Política de Privacidade
INTRODUÇÃO
O PORTAL BARTENDER STORE LTDA ME. (BARTENDER STORE), entende que o tratamento dos dados pessoais, inclusive nos meios digitais, deve ser protegido com base nos direitos fundamentais de liberdade e de privacidade, conforme disposto na Lei N° 13.709, de agosto de 2018 Lei Geral de Proteção de Dados Pessoais LGPD.
Através desta política, mas não limitado ao documento, a BARTENDER STORE estabelece as diretrizes relacionadas a privacidade e proteção de dados pessoais no ambiente da Companhia.
OBJETIVO
Através desta política, a BARTENDER STORE objetiva estabelecer os princípios, conceitos e diretrizes relativos à privacidade e proteção de dados pessoais no ambiente da BARTENDER STORE, independente do meio ou país de localização dos dados.
ESCOPO
A política de privacidade e proteção de dados pessoais se aplica a todos os dados pessoais coletados no território nacional (Brasil), cujo titular nele se encontre no momento da coleta.
Vale ressaltar que a LGPD não se aplica ao tratamento de dados pessoais realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividade de investigação e repressão de infrações penais. Entretanto, o tratamento de dados para os fins destacados deve se ater a legislação específica, contendo medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observado o devido processo legal, os princípios gerais de proteção e os direitos do titular previsto na LGPD, sob a tutela de pessoa jurídica de direito público.
Adicionalmente a LGPD não se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos.
FUNDAMENTOS E PRINCÍPIOS
A Lei Geral de Proteção de Dados Pessoais, tem como fundamentos:
O respeito à privacidade;
A autodeterminação informativa;
A liberdade de expressão, de informação, de comunicação e de opinião;
A inviolabilidade da intimidade, da honra e da imagem;
O desenvolvimento econômico e tecnológico e a inovação;
A livre iniciativa, a livre concorrência e a defesa do consumidor; e
Os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.
As atividades de tratamento de dados pessoais devem observar a boa-fé e os seguintes princípios:
Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Desta forma, as ações, mecanismos de controles, procedimentos e instruções da BARTENDER STORE são baseados nos fundamentos e princípios indicados pela Lei.
CONCEITOS
Pessoa Natural: Ser humano vivo, capaz de direitos e obrigações na esfera civil;
Pessoa Jurídica: Entidade de personalidade jurídica;
Compliance: Estar de acordo com as regras, normas e aderentes a frameworks;
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
Pseudonimização: Tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Agentes de tratamento: o controlador e operador;
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
DIRETRIZES
As diretrizes indicadas nesta política, são de conhecimento e aceite de todos os colaboradores pertencentes ao escopo e aplicabilidade deste normativo. O aceite sobre as diretrizes indicadas na política de tratamento de dados pessoais dar-se-á pelo aceite formal através da assinatura sobre a ciência e observância dos aspectos mencionados na política de tratamento de dados pessoais.
Os colaboradores da BARTENDER STORE se comprometem com o sigilo profissional para além do contrato de trabalho, assim como o acesso aos dados pessoais é restrito ao necessário.
Requisitos para o tratamento de dados pessoais
O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
Mediante o fornecimento de consentimento pelo titular;
Para o cumprimento de obrigação legal ou regulatória pelo controlador;
Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Nota-se que o tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.
O tratamento de dados pessoais deve ser realizado somente para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
Apoio e promoção de atividades do controlador; e
Proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.
Adicionalmente, quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados e o processo deve ser submetido à avaliação de riscos pelo DPO da BARTENDER STORE.
Quando os dados forem tratados, por parceiros, como fornecedores, prestadores de serviços etc. a BARTENDER STORE deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.
Atividade de Tratamento de dados
As atividades descritas a seguir são consideradas como tratamento de dados:
Coleta: Obtenção de dados através de procedimentos manuais ou automatizados. Exemplo: Preenchimento de fichas de cadastro e seleção.
Produção: Conjunto de dados processados que gera um dado adicional, ainda relacionado ao titular. Exemplo: Número de matrícula do colaborador nos registros da BARTENDER STORE.
Recepção: Recebimento de dados, por qualquer meio, realizado pelo operador ou controlador. Exemplo: Lista de profissionais, contendo os dados pessoais, da equipe prestadora de serviços terceiros.
Classificação: Organizar os dados para o operador ou o controlador. Exemplo: Relação de colaboradores por ordem alfabética.
