“Em atenção às determinações da Lei Geral de Proteção de Dados (Lei n.º 13.709/2018), GASAM Advocacia e MP&C Advocacia instituem uma política de privacidade e proteção dos dados dos titulares, que consiste em confidencialidade das informações e adoção às boas práticas e governança.
POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS
CAPÍTULO I
DAS DISPOSIÇÕES GERAIS
Art. 1° Instituir, no âmbito da Sociedade de advogados e advogadas GONÇALVES, AUACHE, SALVADOR, ALLAN & MENDONÇA ADVOGADOS ASSOCIADOS, com inscrição no CNPJ sob no. 06.267.576/0001-04, com registro na OAB/PR sob no 1546 e MARCIAL, PEREIRA & CARVALHO ADVOCACIA, com inscrição no CNPJ sob o no. 05.169.858/0001-06, com registro na OAB/MG sob o no 1479, ora denominada “ESCRITÓRIOS”, a POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS, com o objetivo de definir e divulgar suas regras de privacidade, proteção e tratamento de dados pessoais.
Parágrafo único. A presente Política regula a proteção de dados pessoais nas atividades jurídicas e administrativas, bem como no relacionamento dos integrantes do Escritório com os titulares dos dados pessoais cujo tratamento seja por aquele realizado.
Art. 2º A presente política toma por base os princípios, sujeitos e definições adotadas pela Lei 13.709, de 14 de agosto de 2018, bem como de legislações correlatas que vierem a ser publicadas pela Autoridade Nacional de Proteção de Dados – ANPD.
Art. 3° Compete aos sócios a gestão da Política de Privacidade e Proteção de Dados Pessoais, com apoio do Encarregado (DPO) pelo Tratamento de Dados Pessoais.
Art. 4° O tratamento dos dados pessoais realizado nos sistemas computacionais será regulado pelas diretrizes fixadas na presente Política, em termos de confidencialidade e de uso, além de documentos que vierem a ser criados.
CAPÍTULO II
DO TRATAMENTO DE DADOS PESSOAIS
Art. 5o O tratamento de dados pessoais pelos Escritórios é realizado para o atendimento da finalidade contratual, com o objetivo de executar escopos e de cumprir as atribuições legais e contratuais.
Art. 6o O Escritório poderá, nas atividades voltadas ao estrito exercício de suas competências legais e administrativa, proceder ao tratamento de dados pessoais independentemente de consentimento dos titulares, sejam empregados, terceiros/prestadores de serviços e/ou clientes.
§1o. No exercício de atividades não vinculadas diretamente ao exercício das competências acima descritas, o Escritório o fará mediante a obtenção do consentimento dos titulares ou em razão de outra(s) base(s) legal(is) estipulada(s) nos artigos 7o, 11 e/ou 14 da Lei 13.709/2018.
§2o. Caso seja necessário o consentimento, tal se dará de forma clara e especificada, em cláusula própria, de onde o titular, ao assinar, concordará com as proposições referentes a coleta, tratamento, armazenamento e descarte de seus dados, podendo ser revogado a qualquer tempo.
Art. 7o Os dados pessoais tratados devem ser:I – protegidos por procedimentos internos, com trilhas de auditoria para registrar autorizações, utilização, impactos e violações;
II – mantidos disponíveis, exatos, adequados, pertinentes e atualizados, sendo retificado ou eliminado o dado pessoal mediante informação ou constatação de impropriedade respectiva ou face a solicitação de remoção ou revogação do consentimento pelo titular;
III – compartilhados somente para o exercício das atividades voltadas ao estrito exercício de suas competências ou para atendimento de exigências administrativas e/ou fiscalizatórias do Poder Público.
Art. 8o A informação sobre o tratamento de dados pessoais sensíveis ou referentes a crianças ou adolescentes estará disponível em linguagem clara, simples, concisa, transparente, inteligível e acessível, na forma da lei.
Art. 9o A responsabilidade pelo tratamento de dados pessoais estará circunscrita aos deveres decorrentes do exercício de suas atribuições legais, contratuais e administrativas e do emprego de boas práticas de governança e de segurança da informação, conforme estabelecidas pela LGPD e legislação correlata.
CAPÍTULO III
DOS AGENTES DE TRATAMENTO DE DADOS PESSOAIS
Art. 11. Para os efeitos da LGPD, o Escritório detém a condição de Controlador e Operador dos dados pessoais.
