POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
1. OBJETIVOS
1.1. A Somauma Incorporação e Desenvolvimento Imobiliário LTDA. (“Somauma”) utiliza diversos Dados Pessoais para a execução de suas atividades. Assim, a presente Política de Privacidade e Proteção de Dados Pessoais (“Política”) tem como objetivo estabelecer as diretrizes e responsabilidades aplicáveis às operações de Tratamento de Dados Pessoais realizadas no contexto das atividades da Somauma, em atenção às legislações aplicáveis sobre a matéria, inclusive a Lei Federal no 13.709/2018 (“Lei Geral de Proteção de Dados” ou “LGPD”).
2. ABRANGÊNCIA
2.1. Esta Política se aplica a todos os Dados Pessoais sob responsabilidade da Somauma, tanto em meios físicos quanto digitais.
2.2. As regras aqui previstas devem ser observadas por todos os colaboradores que possuam vínculo com a Somauma e/ou que atuem em seu nome, incluindo, mas não se limitando a empregados efetivos e temporários, estagiários, administradores e terceirizados.
3. PRINCÍPIOS E DIRETRIZES
3.1. Para fins da presente Política, aplicam-se as seguintes definições
3.1.1. Autoridade Nacional de Proteção de Dados (ANPD): autarquia federal responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.
3.1.2. Base Legal: hipóteses legais autorizadoras do Tratamento de Dados Pessoais, relacionadas na LGPD.
3.1.3. Dado Pessoal: qualquer informação que possa identificar uma pessoa física ou torná-la identificável, tais como nome, CPF, RG, e-mail, telefone etc.
3.1.4. Encarregado: pessoa indicada pela Somauma para atuar como responsável pelo tema de proteção de Dados Pessoais.
3.1.5. Dado Pessoal Sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
3.1.6. Relatório de Impacto à Proteção de Dados Pessoais (“RIPD”):
documento que descreve atividades de Tratamento de Dados Pessoais que possam gerar riscos às liberdades civis e aos direitos dos Titulares, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
3.1.7. Terceiro: qualquer fornecedor, prestador de serviço ou parceiro comercial que se relacione com a Somauma em atividades que envolvam o Tratamento de Dados Pessoais.
3.1.8. Titular: pessoa física a quem se referem os Dados Pessoais.
3.1.9. Tratamento: qualquer operação realizada com Dados Pessoais, tais como a coleta, armazenamento, compartilhamento, transferência e eliminação.
4. PRINCÍPIOS
4.1. Todos as atividades de Tratamentos de Dados Pessoais realizadas no contexto das atividades da Somauma devem respeitar os seguintes princípios:
4.1.1. Boa-fé: O Tratamento de Dados Pessoais deve ser realizado de forma ética e lícita, ou seja, de acordo com as leis aplicáveis, inclusive a LGPD, e as demais diretrizes internas da Somauma.
4.1.2. Finalidade: O Tratamento de Dados Pessoais somente deve ocorrer para atingir propósitos específicos, determinados e de conhecimento dos Titulares envolvidos, não podendo ser realizado para finalidades secundárias e não relacionadas ao objetivo original.
4.1.3. Adequação: Os Dados Pessoais devem ser Tratados por meios adequados, garantindo compatibilidade entre os propósitos específicos informados aos Titulares e as atividades efetivamente realizadas.
4.1.4. Necessidade: O Tratamento de Dados Pessoais deve se limitar a informações estritamente necessárias e relevantes, pelo tempo necessário, para o alcance das finalidades informadas aos Titulares.
4.1.5. Livre acesso: Ao Titular deverá ser assegurada a consulta facilitada e gratuita quanto à forma e à duração do Tratamento dos seus Dados Pessoais, respeitados os limites trazidos pela LGPD.
4.1.6. Transparência: Devem ser disponibilizadas aos Titulares informações claras, precisas e de fácil acesso sobre o uso de seus Dados Pessoais pela Somauma.
4.1.7. Qualidade dos dados: Todo Tratamento de Dados Pessoais deve se atentar à veracidade, atualização, exatidão e relevância dos Dados Pessoais envolvidos.
4.1.8. Segurança: Devem ser adotadas medidas técnicas e administrativas para proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
4.1.9. Prevenção: Devem ser implementadas medidas aptas a prevenir a ocorrência de danos aos Titulares em decorrência do Tratamento de Dados Pessoais e/ou do descumprimento da legislação aplicável sobre privacidade e proteção de dados.
4.1.10. Não discriminação: Nenhum Tratamento de Dados Pessoais poderá ser realizado para fins discriminatórios ilícitos ou abusivos.
4.1.11. Responsabilização e prestação de contas: É necessário comprovar a adoção de medidas para atendimento das regras da LGPD, por isso devem ser mantidas evidências de conformidade das operações de Tratamento de Dados Pessoais com a legislação.
