Empresa de Planejamento e Logística S.A.
POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
www.epl.gov.br | institucional@epl.gov.br
Art. 1º Fica instituída a Política de Privacidade e Proteção de Dados Pessoais, em meios físicos ou digitais, no âmbito da Empresa de Planejamento e Logística - EPL, que seguirá os princípios, as diretrizes e os objetivos compatíveis com os requisitos previstos na legislação brasileira, além de boas práticas e normas internacionalmente aceitas.
§ 1º Esta política se aplica a qualquer operação de tratamento de dados pessoais realizada pela EPL, independentemente do meio ou do país onde estejam localizados os dados, desde que tenham sido coletados em território nacional.
§ 2º Os profissionais, colaboradores internos e externos e quaisquer outras pessoas que realizam tratamento de dados pessoais na EPL se sujeitam às diretrizes e aos procedimentos previstos nesta política e são responsáveis por garantir a proteção de dados pessoais a que tenham acesso.
Art. 2º Para os efeitos desta política, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável, ou seja, qualquer informação que permita identificar, direta ou indiretamente, um indivíduo;
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III - dado anonimizado: dado relativo a um indivíduo que não possa ser identificado, pois passou por algum meio técnico de tratamento para garantir sua desvinculação, direta ou indireta, a uma pessoa;
IV - banco de dados: conjunto estruturado de dados pessoais, estabelecido em meio físico ou eletrônico;
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado de dados pessoais: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre este, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;
IX - tratamento de dados pessoais: toda operação exercida sobre dados pessoais, compreendendo a coleta, a produção, a recepção, a classificação, a utilização, o acesso, a reprodução, a transmissão, a distribuição, o processamento, o arquivamento, o armazenamento, a eliminação, a avaliação ou o controle da informação, a modificação, a comunicação, a transferência, a difusão ou a extração;
X - agentes de tratamento: o controlador e o operador;
XI - anonimização: utilização de meios técnicos razoáveis que impossibilitem que um dado seja associado, direta ou indiretamente, a um indivíduo;
XII - consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII - bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV - eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV - transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
XVI - compartilhamento de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais entre organizações públicas e privadas;
XVII - relatório de impacto na proteção de dados pessoais: documentação do controlador com a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como das medidas e mecanismos de mitigação de risco; e
XVIII - Autoridade Nacional de Proteção de Dados - ANPD: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da legislação de proteção de dados pessoais em todo o território nacional.
Art. 3º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
I - finalidade legítima, específica e explícita, que deverá ser informada ao titular, sendo vedado o tratamento posterior dos dados para outras finalidades e fins discriminatórios, ilícitos ou abusivos;
II - adequação do tratamento dos dados pessoais, compatível com as finalidades informadas ao titular;
III - necessidade do tratamento dos dados pessoais limitada aos objetivos para os quais serão processados, abrangendo somente os dados pertinentes, proporcionais e não excessivos, em relação à finalidade do tratamento dos dados para a qual foram coletados;
IV - garantia, ao titular, de livre acesso, de forma gratuita e facilitada, ao tratamento de seus dados pessoais;
V - garantia, ao titular, de exatidão, clareza, relevância e atualização de seus dados pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI - garantia, ao titular, de acesso facilitado a informações claras e precisas sobre a realização do tratamento de seus dados pessoais e os respectivos agentes de tratamento;
VII - utilização de medidas técnicas e administrativas de segurança e prevenção adequadas ao tratamento e à proteção de dados pessoais nos casos de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII - proibição do tratamento de dados pessoais para fins discriminatórios, ilícitos ou abusivos; e
IX - responsabilização e prestação de contas dos agentes de tratamento quanto ao dever de cumprir as normas legais e regulatórias de proteção de dados pessoais.
Art. 4º O objetivo geral desta política é garantir a gestão sistemática e efetiva de todos os aspectos relacionados à proteção de dados pessoais e dos direitos de seus titulares no âmbito da EPL.
