SUMÁRIO
Título: POLÍTICA DE ARMAZENAMENTO, ANONIMIZAÇÃO E DESCARTE | Nº.: P(LGPD)07 | |
Data: 01/06/2021 | ||
Contrato/Unidade/Seção: CORPORATIVO | Página: 1 de 12 | |
INDICE DE REVISÕES | ||
Revisão | DESCRIÇÃO DAS ALTERAÇÕES E/OU PÁGINAS ALTERADAS | |
0 | Primeira edição da política | |
1 | Criação dos itens 6.4.1 e 6.4.2 | |
Revisão | REV. 0 | REV. 01 |
Data | 01/03/2021 | 01/06/2021 |
Elaboração | Xxxxx Xxxxxx | Xxxxx Xxxxxx |
Aprovação | Neuda Rodrigues | Xxxxx Xxxxxxxxx |
SUMÁRIO
5.2 Encarregado de proteção de dados 5
5.3 Colaboradores, clientes e usuários de dados 6
6. DIRETRIZES PARA ARMAZENAMENTO, ANONIMIZAÇÃO E DESCARTE 7
6.1 Classificação das Informações 7
6.4.1 Descarte de dados armazenados em meios físicos 10
6.4.2 Descarte de dados armazenados em meios digitais 11
1. OBJETIVO
Complementar as Políticas de Segurança da Informação da ÁLAMO ENGENHARIA S/A, definindo as diretrizes para o devido armazenamento, manuseio e descarte de informações da ÁLAMO.
2. ABRANGÊNCIA
Aplica-se a todos colaboradores da XXXXX ENGENHARIA S/A, em todas as suas unidades.
3. DOCUMENTOS ASSOCIADOS
• Código de Ética e Conduta da ÁLAMO ENGENHARIA S/A;
• Lei N° 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados;
• ABNT NBR ISO IEC 27001:2006 e 27002:2005
• Lei Federal nº 9609, de 19 de fevereiro de 1998
• F(LGPD)01 - Termo de Consentimento de Dados Pessoais;
• F(LGPD)02 - Termo de Confidencialidade Geral LGPD;
• F(LGPD)03 - Notificação de Incidente de Segurança;
• F(LGPD)04 - Termo de Revogação de Consentimento Geral;
• P(LGPD)01 - Política de Privacidade Para Colaboradores ÁLAMO;
• P(LGPD)03 - Política de Privacidade e Dados Pessoais (Recrutamento);
• P(LGPD)04 - Política de Uso dos Recursos de Tecnologia da Informação ÁLAMO;
• P(LGPD)05 - Política de Privacidade do Departamento de Recursos Humanos;
• P(LGPD)06 - Política de Cookies ÁLAMO;
4. DEFINIÇÕES
Anonimização: Técnica que resulta do tratamento de dados pessoais a fim de lhes retirar elementos suficientes para que deixe de ser possível identificar o titular dos
dados, de forma irreversível. Mais precisamente, os dados têm de ser tratados de forma a que já não possam ser utilizados para identificar uma pessoa singular utilizando o conjunto dos meios suscetíveis de serem razoavelmente utilizados, seja pelo responsável pelo tratamento, seja por terceiros.
Dados Pessoais: Qualquer informação relacionada a pessoa natural identificada ou identificável (titular dos dados), de qualquer natureza e independentemente do respetivo suporte. É considerada identificável a pessoa que possa ser identificada direta ou indiretamente, designadamente por referência a um número de identificação ou a mais elementos específicos da sua identidade física, fisiológica, psíquica, econômica, cultural ou social.
Dados Pessoais Sensíveis: Dados sobre a origem racial ou étnica do seu titular, as suas opiniões políticas, as suas convicções religiosas ou filosóficas, informação genética, identificadores biométricos, vida sexual, orientação sexual ou sobre a sua saúde.
Definição de Perfis: Qualquer forma de tratamento automatizado de dados pessoais que consista na utilização desses dados pessoais para, nomeadamente, incluir uma pessoa singular em determinada categoria, respeitante ao seu desempenho profissional, à sua situação econômica, saúde, preferências pessoais, interesses, comportamento, localização ou deslocações.
Encarregado da proteção de dados (Data Protection Officer – “DPO”): Xxxxxx indicada pela ÁLAMO ENGENHARIA S/A para ser responsável pela integridade dos dados pessoais e para atuar como canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.
