PolÍtica de Privacidade

POLÍTICA DE PRIVACIDADE

Política de Privacidade e tratamento de dados pessoais coletados pelo aplicativo da Compesa.

1 PRINCÍPIOS DE PROTEÇÃO DE DADOS PESSOAIS

Esta seção descreve os princípios que devem ser observados na coleta, manuseio, armazenamento, divulgação e Tratamento de Dados Pessoais pela COMPESA para atender aos padrões de proteção de dados no âmbito corporativo e estar em conformidade com a legislação e regulamentação aplicáveis onde tiver operação ou atividade comercial.

1.1 Legalidade, Transparência e Não Discriminação

I - A COMPESA trata os Dados Pessoais de forma justa, transparente e em conformidade com legislação e regulamentação aplicáveis.

II - A COMPESA somente trata Dados Pessoais quando o propósito/finalidade do Tratamento se enquadra em uma das hipóteses legais permitidas, abaixo elencadas, sendo certo que os Titulares de Dados devem ser informados sobre a razão e a forma pela qual seus Dados Pessoais estão sendo tratados antes ou durante a coleta:

a) necessidade para a execução de um contrato do qual o Titular dos Dados é parte;

b) exigência decorrente de lei ou regulamento ao qual a COMPESA está sujeita;

c) interesse legítimo pelo Tratamento, hipótese na qual tal interesse legítimo será comunicado previamente; e

d) necessidade de prover ao Titular dos Dados o exercício regular de direito em processo judicial, administrativo ou arbitral.

III - Quando o Tratamento de Dados Pessoais não se enquadrar nas hipóteses acima, a COMPESA deve obter o Consentimento dos Titulares dos Dados para o Tratamento de seus Dados Pessoais e assegurar que este Consentimento seja obtido de forma específica, livre, inequívoca e informada. A COMPESA deve coletar, armazenar e gerenciar todas as respostas de Consentimento de maneira organizada e acessível para que a comprovação de Consentimento possa ser fornecida quando necessário.

IV - Da mesma forma, o Titular de Dados deve ter a possibilidade de retirar o seu Consentimento a qualquer momento com a mesma facilidade que foi fornecido.

V - Em algumas circunstâncias, a COMPESA também pode ser obrigada a tratar Dados Pessoais Sensíveis, envolvendo, mas não se limitando, a:

a) dados relacionados à saúde ou à vida sexual;

b) dados genéticos ou biométricos vinculados a uma pessoa física;

c) dados sobre orientação sexual;

d) dados sobre condenações ou ofensas criminais;

e) dados que evidenciem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas; e

f) dados referentes à convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político.

VI - O Tratamento de Dados Pessoais Sensíveis é proibido, exceto nos casos específicos descritos abaixo, nos quais deverão ser observados padrões de segurança mais robustos do que os empregados aos demais Dados Pessoais:

a) quando for necessário para o cumprimento de obrigação legal ou regulatória;

b) quando for necessário para o exercício regular de direitos a exemplo da defesa ou proposição de ações judiciais, administrativas ou arbitrais;

c) quando for necessário para o cumprimento de obrigações e o exercício de direitos em matéria de emprego, previdência social e proteção social;

d) para proteção à vida ou à incolumidade física do Titular do Dado incluindo dados médicos com fins preventivos e/ou ocupacionais;

e) para fins de promoção ou manutenção de igualdade de oportunidades entre pessoas de origem racial ou étnica diferente; e

f) quando o Titular dos Dados tiver dado o seu Consentimento explícito, de acordo com a legislação e regulamentação aplicáveis.

1.2 Limitação e Adequação da Finalidade

O Tratamento de Dados Pessoais deve ser realizado de maneira compatível com a finalidade original para a qual os Dados Pessoais foram coletados, não podendo ser coletados com um propósito e utilizados para outro. Quaisquer outras finalidades devem ser compatíveis com a razão original para qual os Dados Pessoais foram coletados.