Parágrafo único. São objetivos específicos:
I - assegurar níveis adequados de proteção aos dados pessoais tratados pela EPL;
II - orientar quanto à adoção de controles técnicos e administrativos para atendimento dos requisitos de proteção de dados pessoais;
III - garantir aos titulares de dados pessoais os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;
IV - prevenir possíveis causas de violações de dados pessoais e incidentes de segurança da informação relacionados ao tratamento de dados pessoais; e
V - minimizar os riscos de violação de dados pessoais tratados pela EPL e qualquer impacto negativo que resulte dessa violação.
Art. 5º São direitos do titular de dados pessoais tratados pela EPL:
I - confirmar a existência de tratamento;
II - acessar os dados;
III - corrigir dados incompletos, inexatos ou desatualizados;
IV - solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com as normas legais e regulatórias;
V - requisitar, de forma expressa e justificada, a portabilidade dos dados a outro órgão público;
VI - garantir a eliminação dos dados pessoais tratados com seu consentimento, exceto nas hipóteses legalmente previstas;
VII - receber informação sobre o compartilhamento de seus dados pessoais;
VIII - receber informação sobre as consequências da negativa de consentimento para o tratamento de seus dados pessoais;
IX - revogar o consentimento a qualquer momento mediante manifestação expressa, ratificados e preservados os tratamentos realizados anteriormente;
X - opor-se a tratamento de seus dados pessoais realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na legislação;
XI - solicitar cópia eletrônica integral de seus dados pessoais com relação ao tratamento realizado com seu consentimento ou em contrato com a EPL; e
XII - solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses.
Parágrafo único. O titular de dados pessoais poderá obter informações sobre o tratamento de seus dados e exercer os direitos previstos neste artigo a qualquer tempo, de forma facilitada e gratuita, em requisição expressa e específica, preferencialmente por meio do formulário eletrônico disponível no portal institucional na internet.
Art. 6º A Empresa de Planejamento e Logística - EPL é o controlador de dados pessoais e deverá:
I - manter registro das operações de tratamento de dados pessoais;
II - elaborar relatório de impacto na proteção de dados pessoais, inclusive de dados sensíveis, relativo ao tratamento de dados; e
III - orientar os operadores quanto aos tratamentos de dados pessoais segundo instruções internas, a legislação e as regulamentações da ANPD.
Parágrafo único. A Empresa de Planejamento e Logística - EPL atuará como cocontrolador quando, por força de lei, convênio ou contrato, determinar as finalidades e os meios de tratamento de dados pessoais em conjunto com outra pessoa natural ou jurídica, de direito público ou privado.
Art. 7º O encarregado de dados pessoais é responsável por:
I - receber as reclamações e comunicações dos titulares, respondê-las e adotar providências;
II - receber as comunicações da ANPD e adotar as providências necessárias;
III - orientar todos os colaboradores da EPL sobre as práticas a serem adotadas em relação à proteção de dados pessoais; e
IV - executar outras atribuições determinadas pelo controlador ou estabelecidas em normas complementares da ANPD.
Art. 8º Quando a EPL atuar como controlador, o operador será a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome e por ordem do controlador.
Parágrafo único. Os operadores são responsáveis por tratar os dados pessoais de acordo com as instruções estabelecidas pelo controlador, além de manter o devido registro das ações realizadas para o tratamento desses dados.
Art. 9º Os empregados e demais colaboradores vinculados à EPL são responsáveis por:
I - ler e cumprir integralmente os termos desta política e as demais normas e procedimentos de proteção da privacidade e de dados pessoais aplicáveis;
II - comunicar ao encarregado qualquer evento que viole esta política ou coloque em risco os dados pessoais tratados pela EPL; e
III - responder no âmbito da EPL pela inobservância da política instituída e das demais normas e procedimentos legais ou regulatórios relacionados ao tratamento de dados pessoais.
Art. 10. O descumprimento das normas e dos procedimentos referentes à proteção de dados pessoais, nos termos desta política e da legislação, poderá acarretar, isolada ou cumulativamente, a aplicação de sanções administrativas, civis e penais, assegurados o contraditório, a ampla defesa e o devido processo legal.