Utilização: Fazer uso dos dados pessoais. Exemplo: Preenchimento do contrato ou formulário para adesão de benefícios.
Acesso: Meio pelo qual se dá o acesso aos dados pessoais. Exemplo: Acesso ao prontuário de arquivo dos colaboradores da BARTENDER STORE ou ao diretório eletrônico contendo os dados dos colaboradores.
Reprodução: Copiar os dados pessoais. Exemplo: Obter cópia dos documentos dos colaboradores para Admissão.
Transmissão: Envio de informações através de qualquer meio. Exemplo: Envio de informações dos colaboradores ao banco para abertura de contas bancárias.
Distribuição: Entrega, para um ou mais destinatários, de dados ou conjunto de dados pessoais, independente do meio. Exemplo: Lista contendo o cadastro de colaboradores ativos na BARTENDER STORE, disponibilizada para equipes de auditoria.
Processamento: Qualquer forma de utilização do dado. Exemplo: Análise sobre o perfil de colaboradores da BARTENDER STORE.
Encriptação: Processo de transformar uma informação de um formato de representação original, para outra forma de representação, de modo a impossibilitar a sua leitura. Exemplo: Mensagem João > Encriptado LKOUS > Desencriptado João.
Armazenamento: Salvaguarda dos dados, em local físico ou eletrônico. Exemplo: Arquivos armazenados nos armários ou diretórios físicos e Documentos armazenados em servidores locais ou remotos.
Eliminação: Destruição do dado, inclusive de backups, nota-se que o procedimento de eliminação pode ser solicitado pelo titular. Exemplo: Triturar formulários.
Finalidade do tratamento de dados
A BARTENDER STORE realiza o tratamento de dados pessoais para o cumprimento de suas obrigações, legais e contratuais, principais ou acessórias, incluídas as atividades administrativas e regulamentares, decorrentes do exercício de suas atividades.
Tratamento de dados pessoais
As operações realizadas com dados pessoais pela BARTENDER STORE incluem:
Procedimentos relacionados à contratação de empregados e prestadores de serviços, assim como as rotinas relacionadas à cobrança e adimplemento das respectivas obrigações;
Identificação de clientes e fornecedores, considerando os respectivos representantes em relações contratuais ou de procedimentos preliminares relacionados a contrato;
Atendimento e demonstração ao cumprimento de obrigações legais ou regulatórias perante entidades públicas, em especial à autoridades sanitárias, ambientais, trabalhistas e fiscais;
Realização de atendimento, triagem, resolução e resposta aos questionamentos e solicitações de clientes concretos ou em potencial;
Processamento de compras, devolução e troca de produtos, entregas, programas de fidelidade, emissão de nota fiscal, entre outros;
Procedimentos relacionados a segurança física e lógica dos ambientes das lojas e ponto de atendimento, bem como ações de prevenção à fraude;
Oferecer uma melhor experiência de consumo, divulgando ações promocionais nas lojas físicas e virtual, apurando informações estatísticas e de padrão comportamental, de forma transparente, preservando a privacidade dos dados pessoais em atendimento aos requisitos da LGPD e respeitando os direitos dos titulares;
Para a execução dessas atribuições, a BARTENDER STORE pode compartilhar os dados com parceiros de negócio terceiros, homologados para esse fim, adotando as devidas medidas físicas, técnicas e organizacionais referente à privacidade e proteção de dados pessoais.
Tratamento de dados pessoais sensíveis
O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
Quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
Sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
Cumprimento de obrigação legal ou regulatória pelo controlador;
Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
Proteção da vida ou da incolumidade física do titular ou de terceiro;
Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Nota-se que a comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com objetivo de obter vantagem econômica poderá ser objeto de vedação ou de regulamentação por parte da autoridade nacional, ouvidos os órgãos setoriais do Poder Público, no âmbito de suas competências.
É vedada a comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, exceto nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, incluídos os serviços auxiliares de diagnose e terapia, em benefício dos interesses dos titulares de dados, e para permitir:
A portabilidade de dados quando solicitada pelo titular; ou
As transações financeiras e administrativas resultantes do uso e da prestação dos serviços de que trata este parágrafo.
Vale ressaltar que os dados anonimizados não são considerados dados pessoais para os fins da LGPD, salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido. Nota-se que a determinação do que seja razoável deve levar em consideração fatores objetivos, tais como custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização exclusiva de meios próprios.
