Contract
1. OBJETIVO
Este documento contém detalhes da política de proteção de dados pessoais e é vinculativo à atuação, perante alunos, clientes, fornecedores e terceiros em geral, da ESCOLA PARANAENSE DE AVIAÇÃO S.A., pessoa jurídica de direito privado, inscrita no CNPJ/MF sob o nº 75.263.921/0001-46, com sede no Aeroporto Bacacheri – Hangar 40, Município de Curitiba, Estado do Paraná, XXX 00.000-000, bem como de suas filiais (Filial do Rio de Janeiro/RJ, com endereço à Xxx Xxxxxx Xxxxx, xx 0, Xxxx 0000, Xxxxxx, Xxx xx Xxxxxxx/XX, XXX 00.000-000; Filial de São Paulo/SP, com endereço à Xxxxxxx Xxxxxxxx Xxxxx, xx 000, Xx 00, Xxxxx X, Xx. Dallas Off Center, Xxxx Xxxxx Xxxxxx, Xxx Xxxxx/XX, XXX 00.000-000, inscrita no CNPJ/MF sob nº 75.263.921/0009-01); Filial de Belo Horizonte/MG, com endereço à Xxxxx Xxxxx Xxxxxxx, xx 000, Xxxxxxxxx, Xxxx Xxxxxxxxx/XX, XXX 00.000-000, inscrita no CNPJ/MF sob nº 75.263.921/0008-12; e Filial de São José dos Pinhais/PR, com endereço à Avenida Rocha Pombo, nº 2561, Bloco 2, Galpão Módulo 2A, no Município de Xxx Xxxx xxx Xxxxxxx/XX, XXX 00.000-000, inscrita no CNPJ/MF sob nº 75.263.921/0010-37), doravante simplesmente “EPA”.
2. A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS E OS PRINCIPAIS CONCEITOS EMPREGADOS
A Lei nº 13.709/2018, denominada “Lei Geral de Proteção de Dados Pessoais” ou apenas “LGPD”, trata de um conjunto de regras e princípios que conferem aos cidadãos um maior controle sobre o uso e divulgação de seus dados pessoais.
Para os fins do presente documento, são considerados especificamente os dados pessoais objeto da proteção da LGPD, e não todos os dados, em geral, tratados pela EPA, a exemplo de informações de pessoas jurídicas e quaisquer outros dados desvinculados a pessoas naturais (pessoas físicas).
Para melhor compreensão dos termos técnicos empregados na LGPD e neste documento, recomendamos a observância dos seguintes conceitos, determinados pelo art. 5º da referida lei, e abaixo comentados:
a) Titular dos dados pessoais: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento – é o “indivíduo humano” protegido pela LGPD (e não a pessoa jurídica, por exemplo);
b) Dado pessoal: informação relacionada a pessoa natural identificada ou identificável – trata-se aqui dos dados pessoais gerais dos indivíduos, mais relacionados à sua identificação, a exemplo do estado civil, data de nascimento, número da Carteira de Identidade, número de inscrição no CPF/MF, número de telefone, endereços de residência e de e-mail, dados bancários, etc.
c) Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural – são os dados mais particulares do indivíduo, a exemplo destes, relacionados na LGPD;
d) Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico – a LGPD se aplica a todas as formas de armazenamento dos dados pessoais, a exemplo de arquivos impressos, mantidos em dispositivos ou mídias eletrônicas, inclusive em nuvem (cloud computing);
e) Tratamento de dados pessoais: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração – em linhas gerais, refere-se a tudo o que se faz com o dado pessoal;
f) Anonimização de dado: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo – trata-se, em linhas gerais, da utilização de técnicas de ocultação parcial ou total dos dados relacionados ao respectivo indivíduo;
g) Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada – é a anuência do indivíduo, manifestada ao agente, quanto ao tratamento dos seus dados pessoais;
h) Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o Brasil;
i) Controlador de dados pessoais: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais
– é a EPA - ESCOLA PARANAENSE DE AVIAÇÃO S.A., pessoa jurídica de direito privado, inscrita perante o CNPJ/MF sob o nº 75.263.921/0001-46, com sede no Aeroporto Bacacheri – Hangar 40, Município de Curitiba, Estado do Paraná, XXX 00.000-000;
j) Operador de dados pessoais: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador - são os colaboradores da EPA, aqui compreendidas as pessoas naturais que trabalham junto à empresa;
k) Encarregado de dados pessoais: pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) – é a pessoa também denominada “DPO – Data Protection Officer”; na EPA, é a pessoa indicada no item 10 abaixo.
