Política de Privacidade e Proteção de Dados
1. OBJETIVO
A Política de Privacidade e Proteção dos dados foi criada para reafirmar o compromisso da Rowa do Brasil com a segurança e privacidade dos dados, estabelecer e manter padrões elevados de segurança na coleta, registro, armazenamento, uso, compartilhamento, enriquecimento e eliminação dos dados coletados, de acordo com as leis em vigor, seja por meios eletrônicos ou físicos, com fins únicos e exclusivos, para o atendimento de seus objetivos, garantindo o cumprimento a Lei Geral de Proteção de Dados (LGPD), de nº 13-709/2018 sancionada em 14/08/2018.
Na qualidade de responsável pelas atividades de tratamento dos dados pessoais, a Rowa do Brasil executa e promove as medidas técnicas e organizacionais adequadas de forma lícita, leal e transparente em cumprimento aos princípios da proteção de dados pessoais.
2. APLICABILIDADE E VIGÊNCIA
A Política de Privacidade e Proteção dos dados se aplica a todos os colaboradores, fornecedores, prestadores de serviços, clientes e outros terceiros que tenham acesso aos dados pessoais.
Deve-se considerar o início da vigência no ato de sua publicação com revisão sistemática a cada ano, ou em um intervalo menor, caso haja necessidade de qualquer alteração que afete as instruções aqui descritas.
3. DEFINIÇÕES
3.1 Dados Pessoais:
Informação relacionada a uma pessoa natural identificada ou identificável, ou seja, qualquer informação que identifique ou possa identificar uma pessoa, tais como: nome, sobrenome, data de nascimento, documentos pessoais como (CPF, RG, CNH, Carteira de trabalho, Passaporte e título de eleitor), endereço residencial ou comercial, telefones, e-mail, cookies e endereços de IP.
3.2 Dado Pessoal Sensível:
É o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter 5 religioso, filosófico ou político, dado referente à vida sexual, genético ou biométrico quando vinculado a uma pessoa natural.
3.3 Tratamento de dados:
Toda operação realizada com o dado pessoal, desde a coleta, produção, recepção, classificação, utilização acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
3.4 Consentimento:
Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de dados pessoais para uma finalidade determinada.
3.5 Controlador:
Pessoa física ou jurídica que tem competência para tomar decisões referentes ao tratamento de dados pessoais coletados.
3.6 Operador:
Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento dos dados pessoais em nome do controlador.
3.7 Agentes de tratamento:
São o controlador e o operador.
3.8 Encarregado/D.P.O:
Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD Autoridade Nacional de Proteção dos Dados.
4. PRINCÍPIOS PARA O TRATAMENTO DE DADOS
a) Serão coletados somente dados pessoais essenciais e para fins específicos, explícitos e legítimos. Qualquer processamento subsequente deve ser compatível com tais finalidades, a menos que o a Rowa do Brasil tenha obtido o consentimento do titular de dados ou o processamento seja permitido por lei, oriundo de fonte segura, idônea e lícita.
b) Os dados serão coletados, processados ou usados mediante consentimento do titular de dados, de forma clara, específica e legítima, não sendo utilizados para qualquer outro propósito.
c) O titular será comunicado de forma clara sobre a possibilidade de tratamento dos dados, duração e os receptivos agentes de tratamento, observados os segredos comerciais da Rowa do Brasil, e limitando ao mínimo necessário para realização de suas finalidades.
Sem o fornecimento de consentimento do titular, os dados poderão ser compartilhados nas hipóteses em que for indispensável para:
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
- Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
- Proteção da vida ou da incolumidade física do titular ou de terceiros;
- Tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
- Interesses legítimos do controlador ou terceiro;
- Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
d) Os dados coletados serão mantidos precisos, completos e atualizados, conforme seja necessário para as finalidades nas quais eles são processados, levando em consideração sempre o consentimento do titular e seu desejo em modificá-los e excluí-los.
e) O acesso aos dados é controlado e submetido a um fluxo de aprovações, sendo liberado os acessos, apenas aos dados necessários para execução das atividades na prestação de serviços.
f) Serão adotadas ferramentas e medidas administrativas que garantam proteção aos dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado, discriminatório ou ilícito, bem como ações para prevenção e controle de ocorrências em virtude de tratamento e utilização dos dados de forma indevida, tais como: canais de reclamações e denúncias; restrição, monitoramento e rastreabilidade dos acessos; capacitação dos colaboradores no manuseio e proteção dos dados pessoais; assinatura de termo de confidencialidade, revisão periódica dos processos internos e melhoria contínua.
g) Os dados pessoais serão excluídos quando deixarem de ser úteis para os fins para os quais foram coletadas, ou quando o usuário solicitar a eliminação de seus dados pessoais, podendo ser preservadas apenas para cumprimento de obrigação legal ou regulatória.
