Uma mulher olhando gráficos na tela

Política de Privacidade

1. Introdução

 

A Puiatti Administradora de Condomínios, suas controladoras e controladas (coletivamente “Puiatti” ou “Empresa”) adotaram a Política de Privacidade e Proteção de Dados (“Política”). A Puiatti reconhece a importância da privacidade e da segurança, e tem o compromisso de cumprir as leis aplicáveis de proteção de dados e os requisitos  contratuais do cliente na administração de dados pessoais.

2. Objetivo

Todos os colaboradores da Puiatti devem estar cientes  de que a(s) lei(s) de proteção de dados existe(m) para proteger a privacidade e a segurança dos dados pessoais, e estas leis impactam a maneira como a Puiatti e seu pessoal usam, divulgam ou processam tais informações.

 

Esta Política Global de Privacidade e Proteção de dados estabelece:

 

  1. os princípios que se aplicam ao processamento de dados pessoais pela Puiatti, e descreve como a Puiatti cumpre esses princípios; e

  2. uma visão geral e oferecimento de estrutura de governança de privacidade da Puiatti, e as funções e responsabilidades dos principais grupos e pessoas no cumprimento das obrigações e tarefas de conformidade da Puiatti. Esta Política será complementada por políticas, procedimentos e diretrizes adicionais para abordar áreas, jurisdições, leis e requisitos específicos.

3. Escopo

Esta Política se aplica a todos os dados pessoais da Puiatti como controladora ou processadora de dados,  inclusive os dados relativos ao seu pessoal, clientes, demandantes, prestadores de serviço e outras  partes. Todo o pessoal deve cumprir esta Política. O funcionário que violar esta Política pode estar sujeito a medidas disciplinares segundo a legislação ou termos laborais aplicáveis.

 

Todos os funcionários têm um papel importante a desempenhar na gestão adequada e na salvaguarda de dados pessoais, para identificar problemas de manuseio e proteção de dados à medida que surgem, e para encaminhá-los imediatamente ao Departamento Jurídico e Compliance. Todos os funcionários também devem cooperar conforme necessário para a implementação de princípios, requisitos e componentes chave desta Política.

 

4. Princípios

  • Processamento justo, transparente e legal. Dados pessoais serão coletados, armazenados e processados de maneira justa, legal e transparente. Isso significa que:

  1. As pessoas serão informadas do processamento (pelo controlador de dados).

  2. Os dados pessoais são processados segundo a finalidade declarada para sua coleta ou para propósitos compatíveis semelhantes, e estão sujeitos a uma base legal, tal como consentimento, onde exigido por lei.

  3. Os dados pessoais não são processados de formas não esperadas razoavelmente pelo titular dos dados.

  4. Ao agir como processador de dados, os dados pessoais só serão processados conforme necessário para executar os serviços conforme orientado pelos clientes, ou onde, de outra forma, for exigido pela legislação aplicável.

 

  • Minimização de dados. Os dados pessoais serão coletados apenas onde razoável e realmente necessário para os fins declarados para os quais estão sendo processados, e serão adequados, relevantes e limitados ao que é necessário em relação aos propósitos.

 

  • Limite de propósito. Os dados pessoais serão processados para fins específicos, explícitos  e legítimos, e de uma maneira compatível com o propósito para o qual foram inicialmente coletados.

 

  • Precisão. Os dados pessoais serão precisos e atualizados.

 

  1. Serão tomadas medidas razoáveis para assegurar a precisão dos dados pessoais obtidos.

  2. Dados pessoais imprecisos (considerando o propósito de seu processamento) serão eliminados ou retificados.

 

  • Retenção limitada. Os dados pessoais serão retidos apenas enquanto forem necessários para atingir o(s) fim(ns) específico(s) e estarão sujeitos às leis de proteção de dados aplicáveis e aos requisitos contratuais dos clientes.

 

  • Segurança e integridade. Medidas apropriadas de segurança organizacional, administrativa e técnica serão implementadas para salvaguardar os dados pessoais, oferecer processamento seguro para eles, além de identificar, prevenir, detectar e mitigar riscos aos dados pessoais, sistemas, ferramentas e processos usados para processar dados pessoais.

 

  1. os dados pessoais serão processados de uma maneira que ofereça segurança apropriada deles.

  2. medidas de segurança precisam ser concebidas e implementadas para proteger contra processamento ilegal e não autorizado, e perda, destruição ou dano acidental dos dados pessoais e sistemas correlatos.

  3. serão concebidos e implementados controles para detectar, mitigar e corrigir eventos e incidentes de segurança.

  4. serão estabelecidas políticas e procedimentos para que tais eventos e incidentes de segurança e privacidade sejam imediatamente relatados internamente, e investigados, avaliados e administrados segundo as leis de proteção de dados estabelecidas, onde possam impactar os dados pessoais ou atividades de processamento correlatas.

 

  • Concepção de privacidade. Atividades e processos serão concebidos, implementados e realizados de forma que ofereçam, desde o princípio, conformidade com os princípios supracitados e a integração de salvaguardas necessárias para dados pessoais.

 

  • Responsabilidade. A conformidade com estes princípios será avaliada e as atividades de processamento serão conduzidas de forma que demonstrem conformidade e possam ser auditadas e avaliadas.

 

  1. consultas e reclamações relacionadas ao processamento de dados pessoais serão avaliadas, respondidas e resolvidas (dentro do possível) de maneira justa e sem atraso injustificado.

  2. processos razoáveis para receber, administrar e responder a perguntas, solicitações e reclamações de pessoas e clientes são estabelecidos para fornecer respostas justas, oportunas, coerentes e em conformidade com a lei.

  3. registros precisos de atividades de processamento serão mantidas, incluindo registros de incidentes de segurança, reclamações, solicitações do titular dos dados e outros registros obrigatórios segundo as leis aplicáveis de proteção de dados.

5. Principais Componentes de Conformidade com a Privacidade

A fim de cumprir todos os princípios supracitados, a Puiatti precisa tomar medidas para assegurar que  estes princípios sejam abordados dentro de todos os processos e atividades comerciais relevantes, e implementar determinados processos e procedimentos, que incluam os seguintes componentes principais, cada um dos quais é abordado abaixo nesta Política:

 

  1. Notificação às pessoas físicas;

  2. Base legal de processamento;

  3. Manutenção de registros (e registros de processamento);

  4. Direitos do titular dos dados;

  5. Gestão de terceiros e prestadores de serviço;

  6. Resposta a incidentes;

  7. Conscientização e treinamento referentes à privacidade;

  8. Avaliações de impacto à privacidade;

  9. Avaliações e auditorias contínuas;

  10. Governança.

 

Notificação às Pessoas Físicas

 

A Puiatti notificará os titulares dos dados pessoais que ela os processa segundo exigido pela lei de proteção de dados, incluindo aviso do seguinte: os tipos de dados pessoais coletados, os propósitos  do processamento, método de processamento, os direitos do titular dos dados com relação a seus dados pessoais, o período de retenção, possíveis transferências internacionais de dados, se eles serão compartilhados com terceiros e as medidas de segurança para protegê-los.

 

Para os funcionários, estas informações serão estabelecidas em um aviso de privacidade do  funcionário e notificações adicionais, conforme requerido pela lei de proteção de dados. Onde aplicável, os avisos de privacidade do funcionário serão fornecidos aos novos funcionários durante o período de integração, e uma cópia do aviso de privacidade será publicada on-line, sempre que possível, e disponível através dos contatos do setor local de Recursos Humanos. Os funcionários serão notificados e receberão uma cópia dos avisos aplicáveis de privacidade do funcionário sempre que forem feitas mudanças substanciais.

 

Para os clientes, prestadores de serviço e outros terceiros relevantes, um aviso de privacidade deve ser fornecido ou disponibilizado de forma recuperável e facilmente acessível, onde praticável no momento da coleta dos dados pessoais ou o mais rápido possível após.

 

Base Legal de Processamento

 

Os dados pessoais apenas podem ser coletados e processados pela Puiatti em conformidade com as  leis aplicáveis de proteção de dados e onde requerido com o consentimento do titular dos dados. Ao agir como processador de dados, os dados pessoais apenas serão processados conforme necessário para executar os serviços conforme orientado pelos clientes, ou onde, de outra forma, for exigido pela legislação aplicável.