3. DECLARAÇÃO DE SIGILO E PROTEÇÃO DE DADOS PESSOAIS
A EPA mantém um sólido compromisso quanto ao sigilo e à proteção dos dados pessoais tratados em sua atuação, zelando sempre pelo atendimento de todas as normas legais, éticas e profissionais pertinentes, garantindo aos titulares dos dados pessoais todos os direitos estabelecidos no art. 18 da LGPD:
a) O direito de obter do Controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I. A confirmação da existência de tratamento;
II. O acesso aos dados;
III. A correção de dados incompletos, inexatos ou desatualizados;
IV. A anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
V. A portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
VI. A eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
VII. A informação das entidades públicas e privadas com as quais o Controlador realizou uso compartilhado de dados;
VIII. A informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX. A revogação do consentimento, a qualquer momento, mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação (conforme §5º do art. 8º da LGPD).
b) O direito de peticionar em relação aos seus dados contra o Controlador perante a autoridade nacional;
c) O direito de se opor a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD.
Cabe destacar que, na forma do §2º do referido art. 18 da LGPD, os direitos acima descritos podem ser exercidos pelo titular dos dados pessoais, por si ou por meio de representante legalmente constituído, mediante requerimento expresso.
4. QUAIS DADOS PESSOAIS SÃO OBTIDOS E TRATADOS
Os dados pessoais envolvidos no tratamento são aqueles disponibilizados pelos próprios clientes, alunos e fornecedores, e serão utilizados para os fins contratados com a EPA, notadamente para comunicações, qualificação em cadastros, contratos e certificados, e quando exigidos pelas autoridades públicas competentes, para as finalidades legais, e em cada caso concreto.
5. COMO OCORRE O ARMAZENAMENTO E A PROTEÇÃO DOS DADOS PESSOAIS
A EPA mantém os dados em sistemas de informática localizados em sua sede e em serviços de nuvem (cloud computing) sediados nos EUA, e adota as melhores práticas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e para prevenir situações de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Essas práticas incluem, por exemplo, controles rígidos de acesso aos arquivos físicos ou informatizados, além de várias salvaguardas físicas, eletrônicas e procedimentais.
Embora a EPA realize a constante atualização de seus sistemas e procedimentos de proteção, é necessário esclarecer que nenhum sistema é completamente seguro. Assim
sendo, é importante que o titular dos dados pessoais comunique imediatamente à EPA, por escrito, pelo canal de contato exclusivo referido no item 9 deste documento, sobre qualquer situação de que tenha conhecimento ou suspeite que envolva a violação de seus dados pessoais, para que sejam tomadas as providências cabíveis.
6. COMO OS DADOS PESSOAIS PODEM SER COMPARTILHADOS
Quando for imprescindível para a realização das atividades da EPA e para o cumprimento das obrigações legais e contratuais a que esta está vinculada, os dados pessoais tratados por ela poderão ser compartilhados com outras empresas e profissionais envolvidos nos serviços contratados pelo cliente/titular dos dados, observadas as responsabilidades definidas pela LGPD quanto a cada agente de tratamento.
Além disso, os dados pessoais poderão ser compartilhados com autoridades judiciais, policiais, governamentais ou outros terceiros com quem esteja a EPA obrigada, por lei, norma regulatória ou ordem judicial, a compartilhá-los.
