POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS

Objetivo da Política

A Política de Proteção de Dados Pessoais tem por objetivo estabelecer diretrizes, princípios e conceitos a serem seguidos por todas as pessoas, terceiros, empresas privadas e entidades que se relacionam com o Grupo EVO NETWORK que em algum momento realizam operações de tratamento de dados pessoais, visando o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) e outras normas vigentes.

Escopo

Instituir a Política de Proteção de Dados Pessoais (PPDP), no âmbito do Grupo EVO NETWORK, com a finalidade de estabelecer princípios e diretrizes para a implementação de ações que garantam a proteção de dados pessoais, e no que couber, no relacionamento com outras entidades públicas ou privadas.

Esta Política regula a proteção de dados pessoais, que o Grupo EVO NETWORK é o agente de tratamento, bem como o meio utilizado para este tratamento, seja digital ou físico, além de qualquer pessoa que realize operações de tratamento de dados pessoais em seu nome ou em suas dependências.

Termos e Definições

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Encarregado: pessoa indicada pelo controlador, para atuar como canal de comunicação entre o controlador, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD);

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

Declarações da política

CAPÍTULO I

Das Diretrizes Gerais

Art. 1º O Grupo EVO NETWORK, deverá estar apto a demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, e a eficácia dessas medidas.

Art. 2º Devem ser estabelecidas revisões de processos com o objetivo de aferir a diminuição ou aumento de riscos que envolvem o tratamento de dados pessoais.

Art. 3º Os dados pessoais que forem coletados e tratados devem ser administrados de acordo com as diretrizes desta política.

Art. 4º O Grupo EVO NETWORK poderá utilizar arquivos (cookies) para registrar e gravar no computador do usuário as preferências e navegações realizadas nas respectivas páginas para fins estatísticos e de melhoria dos serviços ofertados, respeitando o consentimento do titular.

Art. 5º É competência do controlador conjuntamente com a assessoria jurídica, a responsabilidade por gerenciar a implementação da LGPD dentro da organização e a administração da Política de Proteção de Dados Pessoais.

Art. 6º O Grupo EVO NETWORK deve manter o registro das operações de tratamento de dados pessoais que realizarem.

Art. 7º Deve ser elaborado o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) relacionados às operações de tratamento, e atualizá-lo quando necessário.

Art. 8º O Grupo EVO NETWORK deverá desenvolver e manter atualizados as políticas/avisos de privacidade, que fornecerão informações sobre o processamento de dados pessoais em cada ambiente físico ou virtual, bem como detalhar as medidas de proteção de dados adotadas para salvaguardar esses dados pessoais.

Art. 9º Será estabelecido o programa de treinamento e conscientização para que os colaboradores entendam suas responsabilidades e procedimentos na proteção de dados pessoais;

Art. 10º Serão formuladas regras de segurança, de boas práticas e de governança que definam procedimentos e outras ações referentes a privacidade e proteção de dados pessoais.

CAPÍTULO II

Tratamento de Dados Pessoais

Art. 11. A aplicação desta Política será pautada pelo dever de boa-fé e pela observância dos princípios previstos no art. 6º da LGPD.

Art. 12. O tratamento de dados pessoais deverá ser realizado para o atendimento de sua finalidade pública, conforme o interesse público, com o objetivo de executar competências legais e de cumprir as atribuições legais do serviço público.

Art. 13. O Grupo EVO NETWORK adotará mecanismos para que o titular do dado pessoal usufrua dos direitos assegurados pela LGPD e normativos correlatos.

Parágrafo único: O Titular de Dados Pessoais poderá entrar em contato com o Grupo EVO NETWORK para solicitar o cumprimento dos direitos previstos pela Lei Geral de Proteção de Dados (LGPD), por meio do seguinte canal de contato: lgpd@evonetwork.com.br.

Art. 14. Deverá ser realizado o tratamento de dados pessoais sensíveis somente nos termos da seção II do capítulo II da LGPD e devem ser estabelecidos procedimentos de segurança no tratamento destes dados conforme a LGPD e demais normativos.

Art. 15. Deverá ser realizado o tratamento de dados pessoais de crianças e de adolescentes nos termos da seção III do capítulo II da LGPD, bem como, poderá ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da Lei Geral de Proteção de Dados Pessoais (LGPD), desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei.

Art. 16. O uso compartilhado de dados deverá observar o art. 26 da LGPD bem como sua comunicação estará sujeita ao que consta no art. 27 da mesma lei.

Art. 17. No caso de transferência internacional de dados pessoais deverá ser observado o que consta no Capítulo V da LGPD.