1.3 Princípio da Necessidade (Minimização dos Dados)

A COMPESA somente pode tratar Dados Pessoais na medida em que seja necessário para atingir um propósito específico. O compartilhamento de Dados Pessoais com outra área ou outra empresa deve considerar este princípio, só podendo ser compartilhados quando tenham um amparo legal adequado.

1.4 Exatidão (Qualidade dos Dados)

A COMPESA deve adotar medidas razoáveis para assegurar que quaisquer Dados Pessoais em sua posse sejam mantidos precisos e atualizados em relação às finalidades para as quais foram coletados, sendo certo que deve ser possibilitado ao Titular do Dado Pessoal a possibilidade de requerer a exclusão ou a correção de dados imprecisos ou desatualizados.

1.5 Retenção e Limitação do Armazenamento de Dados

A COMPESA deve ter conhecimento de suas atividades de Tratamento, dos períodos de retenção estabelecidos e dos processos de revisão periódica, não podendo manter os Dados Pessoais por prazo superior ao necessário para atender as finalidades pretendidas.

1.6 Integridade e Confidencialidade (Livre Acesso, Prevenção e Segurança)

A COMPESA deve assegurar que medidas técnicas e administrativas apropriadas sejam aplicadas aos Dados Pessoais para protegê-los contra o Tratamento não autorizado ou ilegal, bem como contra a perda acidental, destruição ou danos. O Tratamento de Dados Pessoais também deve garantir a devida confidencialidade. Dentre as medidas técnicas mais comuns, podem ser descritas:

I - Anonimização: os Dados Pessoais são tornados anônimos de tal forma que não mais se referem a uma pessoa direta ou indiretamente identificável. O anonimato tem que ser irreversível;

II - Pseudoanonimização: os Dados Pessoais não mais se relacionam diretamente com uma pessoa identificável (por exemplo, mencionando seu nome), mas não é anônimo porque ainda é possível, com informações adicionais, que são mantidas separadamente, identificar uma pessoa.

1.7 Responsabilização e Prestação de Contas

A COMPESA é responsável e deve demonstrar o cumprimento desta Política, assegurando a implementação de diversas medidas que incluem, mas que não estão limitadas a:

I - Garantia de que os Titulares dos Dados Pessoais possam exercer os seus direitos;

II - Registro de Dados Pessoais, incluindo:

a) registros de atividades de Tratamento de Dados Pessoais com a descrição dos propósitos/finalidades desse Tratamento, os destinatários do compartilhamento dos Dados Pessoais e os prazos pelos quais a COMPESA deve retê-los; e

b) registro de incidentes de Dados Pessoais e violações de Dados Pessoais;

III - Garantia de que os Terceiros que sejam Processadores de Dados Pessoais também estejam agindo de acordo com esta Política e com a legislação e regulamentação aplicáveis;

IV - Garantia de que a COMPESA, quando requerido, registre junto à Autoridade Supervisora aplicável um Encarregado de Dados ou DPO; e

V - Garantia de que a COMPESA esteja cumprindo todas as exigências e solicitações de qualquer Autoridade de Supervisão à qual esteja sujeita.

2 PADRÕES DE SEGURANÇA

2.1 Importância da Proteção de Dados Pessoais

A COMPESA está comprometida com a implementação dos padrões de Segurança da Informação e com a proteção de Dados Pessoais com vistas a garantir o direito fundamental do indivíduo à autodeterminação da informação.

2.2 Garantir a Segurança dos Dados Pessoais

A confidencialidade, integridade e disponibilidade, bem como autenticidade, responsabilidade e não-repúdio são objetivos a serem perseguidos para a segurança dos Dados Pessoais.

2.3 Obrigação do Sigilo de Dados Pessoais

Todos os Integrantes com acesso a Dados Pessoais estão obrigados aos deveres de confidencialidade dos Dados Pessoais mediante a anuência ao Código de Conduta e Integridade, quando do ingresso na COMPESA e periodicamente, nos termos da Lei nº 13.303/2016.

2.4 Privacidade de Dados Pessoais por Concepção e por Padrão

Ao implementar novos processos, procedimentos ou sistemas que envolvam o Tratamento de Dados Pessoais, a COMPESA deve adotar medidas para garantir que as regras de Privacidade e Proteção de Dados sejam adotadas desde a fase de concepção até o lançamento/implantação destes projetos.

3 DIREITOS DOS TITULARES DE DADOS PESSOAIS

A COMPESA está comprometida com os direitos dos Titulares de Dados Pessoais, os quais incluem:

I - Informação, no momento em que os Dados Pessoais são fornecidos, sobre como seus Dados Pessoais serão tratados;

II - Informação sobre o Tratamento de seus Dados Pessoais e o acesso aos Dados Pessoais que a COMPESA detenha sobre eles;

III - Correção de seus Dados Pessoais se estiverem imprecisos, incorretos ou incompletos;

IV - Exclusão, bloqueio e/ou anonimização de seus Dados Pessoais em determinadas circunstâncias (“direito de ser esquecido”). Isso pode incluir, mas não se limita a, circunstâncias em que não é mais necessário que a COMPESA retenha seus Dados Pessoais para os propósitos para os quais foram coletados;

V - Restrição do Tratamento de seus Dados Pessoais em determinadas circunstâncias;

VI - Opor-se ao Tratamento, se não estiver baseado em legítimo interesse;

VII - Retirar o Consentimento a qualquer momento, se o Tratamento dos Dados Pessoais se basear no Consentimento do indivíduo para um propósito específico;

VIII - Portabilidade dos Dados Pessoais a outro fornecedor de serviço ou produto mediante requisição expressa em determinadas circunstâncias;

IX - Revisão das decisões tomadas unicamente com base em Tratamento automatizado de Dados Pessoais; e

X - Apresentação de queixa à COMPESA ou à Autoridade de Proteção de Dados aplicável, se o Titular dos Dados Pessoais tiver motivos para supor que qualquer um de seus direitos de proteção de Dados Pessoais tenha sido violado.

4 PRESTADORES DE SERVIÇOS TERCEIRIZADOS

Os prestadores de serviços terceirizados que tratem Dados Pessoais sob as instruções da COMPESA estão sujeitos às obrigações impostas aos Processadores de acordo com a legislação e regulamentação de proteção de Dados Pessoais aplicáveis. A COMPESA deve assegurar que no contrato de prestação de serviço sejam contempladas as cláusulas de privacidade que exijam que o Processador de Dados terceirizado implemente medidas de segurança, bem como controles técnicos e administrativos apropriados para garantir a confidencialidade e segurança dos Dados Pessoais e especifiquem que o Processador está autorizado a tratar Dados Pessoais apenas quando seja formalmente solicitado pela COMPESA.

5 GERENCIAMENTO DE VIOLAÇÃO DE DADOS

I - Todos os incidentes e potenciais violações de dados devem ser reportadas à Gerência de Compliance, Gestão de Riscos e Controle Interno (GGR) da COMPESA. Todos os colaboradores devem estar cientes de sua responsabilidade pessoal de encaminhar e escalonar possíveis problemas, bem como de denunciar violações ou suspeitas de violações de Dados Pessoais assim que as identificarem. No momento em que um incidente ou violação real for descoberto, é essencial que os incidentes sejam informados e formalizados de forma tempestiva.

II - Violações de Dados incluem, mas não se limitam a, qualquer perda, exclusão, roubo ou acesso não autorizado de Dados Pessoais controlados ou tratados pela COMPESA.

6 AUDITORIAS DE PROTEÇÃO DE DADOS

I - A COMPESA deve garantir que existam revisões periódicas a fim de confirmar que as iniciativas de Privacidade, seu sistema, medidas, processos, precauções e outras atividades, incluindo o gerenciamento de proteção de Dados Pessoais, são efetivamente implementados e mantidos e estão em conformidade com a legislação e regulamentação aplicáveis.

II - Adicionalmente e, conforme previsto no Normativo AUD-NI-001/COMPESA, o tema deve ser avaliado com a devida periodicidade e de acordo com os riscos existentes. Caso os riscos sejam relevantes, a Auditoria Interna (AUD) da COMPESA deverá incluir revisão específica independente no plano anual de auditoria interna.