A presente Política possui como principal objetivo estabelecer diretrizes para estruturar um sistema normativo e de práticas de Proteção de Dados Pessoais e Sensíveis, visando garantir a privacidade e proteção dos dados dos titulares de dados pessoais que sejam objeto de tratamento e armazenamento pela Action Line.
As premissas adotadas nesta Política compreendem o atendimento às disposições das legislações temáticas de referência, incluindo, mas não se limitando à LGPD- Lei Geral de Proteção de Dados (Lei 13.709/2018), sempre pautada no princípio da boa-fé.
A Action Line, quando da condução de seus negócios poderá realizar operações de tratamento de dados pessoais. Desta forma, busca preservar o melhor interesse dos titulares dos dados pessoais, respeitando os seus direitos. A Action Line reforça o seu compromisso com o cumprimento das regras de privacidade e proteção de dados pessoais e atendendo aos princípios constantes na legislação temática aplicável.
Esta Política deverá ser analisada e interpretada de forma coordenada e harmônica com as demais Políticas da Action Line, que tratam dos sistemas, controles e compliance prevalecendo uma visão única de governança com relação aos aspectos de proteção de dados e privacidade. A aplicação desta política poderá ser interna e externa, considerando todos os titulares de dados pessoais que possuam qualquer nível de relacionamento com a Action Line.
A coleta e o tratamento de Dados Pessoais ou Sensíveis, pela Action Line são realizados sempre com o devido respaldo legal, para a execução de um contrato ou para o cumprimento de uma obrigação legal.
Quando da realização de qualquer tratamento de Dados Pessoais ou Sensíveis, a Action Line atenderá às disposições legais, em especial aos seguintes princípios:
FINALIDADE: o tratamento de dados pessoais será realizado apenas para propósitos legítimos, específicos, explícitos e informados ao titular de dados pessoais, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
ADEQUAÇÃO: o tratamento de dados pessoais será realizado de forma compatível com as finalidades informadas ao titular de dados, e de acordo com o contexto do tratamento;
NECESSIDADE: o tratamento de dados pessoais será realizado limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento;
LIVRE ACESSO: resta garantido aos titulares de dados pessoais a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados;
QUALIDADE DOS DADOS: resta garantido aos titulares de dados pessoais, a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
TRANSPARÊNCIA: resta garantido aos titulares de dados pessoais, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento de dados pessoais, observados os segredos comercial e industrial;
SEGURANÇA: Todos os esforços e a utilização das medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, serão adotados pela Action Line;
PREVENÇÃO: A Action Line adota as medidas adequadas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; NÃO DISCRIMINAÇÃO: São envidados todos os esforços para impedir a realização do tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos;
RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: A Action Line possui como compromisso demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, e a eficácia dessas medidas.
Todas as operações de tratamento de dados pessoais, considerando as atividades da ActionLine, observarão a base legal que legitime a sua realização, com estipulação da finalidade e designação dos responsáveis pelo tratamento.
A realização de coleta ou de tratamento de dados pessoais é efetivada sempre em observância às disposições legais aplicáveis e ao princípio da boa-fé, considerando-se também as hipóteses a seguir, sempre que aplicáveis:
Os Dados Pessoais ou Sensíveis serão mantidos pelo tempo necessário para as finalidades para as quais são tratados ou até a respectiva solicitação de exclusão, a qual será prontamente atendida, nos termos solicitados, desde que se tenha o necessário conjunto técnico para exclusão e, ainda, não infrinja quaisquer preceitos legais ou ordens judiciais, bem como sejam necessários para resolver disputas, manter a segurança, evitar fraudes e abuso e garantir o cumprimento de contratos.
A Action Line envida todos os esforços para manter os registros das operações de tratamento de dados pessoais, que poderão ser consultados pelo titular dos dados pessoais, bem como por autoridades públicas, incluindo a Autoridade Nacional de Proteção de Dados – ANPD.
O tratamento de dados pessoais considerados sensíveis requer cuidados especiais, e por tal motivo, a Action Line firma o compromisso de resguardo e cuidados frente ao tratamento de dados pessoais sensíveis.
Os dados pessoais de crianças e adolescentes (quando aplicável), quando coletados e tratados, não só utilizarão o mesmo nível de cuidado exigido e oferecido aos dados pessoais sensíveis, como também se sujeitarão às disposições próprias estabelecidas na LGPD, e outras normas específicas aplicáveis.
As coletas e operações de tratamento de dados pessoais sensíveis, incluindo dados de crianças e adolescentes quando aplicável, somente serão realizadas nas seguintes hipóteses:
A efetivação do compartilhamento de dados pessoais, poderá ser realizado entre as empresas componentes, mediante a finalidade específica e a partir de consentimento informado pelo titular, nos termos da legislação temática de referência.
O compartilhamento de dados pessoais poderá ocorrer também com terceiros, onde se inclui órgãos públicos, parceiros, prestadores de serviços ou clientes, a depender da natureza do compartilhamento, sua finalidade especifica, observando-se sempre a legislação temática de referência, sem prejuízo da razoabilidade e proporcionalidade, além da avaliação do nível de segurança da informação.
Caberá ao Controlador efetuar previamente a classificação e categorização do conjunto de informações e dados que serão objeto de possível compartilhamento, enquadrando-os nas categorias específicas, em razão de sua natureza. A categorização visa separar os compartilhamentos em grupos restritos e específicos, considerando-se a sua natureza, tais como dados pessoais, dados sensíveis, dados de crianças e adolescentes, dados anonimizados, dados pseudonimizados, entre outros.