Parágrafo único. Deverá ser desenvolvida metodologia de controle do tratamento de dados pessoais que permita a identificação das pessoas da Organização, inclusive terceirizados que, de alguma maneira, em razão de suas atribuições funcionais promovam o tratamento de dados em questão.
Art. 12. Compete ao Controlador e/ou Operador:
I – documentar as operações que lhe cabem realizar durante o processo de tratamento de dados pessoais, exceto quando não existir sistema computacional que possa atender essa atividade de modo automatizado;
II – atuar de modo propositivo na proteção da privacidade dos dados pessoais desde seu ingresso na instituição;
III – utilizar metodologia de coleta dos dados pessoais que considere a minimização necessária para alcançar a finalidade do processo; e
IV – participar das capacitações promovidas pelo Escritório no âmbito da presente Política para exercer as atividades que envolvam dados pessoais com eficiência, ética, critério e responsabilidade.
CAPÍTULO IV
DO ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS
Art. 13. A função de Encarregado pelo Tratamento de Dados Pessoais será exercida por Rodrigo Thomazinho Comar (Curitiba/PR) e Renan Kaczalovski Karas (Belo Horizonte/MG).
§1o Além das atribuições contidas na LGPD compete ao Encarregado receber os pedidos dos titulares dos dados pessoais, para análise e encaminhamento conforme a natureza da demanda e devolver a resposta adequada e em prazo razoável.
§2o O Encarregado contará com apoio efetivo do setor de Controladoria Jurídica e da Assessoria Administrativa em Curitiba/PR e da Gerência Financeira em Belo Horizonte/MG, no âmbito das competências atribuídas a cada uma dessas estruturas.
CAPÍTULO V
DOS CONTRATOS
Art. 14. O Escritório poderá requisitar, a qualquer tempo e desde que não seja objeto de sigilo ou proteção legal, informações a respeito do tratamento dos dados pessoais confiados a fornecedores de produtos ou serviços (terceiros ou contratados), firmados por meio de contratos entre o ele (Contratante) e o respectivo Contratado.
Art. 15. Os fornecedores de produtos ou serviços, ao tratarem os dados pessoais a eles confiados, este no papel de Contratante, serão considerados OPERADORES e deverão aderir a esta Política, além de cumprir os deveres legais e contratuais respectivos, dentre os quais se incluirão os seguintes:
I – assinar contrato ou termo de compromisso com cláusulas específicas sobre proteção de dados pessoais definidas pela Contratante;
II – apresentar evidências e garantias suficientes de que aplica medidas técnicas e administrativas adequadas de segurança para a proteção dos dados pessoais, nos termos definidos na legislação, em normas administrativas da Contratante e nos instrumentos contratuais;
III – manter os registros de tratamento de dados pessoais que realizar com condições de rastreabilidade e de fornecer prova eletrônica a qualquer tempo;
IV – seguir fielmente as diretrizes e instruções transmitidas pela Contratante;
V – facultar acesso a dados pessoais somente para o pessoal autorizado que tenha estrita necessidade e que tenha assumido compromisso formal de preservar a confidencialidade e segurança de tais dados, devendo a prova do compromisso estar disponível em caráter permanente para exibição à Contratante, mediante solicitação;
VI – permitir a realização de auditorias, incluindo inspeções pela Contratante ou por auditor autorizado, e disponibilizar toda a informação necessária para demonstrar o cumprimento das obrigações estabelecidas;
VII – auxiliar, em toda providência que estiver ao seu alcance, no atendimento pela Contratante, de obrigações perante titulares de dados pessoais, autoridades competentes ou quaisquer outros legítimos interessados;
VIII – comunicar formalmente e de imediato ao Encarregado a ocorrência de qualquer risco, ameaça ou incidente de segurança que possa acarretar comprometimento ou dano potencial ou efetivo a titular de dados pessoais, evitando atrasos por conta de verificações ou inspeções; e
IX – descartar de forma irrecuperável, ou devolver para a Contratante, todos os dados pessoais e as cópias existentes, após a satisfação da finalidade respectiva ou o encerramento do tratamento por decurso de prazo ou por extinção de vínculo legal ou contratual, mediante manifestação formal das providências adotadas, incluindo a data da operação.
Parágrafo único. Os contratos e instrumentos congêneres vigentes, que envolvam tratamento de dados pessoais, deverão ser revistos para inclusão de cláusulas específicas para observância da LGPD.