São igualmente considerados como dados pessoais, para os fins da LGPD, aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada.
Consentimento
O consentimento para os dados tornados manifestamente públicos pelo titular é dispensado, resguardados os direitos do titular e os princípios previstos na Lei. O tratamento posterior dos dados pessoais cujo acesso é público, poderá ser realizado para novas finalidades, desde que observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos direitos do titular, assim como os fundamentos e os princípios previstos.
Para o compartilhamento ou a comunicação de dados, o controlador deve especificar ao titular e obter o consentimento específico para fim ao que se destina.
Se o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular deve ser informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os seus direitos do titular.
Nota-se que a eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas na LGPD, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.
O consentimento sobre o tratamento de dados deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular, contendo cláusula destacada das demais cláusulas contratuais considerando os aspectos de transparência, de forma clara e inequívoca.
Nota-se que é vedado o tratamento de dados pessoais mediante vício de consentimento.
Desta forma, o consentimento deverá referir-se à finalidade determinada, e as autorizações genéricas para o tratamento de dados pessoais serão nulas.
Adicionalmente, o consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação.
Em caso de alteração de informação referida no termo de consentimento ou mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original assinado pelo titular, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, com destaque de forma específica do teor das alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.
Nota-se que o titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso, como:
Finalidade específica do tratamento;
Forma e duração do tratamento, observados os segredos comercial e industrial;
Identificação do controlador;
Informações de contato do controlador;
Informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
Responsabilidades dos agentes que realizarão o tratamento; e
Direitos do titular, com menção explícita aos direitos contidos na Lei.
Término do tratamento de dados
O término do tratamento de dados pessoais ocorre nas seguintes hipóteses:
Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
Fim do período de tratamento;
Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento;
Determinação da autoridade nacional, quando houver violação ao disposto na Lei.
Os dados pessoais devem ser eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
Cumprimento de obrigação legal ou regulatória pelo controlador;
Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou
Uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Direito dos titulares
A BARTENDER STORE assegura a titularidade de seus dados pessoais garantindo os direitos fundamentais de liberdade, de intimidade e de privacidade. Desta forma, toda e qualquer observação sobre estes aspectos deve ser reportada imediatamente ao Encarregado de tratamento de dados, através do e-mail privacidade@bartenderstore.com.br
Vale ressaltar que os titulares têm o direito de obter a qualquer momento e mediante a requisição solicitada ao Encarregado de tratamento de dados do BARTENDER STORE:
Confirmação da existência de tratamento;
Acesso aos dados, armazenados de forma que favoreça o exercício do acesso. Adicionalmente, se o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar a cópia eletrônica e a integração de seus dados pessoais, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento;
Correção de dados incompletos, inexatos ou desatualizados;
Solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem os interesses do titular, incluídas as decisões destinadas a definir o perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; nota-se que não são incluídos na portabilidade dados que já tenham sido anonimizados pelo controlador;
Eliminação dos dados pessoais tratados com o consentimento do titular;
Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
Revogação do consentimento;
Direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional, podendo ser exercido perante os organismos de defesa do consumidor;
Opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento;
Nota-se que os direitos serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, ao agente de tratamento.
Em caso de impossibilidade de adoção imediata da providência de que trata, o controlador enviará ao titular a resposta em que poderá:
Comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou
Indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
Adicionalmente, os requerimentos serão atendidos pela BARTENDER STORE, sem custos ao titular e as confirmações serão providenciadas, em formato simplificado, imediatamente ou por meio de declaração clara e completa, contendo a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, fornecida no prazo de 15 (quinze) dias, contados a partir da data do requerimento do titular. As informações e os dados poderão ser fornecidos por meio eletrônico, seguro e idôneo para esse fim ou sob forma impressa.
A BARTENDER STORE, informará, imediatamente, aos agentes de tratamento com os quais realizou uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio de dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.
Sempre que solicitado, a BARTENDER STORE fornecerá, informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a tomada de decisão automatizada.
Vale ressaltar que os dados pessoais referente ao exercício regular de direitos pelo titular não podem ser utilizados em seus prejuízos.
Transferência de dados
A informação pessoal pode ser transferida, arquivada ou tratada num país diferente daquele onde foi recolhida e de origem dos titulares dos dados, nos seguintes casos:
Quando os países ou organismos internacionais propiciem grau de proteção de dados pessoais adequados, previsto na Lei;
Quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção, através de cláusulas contratuais específicas para a transferência; cláusulas-padrões; normas corporativas, selos, certificados e códigos de conduta, a ser avaliado pela autoridade nacional.