LGPD: Sigla para Lei Geral de Proteção de Dados. Refere-se à lei N° 13.709, de 14 de agosto de 2018, que dispõe sobre o tratamento de dados pessoais por pessoa natural ou jurídica.
Usuário de Dados: Toda pessoa física que compartilhe um dado pessoal e/ou dado pessoal sensível com a ÁLAMO ENGENHARIA S/A.
5. RESPONSABILIDADES
As diretrizes descritas neste documento devem ser observadas e cumpridas, no nível e abrangência aplicáveis e adequados, por todos os colaboradores da ÁLAMO ENGENHARIA S/A.
Abaixo são descritas as responsabilidades de cada parte interessada presente na Política. Outros direcionamentos específicos são mencionados em outros capítulos desta política.
5.1 ÁLAMO ENGENHARIA S/A.
• Preservar o direito à privacidade de usuários, dentro dos limites impostos por suas políticas internas e pela LGPD;
• Aplicar mecanismos de controle e proteção aos dados pessoais de seus usuários;
• Utilizar das melhores práticas para a coleta de dados de seus usuários;
• Não utilizar os dados pessoais para quaisquer fins que não os concedidos por seus usuários;
• Disponibilizar a seus colaboradores e clientes a presente política para conhecimento de seus direitos e deveres;
• Disponibilizar canais para acesso dos usuários a informações sobre seus dados pessoais;
• Realizar o armazenamento de dados pessoais de forma segura, estando sempre em consonância com tecnologias e diretrizes de mercado.
5.2 Encarregado de proteção de dados
• Estar disponível e dar suporte aos clientes quanto a dúvidas relacionadas a presente Política;
• Manter a Política atualizada e em local de fácil acesso para todos os clientes;
• Verificar a adequação da Política e seus documentos associados a diretrizes da LGPD;
• Auditar e acompanhar processos de uso e coleta de dados, confirmando a correta utilização da Política;
• Atuar como canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;
• Preconizar pelo correto armazenamento e descarte dos dados pessoais coletados pela ÁLAMO ENGENHARIA S/A, atentando-se a atualizações necessárias de tecnologia e diretrizes.
5.3 Colaboradores, clientes e usuários de dados
• Informar a Administração ou ao Encarregado de Dados da ÁLAMO ENGENHARIA S/A sobre questões de segurança da informação e vulnerabilidades aplicáveis aos sistemas da ÁLAMO ENGENHARIA S/A;
• Zelar pela privacidade e segurança dos dados pessoais próprios e de outrem que porventura tenham acesso, cumprindo com os requisitos de segurança da ÁLAMO ENGENHARIA S/A, incluindo as diretrizes desta política;
• Estarem cientes sobre as políticas de segurança da informação da ÁLAMO ENGENHARIA S/A e seus meios de armazenamento, anonimização e descarte de dados pessoais.
• A transferência de dados pessoais para dispositivos removíveis é terminantemente proibida. Caso haja necessidade indispensável e/ou emergencial, a área de TI deverá ser contatada para a devida liberação, seguindo os protocolos de segurança determinados pela área (informação do uso, documentos que serão removidos/copiados, etc);
• Em períodos de ausência da estação de trabalho, documentos em suporte físico devem ser retirados das mesas e de outras áreas de superfície;
• Em períodos de ausência da estação de trabalho, é obrigatório o bloqueio do computador utilizado;
• Dúvidas sobre Políticas e Normas de Segurança da Informação devem ser imediatamente esclarecidas com o gestor responsável, ou com a área de
segurança da informação (TI ou Encarregado de Dados).
6. DIRETRIZES PARA ARMAZENAMENTO, ANONIMIZAÇÃO E DESCARTE
A informação é um ativo muito importante para a ÁLAMO ENGENHARIA S/A, por isso, todos os colaboradores e prestadores de serviços devem adotar comportamento seguro ao armazenar, manusear e descartar qualquer tipo de informação e assumir atitude proativa no que diz respeito à proteção das informações da ÁLAMO ENGENHARIA S/A.
Todo o acesso à informação da XXXXX ENGENHARIA S/A que não for explicitamente autorizado é proibido. Informações confidenciais da ÁLAMO ENGENHARIA S/A não devem ser transportadas em qualquer tipo de mídia sem as devidas proteções e autorizações.