7. TÉRMINO DO TRATAMENTO E CONSERVAÇÃO DOS DADOS PESSOAIS
O término do tratamento dos dados pessoais ocorrerá nas seguintes hipóteses, determinadas pelo art. 15 da LGPD:
a) Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
b) Fim do período de tratamento;
c) Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no §5º do art. 8º da LGPD, resguardado o interesse público; ou
d) Determinação da autoridade nacional, quando houver violação ao disposto na LGPD.
Vale destacar que, nos termos do art. 16 da LGPD, os dados pessoais poderão ser conservados pela EPA para as seguintes finalidades:
a) Cumprimento de obrigação legal ou regulatória pela EPA;
b) Transferência a terceiros, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD; ou
c) Para uso exclusivo da EPA nos respectivos trabalhos internos, mediante anonimização dos dados.
8. INCIDENTES DE SEGURANÇA E CASOS OMISSOS
Todo incidente de segurança, assim considerada toda violação ou suspeita de violação de dados pessoais armazenados pela EPA deverá ser imediatamente relatado(a) ao Encarregado definido no item 9 deste documento, que, dependendo da gravidade do caso, tomará as providências cabíveis.
Eventuais casos omissos neste documento serão resolvidos pelo Encarregado, com base na legislação pertinente.
9. ALTERAÇÃO DESTE DOCUMENTO
O presente documento poderá ser alterado pela EPA a qualquer momento, sendo sua versão vigente disponibilizada por meio do website xxxxx://xxx.xxxx e por outros canais de comunicação disponíveis.
Desta feita, é recomendável que os titulares dos dados pessoais consultem com regularidade o website acima indicado e verifiquem qual a versão vigente deste documento.
10. ENCARREGADO (“DPO – DATA PROTECTION OFFICER”) E CANAL EXCLUSIVO DE CONTATO
Para os fins da LGPD, o Encarregado de dados pessoais, indicado pela EPA, é a colaboradora Xxxxx Xxxx.
Para exercício de seus direitos previstos na LGPD ou quaisquer informações adicionais sobre este assunto, o titular dos dados pessoais deverá contatar a EPA diretamente pelo e-mail xxxxxxxxxx@xxx.xxxx.
1. OBJECTIVE
This document contains details of the personal data protection policy and is binding on the performance, before students, customers, suppliers and third parties in general, of ESCOLA PARANAENSE DE AVIAÇÃO SA ., a legal entity governed by private law, registered with the CNPJ/MF under no. 75.263.921/0001-46, headquartered at Bacacheri Airport – Hangar 40, city Curitiba, State of Paraná, XXX 00.000-000, also its branches ( Rio de Janeiro/RJ Branch , with address at Xxx Xxxxxx Xxxxx , xx. 0, Xxxx 0000, Xxxxxx, Xxx xx Xxxxxxx/XX, XXX 00.000-000; Branch of São Paulo/SP , with address at Xxxxxxx Xxxxxxxx Xxxxx, xx. 000, Xx 00, Xxxxx X, Xx. Dallas Off Center, Vila Monte Alegre, São Paulo/SP, CEP 04.304- 010, registered with the CNPJ/MF under no. 75.263.921/0009-01); Belo Horizonte/MG Branch , with address at Xxxxx Xxxxx Xxxxxxx, xx. 000, Xxxxxxx, Xxxx Xxxxxxxxx/XX, XXX 00.000-000, registered with the CNPJ/MF under no. 75.263.921/0008-12; and São José dos Pinhais/PR Branch , with address at Xxxxxxx Xxxxx Xxxxx, xx. 0000, Xxxxx 0, Xxxxxx Modulo 2A, in the city Xxx Xxxx xxx Xxxxxxx/XX, XXX 00.000-000, registered with the CNPJ/MF under no. 75.263 .921/0010-37, hereinafter simply “EPA”.
2. THE GENERAL LAW OF PERSONAL DATA PROTECTION AND THE MAIN CONCEPTS APPLIED
The Law No. 13.709 / 2018, called "General Law of Personal Data Protection" or just "LGPD", is a set of rules and principles that give citizens greater control over the use and disclosure of their personal data.
