POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS (PPPD) – GRUPO CBAA

HISTÓRICO DE REVISÕES

DATA

VERSÃO

DESCRIÇÃO

ALTERAÇÕES

AUTOR

01/03/2019

1.0

Criação

#

Erika Cristiane Santos Malcher

15/12/2021

2.0

Atualização

 

Inclusão de novas determinações e regras

Lucas Gomes Bombonato

– OAB/PA 19.067

SUMÁRIO

  1. AGENTE DE TRATAMENTO 
  2. FUNDAMENTOS PARA A PROTEÇÃO DE DADOS 
  3. A QUEM SE APLICA? 
  4. GLOSSÁRIO E DEFINIÇÕES 
  5. PRINCÍPIOS NORTEADORES PARA O TRATAMENTO DE DADOS 
  6. QUAIS DADOS SÃO COLETADOS E TRATADOS? 
  7. MOTIVOS PARA O TRATAMENTO DE DADOS 
  8. COMPARTILHAMENTO 
  9. MANUTENÇÃO DOS DADOS 
  10. RETENÇÃO E EXCLUSÃO DOS DADOS
  11. DIREITOS DOS TITULARES DE DADOS 
  12. LEGISLAÇÃO APLICÁVEL E FORO


  1. AGENTE DE TRATAMENTO

grupo CBAA é composto por 4 (quatro) empresas,  CBAA – ASFALTOS LTDA, pessoa jurídica de direito privado, inscrita no CNPJ sob o nº. 05.099.585/0001-62, com sede na Travessa Nove de Janeiro, nº. 2155, Fátima, CEP 66060-585, Belém/PA;  BEST, pessoa jurídica de direito privado, inscrita no CNPJ sob o nº. 83.332.908/0001-20, com sede no Distrito Industrial de Ananindeua, Setor C, Qd 08, S/N, Lotes 03 a 06 67.035- 330 – Distrito Industrial – Ananindeua/PA;  GGFT, pessoa jurídica de direito privado, inscrita no CNPJ sob o nº. 03.031.874/0001-02, com sede no Distrito Industrial de Ananindeua, Setor C, Qd 08, S/N, Lotes 03 a 06 67.035- 330 – Distrito Industrial – Ananindeua/PA e  CABOCLO, pessoa jurídica de direito privado, inscrita no CNPJ sob o nº. 01.512.723/0001-32, com sede na Rod. PA 320, S/N, 68.748-000 – Zona Rural – São Francisco do Pará/PA, de modo que todas as empresas do grupo atuam majoritariamente como controladoras de dados, coletados dos seus funcionários, clientes, fornecedores e prestadores de serviços.


 

  1. FUNDAMENTOS PARA A PROTEÇÃO DE DADOS.

A proteção de dados dentro da empresa é critério fundamental e basilar no desenvolvimento de rotinas de trabalho, contratação de novas tecnologias e estabelecimento de condutas e políticas internas, sempre tendo como fundamento os seguintes princípios.

    • Respeito à privacidade;
    • Autodeterminação informativa;
    • Liberdade de expressão, de informação, de comunicação e de opinião;
    • Inviolabilidade da intimidade, da honra e da imagem;
    • Desenvolvimento econômico e tecnológico e a inovação;
    • Livre iniciativa, a livre concorrência e a defesa do consumidor;
    • Direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.



  1. A QUEM SE APLICA?

Esta política de privacidade se aplica aos seguintes casos de coleta e tratamento de dados pessoais e as seguintes pessoas.

    • Tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
    • Operação de tratamento realizada no território nacional;
    • Atividade de tratamento que tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
    • Dados pessoais, objeto do tratamento, tenham sido coletados no território nacional.



  1. GLOSSÁRIO E DEFINIÇÕES

Para que esta política possa ser entendida em sua integralidade, é importante que alguns conceitos e definições sejam expostos.

    • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
    • Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
    • Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
    • Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
    • Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
    • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
    • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
    • Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
    • Agentes de tratamento: o controlador e o operador;
    • Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
    • Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
    • Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
    • Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
    • Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
    • Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
    • Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
    • Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
    • Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
    • Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.



  1. PRINCÍPIOS NORTEADORES PARA O TRATAMENTO DE DADOS

O ato de tratar dados praticado pela empresa sempre deve visar o respeito aos seguintes princípios.

    • Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
    • Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
    • Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
    • Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
    • Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
    • Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
    • Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
    • Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
    • Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
    • Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Com base nesses princípios norteadores, todas as rotinas de trabalho são realizadas pelo sistema integrado e informatizado presente na empresa, de modo que cada colaborador somente tem acesso aos dados que são necessários para que ele exerça as suas funções.


  1. QUAIS DADOS SÃO COLETADOS E TRATADOS?

A empresa se restringe a coletar unicamente dados pessoais necessários para o cumprimento das suas obrigações legais e contratuais, em sua maioria de pessoas maiores de idade.

