Política de privacidade

Política para o Tratamento Justo e Ético de Dados Pessoais e Respeito à Privacidade

1.     OBJETIVO

 A União Química Farmacêutica Nacional S/A e empresas do seu grupo econômico (“União Química”) estão comprometidas com o Tratamento justo e ético de Dados Pessoais. Para isso, mantêm uma postura proativa para assegurar a equidade, a transparência, a responsabilidade e o cumprimento das leis em suas atividades de Tratamento. A privacidade e a proteção dos Dados Pessoais de seus Colaboradores e Stakeholders é uma prioridade para os negócios da União Química. Tanto para atender às exigências legais, em especial da LGPD, quanto para manter uma relação de confiança com seus Stakeholders, a União Química busca adotar as melhores práticas no Tratamento de Dados Pessoais.

A presente Política para o Tratamento Justo e Ético de Dados Pessoais e Respeito à Privacidade (“Política”) estabelece as regras e as diretrizes gerais que refletem as expectativas de comportamento e ações dos Colaboradores no que diz respeito às suas interações com as operações de Tratamento realizadas pela União Química. O conhecimento e a adoção das medidas indicadas neste documento são de responsabilidade dos Colaboradores da União Química e são um fator fundamental para que a União Química esteja em conformidade com a LGPD e ofereça o melhor nível de proteção aos Dados Pessoais custodiados. A conduta dos Colaboradores será pautada e apoiada por quatro pilares: (i) controles, (ii) processos; (iii) tecnologia; e (iv) cultura de privacidade.

Cabe a esta Política oferecer ao seu usuário direção para que: (i) mitigue riscos associados ao Tratamento; (ii) respeite os direitos dos Titulares; e (iii) possibilite à União Química demonstrar a todos os Colaboradores, Fornecedores, Prestadores de Serviços e Parceiros Comerciais envolvidos que o Tratamento realizado, se dá em cumprimento à lei aplicável e aos preceitos éticos relativos ao tema.

Esta Política deve ser interpretada em conjunto com as demais políticas corporativas da União Química.

 

2. DEFINIÇÃO

Destacamos abaixo as principais definições que orientam esta Política. As demais expressões iniciadas em letras maiúsculas têm o significado que lhes é atribuído no Anexo I – Glossário.

Dado Pessoal: Qualquer informação relacionada a uma pessoa física identificada ou identificável. A expressão Dado Pessoal utilizada nesta Política quando não explicitamente mencionada, também abrangerá Dado Pessoal Sensível.

Dado Pessoal Sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a órgãos de classe ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Privacidade e Proteção de Dados Pessoais: Conjunto de princípios, regras, normas, processos, condutas e técnicas, previstas ou não em lei, e apoiadas ou não em tecnologia, que visam garantir ao Titular grau de proteção adequado no que diz respeito ao Tratamento de seus Dados Pessoais e à preservação de sua privacidade. A proteção conferida aos Dados Pessoais, materializada segundo as diretrizes desta Política, associada a direitos conferidos ao Titular em relação aos seus próprios dados, são pilares que visam garantir a sua privacidade. Soma-se a isso a obrigação dos Controladores dos Dados Pessoais de demonstrar que tratam estes dados de forma adequada e responsável.

Responsabilidade Demonstrável: Nos termos do artigo 50 da LGPD e seus incisos, significa a implementação de programa de governança em privacidade que demonstre o comprometimento do Controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de Dados Pessoais.

Tratamento: Toda operação realizada com Dados Pessoais como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição

processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de Dados Pessoais.

 

3. ABRANGÊNCIA

A presente Política aplica-se: (a) a União Química, de acordo com as leis, regulamentos e normas de governança aplicáveis; (b) a todos os colaboradores, parceiros, prestadores de serviços ou qualquer pessoa que execute o Tratamento (conforme definido abaixo) de Dados Pessoais em nome da União Química; e (c) todas as operações de Tratamento de Dados Pessoais executadas pela União Química.

 

4. OBJETIVOS, ASPECTOS REPUTACIONAIS E OUTROS RISCOS

Esta Política tem como propósito guiar a União Química e seus Colaboradores na tarefa de zelar pelos Dados Pessoais e pela privacidade dos Titulares de Dados Pessoais que, mesmo de forma anônima, façam parte de sua base de dados. Cabe a esta Política indicar as diretrizes para que a União Química possa: (i) mitigar os riscos associados ao Tratamento de Dados Pessoais; (ii) respeitar os direitos dos Titulares dos Dados Pessoais; e (iii) atingir a Responsabilidade Demonstrável quanto ao tema, ao evidenciar a todos os Colaboradores, Stakeholders e à Autoridade Nacional de Proteção de Dados Pessoais que o Tratamento de Dados Pessoais realizado se dá de forma justa e ética, em cumprimento à lei aplicável ao tema (“Objetivos Primários”).

Para que sejam atingidos os Objetivos Primários, esta Política definirá e/ou terá como objetivos secundários, o seguinte:

a) os princípios relativos ao Tratamento de Dados Pessoais adotados em suas operações diárias;

b) a ampliação da conscientização de todos os Colaboradores sobre a importância da Privacidade e da Proteção de Dados Pessoais;

c) as normas de conduta aplicáveis a todos os Colaboradores no que diz respeito à proteção de Dados Pessoais durante todo o ciclo de Tratamento dos Dados Pessoais, o que inclui desde à concepção da hipótese de Tratamento até a última etapa do Tratamento;

d) os controles e processos que garantam a Responsabilidade Demonstrável;

e) incentivar a utilização de ferramentas de tecnologia para atingir aos seus objetivos;

f) a estrutura de governança voltada à proteção de Dados Pessoais; e

g) as responsabilidades de natureza funcional e jurídica.

Esta Política também tem como propósito evitar que o Tratamento acarrete um risco sistêmico, principalmente aqueles associados a:

a) quebras de sigilo, seja por meio de compartilhamento inadequado de Dados Pessoais por Colaboradores, seja em virtude de atividades envolvendo, a título de exemplo, malware, hacking ou ramsonware;

b) utilização indevida ou inadequada de Dados Pessoais, que acarrete erro, constrangimento ou discriminação de Titulares dos Dados Pessoais;

c) falhas de qualquer natureza que impliquem no Tratamento inadequado de Dados Pessoais ou que incluam, mas não se limitem a violações à Política de Segurança da Informação e às medidas de segurança implementadas em nossos sistemas, falhas na obtenção de aplicações e serviços (no caso de relação direta com o Titular dos Dados Pessoais) ou verificação (no caso de relação indireta com o Titular dos Dados Pessoais) do Consentimento;

d) penalidades de natureza administrativa ou pagamento de indenizações a Titulares de Dados Pessoais decorrentes de descumprimento de lei, em especial a LGPD; e

e) danos reputacionais, direta ou indiretamente decorrentes de cada uma das hipóteses acima.

Mais do que afastar riscos, esta Política e todos os processos, controles e documentos a ela associados, têm como objetivo permitir que a União Química estabeleça uma relação de confiança com o Titular, seus Fornecedores, Prestadores de Serviços, Parceiros Comerciais e com a Autoridade Nacional de Proteção de Dados.

 

5. PRINCÍPIOS FUNDAMENTAIS

A proteção de Dados Pessoais deverá ser baseada nos seguintes princípios fundamentais, conforme a LGPD.

5.1 Princípio da Finalidade
A realização do Tratamento para propósitos legítimos, específicos, explícitos e informados ao Titular, sem possibilidade de Tratamento posterior de forma incompatível com estas finalidades.

5.2 Princípio da Adequação
Compatibilidade do Tratamento com as finalidades informadas ao Titular, de acordo com o contexto do Tratamento.

5.3 Princípio da Necessidade
Limitação do Tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos Dados Pessoais pertinentes, proporcionais e não excessivos em relação às finalidades do Tratamento de Dados Pessoais. Assim, a coleta de Dados Pessoais deverá ser limitada ao indispensável.

