Política Interna de Privacidade e Proteção de Dados Pessoais

1. INTRODUÇÃO

A POSH Advogados (“ POSH ”) reconhece a importância da proteção dos dados pessoais nos âmbitos de sua coleta, tratamento, armazenamento e descarte. Por este motivo e em virtude das obrigações legais estabelecidas na Lei nº 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (“ LGPD ”), a POSH implementou programa de privacidade, sendo esta Política Interna de Privacidade e Proteção de Dados Pessoais (“ Política ”) a base do programa para regular o tratamento interno de dados que identifiquem ou permitam identificar pessoas naturais, sejam dados de seus clientes, funcionários, fornecedores ou parceiros.

Portanto, esta Política estabelece os princípios e práticas gerais de proteção de dados que todos os sócios, funcionários e prestadores de serviços da POSH (“ Colaboradores ”) devem cumprir ao tratar Dados Pessoais.

2. DEFINIÇÕES

A seguir estão indicadas as definições adotadas nesta Política, nos termos da LGPD:

  • Agentes de tratamento: o controlador e o operador de dados pessoais;
  • Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
  • Autoridade Nacional de Proteção de Dados (“ANPD”): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional;
  • Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
  • Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
  • Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
  • Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
  • Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
  • Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  • Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
  • Encarregado (“DPO”): pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD;
  • Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
  • Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
  • Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
  • Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
  • Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
  • Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
  • Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

3. PRINCÍPIOS DE PROTEÇÃO DE DADOS

Todo tratamento de dados deverá ser realizado de acordo com os seguintes princípios, nos termos da LGPD:

  • Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  • Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  • Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
  • Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
  • Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
  • Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
  • Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
  • Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
  • Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
  • Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

4. DIREITOS DOS TITULARES DE DADOS

Esta Política visa a proteção dos dados pessoais dos clientes, funcionários, fornecedores e parceiros da POSH quando estes dados forem tratados internamente por seus Colaboradores. Nesse sentido, para que os Agentes de Tratamento estejam cientes de suas obrigações no âmbito da LGPD, essencial o conhecimento a respeito dos direitos dos titulares de dados.

Assim, demonstra-se a seguir os direitos dos titulares de dados nos termos da LGPD:

  • Direito de acesso (art. 18, I e II, da LGPD): confirmação da existência do tratamento, bem como de acesso aos seus dados;
  • Direito à retificação (art. 18, III, da LGPD): correção de dados incompletos, inexatos ou desatualizados;
  • Direito à eliminação de dados (art. 18, VI, da LGPD): eliminação dos dados pessoais tratados com o consentimento do titular;
  • Direito de limitação do tratamento (art. 18, IV, da LGPD): anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  • Direito à portabilidade de dados (art. 18, V, da LGPD): portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
  • Direito de oposição ao tratamento (art. 18, § 2º, da LGPD): O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD.
  • Direito à informação sobre o compartilhamento de Dados Pessoais (art. 18, VII, da LGPD): informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • Direito à informação sobre não consentimento (art. 18, VIII, da LGPD): informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • Direito de revogar o consentimento (art. 18, IX, da LGPD): revogação do consentimento a qualquer momento, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação;
  • Direito de apresentar uma reclamação perante a autoridade nacional (art. 18, § 1º, da LGPD): peticionar em relação aos seus dados perante a autoridade nacional.

A partir dos direitos dos titulares de dados evidenciados acima, a POSH deverá cumprir todas as solicitações realizadas pelos Titulares, quer tenham sido realizadas através do canal de atendimento aos Titulares divulgado pela POSH ou por qualquer outro meio.

5. ENCARREGADO E COMITÊ DE PRIVACIDADE DA POSH

Como parte do programa adotado pela POSH para regular o tratamento interno de dados está a nomeação do DPO e a formação do Comitê de Privacidade.

Algumas das funções do DPO são o monitoramento da conformidade dos processos adotados pela POSH com a LGPD, a designação de responsabilidades, a conscientização e o treinamento interno e a cooperação com a ANPD referente aos requerimentos e imposições administrativas.

