POLÍTICA INTERNA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

POLÍTICA INTERNA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

A presente Política de Privacidade e Proteção de Dados Pessoais (“Política”) tem como objetivo fornecer orientações sobre como gerenciar as atividades e operações de tratamento de dados pessoais existentes na CORIS BRASIL TURISMO VIAGENS E ASSISTENCIA INTERNACIONAL EIRELI (CORIS), em

observância à Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – “LGPD”).

A CORIS, para alcançar a finalidade de seu negócio, realiza operações de tratamento de dados pessoais, podendo ser caracterizada como Controladora de Dados Pessoais, Operadora de Dados Pessoais, Controladora e Operadora de Dados Pessoais ou Co-Controladora de Dados Pessoais, de acordo com as definições da LGPD, reforçando, em todas as posições que ocupar, o seu compromisso com o cumprimento das regras de privacidade e proteção de dados pessoais aplicáveis.

DEFINIÇÕES

AGENTES DE TRATAMENTO DE DADOS PESSOAIS: O controlador e o operador de dados pessoais.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (“ANPD”): órgão

responsável pela fiscalização do cumprimento das disposições da Lei Geral de Proteção de Dados, Lei Federal nº 13.709/2018 no território nacional.

CONTROLADOR DE DADOS PESSOAIS: Pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões, especialmente relativas às finalidades e os meios de tratamento dos dados pessoais.

DADO ANONIMIZADO: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

DADOS PESSOAIS: Informação relacionada a pessoa natural identificada ou identificável, tais como nome, CPF, RG, endereço residencial ou comercial, número de telefone fixo ou móvel, endereço de e-mail, informações de geolocalização, entre outros.

DADOS PESSOAIS SENSÍVEIS: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a pessoa natural.

LEI GERAL DE PROTEÇÃO DE DADOS (“LGPD”): Lei nº 13.709, de 14 de agosto

de 2018, que dispõe sobre o tratamento de dados pessoais em meios digitais ou físicos realizados por pessoa natural ou por pessoa jurídica, de direito público ou privado, tendo como objetivo defender os titulares de dados pessoais e ao mesmo tempo permitir o uso dos dados para finalidades diversas, equilibrando interesses e harmonizando a proteção da pessoa humana com o desenvolvimento tecnológico e econômico.

OPERADOR DE DADOS PESSOAIS: Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais de acordo com as instruções do Controlador.

SISTEMA DE CONTROLES INTERNOS: Conjunto de elementos que auxiliam a CORIS na gestão de riscos.

TERCEIRO: É toda pessoa física ou jurídica contratada pela CORIS para desenvolver ou auxiliar no desenvolvimento de suas atividades, tanto na qualidade de fornecedores de bens ou serviços, como de parceiros comerciais.

TITULAR DE DADOS PESSOAIS (“TITULAR”): Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

TRATAMENTO DE DADOS PESSOAIS (“TRATAMENTO”): Toda operação

realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, modificação, comunicação, transferência, difusão ou extração.

ESCOPO

Esta Política estabelece diretrizes e regras para garantir que seus destinatários entendam e cumpram as legislações que versam sobre proteção de dados pessoais em todas as interações com atuais e futuros titulares de dados pessoais, terceiros e agentes de tratamento de dados pessoais externos à CORIS no âmbito de suas atividades.

Para além dos conceitos definidos pelas normas que versam sobre privacidade e proteção de dados pessoais, as informações abarcadas pela presente Política incluem todos os dados detidos, usados ou transmitidos pela ou em nome da CORIS, em qualquer tipo de mídia.

A adesão ao programa de conformidade da CORIS às leis de proteção de dados pessoais e aos demais normativos dele decorrentes, incluindo a presente Política, é obrigatória a todos os destinatários indicados na medida em que se relacionam à CORIS.

Todas as operações que envolvam tratamento de dados pessoais que sejam realizadas no escopo das atividades conduzidas pela CORIS estão sujeitas a tais normativas.

APLICABILIDADE

Esta Política se aplica aos colaboradores da CORIS, a todos os terceiros, sejam eles pessoas físicas ou jurídicas que atuam para ou em nome da CORIS em operações que envolvam tratamento de dados pessoais que sejam realizadas no escopo das atividades conduzidas pela CORIS.

OBJETIVOS

São objetivos da Política de Privacidade e Proteção de Dados Pessoais CORIS:

(i) Estabelecer as diretrizes e responsabilidades da CORIS que assegurem e reforcem o compromisso da Empresa com o cumprimento das legislações de proteção de dados pessoais aplicáveis;

(ii) Descrever as regras a serem seguidas na condução das atividades e operações de tratamento de dados pessoais realizadas pela CORIS e

pelos destinatários desta Política, no âmbito das atividades da CORIS, que garantem a sua conformidade com as legislações de proteção de dados pessoais aplicáveis e, em especial, com a LGPD.

A presente Política deve ser lida em conjunto com as obrigações previstas nos documentos abaixo relacionados, que versam sobre informações em geral, e a complementam quando aplicável:

(i) Contratos de trabalho dos empregados da CORIS e outros documentos comparáveis, que dispõem sobre obrigações de confidencialidade em relação às informações mantidas pela Instituição;

(ii) Políticas e normas de procedimentos de segurança da informação, bem como termos e condições de uso, que tratem sobre confidencialidade, integridade e disponibilidade das informações da CORIS;

(iii) Todas as normas internas a respeito da proteção de dados pessoais que vierem a ser elaboradas e atualizadas, periodicamente.

PRINCÍPIOS DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

A CORIS cumprirá com os seguintes princípios de proteção de dados pessoais quando do tratamento de dados pessoais:

(i) FINALIDADE: a CORIS realizará o tratamento de dados pessoais apenas para propósitos legítimos, específicos, explícitos e informados ao titular de dados pessoais, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

(ii) ADEQUAÇÃO: a CORIS realizará o tratamento de dados pessoais de forma compatível com as finalidades informadas ao titular de dados, e de acordo com o contexto do tratamento;

(iii) NECESSIDADE: o tratamento de dados pessoais realizado pela CORIS será limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento;

(iv) LIVRE ACESSO: a CORIS garantirá aos titulares de dados pessoais a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados;

(v) QUALIDADE DOS DADOS: a CORIS garantirá, aos titulares de dados pessoais, a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

(vi) TRANSPARÊNCIA: a CORIS garantirá, aos titulares de dados pessoais, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento de dados pessoais, observados os segredos comercial e industrial;

(vii) SEGURANÇA: a CORIS utilizará medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

(viii) PREVENÇÃO: a CORIS adotará medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

(ix) NÃO DISCRIMINAÇÃO: a CORIS garantirá a impossibilidade de realização do tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos;

(x) RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: a CORIS se compromete a demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, e a eficácia dessas medidas.

DEVERES PARA USO O ADEQUADO DE DADOS PESSOAIS

Os deveres de cuidado, atenção e uso adequado de dados pessoais se estendem a todos os destinatários dessa Política no desenvolvimento de suas atividades na CORIS:

DEVERES ESPECÍFICOS DOS TITULARES DE DADOS PESSOAIS:

Cabe aos titulares de dados pessoais comunicar à CORIS sobre quaisquer modificações em seus dados pessoais na sua relação com a Empresa, notificando-a por meios eletrônicos disponibilizados no site, ou ainda por meio físico, endereçado à sede.

DEVERES DOS EMPREGADOS DA CORIS, AGENTES DE TRATAMENTO DE DADOS PESSOAIS E TERCEIROS:

(i) Não disponibilizar nem garantir acesso aos dados pessoais mantidos pela CORIS para quaisquer pessoas não autorizadas ou competentes de acordo com as normas da Instituição;

(ii) Obter a autorização necessária para o tratamento de dados e ter os documentos necessários que demonstrem a designação de sua competência para a realização da operação de tratamento de dados lícita;

(iii) Cumprir as normas, recomendações, orientações de segurança da informação e prevenção de incidentes de segurança da informação publicadas pela Empresa.

Todos os destinatários desta Política têm o dever de contatar o Encarregado de dados da CORIS, quando da suspeita ou da ocorrência efetiva das seguintes ações:

(i) Operação de tratamento de dados pessoais realizada sem base legal que a justifique;

(ii) Tratamento de dados pessoais sem a autorização por parte da CORIS no escopo das atividades que desenvolve;

(iii) Operação de tratamento de dados pessoais que seja realizada em desconformidade com a Política de Segurança da Informação da CORIS;

(iv) Eliminação ou destruição não autorizada pela CORIS de dados pessoais de plataformas digitais ou acervos físicos em todas as instalações da Instituição ou por ela utilizadas;

(v) Qualquer outra violação desta Política ou de qualquer um dos princípios de proteção de dados.

RELAÇÃO COM OS TERCEIROS

Visando a garantia do cumprimento das medidas de prevenção de riscos e a correta aplicação desta Política, todos os contratos com terceiros deverão conter cláusulas referentes à proteção de dados pessoais, estabelecendo deveres e obrigações envolvendo a temática, e atestando o compromisso dos terceiros com as legislações de proteção de dados pessoais aplicáveis.

SEGURANÇA DA INFORMAÇÃO

As normas de segurança da informação e prevenção contra incidentes de dados pessoais estão contidas na Política de Segurança da Informação da CORIS e nas normativas internas e demais documentos relacionados.

MELHORIA CONTÍNUA

Como forma de garantir a disseminação do conhecimento entre todos os agentes envolvidos nas atividades relacionadas à proteção de dados, a CORIS empenha-se em:

(i) Fornecer treinamentos e orientações para os empregados da CORIS e terceiros, incluindo, mas não se limitando a cursos online, workshops, reuniões internas, palestras, dentre outras iniciativas, disponibilizando conteúdos em formato digital e presencial;

(ii) Identificar e aprofundar a avaliação dos riscos que podem comprometer os controles na área de privacidade e proteção de dados pessoais, implementando planos de ação e políticas para mitigar os riscos identificados;

(iii) Assegurar que as regras e orientações relativas à proteção de dados sejam informadas e incorporadas nas rotinas e práticas corporativas;

(iv) Prestar esclarecimentos, oferecer informações e apresentar relatórios sobre as operações de tratamento de dados pessoais e seus impactos para as autoridades públicas competentes quando requisitado;

(v) Revisitar, periodicamente, as políticas de privacidade de dados e segurança da informação, implementando melhorias contínuas.

PENALIDADES

As violações desta política, mesmo que por mera omissão ou tentativa não consumada, bem como demais normas e procedimentos de proteção de dados pessoais, serão passíveis de penalidades que incluem advertência verbal, advertência por escrito, suspensão não remunerada e a demissão por justa causa.

No caso de terceiros contratados ou prestadores de serviço, deverá ser analisada a ocorrência e deliberar sobre a efetivação das sanções e punições conforme termos previstos em contrato e na legislação aplicável.

Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em riscos aos titulares de dados pessoais, ou danos a CORIS, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes sem prejuízo aos termos descritos nos itens descritos acima.

REVISÕES DO DOCUMENTO

Esta política deve ser revisada com periodicidade anual ou conforme o entendimento e decisão do Comitê de Gestão de Proteção de Dados Pessoais