5.4 Princípio de Livre Acesso
Garantia aos Titulares de consulta facilitada e gratuita sobre a forma e a duração do Tratamento, bem como sobre a integralidade de seus Dados Pessoais.

5.5 Princípio da Qualidade dos Dados
Garantia aos Titulares de exatidão, clareza, relevância e atualização dos Dados Pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu Tratamento.

5.6 Princípio da Transparência
Garantia aos Titulares de informações claras, precisas e facilmente acessíveis sobre a realização do Tratamento e os respectivos agentes de Tratamento, observados os segredos comercial e industrial. Neste sentido, deverão ser mantidos prontamente disponíveis os meios para estabelecer a existência e natureza de Dados Pessoais, as finalidades principais de seu uso, bem como a identidade do Titular e a localização de seus Dados Pessoais.

5.7 Princípio da Segurança
Utilização de medidas técnicas e administrativas aptas a proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

5.8 Princípio da Prevenção
Adoção de medidas para prevenir a ocorrência de danos em virtude do Tratamento de Dados Pessoais.

5.9 Princípio da Não discriminação
Impossibilidade de realização do Tratamento para fins discriminatórios ilícitos ou abusivos.

5.10 Princípio da Responsabilização e Prestação de Contas
Demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de Dados Pessoais e, inclusive, da eficácia destas medidas, por meio de documentação e demonstração de processos internos, a fim de prestar contas à Autoridade Nacional de Proteção de Dados, aos Titulares e a quem mais for relevante.

Os Princípios Fundamentais constituem, em seu conjunto, a diretriz básica e fonte primária, tanto para o estabelecimento de controles, quanto para a mitigação e ponderação de riscos em casos limítrofes. Os Colaboradores e Stakeholders devem pautar todas as suas decisões em matéria de proteção de Dados Pessoais nos princípios fundamentais acima elencados.

 

6. DIRETRIZES PARA A CONDUTA DOS COLABORADORES

Apenas poderão ter acesso aos Dados Pessoais aqueles indivíduos que necessitem, de fato, dos Dados Pessoais para realizar seu trabalho. Os Colaboradores deverão acessar Dados Pessoais somente quando for necessário para o exercício de suas atividades profissionais.

Os Dados Pessoais não poderão, em nenhuma hipótese, ser compartilhados informalmente e sempre deverão ser tratados como sigilosos, exceção feita à comunicação necessária para atingir as finalidades associadas ao Consentimento obtido, bem como as demais previstas em lei.

É dever da União Química, enquanto Controladora, capacitar seus Colaboradores, de forma contínua, através de programas de treinamento de conscientização, para permitir que estes entendam a dimensão de suas responsabilidades ao manusear Dados Pessoais.

Os Colaboradores deverão manter todos os Dados Pessoais seguros, tomando precauções razoáveis e seguindo as diretrizes e orientações indicadas pela presente Política, pelo DPO e sua respectiva Diretoria, e em especial as seguintes regras:

a) cumprir as obrigações presentes na Política de Segurança da Informação, tomando precauções razoáveis a fim de manter a guarda segura dos Dados Pessoais;

b) as senhas utilizadas deverão sempre ser fortes e jamais objeto de compartilhamento;

c) não divulgar Dados Pessoais a pessoas não autorizadas, seja no âmbito da União Química ou externamente;

d) os Dados Pessoais deverão ser revisados e atualizados regularmente para evitar falhas na sua qualidade. Quando um Dado Pessoal não for mais necessário para a finalidade que justificou sua coleta, ele deverá ser descartado; e

e) os Colaboradores deverão solicitar orientação ao competente DPO sempre que não tiverem certeza sobre qualquer aspecto das condutas a serem tomadas a respeito de proteção de Dados Pessoais.