5. DIREITOS DO TITULAR DOS DADOS
A Rowa do Brasil, na qualidade de operador e controlador de dados pessoais, disponibilizará o canal de atendimento, aos titulares dos dados, via site - Ouvidoria ou por e-mail – sac@bombasrowa.com.br, possibilitando obter junto ao controlador:
a) Acesso aos dados;
b) Correção de dados;
c) Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos;
d) Eliminação dos dados pessoais;
e) Portabilidade dos dados pessoais a outro fornecedor de serviço;
f) Informação das entidades com as quais os dados foram compartilhados;
g) Revogação do consentimento; h) Reclamação à Autoridade Nacional;
i) Oposição ao tratamento, se irregular.
6. PRINCÍPIOS DE RESPONSABILIDADE
Os encarregados pelo tratamento de dados pessoais são responsáveis por:
a) Cumprir com os princípios estipulados nesta Política de Privacidade e os exigidos na legislação aplicável e ser capazes de demonstrá-lo, quando assim o exigir a legislação.
b) Manter registros das atividades que descrevem os tratamentos que realizam no âmbito de suas atividades.
c) Adotar medidas para resolver ou minimizar os possíveis efeitos negativos, no caso de um incidente que ocasione a destruição, perda ou alteração acidental ou ilícita dos dados, ou a comunicação ou acesso não autorizado, e, documentar.
Quando um incidente reportado ao Canal de Ética envolver dados pessoais e ou dados pessoais sensíveis, este será encaminhado prontamente para o encarregado em Privacidade e Proteção de Dados com a responsabilidade de avaliar a ocorrência e comunicar a todos os níveis mediantes ao risco apresentado.
7. CONTRATAÇÃO DE TERCEIROS
A Rowa do Brasil, no âmbito das suas atribuições, poderá recorrer a terceiros subcontratados para a prestação de determinados serviços, sempre com a anuência e em comum acordo com o controlador dos dados. Quando o tratamento de dados for efetuado por subcontratado ou terceiro, a quem sejam transmitidos deve ser verificado se este apresenta garantias suficientes de execução de medidas técnicas e organizacionais adequadas aos requisitos da legislação em vigor e assegure a defesa dos direitos do titular dos dados.
O tratamento nestes termos deve estar regulado por contrato, que vincula o subcontratado ou o terceiro às diretrizes estabelecidas pela Rowa do Brasil, quanto ao objeto e a duração desse tratamento, a sua natureza e finalidade, o tipo de dados pessoais, as categorias dos titulares dos dados e as obrigações e direitos do responsável pelo tratamento, estipulando, que o subcontratado ou terceiro:
a) Apenas trate os dados pessoais transmitidos mediante instruções documentadas da Rowa do Brasil;
b) Assegure que as pessoas autorizadas a tratar os dados pessoais assumam um compromisso de confidencialidade ou estarão sujeitas a obrigações legais de confidencialidade;
c) Adote as medidas de segurança mais adequadas;
d) Apague ou devolva a Rowa do Brasil todos os dados pessoais, incluindo cópias existentes, depois de concluída a prestação de serviços relacionados com o tratamento. Essa seguida de formalização e autorização da Rowa do Brasil.
e) Disponibilize a Rowa do Brasil todas as informações necessárias para demonstrar o cumprimento das obrigações previstas no presente artigo, facilitando e contribuindo as auditorias e inspeções, passíveis de serem realizadas pela Rowa do Brasil ou autoridades de proteção de dados;
f) O subcontratado não poderá contratar outro subcontratado sem autorização da Rowa do Brasil devendo remeter o pedido ao responsável pelo tratamento de dados.
8. GESTÃO DE CONSEQUÊNCIAS
Colaboradores, fornecedores ou outros Stakeholders/públicos de interesse que observarem quaisquer desvios às diretrizes desta Política, poderão relatar por e-mail – sac@bombasrowa.com.br; podendo ou não se identificar.
Internamente, o descumprimento das diretrizes desta Política enseja a aplicação de medidas de responsabilização dos agentes conforme a respectiva gravidade do ato.
Os fornecedores que descumprirem as diretrizes desta política sofrerão as sanções descritas em contratos e, dependendo da gravidade poderá acarretar a rescisão do contrato.
A LGPD implementa a aplicação de severas sanções para empresas que descumprirem as disposições legais. A Autoridade Nacional de Proteção de dados, dentre outros elementos, deverá observar no caso de aplicação de uma sanção não somente o grau do dano 10 proporcionado, mas também as medidas, mecanismos e procedimentos internos adotados previamente pela empresa.
Neste contexto, quando comprovada a legitimidade de qualquer ato ilícito cometido por colaboradores, prestadores de serviços ou terceiros, a Rowa do Brasil aplicará sanções administrativas, de responsabilidade e financeiras, proporcionais ao grau dos prejuízos causados.
9. CONTROLE DE ALTERAÇÕES DO DOCUMENTO HISTÓRICO DE REVISÕES
Versão atual – fevereiro de 2021