 

Sempre que o processamento dos dados pessoais estiver baseado no consentimento explícito do titular dos dados, um registro de tal consentimento precisa ser feito e mantido.

 

Manutenção de Dados

 

A Puiatti manterá registros precisos de suas atividades de processamento, incluindo registros obrigatórios conforme estabelecido nas leis aplicáveis de proteção de dados.

 

Direitos do Titular dos Dados

 

Os titulares dos dados têm direitos específicos relacionados a seus dados pessoais e o modo pelo qual eles são processados. Os titulares dos dados terão um mecanismo razoável para lhes permitir acessar seus dados pessoais, exercer qualquer outro direito aplicável, tais como o direito de atualizar, retificar, eliminar ou transmitir em forma portátil seus dados pessoais, se apropriado ou requerido pela lei (“Direitos do Titular dos dados”), e fazer uma consulta ou reclamação relacionada ao processamento de seus dados pessoais.

 

Processador de Dados

 

Ao agir como processador de dados, a Puiatti, em cumprimento às leis aplicáveis e requisitos contratuais, notificará o controlador de dados de qualquer solicitação feita pelo titular dos dados para  exercer seus direitos de titular e assim fornecer assistência razoável após solicitação, para permitir  que o controlador de dados responda conforme requerido pelas leis de proteção de dados.

 

Controlador de Dados

 

Ao agir como processador de dados, a Puiatti tem a responsabilidade de respeitar os direitos do titular  dos dados e responder às solicitações relacionadas conforme exigido pelas leis de proteção de dados.

 

Transferências Internacionais de Dados Pessoais

 

Leis aplicáveis de proteção de dados e compromissos com o cliente podem exigir que a Puiatti tome medidas para proteger os dados pessoais antes de os transferir para fora do país onde foram coletados.

 

Proteção Equivalente

 

A Puiatti precisa tomar medidas para assegurar que as transferências internacionais, se for o caso, de  dados pessoais, estejam sujeitas às salvaguardas adequadas. Os dados pessoais que forem transferidos internacionalmente precisam ser processados pela Puiatti ou em nome dela conforme as  leis aplicáveis de proteção de dados e compromissos do cliente.

 

Transferências à Prestadores de Serviço

 

Antes que qualquer transferência a um prestador de serviços ocorra, a Puiatti tomará medidas para incorporar as cláusulas contratuais padrão no acordo contratual aplicável entre Puiatti e o prestador.

 

Gestão de Terceiros e Prestadores de Serviço

 

Relacionamentos comerciais com terceiros e com sua contratação precisam ser conduzidos de maneira que cumpra com esta Política e as leis aplicáveis de proteção de dados e compromissos com o cliente.

 

Prestadores de serviço e subprocessadores apenas podem ser contratados se forem capazes de cumprir os padrões adequados e fornecer as proteções pertinentes para os dados pessoais.

 

Pelo menos:

 

i. Análise detalhada adequada de todos os prestadores de serviço e subprocessadores deve ser conduzida, antes do processamento de seus dados pessoais (incluindo armazenamento e acesso), e em uma base contínua após, conforme necessário.

ii. Devem ser implementadas obrigações contratuais pertinentes com cada prestador de serviço (onde relevante), que incluem obrigações contratuais equivalentes àquelas que se aplicam à Puiatti segundo seus contratos relevantes com o cliente.

iii. A Puiatti tomará medidas para incorporar as cláusulas contratuais padrão no acordo contratual  aplicável entre Puiatti e o prestador, caso haja alguma transferência restrita.

  1. Todas as medidas necessárias segundo as leis aplicáveis de proteção de dados e compromissos contratuais com o cliente serão cumpridos.

 

Resposta a Incidentes

 

Controles adequados são necessários para que os incidentes de segurança que possam impactar os   dados pessoais sejam detectados, relatados e administrados segundo as políticas e procedimentos estabelecidos. Quando um evento ou incidente de segurança puder impactar os dados pessoais ou indicar uma violação a esta Política, as leis de proteção de dados ou compromissos com o cliente, o Departamento Jurídico e Compliance deverá ser imediatamente notificado.