5. DIRETRIZES GERAIS
5.1. Finalidade e Legalidade
5.1.1. Toda atividade de Tratamento de Dados Pessoais realizada pela Somauma deve contar com finalidade concreta e estar fundamentada em uma das Bases Legais previstas na LGPD. A definição da Base Legal deve ser realizada pelo Encarregado/Jurídico.
5.2. Registro de Atividades
5.2.1. A Somauma deve manter registro de todas as atividades de Tratamento de Dados Pessoais que realizar, o qual deverá conter, no mínimo, as seguintes informações:
5.2.1.1. Descrição da atividade;
5.2.1.2. Dados Pessoais envolvidos;
5.2.1.3. Dados Pessoais Sensíveis envolvidos;
5.2.1.4. Categorias dos Titulares;
5.2.1.5. Finalidade do Tratamento;
5.2.1.6. Base legal aplicável ao Tratamento;
5.2.1.7. Origem dos Dados Pessoais;
5.2.1.8. Existência de compartilhamento dos Dados Pessoais;
5.2.1.9. Existência de transferência internacional de Dados Pessoais;
5.2.1.10. Período de retenção;
5.2.1.11. Local de armazenamento dos Dados Pessoais; e
5.2.1.12. Medidas de segurança aplicadas para proteção dos Dados Pessoais.
5.2.2. Compete às áreas da Somauma o registro e atualização das atividades de Tratamento de Dados Pessoais desenvolvidas no âmbito de suas competências.
5.3. Relatório de Impacto à Proteção de Dados
5.3.1. A necessidade de elaboração de Relatórios de Impacto à Proteção de Dados (RIPD) deve ser definida pelo Encarregado/Jurídico, sempre que identificados riscos relevantes à garantia dos princípios gerais de proteção de dados pessoais previstos na LGPD e às liberdades civis e aos direitos fundamentais dos Titulares.
5.3.2. Identificada a necessidade de elaboração do RIPD, a área responsável pelo Tratamento deve prestar o apoio necessário ao Encarregado/Jurídico, inclusive com o fornecimento de informações sobre a atividade.
5.4. Resposta a incidentes envolvendo Dados Pessoais
5.4.1. Incidentes podem ser definidos como quaisquer situações acidentais ou ilícitas de perda, destruição, alteração, comunicação ou acesso não autorizado a Dados Pessoais sob responsabilidade da Somauma. 5.4.2. Em caso de suspeita ou confirmação de ocorrência de incidente envolvendo Dados Pessoais, o Encarregado/Jurídico deve ser imediatamente comunicado através do canal: OUVIDORIA@SOMAUMA.COM
5.4.3. As ações a serem tomadas em caso de incidentes envolvendo Dados Pessoais serão definidas em procedimento específico.
5.5. Requisições de Titulares
5.5.1. A Somauma deve assegurar o processamento e, quando aplicável, o atendimento de solicitações de Titulares referentes aos seguintes direitos previstos na LGPD:
5.5.1.1. Confirmação da existência do Tratamento: O Titular pode solicitar confirmação sobre a existência de Tratamento de seus Dados Pessoais pela Somauma.
5.5.1.2. Acesso aos Dados Pessoais: O Titular pode solicitar acesso aos seus Dados Pessoais Tratados pela Somauma.
5.5.1.3. Correção ou atualização: O Titular pode solicitar a correção de Dados Pessoais que estejam desatualizados, incorretos ou incompletos.
5.5.1.4. Eliminação, anonimização ou bloqueio: O Titular pode solicitar a exclusão, anonimização ou bloqueio de Dados Pessoais quando Tratados de forma excessiva, desnecessária ou em desconformidade com a LGPD.
5.5.1.5. Revogação do consentimento: Nos casos em que a Base Legal para o Tratamento de Dados Pessoais for o consentimento do Titular, o Titular pode solicitar revogação do consentimento e/ou a eliminação de dados pessoais tratados com base nessa autorização.
5.5.1.6. Portabilidade: Uma vez regulamentado pela Autoridade Nacional de Proteção de Dados, o Titular poderá solicitar a portabilidade de seus Dados Pessoais.
5.5.1.7. Oposição: O Titular pode se opor ao Tratamento de seus Dados Pessoais realizado sem o seu consentimento, desde que verificada inconformidade com a LGPD.
5.5.1.8. Informações sobre o compartilhamento: O Titular pode solicitar o fornecimento de informações sobre as entidades públicas e privadas com as quais foi realizado compartilhamento de seus Dados Pessoais.
5.5.1.9. Revisão de decisões automatizadas: O Titular pode solicitar a revisão de decisões autônomas (sem participação humana) e/ou o fornecimento dos critérios e procedimentos adotados para a tomada dessas decisões.
