1. OBJETIVO

O objetivo desta Política é formalizar os regramentos e previsões com escopo a uniformizar o comportamento da Companhia no que toca ao tratamento de dados pessoais em seus processos, a proteção destes dados e a privacidade, além de divulgar e tornar-se público a cultura de segurança deste conteúdo em consonância com os seguintes princípios: confidencialidade, lealdade, legalidade, transparência e integridade.

A Política visa determinar os seguintes compromissos:

• Impossibilidade de realização do tratamento dos dados para fins discriminatórios ilícitos ou abusivos;
• Proteção aos dados pessoais dos titulares nos ambientes digitais e analógicos da Companhia;
• Transparência aos titulares sobre às necessidades de tratamento de seus dados pessoais, a forma, a duração e a exatidão das informações;

• O tratamento dos dados deve atender à finalidade legítima;
• Respeito à privacidade dos titulares;
• Limitação do tratamento de dados ao mínimo necessário para realização das atividades e processos da Companhia;

2. ABRANGÊNCIA

Esta Política de Proteção de Dados Pessoais e Privacidade acoberta a integralidade dos processos que de alguma forma tratam dados pessoais digitais e analógicos dos titulares que se relacionam com esta Companhia e suas eventuais subsidiárias.

Aplica-se a todas as pessoas que trabalham e que de alguma forma mantém relação com a Companhia, bem como para qualquer pessoa física ou pessoa jurídica, de Direito Público ou Privado, com quem se relaciona: fornecedores, prestadores de serviços, clientes, entre outros.

A Política encontra-se disponível no endereço eletrônico: http://www.conasa.com

3. REFERÊNCIAS

• Lei Federal n. 12.965/2014 (Marco Civil da Internet)

• Lei Federal n. 13.709/2018 (Lei de Proteção de Dados Pessoais)

4. DEFINIÇÕES

Os principais termos citados nesta Política incluem:

1. Controlador – No âmbito interno, o controlador é o conjunto diretivo da Empresa, a quem compete as decisões referentes ao tratamento de dados pessoais e que por meio dos seus poderes e atribuições delegam as ações necessárias para operacionalizar a Política de Proteção de Dados Pessoais e Privacidade dentro da estrutura da empresa.

   Para o ambiente externo à empresa, o Controlador é a própria Empresa que exigirá das pessoas físicas e das pessoas jurídicas, de Direito Público ou Privado, com quem se relaciona, o cumprimento dessa política quando aquelas estiverem tratando dados pessoais originários da “ CONASA” (CONASA INFRAESTRUTURA e suas subsidiárias);

2. DPO – Data Protection Officer – colaborador, indicado pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;
3. Agentes internos de Tratamento de Dados (Operadores internos) – são todos os colaboradores que, na execução das atividades relativas aos processos da empresa, têm contato e tratam dados pessoais em nome do Controlador;
4. Titular – pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

5. Tratamento – toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
6. Dado Pessoal – informação relacionada a pessoa natural identificada ou identificável;
7. Dado Pessoal Sensível – dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

5. PROCEDIMENTO GERAL

No atendimento ao que é requerido pela legislação e pelos compromissos assumidos nesta política, a CONASA seguirá, em seus processos, as seguintes diretrizes:

1. Os dados pessoais do titular serão processados de forma lícita, leal e transparente;

2. Os dados pessoais do titular serão coletados apenas para finalidades determinadas, explícitas e legítimas, não podendo ser tratados posteriormente de forma incompatível com essas finalidades (limitação das finalidades);
3. Os dados pessoais do titular serão coletados de forma adequada, pertinente e limitada às necessidades do objetivo para os quais eles são processados (minimização dos dados);
4. Os dados pessoais do titular serão exatos e atualizados sempre que necessário, de maneira que os dados inexatos sejam apagados ou retificados quando possível (exatidão);
5. Os dados pessoais do titular serão conservados de forma que permita a identificação dos titulares dos dados apenas durante o período necessário para as finalidades para as quais são tratados, (limitação da conservação, anonimização);
6. Os dados pessoais do titular serão tratados de forma segura, protegidos do tratamento não autorizado ou ilícito e contra sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas adequadas (integridade e confidencialidade);