CAPÍTULO VI
DA GOVERNANÇA, DA SEGURANÇA E DAS BOAS PRÁTICAS
Art. 16. Para conformar os processos e os procedimentos à Lei Geral de Proteção de Dados Pessoais, além das diretrizes já estabelecidas nesta Política, na Lei e nas Resoluções e normas correlatas, os Escritórios devem adotar boas práticas de governança e de segurança da informação voltadas a orientar comportamentos adequados e a mitigar os riscos de comprometimento de dados pessoais, tais como acessos não autorizados, situações acidentais ou incidentes culposos ou dolosos de destruição, perda, adulteração, compartilhamento indevido ou qualquer forma de tratamento inadequado ou ilícito.
Art. 17. O Escritório instituirá um Programa de Governança em Privacidade, nos termos do Art. 50 da LGPD.
Art. 18. Deverá ser elaborado anualmente um Relatório de Impacto de Proteção de Dados Pessoais, identificando vulnerabilidades e respectivos Planos de Ação, por meio do processo institucional de gestão de riscos.
Parágrafo único. O relatório de impacto de dados pessoais deverá ser atualizado sempre que um serviço for disponibilizado ou alterado.
Art. 19. O Escritório deverá adotar o conceito da proteção dos dados pessoais durante todo o processo de desenvolvimento de gerenciamento de dados, incluindo a incorporação de tarefas relacionadas ao tratamento, exposição e uso de dados pelos sistemas.
Art. 20. É vedado o armazenamento de dados pessoais fora dos repositórios escolhidos pelo Escritório, de acordo com os registros de tratamento de dados pessoais.
§1o – É vedado reter ou ficar com documentos originais de clientes, bem como armazenar cópias destes em repositórios diversos daqueles escolhidos pelo Escritório;
§2o – Em casos excepcionais e caso seja necessário ficar com tais documentos, deve-se preencher recibo de entrega, com ciência e concordância do titular, indicando de forma detalhada quais estão sendo deixados no Escritório, indicação do prazo de devolução e conferência final junto ao cliente quando da devolução destes;
§3o – No caso do parágrafo antecedente, o receptor dos documentos ficará por eles responsável por sua guarda e zelar pelo cuidado destes, o que perdurará até a sua devolução ao titular;
§4o – É vedada a divulgação de teses e peças recursais desenvolvidas em razão da prestação de serviços ao Escritório e/ou a qualquer de seus clientes;
§5o – Casos excepcionais devem ser levados ao conhecimento dos Controladores e do(s) encarregado(s) de dados, quando envolver política de dados, imediatamente.
Art. 21. Os Encarregados deverão manter os Controladores informados a respeito do andamento do presente política e programa de boas práticas e governança, bem como dos aspectos e fatos significativos e de interesse.
Art. 22. Quaisquer integrantes que tratem dados pessoais em nome do(s) Escritório(s) deverão ter ciência desta política, da importância da conformidade, das regras estabelecidas e das práticas adotadas, reduzindo as chances de que alguém faça involuntariamente algo que resulte em uma violação da privacidade dos dados pessoais.
Parágrafo único. A inobservância da presente Política de Proteção de Dados Pessoais acarretará a apuração da responsabilidade prevista na legislação em vigor.
CAPÍTULO VII
DISPOSIÇÕES FINAIS E TRANSITÓRIAS
Art. 23. Esta Política deve ser revista em intervalos não superiores a 12 (doze) meses, a partir da data de sua vigência, ou em caso de ocorrência de fatos relevantes, tais como alterações na legislação aplicável ou mudanças significativas nas tecnologias utilizadas no tratamento de dados pessoais.
Art. 24. Os casos omissos serão resolvidos pelos Controladores, ouvido, no que couber, o(s) Encarregado(s) de dados.
Conforme determina a LGPD e a Agência Nacional de Proteção de Dados, GASAM Advocacia e MP&C Advocacia comunicam que dúvidas, informações e/ou sugestões podem ser feitas diretamente aos Encarregados de Dados (artigo 41, §2º da LGPD):
Email: dpo@declatra.adv.br – Rodrigo Thomazinho Comar (Gasam)
DPO-MG@declatra.adv.br – Renan Karas (MP&C)
GASAM Advocacia e MP&C Advocacia informam, ainda, links úteis a respeito das determinações legais e regulatórias sobre o tema:
a)Autoridade Nacional de Proteção de Dados (https://www.gov.br/anpd/pt-br) b) Lei Geral de Proteção de Dados (http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm)