-
-
SAC: 103 12 Atendimento
Para vocêMicro e pequenas empresasMédias e grandes empresasPara vocêMicro e pequenas empresasMédias e grandes empresas
(34) 9 9664‑9400
Ver menu
Data de Criação/Alteração: 17/05/2020
Versão: 02
1 – OBJETIVO
1.1 - Esta política de gestão de dados pessoais tem como objetivos:
a) Apresentar aos associados, prestadores de serviços, parceiros, credenciadas e fornecedores
as diretrizes de proteção dos dados pessoais existentes no âmbito da Algar Telecom e a importância da
adoção das melhores práticas;
b) Estabelecer as responsabilidades e os limites de atuação dos associados, prestadores de serviços,
parceiros, credenciadas e fornecedores na proteção dos dados pessoais, reforçando a cultura interna e
priorizando as ações necessárias conforme o negócio; e,
c) Formalizar o comprometimento da Algar Telecom em adequar-se às leis aplicáveis, fortalecendo os
negócios, as parcerias e as relações com os titulares dos dados pessoais.
2 - DOCUMENTOS REFERENCIAIS
● Política - Segurança da Informação;
● Política - Privacidade de Dados Pessoais;
● Lei no 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais.
3 - DEFINIÇÕES
3.1 - Associado
Funcionários da Algar Telecom.
3.2 - Agentes de tratamento
O controlador e o operador.
3.3 - Controlador
Pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
3.4 - Operador
Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
3.5 - Tratamento de dados pessoais
Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
3.6 - Ambiente lógico
Ambiente virtual composto pelos recursos de TIC, sistemas, bases de dados, da Algar Telecom, de forma intangível.
3.7 - Recursos de TIC (Tecnologia da Informação e Comunicações)
São todos os recursos físicos e lógicos utilizados para criar, armazenar, manusear, transportar, compartilhar e descartar a informação. Entre os tipos de recursos podemos destacar: computadores de mesa ou portáteis, smartphones, tablets, pen drive, discos externos, mídias, impressoras, scanner, entre outros. Sempre que mencionados de forma a não identificar seu possuidor ou proprietário, os Recursos de TIC compreenderão tanto os pertencentes à Algar Telecom quanto aos particulares em proveito corporativo. Caso contrário, haverá declinação de posse ou propriedade no próprio texto.
3.8 - Ameaça
Causa potencial de um incidente indesejado, que pode resultar em dano à Algar Telecom.
3.9 - Ciclo de vida do dado pessoal
Fluxo do tratamento do dado pessoal o qual envolve as ações de coleta, armazenamento, uso, compartilhamento e eliminação do dado pessoal.
3.10 - Compartilhamento de dados pessoais
Comunicação, difusão, transferência nacional ou internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos, entidades entre outros para uma ou mais modalidades de tratamento.
3.11 - Consentimento
Manifestação livre, informada e inequívoca pela qual o titular dos dados pessoais concorda com o tratamento de seus dados para uma finalidade pré-determinada.
3.12 - Dado pessoal
Informação relacionada à pessoa física identificada ou identificável. Para os propósitos desta política, os dados pessoais são classificados como informação confidencial.
3.13 - Dado pessoal sensível
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física.
3.14 - Dados de saúde
Dados sensíveis que permitem inferir informações referentes à saúde do titular.
3.15 - Titular dos dados pessoais
Pessoa física a quem se referem os dados pessoais que são objeto de tratamento.
3.16 - Requisições do titular dos dados pessoais
Solicitações do titular dos dados pessoais acerca de seus direitos estabelecidos em lei e relativos ao tratamento dos seus dados pessoais.
3.17 - Anonimização
Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento para retirar a possibilidade de associação, direta ou indireta, do dado pessoal a um indivíduo.
3.18 - Dado anonimizado
Dado que não identifica de forma direta ou indireta um titular de dados pessoais, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. O dado pessoal passa ser considerado anonimizado quando a ocultação do titular do dado é irreversível. Pela legislação, dados anonimizados não são considerados dados pessoais.
3.19 - Pseudonimização
É o tratamento por meio do qual um dado pessoal perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro. Neste caso a ocultação do titular do dado é reversível.
3.20 - Encarregado pelo tratamento de dados pessoais (DPO)
Pessoa indicada pela Algar Telecom para atuar como canal de comunicação entre a Algar Telecom, titulares dos dados pessoais e/ou autoridade fiscalizadora.
3.21 - Relatório de impacto à proteção de dados pessoais (DPIA/RIPD)
Documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que possam gerar riscos às liberdades civis e aos direitos fundamentais dos titulares dos dados pessoais, bem como medidas, salvaguardas e mecanismos de mitigação desses riscos.
3.22 - Violação
Qualquer atividade que desrespeite as regras estabelecidas nos documentos normativos da Algar Telecom.
3.23 - Violação de Dados Pessoais
Ocorre quando os dados pessoais são de alguma forma acessados por pessoas ou entidades não autorizadas podendo ocasionar a destruição, perda, alteração, divulgação acidental ou ilegal, ou acesso a dados pessoais transmitidos, armazenados ou de outra forma processados, resultante de incidente de segurança.