As informações devem ser classificadas conforme a tabela abaixo:
6.1Classificação das Informações
As informações devem ser classificadas conforme a tabela abaixo:
Anexo I
Níveis de Classificação | Características |
Pública | Informações que podem ou devem ser divulgadas publicamente. A divulgação deste tipo de informação não causa problemas a ÁLAMO ENGENHARIA S/A ou ao titular dos dados e parceiros, podendo ser compartilhada livremente com o público em geral, desde que seja mantida sua integridade. Será decisão da XXXXX ENGENHARIA S/A designar alguém ou um setor para divulgações públicas. A classificação dessa informação continua sendo uma responsabilidade do gestor. |
Interna | Informações internas são aquelas divulgadas a todos os colaboradores e prestadores de serviços, seguindo os compromissos estabelecidos nas políticas de segurança da informação da ÁLAMO ENGENHARIA S/A com a confidencialidade das informações. |
Reservada | Informações reservadas são aquelas restritas a um determinado grupo, área ou cargo, que necessitem conhecê-las para o desempenho de suas tarefas profissionais na ÁLAMO ENGENHARIA S/A. Exemplos: Projetos, relatórios, indicadores e outros |
Secreta/Confidencial | Informações Secretas/Confidenciais são aquelas que requerem um tratamento especial, pois cuja divulgação não autorizada ou acesso indevido pode gerar prejuízos financeiros, legais, normativos, contratuais ou na reputação, imagem ou estratégia da ÁLAMO ENGENHARIA S/A. Exemplos: informações privadas de pessoas, fornecedores e informações estratégicas. |
Documentos confidenciais devem ser devidamente guardados e protegidos, tendo acesso restrito. A responsabilidade pela guarda e segurança de tais documentos é do gestor da respectiva área, que deverá reportar-se ao Encarregado de Dados caso tenha dúvidas quanto a medidas de segurança ou meios adequados de armazenamento.
Documentos de uso interno ou confidenciais em suporte eletrônico devem ser armazenados em ambientes com acesso controlado e senhas para impedir o acesso de pessoas não autorizadas.
6.2 Armazenamento
Todas as informações e dados de suporte físico categorizadas como confidenciais devem ser guardadas, após o uso, no arquivo da ÁLAMO ENGENHARIA S/A, onde serão armazenadas em caixas box lacradas e identificáveis em uma sala de acesso restrito, de forma a impedir o acesso de pessoas não autorizadas.
Todas as informações internas e confidenciais de suporte eletrônico deverão ser armazenadas em ambiente com acesso controlado e com senha impedindo o acesso de pessoas não autorizadas, além de registro de acesso.
Todos os dados pessoais salvos na nossa base de dados devem ser fornecidos voluntariamente e conscientemente pelo usuário, deixando claro a sua utilização. Documentos, informações e dados pessoais, pertencentes a ÁLAMO ENGENHARIA S/A que forem armazenados em mídias móveis como Pen drive, HD, BD, DVD, CD dentre outros, deverão ser liberados pela área de TI e ter obrigatoriamente uma criptografia de alto nível e senha de alto nível.
Os servidores ou banco de dados que armazenam informações, dados e documentos devem possuir trilha de auditoria ativada para geração de log de acesso.
Todos os dados de autenticação devem ser armazenados para fazer recorrência, única exceção à regra é o não armazenado do CVV.
Somente devem ser armazenados os dados estritamente necessários, todo o resto deve ser descartado após a utilização.
6.3 Anonimização
A anonimização de dados é a prática de tratamento de dados que visa impossibilitar a identificação das pessoas relacionadas às informações. Os dados adequadamente anonimizados podem ser utilizados livremente, estando excluídos do escopo de aplicação de qualquer penalidade legal.
Neste sentido, quando a identificação do titular do dado não for essencial ou necessária para um determinado processo, tal como uma pesquisa interna ou externa, deverá ser feita a sua anonimização, a fim de que seja impossível o seu
reconhecimento, mantendo-se as informações que são necessárias para fins estatísticos, desde que não haja qualquer tipo de possibilidade de se reconhecer o titular do dado.
Poderá ser utilizado qualquer método de anonimização, desde que torne a recuperação de dados pessoais impossível.
6.4 Descarte
A ÁLAMO ENGENHARIA S/A mantém os dados pessoais de seus usuários armazenados em seu sistema de dados e arquivos por tempo indeterminado, exceção realizada a requisições de titulares dos dados.