For the purposes of this document, personal data subject to the protection of the LGPD are specifically considered , and not all data, in general, processed by EPA, such as information of legal entities and any other data unrelated to natural persons (individuals).
For a better understanding of the technical terms used in the LGPD and in this document, we recommend observing the following concepts, determined by art. 5 of the aforementioned law, and commented below: holder of personal data: natural person to whom the personal data that are subject to processing refer – it is the “human individual” protected by the LGPD (and not the legal entity, for example):
a) Holder of personal data : natural person to whom the personal data that are subject to processing refer – it is the “human individual” protected by the LGPD (and not the legal entity, for example);
b) Personal data: information related to an identified or identifiable natural person - this is the general personal data of persons, more related to their identification, such as marital status, date of birth, ID card number, CPF/MF registration number, telephone number, home and e-mail addresses, bank details, etc;
c) Sensitive personal data: personal data on racial or ethnic origin, religious conviction, political opinion, affiliation to a union or organization of a religious, philosophical or political nature, data relating to health or sexual life, genetic or biometric data, when linked to a natural person – these are the person's most particular data, such as these, listed in the LGPD;
d) Database : structured set of personal data, established in one or several locations, electronically or physically - the LGPD applies to all forms of storage of personal data, such as printed files, kept on devices or electronic media, including in the cloud (cloud computing);
e) Processing of personal data: any operation performed with personal data, such as those relating to the collection production, reception, classification, use, access, reproduction, transmission, distribution, processing, archiving, storage, elimination, evaluation or control of the information, modification, communication, transfer,
dissemination or extraction – in general terms, refers to everything that is done with personal data;
f) Data anonymization : use of reasonable technical means available at the time of processing, whereby a data loses the possibility of association, directly or indirectly, with a person - it is, in general terms, the use of techniques of partial or total concealment of data relating to the respective person;
g) Consent: free, informed and unambiguous manifestation by which the holder agrees with the processing of one’s personal data for a specific purpose – it is the person's consent, expressed to the agent, regarding the processing of one’s personal data;
h) Data Protection National Authority (ANPD): public administration body responsible for overseeing, implementing and monitoring compliance with the LGPD throughout Brazil;
i) Personal data controller : legal entity or individual, under public or private law, who is responsible for decisions regarding the processing of personal data - it is EPA
- ESCOLA PARANAENSE DE AVIAÇÃO S.A. , a legal entity governed by private law, registered with the CNPJ /MF under No. 75.263.921/0001-46, headquartered at Bacacheri Airport – Hangar 40, city Curitiba, State of Paraná, XXX 00.000-000;
j) Personal data operator: legal entity or individual, under public or private law, who processes personal data on behalf of the Controller - EPA employees, including individuals who work with the company;
k) Person in charge of personal data: person appointed by the Controller and Operator to act as a communication channel between the Controller, the data subjects and the Data Protection National Authority (ANPD) – it is the person also called“ DPO – Data Protection Officer”; at EPA, it is the person indicated in item 10 below.
3. DECLARATION OF CONFIDENTIALITY AND PROTECTION OF PERSONAL DATA
EPA maintains a solid commitment to the secrecy and protection of personal data processed in its work, always ensuring compliance with all relevant legal, ethical and professional
standards, guaranteeing the holders of personal data all the rights established in art. 18 of the LGPD:
a) The right to obtain from the Controller, in relation to the data of the holder processed by him, at any time and upon request:
I. Confirmation of the existence of treatment;
II. Access to data;
III. Correction of incomplete, inaccurate or outdated data;
IV. The anonymization, blocking or deletion of unnecessary, excessive or processed data in violation of the provisions of the LGPD;
V. The portability of data to another service or product provider, upon express request, in accordance with the regulations of the national authority, observing commercial and industrial secrets;
VI. The deletion of personal data processed with the consent of the holder, except in the cases provided for in art. 16 of the LGPD;
VII. Information on public and private entities with which the Controller shared data;
VIII. Information about the possibility of not providing consent and about the consequences of denial;
IX. The revocation of consent, at any time, upon express manifestation of the holder, by free and facilitated procedure, ratified the treatments carried out under the protection of the consent previously expressed while there is no request for elimination (according to §5 of art. 8 of the LGPD).
b) The right to petition in relation to one’s data against the Controller before the national authority;
c) The right to object to treatment based on one of the cases of waiver of consent, in case of non-compliance with the provisions of the LGPD.