Caberá aos agentes de tratamento de dados, na pessoa do controlador, a confirmação junto aos receptores, de que possuem as necessárias regularidades, nos termos preconizados pela LGPD, bem como a adoção das políticas, procedimentos e medidas de proteção dos dados pessoais que serão compartilhados.
Com base na legislação temática de referência e lastreada nas disposições contida na LGPD, relativas a proteção das pessoas físicas, no que concerne ao tratamento de seus dados pessoais e a livre circulação dos mesmos, a Action Line entende que a transferência internacional de dados pessoais, será permitida e autorizada, observados o seguinte:
I – A transmissão somente será possível para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD brasileira, cabendo ao controlador, previamente observar e comprovar a existência de garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na Lei, na forma de:
Caberá ao controlador, quando da avaliação prévia das condições de existência e de garantia do cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados, caso ainda persistam incertezas, efetivar pesquisas específicas, por meio eletrônico, junto aos sites locais representativos do país de destino, podendo na análise, utilizar-se da conjugação dos seguintes critérios objetivos:
II- Quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou
III-Quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
IV - Quando a transferência internacional de dados, for necessária para atender ao cumprimento de obrigação legal ou regulatória pelo controlador; quando for necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular dos dados e, ainda, a pedido do titular dos dados; para o exercício regular de direitos em processo judicial, administrativo ou arbitral.
Para a finalidade de transferência internacional de dados, quando verificada a sua conveniência e oportunidade e o preenchimento de requisitos, sempre será definido previamente o conteúdo de cláusulas-padrão contratuais, bem como a verificação de cláusulas contratuais específicas para uma determinada transferência, observadas as disposições desta Política e o conteúdo normativo específico da LGPD.
Caberá ao controlador, verificar e considerar os requisitos, as condições e as garantias adequadas mínimas para a transferência, que observem os direitos e princípios desta política e da legislação.
Os direitos dos titulares de dados pessoais, contidos nas bases legais específicas, que incluem:
- DIREITO À CONFIRMAÇÃO DA EXISTÊNCIA DO TRATAMENTO: o titular de dados pessoais pode questionar a realização de operações de tratamento relativos aos seus dados pessoais;
- DIREITO DE ACESSO: o titular de dados pessoais pode solicitar e receber uma cópia de todos os dados pessoais coletados e armazenados, respeitados os prazos previstos nesta Política;
- DIREITO DE CORREÇÃO: o titular de dados pessoais pode requisitar a correção de dados pessoais que estejam incompletos, inexatos ou desatualizados, mediante solicitação conforme estabelecido nesta Política;
- DIREITO DE ELIMINAÇÃO: o titular de dados pessoais pode requisitar a exclusão de seus dados pessoais, salvo se houver um motivo legítimo para a sua manutenção, como eventual obrigação legal de retenção de dados, considerando os mecanismos empreendidos internamente pela Action Line para a exclusão ou eliminação dos dados pessoais;
- DIREITO DE SOLICITAR A SUSPENSÃO DE TRATAMENTO ILÍCITO DE DADOS PESSOAIS: a qualquer momento, o titular de dados pessoais poderá requisitar a anonimização, bloqueio ou eliminação de seus dados pessoais que tenham sido reconhecidos por autoridade competente como desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD.
- DIREITO DE OPOSIÇÃO A UM TRATAMENTO DE DADOS PESSOAIS: o titular de dados pessoais poderá apresentar uma oposição, que será analisada a partir dos critérios presentes na LGPD e de acordo com as diretrizes da Action Line;
- DIREITO À PORTABILIDADE DOS DADOS: o titular de dados pessoais poderá solicitar que seus dados pessoais sejam disponibilizados a outro fornecedor de serviço ou produto, respeitados o segredo comercial e industrial da Instituição, bem como os limites técnicos.
- DIREITO À REVOGAÇÃO DO CONSENTIMENTO: o titular de dados pessoais tem o direito de revogar o seu consentimento, devendo o titular possuir conhecimento de que a revogação do seu consentimento poderá alterar suas condições de acesso a determinado produto ou serviço.
As normas de segurança da informação e prevenção contra incidentes de dados pessoais, estão contidas na Política de Segurança.
Todos os Dados Pessoais e Dados Sensíveis serão armazenados internamente ou em base de dados de terceiros contratados, os quais estão devidamente de acordo com a legislação de proteção de dados vigente.
A Action Line adota vários procedimentos de segurança para mitigar riscos com base nas em suas ações internas que poderão incluir controle de senhas, controle de acesso, Confidencialidade, Backup, Uso de e-mail, Ferramentas antimalware, filtro antispam, antiphishing e o uso de Firewall. Estas ações permitem a proteção da confidencialidade, segurança e integridade de seus Dados Pessoais e Sensíveis, prevenindo a ocorrência de eventuais danos em virtude do tratamento desses dados.
Muito embora a Action Line se dedica a manter as melhores ferramentas de controle visando mitigar riscos de quaisquer violações, sabe-se que em se tratando de ambiente digital, não se está imune a eventuais contratempos.
Fica estabelecido, que todas as comunicações a serem realizadas pelos titulares de dados pessoais, deverão ser realizadas por meio do seguinte endereço dpo@actionline.com.br. Após o recebimento de tal comunicação ou solicitação a Equipe de Proteção de Dados registrará e analisará a solicitação, seguindo as seguintes premissas:
O descumprimento desta Política por quaisquer de seus destinatários, ensejará a aplicação das medidas necessárias pela Action Line, sem prejuízo da apuração da responsabilização do infrator, seja no âmbito civil ou criminal.
Ademais, poderá a Action Line, a depender da gravidade da infração, optar, a seu exclusivo critério, pelo término, rescisão ou encerramento do vínculo contratual com quaisquer de seus parceiros.
