Política de privacidad

El grupo CBAA es compuesto por 4 (cuatro) empresas, CBAA – ASFALTOS LTDA, persona jurídica de derecho privado, inscrita en el Registro Nacional de Personas Jurídicas (CNPJ) bajo el nº 05.099.585/0001-62, con domicilio en Travessa Nove de Janeiro, nº. 2155, Fátima, CEP 66060-585, Belém/PA; BEST, persona jurídica de derecho privado, inscrita en el CNPJ bajo el nº 83.332.908/0001-20, con domicilio en Distrito Industrial de Ananindeua, Setor C, Qd 08, S/N, Lotes 03 a 06 67.035- 330 – Distrito Industrial – Ananindeua/PA; GGFT, persona jurídica de derecho privado, inscrita en el CNPJ bajo el nº 03.031.874/0001-02, con domicilio en Distrito Industrial de Ananindeua, Setor C, Qd 08, S/N, Lotes 03 a 06 67.035- 330 – Distrito Industrial – Ananindeua/PA y CABOCLO, persona jurídica de derecho privado, inscrita en el CNPJ bajo el nº 01.512.723/0001-32, con domicilio en Rod. PA 320, S/N, 68.748-000 – Zona Rural – São Francisco do Pará/PA, de modo que todas las empresas del grupo actúan en general como controladoras de datos, recogidos de sus funcionarios, clientes, proveedores y prestadores de servicios.

La protección de datos dentro de la empresa es un criterio fundamental y básico en el desarrollo de rutinas de trabajo, contratación de nuevas tecnologías y creación de conductas y políticas internas, y tiene como fundamento los siguientes principios:

• Respeto a la privacidad;
• Autodeterminación informativa;
• Libertad de expresión, de información, de comunicación y de opinión;
• Inviolabilidad de la intimidad, del honor y de la imagen;
• Desarrollo económico y tecnológico y la innovación;
• Libre iniciativa, la libre competencia y la defensa del consumidor;
• Derechos humanos, el libre desarrollo de la personalidad, la dignidad y el ejercicio de la ciudadanía por las personas naturales.

Esta política de privacidad se aplica a los siguientes casos de recogida y tratamiento de datos personales y a las siguientes personas:

• Tratamiento de datos personales, incluso en los medios digitales, por persona natural o por persona jurídica de derecho público o privado, con el objetivo de proteger los derechos fundamentales de libertad y de privacidad y el libre desarrollo de la personalidad de la persona natural.
• Operación de tratamiento realizada en el territorio nacional;
• Actividad de tratamiento cuyo objetivo sea la oferta o el suministro de bienes o servicios o el tratamiento de datos de individuos ubicados en el territorio nacional;
• Datos personales, objeto del tratamiento, que se hayan recogido en el territorio nacional.

Para que se pueda entender esta política en su totalidad, es importante exponer algunos conceptos y definiciones.

Dato personal: información relacionada con una persona natural identificada o identificable;
Dato personal sensible: dato personal sobre el origen racial o étnico, convicción religiosa, opinión política, filiación a sindicato o a organización de carácter religioso, filosófico o político, dato relacionado con la salud o la vida sexual, dato genético o biométrico, si relacionado con una persona natural;
Dato anonimizado: dato relacionado con un titular que no se pueda identificar, teniendo en cuenta la utilización de medios técnicos razonables y disponibles en la ocasión de su tratamiento;
Base de datos: conjunto estructurado de datos personales, establecido en un o en varios lugares, en soporte electrónico o físico;
Titular: persona natural a la cual se refieren los datos personales que son objeto de tratamiento;
Controlador: persona natural o jurídica, de derecho público o privado, responsable de las decisiones relacionadas con el tratamiento de datos personales;
Operador: persona natural o jurídica, de derecho público o privado, que realiza el tratamiento de datos personales en nombre del controlador;
Encargado: persona designada por el controlador y operador para actuar como canal de comunicación entre el controlador, los titulares de los datos y la Autoridad Nacional de Protección de Datos (ANPD);
Agentes de tratamiento: el controlador y el operador;
Tratamiento: toda operación realizada con los datos personales, como aquellas relacionadas con la recogida, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación o control de la información, modificación, comunicación, transferencia, difusión o extracción;
Anonimización: utilización de medios técnicos razonables y disponibles en el momento del tratamiento, a través de los cuales un dato pierde la posibilidad de asociación, directa o indirecta, con un individuo;
Consentimiento: manifestación libre, informada e inequívoca por la cual el titular acepta el tratamiento de sus datos personales para una finalidad determinada;
Bloqueo: suspensión temporal de cualquier operación de tratamiento, por medio de la guarda del dato personal o de la base de datos;
Eliminación: exclusión de dato o de conjunto de datos almacenados en base de datos, independientemente del procedimiento empleado;
Transferencia internacional de datos: transferencia de datos personales para un país extranjero u organismo internacional del cual el país sea miembro;
Uso compartido de datos: comunicación, difusión, transferencia internacional, interconexión de datos personales o tratamiento compartido de bases de datos personales por entidades y organismos públicos en el cumplimento de sus competencias legales, o entre ellos y entidades privadas, recíprocamente, con autorización específica, para una o más modalidades de tratamiento permitidas por esas entidades públicas, o entre entidades privadas.
Informe de impacto a la protección de datos personales: documentación del controlador que incluye la descripción de los procesos de tratamiento de datos personales que pueden generar riesgos a las libertades civiles y a los derechos fundamentales, así como medidas, protecciones y mecanismos de mitigación de riesgo;
Organismo de investigación: organismo o entidad de la administración pública directa o indirecta o persona jurídica de derecho privado sin ánimo de lucro legalmente constituida bajo las leyes brasileñas, con domicilio y jurisdicción en el País, que incluya en su misión institucional o en su objeto social o estatutario la investigación básica o aplicada de carácter histórico, científico, tecnológico o estadístico;
Autoridad nacional: organismo de la administración pública responsable de asegurar, implementar y fiscalizar el cumplimento de esta Ley en todo el territorio nacional.

