Portal da Privacidade

Política de Tratamento de Dados Pessoais

Introdução

A Política de Tratamento de Dados Pessoais da DRCALL, contém informações sobre coleta, uso, armazenamento, tratamento e proteção dos dados pessoais dos usuários do site https://drcall.com.br, com a finalidade de demonstrar absoluta transparência quanto ao assunto e esclarecer a todos interessados sobre os tipos de dados que são coletados, os motivos da coleta e a forma como a DRCALL realiza o tratamento dos dados em todo ciclo de vida.

Esta Política de Tratamento de Dados Pessoais aplica-se a todos os usuários e visitantes do site e integra os Termos e Condições Gerais de Uso do site.

O presente documento foi elaborado em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18), o Marco Civil da Internet (Lei 12.965/14) (e o Regulamento da UE n. 2016/6790). Ainda, o documento poderá ser atualizado em decorrência de eventual atualização normativa, razão pela qual se convida o usuário a consultar periodicamente esta política.

Escopo de Privacidade

1 – Objetivo: A Política de Tratamento de Dados Pessoais tem como objetivo determinar e documentar que a coleta e o uso de dados pessoais sejam legais, bem como a base legal atribuída para o tratamento, nos termos do art. 7º e 11º da Lei nº 13.709/2018, a Lei Geral de Proteção de Dados (“LGPD”), e com propósitos claramente definidos e legítimos.

2 – Abrangência: Aplica-se, independentemente de suas atribuições e responsabilidades, a todos os colaboradores, clientes, fornecedores e parceiros da DRCALL.

3 – Documentação Complementar:
‍a) Lei Federal nº 13.709/2018
b) Código de Conduta e Ética
c) Política de Segurança da Informação
d) Política de Gestão de Normativos
e) Procedimento de Mesa e Tela Limpa

4 – Conceitos e Siglas:

Coleta: operação de tratamento de dados pessoais na qual a DRCALL obtém, consegue, recebe, produz ou tem acesso a um dado pessoal;

Dados pessoais: qualquer informação relativa a uma pessoa singular identificada ou identificável (“Titular”). É considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo, um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa;

Dados pessoais sensíveis: qualquer dado pessoal que diga respeito à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, bem como dado referente à saúde ou à vida sexual, dado genético ou biométrico;

LGPD: Lei Geral de Proteção de Dados – Lei nº 13.709/18. Entrou em vigor em 18 de setembro de 2020 com a suspensão dos artigos 52, 53 e 54 que versam sobre as sançõesadministrativas. Em 1º de agosto de 2021 os artigos 52, 53 e 54, entraram em vigor, sendo assim, a LGPD está 100% produzindo efeitos jurídicos e administrativos.

Terceiro: neste contexto, trata-se de qualquer pessoa jurídica, inclusive aquelas pertencentes a um mesmo grupo econômico, bem como qualquer pessoa física que utilize ou possa utilizar os respectivos dados pessoais com finalidade econômica (“Terceiro(s)”);

Titular: pessoa física a quem se referem os dados pessoais;

Uso: operação de tratamento de dados pessoais na qual a DRCALL classifica, reproduz, transmite, distribui, modifica, comunica, extrai ou de qualquer forma utiliza um dado pessoal.

5 – Disposições Gerais: Todos os colaboradores da companhia devem ser capazes de identificar e documentar o propósito específico (finalidade) pelo qual os dados pessoais serão usados e coletados.

6 – Identificação e documentação da finalidade da coleta e/ou uso de Dados

Pessoais: A documentação de registro das operações de coleta e uso de dados pessoais deve ser suficientemente clara e detalhada para ser utilizável como informações necessárias a serem fornecidas ao titular dos dados no caso de requerimento de, para tanto, deve observar os termos da presente Política. Em todo tempo, e sempre que julgar necessário, o Encarregado de Dados poderá solicitar informações adicionais à área responsável pela coleta e uso dos dados pessoais, especialmente, mas não se limitando, para realização de monitoramento e fiscalização.

