Política de privacidade e proteção de dados

POLÍTICA INTERNA DE PROTEÇÃO DE DADOS PESSOAIS DA Ziviti Assesoria Técnica Ltda. (Ziviti).

O presente documento possui a finalidade de transparência da ZIVITI para seus clientes e colaboradores sobre o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) e as medidas tomadas pela mesma.

 

1. DEFINIÇÕES

Para a leitura deste documento, considera-se:

ZIVITI: Ziviti Assessoria Técnica Ltda.

LGPD: Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018).

Contrato de Prestação de Serviços: Contrato de Prestação de Serviços de Assistência Técnica em Perícia Médica e de Engenharia em Processo Trabalhista. 

Dado Pessoal: Informação sobre pessoa natural identificada ou identificável.

Dado Pessoal Sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Dado Anonimizado: Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Banco de Dados: Conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico.

Titular: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Tratamento: Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Anonimização: Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

ANPD: Autoridade Nacional de Proteção de Dados, órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.

 

2. A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD)

Criada sob a influência do regulamento europeu (GDPR), a LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Os princípios norteadores da LGPD são: 

(i) Finalidade; 

(ii) Adequação; 

(iii) Necessidade; 

(iv) Livre acesso; 

(v) Qualidade dos dados; 

(vi) Transparência; 

(vii) Segurança; 

(viii) Prevenção; 

(ix) Não discriminação; e

(x) Responsabilização e prestação de contas.

 

Visando uma maior proteção e segurança no tratamento de dados a LGPD dispõe rol taxativo sobre as hipóteses de tratamento para dados pessoais e para dados pessoais sensíveis.

 

Para os dados pessoais, as hipóteses de tratamento são:

(i) Consentimento do titular; 

(ii) Cumprimento de obrigação legal ou regulatória pelo controlador; 

(iii) Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;

(iv) Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados;

(v) Execução do contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titula dos dados;

(vi) Exercício regular de direitos em processo judicial, administrativo ou arbitral;

(vii) Proteção da vida ou incolumidade física do titular ou de terceiro;

(viii) Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

(ix) Interesse legítimo do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdade fundamentais do titular que exijam a proteção de dados pessoais; ou

(x) Proteção de crédito.

 

Para os dados pessoais sensíveis, as hipóteses de tratamento são:

(i) Consentimento do titular ou responsável legal, de forma específica e destacada, para finalidades específicas; 

(ii) Cumprimento de obrigação legal ou regulatória pelo controlador; 

(iii) Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas previstas em leis ou regulamentos;

(iv) Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados sensíveis;

(v) Exercício regular de direitos em processo judicial, administrativo ou arbitral;

(vi) Proteção da vida ou incolumidade física do titular ou de terceiro;

(vii) Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

(viii) Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção de dados pessoais.

 

3. CUMPRIMENTO DOS TERMOS E CONDIÇÕES DA LGPD PELA ZIVITI

Desde a aprovação da LGPD – e mesmo antes de sua entrada em vigor – a ZIVITI reformulou a forma do tratamento referente aos dados pessoais, optando por arquitetura e práticas profissionais que possibilitaram maior controle das informações, transparência sobre suas atividades com base em políticas claras, segurança e boas práticas nas atividades que envolvam o tratamento de dados pessoais e, por fim, a limitação de sua responsabilidade frente aos dados tratados.

A ZIVITI cumpre todas as exigências da LGPD, elencando, em especial:

(i) Mapeamento de todas suas operações de tratamento de dados, sendo que nenhum dado pessoal é tratado sem o devido embasamento pelo artigo 7º e/ou 11º da LGPD, bem como em atenção aos princípios norteadores da LGPD;

(ii) Estrutura operante para recepcionar e atender requerimentos/esclarecimentos dos titulares dos dados, bem como de seus clientes;

(iii) Guarda registro das operações de tratamento para cumprimento de legislação específica, cumprimento de contrato ou legítimo interesse;

(iv) Não compartilha dados ou informações pessoais a terceiros, exceto quando se tratar de investigação em caráter criminal, administrativo ou cível, através de ordem judicial ou administrativa emanada pelo Juízo ou órgão competente, ressalvando-se sempre, as hipóteses de sigilo de informações determinadas pela legislação específica para cada caso que esteja em vigor;

