Política de Privacidade
1. Objetivo
A Política de Proteção e Privacidade de Dados (“Política”) da RD Station (“RD”) tem como objetivo demonstrar o compromisso da RD com a transparência com que trata os Dados Pessoais dos Titulares, assim como expressar seu comprometimento com a segurança nos serviços fornecidos relacionados ao tratamento de dados dos seus clientes.
Esta Política é parte do Programa de Proteção e Privacidade de Dados da RD Station, composto também por outros documentos, diretrizes, normas e procedimentos.
2. Abrangência
Esta Política se aplica a todas as áreas da RD, incluindo de Terceiros que, de qualquer forma, tratem Dados Pessoais em nome ou a pedido da RD, bem como reflete a governança aplicada aos temas de proteção de Dados Pessoais pela RD. A observância desta Política é obrigatória e reflete a legislação e regulamentação aplicáveis relacionadas às Leis de Proteção de Dados.
3. Referências
- Lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais.
- Lei 12.965/2014 – Marco Civil da Internet.
4. Definições
Adquiridas: empresas que tiveram seu controle societário adquirido pela RD.
Agente de Tratamento: o Controlador ou o Operador.
ANPD – Autoridade Nacional de Proteção de Dados: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD).
Coleta Internacional de Dados: coleta de Dados Pessoais do Titular efetuada diretamente pelo Agente de Tratamento localizado no exterior.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de Dados Pessoais. O Controlador é quem determina a finalidade e os meios de execução deste tratamento.
Dados Pessoais: toda informação relacionada a uma pessoa natural identificada ou identificável.
Dados Pessoais Sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
DPA – Data Processing Agreement (Termo de Tratamento de Dados): documento que visa regulamentar a relação contratual entre agentes de tratamento, quando o contrato principal envolve o tratamento de Dados Pessoais. Este documento define os limites, meios, finalidades e todas as obrigações que os agentes de tratamento terão que cumprir.
DPO – Data Protection Officer (ou “Encarregado de Dados”): colaborador(a) da RD que atua como responsável pela comunicação entre a RD e adquiridas, os Titulares de Dados Pessoais e a ANPD.
Fornecedor(es): são pessoas jurídicas ou físicas que oferecem mercadorias ou serviços à RD em um determinado prazo acordado entre as partes.
LGPD – Lei Geral de Proteção de Dados: Lei nº 13.709/2018 que regula o tratamento de Dados Pessoais realizado no território brasileiro ou que tenha por objetivo fornecer bens ou serviços para indivíduos localizados no território nacional ou ainda que os Dados objeto do tratamento tenham sido coletados no território brasileiro independentemente de onde estejam localizados os Dados.
Marco Civil da Internet – Lei nº 12.965/2014 que visa orientar os direitos e deveres dos usuários, provedores de serviços e demais envolvidos com o uso da Internet no Brasil.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de Dados Pessoais em nome do Controlador.
Parceiro: empresas com quem a RD mantém relações contratuais com intuito de desenvolver atividades comerciais.
Prestador(es) de serviço: são pessoas físicas ou jurídicas que prestam algum tipo de serviço contratado pelo RD e Adquirida.
Privacy by Default (Privacidade como padrão): conceito que decorre do privacy by design. Estabelece que um produto ou serviço, ao ser lançado no mercado, deve possuir todas as configurações de privacidade restritas determinadas em seu desenvolvimento e apenas o usuário pode liberar ou desativar o seu acesso caso seja necessário.
Privacy by Design (Privacidade como Premissa): premissa para o desenvolvimento de serviços ou produtos, incluindo softwares, que exige a aplicação de boas práticas relativas à privacidade desde a sua concepção. Dessa forma, qualquer nova atividade de tratamento deve atender aos princípios, regras e padrões fornecidos e determinados pela legislação competente durante todo o seu ciclo de vida.
Programa de Privacidade e Proteção de Dados: conjunto estruturado de políticas, procedimentos e práticas organizacionais projetadas para proteger a privacidade e a segurança dos dados pessoais coletados, processados e armazenados pela RD e Adquirida.
