A Política de Privacidade de Dados (PPD) tem por objetivo demonstrar todos os controles vigentes na METALÚRGICA IMAM, visando a proteção da privacidade dos dados pessoais e sensíveis coletados, por meios digitais ou não, para o cumprimento de fins corporativos em total consonância com a Lei 13709/18 – Lei Geral de Proteção de Dados (LGPD) e eventuais Normas Técnicas divulgadas pela Agência Nacional de Proteção de Dados (ANPD).

• Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
• Dado sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
• Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
• Dado bloqueado: dado relativo a titular com suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
• Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
• Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
• Encarregado de Dados: pessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional;
• Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

O Comitê de Privacidade de Dados (CPD) é uma entidade corporativa, instituída com a finalidade de manter os mecanismos de controle da privacidade atualizados e coerentes com a realidade corporativa e com a legislação vigente.

O CPD é composto pelos seguintes integrantes:

1 – Encarregado de Dados (do inglês Data Protection Officer – DPO): preside o comitê e tem por objetivo conduzir revisões, avaliações, auditorias internas ou externas e ser o ponto focal de contato da organização com as autoridades nacionais de privacidade de dados, bem como prestar contas de suas ações junto ao órgão de governança corporativo da METALÚRGICA IMAM. Abaixo, nomina-se o Encarregado de Dados:

DPO
[email protected]

2 – Representantes Permanentes: o Encarregado de Dados deve nomear os membros do CPD utilizando por base a quantidade de processos que envolvem a coleta de dados pessoais ou sensíveis. Atualmente, são membros do comitê:

ADMNISTRATIVO/FINANCEIRO
[email protected]

QUALIDADE
[email protected]

3 – Representantes de Apoio: o Encarregado de Dados pode nomear membros de apoio ao CPD tomando por base a necessidade de complementar conhecimentos ou promover ações técnicas direcionadas, visando o cumprimento da Política de Privacidade de Dados. Não é mandatório a eles a participação nos encontros do CPD. Atualmente, são membros de apoio do comitê:

TI
[email protected]

RH
[email protected]

O CPD deverá se reunir trimestralmente para debater o cumprimento das políticas de proteção à privacidade de dados, avaliar as ações vigentes, direcionar melhorias e atualizações aos planos de proteção à privacidade e acompanhar os planos em andamento.

O CPD também se reunirá em situações consideradas extraordinárias mediante convocação do Encarregado de Dados, tais como em virtude de eventuais “Incidentes de Segurança”, nos termos previstos na Política de Segurança da Informação (PSI).

A coleta de dados pessoais e sensíveis pela METALÚRGICA IMAM será permitida apenas respeitando-se os seguintes princípios:

• Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
• Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
• Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

No ato da coleta dos dados pessoais ou sensíveis, o titular deverá ser informado de maneira inequívoca do processo de tratamento que será realizada por meio deles. Antes de entregar suas informações, sejam por meio de formulário impresso ou por meio de formulário digital, um Termo de Uso deverá ser lavrado, com aceite eletrônico ou impresso, contendo as seguintes informações:

• Finalidade específica do tratamento;
• Forma e duração do tratamento, observados os segredos comercial e industrial;
• Dados de identificação jurídica da METALÚRGICA IMAM;
• Informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
• Responsabilidades dos agentes que realizarão o tratamento; e
• Direitos do titular, com menção explícita aos direitos contidos no art. 18 da Lei Geral de Proteção de Dados.
• Meios de comunicação com relação ao teor de possíveis alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.

Para o cumprimento eficaz dos mecanismos de proteção e privacidade de dados pessoais e sensíveis, a METALÚRGICA IMAM dispõe de padrões específicos de armazenamento de informação e regras específicas de proteção para cada um destes itens. Todos os processos corporativos deverão respeitar estas normas.

Arquivo físico:

Retenção: Retenção máxima de 2 (dois) anos em armários e posterior bloqueio da informação pelo envio ao arquivo morto;

Proteção: Todos os arquivos serão armazenados em uma sala com porta que será mantida chaveada, as chaves das portas deverão ficar sob responsabilidade de um membro do CPD, preferencialmente do quadro de RH e/ou pelo gestor do departamento.

Dados em Sistemas Internos (localizados em Datacenters Corporativos):

Retenção: Todos os sistemas da METALÚRGICA IMAM que armazenam informações pessoais ou sensíveis utilizarão a seguinte regra:

• Dados de titulares que são colaboradores internos ou colaboradores terceirizados ficarão em uso por até 2 (dois) anos após o término do vínculo de trabalho e posteriormente serão bloqueados, seguindo o Procedimento de Tecnologia da Informação vigente.
• Dados de titulares sem vínculo empregatício ficarão em uso por até 2 (dois) anos após a coleta ou do contrato de prestação de serviço (o que for aplicável) e posteriormente serão bloqueados, seguindo o Procedimento de Tecnologia da Informação vigente.

Proteção: A METALÚRGICA IMAM possui uma rigorosa política de backup para a continuidade dos dados, além de uma Política de Segurança da Informação Corporativa com mecanismos próprios que visam evitar vazamentos, danos ou perdas dos dados coletados.

Dados em Sistemas Externos (localizados em Datacenters de Terceiros):

Retenção: As mesmas regras de período de retenção de Dados em Sistemas Internos aplicam-se aos Dados em Sistemas Externos, onde o Operador do Dado (responsável pelo Datacenter que retém a informação) deverá cumprir regras contratuais de bloqueio da informação, tão logo a mesma vença o período previsto para titulares colaboradores ou não-colaboradores.