(v) Medidas técnicas e organizacionais adequadas para garantir a segurança e a confidencialidade dos dados pessoais tratados, de acordo com as melhores práticas de tecnologia e segurança da informação;

(vi) Métodos de avaliação e monitoramento das medidas técnicas, garantindo a proteção contra incidentes, ameaças ou riscos à segurança dos dados;

(vii) Política de prevenção e resposta a incidentes de dados para garantir eficiência na resposta à ANPD;

(viii) Comitê de Gestão de Privacidade e Proteção de Dados Pessoais;

(ix) Nomeação de Data Protection Officer (DPO).

 

No âmbito da prestação de serviços de assistência técnica de perícia médica e de engenharia em demanda trabalhista ou extrajudicial, a ZIVITI, na qualidade de operadora, não realiza qualquer modificação, exclusão ou manuseio dos dados pessoais dos titulares sem a autorização do Cliente, o qual figura na qualidade de controlador dos dados pessoais dos titulares.

Tendo em vista que o ambiente da ZIVITI trata com excelência os dados pessoais para fins de cumprimento da LGPD, bem como para garantir maior segurança e privacidade dos dados, tendo em vista que as medidas técnicas organizacionais, e os requisitos para o tratamento, são rígidos – e, portanto, mais seguros.

Assim, a ZIVITI declara que, em virtude de seu programa de adequação e política interna, está em cumprimento da LGPD, bem como respeita a privacidade online e off-line haja vista a necessidade de proteção e gestão de dados pessoais que estejam inseridas em seu arcabouço.

INTERNAL PERSONAL DATA PROTECTION POLICY OF ZIVITI ASSESORIA TÉCNICA LTDA. (ZIVITI).

The purpose of this document is to provide transparency to ZIVITI’s customers and employees about compliance with the General Law of Protection of Personal Data (LGPD) and the measures taken by it.

 

  1. DEFINITIONS

 

For the purpose of reading this document, the following definitions shall apply:

 

ZIVITI: Ziviti Assessoria Técnica Ltda.

LGPD: General Law of Protection of Personal Data (Law No. 13,709/2018).

Service Rendering Agreement: Contract for the Provision of Technical Assistance Services in Medical and Engineering Expertise in Labor Processes.

Personal Data: Information about an identified or identifiable natural person.

Sensitive Personal Data: Personal data concerning racial or ethnic origin, religious conviction, political opinion, membership of a trade union or religious, philosophical or political organization, data concerning health or sex life, genetic or biometric data when linked to a natural person.

Anonymized Data: Data related to a holder that cannot be identified, considering the use of reasonable and available technical means at the time of its treatment.

Database: Structured set of personal data, established in one or several places, in an electronic medium.

Holder: Natural person to whom the personal data subject to processing refer.

Controller: A natural or legal person, governed by public or private law, who is responsible for decisions concerning the processing of personal data.

Operator: A natural or legal person, governed by public or private law, who carries out the processing of personal data on behalf of the controller.

Processing: Any operation carried out with personal data, such as those relating to collection, production, reception, classification, use, access, reproduction, transmission, distribution, processing, filing, storage, elimination, evaluation or control of the information, modification, communication, transfer, dissemination or extraction.

Anonymization: The use of reasonable and available technical means at the time of processing, whereby data loses the possibility of association, directly or indirectly, with an individual.

ANPD: National Data Protection Authority, the public administration body responsible for overseeing, implementing, and supervising compliance with the LGPD.

 

  1. THE GENERAL LAW FOR THE PROTECTION OF PERSONAL DATA (LGPD)

 

Created under the influence of the European regulation (GDPR), the LGPD provides for the processing of personal data, including digital means, by natural persons or public or private legal entities, with the aim of protecting the fundamental rights of freedom and privacy and the free development of the personality of natural persons.

The guiding principles of the LGPD are:

(i) Purpose;

(ii) Adequacy

(iii) Necessity;

(iv) Free access

(v) Data quality

(vi) Transparency;

(vii) Security;

(viii) Prevention;

(ix) Non-discrimination; and

(x) Accountability.