O Comitê de Privacidade, por sua vez, possui como algumas de suas responsabilidades a inclusão da classificação das informações, a revisão dos provedores de tecnologia, a definição das políticas de comunicação e de tratamento de dados e a utilização de medidas razoáveis de segurança.

Com isso, tem-se que a colaboração e a atuação conjunta do DPO, do Comitê de Privacidade e dos Colaboradores são essenciais para a aplicação dos procedimentos internos para proteção de dados da POSH em conformidade com a LGPD, evitando-se, assim, possíveis penalidades impostas pelas autoridades legais e regulamentadoras, bem como a afetação à confiança dos clientes e demais Titulares.

6. PROCEDIMENTOS INTERNOS PARA CUMPRIMENTO DAS OBRIGAÇÕES RELACIONADAS AO TRATAMENTO DE DADOS PESSOAIS

Como Agentes de Tratamento, os Colaboradores devem se atentar às obrigações legais relacionadas ao tratamento de dados pessoais. A POSH poderá assumir tanto a posição de Controladora, quanto a posição de Operadora, a depender dos dados a serem tratados.

Nos casos de dados pessoais em que figurem como Titulares os seus clientes, funcionários, fornecedores e parceiros, a POSH ocupará a posição de Controladora. Já com relação aos dados pessoais recebidos por seus clientes para a prestação dos serviços de advocacia, a POSH ocupará a posição de Operadora.

Entretanto, considerando que a responsabilidade do Controlador e do Operador é solidária (art. 42, § 1º, I, da LGPD), que ambos são responsáveis pelos danos causados em razão do tratamento de dados pessoais (art. 42, caput, da LGPD) e que, nos casos em que o Operador não tiver realizado o tratamento nos exatos termos solicitados pelo Controlador, será equiparado a Controlador (art. 42, § 1º, I, da LGPD), tanto nos casos em que a POSH for Controladora, como nos casos em que for Operadora, os Colaboradores deverão se comprometer com as obrigações indicadas abaixo.

Nos casos em que a POSH for Operadora, poderá, a título de exemplo, exigir provas de obtenção do consentimento pelo Controlador, bem como deverá auxiliá-lo nos casos de solicitação dos Titulares.

  • Obtenção do consentimento dos Titulares para tratamento de seus dados (art. 7º, I, da LGPD):
    O consentimento do Titular deverá estar manifestado de maneira escrita ou outra forma que o demonstre de maneira clara, considerando, ainda, que ao Controlador cabe o ônus da prova de que o consentimento foi obtido. Quando realizado por escrito, o consentimento deverá estar indicado em cláusula destacada das demais.
    Ainda, a finalidade do tratamento deverá estar especificada, de modo que o tratamento deve ser realizado estritamente para a finalidade consentida. Qualquer alteração com relação à finalidade deverá ser informada ao Titular que possuirá o direito de revogar o consentimento.
    O tratamento também poderá ser realizado, mesmo sem o consentimento, quando for necessário para o cumprimento de obrigação legal ou regulatória pelo Controlador, quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o Titular, a pedido do Titular dos dados, quando for necessário para o exercício regular de direitos em processo judicial, administrativo ou arbitral e quando necessário para atender aos interesses legítimos do Controlador ou de terceiros (art. 7º, II, V, VI e IX, da LGPD).
  • Informações sobre os dados tratados caso solicitado pelos Titulares (art. 9º, I à VII, da LGPD):
    Os Titulares possuem o direito de acesso aos seus dados, bem como às informações relacionadas ao tratamento. Assim, quando solicitado pelos Titulares, deverão ser apresentados: a finalidade específica do tratamento; a forma e duração do tratamento, observados os segredos comercial e industrial; a identificação do controlador; as informações de contato do controlador; as informações acerca do uso compartilhado de dados pelo Controlador e a finalidade; as responsabilidades dos agentes que realizarão o tratamento; e os direitos do Titular, com menção explícita aos direitos contidos no art. 18 da LGPD.
  • Fundamentação para tratamento com base no legítimo interesse do Controlador (art. 10 da LGPD):
    O tratamento de dados pessoais sem a obtenção do consentimento do Titular, com base no legítimo interesse do Controlador, somente poderá ser realizado quando embasado em finalidades legítimas. Em que pese a abrangência de “finalidades legítimas”, a LGPD demonstra algumas situações concretas, de maneira exemplificativa, quais sejam: o apoio e promoção de atividades do Controlador; e a proteção, em relação ao Titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem.
    Necessário, entretanto, se atentar ao fato de que, nesse caso, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados e a ANPD poderá solicitar ao Controlador relatório de impacto à proteção de dados pessoais, observados os segredos comercial e industrial.
    Além disso, não é possível que o tratamento seja realizado com base no legítimo interesse do Controlador quando prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
  • Obtenção do consentimento no caso de tratamento de dados pessoais sensíveis (art. 11 da LGPD):
    O tratamento de dados pessoais sensíveis poderá ser realizado mediante a obtenção do consentimento dos Titulares, nos termos apresentados no item “a”. Entretanto, sem o consentimento, o tratamento somente poderá ser realizado quando indispensável para o cumprimento de obrigação legal ou regulatória pelo Controlador e para o exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral (art. 11, II, a e d, da LGPD).
  • Eliminação dos dados pessoais (art. 16 da LGPD):
    O término do tratamento de dados pessoais ocorrerá: quando a finalidade do tratamento tiver sido alcançada ou a utilização dos dados tiver deixado de ser necessária ao alcance da finalidade específica; com o fim do período de tratamento; com a revogação do consentimento pelo titular; ou por determinação da autoridade nacional.
    Dados pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD devem ser anonimizados, bloqueados ou eliminados, assim como os dados pessoais tratados com base no consentimento do Titular. Os dados pessoais poderão ser conservados após o término do tratamento para as seguintes finalidades: o cumprimento de obrigação legal ou regulatória pelo controlador; a transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD; ou para uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
  • Transferência internacional de dados pessoais com observância à LGPD (art. 33 e 34 da LGPD):
    A transferência internacional de dados somente poderá ser realizada à países que protejam os dados pessoais nos termos previstos na LGPD ou quando comprovado pelo Controlador o cumprimento destes termos.
    A garantia do cumprimento poderá ser realizada através de cláusulas contratuais específicas para determinada transferência; cláusulas-padrão contratuais; normas corporativas globais; selos, certificados e códigos de conduta regularmente emitidos; quando a autoridade nacional autorizar a transferência; quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência; quando necessário para atender o cumprimento de obrigação legal ou regulatória pelo Controlador; quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular; e para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