Proteção: A METALÚRGICA IMAM optará, preferencialmente, por fornecedores de sistemas ou serviços que estejam aderentes à Lei Geral de Proteção de Dados, bem como, realizará contratos que contemplam regras de proteção ao dado e direitos de retenção e uso da informação para todos os fornecedores que armazenarem ou tratarem dados pessoais ou sensíveis.

Planilhas e Documentos fora de sistema:

Retenção: Planilhas e documentos diversos que contenham dados pessoais ou ser sensíveis devem armazenados em diretórios específicos indicados e auditados pelo CPD. Após 2 (dois) anos sem qualquer acesso ao arquivo armazenado em Servidor de Arquivos com acesso comum, ele será bloqueado em um diretório de armazenamento com acesso restrito;

Proteção: A Política de Segurança da Informação Corporativa possui cobertura para proteção de informações contidas em planilhas ou documentos diversos.

E-mail:

Retenção: Qualquer e-mail enviado/recebido contendo dados pessoais ou sensíveis deverá ser eliminado em até 60 (sessenta) dias, após o término da tratativa do escopo definido na mensagem, mediante a ação do usuário, seja ele remetente ou destinatário, utilizando a opção “excluir a mensagem”.

Proteção: A Política de Segurança da Informação Corporativa cobre a devida utilização do serviço de e-mail.

O Titular do Dado tem o direito de solicitar pelos meios publicados no portal da METALÚRGICA IMAM, informações sobre os dados armazenados, as formas de tratamento e quais entidades possuem acesso.

Após a ciência da solicitação de acesso, o Encarregado de Dados ou, na ausência dele, alguém nomeado para tal atividade, deverá responder da seguinte forma:

• Para solicitações em que o resultado seja um relatório simplificado, a resposta deve ser imediata, privilegiando o retorno mais breve possível;
• Para solicitações em que o resultado seja por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, a resposta deve ser fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular;

A METALÚRGICA IMAM poderá efetuar o desbloqueio de um dado pessoal previamente bloqueado, conforme as regras já ponderadas anteriormente. Em consonância com o Artigo 7 da Lei Geral de Proteção de Dados, as hipóteses para o desbloqueio de um dado pessoal limitam-se às seguintes hipóteses:

• Mediante o fornecimento de consentimento pelo titular;
• Para o cumprimento de obrigação legal ou regulatória pelo controlador;
• Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da LGPD;
• Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
• Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, conforme previsto em lei específica;
• Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
• Para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
• Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
• Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
• Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Quando o dado for considerado dado pessoal sensível as hipóteses de desbloqueio são mais restritivas e seguem as recomendações do artigo 11 da LGPD, nas quais seguem abaixo:

• Mediante o fornecimento de consentimento pelo titular;
• Cumprimento de obrigação legal ou regulatória;
• Tratamento compartilhado de dados necessários à execução, pela administração pública, de Políticas públicas previstas em leis ou regulamentos
• Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
• Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral
• Proteção da vida ou da incolumidade física do titular ou de terceiro
• Tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
• Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
• Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos;

O consentimento dado pelo Titular do Dado pode ser revogado a qualquer momento mediante manifestação expressa do titular, por meio dos contatos publicados no Portal da METALÚRGICA IMAM ou por meio de contato divulgado pelo colaborador que efetivamente coletou o dado.

Mediante solicitação expressa de paralisação da atividade de tratamento, a METALÚRGICA IMAM priorizará o bloqueio da informação, utilizando os meios previstos na Política de Retenção de Dados. Todas as revogações de direitos de tratamento de dados devem ser concluídas em prazo máximo de 15 (quinze) dias a contar da data do recebimento da solicitação.

Caso o Titular expresse inequivocamente a vontade de excluir ou anonimizar o dado (rechaçando a possibilidade de bloqueio), a solicitação deverá ser encaminhada ao CPD que determinará um plano que atenda a solicitação. Para tanto, caso a data agendada para reunião ordinária trimestral coloque em risco o prazo de resposta estabelecido para a solicitação, uma reunião extraordinária deverá ser convocada com a maior brevidade possível contando com a presença mandatória do Encarregado de Dados. Recomenda-se uma agenda que possibilite a presença da maior quantidade de membros permanentes possíveis, que possuem presença facultativa para esta hipótese.

Todos os Operadores de Dados da METALÚRGICA IMAM deverão considerar as boas práticas de proteção à privacidade de dados previstas na LGPD e em regulamentos que venham a completá-la. Os contratos de prestação de serviços deverão considerar as regras de retenção, acesso, bloqueio e tratamento de dados e coibindo posturas contrárias à Política de Privacidade de Dados.

Ao compartilhar um dado pessoal ou sensível em que seja possível a identificação do indivíduo Titular, e considerando por meios razoáveis a não-exigência da assinatura de um contrato, será necessário que uma informação padrão previamente aprovada pelo CPD, seja encaminhada para ciência do Operador de Dados, informando as práticas que devem ser seguidas pelo destinatário.

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é uma documentação da METALÚRGICA IMAM que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Por tratar-se de um requisito legal, o RIPD deve ser produzido nas fases iniciais de implantação de novos processos de negócio que utilizam dados pessoais ou sensíveis, ou então, ser atualizado em processos de negócio existentes que passem por algum processo de melhoria.

O RIPD deve ser produzido por um membro ou grupo de trabalho do CPD e consultores externos podem apoiar em sua produção. Após sua apresentação em reunião trimestral ordinária, o comitê deve conceder ou rejeitar o documento ou o projeto, com a anuência do Encarregado de Dados. A decisão do comitê precisará ser ratificada pela Diretoria da METALÚRGICA IMAM. Sob nenhuma hipótese será permitida a omissão desta análise.