RDoer: é todo empregado que trabalha na RD.
RD ou Companhia: a RD Gestão e Sistemas S.A.
RoPA – Records of Processing Activities (Registro de Operações de Tratamento): registro de atividades para o mapeamento do processamento de Dados Pessoais.
RIPD Relatório de Impacto à Proteção de Dados Pessoais ou DPIA – Data Protection Impact Assessment: documentação que contém a descrição dos processos de tratamento de Dados Pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, além de conter as medidas, as salvaguardas e os mecanismos de mitigação de risco.
Terceiros: pessoas físicas ou jurídicas contratadas para executar determinadas atividades em um período pré-estabelecido.
Titulares: são as pessoas físicas a quem os Dados Pessoais se referem.
Transferência Internacional de Dados: transferência de dados pessoais realizada por Agente de Tratamento situado no Brasil para país estrangeiro ou organismo internacional ao qual o Brasil seja membro.
5. Diretrizes
5.1. Da classificação enquanto Agente de Tratamento
É prioridade da RD proteger, preservar e respeitar a privacidade e os direitos dos Titulares de Dados Pessoais em consonância com a LGPD.
A RD adota as melhores práticas empresariais e condutas éticas, visando a manutenção e evolução do grau de conformidade dos processos relativos à proteção de Dados Pessoais para atender às necessidades dos Clientes, Parceiros, Fornecedores e RDOERS .
5.2. Atuação como Agente de Tratamento
A RD pode tratar isoladamente, ou realizar o uso compartilhado de Dados Pessoais com outros Agentes de Tratamento. A depender da atividade de tratamento realizada, a RD poderá se enquadrar como Controladora ou Operadora de Dados Pessoais:
– Como Controladoras, a RD adota medidas técnicas de segurança e privacidade para preservar a disponibilidade, a integridade e confidencialidade dos Dados Pessoais que tratam, por si, ou com a colaboração de terceiros. Para tanto, a RD mantém um Programa de Privacidade e Proteção de Dados, do qual todos os envolvidos, sem exceção, devem participar.
Os processos corporativos que tratam dados pessoais de todas as áreas são documentados e avaliados quanto aos riscos e impactos que geram para os Titulares de Dados e para a Companhia. As avaliações são realizadas periodicamente pelas áreas responsáveis pelos processos de negócio com a supervisão da área de Governança de Dados da TOTVS e do Jurídico por meio dos Registros das Atividades de Tratamento de Dados Pessoais (RoPAs). Em alguns casos, a depender do risco atribuído ao processo ou para o cumprimento de requisitos legais, é elaborado o Relatório de Impacto à Proteção de Dados Pessoais (RIPD) que descreve, de forma mais detalhada, os riscos e medidas de mitigação aplicados ao processo.
– Como Operadoras, a RD deve cumprir todas as diretrizes contratuais definidas pelos Controladores (seus clientes), a fim de realizar o tratamento de Dados Pessoais, por meio de boas práticas de segurança asseguradas por auditorias independentes. Além disso, na RD adotamos cláusulas de proteção de Dados Pessoais em todos os contratos em que desempenhamos o papel de Operadora, definindo claramente as responsabilidades da RD. Os contratos determinam quais atividades de tratamento que a RD realiza em nome do Controlador.
5.3. Coleta e Utilização dos Dados Pessoais
Enquanto Controladora, a RD trata Dados Pessoais das seguintes maneiras:
- Coletados do próprio Titular do Dado Pessoal, por ele prestados, ou coletados automaticamente a partir de suas interações;
- Recebidos através de compartilhamento por terceiros, parceiros ou empresas do grupo; e
- Produzidos pela RD a partir do processamento de outros Dados Pessoais.