CAPÍTULO III

Conscientização, Capacitação e Sensibilização

Art. 18. As pessoas que possuem acesso aos dados pessoais no Grupo EVO NETWORK devem fazer parte de programas de conscientização, capacitação e sensibilização em matérias de privacidade e proteção de dados pessoais.

Parágrafo único: A conscientização, capacitação e sensibilização em privacidade e proteção de dados pessoais deve ser adequada aos papéis e responsabilidades das pessoas.

CAPÍTULO IV

Segurança e Boas Práticas

Art. 19. O Grupo EVO NETWORK deve manter uma base de conhecimento com documentos que apresentam condutas e recomendações que melhoram o gerenciamento de risco e que orientam na tomada de ações adequadas em caso de comprometimento de dados pessoais.

Art. 20. Qualquer ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos dados pessoais dos titulares deve ser comunicada a Autoridade Nacional de Proteção de Dados (ANPD) dentro do prazo previsto pela LGPD.

Art. 21. Serão adotadas medidas técnicas e organizacionais de privacidade e proteção de dados, dispostas a seguir, com o objetivo diminuir ou mitigar a existência incidentes com os dados pessoais do titular:

I.O acesso aos dados pessoais é limitado as pessoas que realizam o tratamento.

II. As funções e responsabilidades dos colaboradores envolvidos nos tratamentos de dados pessoais são claramente estabelecidas e comunicadas;

III. São estabelecidos acordos de confidencialidade, termos de responsabilidade ou termos de sigilo com operadores de dados pessoais;

IV. Todos os dados pessoais são armazenados em ambiente seguro, de modo que terceiros não autorizados não possam acessá-los.

CAPÍTULO V

Auditoria e Conformidade

Art. 22. O cumprimento desta Política, bem como dos normativos que a complementam devem ser avaliados periodicamente por meio de verificações de conformidade, buscando a certificação do cumprimento dos requisitos de privacidade e proteção de dados pessoais e da garantia de cláusula de responsabilidade e sigilo constantes de termos de responsabilidade, contratos, convênios, acordos e instrumentos congêneres.

Art. 23. As atividades, produtos e serviços desenvolvidos no Grupo EVO NETWORK devem estar em conformidade com requisitos de privacidade e proteção de dados pessoais constantes de leis, regulamentos, resoluções, normas, código de ética, estatutos e contratos jurídicos vigentes.

Art. 24. Os resultados de cada ação de verificação de conformidade devem ser documentados em relatório de avaliação de conformidade.

CAPÍTULO VI

Funções e Responsabilidades

Art. 25. Qualquer pessoa natural ou jurídica de direito público ou privado que tenha interação em qualquer fase do tratamento de dados pessoais deve garantir a privacidade e a proteção de dados pessoais, mesmo após o término do tratamento, observando as medidas técnicas e administrativas determinadas pela organização.

Art. 26. Compete ao Comitê de Proteção de Dados Pessoais (CPDP) prover orientação e o patrocínio necessários às ações de privacidade e proteção de dados pessoais no Grupo EVO NETWORK de acordo com os objetivos estratégicos e com as leis e regulamentos pertinentes.

I. Assessorar a implementação da proteção de dados pessoais;

II. Constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre proteção de dados pessoais;

III. Participar da elaboração da Política de Proteção de Dados Pessoais e das demais normas internas de privacidade e proteção de dados pessoais, além de propor atualizações e alterações nestes dispositivos;

IV. Incentivar a conscientização, capacitação e sensibilização das pessoas que desempenham qualquer atividade de tratamento de dados pessoais dentro do Grupo EVO NETWORK.

Art. 27. O Comitê de Proteção de Dados Pessoais (CPDP) terá a seguinte composição:

I. Gestor de Segurança da Informação;

II. O encarregado pelo tratamento de dados pessoais;

III. Um representante do departamento de tecnologia da informação;

IV. Um representante do departamento jurídico.

Art. 28. A presidência do Comitê de Proteção de Dados Pessoais (CPDP) será exercida pelo encarregado do Grupo EVO NETWORK.

Art. 29. A responsabilidade pelas decisões relacionadas ao tratamento de dados pessoais é do controlador do Grupo EVO NETWORK que no exercício das atribuições típicas de controlador determina as medidas necessárias para executar a Política de Proteção de Dados Pessoais dentro de sua estrutura organizacional.

Art. 30. São atribuições do controlador:

I. Observar os fundamentos, princípios da privacidade e proteção de dados pessoais e os deveres impostos pela LGPD e por normativos correlatos no momento de decidir sobre um futuro tratamento ou realizá-lo;

II. Considerar o preconizado pelos art. 7º, art. 11 e art. 23 antes de realizar o tratamento de dados pessoais;

III. Cumprir o previsto pelos art. 46 e art. 50 da LGPD buscando à proteção de dados pessoais e sua governança;

IV. Indicar um encarregado pelo tratamento de dados pessoais, divulgando a identidade e as informações de contato do encarregado de forma clara e objetiva, preferencialmente no sítio institucional.