It should be noted that, pursuant to §2 of said art. 18 of the LGPD, the rights described above can be exercised by the holder of the personal data, by oneself or through a legally constituted representative, upon express request.
4. WHAT PERSONAL DATA ARE OBTAINED AND PROCESSED
The personal data involved in the processing are those provided by the customers, students and suppliers themselves, and will be used for the purposes contracted with EPA, notably for communications, qualification in registrations, contracts and certificates, and when required by the competent public authorities, for the legal purposes, and in each specific case.
5. HOW THE STORAGE AND PROTECTION OF PERSONAL DATA OCCUR
EPA maintains the data in computer systems located at its headquarters and in cloud services (cloudcomputing) based in the USA, and adopts the best technical and administrative practices to protect personal data from unauthorized access and to prevent situations of destruction, loss, alteration, communication or any form of improper or unlawful treatment. These practices include, for example, strict controls on access to physical or computerized files, in addition to various physical, electronic and procedural safeguards.
Although EPA constantly updates its protection systems and procedures, it is important to clarify that no system is completely safe. Therefore, it is important that the holder of the personal data immediately notify EPA, in writing, through the exclusive contact channel referred to in item 9 of this document, about any situation of which they are aware or suspect involving the violation of their personal data, so that appropriate measures are taken.
6. HOW PERSONAL DATA CAN BE SHARED
When it is essential for the performance of EPA's activities and for the fulfillment of legal and contractual obligations to which it is bound, the personal data processed by it may be shared
with other companies and professionals involved in the services contracted by the customer/data subject, observing the responsibilities defined by the LGPD for each treatment agent.
In addition, personal data may be shared with legal, police, government authorities or other third parties with whom EPA is required by law, regulatory rule, or court order, to share it.
7. END OF PROCESSING AND CONSERVATION OF PERSONAL DATA
The end of the processing of personal data will occur in the following cases, determined by art. 15 of the LGPD:
a) Verification that the purpose has been achieved or that the data is no longer necessary or relevant to the achievement of the specific intended purpose;
b) End of the treatment period;
c) Communication by the holder, including in the exercise of one’s right to revoke consent as provided for in §5 of art. 8 of the LGPD, safeguarding the public interest; or
d) Determination of the national authority, when there is a violation of the provisions of the LGPD.
It is noteworthy that, pursuant to art. 16 of the LGPD, personal data may be retained by EPA for the following purposes:
a) Compliance with a legal or regulatory obligation by EPA;
b) Transfer to third parties, provided that the data processing requirements set out in the LGPD are respected; or
c) For the exclusive use of EPA in its internal work, subject to data anonymization.
8. SAFETY INCIDENTS AND OMISSIONS
Any safety incident, thus considered any violation or suspected violation of personal data stored by EPA must be immediately reported to the Supervisor defined in item 9 of this document, who, depending on the seriousness of the case, will take the appropriate measures.
Any cases not covered by this document will be resolved by the Supervisor, based on the relevant legislation.
9. AMENDMENT OF THIS DOCUMENT
This document may be amended by EPA at any time, its current version being made available through the website xxxxx://xxx.xxxx and other available communication channels.
This time, it is recommended that the holders of personal data regularly consult the website indicated above and check the current version of this document.
10. OFFICER ("DPO - DATA PROTECTION OFFICER") AND EXCLUSIVE CONTACT CHANNEL
For the purposes of the LGPD, the Personal Data Officer, appointed by the EPA, is the employee Xxxxx Xxxx.
In order to exercise their rights under the LGPD or any additional information on this matter, the holder of the personal data must contact EPA directly at xxxxxxxxxx@xxx.xxxx.