Os Dados Pessoais podem ser tratados pela RD para as seguintes finalidades:
- Ofertar e comercializar produtos e serviços de forma mais personalizada e adequada às necessidades dos clientes;
- Prestação de serviços;
- Atendimento às solicitações dos clientes;
- Funcionamento e gerenciamento dos sites;
- Cumprimento de obrigações legais e contratuais;
- Para o exercício regular dos direitos do controlador;
- Comunicação e atividades do marketing;
- Defesa de direitos dos Titulares;
- Análises de dados estatísticos com a finalidade de estudos para melhorar a performance de seus produtos e serviços, com a descaracterização das informações sensíveis e pessoais.
Enquanto Operadora, a RD utiliza os Dados Pessoais conforme a determinação do Controlador (cliente) e para cumprimento de contratos.
A RD pode tratar dados transacionados pelos clientes, em razão da utilização de seus produtos, que podem identificar titulares de dados sem qualquer tipo de relação com a RD. Observadas as orientações dos clientes quanto aos processos de tratamento, as finalidades e medidas de proteção adotadas pelos produtos RD estão detalhadas no Aviso de Privacidade e nos Termos de Uso da RD.
Registro e autenticação: Para os usuários do RD Station CRM que optem por inserir dados de contatos (como nome, email, telefone e cargo) das suas contas do Google, utilizamos uma integração com o Google que permite a importação (via Google API). Com essa ferramenta é possível garantir de forma segura a autenticação e a leitura dos dados de contatos que serão importados do Gmail ao RD Station. É permitido aos usuários que removam as permissões de uso de aplicativos nas configurações de suas contas Google.
Para os usuários que autorizam a importação de contatos da sua conta do Google com a sua conta de e-mail, o uso dos dados envolvidos nesta utilização cumprirão com os requisitos adicionais dos Escopos Restritos do Google, listados em Serviços Google API: Política de Dados de Usuário.
Integrações: Para os usuários do RD Station CRM que optem por utilizar a integração do Google Agenda, será solicitado que você conceda ao RD Station CRM permissões para operacionalizar a integração com a sua conta do Google. A RD afirma que não envia os dados de calendário da sua conta Google a terceiros, incluindo modelos de IA, em nenhum contexto. O único dado que a RD armazena é o ID do evento do Google Agenda. Você pode saber mais sobre as práticas de privacidade do Google através da Política de Privacidade do Google. Informações adicionais sobre os serviços e produtos do Google estão disponíveis nos Termos de Uso do Google.
5.4. Compartilhamento dos Dados Pessoais
A RD trata com responsabilidade os Dados Pessoais dos seus clientes, RDOERS e colaboradores de terceiros que prestem serviço à RD.
Os Dados Pessoais dos RDOERS podem ser compartilhados para atender: (i) as obrigações legais vigentes e a defesa de direitos dos Titulares; (ii) obrigações contratuais com os próprios RDOERS; (iii) os benefícios fornecidos para os RDOERS.
Em relação aos clientes, a RD pode compartilhar os Dados Pessoais para atender: (i) às solicitações feitas pelo próprio cliente; e (ii) às obrigações legais decorrentes da relação comercial.
A RD também pode, sob condição da conformidade com a LGPD, compartilhar tais Dados Pessoais com Terceiros: (i) Prestadores de serviços; (ii) Parceiros; (iii) Autoridades governamentais; (iv) Empresas do grupo.
Quando o compartilhamento se faz necessário, a RD adota as medidas adequadas para que as informações compartilhadas sejam tratadas apenas para as finalidades específicas.
5.5. Proteção dos Dados Pessoais
A RD implementa medidas rígidas para garantir a integridade e segurança dos Dados Pessoais. A autorização de acesso aos dados é concedida, por exemplo, para que as áreas responsáveis possam atender à necessidade de suas atividades e para possíveis tratativas de suporte. A RD implementa procedimentos para garantir que as áreas internas e os Operadores da RD realizem o tratamento dos Dados Pessoais de acordo com as diretrizes de proteção e privacidade determinadas pela RD.
Além disso, a RD investe em programas de conscientização para os RDOERS, Terceiros e Parceiros. O Programa de Privacidade e Proteção de Dados tem o objetivo de apresentar boas práticas que devem ser adotadas no tratamento dos Dados Pessoais.
