Lepidus Tecnologia

Política institucional de Proteção de Dados Pessoais

versão 1.0

Última atualização: 14 de abril de 2023

1. Objetivo

O objetivo da Política institucional de Proteção de Dados Pessoais da Lepidus é estabelecer diretrizes no que concerne ao tratamento de dados pessoais sob nossa custódia, em consonância com os seguintes princípios: segurança, privacidade, legalidade e transparência e visando conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) e o Marco Civil da Internet, garantindo a proteção e o respeito aos direitos dos titulares dos dados.

2. Escopo

Esta política a todos os dados pessoais sob nossa custódia, independentemente do meio em que são coletados, armazenados, tratados ou compartilhados.

3. Princípios aplicáveis

O tratamento de dados pessoais deve ser pautado pelos seguintes princípios:

a) Legalidade: o tratamento de dados pessoais será realizado em conformidade com as leis e regulamentos aplicáveis;

b) Finalidade: os dados pessoais serão coletados e tratados para finalidades específicas, legítimas e explícitas, previamente informadas aos titulares dos dados;

c) Adequação: os dados pessoais coletados serão adequados, pertinentes e limitados ao necessário para a realização das finalidades previstas;

d) Necessidade: os dados pessoais serão mantidos apenas pelo tempo necessário para a realização das finalidades previstas;

e) Qualidade: os dados pessoais serão mantidos precisos, atualizados e completos, quando necessários;

f) Transparência: os titulares dos dados serão informados de forma clara, precisa e acessível sobre o tratamento de seus dados pessoais;

g) Segurança: serão adotadas medidas técnicas e organizacionais adequadas para garantir a segurança e a privacidade dos dados pessoais;

h) Responsabilidade: a empresa será responsável no tratamento de dados pessoais sob sua custódia, incluindo o cumprimento das obrigações legais e regulatórias aplicáveis.

4. Coleta e tratamento de dados pessoais

4.1 Os dados pessoais coletados serão utilizados exclusivamente para o cumprimento das finalidades previstas, sendo proibido o uso para fins distintos, salvo com o consentimento expresso do titular dos dados ou em casos previstos em lei.

4.2 Os dados pessoais coletados serão armazenados em ambientes seguros, acessíveis apenas aos profissionais que necessitam de acesso aos mesmos para execução de suas atividades. Será restringido o número de pessoas com acesso a dados pessoais e o número de dados pessoais vistos por cada membro da equipe.

4.3 Os dados pessoais não serão comercializados ou compartilhados com terceiros, exceto nos casos previstos em lei ou mediante consentimento expresso do titular dos dados.

5. Direitos dos titulares dos dados pessoais

A empresa reconhece e respeita os direitos dos titulares dos dados pessoais, conforme previsto na LGPD. Para garantir que esses direitos sejam respeitados, a empresa adotará as seguintes medidas:

  • Disponibilizar aos titulares informações claras e precisas sobre o tratamento de seus dados pessoais, incluindo a finalidade, a base legal, os prazos de armazenamento e os direitos dos titulares;
  • Permitir que os titulares acessem seus dados pessoais e os corrijam, caso necessário;
  • Excluir os dados pessoais dos titulares quando estes requisitarem a exclusão, desde que não haja obrigação legal de mantê-los;
  • Portar os dados pessoais dos titulares para outro fornecedor de serviços, quando necessário;
  • Informar os titulares sobre a possibilidade de revogar o consentimento para o tratamento de seus dados pessoais, quando o consentimento for a base legal para o tratamento;
  • Garantir que as solicitações dos titulares sejam atendidas de forma ágil e transparente, em conformidade com a LGPD;
  • Manter um registro detalhado das solicitações dos titulares e das respostas dadas a elas, para fins de auditoria e controle.

A empresa se compromete a garantir que os direitos dos titulares dos dados pessoais sejam respeitados em todas as etapas do tratamento, desde a coleta até a exclusão dos dados. Qualquer solicitação dos titulares será tratada com o máximo de respeito e atenção, garantindo a privacidade e segurança dos dados pessoais.

6. Acesso aos dados pessoais

6.1. O acesso aos dados pessoais sob custódia será concedido somente aos profissionais que precisam dessas informações para desempenhar suas funções e que tenham passado por treinamentos de proteção de dados. Os profissionais com acesso a dados pessoais devem seguir os procedimentos de segurança estabelecidos na Política de Segurança da Lepidus.

6.2. A equipe responsável pelo processamento de dados pessoais deve limitar o acesso aos dados apenas ao que é necessário para cumprir os fins específicos da empresa.

6.3. Todos os usuários devem se identificar e autenticar antes de acessar os dados pessoais. A autenticação deve ser segura e confiável.

6.4. Os registros de acesso a dados pessoais devem ser mantidos e revisados regularmente para garantir que o acesso é justificado e legal.

7. Compartilhamento de dados pessoais

7.1. A empresa pode compartilhar dados pessoais com outras empresas terceiras que prestam serviços à empresa, mas apenas se eles tiverem políticas de privacidade e proteção de dados adequadas.

7.2. Esse compartilhamento será o mínimo possível e sempre para uso específico. Exemplo: dados pessoais necessários para uma cobrança precisam ser enviados à empresa que processa os nossos pagamentos.

7.3. A empresa deve manter registros de todas as transferências de dados pessoais para terceiros e garantir que eles estejam em conformidade com as leis e regulamentos aplicáveis.

8. Retenção de dados pessoais

8.1. Os dados pessoais devem ser retidos apenas pelo tempo necessário para cumprir os propósitos para os quais foram coletados.

8.2. Os dados pessoais devem ser excluídos ou anonimizados quando não são mais necessários.

8.3. A empresa deve revisar regularmente a necessidade de reter dados pessoais e implementar processos para garantir que esses dados sejam excluídos ou anonimizados quando não são mais necessários.

9. Revisão e atualização da política

9.1. A política deve ser revisada e atualizada regularmente para garantir que seja relevante e eficaz.

9.2. Os profissionais da empresa devem ser treinados regularmente sobre a política e quaisquer alterações a ela.

9.3. A política deve ser disponibilizada para todas as partes interessadas.

10. Comunicação de Incidentes

Em caso de incidentes de segurança ou violação de dados pessoais, a empresa se compromete a notificar os titulares dos dados pessoais envolvidos e a Autoridade Nacional de Proteção de Dados (ANPD), dentro do prazo máximo estabelecido na legislação aplicável. A notificação aos titulares dos dados pessoais deve ser realizada por meios adequados e eficazes, considerando o tipo de dados envolvidos e a gravidade do incidente, de acordo com o documento de Política de Segurança da Lepidus.

Notificaremos incidentes em até 24 (vinte quatro) horas após o seu conhecimento, contemplando:

  • Não cumprimento das disposições legais relativas à proteção de dados pessoais e Violações de segurança.
  • Reclamações recebidas do titular de dados pessoais, bem como notificações, citações, intimações judiciais ou administrativas em relação à conformidade com a proteção de dados;

Na notificação, informaremos:

(i) data e hora do incidente; (ii) data e hora da ciência da empresa.; (iii) relação dos tipos de dados afetados pelo incidente; (iv) número de usuários afetados (volumetria do incidente) e, se possível, a relação destes indivíduos; (v) descrição das possíveis consequências do evento;

11. Treinamento e Conscientização

A empresa se compromete a realizar treinamentos periódicos com seus colaboradores, a fim de garantir a conscientização e o cumprimento das políticas e procedimentos de proteção de dados pessoais adotados pela empresa.

12. Revisão e Atualização

Esta política será revisada e atualizada periodicamente, de acordo com as mudanças na legislação aplicável e as melhores práticas de mercado. A empresa se compromete a comunicar todas as atualizações da política aos seus colaboradores e parceiros de negócio.

13. Disposições Finais

Esta política deve ser respeitada por todos os colaboradores. O não cumprimento desta política pode resultar em medidas disciplinares e/ou rescisão do contrato de trabalho ou prestação de serviços.

Qualquer dúvida ou sugestão referente a esta política deve ser encaminhada aos responsáveis pelo tratamento de dados pessoais da empresa:

Pelo e-mail: [email protected]

Responsáveis: Maria Mariana, Diego Abadan e Pablo Valério Polônia.