7. PROCEDIMENTOS INTERNOS PARA MANUTENÇÃO DA CONFORMIDADE À LGPD

  1. 7.1. Avaliação periódica da conformidade
    O Encarregado e o Comitê de Privacidade deverão avaliar, periodicamente, a conformidade dos procedimentos internos aplicados pelos Colaboradores, bem como a viabilidade de manutenção dos procedimentos aplicados ou a necessidade de sua modificação, visando a minimização dos riscos envolvendo o tratamento de dado e sua segurança.
    Nesse sentido, sempre que necessário, o Encarregado e/ou o Comitê de Privacidade poderão recomendar a realização de auditorias por auditores independente e qualificados de acordo com um cronograma que venha ser elaborado.
  2. 7.2. Treinamentos e informativos
    Sempre que o DPO e o Comitê de Privacidade julgarem necessário poderão ser realizados treinamentos internos sobre o tratamento de dados pessoais de acordo com a LGPD, bem como para a conscientização a respeito dos níveis adequados de segurança da informação. Com o mesmo intuito, deverão ser compartilhados aos Colaboradores, periodicamente, informativos, através de via física ou digital, sobre os procedimentos que devem ser adotados pelos mesmos.
  3. 7.3. Elaboração de Relatório de Impacto à Proteção de Dados
    A LGPD estabelece que todo tratamento de Dados Pessoais que possa resultar em um risco relevante para os direitos ou liberdades individuais de Titulares devem ser submetidos a um Relatório de Impacto à Proteção de Dados. O objetivo deste relatório é a identificação se o tratamento de dados é viável e se existem medidas ao alcance do Controlador, capazes de reduzir os riscos do tratamento para os direitos e liberdades individuais dos Titulares.
    Assim, após o mapeamento dos dados tratados na POSH, será possível verificar quais tratamentos possuem risco relevante para os direitos dos Titulares, em especial quando tratarem dados pessoais sensíveis, e, a partir disso, o DPO e o Comitê de Privacidade avaliarão a necessidade da elaboração do relatório.
  4. 7.4. Controles internos
    Sempre que um Colaborador identificar possíveis ameaças à proteção de dados pessoais tratados deverá comunicar o fato ao Encarregado, que deverá avaliar e, quando necessário, propor ações ou a implantação de controles com o objetivo de diminuir a possibilidade de ocorrência de riscos, danos e prejuízos financeiros.
  5. 7.5. Registro do tratamento de dados pessoais
    Para viabilizar o cumprimento de suas obrigações sob a LGPD, a POSH deverá garantir o registro do tratamento de dados pessoais realizado. A partir dessa documentação, serão determinadas as medidas necessárias para garantir que todos os processos se enquadrem aos princípios e demais disposições da LGPD.
    O registro de tratamento de dados deve conter informações sobre os tratamentos de Dados Pessoais, tais como: finalidade do tratamento, descrição das categorias dos dados e dos titulares, base legal de tratamento, agentes de tratamento envolvidos, compartilhamento dos dados, transferência internacional dos dados e as medidas de segurança atualmente adotadas.
    A partir deste catálogo, será possível definir os prazos para manutenção das informações, a classificação das mesmas, a identificação dos riscos envolvendo os direitos dos Titulares (com a possível necessidade de elaboração de relatório de impacto à proteção de dados) e estabelecer a forma que se dará o descarte desses Dados Pessoais.
  6. 7.6. Gestão de contratos
    A gestão dos contratos formalizados pela POSH permitirá a identificação facilitada de quais dados pessoais estão sendo tratados, bem como permitirá a identificação dos contratos que não possuem cláusulas regulamentando a LGPD, para a sua consequente adequação.
  7. 7.7. Incidentes de Segurança e violação de direitos dos Titulares
    Na ocorrência de um incidente de segurança, a situação deverá ser integralmente resolvida, garantindo que seja registrado, investigado, documentado, comunicado a todas as partes interessadas e reparado, conforme requisitos e prazos previstos na legislação vigente.
    Nessa hipótese, o DPO realizará os seguintes atos:
    • Identificação da gravidade e dimensão do dano ou incidente;
    • Identificação dos dados e Titulares prejudicados;
    • Comunicação dos fatos ao Comitê de Privacidade;
    • Contenção dos efeitos do dano;
    • Definição da estratégia de comunicação institucional interna e externa;
    • Definição das medidas corretivas para minimização do dano;
    • Emissão e apresentação de relatórios detalhados sobre os incidentes identificando fato, causa e ação; e
    • Definição de responsabilidades e forma de reparação e remediação dos eventuais danos.

8. DISPOSIÇÕES FINAIS

Esta Política Interna de Privacidade e Proteção de Dados Pessoais entra em vigor a partir do mês de outubro de 2022, tendo sido devidamente compartilhada a todos os Colaboradores da POSH Advogados.

O conteúdo desta Política pode ser atualizado, revisado e complementado a qualquer momento pela POSH ou quando necessário, com base em alterações a leis ou regulamentos, através de um processo de revisão coordenada pelo Encarregado e o Comitê de Privacidade da POSH, hipótese em que novo compartilhamento aos Colaboradores será realizado.

Política atualizada em 29 de novembro de 2022.