Visando garantir a privacidade e a segurança dos dados pessoais de seus clientes, a RD implementa as melhores práticas de segurança da informação e desenvolvimento seguro disponíveis no mercado. A empresa projeta produtos e serviços que permitem ao cliente gerenciar suas informações de forma direta e segura.
5.6. Retenção dos Dados Pessoais
Os Dados Pessoais necessários para o atendimento do Marco Civil da Internet, são armazenados em ambiente seguro e controlado pelo prazo mínimo de 6 (seis) meses, sujeito a alterações a depender da modalidade de contratos com os clientes.
Os Dados Pessoais são armazenados em servidores de Terceiros contratados para este fim, sejam eles localizados no Brasil ou no exterior, de acordo com a legislação aplicável, podendo ainda ser armazenados por meios de outras tecnologias que surjam futuramente, visando sempre a melhoria e aperfeiçoamento dos serviços.
A RD realiza o tratamento dos Dados Pessoais, pelo período estritamente necessário para cumprir as finalidades pré-determinadas, inclusive para fins de cumprimento de quaisquer obrigações legais, contratuais, ou requisição de autoridades competentes ou enquanto o cadastro do Titular permanecer ativo em seu ambiente.
As informações da conta do cliente serão mantidas enquanto a conta estiver ativa. Caso o cliente solicite o cancelamento, os dados da conta serão excluídos em até 60 dias após a solicitação. Mesmo após a solicitação de exclusão da conta, a RD manterá um backup das informações da conta do cliente por 72 horas para fins de segurança e compliance. No caso dos dados pessoais dos contatos da RD (leads), as informações sobre as interações do cliente com a RD serão armazenadas por um período de 5 anos.
Com relação ao tratamento de dados realizado pautado no consentimento do Titular, a RD finaliza o tratamento dos Dados Pessoais, quando aplicável, caso o Titular se oponha ou revogue o consentimento. Em caso de dúvidas sobre o período no qual a RD tratará os Dados Pessoais após o término da relação contratual, é possível entrar em contato com nosso DPO via o seguinte email: [email protected] e obter a informação aplicável ao caso concreto.
Para determinar o período de retenção adequado para os dados pessoais, consideramos a quantidade, a natureza e sensibilidade dos dados pessoais, o risco potencial de danos decorrentes do uso não autorizado ou da divulgação de seus dados pessoais, a finalidade de processamento dos seus dados pessoais e se podemos alcançar tais propósitos através de outros meios, e os requisitos legais aplicáveis.
5.7. Direitos do Titular
O Titular dos Dados Pessoais possui direitos e garantias em relação aos seus Dados Pessoais. Na RD, estão disponíveis os mecanismos detalhados abaixo para que o Titular tenha clareza e transparência quanto ao exercício de seus direitos. Sempre que necessário, o Titular pode contatar a RD e solicitar informações a respeito dos seus direitos, através da nossa Central de Ajuda, onde o Titular pode obter informações e fazer solicitações relacionadas a seus direitos:
– Confirmação da existência de tratamento: a RD trata os Dados Pessoais dos seus clientes, RDOERS, visitantes, Fornecedores, parceiros, entre outros, mantendo esses Dados armazenados em ambientes de forma segura e controlada. O Titular pode solicitar a confirmação de tratamento em seus Dados Pessoais;
– Acesso aos Dados: a qualquer momento, o Titular pode solicitar à RD que informe quais Dados Pessoais estão sendo tratados;
– Correção de Dados Pessoais incompletos, inexatos ou desatualizados: caso o Titular dos Dados verifique que as informações são incompletas, inexatas ou desatualizadas, poderá solicitar a correção ou o complemento dos Dados Pessoais faltantes ou inexatos, conforme o caso;