5.5.2. O Encarregado/Jurídico será responsável pelo recebimento, avaliação e gestão das requisições de Titulares.
6. RESPONSABILIDADES
6.1. Diretoria Executiva
6.1.1. Aprovar políticas, procedimentos e normas internas relacionadas aos temas de privacidade e proteção de Dados Pessoais;
6.1.2. Indicar o Encarregado pelo Tratamento de Dados Pessoais da Somauma;
6.1.3. Designar, no que se fizer necessário, responsáveis diretos internos ou a
contratação de consultorias, com as competências técnicas necessárias para o pleno desempenho dos papeis e responsabilidades previstos nesta Política.
6.2. Diretoria Adm. Financeira > Jurídico
6.2.1. Elaborar e/ou revisar as normativas internas da Somauma relativas à privacidade e proteção de Dados Pessoais;
6.2.2. Definir as Bases Legais aplicáveis às atividades de tratamento de Dados Pessoais realizadas pela Somauma;
6.2.3. Garantir a inclusão de cláusulas sobre proteção de Dados Pessoais nos
contratos celebrados com Terceiros;
6.2.4. Atuar em casos suspeitos e/ou concretos de incidente de segurança envolvendo Dados Pessoais, conforme responsabilidades definidas em procedimento específico;
6.2.5. Monitorar o cenário regulatório e posicionamentos interpretativos e
jurisprudenciais sobre proteção de dados que impactem às atividades da Somauma, propondo alterações/complementações às regras dispostas nesta Política ou demais normas e procedimentos internos sobre o tema;
6.2.6. Atuar em conjunto com a área de Recursos Humanos na realização de ações de conscientização destinadas aos colaboradores da Somauma;
6.2.7. Interagir e cooperar com autoridades competentes, inclusive a Autoridade Nacional de Proteção de Dados;
6.2.8. Recomendar a realização de avaliações de risco e definir a necessidade de elaboração de Relatórios de Impacto à Proteção de Dados Pessoais;
6.2.9. Recepcionar, avaliar e orientar acerca do atendimento de solicitações de Titulares relacionadas ao Tratamento de seus Dados Pessoais;
6.2.10. Recepcionar dúvidas e consultar e elaborar pareceres jurídicos relacionados ao tema de proteção de Dados Pessoais.
6.3. Diretoria Adm. Financeira > Administração de Pessoas
6.3.1. Garantir que todos os colaboradores da Somauma tomem ciência dos
termos desta Política;
6.3.2. Auxiliar o Encarregado/Jurídico na elaboração e divulgação de materiais
e na realização de treinamentos e atividades de conscientização sobre os
temas de privacidade e Proteção de Dados Pessoais.
6.4. Diretoria Adm. Financeira > Tecnologia da Informação
6.4.1. Assegurar a utilização de tecnologias necessárias para garantir a
proteção dos Dados Pessoais sob responsabilidade da Somauma, assegurando a integridade, confidencialidade e disponibilidade dessas informações, conforme normas internas específicas;
6.4.2. Analisar os aspectos técnicos de produtos ou serviços de Terceiros que a Somauma esteja considerando contratar para processar ou armazenar Dados Pessoais;
6.4.3. Atuar em casos suspeitos e/ou concretos de incidente de segurança envolvendo Dados Pessoais, conforme responsabilidades definidas em procedimento específico.
6.5. Colaboradores
6.5.1. Cumprir as políticas, normativas e procedimentos operacionais da Somauma relacionados à proteção de Dados Pessoais e segurança da informação;
6.5.2. Tratar os Dados Pessoais sob responsabilidade da Somauma somente para fins autorizados e de acordo com as regras contidas na presente Política e na legislação aplicável;
6.5.3. Zelar pela integridade, disponibilidade, confidencialidade dos Dados Pessoais acessados e/ou manipulados em razão do exercício de suas atividades profissionais junto à Somauma;
6.5.4. Reportar qualquer violação das regras contidas nesta Política e/ou qualquer suspeita ou evento confirmado de incidente de segurança envolvendo Dados Pessoais através dos canais de comunicação informados na presente Política.
7. VIGÊNCIA E REVISÕES
7.1. A presente Política entra em vigor a partir de sua publicação e deve ser revisada e aprovada pela Assembleia Geral de Quotistas com periodicidade máxima de 1 (um) ano, ou sempre que ocorrerem eventos de mudança no ambiente regulatório ou na estrutura de gestão corporativa.
8. DISPOSIÇÕES FINAIS
8.1. O descumprimento da presente Política sujeita o infrator às ações disciplinares previstas nas normativas internas da Somauma.
8.2. Qualquer situação, suspeita ou confirmada, de violação às diretrizes desta Política deve ser reportada através do canal: ouvidoria@somauma.com
8.3. Eventuais dúvidas relacionadas ao conteúdo desta Política ou aos temas de privacidade ou à proteção de Dados Pessoais devem ser encaminhadas ao canal ouvidoria@somauma.com