4 - DESCRIÇÃO
4.1 - Diretrizes Gerais
4.1.1 - O tratamento de dados pessoais deve ser regido pelos seguintes princípios:
a) Licitude: O tratamento dos dados pessoais deve ser realizado de modo lícito, justo e
transparente com relação ao titular dos dados pessoais;
b) Finalidade: Os dados pessoais devem ser tratados apenas para as finalidades determinadas,
explícitas, legítimas e informadas antes do tratamento, não podendo ser tratados posteriormente
para finalidades incompatíveis;
c) Adequação: Os dados pessoais devem ser tratados de modo adequado e pertinente às suas
finalidades de uso;
d) Proporcionalidade e Necessidade: O tratamento dos dados pessoais deve ser proporcional aos
objetivos do negócio, não sendo feito tratamento de tipos de dados pessoais que não sejam
necessários e proporcionais aos objetivos de negócio;
e) Livre acesso: assegurar aos titulares a consulta facilitada e gratuita sobre a forma e a
duração do tratamento de seus dados pessoais;
f) Qualidade dos dados: assegurar aos titulares, a exatidão, clareza, relevância e atualização
dos dados pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu
tratamento;
g) Transparência: assegurar que os titulares tenham informações claras, precisas e facilmente
acessíveis sobre o tratamento de seus dados pessoais, observados os segredos comercial e
industrial;
h) Segurança: O tratamento deve ser realizado de modo a assegurar a proteção dos dados pessoais,
incluindo a proteção contra o tratamento não autorizado ou ilícito, perda, destruição ou dano
acidental, devendo a Algar Telecom adotar medidas técnicas e organizacionais para salvaguardar a
integridade, confidencialidade e disponibilidade destes dados;
i) Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de
dados pessoais;
j) Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios
ilícitos ou abusivos;
k) Responsabilização e prestação de contas: demonstração da adoção de medidas eficazes e capazes
de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive,
da eficácia dessas medidas;
l) Subsidiariedade: Deve-se sempre buscar formas alternativas (subsidiárias) de se atingir as
mesmas finalidades por meios menos invasivos à privacidade do titular dos dados pessoais;
m) Limitação de armazenamento: Os dados pessoais e registros devem ser armazenados apenas durante
período estritamente necessário de acordo com sua finalidade, com os padrões a serem estabelecidos
pela Autoridade Nacional de Proteção de dados (ANPD) e de acordo com a legislação aplicável.
4.2 - Ciclo de vida do dado pessoal
4.2.1 - A coleta do dado pessoal significa a entrada do dado pessoal na Algar Telecom, podendo ser feita por
meio de sistemas de informação ligados a sites, aplicativos, recebimento de arquivos, aquisição de base de
dados, bem como no ambiente físico como pelo preenchimento de formulários, listas ou pelo registro de uma
conversa presencial, por chat, troca de mensagens, e-mails ou por telefone, por exemplo;
4.2.2 - O tratamento de dados pessoais deve ser realizado considerando:
a) Transparência: Antes de realizar o tratamento de dados pessoais, o titular destes dados deve
receber informação clara, concisa, inteligível, de fácil acesso e de fácil compreensão sobre a
coleta, finalidade, armazenamento, compartilhamento e descarte de seus dados pessoais.
Para o tratamento devem ser apresentadas, no mínimo, as seguintes informações:
● A qualificação da Algar Telecom (Se Controladora ou Operadora) e seus dados de contato
(Ex. Contatos do DPO para fins da LGPD);
● O canal de contato com o encarregado pelo tratamento de dados pessoais na Algar Telecom;
● As finalidades específicas e forma de tratamento;
● O tempo de retenção dos dados pessoais, levando em consideração a finalidade do
tratamento (devendo estar de acordo com a lei e a tabela de temporalidade);
● Demais controladores e/ou operadores com os quais a Algar Telecom realiza o uso
compartilhado de dados pessoais, tanto entidades públicas como privadas;
● Se o tratamento dos dados pessoais se baseia em interesse legítimo da Algar Telecom ou de
terceiros;
● Se ocorrerá a transferência de dados pessoais para outro país (incluindo-se por meio do
armazenamento em nuvem em que o hardware se localiza em outro país) e, neste caso, se
há salvaguardas adequadas para a transferência internacional;
● Se a comunicação de dados pessoais constitui ou não uma obrigação legal ou contratual, ou
um requisito necessário para celebrar um contrato;
● Quando o consentimento do titular dos dados pessoais for necessário, dispor acerca da
possibilidade de não fornecimento de consentimento e sobre as consequências que a negativa pode
ocasionar, bem como possibilitar que o titular revogue o consentimento, nos termos da legislação
aplicável;
● A existência de decisões automatizadas, incluindo a definição de perfis, além de informações
úteis relativas à lógica utilizada, a importância e as consequências previstas de tal tratamento
para o titular dos dados pessoais;
● Os direitos do titular dos dados pessoais, como a confirmação da existência do tratamento,
acesso aos dados pessoais, correção de dados pessoais incompletos, inexatos ou desatualizados,
portabilidade dos dados pessoais, bloqueio ou eliminação de dados pessoais desnecessários,
excessivos ou tratados em desconformidade com a legislação aplicável;
● Os riscos, regras e garantias associadas ao tratamento dos dados pessoais, bem como os meios
que o titular destes dados dispõe para exercer os seus direitos relativamente a esse tratamento;
● Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou
para o exercício de direitos, o titular dos dados pessoais será informado com destaque sobre esse
fato e sobre os meios pelos quais poderá exercer os seus direitos.
b) Proporcionalidade: As áreas que realizam o tratamento dos dados pessoais devem tratar o menor
volume possível de dados pessoais, devendo esse volume ser proporcional aos objetivos do negócio;
c) Minimização: Os dados pessoais tratados devem ser limitados ao mínimo necessário para execução das
finalidades de tratamento informadas. Não se deve coletar dados pessoais sem uma finalidade definida;
d) Subsidiariedade: Devem ser cogitados métodos alternativos ou subsidiários que levem em consideração os
direitos dos titulares dos dados para o cumprimento das finalidades de tratamento;
e) Limitação do armazenamento: Os dados pessoais devem ser armazenados por período limitado, sendo que o
período (ou critério) estabelecido deve ser informado ao titular dos dados pessoais antes do tratamento,
excetuando-se hipóteses legais nas quais seja permitido o armazenamento por maior período de tempo.
O período para a guarda dos dados pessoais deve ser definido na tabela de temporalidade;
f) Licitude: O tratamento de dados pessoais somente é permitido e, portanto, está legitimado:
● Com o consentimento do titular dos dados pessoais, conforme item 4.3 deste documento, sendo vedado
o tratamento de dados pessoais mediante vício de consentimento;
● Em caso de cumprimento de obrigação legal ou regulatória pela Algar Telecom;
● Quando o titular dos dados pessoais é parte em contrato ou os seus dados pessoais são
necessários para execução de procedimentos preliminares para se firmar um contrato;
● Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, prezando
sempre pelo pedido de segredo de justiça quando envolver dado pessoal;
● Para a proteção da vida ou da segurança física da pessoa a quem os dados pessoais se
referem;
● Para proteção da saúde, exclusivamente, em procedimento realizado por profissionais de
saúde, serviços de saúde ou autoridade sanitária;
● Por interesse legítimo da Algar Telecom ou de terceiros, sendo obrigatória a confecção de
relatório de impacto à proteção de dados pessoais;
● Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
4.3 - Consentimento
4.3.1 - Quando o tratamento dos dados pessoais se basear no consentimento do titular, este
deve ser dado mediante manifestação de vontade livre de que o titular concorda com o
tratamento de dados pessoais da forma declarada;
4.3.2 - O consentimento pode ser dado de modo escrito, digital ou oral, sendo fundamental
que a Algar Telecom registre e comprove o consentimento do titular (ônus da prova);
4.3.3 - O consentimento para tratamento de dados pessoais sensíveis deve ser possível de
ser coletado de forma específica e destacada, para finalidades específicas;
4.3.4 - O silêncio, opções pré-validadas, generalistas ou a omissão NÃO são consideradas
manifestações de consentimento;
4.3.5 - A gerência de proteção de dados da Algar Telecom deve realizar a gestão do
consentimento nos casos em que o tratamento ocorra na hipótese legal de tratamento o
consentimento do titular;
4.3.6 - Se o consentimento do titular dos dados pessoais for dado no contexto de uma
declaração escrita que diga também respeito a outras finalidades de tratamento, o pedido de
consentimento deve ser apresentado de uma forma que o distinga claramente das demais
finalidades de modo inteligível, destacado, de fácil acesso e em linguagem clara e simples;
4.3.7 - O titular dos dados pessoais deve ser informado previamente sobre o seu direito de
revogar o consentimento a qualquer momento. A revogação do consentimento deve ser oferecida
de maneira simples, clara e facilitada, de preferência pela mesma via de coleta do
consentimento;
4.3.8 - O titular dos dados pessoais deve ser informado previamente das consequências da
revogação do consentimento;
4.3.9 - A revogação do consentimento não compromete a licitude do tratamento já efetuado com
base no consentimento previamente dado e deverá ser realizado por procedimento gratuito e
facilitado.
4.4 - Consentimento de Menores de Idade
4.4.1 - O tratamento de dados pessoais de crianças e adolescentes deve ocorrer somente se o
consentimento for dado por pelo menos um dos pais ou pelo responsável legal;
4.4.2 - A área responsável por este tratamento deve coletar a evidência de cumprimento do
disposto acima para fins de formação de prova.
4.5 - Armazenamento
4.5.1 - O armazenamento dos dados pessoais pode ser feito de modo físico (guarda de crachás,
cartões, fichas, papéis com anotações à mão, formulários, notas fiscais, contratos e outros
documentos em papel, por exemplo) ou digital (em mídias como CD, DVD, Blu-Ray, HD externo,
pendrive, cartão de memória SD, nas plataformas digitais da Algar Telecom ou em serviço contratado
para esta finalidade);
4.5.2 - No caso de armazenamento fora do Brasil, a gerência de proteção de dados deve estar
atenta para o país em que o hardware se localiza e, localizando-se no exterior, deve-se acionar
a área jurídica da Algar Telecom para verificar se há amparo legal e contratual para que os dados
pessoais estejam armazenados esse país;
4.5.3 - Os meios físicos e digitais de armazenamento dos dados pessoais devem assegurar a sua
qualidade, devendo ser mantidos exatos e atualizados, de acordo com a necessidade para o
cumprimento da finalidade de tratamento;
4.5.4 - Quando o titular dos dados pessoais solicitar a correção ou atualização de seus dados
pessoais, o encarregado pelo tratamento de dados pessoais, após análise da requisição, deve
acionar as áreas responsáveis para assegurar que os meios físicos e digitais onde esses dados
pessoais foram replicados e armazenados sejam também atualizados.
4.6 - Uso
4.6.1 - O uso dos dados pessoais deve ser realizado dentro dos limites das finalidades
legitimadas na coleta. Caso haja a necessidade de realizar o tratamento do dado pessoal
para outra finalidade diversa da informada no momento da coleta, é necessário verificar:
a) Qualquer ligação entre a finalidade para a qual os dados pessoais foram coletados e a
finalidade do novo tratamento;
b) O contexto em que os dados pessoais foram tratados (a relação entre o titular dos dados
pessoais e a Algar Telecom);
c) Se o dado coletado está sendo compartilhado com demais agentes de tratamento;
d) A natureza dos dados pessoais (se há dados pessoais sensíveis envolvidos);
e) As consequências do novo tratamento para o titular dos dados pessoais, e
f) A existência de medidas de proteção adequada, como anonimização.
4.6.2 - Essas informações devem ser encaminhadas ao encarregado pelo tratamento de dados
pessoais (DPO) para que este defina se o novo tratamento já está ou não legitimado, e, caso
não esteja, deve propor as estratégias de como este tratamento pode ser legitimado antes de
ser realizado;
4.6.3 - O titular dos dados pessoais deve ser informado sobre o novo tratamento antes de ser
realizado;
4.6.4 - O legítimo interesse deve ser previamente analisado pelo encarregado pelo tratamento
de dados pessoais conforme procedimento específico.
4.7 - Compartilhamento
4.7.1 - O compartilhamento de dados pessoais ou de documentos/arquivos com dados pessoais em território
nacional pode ser feito para agentes de tratamento autorizados, com as medidas de segurança indicadas
pela área de gestão de segurança da informação a partir do relatório de impacto à proteção de dados
pessoais (DPIA/RIPD), quando o caso e somente para as finalidades de uso ou tratamento prévia e
devidamente informadas e legitimadas junto ao titular dos dados pessoais;
4.7.2 - O compartilhamento de dados pessoais com demais agentes de tratamento, excetuando-se o compartilhamento
realizado para cumprimento de obrigações legais, somente poderá ocorrer caso estes tenham firmado contrato com
cláusulas referentes à proteção de dados pessoais, conforme disposto no item 4.21 deste documento;
4.7.3 - No caso de impossibilidade de celebração de contrato ou aditivo com a parte em questão, um relatório de
impacto à proteção dos dados pessoais (DPIA/RIPD) deve ser elaborado e a partir deste relatório devem ser
adotados controles mitigatórios em relação à segurança e proteção do tratamento dos dados pessoais;
4.7.4 - O compartilhamento de dados pessoais cujo tratamento tenha como hipótese legal o consentimento somente
poderá ocorrer com o consentimento do titular dos dados pessoais, com ciência deste compartilhamento, sendo que
este deve ser coletado anteriormente ao início do tratamento dos dados pessoais;
4.7.5 - Os dados pessoais anonimizados podem ser transferidos para terceiros, desde que respeitados os
requisitos de tratamento disposto na legislação aplicável e no presente documento;
4.7.6 - O compartilhamento de dados pessoais deve ocorrer somente por canais com medidas de segurança aplicadas.
4.8 - Transferência internacional de dados pessoais
4.8.1 - Caso os dados pessoais tenham a previsão de serem transferidos para outro país,
a possibilidade de compartilhamento com outro controlador deverá ser submetida à análise
do encarregado pelo tratamento de dados pessoais (DPO), pela área de gestão de segurança da
informação e a área jurídica, de modo que possam avaliar se o país de destino possui grau de
proteção de dados que esteja adequado ao ordenamento jurídico brasileiro;
4.8.2 - Se o controlador receptor oferecer e comprovar garantias de cumprimento dos direitos
do titular, a transferência internacional de dados também poderá ser possível na forma de
(i) cláusulas contratuais específicas para determinada transferência;
(ii) cláusulas-padrão contratuais;
(iii) normas corporativas globais; e
(iv) selos, certificados e códigos de conduta emitidos pela Autoridade Nacional de Proteção
de Dados;
4.8.3 - A transferência internacional de dados pessoais também pode ocorrer a partir das
finalidades elencadas abaixo:
a) Quando a transferência for necessária para a proteção da vida do titular ou de terceiros;
b) Quando a Autoridade Nacional autorizar a transferência;
c) Quando a transferência resultar em compromisso assumido em acordo de cooperação
internacional;
d) Quando o titular tiver fornecido o seu consentimento específico e em destaque para a
transferência, com informação prévia sobre o caráter internacional da operação, distinguindo
claramente está de outras finalidades;
e) Para cumprimento de obrigação legal ou regulatória pela Algar Telecom;
f) Quando necessária para execução de contrato e procedimentos preliminares relacionados a
contrato do qual seja parte o titular, a pedido do titular dos dados.
4.9 - Eliminação dos dados pessoais
4.9.1 - Os dados pessoais devem ser armazenados por período limitado, levando em consideração
a finalidade específica do tratamento;
4.9.2 - Após cumprida a finalidade do tratamento e findo o prazo de armazenamento determinado
pela tabela de temporalidade, os dados podem ser eliminados de modo seguro, sejam eles
registrados em meios físicos ou digitais;
4.9.3 - A eliminação dos dados pessoais poderá ser realizada também a pedido do titular do
dado ou da Autoridade Nacional de Proteção de Dados;
4.9.4 - Para a eliminação dos dados devem ser seguidas as definições indicadas no procedimento
de eliminação de dados seguro;
4.9.5 - A conservação dos dados pessoais após atingida sua finalidade só será possível nos
caso de cumprimento de obrigação legal ou regulatória por parte da Algar Telecom;
4.9.6 - A solicitação de eliminação do dado pessoal pelo titular não será possível quando o
dado já tiver sido anonimizado;
4.9.7 - A solicitação também não poderá ser realizada no caso de cumprimento de obrigação legal quanto ao
armazenamento destes dados para fins regulatórios, desde que respeitada a tabela de
temporalidade.
4.10 - Relatório de impacto à proteção de dados pessoais (DPIA/RIPD).
4.10.1 - O relatório de impacto à proteção de dados pessoais visa a descrição dos processos de
tratamento de dados pessoais e as medidas e mecanismos empregados para mitigação de riscos pela
Algar Telecom;
4.10.2 - Todo tratamento de dados pessoais tendo como hipótese legal o legítimo interesse deve
ser precedido de relatório de impacto à proteção de dados pessoais;
4.10.3 - O relatório de impacto à proteção de dados pessoais deve ser elaborado pelo encarregado
pelo tratamento de dados pessoais, com o envolvimento das áreas necessárias para entendimento
da elaboração deste relatório, conforme procedimento específico e deve conter no mínimo:
a) Descrição das operações de tratamento que podem gerar riscos às liberdades civis e os
direitos fundamentais dos titulares dos dados;
b) Finalidade das operações de tratamento de dados pessoais;
c) Categorias de dados pessoais coletados;
d) Existência ou não da coleta de dados pessoais sensíveis;
e) Categorias de titulares dos dados pessoais;
f) Fontes e origens dos dados pessoais;
g) Finalidade de tratamento por categoria de dado pessoal;
h) Hipótese legal de tratamento;
i) Sendo a base legal o consentimento do titular dos dados pessoais, especificar forma de
obtenção, armazenamento e meios de retirada do consentimento;
j) Presença de tratamento de dados pessoais baseada no legítimo interesse. Havendo legítimo
interesse envolvido, definir:
● Finalidade a ser atingida com o tratamento dos dados pessoais; Legitimidade da finalidade a
ser alcançada;
● Situação concreta;
● Coleta do mínimo e estritamente necessário para alcance da finalidade pretendida;
● Existência de outras bases legais que não sejam o legítimo interesse para tratamento dos
dados pessoais;
● Compatibilidade do tratamento com a expectativa do titular dos dados pessoais;
Compatibilidade do tratamento com direitos e liberdades fundamentais do titular dos dados
pessoais;
● Garantia de transparência do tratamento realizado;
● Mecanismos de oposição ao tratamento de dados pessoais disponíveis ao titular dos dados
pessoais;
● Medidas de mitigação de risco aplicáveis, por exemplo, anonimização dos dados pessoais a
depender da finalidade a ser alcançada.
k) Descrição e avaliação de risco aos titulares dos dados pessoais, estabelecendo:
● Descrição detalhada do risco;
● Fundamentação legal;
● Grau do risco (alto, médio e baixo);
● Probabilidade do risco se materializar.
l) Medidas existentes para endereçar os riscos envolvidos no tratamento dos dados pessoais,
incluindo:
● Ações de mitigação;
● Medidas de segurança da informação aplicáveis;
● Grau do risco após a implementação das ações de mitigação e medidas de segurança da
informação aplicáveis.
m) Projetos e/ou funções de negócio nos quais o referido tratamento de dados pessoais está
inserido;
n) Período de armazenamento e retenção dos dados pessoais;
o) Medidas para adequar o tratamento às legislações existentes de tratamento de dados pessoais.
4.11 - Diretrizes de resposta à solicitações e requisições
4.11.1 - Resposta à requisição do titular dos dados pessoais
4.11.1.1 - Os procedimentos de resposta às requisições dos titulares dos dados pessoais serão
regidos pelo procedimento de resposta à requisição do titular dos dados pessoais,
disponível na biblioteca de documentos da Algar Telecom (https://book.algarnet.com.br);
4.11.1.2 - Todos os associados, credenciadas ou prestadores de serviço têm o dever de
notificar o encarregado pelo tratamento de dados pessoais, sem demora injustificada,
sobre qualquer requisição recebida do titular dos dados pessoais, antes de responder a
requisição, buscando, sempre que possível, orientações acerca de melhores práticas na
comunicação a ser estabelecida com o titular dos dados pessoais;
4.11.1.3 - Em casos de dúvida e situações específicas, o associado, credenciada ou prestador
de serviço deve encaminhar a requisição ao encarregado pelo tratamento de dados pessoais,
para que este responda da forma mais adequada perante à legislação específica aplicável e
às boas práticas estipuladas internamente ou observadas no mercado.
4.12 - Acesso aos dados pessoais pelo titular dos dados pessoais
4.12.1 - O titular dos dados pessoais pode requerer a qualquer momento acesso aos seus
dados pessoais, devendo o associado, credenciada ou prestador de serviço da área responsável
pelo tratamento assegurar que a identidade do titular dos dados pessoais seja comprovada
conforme procedimento de resposta à requisição do titular dos dados pessoais;
4.12.2 - A requisição e posterior acesso aos dados pessoais deve ocorrer, preferencialmente,
de modo eletrônico, exceto quando o titular dos dados pessoais expressamente requerer o envio
dos dados pessoais de modo físico ou divulgação de modo oral.
Podem ser utilizados recursos visuais para tornar as informações ainda mais inteligíveis e de
fácil compreensão.
4.13 - Eliminação e/ou bloqueio de tratamento dos dados pessoais por requisição do titular dos dados pessoais
4.13.1 - O titular dos dados pessoais pode requerer a qualquer momento a eliminação e/ou bloqueio do tratamento
de seus dados pessoais, devendo o associado, credenciada ou prestador de serviço da área responsável pelo
tratamento encaminhar a requisição de eliminação/bloqueio ao encarregado pelo tratamento de dados pessoais
para que possam ser adotadas as medidas necessárias conforme indicado no procedimento de resposta à requisição
do titular dos dados pessoais;
4.13.2 - Na impossibilidade da eliminação, o titular deve ser informado sobre esta decisão, explicando os motivos
pelos quais estes dados pessoais não poderão ser apagados;
4.13.3 - A área de infraestrutura de TI deve estabelecer mecanismos quando da restauração de dados pessoais que
impeçam que sejam restauradas ao ambiente lógico os dados pessoais de titular que tenha solicitado sua eliminação.
4.14 - Resposta a autoridade fiscalizadora
4.14.1 - Os associados, credenciadas ou prestadores de serviço têm o dever de notificar o encarregado pelo tratamento de dados pessoais e a área jurídica da Algar Telecom, sem demora injustificada, e antes de responder à Autoridade, sobre qualquer ordem ou requisição relativa à privacidade e proteção de dados pessoais recebida de autoridade fiscalizadora.
4.15 - Resposta à autoridade judicial
4.15.1 - Os associados, credenciadas ou prestadores de serviço têm o dever de notificar
imediatamente o encarregado pelo tratamento de dados pessoais e a área jurídica da Algar
Telecom sobre qualquer ordem ou determinação de autoridade judicial relativa a dados pessoais
de que tome conhecimento;
4.15.2 - Quando requisitado por meio de ordem judicial, caberá à área jurídica fornecer
quaisquer esclarecimentos e entregar as informações demandadas pela Autoridade, sem demora
injustificada, podendo requisitar o apoio do encarregado pelo tratamento de dados pessoais
caso entenda como necessário;
4.15.3 - Caso se faça necessário o acesso a dados pessoais e informações com acesso restrito
ou moderado, caberá à área jurídica acionar o encarregado pelo tratamento de dados pessoais
e as áreas responsáveis para que estas forneçam acesso temporário (seguindo as diretrizes
estabelecidas pelas políticas de segurança da informação), possibilitado assim o cumprimento
de ordem judicial de forma tempestiva;
4.15.4 - Quando a autoridade determinar a necessidade de prestação de esclarecimentos, caberá
à área jurídica da Algar Telecom buscar informações e esclarecimentos junto ao encarregado
pelo tratamento de dados pessoais e com os associados, credenciadas ou prestadores de serviço
que tenham envolvimento no fluxo de dados pessoais, de forma a compilar o máximo de informações
pertinentes para estruturar uma resposta adequada e concisa.
4.16 - Violação de dados pessoais
4.16.1 - Os procedimentos relativos às violações de dados pessoais são regidos pelo
procedimento de resposta a incidentes, disponível na biblioteca de documentos da Algar Telecom
(https://book.algarnet.com.br);
4.16.2 - A área de gestão de segurança da informação deve implementar controles técnicos
apropriados de modo a capacitar a Algar Telecom quanto à possíveis violações de dados
pessoais em seus ambientes lógicos, possibilitando reportar estas em tempo hábil à autoridade
fiscalizadora;
4.16.3 - Os associados, credenciadas ou prestadores de serviço têm o dever de notificar a
área de gestão de segurança da informação, sem demora injustificada, acerca de qualquer
violação ou tentativa de violação de dados pessoais da qual tenham conhecimento;
4.16.4 - Os associados, credenciadas ou prestadores de serviço devem, na medida de suas
possibilidades, cooperar para a investigação e mitigação de incidentes de violação de dados
pessoais;
4.16.5 - Todos os procedimentos realizados nesta seção devem ser documentados pelas partes
envolvidas, sob a supervisão do encarregado pelo tratamento de dados pessoais.
4.17 - Segurança da Informação
4.17.1 - Durante todo ciclo de vida do dado pessoal devem ser observadas as diretrizes de
segurança existentes na Política de Segurança da Informação e Política - Privacidade de Dados
da Algar Telecom disponíveis na biblioteca de documentos da Algar Telecom e portal Algar
Telecom na internet;
4.17.2 - A área de gestão de segurança da informação deve assegurar a confidencialidade,
integridade e disponibilidade do dado pessoal em todos os meios de armazenamento e transmissão
de dados pessoais, considerando:
a) Controles técnicos de segurança envolvidos, como, mas não se limitando:
● Firewall;
● Criptografia;
● Uso de VPN para acesso aos dados fora das dependências da Algar Telecom;
● Controles de acesso físico e lógico;
● Autenticação em dois fatores;
● Armazenamento seguro de documentos físicos;
● Gerenciadores de senha.
b) Assegurar que somente pessoas e agentes de tratamento autorizados tenham acesso aos dados pessoais em
observância à necessidade e relevância da concessão do acesso;
c) Adoção de medidas de segurança da informação para assegurar que os dados pessoais se mantenham íntegros sem
alterações indevidas, exatos, completos e atualizados;
d) Garantia de que os dados pessoais sejam acessíveis e utilizáveis pelas pessoas e entidades autorizadas sempre
que sejam necessários;
e) Registro de logs e trilhas de auditoria do ciclo de vida do dado pessoal;
f) Criptografia, pseudonimização e anonimização dos dados pessoais quando for o caso;
g) Treinamento em proteção de dados pessoais e supervisão da adoção das práticas ensinadas.
4.18 - Dados pessoais sensíveis
4.18.1 - O tratamento de dados pessoais sensíveis deve ser precedido de relatório de impacto à proteção de
dados pessoais (DPIA/RIPD);
4.18.2 - O tratamento de dados pessoais sensíveis poderá ocorrer com o consentimento dado pelo titular,
realizado de forma específica e destacada, para finalidades específicas;
4.18.3 - O tratamento de dados pessoais sensíveis poderá ocorrer sem o consentimento do titular dos dados
pessoais, quando for indispensável o tratamento, nas seguintes hipóteses:
● Cumprimento de obrigação legal ou regulatória pela Algar Telecom;
● Tratamento compartilhado de dados pessoais pela administração pública, necessários para
execução de políticas públicas previstas em leis ou regulamentos;
● Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e
arbitral;
● Proteção da vida ou da incolumidade física do titular ou terceiro;
● Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde,
serviços de saúde ou autoridade sanitária;
● Garantia de prevenção à fraude e segurança do titular, nos processos de identificação e
autenticação de cadastro em sistemas eletrônicos (hipótese de legitimação exclusiva da
lei de proteção de dados pessoais brasileira, aplicável, portanto, somente no território nacional).
4.19 - Dados de Saúde
4.19.1 - Os dados de saúde poderão ser compartilhados entre controladores levando em consideração o
benefício dos interesses dos titulares e se for realizado, exclusivamente, para:
● Prestação de serviços de saúde;
● Assistência farmacêutica;
● Assistência à saúde;
● Serviços auxiliares para diagnóstico;
● Serviços de terapia.
4.19.2 - O tratamento de dados de saúde deverá obrigatoriamente permitir ao titular o direito à portabilidade
dos seus dados, quando solicitado ou as transações financeiras e administrativas resultantes do uso e da
prestação dos serviços.
4.20 - Decisões automatizadas
4.20.1 - As áreas da Algar Telecom, por meio dos pontos focais da LGPD, devem listar os
processos sob sua responsabilidade que envolvem decisões automatizadas baseadas no tratamento
de dados pessoais;
4.20.2 - Toda decisão automatizada que envolva o tratamento de dados pessoais deve ter
formalizada informações claras e adequadas, disponíveis aos titulares dos dados pessoais,
quanto aos:
● Critérios utilizados para tomada de decisão automatizada;
● Procedimentos utilizados para tomada de decisão automatiza;
● Direitos do titular para solicitar a revisão de tomada de decisão baseada em tratamento
automatizado dos dados pessoais, tendo o acesso aos critérios e procedimentos, não sendo
exigido que esta revisão seja por pessoa natural.
4.21 - Contratos
4.21.1 - A Algar Telecom na figura de controladora, sempre que fizer uso de operador, deve
estabelecer contrato formal tendo em vista as regulamentações relacionadas à privacidade e
proteção de dados pessoais vigentes no país onde ocorrerá o tratamento dos dados pessoais;
4.21.2 - A Algar Telecom na figura de controladora, deve assegurar que todos os contratos
que envolvam serviços e/ou sistemas nos quais haja tratamento e/ou armazenamento de dados
pessoais por operador contenham, no mínimo, os seguintes itens:
b) Obrigatoriedade legal de atuar respeitando legislação vigente no local de tratamento
e/ou armazenamento dos dados pessoais, em especial a Lei 13.709
(“Lei Geral de Proteção de Dados Pessoais”).
c) Diretrizes de tratamento:
● Assunto do tratamento;
● Duração do tratamento;
● Natureza e propósito do tratamento;
● Tipos de dados pessoais envolvidos;
● Categorias de dados pessoais envolvidos;
● Forma de coleta dos dados pessoais;
● Forma de armazenamento dos dados pessoais;
● Qualquer tipo de tratamento fora do especificado acima será considerado descumprimento do
contrato.
d) Procedimentos a serem tomados no caso de requisições de titulares dos dados pessoais;
e) Obrigatoriedade acerca de manutenção de confidencialidade dos dados pessoais;
f) Adoção de medidas de segurança técnicas e organizacionais para garantir a confidencialidade,
integridade e disponibilidade dos dados pessoais que passam por tratamento;
g) Adoção de medidas de anonimização, pseudonimização (quando aplicável) e criptografia dos
dados pessoais conforme a necessidade do tratamento em questão;
h) Obrigatoriedade de registro das operações de tratamento de dados pessoais, conforme serviço
ou contrato em questão. A exemplo de registro de tratamento de dados pessoais, devem ser
armazenados, quando possível, no mínimo, as seguintes informações:
● Ação realizada;
● Identificação de usuários do sistema;
● Dados de IP no momento da ação;
● Data/hora da ação, com referência UTC (Universal Time Coordinated), sendo que os relógios
de seus sistemas estão sincronizados com a hora legal brasileira e de acordo com o protocolo
NTP (ntp.br) de sincronização dos relógios; e,
● Identificador de sessão da conexão utilizada, quando possível.
i) Adoção de medidas técnicas e organizacionais contra destruição, acidental ou ilícita,
perda, alteração indevida, comunicação ou difusão não autorizada, acesso não autorizado em
relação aos dados pessoais que passam por tratamento;
j) Necessidade de autorização da Algar Telecom quanto à subcontratação de operadores;
k) Envio de relatórios sobre o monitoramento do tratamento de dados pessoais, a incluir,
mas não limitado, as seguintes informações:
l) O status dos sistemas de tratamento de dados pessoais;
m) As medidas de segurança;
n) O tempo de inatividade registrado das medidas técnicas de segurança;
o) A não conformidade estabelecida com as medidas organizacionais;
p) Quaisquer eventuais violações de dados pessoais e/ou incidentes de segurança;
q) As ameaças percebidas à segurança e aos dados pessoais; e,
r) As melhorias exigidas e/ou recomendadas.
s) Notificação a Algar Telecom em até 24 horas corridas sobre:
● Qualquer não cumprimento (ainda que suspeito) das disposições legais relativas à proteção
de dados pessoais;
● Qualquer descumprimento das obrigações contratuais relativas ao tratamento dos dados
pessoais;
● Qualquer violação de segurança na contratada ou dos demais operadores;
● Quaisquer exposições ou ameaças em relação à conformidade com a proteção de dados
pessoais.
t) Fornecer informações relevantes disponíveis e qualquer outra assistência para documentar
e eliminar a causa e os riscos impostos por quaisquer violações de segurança;
u) Definição clara quanto à propriedade dos dados pessoais;
v) Autorização da Algar Telecom quanto à tratamento de dados pessoais no exterior;
w) Devolução dos dados pessoais, em até 30 dias corridos, no caso de:
● Solicitação da Algar Telecom;
● Rescisão do contrato;
● Término do Contrato;
● Direito de regresso diante de eventuais danos causados pela contratada em decorrência de
descumprimento de contrato.
4.22 - Medidas disciplinares aplicáveis
4.22.1 - Qualquer associado (executivo e não executivo) que violar ou descumprir qualquer item desta
política estará sujeito a sanções e penalidades previstas na Política - Gestão de Consequências
do grupo Algar disponível para consulta na intranet
Algar Holding>Políticas e Diretrizes>Talentos Humanos;
4.22.2 - Prestadores de serviço que por ventura venham violar ou descumprir qualquer item
desta política estará sujeito a sanções e penalidades previstas em contrato.
4.23 - Disposições Finais
4.23.1 - O presente documento deve ser lido e interpretado sob a égide das leis locais,
no idioma português, em conjunto com as normas e procedimentos aplicáveis pela companhia;
4.23.2 - Esta política e seus documentos complementares devem ser interpretados de forma
restritiva, ou seja, as atividades que não estão tratadas nos normativos só devem ser
realizadas após prévia e formal autorização do gestor do associado/gestor do contrato no
caso de fornecedores e parceiros;
4.23.3 - Esta política bem como as demais normas e procedimentos da companhia encontram-se
disponíveis na biblioteca de documentos da Algar Telecom
( https://book.algarnet.com.br);
4.23.4 - Os documentos classificados como públicos também estarão disponíveis no portal da
Algar Telecom na internet.
5 - HISTÓRICO DE ALTERAÇÕES
| VERSÃO | APROVADOR | REGISTRO DE APROVAÇÃO | ALTERAÇÕES |
|---|---|---|---|
| 01 | Luís Antônio Andrade Lima; Tulio Abi Saber; Jean Carlos Borges | RGD-134 | Publicação Inicial. |
| 02 | Luís Antônio Andrade; Lima Tulio Abi Saber; Jean Carlos Borges | RGD-189 | Inclusão do item 4.23.2 conforme orientação do CAGR. |
nos diga aqui em qual cidade você está.