– Anonimização, bloqueio ou eliminação de Dados Pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD: o Titular do Dado pode solicitar anonimização, bloqueio ou eliminação dos Dados Pessoais que a RD esteja tratando quando desprovido de base legal justificadora do tratamento. No entanto, caso a RD possua justificativa legal ou regulatória para manutenção dos dados, eles serão retidos pelo prazo necessário para o exercício da obrigação legal ou para o direito de defesa em processo judicial, administrativo ou arbitral, ou ainda, em determinadas situações, no legítimo interesse da RD (como, por exemplo, para evitar infrações e fraudes);
– Portabilidade dos Dados Pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa pelo Titular: o Titular poderá solicitar à RD a portabilidade dos seus Dados Pessoais a outro prestador de serviços ou produto. Caso aplicável, a solicitação do Titular será atendida no menor prazo possível;
– Obtenção de informações sobre as entidades públicas ou privadas com as quais a RD compartilha os Dados Pessoais do Titular: o Titular pode entrar em contato com a RD por meio do canal de atendimento aos direitos do Titular para obter informações sobre com quem houve o compartilhamento de seus Dados Pessoais;
– Informação sobre a possibilidade do Titular não fornecer o consentimento para o tratamento de Dados Pessoais, bem como de ser informado sobre as consequências em caso de negativa: caso o Titular não queira fornecer seu consentimento para o tratamento específico que a RD necessite realizar, a RD esclarecerá ao Titular se é possível prestar os serviços ou fornecer o software de seu interesse sem o tratamento de seus Dados Pessoais, informando, ainda, as consequências de seu não consentimento;
– Revogação do consentimento: quando o tratamento dos Dados Pessoais se basear no consentimento do Titular, o Titular pode revogar o seu consentimento e a eliminação dos seus Dados Pessoais a qualquer momento. A revogação do consentimento poderá implicar na impossibilidade de o Titular utilizar os serviços prestados pela RD. A interrupção do tratamento dos Dados Pessoais não será efetivada quando os Dados forem: (i) anonimizados; ou (ii) necessários à RD e/ou a Terceiros envolvidos na prestação dos serviços para fins de defesa judicial, arbitral ou administrativa, bem como para cumprimento de obrigações legais e regulatórias;
– Eliminação dos dados: em alguns casos, o Titular poderá requerer a exclusão dos seus dados pessoais.
A RD, atuando como Operadora, não é responsável pelas definições do tratamento do dado. Esta atividade é de responsabilidade do cliente, enquanto Controlador, conforme estabelecido em contrato, assegurando que todas as instruções direcionadas à RD respeitem a Legislação de Proteção de Dados e Privacidade dos Titulares de Dados Pessoais.
A RD se compromete a atender todas as requisições dos Titulares no menor tempo possível, estando de acordo também com os prazos estipulados pela ANPD.
5.8. Transferência e Coleta Internacional de Dados
As atividades de tratamento de dados pessoais realizadas pela RD podem vir a envolver a transferência internacional de dados, em especial para os Estados Unidos.
Para a prestação de serviço que implique no compartilhamento internacional dos Dados Pessoais, a RD prioriza o tratamento realizado em países que oferecem proteção aos dados pessoais equivalente a da LGPD, ou estabelece cláusulas-padrão contratuais adequadas à finalidade de realizar esta transferência, além de exigir dos prestadores envolvidos que garantam que os Titulares de dados terão a proteção esperada. Em casos excepcionais, a RD poderá realizar a Transferência Internacional de Dados em outras modalidades autorizadas pela LGPD.
Da mesma forma, a eventual Transferência Internacional dos Dados Pessoais dos RDoers está prevista em seus contratos de trabalho.
Alguns produtos da RD podem ser comercializados e disponibilizados a partir de empresas parceiras de negócio no exterior. Nestes casos, poderá ser caracterizada a Coleta Internacional de Dados. A RD estende a estes casos a proteção oferecida aos Titulares pelas hipóteses de Transferência Internacional de Dados.
Nas hipóteses em que a RD trata dados pessoais não protegidos pela LGPD, por estarem fora dos limites de territorialidade legal ou por incidirem em algum dos casos de exclusão definidos na própria lei, a RD se compromete a oferecer aos Titulares envolvidos a segurança e proteção de seus Dados Pessoais e sua privacidade de igual maneira, e a atender ao exercício dos direitos estabelecidos pela LGPD, nos limites do razoável, e dentro de suas possibilidades, se requeridos através de seus canais de atendimento ao titular oficiais disponíveis.
5.9. Parceiros
A RD desenvolve parcerias com empresas a fim de utilizar tecnologias e processos para ampliar sua gama de serviços. Estes Parceiros também devem se submeter rigorosamente a todas as diretrizes de segurança contratuais e estabelecidas nesta Política, assegurando que todos os Dados Pessoais de clientes ou de empregados sejam tratados como confidenciais.
5.10. Empresas adquiridas pela RD
No âmbito da execução de sua estratégia de crescimento inorgânico, a RD pode adquirir outras empresas que atuam no tratamento de Dados Pessoais. É possível que tais empresas tenham estruturas de operação, abordagens e garantias de proteção de Dados Pessoais que diferem das adotadas pela RD e, nessas circunstâncias, a RD deve garantir que as diretrizes contidas nesta Política sejam integralmente aderidas ao longo do processo de integração, ou, até mesmo, estabelecer práticas que ofereçam uma maior proteção ao Titular dos Dados, a depender do caso concreto.
5.11. Dúvidas
Questionamentos relacionados à Política de Proteção e Privacidade da RD ou quaisquer outras dúvidas relacionadas ao tema de segurança e proteção dos Dados Pessoais, devem ser enviadas por meio dos seguintes endereços de contato:
Endereço: Rodovia Virgílio Várzea, nº 587, 3º piso, sala 302.
Saco Grande, Florianópolis/Santa Catarina, CEP: 88032-001.
E-mail: [email protected]
6. Atribuições
Cabe a todos os colaboradores da RD e terceirizados:
- Cumprir fielmente com as diretrizes estabelecidas nesta Política Interna de Proteção de Dados, além das Normas e os Procedimentos de Privacidade e Segurança da RD;
- Realizar os treinamentos obrigatórios de Privacidade e Segurança disponibilizados pela RD;
- Proteger as informações contra acessos, modificações, destruição, divulgação não autorizada e uso indevido pela RD;
- Assegurar que os dados pessoais à sua disposição sejam utilizados apenas para as finalidades pré-determinadas e aprovadas pela RD;
- Comunicar imediatamente ao Time de Privacidade sobre qualquer descumprimento ou violação desta Política, através do e-mail: [email protected];
- Reportar riscos à privacidade;
- Reportar incidentes de segurança da informação envolvendo dados pessoais;
- No caso de contratação de nova ferramenta/software, submeter para aprovação dos times de Privacidade e Segurança.
Cabe ao Encarregado de Proteção de Dados (DPO):
- Encarregar-se pela gestão das atividades de Proteção de Dados na RD;
- Receber reclamações e comunicações dos Titulares, solicitações de esclarecimento e adotar as medidas corretivas/preventivas correspondentes;
- Receber e tomar as devidas providências com relação às comunicações para a ANPD;
- Orientar os empregados e contratados da RD a respeito das práticas a serem adotadas em relação à proteção de Dados Pessoais;
- Responder às consultas das áreas internas da RD, quanto às dúvidas referentes ao Tratamento e Proteção de Dados Pessoais;
- Executar as atribuições determinadas pela RD ou estabelecidas em normas complementares de Proteção de Dados;
- Reportar a gestão das atividades de Proteção de Dados para o DPO do Grupo TOTVS;
- Comunicar eventual incidente de segurança ao DPO do Grupo TOTVS.
Cabe ao time de Privacidade:
- Gerir o Programa Corporativo de Privacidade e Proteção de Dados da RD;
- Supervisionar o correto cumprimento das normas, regulação e obrigações da Lei Geral de Proteção de Dados.