 

Aiming at greater protection and security in data processing, the LGPD provides a list of processing possibilities for personal data and sensitive personal data.

 

For personal data, the hypotheses of processing are:

(i) Consent of the holder;

(ii) Compliance with a legal or regulatory obligation by the controller;

(iii) By the public administration, for the treatment and shared use of data necessary for the execution of public policies foreseen in laws and regulations or supported by contracts, agreements, or similar instruments;

(iv) Carrying out of studies by research bodies, guaranteeing, whenever possible, the anonymization of the data;

(v) Execution of the contract or of preliminary procedures related to a contract to which the data subject is a party, at the request of the data subject;

(vi) Regular exercise of rights in legal, administrative or arbitration proceedings;

(vii) Protection of life or physical safety of the data subject or of third parties;

(viii) Protection of health, exclusively, in procedures carried out by health professionals, health services or health authorities;

(ix) Legitimate interest of the controller or of a third party, except in the case where fundamental rights and freedoms of the data subject prevail and require protection of personal data; or

(x) Credit protection.

 

For sensitive personal data, the processing hypotheses are:

(i) Consent of the data subject or legal guardian, in a specific and outstanding manner, for specific purposes;

(ii) Compliance with a legal or regulatory obligation by the controller;

(iii) Shared processing of data necessary for the execution, by the public administration, of policies provided for in laws or regulations;

(iv) Performance of studies by research bodies, guaranteeing, whenever possible, the anonymization of sensitive data;

(v) Regular exercise of rights in judicial, administrative or arbitration proceedings;

(vi) Protection of life or physical safety of the data subject or of third parties;

(vii) Protection of health, exclusively, in procedures performed by health professionals, health services or health authorities;

(viii) Guarantee of fraud prevention and security of the data subject, in the identification and authentication processes of registration in electronic systems, except in the case of fundamental rights and liberties of the data subject that require protection of personal data.

 

  1. ZIVITI’S COMPLIANCE WITH THE TERMS AND CONDITIONS OF THE LGPD

 

Since the approval of the LGPD -and even before its entry into force- ZIVITI has reformulated the treatment of personal data, opting for an architecture and professional practices that allow greater control of the information, transparency of its activities based on clear policies, security and good practices in the activities that involve the processing of personal data and, finally, the limitation of its liability in relation to the data processed.

ZIVITI complies with all the requirements of the LGPD, listing, in particular:

(i) Mapping of all its data processing operations, whereby no personal data is processed without the due grounding by article 7 and/or 11 of LGPD, as well as in attention to the guiding principles of LGPD;

(ii) Structure in place to receive and attend to requests/clarifications from the data owners, as well as from its customers;

(iii) Keeps records of processing operations for compliance with specific legislation, contract compliance, or legitimate interest;

(iv) Does not share personal data or information with third parties, except in the case of criminal, administrative, or civil investigations, through judicial or administrative orders issued by the competent court or agency, always respecting the hypotheses of information secrecy determined by specific legislation for each case;

(v) Appropriate technical and organizational measures to ensure the security and confidentiality of the personal data processed, in accordance with the best technology and information security practices;

(vi) Methods for evaluating and monitoring the technical measures, ensuring protection against data security incidents, threats or risks;

(vii) Policy for prevention and response to data incidents to ensure efficiency in the response to the ANPD;

(viii) Privacy and Personal Data Protection Management Committee;

(ix) Appointment of Data Protection Officer (DPO).

In the scope of the provision of technical assistance services of medical and engineering expertise in labor or extrajudicial claims, ZIVITI, as the operator, does not perform any modification, deletion or handling of the Holders’ personal data without the authorization of the Client, who is the controller of the Holders’ personal data.

In view of the fact that ZIVITI’s environment treats personal data with excellence for purposes of compliance with LGPD, as well as to ensure greater security and privacy of the data, given that the organizational technical measures, and requirements for the treatment, are strict -and, therefore, more secure.

Thus, ZIVITI declares that, by virtue of its compliance program and internal policy, it is in compliance with LGPD, as well as respects the privacy online and offline, given the need for protection and management of personal data that are included in its framework.

Contato