Art. 11. O tratamento de dados pessoais somente poderá ser realizado, em conjunto ou isoladamente, nas seguintes hipóteses:
I - mediante o consentimento do titular;
II - para o cumprimento de obrigação legal ou regulatória;
III - para a execução de políticas públicas, incluindo o tratamento e uso compartilhado de dados;
IV - para a realização de estudos por órgão de pesquisa, assegurada a anonimização dos dados pessoais sempre que possível;
V - para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
VII - para a proteção da vida ou da segurança física do titular ou de terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX - quando necessário para atender a legítimo interesse do controlador ou de terceiro;
X - para a proteção de crédito, inclusive quanto ao disposto na legislação pertinente; e
XI - para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências do serviço judicial ou cumprir suas atribuições legais.
§ 1º O consentimento para a coleta de dados pessoais deverá ser obtido de forma livre, expressa, individual, clara, específica e legítima e poderá ser revogado a qualquer momento pelo titular.
§ 2º O consentimento é dispensado para o tratamento de dados pessoais tornados manifestamente públicos pelo titular, desde que o tratamento seja realizado de acordo com a finalidade, a boa-fé e o interesse público, resguardados os direitos do titular.
Art. 12. O tratamento de dados sensíveis será realizado com o consentimento do titular ou de seu responsável legal de forma específica e destinado a finalidades específicas.
§ 1º O consentimento de que trata o caput deste artigo será dispensado:
I - nas hipóteses previstas nos incisos II a VIII do art. 11 desta política; e
II - nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, para prevenir a fraude e garantir a segurança dos dados pessoais do titular, resguardados todos os direitos de privacidade e de proteção desses dados.
§ 2º Aplica-se o disposto neste artigo a qualquer tratamento de dados pessoais que revele dados pessoais sensíveis e que possa causar dano ao titular, ressalvado o disposto em legislação específica.
§ 3º Quando o tratamento de dados pessoais envolver os incisos II e III do art. 11, deverá ser dada publicidade à dispensa de consentimento.
Art. 13. Os dados anonimizados não serão considerados dados pessoais para os fins das diretrizes previstas nesta política, salvo quando for revertido o processo de anonimização ao qual foram submetidos.
Parágrafo único. Para os efeitos deste artigo, a pseudonimização é o tratamento que impossibilita que um dado seja associado, direta ou indiretamente, a um indivíduo, exceto pelo uso de informação adicional.
Art. 14. O tratamento de dados pessoais de crianças e de adolescentes tem a finalidade de atender a seu melhor interesse e deverá ser realizado com o consentimento expresso e em destaque de um dos pais ou responsável legal, bem como ser específico quanto à finalidade do tratamento.
Parágrafo único. A informação sobre os tipos de dados coletados, a forma de sua utilização e os procedimentos para o exercício dos direitos de tratamento dos dados pessoais de que trata o caput deste artigo deverá ser mantida pública.
Art. 15. O tratamento de dados pessoais deverá ser finalizado quando:
I - for alcançada a finalidade para a qual os dados foram coletados ou quando esses dados deixarem de ser necessários ou pertinentes para essa finalidade;
II - o período de tratamento chegar ao fim;
III - houver pedido de revogação do consentimento feito pelo titular, resguardado o interesse público; ou
IV - por determinação da ANPD, houver violação à Lei n. 13.709, de 14 de agosto de 2018.
Art. 16. Os dados pessoais serão eliminados após o término de seu tratamento, exceto nas seguintes hipóteses:
I - cumprimento de obrigação legal ou regulatória;
II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III - transferência a terceiro, desde que respeitados os requisitos legais de tratamento de dados pessoais; ou
IV - uso exclusivo pela EPL, vedado seu acesso por terceiro, e desde que anonimizados os dados.
