dados anonimizados: Informações que se referem a pessoas físicas, mas que não podem ser ligados a nenhuma pessoa física específica nem direta, nem indiretamente, considerando-se os meios técnicos disponíveis;

Dados pessoais: Informações relacionadas a pessoas físicas que podem ser identificadas direta ou indiretamente, por meio de um conjunto de informações;

Dados pessoais sensíveis: Dentro da categoria de dados pessoais, os dados pessoais sensíveis são exclusivamente as informações relacionadas à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculadas a uma pessoa física;

Encarregado: Também chamado de Data Protection Officer (DPO), o Encarregado pela Proteção de Dados é uma pessoa indicada pelo Controlador/Operador para agir como canal de comunicação entre o Controlador e os titulares de dados, e entre o Controlador e a Autoridade Nacional de Proteção de Dados (ANPD). O DPO pode tanto ser interno à organização como externo, em regime de contratação de prestação de serviços (também conhecido como “DPO as a service”);

Operador: Pessoa física, ou entidade do setor público ou privado, que realiza o tratamento dos dados pessoais em nome do Controlador;

Tratamento Toda e qualquer operação com dados pessoais. Alguns exemplos: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Titular de dados: Pessoa física a quem os dados se referem;

Terceiros: parceiros comerciais, governo, comunidade, escolas, agentes, corretores, fornecedores e prestadores de serviços que forneçam produtos ou prestem serviços a Usina Sonora ou em nome dela.

LGPD: Lei Geral de Proteção de Dados;

Acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem como possibilidade de usar os ativos de informação de um órgão ou entidade, observada eventual restrição que se aplique; Armazenamento: ação ou resultado de manter ou conservar em repositório um dado;

Arquivamento: ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotado a sua vigência;

Avaliação: analisar o dado com o objetivo de produzir informação;

Classificação: maneira de ordenar os dados conforme algum critério estabelecido;

Coleta: recolhimento de dados com finalidade específica;

Comunicação: transmitir informações pertinentes a políticas de ação sobre os dados;

Controle:  ação ou poder de regular, determinar ou monitorar as ações sobre o dado;

Difusão: ato ou efeito de divulgação, propagação, multiplicação dos dados;

Distribuição: ato ou efeito de dispor de dados de acordo com algum critério estabelecido;

Eliminação: ato ou efeito de excluir ou destruir dado do repositório;

Extração: ato de copiar ou retirar dados do repositório em que se encontrava;

Modificação: ato ou efeito de alteração do dado;

Processamento: ato ou efeito de processar dados visando organizá-los para obtenção de um resultado determinado;

Produção: criação de bens e de serviços a partir do tratamento de dados;

Recepção: ato de receber os dados ao final da transmissão;

Reprodução: cópia de dado preexistente obtido por meio de qualquer processo;

Transferência: mudança de dados de uma área de armazenamento para outra, ou para terceiro; Transmissão: movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos, etc.;

Utilização: ato ou efeito do aproveitamento dos dados.

5. Responsabilidades

5.1 Operador

Realizar o tratamento dos dados pessoais em nome do Controlador;

Eliminar os dados pessoais após o término de seu tratamento;

Cooperar com o controlador para responder em tempo hábil as requisições feitas pelos titulares de dados pessoais;

Manter registro das operações de tratamento de dados;

Adotar medidas técnicas e organizacionais para garantir a segurança dos dados pessoais.