El acto de tratar datos practicado por la empresa siempre debe tener como objetivo respetar los siguientes principios.

Finalidad: realización del tratamiento para propósitos legítimos, específicos, explícitos e informados al titular, sin posibilidad de tratamiento posterior de manera incompatible con esos fines;
Adecuación: compatibilidad del tratamiento con los fines informados al titular, según el contexto del tratamiento;
Necesidad: limitación del tratamiento al mínimo necesario para la realización de sus fines, con abarcamiento de los datos pertinentes, proporcionales y no excesivos en relación con los fines del tratamiento de datos;
Libre acceso: garantía, a los titulares, de consulta facilitada y gratis sobre la forma y la duración del tratamiento, así como sobre la integralidad de sus datos personales;
Calidad de los datos: garantía, a los titulares, de exactitud, claridad, relevancia y actualización de los datos, según la necesidad y para el cumplimiento de la finalidad de su tratamiento;
Transparencia: garantía, a los titulares, de información clara, precisa y fácilmente accesible sobre la realización del tratamiento y los respectivos agentes de tratamiento, con observancia de los secretos comercial e industrial;
Seguridad: utilización de medidas técnicas y administrativas capaces de proteger los datos
personales de accesos no autorizados y de situaciones accidentales o ilegales de destrucción, pérdida, alteración, comunicación o difusión;
Prevención: adopción de medidas para prevenir la ocurrencia de daños debido al tratamiento de datos personales;
No discriminación: imposibilidad de realización del tratamiento para fines discriminatorios ilegales o abusivos;
Responsabilización y presentación de cuentas: demostración, por el agente, de la adopción de medidas eficaces y capaces de comprobar la observancia y el cumplimiento de las normas de protección de datos personales e incluso de la eficacia de esas medidas.

Basándose en esos principios rectores, todas las rutinas de trabajo se realizan por el sistema integrado e informatizado presente en la empresa, de modo que cada colaborador solamente tiene acceso a los datos que se necesitan para que realice sus funciones.

La empresa se limita a recoger únicamente datos personales necesarios para el cumplimiento de sus obligaciones legales y contractuales, en su mayoría de personas mayores de edad.
El tipo de dato personal recogido depende del titular, de modo que funcionarios, prestadores de servicios, clientes y proveedores suministran tipos diferentes de datos, según las necesidades específicas de la empresa.
Eventualmente la empresa podrá recoger datos personales sensibles, sin embargo, cuando lo hace así es para la protección de la vida e incolumidad física de la persona y de terceros, así como para prevenir fraudes y proteger su seguridad.
La empresa puede, en situaciones requeridas por ley, recoger datos personales de niños y adolescentes, lo que ocurre solamente previo consentimiento expreso otorgado por su tutor legal.

Como norma, la empresa trata datos personales por los siguientes motivos:

• Previo suministro de consentimiento por el titular;
• Para el cumplimento de obligación legal o regulatoria por el controlador;
• Cuando sea necesario para la ejecución de contrato o de procedimientos preliminares relacionados con un contrato del cual sea parte o titular, a solicitud del titular de los datos;
• Para el ejercicio regular de derechos en proceso judicial, administrativo o arbitral, el último según los términos de la Ley nº 9.307, del 23 de septiembre de 1996 (Ley de Arbitraje);
• Para la protección de la vida o de la incolumidad física del titular o de terceros;
• Cuando sea necesario para satisfacer los intereses legítimos del controlador o de terceros, a excepción de que prevalezcan derechos y libertades fundamentales del titular que requieran la protección de los datos personales; o
• Para la protección del crédito, incluso con respecto a lo dispuesto en la legislación pertinente.

La empresa realiza la compartición de los datos recogidos por ella, en grado mayor o menor, en función de la calificación del titular entre cliente, funcionario, prestador de servicios y proveedor, para que se cumplan sus obligaciones legales, especialmente de carácter laboral, fiscal, tributario y contable.
Igualmente, los datos se pueden eventualmente compartir por sentencia judicial o de autoridad policial, así como para la protección de derechos de la empresa en un proceso administrativo o judicial.
Los actos de compartición siempre se realizan con todos los cuidados tecnológicos posibles, a fin de impedir cualquier filtración o acceso indebido.
Además, los operadores que reciben los datos compartidos, como norma presentan un portal propio para ese tipo de compartición, que se recubre de los cuidados necesarios, así como ya presentan una política de privacidad bien definida e implementada.
La empresa no realiza cualquier tipo de compartición internacional de los datos que recoge.

Los datos personales recogidos por la empresa se mantienen a través de rutinas bien definidas y sistemas de última generación, destinados a garantizar un alto nivel de control, organización y protección.
Así, el acceso a los datos personales siempre es monitoreado, por el sistema, protocolos, funcionarios y cámaras de seguridad, de modo que cualquier irregularidad es fácilmente identificada y actualizada.

Los datos personales recogidos y tratados por la empresa se retienen en su base de datos mientras el titular de datos tenga relación jurídica activa con la empresa.
Cuando se acabe la relación jurídica entre ellos, según cada caso, la empresa aplica sus reglas de retención para solamente eliminar los datos después del referido plazo.
Ese plazo es necesario para que la empresa pueda ejecutar toda y cualquier posible obligación legal o contractual que pueda surgir, incluso después del término de la relación jurídica con el titular, o también para que pueda proteger sus derechos en cualquier demanda judicial, extrajudicial o administrativa.
La exclusión de esos datos siempre se acompaña de un registro del acto, ya sea por el registro del sistema informatizado utilizado por la empresa, ya sea a través del registro en el respectivo libro de control.

La Ley General de Protección de Datos (LGPD) define que los titulares de datos tienen los siguientes derechos ante los controladores y operadores:

• Confirmación de la existencia de tratamiento;
• Acceso a los datos;
• Corrección de datos incompletos, inexactos o desactualizados;
• Anonimización, bloqueo o eliminación de datos innecesarios, excesivos o tratados en disconformidad con lo dispuesto en esta Ley;
• Portabilidad de los datos a otro proveedor de servicio o producto, por medio de solicitud expresa, según la reglamentación de la autoridad nacional, con observancia de los secretos comercial e industrial;
• Eliminación de los datos personales tratados con el consentimiento del titular, excepto en las hipótesis establecidas en el art. 16 de esta Ley;
• Información de las entidades públicas y privadas con las cuales el controlador ha realizado uso compartido de datos;
• Información sobre la posibilidad de no dar consentimiento y sobre las consecuencias de la denegación;
• Revocación del consentimiento, según los términos del párrafo 5º del art. 8º de esta Ley.

Los titulares de datos podrán ejercer esos derechos gratuitamente, según los términos a continuación.
Los titulares de datos podrán ejercer sus derechos, según lo previsto en la LGPD y listado anteriormente, a través de una petición física presente en la recepción de la empresa controladora, o por correo electrónico a enviar directamente al encargado.
Dirección: encarregado.lgpd@localhost

PETICIÓN GENERAL PARA TITULARES DE DATOS, SEGÚN LOS TÉRMINOS DE LA LGPD (LEY Nº. 13.709) – Descarga
El plazo para respuesta de la petición es de 5 (cinco) días hábiles.
Toda y cualquier denuncia relacionada con la violación o sospecha de violación de los términos de esta política se deberá informar directamente al encargado, por el correo electrónico que antecede.

Esta Política de Privacidad y Protección de Datos – PPPD se rige por la LGPD y se actualizará periódicamente, siempre que sea necesario, ya sea por adecuaciones internas de la empresa, ya sea porque la Autoridad Nacional de Protección de Datos – ANPD ha promulgado normas de mejoramiento de las conductas de buenas prácticas y gobernanza, y por el presente ya está elegida la jurisdicción de la comarca de Belém/PA para resolver cualesquiera cuestiones relacionadas con este documento: encarregado.lgpd@localhost