Skip to main content

Política de Proteção de Dados (DPA)

Versão Data Autor Alterações realizadas Aprovado por Data aprovação
1.0 10/01/2024 Vanderson Andrade Criação Direção Geral 16/01/2024
2.0 15/07/2024 Vanderson Andrade Nenhuma alteração necessária Direção Geral 23/07/2025

Proxima revisao: 01/2025

As políticas da empresa são revisadas semestralmente, conforme calendário estabelecido. Todas as revisões são documentadas e aprovadas pelos responsáveis, garantindo que as práticas estejam sempre atualizadas e em conformidade com as normas vigentes.


1. Introdução

Política de Proteção de Dados (DPA) estabelece as diretrizes e procedimentos que a empresa, especializada na construção de agentes virtuais e chatbots, deve seguir para garantir a proteção de dados pessoais. Esta política tem como objetivo assegurar que todos os dados coletados, armazenados, processados ou compartilhados pela empresa sejam tratados em conformidade com as leis de proteção de dados aplicáveis, como a Lei Geral de Proteção de Dados (LGPD) e o Regulamento Geral sobre a Proteção de Dados (GDPR).

2. Objetivos

  • Conformidade Legal: Garantir que o tratamento de dados pessoais pela empresa esteja em conformidade com as legislações de proteção de dados.
  • Proteção dos Direitos dos Titulares de Dados: Assegurar que os direitos dos titulares de dados sejam respeitados e protegidos.
  • Minimização de Riscos: Reduzir o risco de violações de dados através da implementação de procedimentos rigorosos de proteção de dados.

3. Escopo

Esta política aplica-se a todos os funcionários, contratados, fornecedores, e quaisquer outros terceiros que tenham acesso a dados pessoais no contexto das operações da empresa. Abrange todas as atividades que envolvem o tratamento de dados pessoais, incluindo, mas não se limitando a, coleta, armazenamento, processamento, compartilhamento e descarte.

4. Diretrizes de Proteção de Dados

  1. Coleta de Dados:

    • Finalidade Específica: Todos os dados pessoais coletados devem ter uma finalidade específica, legítima e explícita. A coleta de dados deve ser limitada ao que é necessário para cumprir com essa finalidade.
    • Consentimento: Quando aplicável, deve ser obtido o consentimento explícito dos titulares dos dados antes da coleta de seus dados pessoais. O consentimento deve ser informado, livre e inequívoco.
    • Informação ao Titular: O titular dos dados deve ser informado, de forma clara e acessível, sobre quais dados estão sendo coletados, para que finalidade, por quanto tempo serão mantidos e como serão utilizados.

  2. Armazenamento de Dados:

    • Segurança de Armazenamento: Dados pessoais devem ser armazenados em sistemas seguros, com acesso restrito a pessoal autorizado. Deve-se utilizar medidas adequadas de segurança, como criptografia, para proteger dados sensíveis.
    • Período de Retenção: Dados pessoais devem ser armazenados apenas pelo tempo necessário para cumprir a finalidade para a qual foram coletados. Após o término desse período, os dados devem ser descartados de forma segura.
    • Backup e Recuperação de Dados: Procedimentos adequados de backup e recuperação de dados devem ser implementados para evitar perda de dados pessoais em caso de incidentes.

  3. Processamento de Dados:

    • Legalidade do Processamento: O processamento de dados pessoais deve ser realizado de acordo com uma base legal válida, como o consentimento do titular, o cumprimento de uma obrigação legal ou a execução de um contrato.
    • Minimização de Dados: Apenas os dados pessoais necessários para cumprir a finalidade estabelecida devem ser processados. O processamento deve ser minimizado sempre que possível.
    • Anonimização e Pseudonimização: Quando aplicável, os dados pessoais devem ser anonimizados ou pseudonimizados para reduzir os riscos em caso de acesso não autorizado.

  4. Compartilhamento de Dados:

    • Terceiros Autorizados: Dados pessoais só devem ser compartilhados com terceiros autorizados que tenham acordos contratuais em vigor para proteger esses dados. Esses terceiros devem estar em conformidade com as legislações de proteção de dados aplicáveis.
    • Transferência Internacional de Dados: Qualquer transferência internacional de dados pessoais deve ser feita em conformidade com as exigências legais aplicáveis, garantindo que os dados sejam adequadamente protegidos no destino.
    • Avaliação de Riscos: Antes de compartilhar dados pessoais com terceiros, deve-se realizar uma avaliação de riscos para assegurar que o compartilhamento não comprometerá a segurança dos dados.

  5. Direitos dos Titulares de Dados:

    • Acesso aos Dados: Os titulares têm o direito de solicitar acesso aos seus dados pessoais que estão sendo processados. A empresa deve fornecer uma cópia dos dados em formato compreensível e acessível.
    • Correção e Exclusão de Dados: Os titulares têm o direito de solicitar a correção de dados incorretos ou incompletos, bem como a exclusão de seus dados pessoais quando não forem mais necessários para a finalidade original.
    • Portabilidade de Dados: Os titulares têm o direito de solicitar a portabilidade de seus dados pessoais para outro controlador, quando tecnicamente viável e em conformidade com a legislação aplicável.
    • Revogação de Consentimento: O titular pode, a qualquer momento, revogar o consentimento dado para o tratamento de seus dados pessoais, sem que isso comprometa a legalidade do tratamento realizado anteriormente.

  6. Respostas a Incidentes de Dados:

    • Plano de Resposta a Incidentes: A empresa deve possuir um plano de resposta a incidentes de dados que inclua procedimentos para identificar, responder e mitigar os efeitos de uma violação de dados pessoais.
    • Notificação de Incidentes: Em caso de violação de dados pessoais, os titulares dos dados e as autoridades competentes devem ser notificados de acordo com os prazos e procedimentos estabelecidos pela legislação aplicável.
    • Investigação e Mitigação: Após um incidente, deve ser realizada uma investigação para identificar as causas e implementar medidas corretivas para evitar futuras ocorrências.

  7. Treinamento e Conscientização:

    • Capacitação Regular: Todos os funcionários devem receber treinamento regular sobre a proteção de dados pessoais e a importância de cumprir com as diretrizes estabelecidas nesta política.
    • Conscientização sobre Privacidade: Promover a conscientização sobre privacidade e proteção de dados entre todos os envolvidos no tratamento de dados pessoais, enfatizando as responsabilidades individuais e coletivas.

  8. Auditoria e Conformidade:

    • Auditorias Periódicas: A empresa deve realizar auditorias periódicas para verificar a conformidade com esta política e com as legislações de proteção de dados aplicáveis.
    • Avaliação de Impacto: Quando necessário, realizar avaliações de impacto sobre a proteção de dados (DPIA) para identificar e mitigar riscos associados ao tratamento de dados pessoais.
    • Ajustes e Atualizações: Esta política deve ser revisada e atualizada regularmente para refletir mudanças na legislação, nas práticas de mercado e nos requisitos internos da empresa.

5. Revisão e Atualização da Política

  • Revisões Periódicas: Esta política deve ser revisada regularmente para garantir que esteja alinhada com as melhores práticas e em conformidade com as legislações de proteção de dados.
  • Responsabilidade pela Revisão: A equipe de proteção de dados, juntamente com o encarregado de proteção de dados (DPO), é responsável por revisar e atualizar esta política conforme necessário.

6. Consequências de Não Conformidade

  • Medidas Disciplinares: Qualquer violação desta política pode resultar em medidas disciplinares, que podem incluir advertências, suspensão ou demissão, dependendo da gravidade da infração e do impacto na privacidade dos titulares de dados.
Back to top