- Orientar a RD quanto à adoção de melhores práticas de acordo com as leis de proteção de dados;
- Definir medidas e indicadores para a gestão do programa de privacidade da RD;
- Definir e gerir uma estrutura de políticas, normas, diretrizes e procedimentos referentes à privacidade e proteção de dados pessoais;
- Desenvolver e manter uma política de conscientização para difundir a cultura e educar os colaboradores sobre as melhores práticas de privacidade e proteção de dados pessoais;
- Garantir a implementação de medidas e práticas de governança em relação à privacidade e proteção de dados pessoais;
- Monitorar o cumprimento das determinações oficiais da RD referente ao tratamento de dados pessoais, Privacy by Design, Revisão de Privacidade e boas práticas;
- Monitorar e propor soluções de mitigação de riscos relacionados à privacidade;
- Gerenciar a resposta à incidentes de segurança da informação que envolvam dados pessoais;
- Comunicar eventuais alterações legislativas que demandem ajustes nas Políticas e normas de Privacidade e Segurança;
- Elaborar relatórios trimestrais ao time executivo da RD sobre as atividades acima;
- Ser o ponto de comunicação entre a RD, os titulares de dados e autoridades governamentais.
- Manter esta Política atualizada.
Cabe à área de Segurança da Informação:
- Prover ampla divulgação e revisão da Política, Normas e Procedimentos de Segurança da Informação para todos os colaboradores e colaboradores terceirizados;
- Promover ações de conscientização sobre Segurança da Informação para todos os colaboradores;
- Propor e administrar projetos e iniciativas relacionadas ao gerenciamento da segurança da informação da RD;
- Administrar e Monitorar os sistemas e controles aplicados sob gerência da área de Segurança da Informação da RD e seus clientes;
- Propor e administrar projetos e iniciativas relacionadas ao gerenciamento da segurança da informação aos clientes da RD.
- Colaborar ativamente com o Time de Privacidade na gestão de incidentes de segurança que envolvam dados pessoais.
Cabe à área de TI:
- Administrar e Monitorar os sistemas e controles aplicados sob gerência da área de TI da RD;
- Propor e administrar projetos e iniciativas relacionadas ao gerenciamento de segurança de TI no software stack da RD.
Cabe ao Time de Ética:
- Analisar ocorrências de violações das Políticas e diretrizes de Privacidade e Segurança relatadas e suas consequências, quando cabível, respeitadas as atribuições do Comitê de Auditoria acerca dos indicadores de Riscos de Segurança da Informação;
- Recomendar adoção de medidas legais judiciais ou não, quando da comprovação de prática que viole a legislação em vigor;
- Solicitar averiguações em equipamentos e sistemas à área de Segurança da Informação;
- Direcionar as ocorrências aos Gestores/Líderes responsáveis para que sejam tomadas as devidas providências.
Cabe ao time jurídico:
- Revisar e validar as Políticas verificando se estas estão de acordo com a legislação em vigor, sob a orientação do Time de Privacidade sobre questões específicas relacionadas à privacidade e proteção de dados;
- Dar suporte aos demais times, em especial ao Time de Ética na condução de casos de descumprimento das Políticas e normas de Privacidade e Segurança, inclusive na proposição de medidas legais, quando cabíveis.
- Apoiar as demais áreas na adoção de medidas de contenção em caso de incidentes de uso indevido de dados.
7. Gestão de Consequências
Em caso de descumprimento desta Política serão adotadas medidas de gestão de consequências trabalhistas, cíveis, criminais e administrativas eventualmente aplicáveis aos responsáveis pelas ilicitudes, incluindo a possibilidade de demissão por justa causa e rescisão contratual por justo motivo nos casos de Terceiros.
8. Mudanças na Política de Privacidade
Como estamos sempre buscando melhorar nossos serviços, essa Política de Privacidade pode passar por atualizações. Desta forma, recomendamos visitar periodicamente esta página para que você tenha conhecimento sobre as modificações. Caso sejam feitas alterações relevantes que ensejem em um novo consentimento seu, iremos publicar essa atualização e solicitar um novo consentimento para você.
Updated on 2024-10-14
Version: 01.02 - 2024-10-14