 

O Departamento Jurídico e Compliance tem a responsabilidade de avaliar, investigar e determinar a resposta e obrigações de notificação que surgem de um evento ou incidente de privacidade, e todo o pessoal deve cooperar com Departamento Jurídico e Compliance conforme necessário para avaliar, investigar, mitigar, relatar e resolver eventos e incidentes de privacidade. Onde uma violação de dados é determinada, a Puiatti precisa agir prontamente para fornecer qualquer aviso necessário aos clientes relevantes, autoridades supervisórias e titulares dos dados.

 

Conscientização e Treinamento de Privacidade

 

Governança de privacidade e proteção de dados são essencialmente importantes para a Puiatti e sua  capacidade de:

 

  • Cumprir as leis e compromissos contratuais com os clientes;

  • Controlar riscos;

  • Manter a confiança;

  • Operar efetivamente;

  • Suportar metas estratégicas e o modelo de governança de dados.

 

Treinamento Anual

 

Treinamento obrigatório sobre privacidade e segurança será obrigatório para todo o pessoal, pelo menos, em caráter  anual, referente à privacidade, proteção de dados e segurança da informação.

 

Treinamento Adicional Baseado na Função

 

Pessoal com funções que envolvem administração regular de dados pessoais e aqueles com responsabilidades chave específicas dentro da estrutura de governança da privacidade receberão treinamento e recursos adicionais baseados na função.

 

Avaliações de Impacto à Privacidade

 

É estritamente importante que as atividades e processos sejam concebidos, implementados e realizados de forma que ofereça conformidade com as leis de proteção de dados e políticas da Puiatti e a integração das proteções necessárias para dados pessoais.

 

Avaliações de Impacto à Privacidade

 

Avaliações de impacto da privacidade (PIA, Privacy Impact Assessments) devem ser conduzidas para                       avaliar o impacto à privacidade e identificar riscos relacionados aos projetos, atividades e prestadores de serviço que possam impactar a privacidade e a segurança dos dados pessoais.

 

Antes de contratar um novo prestador de serviços, começar um novo projeto, conceber ou atualizar substancialmente um novo sistema, combinar dados de dois sistemas ou registrar configurações, ou  de outra forma, envolver-se toda atividade ou processo novos ou substancialmente modificados que  possam impactar os dados pessoais ou como são processados, uma PIA precisa ser conduzida.

 

Avaliações de Impacto da Proteção de Dados

 

Onde uma PIA indicar que o processamento dos dados pessoais tem a probabilidade de resultar em  um alto risco aos direitos e liberdade das pessoas, uma avaliação de impacto à proteção de dados (DPIA, Data Protection Impact Assessment) será conduzida antes de tal processamento a fim de determinar a natureza desses riscos e mitigá-los dentro do possível. Tal processamento não pode começar até que o Departamento Jurídico e Compliace tenha determinado que os riscos do processamento foram adequadamente mitigados.

 

Avaliação e Atualizações Contínuas

 

Avaliações de risco contínuas de processos e sistemas administrativos serão conduzidas para:

 

  • Verificar a implementação e o cumprimento de controles internos, políticas e procedimentos;  e

  • Identificar qualquer falha de conformidade.

 

Processos e procedimentos de conformidade com a privacidade serão atualizados para responder  por:

 

  • Novas ameaças ou riscos aos negócios que foram identificados;

  • Mudanças a operações e atividades;

  • Mudanças na legislação de privacidade; e

  • Áreas para melhoria com base nos resultados das avaliações de risco, PIA, auditorias, reclamações, lições aprendidas de iniciativas de resposta a incidentes, e/ou outros meios.

 

Governança

 

A Puiatti estabeleceu o Departamento Jurídico e Compliance para desenvolver, administrar e orientar iniciativas de privacidade em toda a empresa.

 

  • Inicia e incentiva uma cultura de privacidade dentro da Puiatti;

  • Assegura que a privacidade seja incluída nos objetivos e metas da empresa;

  • Administra a conformidade em um ambiente regulamentar complexo;

 

6. Definições

 

“Cliente” significa um cliente atual, anterior ou potencial da Puiatti, e qualquer outra parte em cujo nome a Puiatti age segundo orientação de tal cliente.