7. É garantido ao titular dos dados a consulta gratuita sobre a forma e a duração do tratamento, bem como sobre a integridade de seus dados pessoais (transparência); (Art. 6º – IV e VI da Lei Federal n. 13.709);
8. Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas (Art. 6º – X da Lei Federal n. 13.709);

9. Assegurar que o tratamento de dados pessoais somente será realizado nas seguintes hipóteses:
• Mediante o fornecimento de consentimento pelo titular quando assina o contrato de serviços prestados pela Companhia;

Para o cumprimento de obrigação legal ou regulatória pelo controlador;

• Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
• Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
• Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);

• Para a proteção da vida ou da incolumidade física do titular ou de terceiros;
• Para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

• Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
• Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente

6. PROCESSO DE IDENTIFICAÇÃO E PROCESSAMENTO DE DADOS PESSOAIS

Todas as áreas da Companhia são contempladas com ações que promovam a conformidade à LGPD.
Tais ações estão alicerçadas em três pilares, quais sejam: Tecnologia, Processo e Pessoas. São pilares indissociáveis e devem ser fortalecidos de forma harmônica.
O tratamento contínuo dos dados deve ser pautado pelo conjunto de diretrizes desta política.

7. RESPONSABILIDADES

7.1 Diretoria Executiva

Aprovar a Política de Proteção de Dados Pessoais e Privacidade;

Deliberar sobre temas afetos às suas atribuições.

7.2 Controlador

Tomar decisão referente ao tratamento de dados pessoais;

Delegar as ações necessárias para operacionalizar a Política da Proteção de Dados Pessoais e Privacidade dentro da estrutura da empresa;

Exigir das pessoas físicas e das pessoas jurídicas, de Direito Público ou Privado, com quem se relaciona, o cumprimento dessa política quando aquelas estiverem tratando dados pessoais originários da CONASA.

Propõe melhorias na Política de Proteção de Dados Pessoais e Privacidade para a Diretoria Executiva;

Deve sugerir, acompanhar e reavaliar a implementação do Programa de Proteção de Dados Pessoais;

Dar apoio ao DPO na execução das ações relativas à Política e ao Programa de Proteção de Dados Pessoais.

7.3 DPO (Data Protection Officer)

Receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

Receber comunicações da autoridade nacional e adotar providências;
Orientar os empregados e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares; e

Coordenar as ações que visam implantar a Política de Proteção de Dados Pessoais e Privacidade e a execução do Programa de Proteção de Dados Pessoais.

• Tais ações deverão ser executadas por todos os gestores e das suas equipes alocadas nas diversas áreas da empresa que tratam dados pessoais em seus processos.

7.4 Agentes Internos de Tratamento de Dados (Operadores Internos)

Realizar o tratamento de dados conforme as instruções fornecidas pelo Controlador – formalizadas através de Política e Normas internas.

CONSIDERAÇÕES FINAIAS

Dúvidas com relação à interpretação desta Política devem ser esclarecidas com o Comitê de Segurança de Dados Pessoais e Privacidade

9. ENTRADA EM VIGOR

Esta Política entra em vigor na data estabelecida no Comunicado Interno informando sobre a mesma, ficando revogadas todas e quaisquer disposições em contrário.

CONTATO DO DPO

Diorgny Orlandi Natalino
DPO

Endereço: Avenida Higienópolis, 1601 – 7° andar – Jardim Higienópolis – Londrina-PR
diorgny@conasa.com ou comiteseguranca@conasa.com

Se ficou com alguma dúvida, não deixe de fazer contato por meio através dos e-mails acima.