 

7. USO NÃO-EXCESSIVO DE DADOS PESSOAIS

Para garantir que o Tratamento de Dados Pessoais não seja excessivo e para que se limite ao necessário e adequado para atender a finalidade do processo de negócio, alguns parâmetros gerais deverão ser observados. A limitação ao mínimo necessário visa evitar que sejam tratados Dados Pessoais irrelevantes, excessivos, imprecisos ou desatualizados e, com isso, reduzir possíveis riscos.

A conclusão pelo excesso ou não do Tratamento realizado exige uma análise ampla sobre o Tratamento em questão, sobre a finalidade que o justifica e sobre cada um dos tipos de Dados Pessoais envolvidos no processo de negócio. Para realizar essa análise, os Colaboradores poderão se guiar respondendo às seguintes perguntas:

a) Para qual finalidade a União Química pretende usar os Dados Pessoais?

Antes de iniciar o Tratamento de Dados Pessoais deve se ter a clareza sobre qual a finalidade pela qual se pretende utilizar os Dados Pessoais, de modo que o Tratamento seja realizado de acordo com esses objetivos específicos. Além disso, a utilização dos Dados Pessoais deverá ser compatível com a finalidade que foi informada para o Titular. Caso não existam motivos claros sobre qual é a finalidade pretendida, o Tratamento em questão não deverá ser realizado.

b) Considerando essa finalidade, o Tratamento de Dados Pessoais é realmente necessário?

A necessidade do Tratamento de Dados Pessoais é um requisito essencial e, desta forma, deverá ser justificada com base em evidências que fundamentem a necessidade de sua realização.

c) Existe alguma maneira de atingir essa finalidade sem precisar realizar o Tratamento de Dados Pessoais?

Caso o Tratamento de Dados Pessoais seja realmente necessário para atingir a finalidade pretendida, deverá ser levado em consideração se a finalidade poderá ser atingida sem o Tratamento de Dados Pessoais em questão.

d) Para alcançar a finalidade pretendida, é possível realizar o Tratamento dos Dados Pessoais sem que o Titular seja identificado?

Caso não seja necessário a identificação do Titular dos Dados Pessoais para que a finalidade pretendida seja alcançada, deverá ser considerada a utilização de outro mecanismo eficaz disponível, como procedimentos de Anonimização, de modo que deixe de haver a possibilidade de associação, direta ou indireta entre o Dado Pessoal e o seu Titular. A adoção desta medida poderá afastar os dados anonimizados do escopo de aplicação da LGPD.

Ao responder cada uma dessas perguntas o Colaborador estará mais preparado para entender se o uso de Dados Pessoais é realmente necessário. É importante ressaltar que os Colaboradores poderão e deverão contar com o auxílio e orientação do competente DPO para entender e concluir se o uso de Dados Pessoais é adequado ou excessivo.

 

8. DADOS PESSOAIS SENSÍVEIS

Em algumas circunstâncias Dados Pessoais Sensíveis poderão ser objeto de Tratamento. Este Tratamento representa maiores riscos, tanto aos Titulares quanto aos Controladores. Toda situação que envolver o Tratamento de Dados Pessoais Sensíveis demandará atenção especial.

Além de atender às exigências legais para que seu Tratamento seja possível, a limitação do Tratamento ao mínimo necessário deverá ser ainda mais restritiva e as medidas de segurança da informação e cuidado em seu manuseio deverão ser observadas com maior rigor.

O Tratamento de Dados Pessoais Sensíveis deverá ser acompanhado de perto pelo competente DPO. Os Colaboradores deverão estar sempre atentos às recomendações desta Política e às orientações do DPO sobre como tratar Dados Pessoais Sensíveis.

 

9. ARMAZENAMENTO DE DADOS PESSOAIS

As seguintes regras descrevem como e onde os Dados Pessoais deverão ser armazenados da forma mais segura possível. Essas diretrizes também se aplicam a Dados Pessoais impressos, mesmo aqueles que se encontrarem armazenados eletronicamente:

a) quando os Dados Pessoais estiverem armazenados em via impressa, deverão ser mantidos em um local seguro de forma que pessoas não autorizadas não possam ter acesso a eles, recomendando-se que sejam mantidos em gavetas ou arquivos trancados;

b) os Colaboradores deverão certificar-se de que papeis e demais impressões contendo Dados Pessoais não sejam deixados onde pessoas não autorizadas possam vê-los, como por exemplo, impressoras;

c) impressões que contenham Dados Pessoais deverão ser trituradas e descartadas com segurança quando não forem mais necessárias;

d) Dados Pessoais armazenados eletronicamente deverão observar as regras da Política de Segurança da Informação, incluindo as recomendações desta Política, devendo ser protegidos contra acesso não autorizado, exclusão acidental e tentativas de invasão maliciosa;

e) Dados Pessoais deverão ser protegidos por senhas fortes, que necessitarão ser alteradas regularmente e jamais compartilhadas entre os Colaboradores;

f) a mídia removível (como um CD, HD externo etc.) que contenha Dados Pessoais, deverá ser mantida trancada de modo seguro quando não estiver sendo utilizada;

g) os Dados Pessoais somente deverão ser armazenados em unidades e servidores designados e enviados somente para serviços de computação em nuvem devidamente certificados;

h) os servidores que contêm Dados Pessoais deverão ser instalados em um local seguro;

i) os Dados Pessoais deverão ser submetidos a backup com frequência, bem como testados regularmente, de acordo com o procedimento de backup padrão adotado; e

j) todos os servidores e computadores que contenham Dados Pessoais deverão ser protegidos por software de segurança aprovado e por um firewall adequado.

Perguntas sobre como armazenar Dados Pessoais com segurança poderão ser direcionadas à área de tecnologia de informação competente ou ao DPO.

 

10. MANUSEIO DE DADOS PESSOAIS

O acesso e a utilização de Dados Pessoais poderão acarretar risco de perda, corrupção ou roubo. Dessa forma recomenda-se:

a) ao trabalhar com Dados Pessoais, os Colaboradores deverão garantir que as telas de seus computadores estejam sempre bloqueadas quando deixadas desacompanhadas;

b) Dados Pessoais não deverão ser compartilhados informalmente. Especificamente, Dados Pessoais nunca deverão ser enviados por e-mail, por se tratar de uma forma de comunicação pouco segura;

c) os Dados Pessoais deverão ser criptografados antes de serem transferidos eletronicamente. A competente área de tecnologia de informação poderá explicar como enviar Dados Pessoais para contatos externos autorizados;

d) os Dados Pessoais nunca deverão ser transferidos para fora do Brasil sem o conhecimento e aprovação prévia do DPO; e

e) os Colaboradores não deverão salvar cópias de Dados Pessoais em seus próprios computadores. A cópia central de todos os Dados Pessoais deverá estar sempre atualizada.

 

11. ACURÁCIA DOS DADOS PESSOAIS

É essencial que sejam tomadas medidas razoáveis para garantir que os Dados Pessoais custodiados sejam mantidos atualizados e exatos. A União Química e seus respectivos Colaboradores deverão empregar os seus melhores esforços para manter os Dados Pessoais da forma mais precisa possível.

Os Dados Pessoais deverão ser mantidos no menor número possível de repositórios, observada a mais estrita necessidade.

A União Química empregará os melhores esforços para garantir que os Dados Pessoais sejam atualizados constantemente, empregando mecanismos que facilitem o atendimento de requerimentos do Titular, inclusive aqueles relativos à confirmação de Tratamento, transferência e atualização de Dados Pessoais. Os mecanismos de controle deverão também possibilitar que os Dados Pessoais sejam eliminados conforme imprecisões sejam descobertas ou para atender solicitações do Titular, conforme o caso.

 

12. DIRETRIZES DE PRIVACIDADE E PROTEÇÃO DE DADOS PARA GARANTIA DO EXERCÍCIO DOS DIREITOS DO TITULAR

Se um Titular entrar em contato em decorrência de qualquer relação com seus Dados Pessoais, o pedido do Titular deverá ser tratado como uma solicitação de exercício de seus direitos.

Todo Titular de Dados Pessoais custodiados tem direito a:

a) Confirmação da existência de Tratamento de seus Dados Pessoais;

b) Acesso aos seus Dados Pessoais Tratados;

c) Correção de Dados Pessoais incompletos, inexatos ou desatualizados;

d) Anonimização, bloqueio ou eliminação de Dados Pessoais desnecessários, excessivos ou em desacordo com a LGPD;

e) Portabilidade de Dados Pessoais;

f) Eliminação dos Dados Pessoais tratados com seu Consentimento;

g) Informação das entidades com as quais foram realizados uso compartilhado de seus Dados Pessoais;

h) Informação sobre a possibilidade de não fornecer Consentimento e sobre as consequências da negativa;

i) Revogação do Consentimento; e

j) Revisão de decisões tomadas por inteligência artificial de aplicações e sistemas que impactem diretamente o Titular na relação com a Divisão de Negócio.

A União Química mantem um inventário da localização dos Dados Pessoais armazenados, com seus respectivos fluxos, inclusive transfronteiriços, com categorias definidas de Dados Pessoais. O inventário visa também facilitar a atualização e eliminação dos Dados Pessoais, inclusive aqueles solicitados pelo Titular.

As ações relativas aos Direitos dos Titulares, inclusive a forma da condução das respostas aos requerimentos de exercícios de direitos, devem observar o Procedimento de Gerenciamento dos Direitos dos Titulares da União Química.

 

13. DIRETRIZES DE PRIVACIDADE E PROTEÇÃO DE DADOS PARA A RESPONSABILIDADE DEMONSTRÁVEL E GERENCIAMENTO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO E DE VAZAMENTO DE DADOS PESSOAIS

A União Química deverá adotar em suas operações de Tratamento as melhores medidas voltadas à responsabilidade demonstrável e ao gerenciamento de riscos envolvendo a segurança da informação e vazamento de Dados Pessoais.

Recomenda-se que todos os projetos desenvolvidos envolvendo Tratamento de Dados Pessoais contem com a abordagem de Privacy by Design, e que o Tratamento que ofereça risco elevado de causar impacto na Privacidade do Titular seja precedido de DPIA.

As disposições afeitas ao DPO, ao Privacy by Design, DPIA e os gerenciamentos de riscos estão indicadas de forma detalhada nas suas respectivas políticas.

 

14. DIVULGAÇÃO DE DADOS PESSOAIS POR OUTRAS RAZÕES

Em determinadas circunstâncias, a LGPD permite que os Dados Pessoais sejam divulgados a Autoridades Competentes sem o Consentimento do Titular para este fim.

Caso a União Química seja notificada por uma Autoridade Competente a fornecer Dados Pessoais, tal medida será realizada de acordo com a LGPD. Para tanto, a União Química garantirá que a solicitação seja legítima, ficando o Colaborador responsável autorizado a solicitar a assistência do competente DPO, da diretoria e dos consultores jurídicos da União Química, se necessário.

 

15. VIOLAÇÃO À POLÍTICA

Para garantir sua efetividade, violações a esta Política serão levadas a sério e poderão resultar em ação disciplinar. Qualquer profissional que viole os princípios deste Política de Ética poderá estar sujeito a medidas disciplinares tais como: (a) advertências; (b) suspensões; (c) demissões; (d) processos judiciais.

 

16. ESCLARECIMENTOS DE DÚVIDAS

Este Política tem o objetivo de estabelecer diretrizes gerais sobre os valores e expectativas de comportamento. Em caso de dúvidas, consulte nosso Canal de Privacidade no website www.uniaoquimica.com.br.

A aplicação da Política não esgota os temas éticos e comportamentos esperados, sendo complementado pelas políticas específicas da União Química.

 

17. ATUALIZAÇÕES

Esta Política e seu Anexo 1 deverão ser revisados e atualizados para acompanhar novos requisitos de conformidade, expectativas e boas práticas. Sendo assim, recomendamos sua consulta periódica.

 

18. VIGÊNCIA

Esta Política permanecerá em vigor por prazo indeterminado.

 

19. DISPOSIÇÕES FINAIS

Esta Política será aplicada em conformidade com as demais normas e políticas do Grupo União Química, conforme publicadas e atualizadas periodicamente, podendo ser desdobrada em outros documentos normativos específicos, sempre alinhado com este documento e em observância aos princípios aqui estabelecidos.

 

ANEXO 01
Glossário

Agentes de Tratamento: refere-se ao Controlador e o Operador.

Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do Tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

Autoridade Competente: autoridade administrativa, judiciária ou arbitral competente, na forma da lei.

Autoridade Nacional de Proteção de Dados: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.

Banco de Dados: conjunto estruturado de Dados Pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

Bloqueio: suspensão temporária de qualquer operação de Tratamento, mediante guarda do Dado Pessoal ou do Banco de Dados.

Comitê de Proteção de Dados Pessoais: Colegiado multidisciplinar responsável pelas questões de proteção de Dados Pessoais e em que o DPO é um dos seus membros.

Consentimento: manifestação livre, informada e inequívoca pela qual o Titular concorda com o Tratamento de seus Dados Pessoais para uma finalidade determinada.

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados Pessoais.

DPIA: avaliação de impacto em proteção de Dados Pessoais.

DPO: Data Protection Officer, ou encarregado, profissional responsável pela proteção de Dados Pessoais e por atuar como canal de comunicação com os Titulares dos Dados Pessoais e com a Autoridade Nacional de Proteção de Dados.

Eliminação: exclusão de dado ou de conjunto de dados armazenados em Banco de Dados, independentemente do procedimento empregado.

Fornecedores e Prestadores de Serviços: fornecedores e prestadores de serviços (exceto por aqueles prestadores de serviços já contemplados na definição “Representantes Externos”).

GDPR: Regulamento Geral de Proteção de Dados da União Europeia.

Investigação: Procedimento pelo qual o DPO considera as alegações de uma Reclamação e apura a violação de direitos dos Titulares.

LGPD: Lei Geral de Proteção de Dados ou Lei nº 13.709/18, conforme alterada.

LIA: avaliação da adequação do Tratamento à base legal do legítimo interesse.

Operador: pessoa natural ou jurídica, de direito público ou privado que realiza o Tratamento de Dados Pessoais em nome do Controlador.

Objetivo Primário: conforme definido no item 5 da Política.

Parceiros de Negócios: distribuidores, revendedores e representantes comerciais.

Pseudonimização: método por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo Controlador em ambiente controlado e seguro.

Privacy By Default: á a predeterminação da privacidade como padrão por meio da incorporação das regras dispostas na LGPD nas tecnologias de informação, negócios e infraestruturas em rede, assegurando o exercício de direitos do Titular, conferindo transparência e objetivando a privacidade e proteção de dados em todo o ciclo de vida das informações utilizadas.

Privacy By Design: abordagem de engenharia, de desenvolvimento e de gestão estratégica que visa garantir que a privacidade e a proteção de Dados Pessoais sejam incorporadas às tecnologias de informação, negócios e infraestruturas em rede como uma figura central, desde a concepção do seu Tratamento.

Reclamação: a Reclamação apresentada por um Titular dos Dados Pessoais quando o Titular considerar que os seus direitos garantidos no rol do artigo 18 da LGPD foram violados.

Solicitação: um dos mecanismos fornecidos aos Titulares de Dados Pessoais para permitir que eles exerçam seus direitos estabelecidos no rol do artigo 18 da LGPD.

Stakeholder: inclui clientes, investidores, consumidores, fornecedores, poderes Executivo, Legislativo e Judiciário, Ministério Público, órgãos reguladores, mercado de capitais, bancos e imprensa, dentre outros.

Titular: pessoa física a quem se referem os Dados Pessoais (incluindo Dado Pessoal Sensível) que são objeto de Tratamento.