Quando a transferência for necessária para cooperação jurídica e proteção à vida;
Quando a transferência dor necessária para a execução de política pública ou atribuição legal do serviço público;
Quando o titular tiver fornecido o seu consentimento específico para a transferência;
Nesses casos a transferência de dados deve ser feita de acordo com os requisitos da LGPD (Lei Geral de Proteção de Dados). Quando a transferência dos dados pessoais for efetuada para um país fora do Brasil, serão sempre previstas garantias adequadas pelo recurso a regras vinculativas e com força legal, como cláusulas próximas as aprovadas pela legislação brasileira. Quando a transferência for efetuada para outras empresas do Grupo, é sempre efetuada com base na política de privacidade do grupo e no caso de existirem, com base nas regras Corporativas, vinculativas para responsáveis pelo tratamento de dados e subcontratantes.
Agentes de tratamento
A BARTENDER STORE mantém o registro das operações de tratamento de dados pessoais realizadas e elabora periodicamente o relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados.
O encarregado pelo tratamento de dados pessoais da BARTENDER STORE deverá ser divulgado publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico da BARTENDER STORE.
O encarregado deve:
Aceitar reclamações dos titulares, prestar esclarecimentos e adotar providências;
Receber comunicações da autoridade nacional e adotar providências;
Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
Executar as demais atribuições determinadas pelo controlador ou estabelecidos em normas complementares.
Adicionalmente, os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação em relação aos dados pessoais, mesmo após o seu término.
O controlador, comunicará à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares. Nota-se que a comunicação deve ser feita em prazo razoável e mencionar no mínimo:
A descrição da natureza dos dados pessoais afetados;
As informações sobre os titulares envolvidos;
A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
Os riscos relacionados ao incidente;
Os motivos da demora, no caso de comunicação não ter sido imediata; e
As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Segurança e sigilo dos dados
A BARTENDER STORE adota medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme indicado na Política de segurança da informação.
Nota-se que os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender os requisites de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na Lei.
Responsabilidade
Todos os colaboradores, ou profissionais que excutam suas atividades em nome ou em benefício econômico da BARTENDER STORE devem ler, compreender e zelar pelo cumprimento deste normativo e da Política de Segurança da Informação da BARTENDER STORE.
Os gestores dos departamentos da BARTENDER STORE, além das responsabilidades já mencionadas, devem identificar situações de tratamento de dados pessoais e assegurar que os dados sobre sua gerência seguem as diretrizes indicadas nestes normativos.
Os profissionais relacionados aos departamentos de Tecnologia da informação, Segurança da informação e Jurídico, além das responsabilidades supracitadas, devem prover o suporte e soluções para o cumprimento das diretrizes mencionadas nesta política.
O Encarregado pelo Tratamento de Dados Pessoais, em conjunto com a administração da BARTENDER STORE, além das responsabilidades supracitadas deve desenvolver mecanismos de monitoramento a fim de assegurar que as diretrizes indicadas nesta política estão sobre cumprimento, bem como acompanhar os padrões e técnicas indicados pela autoridade nacional.
Não conformidade
A BARTENDER STORE considera como não conformidade a violação, omissão, tentativa ou ausência de cumprimentos das diretrizes, procedimentos ou conceitos indicados na Política de Tratativa de Dados Pessoais, voluntária ou involuntariamente.
Os casos identificados como suspeita de não conformidade, devem ser reportados prontamente ao Encarregado pelo Tratamento de Dados Pessoais, através do e-mail privacidade@bartenderstore.com.br
Casos omissos
Em caso de dúvidas os usuários desta norma devem procurar prontamente o departamento de Tecnologia, Jurídico e ou Segurança da Informação da BARTENDER STORE para esclarecimentos.
Revisões
Este normativo, deve ser revisado anualmente ou a qualquer momento que à Administração julgar necessário.
Documentos de referência
Lei 13.709/18 Lei Geral de Proteção de Dados;
Lei 13.853/19 Disposto sobre a LGPD e Criação da ANPD;
Gestão da norma
A Política de Tratamento de dados pessoais, aprovada pela Alta administração, entrará em vigor a partir da data da sua aprovação.