5.2 Controlador

Definir as bases legais para o tratamento de dados pessoais;

Fornecer informação para os titulares de dados sobre as atividades de tratamento de dados pessoais

Assegurar a transparência do tratamento de dados pessoais quando baseado no legítimo interesse do controlador;

Fornecer Relatório de Impacto à Proteção de Dados (RIPD) para a Autoridade Nacional de Proteção de Dados - ANPD, se solicitado, quando o tratamento tiver base no legítimo interesse;

Verificar se o consentimento foi dado pelo responsável legal da criança, quando aplicável;

Receber e responder requisições relacionadas aos direitos dos titulares de dados pessoais e, quando necessário, informar operadores das ações necessárias para cumprir tais requisições;

Estabelecer mecanismos e salvaguardas apropriadas para a transferência de dados;

Manter registro das operações de tratamento de dados;

Fornecer relatórios de impacto para a ANPD, se solicitado;

Indicar um encarregado DPO (Data Protection Officer) para a comunicação com os titulares e órgão regulador;

Estabelecer governança de dados e fiscalizar o seu cumprimento;

Comunicar à ANPD e ao titular a ocorrência de incidentes de segurança e adotar as providências determinadas pela autoridade;

Fiscalizar o uso adequado de Dados Pessoais;

Garantir que os requisitos da legislação e regulamentação aplicáveis no país de atuação sejam atendidos, bem como que os seus liderados atuem de acordo com esta Política;

Revisar e manter atualizado o mapeamento de Dados Pessoais, pelo menos uma vez por ano (ou sempre em caso de mudanças substanciais), junto com a Área de Conformidade responsável; e

Garantir que, ao usar Consentimento para o Tratamento de Dados Pessoais, que este seja coletado e gerenciado de forma livre, espontânea pelo Titular do Dado, que seja respeitada e que gere evidências necessárias para apresentação às autoridades ou ao próprio Titular, quando necessário.

5.3 Encarregado de Dados (DPO - Data Protection Officer

Realizar a  comunicação entre o Controlador e os titulares de dados, e entre o Controlador e a Autoridade Nacional de Proteção de Dados (ANPD);

Responsabilizar-se pelo uso adequado de Dados Pessoais em suas atividades;

Participar e orientar sob a ótica de privacidade os projetos regionais que envolvam Tratamento de Dados Pessoais a fim de validar a aderência aos requisitos da legislação e da regulamentação aplicáveis, além de garantir privacidade como um padrão e a incorporação no desenho das medidas de segurança necessárias;

Auxiliar operacionalmente o monitoramento do cumprimento das regras internas e manutenção de KPIs (Key Performance Indicator) relacionados à proteção de dados e privacidade;

Auxiliar na condução periódica de avaliações regionais de maturidade sobre as iniciativas de privacidade, identificando a evolução do programa e as necessidades remanescentes e/ou novas;

Apoiar no acompanhamento regional e na implementação dos planos de ação para correção de necessidades das iniciativas de privacidade;

Apoiar no preparo dos relatórios de impacto à proteção de Dados Pessoais;

Monitorar as requisições regionais dos Titulares de Dados Pessoais a fim de garantir que sejam respondidas dentro do prazo;

Garantir a manutenção das evidências de execução e implementação das iniciativas de privacidade, no âmbito regional (princípio da responsabilização).

5.4 Segurança da Informação

Responsabilizar-se pelo uso adequado de Dados Pessoais em suas atividades;

Analisar violações e vazamentos de Dados Pessoais bem como efetuar a coleta de evidências técnicas;

Monitorar e implementar medidas de segurança para garantir o cumprimento da legislação e da regulamentação aplicáveis;

Publicar avisos de privacidade em websites e programas externos;

Revisar e manter atualizada a Documentação Orientadora relativa à Segurança da Informação que estejam na sua competência;

Definir procedimento e templates para formalização de incidentes de Dados Pessoais;

Implementar mecanismos para garantir os direitos dos Titulares de Dados;

Prestar suporte técnico e analisar novas ferramentas e sistemas com foco na exposição de Dados Pessoais; e

Garantir a aplicação das medidas de segurança proporcionais ao risco gerado pelo Tratamento de Dados Pessoais e em linha com a expectativa de proteção do Titular do Dado Pessoal, garantindo a integridade, disponibilidade e confidencialidade destas informações.