7 – Coleta de Dados Pessoais:

7.1 Regras Gerais: (I) A coleta de dados pessoais deverá ser realizada nos termos desta Política e das demais políticas e procedimentos internos relacionados à proteção de dados pessoais. (II) A coleta de dados pessoais deverá ser realizada unicamente para o cumprimento de uma finalidade específica e predeterminada. Não é permitida a coleta de dados para um uso futuro incerto. (III) A coleta de dados pessoais deverá ser restrita ao mínimo necessário para o cumprimento da finalidade. (IV) A coleta de dados pessoais deverá ser realizada de fonte lícita e idônea. (V) A DRCALL deverá se atentar para a acurácia dos dados que pretende coletar.

7.2 Dados Coletados Diretamente dos Titulares: O titular dos dados pessoais coletados deverá ser devidamente informado e orientado sobre a atividade de tratamento que a DRCALL pretende realizar. A referida comunicação deverá ser realizada, idealmente, antes da coleta dos dados pessoais, por meio de: (I) avisos de privacidade; (II) comunicações direcionadas (envio de e-mails, pop-ups, banners impressos etc.); (III) outros meios que garantam a transparência do tratamento.

7.3 Dados Coletados Indiretamente (através de terceiros): Quando a coleta de dados pessoais ocorrer de maneira indireta, ou seja, sem a participação direta do titular dessas informações, a DRCALL deverá: (I) comunicar a coleta e sua finalidade aos titulares dos dados pessoais. (II) verificar a idoneidade do terceiro que lhe fornecer os dados e as medidas adotadas por este para garantir a licitude da coleta e tratamento dos dados pessoais objeto do compartilhamento; e (III) adotar cláusulas contratuais específicas que resguardem juridicamente a empresa nos contratos firmados com os terceiros fornecedores dos dados pessoais.

7.4 Uso de Dados Pessoais: O uso de dados pessoais deverá ser realizado em observância a esta Política e às demais políticas e procedimentos internos relacionados à proteção de dados pessoais. Seu uso não poderá ser realizado para atendimento de finalidade diversa da originalmente registrada e informada ao titular dessas informações. O Encarregado pela proteção de dados pessoais deverá ser informado em caso de eventual hipótese de alteração da finalidade do tratamento previamente informada ao titular. Caso a alteração da finalidade seja lícita e necessária, o Encarregado deverá garantir que os titulares dos dados sejam informados sobre tal alteração, o que poderá ocorrer por meio do Aviso de Privacidade, ou outro meio eficaz e que garanta a transparência.

7.5 Uso de Dados Pessoais: Dados pessoais inseridos em uma das categorias listadas abaixo, ou que por ventura venham a ser apontados pelo Encarregado de dados, devem ser considerados dados sensíveis, nos termos da Lei Geral de Proteção de Dados: (I) origem racial ou étnica; (II) convicção religiosa; (III) opinião política; (IV) filiação a sindicato; (V) participação em organização de caráter religioso, filosófico ou político; (VI) saúde ou vida sexual; (VII) dado genético ou biométrico; (VIII) dados de menores entre 12 e 18 anos; (IX) dados de menores de 12 anos. (X) demais dados considerados sensíveis/protegidos. O Encarregado pela proteção de dados deverá garantir que todos os cuidados necessários sejam observados, em consonância com a Lei nº 13.709/2018.

7.6 Coleta de uso de Dados Pessoais de Crianças e Adolescentes: Em decorrência da vulnerabilidade de indivíduos menores de idade, o tratamento de suas informações pessoais deverá se dar apenas em hipóteses excepcionais. Nesses casos, a atividade deverá ser conduzida: (I) visando ao melhor interesse de tais indivíduos, ou seja, com a finalidade de beneficiá-los, ainda que de forma indireta. (II) de forma transparente, de modo que informações destinadas a esse público deverão ser prestadas de maneira simples, clara e acessível, consideradas as condições físico-motoras, perceptivas, sensoriais, intelectuais e mentais dos destinatários, com o uso de recursos audiovisuais, quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento do menor. Ainda, não obstante o cumprimento dos requisitos acima, o tratamento de dados pessoais de crianças necessita da prévia coleta do consentimento específico e em destaque de pelo menos um dos pais ou responsável legal, mantendo-se públicas as informações sobre o tipo de dados coletados, a forma de utilização e as garantias dos demais direitos dos titulares assegurados pela legislação de proteção de dados. Quando do consentimento do responsável legal, este deverá anexar documento comprobatório da respectiva responsabilidade reconhecida pelos órgãos oficiais brasileiros.