V. Elaborar o inventário de dados pessoais a fim de manter registro das operações de tratamento de dados pessoais;

VI. Reter dados pessoais somente pelo período necessário para o cumprimento da hipótese legal e finalidade utilizadas como justificativa para o tratamento de dados pessoais;

VII. Criar e manter atualizados os avisos ou políticas de privacidade, que informarão sobre os tratamentos de dados pessoais realizados em cada ambiente físico ou virtual, e como os dados pessoais neles tratados são protegidos;

VIII. Requerer do titular a ciência com o termo de uso para cada serviço ofertado, informatizado ou não, que trate dados pessoais.

§ 1º É vedado qualquer tratamento de dados pessoais para fins não relacionados com as atividades desenvolvidas pela organização ou por pessoa não autorizada formalmente pelo Grupo EVO NETWORK.

Art. 31. São considerados operadores de dados pessoais as pessoas naturais ou jurídicas de direito público ou privado, que realizam operações de tratamento de dados pessoais em nome do controlador.

Parágrafo único. Qualquer fornecedor de produtos ou serviços, que por algum motivo, realiza o tratamento de dados pessoais a eles confiados, são considerados operadores e devem seguir as diretrizes estabelecidas nesta política, em especial o capítulo VII.

Art. 32. São atribuições do operador:

I. Observar os princípios estabelecidos no Art. 6º da LGPD, ao realizar tratamento de dados pessoais.

II. Seguir as diretrizes estabelecidas pelo controlador;

III. Antes de efetuar o tratamento, verificar se as diretrizes estabelecidas pelo controlador cumprem os requisitos legais presentes nos art. 7º, art. 11 e art. 23 da LGPD;

Parágrafo único. É proibida a decisão unilateral do operador quanto aos meios e finalidades utilizados para o tratamento de dados pessoais.

Art. 33. São atribuições do encarregado de proteção de dados:

I. Receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II. Receber comunicações e requisições da ANPD e adotar providências; e

III. Orientar os colaboradores da organização a respeito das práticas a serem adotadas em relação à proteção de dados pessoais.

IV. Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

CAPÍTULO VII

Contratos, Convênios, Acordos e Instrumentos Congêneres

Art. 34. Os contratos, convênios, acordos e instrumentos similares atualmente em vigor, que de alguma forma envolvam o tratamento de dados pessoais, devem incorporar cláusulas específicas em total conformidade com a presente Política de Proteção de Dados Pessoais e que contemplem:

I. Requisitos mínimos de segurança da informação.

II. Determinação de que o operador não processe os dados pessoais para finalidades que divergem da finalidade principal informada pelo controlador.

III. Requisitos de proteção de dados pessoais que os operadores de dados pessoais devem atender.

IV. Condições sob as quais o operador deve devolver ou descartar com segurança os dados pessoais após a conclusão do serviço, rescisão de qualquer contrato ou de outra forma mediante solicitação do controlador.

V. Diretrizes especificas sobre o uso de subcontratados pelo operador para execução contratual que envolva tratamento de dados pessoais.

Art. 35. São adotadas medidas rigorosas com o propósito de assegurar que os terceiros e processadores de dados pessoais contratados estão plenamente em conformidade com as cláusulas contratuais estabelecidas no momento da celebração do acordo entre as partes envolvidas.

CAPÍTULO VIII

Penalidades

Art. 36. Ações que violem a Política de Proteção de Dados Pessoais poderão acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.

Art. 37. Casos de descumprimento desta Política deverão ser registrados e comunicados ao encarregado para ciência e tomada das providências cabíveis.

CAPÍTULO IX

Disposições Finais

Art. 38. Os integrantes do Comitê de Proteção de Dados Pessoais (CPDP) poderão expedir instruções complementares, no âmbito de suas competências, que detalharão suas particularidades e procedimentos relativos à Proteção de Dados Pessoais alinhados às diretrizes emanadas pelo CPDP e aos respectivos Planos Estratégicos Institucionais do Grupo EVO NETWORK.

Art. 39. As dúvidas sobre a Política de Proteção de Dados Pessoais e seus documentos devem ser submetidas ao encarregado por meio do seguinte canal de contato: lgpd@evonetwork.com.br .

Art. 40. Esta política deverá ser revisada, no mínimo, a cada 6 (seis) meses, a partir do início de sua vigência.

Art. 41. Os casos omissos serão resolvidos pelo Comitê de Proteção de Dados Pessoais (CPDP).

Art. 42. Esta política entra em vigor na data de 20 de junho de 2024.