 

“Controlador de dados” ou “Controlador” significa a pessoa/entidade natural ou jurídica que sozinha ou em conjunto com outros, determina os propósitos e meios do processamento de dados pessoais.

 

“Dados confidenciais” significa dados pessoais considerados confidenciais ou que, de outra forma, estão sujeitos a normas regulamentares mais estritas segundo as leis de proteção de dados (incluindo “categorias especiais de dados pessoais” conforme as leis de proteção de dados da UE), e dados pessoais que, se acessados ou divulgados sem autorização, poderiam levar a roubo de identidade ou dano substancial financeiro, físico ou à reputação, incluindo também: raça ou etnia; crenças religiosas ou filosóficas; associação a sindicatos; afiliação política; orientação sexual ou vida privada; informações de saúde, tratamento médico; informações sobre deficiência física ou mental; informações de saúde protegidas; saúde mental; genética, biometria; números de cartão de crédito ou contas financeiras; dados de cartão de pagamento; número de CPF ou identificadores do governo; relatório de crédito ou verificação de antecedentes; e antecedentes criminais ou processos penais.

 

“Dados pessoais” significa toda informação relacionada a uma pessoa natural identificada ou identificável; inclui informações em qualquer formato ou meio, independentemente de a informação estar criptografada ou não. Uma pessoa pode ser diretamente identificada por seu nome, endereço, ID de funcionário, número de reclamação, endereço de e-mail, número de telefone ou identificador do governo, por exemplo. Uma pessoa pode ser indiretamente identificada por meio de vinculação ou combinação de informações adicionais que podem ou não estar sob custódia ou controle da Puiatti, tais como um endereço de IP, endereço MAC, identificador de dispositivo, identificador biométrico ou outro identificador exclusivo, informações de geolocalização, informações genéticas ou de DNA, por     exemplo.

 

“Dados pessoais dos clientes” significa dados pessoais que a Puiatti processa (como processador de dados) em nome de seus clientes.

 

“Processador de dados” ou “Processador” significa a pessoa/entidade natural ou jurídica que processa dados pessoais em nome do controlador.

 

“Leis de proteção de dados” significa, na medida do que se aplica à Puiatti, as leis, normas e regulamentações referentes à proteção da privacidade ou dos dados, ou de outra forma, que regem o processamento dos dados pessoais.

 

“Pessoal” ou “Colaboradores” significa todos os funcionários que trabalham em período integral, em meio período, temporários, regulares e terceirizados, consultores e trabalhadores sem vínculo empregatício.

 

“Prestador de serviços” significa um processador de dados terceirizado (incluindo um  subprocessador) que fornece mercadorias ou serviços para a Puiatti ou para outra entidade ou pessoa em nome de uma entidade da Puiatti.

 

“Processo” significa toda operação ou conjunto de operações executadas em dados pessoais ou conjunto destes, seja por meios automatizados ou não, tais como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou outra forma de disponibilização, alinhamento ou combinação, restrição, eliminação ou destruição dos dados.

 

 

“Subprocessador” significa um prestador de serviços nomeado por, ou em nome de uma entidade da Puiatti (em sua capacidade como processador de dados) que processará dados pessoais do cliente.

 

“Titular dos dados” significa a pessoa física a quem os dados pessoais se referem.

 

“Violação de dados” significa todo acesso não autorizado conhecido ou razoavelmente suspeito, uso, divulgação ou outro processamento de dados pessoais, bem como toda perda, roubo ou aquisição de dados pessoais ou qualquer incidente que comprometa a segurança dos dados pessoais.

 

7. Contato

Qualquer dúvida sobre a nossa Política pode ser esclarecida entrando em contato conosco. Todo assunto relacionado a dados de titulares, deve ser tratado pelo nosso canal de atendimento. Envie um e-mail para privacidade@puiatti.com.br.

 

Estamos localizados na Rua Doutor Paulo de Castro Pupo Nogueira, 730 – Nova Campinas, Campinas – São Paulo.