Introdução

Conforme estipula a Lei Geral de Proteção de Dados, a privacidade é um direito fundamental da pessoa natural.

Assim, o INSTITUTO DE NÓBREGA, ora designado “INSTITUTO”, quando do tratamento de dados pessoais de pessoa natural ou pessoa jurídica de direito público ou privado, inclusive nos meios digitais, objetiva a proteção destes direitos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Com base em tais premissas, convenciona sua POLÍTICA GERAL DE PROTEÇÃO DE DADOS PESSOAIS, como parte integrante do seu sistema de gestão corporativo, compatível com os requisitos da Lei 13.709/2018, além de boas práticas e normas internacionalmente aceitas, com o objetivo de garantir níveis adequados de proteção para os dados pessoais tratados pela organização.

Propósito

Esta política objetiva estabelecer diretrizes de Proteção de Dados que permitam ao INSTITUTO DE NÓBREGA:

• Realizar o tratamento de dados pessoais, em conformidade com a legislação brasileira;
• Orientar quanto à adoção de controles técnicos e administrativos para atendimento dos requisitos para Proteção de Dados Pessoais, conforme a legislação vigente;
• Resguardar os titulares dos dados pessoais que são tratados pelo INSTITUTO, garantindo direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;
• Prevenir possíveis causas de violações de dados pessoais e incidentes de segurança da informação relacionados ao tratamento de dados pessoais;
• Minimizar os riscos de perdas financeiras, de participação no mercado, da confiança de clientes ou de qualquer outro impacto negativo no negócio do INSTITUTO como resultado de violações de dados.

A Política de Privacidade não abrange nem é responsável pelo processamento dos dados pessoais realizado por representantes locais independentes. Para obter informações sobre o processamento dos dados pessoais de tais entidades, consulte a empresa em questão.

Escopo

Esta política se aplica a qualquer operação de tratamento de dados pessoais realizada pelo INSTITUTO, independentemente do meio ou do país onde estejam localizados os dados, desde que:

• A operação de tratamento seja realizada em território nacional brasileiro;
• Tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional;
• Os dados pessoais, objeto do trata- mento, tenham sido coletados no território nacional.

Diretrizes

O objetivo da Proteção de Dados é garantir a gestão sistemática e efetiva de todos os aspectos relacionados à proteção de dados pessoais e dos direitos dos seus titulares, provendo suporte as operações críticas do negócio e minimizando riscos identificados e seus eventuais impactos a organização.

A Presidência, Diretoria Executiva e o Comitê Gestor de Proteção de Dados Pessoais estão comprometidos com uma gestão efetiva da Proteção de Dados Pessoais do INSTITUTO.

Desta forma, adotam todas medidas cabíveis para garantir que esta política seja adequadamente comunicada, entendida e seguida em todos os níveis da organização. Revisões periódicas serão realizadas para garantir sua contínua pertinência e adequação as necessidades do INSTITUTO.

É política do INSTITUTO:

a) Garantir ao titular a escolha de permitir ou não o tratamento de seus dados pessoais, excetuando-se casos onde a lei aplicável permitir especificamente o processamento de dados pessoais sem o consentimento do titular;

b) Garantir que o objetivo do tratamento de dados pessoais esteja em conformidade com a legislação vigente e de acordo com uma base legal permitida;

c) Comunicar, de forma clara e adequada às circunstâncias, o tratamento de dados pessoais ao titular, antes do momento em que os dados são coletados ou usados pela primeira vez para um novo propósito;

d) Sempre que necessário, fornecer ao titular explicações suficientes sobre o tratamento de seus dados pessoais, conforme previsto na legislação vigente;

e) Limitar a coleta de dados pessoais estritamente ao que é permitido de acordo com a legis- lação vigente, e os objetivos especificados na coleta do consentimento do titular dos dados pessoais, minimizando, onde possível, a coleta dos referidos dados pessoais.

f) Limitar o uso, retenção, divulgação e transferência de dados pessoais ao necessário para cumprir com objetivos específicos, explícitos e legítimos;

g) Reter dados pessoais apenas pelo tempo necessário para cumprir os propósitos declarados e, posteriormente, destruí-los, bloqueá-los ou anonimizá-los com segurança;

h) Bloquear o acesso a dados pessoais e não realizar mais nenhum tratamento quando os propósitos declarados expirarem, mas a retenção dos dados pessoais for exigida pela legis- lação vigente.