5.5 Área Jurídica

Assegurar que os contratos que contemplem a cessão ou o Tratamento de Dados Pessoais contenham cláusulas de privacidade adequadas à legislação e regulamentação aplicáveis;

Prestar apoio jurídico na ocorrência de vazamentos de Dados Pessoais;

Prestar apoio jurídico na interpretação da legislação e regulamentação relativas a proteção de Dados Pessoais;

Apoiar na renegociação de contratos/aditivos com fornecedores e clientes que realizam o Tratamento de Dados Pessoais; e

Apoiar na interface com Autoridades Nacionais de Dados Pessoais.

5.6 Demais integrantes da Usina Sonora

Responsabilizar-se pelo uso adequado de Dados Pessoais em suas atividades;

Cumprir a legislação e regulamentação aplicáveis, bem como Documentação Orientadora da Companhia relativos à proteção de Dados Pessoais e aplicação das medidas adequadas de segurança de TI;

Relatar para a liderança a ocorrência de quaisquer incidentes de Dados Pessoais ou segurança de dados, bem como as deficiências identificadas ou possíveis riscos de privacidade; e Participar das atividades de treinamento em proteção de dados conforme orientado.

6. Procedimentos

Exceções: O artigo 4º da Lei traz exceções expressas à aplicação da LGPD, que se resumem aos tratamentos de dados pessoais realizados para fins:

  • Particulares e não econômicos;
  • Exclusivamente jornalísticos, artísticos ou acadêmicos;
  • Exclusivamente de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais, e que não tenham nenhum contato com o Brasil em toda a cadeia do processamento.

6.1 Anonimização e Pseudonimização

Dado anonimizado é o dado relativo ao titular que não possa ser identificado. A não identificação da relação entre o dado e seu proprietário decorre da utilização da técnica de anonimização, a fim de impossibilitar a associação entre estes, seja de forma direta ou indireta.

Se o dado está anonimizado e puder ser revertido do processo que obteve a anonimização, este não será assim considerado, mas se enquadrará no processo de pseudonimização.

Dado pseudoanonimizado é um dado que sofre um processo de anonimização, mas, nesse caso específico, permite o processo de inversão, ou seja, pode-se reorganizar e agrupar os dados de modo a identificar indiretamente o indivíduo a quem pertencem.

Esses processos, de acordo com a legislação em vigor, devem ser utilizados, sempre que possível, por meio da aplicação de meios técnicos razoáveis e disponíveis na ocasião do tratamento dos dados. A seguir, algumas recomendações para subsidiar a escolha da técnica a ser utilizada:

Elencar os principais processos de trabalho que realizam tratamento de dados pessoais para a realização de estudos, especialmente em órgão de pesquisa, conforme Art. 7º, IV.

Identificar os dados pessoais a que se referem os processos de trabalho listados, que não podem ter os proprietários relacionados.

Analisar o ciclo de vida de tratamento do dado a fim de mitigar riscos de violação de dados que não são mais de uso corrente. E, ainda, propor arquivamento ou eliminação dos dados, visto que a gestão de dados desnecessários no ambiente de produção causa aumento não apenas do quantitativo de dados a serem geridos, como também a manutenção do custo operacional relacionado a este processo (em atividades como armazenamento e gestão da segurança).

Avaliar o risco de identificação do titular dos dados listados. Deve-se levar em consideração que, quanto maior o uso de tecnologias de análise de dados, quanto maior o volume de dados processados e quanto mais sensíveis forem estes dados, maior será o risco de violação.

Quando houver a obrigatoriedade de proteção de dados pessoais, sem a necessidade de guarda dos dados que associam estes aos proprietários, pode-se optar pelo processo de anonimização, sem prejuízo de atividades do órgão ou entidade. Caso contrário, pode-se optar pela técnica de pseudonimização, ressalvando que dados pseudoanonimizados são classificados como dados pessoais.

Cabe destacar que a pseudonimização é uma técnica utilizada para proteção de dados pessoais. Pode ser utilizada, por exemplo, para preservação da identidade do denunciante, conforme previsto no §4º do art. 6º do Decreto nº 10.153/2019.

Art. 6º O denunciante terá seus elementos de identificação preservados desde o recebimento da denúncia, nos termos do disposto no § 7º do art. 10 da Lei nº 13.460, de 2017. § 4º A unidade de ouvidoria responsável pelo tratamento da denúncia providenciará a sua pseudonimização para o posterior envio aos órgãos de apuração competentes, observado o disposto no § 2º.

6.2 Responsabilização e Prestação de Contas

A Usina Sonora é responsável e deve demonstrar o cumprimento desta Política e de todos os termos da Lei Geral de Proteção de Dados e demais normas regulatórias aplicáveis, assegurando a implementação de diversas medidas que incluem, mas não se limitam a:

Adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito

Garantir aos Titulares dos Dados Pessoais o exercício dos seus direitos;

Registrar Dados Pessoais, incluindo: os registros de atividades de Tratamento de Dados Pessoais, com a descrição dos propósitos/finalidades desse Tratamento, os destinatários do compartilhamento dos Dados Pessoais e os prazos pelos quais a empresa deve retê-los; e o registro de incidentes de Dados Pessoais e violações de Dados Pessoais;

Garantir que os Terceiros que sejam Operadores de Dados Pessoais também estejam agindo de acordo com esta Política e com a legislação e regulamentação aplicáveis;

Garantir que a empresa mantenha o registro junto à Autoridade Supervisora aplicável, assim como de forma clara e ostensiva a indicação do nome do Encarregado de Dados ou DPO;

Garantir o cumprimento de todas as exigências e solicitações de qualquer Autoridade de Supervisão à qual esteja sujeita;

Garantir a privacidade de ponta a ponta, de modo a proteger constantemente os dados pessoais em todo o ciclo de vida de seu tratamento, nos moldes da legislação aplicável e as regras de governança de dados;

Definir um plano de comunicação para incidentes de violação de dados. O objetivo é propiciar maior celeridade na solução de incidentes e padronização de atividades a serem executadas, assim como prever responsáveis pelo cumprimento das atividades.

Documentar violações atestadas e incidentes ocorridos, a fim de analisar riscos de violação periodicamente.

Promover a conscientização contínua acerca da importância da proteção de dados no órgão ou entidade.

6.3 Padrões de Segurança

Importância da Proteção de Dados Pessoais: A empresa está comprometida com a implementação dos padrões de Segurança da Informação e com a proteção de Dados Pessoais com vistas a garantir o direito fundamental do indivíduo à autodeterminação da informação.

Garantir a Segurança dos Dados Pessoais: A confidencialidade, integridade e disponibilidade, bem como autenticidade, responsabilidade e não repúdio são objetivos a serem perseguidos para a segurança dos Dados Pessoais, assim como medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.

Obrigação do Sigilo de Dados Pessoais: Todos os Integrantes com acesso a Dados Pessoais estão obrigados aos deveres de confidencialidade dos Dados Pessoais mediante a anuência no Código de Conduta da Usina Sonora, quando do ingresso na empresa e periodicamente quando necessário.

Privacidade de Dados Pessoais por Concepção e por Padrão: Ao implementar novos processos, procedimentos ou sistemas que envolvam o Tratamento de Dados Pessoais, a empresa adota medidas para garantir que as regras de Privacidade e Proteção de Dados sejam adotadas desde a fase de concepção até o lançamento/implantação destes projetos.

Proteção em todo o ciclo de tratamento de dados: A privacidade deve ser protegida continuamente em todo o domínio e ao longo do ciclo de vida do tratamento dos dados em questão. Não deve haver lacunas na proteção ou na prestação de contas. O princípio “Segurança” tem relevância especial porque, em sua essência, sem segurança forte, não pode haver privacidade.

A usina Sonora implementou medidas técnicas e organizacionais apropriadas para proteger os Dados pessoais contra alteração ou perda acidental ou ilegal, ou de uso, divulgação ou acesso não autorizado, de acordo com nossa Política de Segurança da informação e Utilização de Recursos de TI.

Todas as operações com dados pessoais (sensíveis ou não) classificados no relatório de impacto de proteção de dados, armazenados e processados no ERP TOTVS são rastreáveis, com possibilidade de restrição na estrutura de perfil, e, em questão de Governança de dados a Usina Sonora, adota as melhores práticas de segurança da informação, sendo elas: 

Medidas técnicas atuais:

  • Backup da base de dados e dos arquivos de rede em fita magnética (LTO6) realizados automaticamente por Robô e Backup em Nuvem;
  • Senhas para acesso aos terminais, base de dados e sistemas.
  • Pastas de rede organizadas por departamento e com acessos restritos e pela identidade do Office 365 (quando aplicado);
  • Acesso físico restrito ao datacenter.
  • Antivírus nas estações e servidores.
  • Aplicação de atualizações periódicas dos sistemas operacionais das estações e servidores.
  • Aplicação periódica de atualizações do ERP TOTVS, RM, PIMS.
  • Utilização de ferramenta de gerenciamento de chamados para registro das demandas de TI incluindo atividades de auditoria e segurança.

Medidas técnicas para prevenção de invasão:

  • Há medidas técnicas implementadas para mitigar os riscos de invasão de rede: Firewall de Borda com software de análise de tráfego, gerenciamento de conteúdo e análise realizado pelo firewall e software especializado em nuvem, serviço anti-DDoS dos links de dados.

Medidas administrativas:

  • Existe uma Política de Segurança da informação e Utilização de Recursos de TI e Utilização de Recursos de TI descrevendo boas práticas voltadas a segurança da informação que indiretamente podem proteger dados pessoais, porém, não há definições específicas sobre a proteção de dados pessoais.

Controles de tráfego de dados:

  • Os controles atuais limitam-se às medidas organizacionais como por exemplo liberar as permissões de acesso às informações mediante aprovação dos gestores / supervisores (Conforme definição da política de segurança da informação e Utilização de Recursos de TI) ou seja, sempre que um usuário solicita a liberação de alguma rotina ou processo no sistema (que tenha dado pessoal ou não) a solicitação é encaminhada ao responsável pelo processo para a autorização.

6.4 Prestadores de Serviços Terceirizados

Os prestadores de serviços terceirizados que tratem Dados Pessoais sob as instruções da Usina Sonora estão sujeitos às obrigações impostas aos Operadores de acordo com a legislação e regulamentação de proteção de Dados Pessoais aplicáveis.

A Usina Sonora assegura que no contrato de prestação de serviço sejam contempladas as cláusulas de privacidade que exijam que o Operador de Dados terceirizado implemente medidas de segurança, bem como controles técnicos e administrativos apropriados para garantir a confidencialidade e segurança dos Dados Pessoais e especifiquem que o Processador está autorizado a tratar Dados Pessoais apenas quando for formalmente solicitado pela Usina Sonora.

Nos casos em que o prestador de serviços estiver localizado fora do país em que o Dado Pessoal foi coletado, as cláusulas contratuais padrão devem ser incluídas no contrato de proteção de Dados Pessoais como um Anexo para garantir que as devidas salvaguardas exigidas pela legislação e regulamentação aplicáveis de proteção de Dados Pessoais sejam implementadas.

6.5 Gerenciamento de Violação de Dados

Todos os incidentes e potenciais violações de dados devem ser reportadas a Diretoria, área jurídica e ao DPO, no e-mail dpo@usinasonora-ms.com.br(favor não enviar currículos para esse e-mail, use nossa área específica "Trabalhe Conosco" no site)

Todos os Integrantes estão cientes de sua responsabilidade pessoal de encaminhar e escalonar possíveis problemas, bem como de denunciar violações ou suspeitas de violações de Dados Pessoais assim que as identificarem.

No momento em que um incidente ou violação real for descoberto, é essencial que os incidentes sejam informados e formalizados de forma tempestiva. Violações de Dados incluem, mas não se limitam a, qualquer perda, exclusão, roubo ou acesso não autorizado de Dados Pessoais controlados ou tratados pela Usina Sonora.

Quando ocorrer violação de dados o controlador deve comunicar tanto ao Titular quanto a ANPD sobre a ocorrência de algum incidente de segurança. Assim, cabe ao Controlador implementar procedimentos ou práticas para gerir incidentes materializados e notificar brechas de segurança e vazamentos de dados.

Essa comunicação é devida nos casos em que dados pessoais tenham vazado acidental ou ilicitamente a destinatários não autorizados, que fiquem temporária ou permanentemente indisponíveis, ou ainda sejam alterados.

A notificação ao titular dos dados deve ocorrer sem demora injustificada, Vazamentos e acessos não autorizados a dados pessoais podem ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o Controlador está sujeito à aplicação das penalidades da LGPD.

6.6 Auditorias de Proteção de Dados

A Usina Sonora garante que existem revisões periódicas a fim de confirmar que as iniciativas de Privacidade, seu sistema, medidas, processos, precauções e outras atividades incluindo o gerenciamento de proteção de Dados Pessoais são efetivamente implementados e mantidos e estão em conformidade com a legislação e regulamentação aplicáveis.

Adicionalmente o tema deve ser avaliado com a devida periodicidade e de acordo com os riscos existentes. Caso os riscos sejam relevantes a Auditoria Interna deverá incluir revisão independente específica no plano anual de auditoria interna.

6.7 Tratamento dos dados Pessoais

A usina Sonora se compromete a cumprir toda a legislação aplicável em relação a dados pessoais e assegura que os dados pessoais sejam coletados e processados ​​de acordo com as disposições da lei de proteção de dados e outras leis locais aplicáveis, onde houver.

6.7.1 Qualidade dos dados

A Usina Sonora assegura que os dados estão atualizados e refletem exatamente como estão disponíveis na fonte original.

6.7.2 Acesso

A Usina Sonora garante que o acesso a dados pessoais segue os requisitos previstos na LGPD, os

Responsáveis pelos acessos são identificados no mapeamento de dados e no relatório de impacto da empresa.

6.7.3 Armazenamento

O armazenamento dos dados pessoais é realizado em sistemas eletrônicos na forma digital e em meios físicos.

Nos sistemas eletrônicos a empresa conta com recursos de segurança da informação descritos na Política de segurança da informação e Utilização de Recursos de TI, contra invasão e uso indevido destes dados, as medidas também são identificadas no relatório de impacto para os riscos identificados.

No meio físico as medidas adotadas são: acesso restrito, área fechada e responsáveis identificados e cientes da responsabilidade sobre os dados mantidos.

6.7.4 Avaliação

Quando dados pessoais são utilizados para gerar informação, eles são mantidos em suas fontes

originais e os cuidados e requisitos de proteção são respeitados.

6.7.5 Classificação

A usina Sonora classifica os dados por área de geração para facilitar o gerenciamento. A classificação não implica em maiores riscos e os procedimentos relacionados a proteção

dos dados são seguidos.

6.7.6 Coleta

A coleta é uma das operações de tratamento referenciadas pelo art. 5º, inciso X da LGDP. Considerando que o tratamento de dados pode ser representado por um ciclo de vida, essa operação representa a etapa inicial responsável por obter os dados pessoais do cidadão (titular dos dados).

A coleta é a operação inicial de tratamento dos dados pessoais, e sua realização somente deve ser realizada mediante o atendimento das hipóteses de tratamento, das medidas de segurança, dos princípios, dos diretos do titular e demais regras dispostas pela LGPD.