Os dados pessoais deverão ser excluídos em um prazo de até 7 dias corridos, quando solicitado pelo titular do dado, desde que de acordo com as premissas de segurança e regulatórias.
Os itens de descarte deverão ser registrados sempre que possível para uma auditoria, seguindo os seguintes parâmetros:
• Descarte via solicitação do Titular do Dado: Deverá ser gerado um número de protocolo ou similar que será fornecido ao titular. Nos registros deverá conter o protocolo, data, quantidade de dados descartados e número do solicitante.
• Troca ou Descarte do Desktop: Deverá ser registrado o modelo e marca do equipamento, usuário antigo e destino do equipamento, além de registrar a data que foi executado o procedimento cabível de descarte de dados.
• Destruição dos dados via terceiro: Informar o tipo de equipamento ou documento, quantidade se aplicável, método de destruição e comprovante da destruição.
6.4.1 Descarte de dados armazenados em meios físicos
Os dados digitais e/ou documentos impressos, categorizados como confidenciais, deverão ser enviados para armazenamento no setor de arquivo para posterior descarte.
Sempre que solicitado por um departamento e/ou pessoa o descarte de um documento, o setor de arquivo da ÁLAMO ENGENHARIA S/A emite um
relatório de todo conteúdo armazenado, para que o solicitante sinalize quais conteúdos serão descartados. O descarte de documentos arquivados é realizado através de uma empresa especializada em arquivamento e descarte de dados, que realiza o processo de fragmentação e posterior reciclagem, seguindo critérios ambientais para destinação final. Para tal, é necessário que a ÁLAMO ENGENHARIA S/A informe a empresa de descarte, através de uma carta de papel timbrado assinada por representante da ÁLAMO ENGENHARIA S/A, uma série de dados para realização do expurgo dos documentos, dentre os quais:
• Listagem dos documentos a serem destruídos
• Referência, departamento, número da caixa ou folders;
• Informar se as caixas serão verificadas por representante da ÁLAMO ENGENHARIA S/A antes do expurgo;
• Informar se haverá acompanhamento de representante da ÁLAMO ENGENHARIA S/A no momento da destruição e para acompanhar a retirada das caixas, que são devolvidas após o expurgo dos documentos.
Após a realização da fragmentação e destinação final, a empresa contratada emitirá um certificado onde estarão identificados os códigos no sistema das caixas descartadas, seu número e a data do descarte. Esse documento ficará armazenado na rede interna da ÁLAMO ENGENHARIA S/A, na área da rede do departamento de Arquivos.
Por segurança, o acesso a sala de arquivos da ÁLAMO ENGENHARIA S/A é restrito, sendo controlado por fechadura com senha e controle de acesso na unidade RJ e com ficha de controle de acesso na unidade SP, registrando sempre que alguém não cadastrado no departamento entra e sai do local de arquivo.
6.4.2 Descarte de dados armazenados em meios digitais
Dispositivos que possuam informações classificadas como nível de confidencialidade elevado devem ser destruídos fisicamente ou as
informações devem ser destruídas, utilizando técnicas que torne a recuperação de dados impossível. Para exemplificar olhar Anexo I. Documentos de baixa relevância podem utilizar processo de descarte mais simples. Para exemplificar olhar o Anexo I.
Documentos, informações e dados pessoais pertencentes a ÁLAMO ENGENHARIA S/A, que armazenado em mídia móvel como Pen drive, HD, BD, CD, DVD dentre outros, quando forem descartados, deverão ser destruído (caso os dados não sejam de domínio público). Caso sejam dados categorizados como confidenciais, deverão preferencialmente fazer o descarte físico através dos meios citados no item 6.4.1 – Descarte de dados armazenados em meios físicos.
7. SANÇÕES E PUNIÇÕES
O descumprimento dessa política e das políticas de segurança da informação da XXXXX ENGENHARIA S/A poderá acarretar sanções e punições aos envolvidos.
8. CONTATE-NOS
Poderá contatar o Encarregado de Proteção de Dados (“DPO”) da ÁLAMO ENGENHARIA S/A para mais informações sobre o tratamento dos seus dados pessoais, bem como quaisquer questões relacionadas com o exercício dos direitos que lhe são atribuídos pela legislação aplicável e, em especial, os referidos na presente Política de Privacidade, através dos seguintes contatos: