Política de privacidade

O grupo CBAA é composto por 4 (quatro) empresas, CBAA – ASFALTOS LTDA, pessoa jurídica de direito privado, inscrita no CNPJ sob o nº. 05.099.585/0001-62, com sede na Travessa Nove de Janeiro, nº. 2155, Fátima, CEP 66060-585, Belém/PA; BEST, pessoa jurídica de direito privado, inscrita no CNPJ sob o nº. 83.332.908/0001-20, com sede no Distrito Industrial de Ananindeua, Setor C, Qd 08, S/N, Lotes 03 a 06 67.035- 330 – Distrito Industrial – Ananindeua/PA; GGFT, pessoa jurídica de direito privado, inscrita no CNPJ sob o nº. 03.031.874/0001-02, com sede no Distrito Industrial de Ananindeua, Setor C, Qd 08, S/N, Lotes 03 a 06 67.035- 330 – Distrito Industrial – Ananindeua/PA e CABOCLO, pessoa jurídica de direito privado, inscrita no CNPJ sob o nº. 01.512.723/0001-32, com sede na Rod. PA 320, S/N, 68.748-000 – Zona Rural – São Francisco do Pará/PA, de modo que todas as empresas do grupo atuam majoritariamente como controladoras de dados, coletados dos seus funcionários, clientes, fornecedores e prestadores de serviços.

A proteção de dados dentro da empresa é critério fundamental e basilar no desenvolvimento de rotinas de trabalho, contratação de novas tecnologias e estabelecimento de condutas e políticas internas, sempre tendo como fundamento os seguintes princípios:

• Respeito à privacidade;
• Autodeterminação informativa;
• Liberdade de expressão, de informação, de comunicação e de opinião;
• Inviolabilidade da intimidade, da honra e da imagem;
• Desenvolvimento econômico e tecnológico e a inovação;
• Livre iniciativa, a livre concorrência e a defesa do consumidor;
• Direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Esta política de privacidade se aplica aos seguintes casos de coleta e tratamento de dados pessoais e as seguintes pessoas:

• Tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;
• Operação de tratamento realizada no território nacional;
• Atividade de tratamento que tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
• Dados pessoais, objeto do tratamento, tenham sido coletados no território nacional.

Para que esta política possa ser entendida em sua integralidade, é importante que alguns conceitos e definições sejam expostos.

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
Agentes de tratamento: o controlador e o operador;
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

A empresa se restringe a coletar unicamente dados pessoais necessários para o cumprimento das suas obrigações legais e contratuais, em sua maioria de pessoas maiores de idade.
O tipo de dado pessoa coletado depende do titular, de modo que os dados funcionários, prestadores de serviço, clientes e fornecedores fornecem tipos diferentes de dados, em função das necessidades específicas da empresa.
Eventualmente a empresa poderá coletar dados pessoais sensíveis, contudo, quando assim o faz é para a proteção da vida e incolumidade física do próprio e de terceiros, assim como para prevenir fraudes e tutelar a sua segurança.
É possível, em situações exigidas por lei, que a empresa colete dados pessoais de crianças e adolescentes, o qual ocorre apenas mediante consentimento expresso conferido pelo seu responsável legal.

Em regra, a empresa trata dados pessoais pelos seguintes motivos:

• Mediante o fornecimento de consentimento pelo titular;
• Para o cumprimento de obrigação legal ou regulatória pelo controlador;
• Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
• Para a proteção da vida ou da incolumidade física do titular ou de terceiros;
• Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
• Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

A empresa realiza o compartilhamento dos dados coletados por ela, em grau maior ou menor, a depender da qualificação do titular
entre cliente, funcionário, prestador de serviços e fornecedor, a fim de que as suas obrigações legais, principalmente de cunho
trabalhista, fiscal, tributário e contábil sejam cumpridas.
Da mesma forma, os dados podem ser eventualmente compartilhados por determinação judicial ou de autoridade policial, assim como
para a tutela de direitos da empresa em processo administrativo ou judicial.
Os atos de compartilhamento sempre são realizados com todos os cuidados tecnológicos possíveis, visando impedir qualquer
vazamento
ou acesso indevido.
Além disso, os operadores que recebem os dados compartilhados, em regra apresentam portal próprio para esse tipo de
compartilhamento, o qual é revestido dos cuidados necessários, assim como já apresentam política de privacidade bem definida e
implementada.
A empresa não realiza qualquer tipo de compartilhamento internacional dos dados que coleta.

Os dados pessoais coletados pela empresa são mantidos através de rotinas bem definidas e sistemas de última geração, que visam
garantir um alto nível de controle, organização e proteção.
Dessa forma, o acesso aos dados pessoais sempre é monitorado, pelo sistema, protocolos, funcionários e câmeras de segurança, de modo
que qualquer irregularidade é facilmente identificada e corrigida.

Os dados pessoais coletados e tratados pela empresa são retidos no seu banco de dados enquanto o titular de dados tiver relação jurídica
ativa com a empresa.
Encerrada a relação jurídica entre eles, a depender de cada caso, a empresa aplica as suas regras de retenção para apenas eliminar os
dados após o referido prazo.
Esse prazo é necessário para que a empresa possa adimplir toda e qualquer eventual obrigação legal ou contratual que venha a surgir,
mesmo depois de encerrada a relação jurídica com o titular, ou mesmo para que ela possa tutelar os seus direitos em eventual demanda
judicial, extrajudicial ou administrativa.
A exclusão desses dados sempre é acompanhada de registro do ato, seja pelo log do sistema informatizado utilizado pela empresa, seja
através do registro no respectivo livro de controle.

A LGPD define que os titulares de dados têm os seguintes direitos perante os controladores e operadores:

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
• Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da
  autoridade nacional, observados os segredos comercial e industrial;
• Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
• Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• Revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.

Esses direitos poderão ser exercidos pelos titulares de dados de forma gratuita, nos termos abaixo.
Os titulares de dados poderão exercer os seus direitos, conforme previsto na LGPD e elencado acima, através de requerimento físico
presente na recepção da empresa controladora, ou através de e-mail a ser enviado diretamente ao encarregado.
Endereço: encarregado.lgpd@localhost

REQUERIMENTO GERAL PARA TITULARES DE DADOS, NOS TERMOS DA LGPD (LEI Nº. 13.709) – Download
O prazo para resposta do requerimento é de 5 (cinco) dias úteis.
Toda e qualquer denúncia relativa à violação ou suspeita de violação aos termos desta política deverão ser informadas diretamente
ao encarregado, conforme e-mail acima.

Esta Política de Privacidade e Proteção de Dados – PPPD é regida pela LGPD e será periodicamente atualizada, sempre que necessário,
seja por adequações internas da empresa, seja porque a Autoridade Nacional de Proteção de Dados – ANPD editou normas de
aprimoramento das condutas de boas práticas e governança, ficando desde já eleito o foro da comarca de Belém/PA para dirimir
quaisquer questões relativas a este documento: encarregado.lgpd@localhost