A Usina Sonora coleta dados dos titulares com as seguintes finalidades :

  • Gestão de recursos humanos;
  • Gestão financeira;
  • Gestão de TI;
  • Gerenciamento de segurança e saúde.
  • Gerenciamento de segurança de informações.
  • Gerenciamento de relacionamento com cliente.
  • Gerenciamento de vendas e marketing.
  • Gerenciamento de suprimentos.
  • Comunicação interna e externa e gestão de eventos.

6.7.7 Difusão

A difusão de dados que se refere a divulgação ou multiplicação de dados seguem os preceitos da lei e quando necessário são precedidos de consentimento do titular.

6.7.8 Eliminação

A Usina Sonora faz a eliminação dos dados de acordo com a legislação, no caso de sistema, quando aplicável os dados são eliminados.

No caso de dados físicos os documentos são fragmentados antes de serem direcionados para o descarte e sempre com o conhecimento do titular do tempo de guarda e do processo de eliminação.

6.7.9 Extração

Quando há necessidade de extração de dados a Usina Sonora cuida para que haja qualquer alteração do dado original e nem uso indevido. As responsabilidades pela atividade são identificadas e monitoradas.

6.7.10 Modificação

A Usina Sonora não modifica nenhum dado pessoal ou sensível.

6.7.11 Processamento

Todo processamento de dados é feito de acordo com procedimentos que visam preservar a integridade e impedir qualquer tipo de violação, para tanto, os dados são processados por responsáveis identificados e que possuem a responsabilidade pela guarda e proteção dos dados que manipulam.

6.7.12 Recepção

Na recepção de dados a Usina Sonora assegura a manutenção da condição de integridade e segurança dos dados recebidos.

6.7.13 Reprodução

Quando é necessário a cópia de dado preexistente obtido por meio de qualquer processo, a Usina Sonora respeita a privacidade dos titulares e não permite o uso indevido de dados, pela responsabilização das pessoas que manipulam ou tratam os dados.

6.7.14 Transferência

Quando ocorre a mudança de dados de uma área de armazenamento para outra, ou para terceiro;

Os acordos de confidencialidade, atendimento a política de privacidade e responsabilidade pelos dados garante a preservação da segurança na atividade de transferência.

6.7.15 Transmissão

Em casos de movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, os cuidados em relação a possíveis vazamentos dos dados ou uso indevido são tomados por meio de medidas técnicas como: segurança da informação, acordos de confidencialidade e responsabilização dos usuários dos dados.

6.7.16 Utilização

A utilização dos dados é realizada por colaboradores identificados com perfil definidos e acessos estipulados de forma a garantir que os dados não são utilizados de forma indevida.

6.8 Alterações em Processos/ Sistemas / Equipamentos/ Pessoas

Qualquer alteração em qualquer um dos ativos envolvidos com tratamentos de dados deve ser previamente discutido e somente após a análise do impacto ao atendimento da LGPD, pelos setores envolvidos e aprovação da alteração ela deve ser colocada em prática.

É importante que uma avaliação dos riscos seja realizada e documentada, com o objetivo de evitar vazamento e violação de dados.

7. Direito dos Titulares

A Usina Sonora está comprometida em garantir a proteção dos direitos dos titulares dos dados pessoais sob as leis aplicáveis. Na tabela abaixo está descrito um resumo dos diferentes direitos dos titulares de dados pessoais:

Direito

Explicação

Confirmação e Acesso

Você pode solicitar à Empresa a confirmação sobre a existência de tratamento dos seus Dados Pessoais para que, em caso positivo, você possa acessá-los, inclusive por meio de solicitação de cópias dos registros que temos sobre você.

Correção

Você pode solicitar a correção dos seus Dados Pessoais caso estes estejam incompletos, inexatos ou desatualizados.

Anonimização, bloqueio ou eliminação

Você pode solicitar (a) a anonimização dos seus Dados Pessoais, de forma que eles não possam mais ser relacionados a você e, portanto, deixem de ser Dados Pessoais; (b) o bloqueio dos seus Dados Pessoais, suspendendo temporariamente a sua possibilidade de os tratarmos para certas finalidades; e (c) a eliminação dos seus Dados Pessoais, caso em que deveremos apagar todos os seus Dados Pessoais sem possibilidade de reversão.