Art. 17. O uso compartilhado de dados pela EPL deverá ocorrer no cumprimento de suas obrigações legais ou regulatórias, com organizações públicas ou privadas, de acordo com a finalidade admitida na legislação pertinente, resguardados os princípios de proteção de dados pessoais.
Parágrafo único. Na prestação dos serviços de sua competência, ao EPL compartilhará dados pessoais de acordo com a interoperabilidade de seus sistemas e serviços de tecnologia da informação, observada a norma administrativa pertinente.
Art. 18. A transferência internacional de dados pela EPL será realizada observando-se a política instituída e os termos da legislação nos seguintes casos, em conjunto ou isoladamente:
I - transferência de dados para países ou organismos internacionais com grau de proteção de dados pessoais adequado ao previsto na legislação vigente;
II - comprovação de garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados pessoais, como cláusulas contratuais específicas, cláusulas padrão dos contratos, normas corporativas globais, selos e certificações regularmente emitidos;
III - cooperação jurídica internacional entre órgãos públicos de inteligência para fins de investigação;
IV - proteção da vida ou da incolumidade física do titular ou de terceiro;
V - autorização pela ANPD;
VI - compromisso assumido em acordo de cooperação internacional;
VII - execução de política pública ou de atribuição legal do serviço público;
VIII - mediante consentimento específico e em destaque do titular dos dados pessoais;
IX - cumprimento de obrigação legal ou regulatória;
X - execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular; e
XI - exercício regular de direitos em processo judicial, administrativo ou arbitral.
Art. 19. São atividades que deverão ser realizadas no tratamento de dados pessoais:
I - garantir ao titular a opção de permitir ou não o tratamento de seus dados pessoais, excetuando-se os casos de tratamento sem a necessidade de seu consentimento;
II - assegurar que o objetivo do tratamento de dados pessoais esteja em conformidade com esta política e com a legislação vigente;
III - comunicar de forma clara o tratamento de dados pessoais ao titular antes do momento em que forem coletados ou usados pela primeira vez para nova finalidade;
IV - quando forem requisitadas, fornecer ao titular explicações sobre o tratamento de seus dados pessoais;
V - limitar a coleta, o uso, a divulgação e a transferência de dados pessoais ao necessário para o cumprimento da finalidade consentida pelo titular ou da base legal específica para o tratamento sem o consentimento;
VI - reter dados pessoais apenas pelo tempo necessário para cumprir sua finalidade e posteriormente destruí-los, bloqueá-los ou anonimizá-los com segurança, observado o disposto no art. 17 desta política;
VII - bloquear o acesso a dados pessoais quando, expirado o período de seu tratamento e sua manutenção, for exigido pela legislação;
VIII - fornecer informações claras sobre as políticas, os procedimentos e as práticas de tratamento de dados pessoais a seus titulares;
IX - cientificar os titulares quando ocorrerem alterações significativas no tratamento de seus dados pessoais;
X - garantir aos titulares o acesso e a revisão de seus dados pessoais por meio da técnica de autenticação de identidade, desde que não haja restrição legal ao acesso ou à revisão;
XI - assegurar a rastreabilidade e a prestação de contas durante todo o tratamento de dados pessoais, inclusive daqueles compartilhados com terceiros;
XII - gerenciar eventual violação aos dados tratados, mantendo o registro de incidentes e da resposta efetuada; e
XIII - adotar controles técnicos e administrativos de segurança da informação suficientes para garantir níveis de proteção adequados.
Art. 20. As normas complementares de proteção de dados pessoais deverão abranger regras de boas práticas e de governança que estabeleçam os procedimentos e as condições de organização e de funcionamento, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas e o gerenciamento de riscos.
Art. 21. As normas e os procedimentos de segurança da informação deverão ser ajustados para atender aos requisitos estabelecidos nesta política quanto às medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilegal.
Art. 22. As diretrizes estabelecidas nesta política não se esgotam em razão da contínua evolução tecnológica, da alteração legislativa e do constante surgimento de novas ameaças e requisitos e poderão ser complementadas por outras medidas de segurança.