i) Garantir a precisão e qualidade dos dados pessoais tratados, excetuando-se casos onde exista uma base legal para manter dados desatualizados.

j) Fornecer aos titulares dos dados pessoais tratados, informações claras e facilmente acessíveis sobre as políticas, procedimentos e práticas com relação ao tratamento de dados pessoais realizado pela organização, incluindo quais dados são efetivamente tratados, a finalidade desse tratamento e informações sobre como entrar em contato para obter maiores detalhes.

k) Notificar titulares quando ocorrerem alterações significativas no tratamento dos seus dados pessoais.

l) Garantir que titulares tenham a possibilidade de acessar e revisar seus dados pessoais, desde que sua identidade seja autenticada com um nível apropriado de garantia, e que não exista nenhuma restrição legal a esse acesso ou a revisão dos dados pessoais.

m) Garantir a rastreabilidade e prestação de contas durante todo o tratamento de dados pes- soais, incluindo quando dados pessoais forem compartilhados com terceiros.

n) Tratar integralmente violações de dados, garantindo que sejam adequadamente registra- das, classificadas, investigadas, corrigidas e documentadas.

o) Garantir que, na ocorrência de uma violação de dados, todas as partes interessadas serão notificadas, conforme requisitos e prazos previstos na legislação vigente.

p) Documentar e comunicar, conforme apropriado, todas as políticas, procedimentos e práti- cas relacionadas à privacidade e proteção de dados.

q) Garantir a existência de um responsável por documentar, implementar e comunicar políti- cas, procedimentos e práticas relacionadas à privacidade e proteção de dados;

r) Adotar controles de segurança da informação, tanto técnicos quanto administrativos, sufici- entes para garantir níveis de proteção adequados para Dados Pessoais.

s) Disponibilizar políticas, normas e procedimentos para proteção de dados pessoais a todas as partes interessadas e autorizadas, tais como: Empregados, terceiros contratados e, onde pertinente, pessoas por este INSTITUTO designadas.

t) Garantir a educação e conscientização de empregados, voluntários, terceiros contratados e, onde pertinente, parceiros e beneficiários, sobre as práticas de proteção de dados pessoais adotadas pelo INSTITUTO.

u) Melhorar continuamente a Gestão de Proteção de Dados Pessoais por meio da definição e revisão sistemática de objetivos de privacidade e proteção de dados pessoais em todos os níveis da organização.

v) Garantir a não discriminação no tratamento de dados pessoais, impossibilitando que estes sejam usados para fins discriminatórios, ilícitos ou abusivos.

w) Garantir a conformidade integral com leis e regulamentações de proteção de Dados Pessoais.

USUÁRIOS DA INFORMAÇÃO

É responsabilidade dos Usuários da Informação:

a) Ler, compreender e cumprir integralmente os termos da Política Geral de Proteção de Dados Pessoais, bem como as demais normas e procedimentos de proteção de dados pes- soais aplicáveis;

b) Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a Política Geral de Proteção de Dados Pessoais, suas normas e procedimentos ao INSTITUTO

c) Comunicar ao INSTITUTO qualquer evento que viole esta Política ou coloque/possa vir a colocar em risco Dados Pessoais tratados por este;

d) Assinar o Termo de Uso de Sistemas de Informação do INSTITUTO, formalizando a ciência e o aceite integral das disposições da Política Geral de Proteção de Dados Pes- soais, bem como as demais normas e procedimentos de segurança, assumindo responsabil- idade pelo seu cumprimento;

e) Responder pela inobservância da Política Geral de Proteção de Dados Pessoais, normas e procedimentos relacionados ao tratamento de Dados Pessoais, conforme definido no item sanções e punições.

Casos Omissos

As diretrizes estabelecidas nesta política e nas demais normas e procedimentos de proteção de dados pessoais, não se esgotam em razão da contínua evolução tecnológica, da legislação vigente e constante surgimento de novas ameaças e requisitos.

Desta forma, não se constitui rol enumerativo, sendo obrigação do usuário da informação do INSTITUTO adotar, sempre que possível, outras medidas de segurança além das aqui previs- tas, com o objetivo de garantir proteção de dados pessoais tratados pelo INSTITUTO.

Revisões

Esta política é revisada com periodicidade anual.

Gestão da Política

A Política Geral de Proteção de Dados Pessoais é aprovada pela Diretoria do INSTITUTO.