DATA DE ENTRADA EM VIGOR:  01º de janeiro de 2022

Recomendamos que você leia esta Política de Privacidade na íntegra para assegurar que esteja completamente informado. Entretanto, se desejar acessar uma seção desta Política de Privacidade, consulte a tabela abaixo.

  1. Objetivo
  2. Abrangência
  3. Definições
  4. Diretrizes
  5. Vigência
  6. Contato
  7. Alterações a esta política
  8. Referências
  1. OBJETIVO

A presente Política de Privacidade demostra que, durante o desempenho de nossas atividades, coletamos, armazenamos e processamos dados pessoais. A SULGESSO se preocupa em assegurar que esses dados estejam protegidos e sejam tratados com responsabilidade, ética, boa-fé e em linha com os nossos valores, princípios e legislação aplicável. Prezamos pela primazia de nossos serviços e, ao mesmo tempo, estamos comprometidos em proteger e resguardar a privacidade e a proteção de dados.

Elaborada com base nas disposições da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (“LGPD”), visando também a GDPR – General Data Protection Regulation (Regulamento Geral de Proteção de Dados na EU – Regulamento UE n. 2016/679 de 27 de abril de 2016).

Ressaltamos que, esta Política de Privacidade poderá ser atualizada em decorrência de eventual atualização normativa, razão pela qual se convida o usuário a consultar periodicamente esta seção.

  1. ABRANGÊNCIA

As diretrizes e os princípios definidos nesta política visam o preciso tratamento de dados pessoais pela SULGESSO.  

  1. DEFINIÇÕES
  • Lei Geral de Proteção de Dados Pessoais (LGPD): Lei nº 13.709/2018 que traz as disposições legais acerca do tratamento de dados pessoais, em meios digitais ou físicos, por pessoa natural ou jurídica, de direito privado ou público, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural. A lei brasileira foi inspirada pela regulamentação europeia GDPR – General Data Protection Regulation (Regulamento Geral de Proteção de Dados na EU – Regulamento UE n. 2016/679 de 27 de abril de 2016).
  • Titular: Pessoa natural sobre a qual o dado pessoal se refere. É a pessoa física proprietária do dado pessoal.
  • Controlador: Pessoa natural (PF) ou jurídica (PJ), de direito público ou privado, a quem competem as decisões do tratamento de dados pessoais. A pessoa, controlador, que determina as finalidades, condições e meios do processamento de dados pessoais.
  • Operador: Pessoa natural (PF) ou jurídica (PJ), de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador e de acordo com as suas orientações. Na regulamentação europeia GDPR, este é conhecido como processor.
  • Agente de tratamento: O Controlador e o Operador dos dados pessoais.
  • Dado pessoal: Qualquer informação relacionada a pessoa natural/física identificada ou identificável. Toda e qualquer  informação que identifique diretamente uma pessoa natural (PF), como, por exemplo, Nome, CPF, RG, nº de registro interno dentro da organização, profissão e endereço eletrônico. Também constituem dados pessoais o conjunto de informações que indiretamente podem levar à identificação de uma determinada pessoa Natural (PF), como, por exemplo, o conjunto de informações de local de trabalho e cargo. Destaca-se que, dados relacionados a pessoas jurídicas como CNPJ, razão social, balanço financeiro, não são considerados dados pessoais.
  • Dado pessoal sensível: São dados pessoais que possuem maior proteção da lei e requerem maior cuidado no tratamento pelo fato de poderem gerar alguma discriminação ao titular de dados. São considerados dados pessoais sensíveis: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
  • Encarregado de Proteção de Dados: Conhecido também como DPO (Data Protection Officer), refere-se à pessoa indicada pelo Agente de Tratamento. Pessoa esta que, atua como canal de comunicação entre o agente, os titulares de dados e a ANPD – Autoridade Nacional de Proteção de Dados. Os contatos do Encarregado de proteção de dados/DPO da SULGESSO estão em nosso site e nos nossos meios de comunicação interna.
  • Tratamento: Toda e qualquer operação realizada com dados pessoais, tais como: coleta, recepção, utilização, acesso, reprodução, produção, classificação, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração.
  • Dado anonimizado: Dado relativo a titular que não possa ser identificado, dados que não permitem a identificação direta ou indireta do titular, não sendo, portanto, considerados como dados pessoais. Dados pessoais podem sofrer processo de anonimização e passarem a ser anonimizados e, portanto, não pessoais. A anonimização de dados tem de ser irreversível, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
  1. DIRETRIZES

As atividades relativas a tratamento de dados na SULGESSO seguem as diretrizes impostas pela legislação vigente e as métricas trazidas por esta Política, a fim de conferir maior compliance de nossa Empresa à legislação vigente.

Deste modo, o nosso procedimento ao lidar com dados pessoais observa os princípios impostos pela Lei Geral de Proteção de Dados Pessoais (LGPD).

  1. Finalidade: todo e qualquer tratamento deve ser vinculado a uma finalidade específica, a qual tende a atender a propósitos legítimos, específicos, explícitos e informados ao titular, sendo vedado o tratamento incompatível com as finalidades previamente definidas.
  2. Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  3. Necessidade: conhecido também como princípio da minimização dos dados, determina que o tratamento de dados pessoais se limita ao mínimo de dados pessoais necessários para realização de suas finalidades e não excessivos em relação às finalidades previstas;
  4. Livre Acesso: os titulares dos dados pessoais têm acesso facilitado sobre a forma de tratamento e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
  5. Qualidade dos Dados: aos titulares dos dados pessoais são garantidas clareza, exatidão, relevância e atualização dos dados, de acordo com a necessidade e para cumprimento da finalidade de seu tratamento;
  6. Transparência: os titulares dos dados têm acesso a informações precisas, claras e facilmente acessíveis sobre a realização do tratamento e respectivos agentes de tratamento, observados segredos e industriais comerciais.
  7. Segurança: são utilizadas medidas administrativas e técnicas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, alteração, perda, comunicação ou difusão.
  8. Prevenção: são adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
  9. Não discriminação: os dados pessoais não são discriminatórios, abusivos ou ilícitos;
  10. Responsabilização e prestação de contas: estamos aptos a demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. 

4.1 SULGESSO como agente de tratamento de dados pessoais

A SULGESSO realiza o tratamento de dados pessoais, podendo assumir a figura ora de Controlador, ora de Operador. Quando a decisão sobre o tratamento do dado partir da SULGESSO, estará na condição de Controlador. Por outro lado, quando a SULGESSO realizar o tratamento de dados pessoais em nome do controlador e de acordo com suas orientações ou instruções, estará atuando como Operador.

4.2. Da Responsabilidade do Agente de tratamento de dados pessoais

Na condição de Controlador, a SULGESSO, antes de realizar qualquer tipo de tratamento de dados pessoais, certifica-se de que este tratamento está amparado pela legislação vigente, conforme hipóteses autorizadoras descritas no item 4.4.

Por outro lado, quando a SULGESSO agir como Operador, realizará o tratamento conforme instruções fornecidas pelo Controlador de dados, sendo desse a responsabilidade de assegurar que há base legal para o tratamento de dados pessoais, inclusive para autorizar o compartilhamento de dados com a SULGESSO.

  • Da Finalidade do Tratamento de Dados Pessoais

A SULGESSO trata dados pessoais quando:

  • Comunica-se com o titular de dados a respeito da Empresa e notícias sobre pesquisas, estudos, varejo, serviços, da SULGESSO e/ou das Empresas do Grupo;
  • Responde às dúvidas e solicitações dos titulares de dados;
  • Envia e-mail marketing para seus clientes e titulares de dados;
  • Presta serviços da SULGESSO voltados para o atendimento aos seus clientes;
  • Bases Legais de Tratamento
  • Tratamento de Dados Pessoais

A SULGESSO, ao tratar os dado pessoal, o faz mediante uma das hipóteses legais dispostas na legislação vigente, lembrando que a Lei Geral de Proteção de Dados Pessoais (LGPD), no seu atigo 7°, prevê como hipóteses:

  1. mediante o fornecimento de consentimento pelo titular;
  2. para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
  1. para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  2. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  3. para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
  • para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  1. quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  2. para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

 

4.4.2 Tratamento de Dados Pessoais Sensíveis

 

A SULGESSO, em algumas de suas atividades, coleta biometria de titulares exclusivamente para: identificação do titular de dado intermo do grupo.

 

4.4.2.1 Hipóteses de Tratamento do Dado Sensível

A SULGESSO, ao tratar dado sensível, o faz mediante uma das bases legais dispostas na legislação vigente, lembrando que a Lei Geral de Proteção de Dados Pessoais (LGPD), no seu atigo 11°, prevê como hipóteses:

  1. quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
  2. sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
  3. cumprimento de obrigação legal ou regulatória pelo controlador;
  4. tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
  5. realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
  6. exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
  7. proteção da vida ou da incolumidade física do titular ou de terceiro;
  8. tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  9. garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
  • Da Duração do Tratamento

A duração do tratamento dos dados pessoais, inclusive os sensíveis, observa os prazos fixados por lei e/ou cláusulas contratuais específicas, bem como considera a finalidade pela qual foram coletados, em conformidade com a legislação aplicável (nacional).

Após o término do prazo de tratamento, os dados são eliminados ou anonimizados, ressalvada a hipótese para cumprimento de dever legal.

 

  • Direitos do Titular

 Os titulares de dados pessoais podem, a qualquer momento e mediante requisição, solicitarem as seguintes informações sobre seus dados pessoais, conforme artigo 18 da Lei Geral de Proteção de Dados Pessoais (LGPD):

  1. confirmação da existência de tratamento;
  2. acesso aos dados;
  3. correção de dados incompletos, inexatos ou desatualizados;
  4. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
  5. portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
  6. eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art.16 da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais);
  7. informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de
    dados;
  8. informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  9. revogação do consentimento, conforme § 5º do art. 8º da Lei Geral de Proteção de Dados Pessoais (LGPD).

Caso queira tomar conhecimento sobre os direitos dos titulares de dados, para que possa ter o esclarecimento sobre dúvidas relacionadas ao tema, contate o Encarregado de dados/DPO através do canal mencionado nessa Política.

  • Encarregado de dados Pessoais/DPO

O Encarregado pelo tratamento de dados pessoais ou Data Protection Officer (DPO) é a pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares dos dados pessoais, zelando para que o acesso a ele seja facilitado, de forma gratuita, clara e pública nos meios de comunicação do agente de tratamento, e a Autoridade Nacional de Proteção de Dados (ANPD). No caso da SULGESSO é representado pela Carine Hermes, onde atende as demandas pelo e-mail encarregadodedados@sulgesso.com.br.

As atividades do encarregado consistem em:

  • Receber reclamações e comunicações dos titulares bem identificados, prestar esclarecimentos e adotar providências adequadas;
  • Receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar providências;
  • Cooperar com a Autoridade Nacional de Proteção de Dados (ANPD);
  • Orientar os colaboradores e os contratados da Empresa a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • Coordenar a elaboração do relatório de impacto à proteção de dados pessoais, documento que poderá ser exigido pela Autoridade Nacional de Proteção de Dados (ANPD) nos casos que envolverem, por exemplo, utilização de legítimo interesse como base legal;
  • Assegurar o cumprimento das políticas de privacidade e proteção de dados pelos colaboradores da Empresa;

O Encarregado pelo tratamento de dados pessoais ou Data Protection Officer (DPO) trabalha em conjunto com as demais áreas da SULGESSO, para o correto monitoramento das atividades relacionadas à privacidade de dados pessoais.

  • Privacidade desde a Concepção

                                                                                              

O conceito de Privacidade desde a Concepção significa que na SULGESSO a privacidade e a proteção de dados são consideradas desde a concepção e durante todo o ciclo de vida do projeto, sistema, serviço, ou processo da Empresa.

  • Preventivo, e não Corretivo; Proativo, e não reativo;
  • Privacidade é o padrão dos sistemas de TI ou práticas de negócio;
  • Privacidade incorporada ao projeto (Design);
  • Funcionalidade Total;
  • Segurança e proteção de ponta a ponta;
  • Visibilidade e transparência; e
  • Respeito pela privacidade do titular.

A SULGESSO adota medidas adequadas para garantir que, por padrão, apenas serão/são processados os dados pessoais necessários para cumprimento da(s) finalidade(s) específica(s) definida(s).

  • Comitê de Privacidade

Com o objetivo de tratar todas as questões relacionadas ao cumprimento dessa política, a SULGESSO tem em sua estrutura o Comitê de Privacidade que é formado pelos seguintes funcionários: Carine Hermes (DPO e Gestão Jurídica), Fernando da Rosa Ribeiro (Gestão de TI), Mairo Puccini Serralha (Gestor de Recursos humanos),  Isabela R. Ferreira Rousseau (Gestão de Marketing), Alexandre Machado da Costa (Gestor Financeiro), Juliana Gonçalves (Gestão de qualidade). Com a supervisão do Paulo César Côrtes Corsi (CEO).

  • Auditoria Interna

 Os controles relacionados à privacidade de proteção de dados serão monitorados anualmente pelo Encarregado de dados ou Data Protection Officer (DPO) da SULGESSO.

  • A abordagem de riscos e controles se guiará a partir de uma matriz de riscos.
  • As adequações das áreas frente ao determinado pela lei serão incluídas como planos de ação;
  • Os processos verificados estarão previstos no cronograma da auditoria interna onde serão realizados testes específicos sobre os riscos e controles anualmente.
  1. VIGÊNCIA

Esta política estará vigente pelo próximo 1 (um) ano.

  1. CONTATO

 Reclamações e preocupações dos titulares dos dados e dos funcionários da SULGESSO podem ser endereçadas ao Encarregado DPO Carine Hermes, através do e-mail encarregadodedados@sulgesso.com.

  1. ALTERAÇÕES A ESTA POLÍTICA

 A SULGESSO pode emendar esta Política de privacidade para refletir alterações na legislação, em nossas empresas, Serviços ou uso e práticas de coleta de dados, ou avanços na tecnologia. O nosso uso das informações pessoais que coletamos está sujeito à Política de privacidade que estiver em vigor no momento em que estas informações pessoais forem usadas. Dependendo do tipo de alteração, podemos avisar você sobre a alteração publicando-a nesta página ou por e-mail. Analise periodicamente esta Política de privacidade e analise cuidadosamente todas as alterações feitas a esta Política de privacidade.

  1. REFERÊNCIAS

 O Encarregado/DPO da SULGESSO é responsável por revisar essa política anualmente, ser atualizada anualmente e ser comunicada aos interlocutores apropriados. O Comitê de Privacidade é responsável por garantir que os profissionais da companhia, os sistemas e operadores cumpram com esta política.

Esta Política é propriedade da SULGESSO e baseia-se nas disposições da Lei Geral de Proteção de Dados (LGPD).