O tipo de dado pessoa coletado depende do titular, de modo que os dados funcionários, prestadores de serviço, clientes e fornecedores fornecem tipos diferentes de dados, em função das necessidades específicas da empresa.

Eventualmente a empresa poderá coletar dados pessoais sensíveis, contudo, quando assim o faz é para a proteção da vida e incolumidade física do próprio e de terceiros, assim como para prevenir fraudes e tutelar a sua segurança.

É possível, em situações exigidas por lei, que a empresa colete dados pessoais de crianças e adolescentes, o qual ocorre apenas mediante consentimento expresso conferido pelo seu responsável legal.


  1. MOTIVOS PARA O TRATAMENTO DE DADOS

Em regra, a empresa trata dados pessoais pelos seguintes motivos.

    • Mediante o fornecimento de consentimento pelo titular;
    • Para o cumprimento de obrigação legal ou regulatória pelo controlador;
    • Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
    • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
    • Para a proteção da vida ou da incolumidade física do titular ou de terceiros;
    • Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
    • Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.



  1. COMPARTILHAMENTO

A empresa realiza o compartilhamento dos dados coletados por ela, em grau maior ou menor, a depender da qualificação do titular entre cliente, funcionário, prestador de serviços e fornecedor, a fim de que as suas obrigações legais, principalmente de cunho trabalhista, fiscal, tributário e contábil sejam cumpridas.

Da mesma forma, os dados podem ser eventualmente compartilhados por determinação judicial ou de autoridade policial, assim como para a tutela de direitos da empresa em processo administrativo ou judicial.

Os atos de compartilhamento sempre são realizados com todos os cuidados tecnológicos possíveis, visando impedir qualquer vazamento ou acesso indevido.

Além disso, os operadores que recebem os dados compartilhados, em regra apresentam portal próprio para esse tipo de compartilhamento, o qual é revestido dos cuidados necessários, assim como já apresentam política de privacidade bem definida e implementada.

A empresa não realiza qualquer tipo de compartilhamento internacional dos dados que coleta.


  1. MANUTENÇÃO DOS DADOS

Os dados pessoais coletados pela empresa são mantidos através de rotinas bem definidas e sistemas de última geração, que visam garantir um alto nível de controle, organização e proteção.

Dessa forma, o acesso aos dados pessoais sempre é monitorado, pelo sistema, protocolos, funcionários e câmeras de segurança, de modo que qualquer irregularidade é facilmente identificada e corrigida.


  1. RETENÇÃO E EXCLUSÃO DOS DADOS

Os dados pessoais coletados e tratados pela empresa são retidos no seu banco de dados enquanto o titular de dados tiver relação jurídica ativa com a empresa

Encerrada a relação jurídica entre eles, a depender de cada caso, a empresa aplica as suas regras de retenção para apenas eliminar os dados após o referido prazo.

Esse prazo é necessário para que a empresa possa adimplir toda e qualquer eventual obrigação legal ou contratual que venha a surgir, mesmo depois de encerrada a relação jurídica com o titular, ou mesmo para que ela possa tutelar os seus direitos em eventual demanda judicial, extrajudicial ou administrativa.

A exclusão desses dados sempre é acompanhada de registro do ato, seja pelo log do sistema informatizado utilizado pela empresa, seja através do registro no respectivo livro de controle.


  1. DIREITOS DOS TITULARES DE DADOS

A LGPD define que os titulares de dados têm os seguintes direitos perante os controladores e operadores.

    • Confirmação da existência de tratamento;
    • Acesso aos dados;
    • Correção de dados incompletos, inexatos ou desatualizados;
    • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
    • Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
    • Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
    • Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
    • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
    • Revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

Esses direitos poderão ser exercidos pelos titulares de dados de forma gratuita, nos termos abaixo.

Os titulares de dados poderão exercer os seus direitos, conforme previsto na LGPD e elencado acima, através de requerimento físico presente na recepção da empresa controladora, ou através de e-mail a ser enviado diretamente ao encarregado.

Endereço: encarregado.lgpd@cbaa-asfaltos.com.br

O prazo para resposta do requerimento é de 5 (cinco) dias úteis.

Toda e qualquer denúncia relativa à violação ou suspeita de violação aos termos desta política deverão ser informadas diretamente ao encarregado, conforme e-mail acima.

 

  1. LEGISLAÇÃO APLICÁVEL E FORO

Esta Política de Privacidade e Proteção de Dados – PPPD é regida pela LGPD e será periodicamente atualizada, sempre que necessário, seja por adequações internas da empresa, seja porque a Autoridade Nacional de Proteção de Dados – ANPD editou normas de aprimoramento das condutas de boas práticas e governança, ficando desde já eleito o foro da comarca de Belém/PA para dirimir quaisquer questões relativas a este documento:  encarregado.lgpd@cbaa-asfaltos.com.br