Portabilidade

Você pode solicitar que a Empresa forneça os seus Dados Pessoais em formato estruturado e interoperável visando à sua transferência para um terceiro, desde que essa transferência não viole a propriedade intelectual ou segredo de negócios da Empresa.

Informação sobre o compartilhamento

Você tem o direito de saber quais são as entidades públicas e privadas com as quais a Empresa realiza uso compartilhado dos seus Dados Pessoais. Manteremos, no item 3 dessa Política, uma indicação das nossas relações com terceiros que podem envolver o compartilhamento de Dados Pessoais. Em todo caso, se você tiver dúvidas ou quiser mais detalhes, você tem o direito de nos solicitar essas informações. A depender do caso, podemos limitar as informações fornecidas a você caso a sua divulgação possa violar a propriedade intelectual ou segredo de negócios da Empresa.

Informação sobre a possibilidade de não consentir

Você tem o direito de receber informações claras e completas sobre a possibilidade e as consequências de não fornecer consentimento, quando ele for solicitado pela Empresa. O seu consentimento, quando necessário, deve ser livre e informado. Portanto, sempre que pedirmos seu consentimento, você será livre para negá-lo – nesses casos, é possível que alguns serviços não possam ser prestados.

Revogação do consentimento

Caso você tenha consentido com alguma finalidade de tratamento dos seus Dados Pessoais, você pode sempre optar por retirar o seu consentimento. No entanto, isso não afetará a legalidade de qualquer Tratamento realizado anteriormente à revogação. Se você retirar o seu consentimento, é possível que fiquemos impossibilitados de lhe prestar certos serviços, mas iremos avisá-lo quando isso ocorrer.

Oposição

A lei autoriza o tratamento de Dados Pessoais mesmo sem o seu consentimento ou um contrato conosco. Nessas situações, somente trataremos seus Dados Pessoais se tivermos motivos legítimos para tanto, como, por exemplo, quando for necessário para garantir a segurança de nossas rodovias. Caso você não concorde com alguma finalidade de tratamento dos seus Dados Pessoais, você poderá apresentar oposição, solicitando a sua interrupção.

 

Para exercer esses direitos, o titular pode enviar sua Solicitação ou Reclamação seguindo o procedimento estabelecido nas declarações de privacidade trazidas à sua atenção no momento da coleta de seus dados pessoais ou enviando um e-mail para dpo@usinasonora-ms.com.br(favor não enviar currículos para esse e-mail, use nossa área específica "Trabalhe Conosco" no site)

Para maior segurança, sempre que for apresentada uma requisição para exercer seus direitos, A Usina Sonora pode solicitar algumas informações e/ou documentos complementares para que possamos comprovar a sua identidade, buscando impedir fraudes.

Fazemos isso para garantir a segurança e a privacidade de todos.

Em alguns casos, a Usina Sonora pode ter motivos legítimos para deixar de atender a uma solicitação de exercício de direitos. Essas situações incluem, por exemplo, casos em que uma revelação de informações específicas poderia violar direitos de propriedade intelectual ou segredos de negócio da empresa ou de terceiros, bem como casos em que pedidos de exclusão de dados não possam ser atendidos em razão da existência de obrigação da empresa de reter dados, seja para cumprir obrigações legais, regulatórias ou para possibilitar a defesa da empresa ou de terceiros em disputas de qualquer natureza.

Ainda, algumas solicitações podem não ser respondidas de forma imediata, mas a Usina Sonora se compromete a responder todas as requisições em um prazo razoável e sempre em conformidade com a legislação aplicável.

Nós usamos cookies e outras tecnologias semelhantes para mehorar a sua experiência em nossos serviços. Ao utilizar nosso site, você concorda com tal monitoramento. Para mais informações, consulta nossa Política de Privacidade.