7.7 Transparência: Para todas as atividades de tratamento de dados pessoais, deve ser apresentado ao titular um Aviso de Privacidade, que traga transparência em relação ao uso de seus dados.

Esse Aviso de Privacidade deve conter as seguintes informações sobre as atividades de tratamento de dados pessoais:

I. escopo (a quais atividades de tratamento de dados o Aviso de Privacidade se refere);

II. quais são os dados envolvidos nas respectivas atividades de tratamento e como são coletados, indicando a fonte, quando a coleta ocorrer por meio indireto;

III. finalidade à qual as atividades de tratamento pretendem atender;

IV. como os dados pessoais estão sendo tratados (por exemplo, uso de algoritmo para criar profile de consumo; uso de processador de planilhas para limpar dados incorretos etc.);

V. por quanto tempo os dados serão tratados e o que ocorrerá após o término desse prazo;

VI. identificação e informações de contato do(s) controlador(es);

VII. indicação sobre o compartilhamento dos dados com terceiros, listando o nome destes terceiros e para qual finalidade os dados são compartilhados;

VIII. indicação de quais são as responsabilidades do controlador e do operador, quando houver, em relação às operações de tratamento em questão;

IX. indicação de como o titular pode exercer cada um dos seus direitos;

X. indicação sobre se o uso dos dados pessoais objetos da operação de tratamento é indispensável para o fornecimento de um produto ou serviço, ou para o exercício de determinado direito;

XI. data em que o Aviso de Privacidade foi publicado e das revisões subsequentes; e

XII. existência de decisões tomadas de maneira automatizada com base nos dados pessoais tratados.

O Aviso de Privacidade pode ser referente a uma única atividade de tratamento de dados ou pode englobar diversas atividades, desde que indique de maneira específica como os dados serão tratados, sendo vedada a apresentação de informações genéricas.

O Aviso de Privacidade deve ser apresentado, quando viável, antes da coleta dos dados pessoais ou, caso contrário, no primeiro momento possível após a coleta.

Ainda, os Avisos de Privacidade podem ser internos (direcionados exclusivamente aos colaboradores da DRCALL) ou externos (direcionados ao público externo que é impactado pelas atividades de tratamento de dados como, por exemplo, clientes e fornecedores).

A transparência também poderá ser exercida por comunicações direcionadas (envio de e-mails, pop-ups, banners impressos etc.).

As áreas responsáveis pelas atividades de tratamento devem garantir que qualquer alteração seja refletida nos Avisos de Privacidade.

O Encarregado de dados deverá garantir que os Avisos de Privacidade sejam revisados periodicamente e que haja rastreabilidade das alterações e versões publicadas, bem como que este seja apresentado ao titular do dado de maneira clara, em linguagem acessível e com acesso facilitado.

8 – Princípios Norteadores da Legislação: Em todas as atividades de tratamento, deverão ser observados os princípios a seguir.

Princípio da boa-fé: todas as operações de tratamento deverão observar um padrão ético de conduta socialmente aceito Princípio da finalidade e adequação: o tratamento de dados pessoais deve se limitar aos propósitos legítimos, específicos, explícitos e informados ao titular, e somente deve ocorrer de formas compatíveis com essas finalidades. Dados pessoais não poderão ser coletados para uma finalidade, e depois utilizados para outra, sem que haja ampla transparência sobre essa alteração.

Princípio da necessidade: a coleta e a utilização de dados pessoais deverão ser limitadas ao mínimo necessário para o cumprimento das finalidades pretendidas e expostas ao titular, além disso, tais informações deverão ser armazenadas pelo menor tempo possível/necessário.

Princípio do livre acesso e da qualidade dos dados: aos titulares deverá ser garantida a consulta facilitada e gratuita quanto a forma e duração do tratamento e integralidade de seus dados pessoais, estando asseguradas a exatidão, clareza, relevância e atualização destes. Princípio da transparência: serão garantidos aos titulares dos dados informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.

Princípio da segurança e da prevenção: a segurança e confidencialidade dos dados pessoais deverão ser garantidas por medidas técnicas e organizacionais, a fim de prevenir a ocorrência de incidentes de segurança envolvendo dados pessoais e danos aos titulares.

Princípio da não discriminação: as atividades de tratamento de dados pessoais jamais poderão objetivar fins discriminatórios, ilícitos ou abusivos.

Princípio da responsabilização: deverão ser armazenados os registros de todas as atividades de tratamento de dados pessoais e as respectivas medidas tomadas para adequar tais atividades às normas relativas à privacidade e proteção de dados pessoais, comprovando-se a eficácia e eficiência de tais medidas.

9 – Bases Legais (Autorização Legal para tratamento de dados): Para que uma atividade de tratamento seja lícita e adequada à LGPD, ela deve ser fundamentada em uma das hipóteses a seguir.

9.1 – Cumprimento de obrigação legal ou regulatória: Existência de lei, norma, decisão judicial ou regulação vigente, pela qual o tratamento se torna obrigatório (e não opcional). Ex: (I) arquivamento de notas fiscais; (II) manutenção de documentos conforme exigências do Banco Central, SUSEP e CVM; (III) controle de ponto de colaboradores; (IV) envio de dados ao e-Social.

9.2 – Execução de contrato ou procedimento preliminares ao contrato: Quando necessário o tratamento para a execução de contrato ou de procedimentos preliminares relacionados a um contrato, do qual o titular seja parte. Ex: (I) entrega de produtos e prestação de serviços aos clientes; (II) atendimento a clientes; (III) recrutamento e seleção; (IV) pagamento de colaboradores; (V) fornecimento de benefícios aos colaboradores.

9.3 – Exercício Regular de Direito: Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, em trâmite ou futuro. Ex: (I) arquivo de processos judiciais; (II) arquivo de documentos para defesa em processos trabalhistas; (III) procurações para atuação em processos judiciais ou administrativos; (IV) documentos de comprovação para obtenção de benefícios fiscais.

9.4 – Tutela da Saúde: Para garantir a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. Ex: (I) procedimentos de Medicina do Trabalho; (II) exames laboratoriais.

9.5 – Proteção da Vida ou Incolumidade Física: Para garantir a proteção da vida ou incolumidade física do titular ou de terceiros, quando em iminente perigo. Ex: (I) atendimentos médicos de emergência.

9.6 – Legítimo Interesse: Para garantir a continuidade da atividade econômica/operação dos agentes de tratamento, desde que o titular dos dados tenha expectativa quanto à atividade de tratamento. Ex: (I) estudos e relatórios internos sobre as atividades da empresa; (II) avaliações de desempenho de colaboradores; (III) oferta de serviços adicionais a titulares que já são clientes; (IV) auditorias internas. Embora a Lei Geral de Proteção de Dados Pessoais não elenque explicitamente a prevenção à fraude como uma base para o tratamento de dados pessoais, essa hipótese é abarcada pelo legítimo interesse.

9.7 – Consentimento: Pode ser utilizado para fundamentar qualquer atividade de tratamento, desde que seja livre, informado e inequívoco. Contudo, o tratamento realizado com base unicamente no consentimento fica restrito à vontade do titular, que pode, a qualquer tempo, revogar o consentimento concedido.

Toda a empresa também deverá observar a Política de Consentimento, de forma a garantir que:

• o registro documentado do consentimento (por exemplo, a hora em que o consentimento foi fornecido, a identificação do titular de dados e a declaração de consentimento), de modo a fornecer, mediante solicitação do titular dos dados, os detalhes do consentimento;
• será dado livremente;
• será específico quanto à finalidade do processamento; e
• será obtido de forma inequívoca e explícita

Em todas as atividades de coleta e uso de dados pessoais, deverá ser observada a Política de Exercício dos Direitos dos Titulares, com objetivo de garantir os direitos apresentados a seguir:

Confirmação de existência de tratamento: tem como principal finalidade garantir ao titular, caso este requisite, a confirmação de que seus dados pessoais são tratados pelo controlador/operador.

Acesso: tem como objetivo garantir ao titular o conhecimento de quais dados pessoais estão sendo tratados pelo controlador /operador.

A anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a legislação: em caso de tratamento de dados desnecessários, excessivos ou em desconformidade com a legislação, será garantido aos titulares o direito de anonimização, bloqueio ou eliminação desses dados.

Eliminação de dados pessoais tratados com base no consentimento: em caso de tratamento de dados com base exclusivamente no consentimento, estes poderão ser anonimizados, bloqueados ou eliminados, a pedido do titular.

Portabilidade de dados a outro fornecedor de serviço ou produto: confere ao titular o direito de que seus dados pessoais tratados pela DRCALL sejam compartilhados com terceiros, em formato estruturado, de modo que estes possam utilizar dessas informações para a prestação de seus serviços e/ou fornecimento de produtos ao titular.

Revisão de decisões automatizadas: garante ao titular dos dados pessoais contestar as decisões tomadas com base unicamente em tratamento automatizado e que afetem seus interesses, como por exemplo, quando há construção de um perfil pessoal, profissional, de consumo, de crédito etc.

Correção de dados incompletos, inexatos ou desatualizados: garante aos titulares a correção de dados pessoais imprecisos ou a complementação de dados incompletos, a depender dos propósitos do tratamento.

Informação das entidades públicas e privadas com as quais o controlador realizou o uso compartilhado de dados: garante ao titular o direito de ser informado sobre os terceiros com os quais o controlador compartilhou seus dados.

Informação sobre a possibilidade de não fornecer o consentimento e as consequências da negativa: nas atividades de tratamento que exigirem o consentimento do titular, a este deverá ser dada a oportunidade de não fornecer o consentimento. Nesses casos, as consequências do não fornecimento deverão ser informadas ao titular.

Revogação do consentimento: garante ao titular o direito de revogar o consentimento, impedindo assim a continuidade das atividades de tratamento realizadas unicamente com fundamento nessa base legal.

10 Descarte de Dados Pessoais:

Os dados e informações utilizados pela DRCALL nos processos em que ela seja a controladora e que estejam em unidades físicas, sejam locais ou em cloud (nuvem), ou em qualquer outro meio digital, bem como os dados registrados em papel, serão descartados tão logo findem os processos que se utilizam desses dados pessoais e/ou por solicitação do titular, desde que não prevaleça nenhuma outra legislação e/ou regulação setorial que impeça, de maneira a preservar a confidencialidade, a integridade e disponibilidade das informações, de acordo com inciso XIV do artigo 5º da LGPD.

11 Da Lei Geral de Proteção de Dados

Aplica-se, independentemente de suas atribuições e responsabilidades, a todos os colaboradores da empresa a Lei Federal nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados (“LGPD”), no que se refere ao tratamento de dados realizado pela SILICOMPLIANCE, bem como por terceiros que o fazem em seu nome. Para os fins de aviso, aplicar-se-ão aos mesmos termos as definições dispostas no artigo 5º da LGPD. Caso você tenha alguma dúvida sobre os termos utilizados neste normativo, sugerimos consultar a tabela abaixo:

12 – Versionamento e Data de Atualização:

13 – Resolução de Conflitos – FORO: Para a solução de controvérsias decorrentes do presente instrumento será aplicado integralmente o Direito brasileiro. Os eventuais litígios deverão ser apresentados no foro da comarca em que se encontra a sede da empresa DRCALL.