1. INTRODUÇÃO

A informação é um ativo valioso para a Rheserva Consultoria e é essencial para que consigamos cumprir nossa missão de prestação um serviço de excelência na área estratégica de gestão de pessoas e negócios, estabelecendo e mantendo um relacionamento ético e compensador com nossos colaboradores, parceiros de negócio e prestadores de serviços.

Os dados pessoais são ativos valiosos e exigem controle e proteções adequadas, são tratados com todo respeito e segurança dentro de nossa organização. Para tal, criamos e revisamos nossa política de proteção dos dados pessoais à luz da Lei Geral de Proteção de Dados Pessoais (LGPD), lei 13709/2018.

A Segurança da Informação visa proteger a empresa de um grande número de ameaças a fim de assegurar a continuidade do negócio e preservar os direitos fundamentais de seus titulares. Um programa de Governança de Dados e uma política de segurança dos dados pessoais apresenta à sociedade e, principalmente, aos nossos colaboradores que lidam com os processos em todas as áreas, a nossa adesão e conformidade total aos princípios, fundamentos e todas as diretivas de proteção dos dados sob nossa custódia.

Nossos processos de negócio e seus respectivos tratamento de dados são revisados constantemente para que respeitem por natureza o aspecto da privacidade dos dados (Privacy by design), os riscos que identificamos são calculados e priorizamos suas mitigações com planos de ação formalizados, ações e possíveis incidentes formalizados e tratados, indicadores para monitoramento dos aspectos relativos à proteção e uso dos dados pessoais são estabelecidos e acompanhados. Geramos relatórios e painéis indicativos para o Encarregado e lideranças da Rheserva Consultoria para viabilizar a governança e melhoria constante em todos os aspectos relativos à conformidade LGPD, e um estado diligente esteja estabelecido e mantido.

A Rheserva Consultoria entende que a informação corporativa é um bem essencial para nossas atividades e para resguardar a qualidade de nossos serviços, além disso, compreende que a manipulação de nossas informações é realizada por diferentes meios e suporte, armazenamento e comunicação, sendo esses vulneráveis a fatores externos e internos que podem comprometer a segurança das informações corporativas.

A Rheserva Consultoria através de sua diretoria e liderança executiva promove, incentiva e ordena a manutenção e evolução constante desta política interna de proteção dos dados das pessoas com as quais a organização mantem qualquer tipo de relação comercial, administrativa e de atração de talentos garantindo o tratamento de seus dados pessoais para os propósitos estabelecidos entre as partes em conformidade com a lei e nossos princípios morais e éticos.

Dessa forma, estabelecemos nossa política de proteção dos dados pessoais, como parte integrante do nosso sistema de gestão corporativo, alinhado às boas práticas e normas internacionalmente aceitas, com o objetivo de garantir níveis adequados às metas e necessidades da Rheserva Consultoria.

 

2. PROPÓSITO

2.1 Esta Política tem por propósito estabelecer diretrizes e normas de segurança da informação que permitam aos colaboradores e parceiros de negócios da Rheserva Consultoria adotar padrões de comportamento seguro e adequados em relação à proteção dos dados pessoais e outros dados internos e confidenciais da organização.

2.2 Orientar em relação à adoção de controles e processos para atendimento dos requisitos de segurança da informação e as legislações em relação à proteção dos dados pessoais previstos na lei 13709/2018 (LGPD).

2.3 Resguardar as informações da Rheserva Consultoria, garantindo requisitos básicos de confidencialidade, integridade e disponibilidade.

2.4 Prevenir incidentes com segurança e tratamento de dados como o uso inadequado de bases de dados, tratamento de dados sem hipóteses previstas em lei, vazamento de dados e responsabilização legal da empresa, nossos parceiros, usuários, candidatos e colaboradores.

2.5 Minimizar os riscos de autuação pela autoridade reguladora (ANPD), processos judiciais, perda de confiança do mercado, exposição institucional por problemas de inconformidade e outros impactos negativos que a falta de segurança e de processos adequados à legislação possa acarretar.

 

3. ESCOPO

Esta política se aplica a todos os usuários das informações tratadas pela Rheserva Consultoria, incluindo qualquer indivíduo ou organização que possui ou possuiu vínculo com a empresa como funcionários, ex-funcionários, fornecedores, prestadores de serviços, parceiros de negócios, que possuíram ou possuem acesso às informações e fazem uso, ou fizeram, dos recursos computacionais e acessos aos serviços de dados e/ou bases de dados da empresa.

 

3.1 Compliance Lei 13.709/2018

Este documento estabelece a Política de Segurança da Informação e adesão à Lei 13709/2018 da Rheserva Consultoria.

A Política de Governança de Dados que inclui a Política de Segurança possui como objetivo definir regras e procedimentos para garantir que os objetivos de proteção dos dados da organização sejam atendidos, assim como os princípios fundamentais da lei 13.709/2018.

É importante que as informações, assim como a cultura do cenário de tratamento de dados impostos pela LGPD, sejam divulgadas e compreendidas por todos os colaboradores da empresa e que todos estejam conscientes da importância de se entender e adotar essa política.

A Política estabelece regras para que independente do processo, do usuário, da infraestrutura ou sistema, todos os envolvidos na organização tenham um padrão de utilização dos diversos recursos que envolvem a Segurança da Informação & Proteção dos Dados Pessoais da empresa. Assim, o cuidado com a proteção dos dados seja uma cultura e hábito disseminado (Privacy by Default), e os processos de negócios sejam revisados e/ou criados com o objetivo e conceito de Proteção dos Dados Pessoais desde a sua concepção (Privacy by Design).

Os controles de Governança, de um modo geral, e a Política, em particular, foram definidos para garantir um nível de segurança coerente com o negócio da Rheserva Consultoria.

 

4. DIRETRIZES

O objetivo da segurança da informação e proteção dos dados pessoais tratados pela Rheserva Consultoria é garantir a gestão efetiva de todos os aspectos relacionados à segurança e governança do uso dos dados, provendo suporte às operações críticas de negócio e minimizando os riscos identificados em cada departamento e/ou processo de negócio, ou tratamento de dados respectivo e seus impactos à organização.

 

4.1 Comprometimento da Rheserva Consultoria

A Diretoria Executiva, o DPO e o comitê de proteção dos dados pessoais, ou Comitê LGPD estão comprometidos com uma gestão efetiva de proteção dos dados pessoais na Rheserva Consultoria e adotam medidas cabíveis para garantir que essa política seja adequadamente comunicada, entendida e seguida em todos os níveis da organização. Revisões periódicas serão realizadas a fim de se manter esta política realista, aplicável, sem comprometer o negócio da organização, mas garantindo seu propósito primário.

 

4.2 A Rheserva Consultoria declara como política

4.2.1 Elaborar, implantar e seguir por completo as políticas, normas e procedimentos de proteção dos dados pessoais, garantindo os requisitos básicos de confidencialidade, integridade e disponibilidade da informação da Rheserva Consultoria, atingidos através de adoção de controle contra ameaças provenientes de fontes externas e internas.

4.2.2 Disponibilizar políticas, normas e procedimentos de proteção dos dados pessoais à todas as partes interessadas e autorizadas tais como: colaboradores, usuários, candidatos, clientes, prestadores de serviços, parceiros e, onde for aplicável, em fornecedores.

4.2.3 Garantir a educação e conscientização sobre as práticas de proteção dos dados pessoais adotadas pela Rheserva Consultoria à todas as partes interessadas e autorizadas tais como: colaboradores, usuários, candidatos, clientes, prestadores de serviços e parceiros.

4.2.4 Atender integralmente a Lei 13709/2018 e aos requisitos de segurança da informação aplicáveis por outras legislações pertinentes e cláusulas específicas contratuais com parceiros de negócios.

4.2.5 Tratar integralmente os incidentes de uso dos dados e/ou segurança da informação, garantindo que os mesmos sejam devidamente registrados, classificados, investigados, tratados e quando necessário comunicados as partes interessadas (ANPD/TITULARES/DIRETORIAS).

4.2.6 Garantir a continuidade do negócio adotando a melhoria contínua e planos de ação com objetivos de segurança das informações e uso legal dos dados.

4.2.7 Melhorar continuamente a gestão da segurança da informação, qualidade dos dados, governança dos enquadramentos dos registros de dados baseados nas hipóteses legais previstas na LGPD.

 

5. PAPÉIS E RESPONSABILIDADES

5.1 Comitê LGPD/Segurança da informação

5.1.1 Institui-se o COMITÊ LGPD/SEGURANÇA DA INFORMAÇÃO que é composto pela participação de representantes da diretoria executiva, jurídico, RH, marketing, comunicação, liderado pelo Encarregado (DPO) nomeado no anexo 3 – Nomeação DPO.

5.1.2 As responsabilidades do COMITÊ LGPD/SEGURANÇA DA INFORMAÇÃO

5.1.2.1 Analisar, revisar e propor a aprovação de políticas e normas relacionadas à proteção dos dados pessoais;

5.1.2.2 Garantir a disponibilidade de recursos necessários para uma gestão efetiva do programa de proteção dos dados pessoais;

5.1.2.3 Garantir que as atividades de governança e segurança dos dados estejam em conformidade com esta política;

5.1.2.4 Promover a divulgação da Política de Proteção dos Dados Pessoais e disseminar a cultura de proteção dos dados, uso legal, conceito de privacidade de dados desde a concepção e por padrão na Rheserva Consultoria.

 

5.2 Gerente da segurança da informação

5.2.1 Responsabilidades

5.2.1.1 Conduzir a gestão e operação da governança dos dados, revisões contínuas nos processos de negócio com base nesta política e com base nas definições do COMITÊ LGPD/SEGURANÇA DA INFORMAÇÃO;

5.2.1.2 Apoiar o COMITÊ LGPD/SEGURANÇA DA INFORMAÇÃO em suas deliberações;

5.2.1.3 Identificar, avaliar e comunicar as ameaças e a proteção dos dados pessoais, e implantar as medidas corretivas para reduzir os riscos inerentes;

5.2.1.4 Tomar as ações cabíveis para se fazer cumprir os termos desta política;

5.2.1.5 Realizar a gestão e comunicação dos incidentes de usos inadequados e segurança.

 

5.3 Gestores de áreas

5.3.1 Responsabilidades

5.3.1.1 Gerenciar os processos de negócios, tratamentos de dados formalizados e informações geradas sob suas responsabilidades durante todo o seu ciclo de vida, incluindo a criação, manuseio e seus descartes, dentro da linha de enquadramento legal dos registros de dados nos sistemas, seu controle de uso até o momento da sua exclusão ou anonimização, no caso de fim de finalidades de uso, ou falta de enquadramento legal para tratamento;

5.3.1.2 Identificar, classificar e rotular as informações geradas sob responsabilidade da área, ajustando a classificação e rotulagem quando necessário. Todos os processos relevantes de negócio que tratam dados pessoais devem ser formalizados, assim como seus respectivos tratamentos de dados/finalidades e hipóteses legais que subsidiam os respectivos tratamentos;

5.3.1.3 Revisar os processos de negócio/tratamento de dados, identificação dos ativos e suas classificações periodicamente, ou sempre que houver mudanças de sistemas, bases relevantes de dados e/ou diretivas do COMITÊ LGPD;

5.3.1.4 Autorizar e revisar os acessos à informação e sistemas de informação sob sua responsabilidade;

5.3.1.5 Solicitar a concessão ou revogação de acessos às informações e sistemas, de acordo com os procedimentos adotados pela Rheserva Consultoria.

5.4 Usuários da informação

5.4.1 Responsabilidades

5.4.1.1 Ler, compreender e executar integralmente os termos da política de proteção dos dados pessoais, assim como as normas e procedimentos adicionais publicadas;

5.4.1.2 Enviar dúvidas ou solicitações de esclarecimentos sobre a política de proteção dos dados pessoais ao COMITÊ LGPD quando necessário, de forma documentada;

5.4.1.3 Comunicar ao COMITÊ LGPD e gerar notificação no sistema de incidentes sob qualquer evento que possa violar esta política e suas normas publicadas;

5.4.1.4 Assinar o termo de uso dos sistemas de informação da Rheserva Consultoria e conhecimento desta política, formalizando a ciência e o aceite integral de seus termos e conteúdo, assumindo as responsabilidades pelo seu cumprimento;

5.4.1.5 Responder, sob a inobservância desta política, suas normas e procedimentos inerentes conforme as sanções e punições previstas.

 

5.5 Encarregado

5.5.1 Responsabilidades

5.5.1.1 Conduzir o comitê LGPD, atendendo e gerindo o programa de conformidade à LGPD;

5.5.1.2 Atender e garantir os direitos dos titulares;

5.5.1.3 Atender e garantir as informações requisitadas pela ANPD;

5.5.1.4 Garantir o processo de melhoria contínua e atualização das políticas do programa de conformidade à LGPD.

5.6 Comitê de respostas a direitos dos titulares

5.6.1 Responsabilidades

5.6.1.1 Garantir que todas as requisições dos titulares sejam atendidas e/ou respondidas e evidenciadas;

5.6.1.2 Interfacear com as equipes de governança de dados e gestores das áreas de negócios, para controlar o atendimento às requisições dos titulares;

5.6.1.3 Reportar ao Encarregado sobre o andamento das requisições e indicadores relativos às atividades.

 

5.7 Equipe de governança de dados

5.7.1 Responsabilidades

5.7.1.1 Ler, compreender e executar integralmente os termos da política de proteção dos dados pessoais, assim como as normas e procedimentos adicionais publicadas;

5.7.1.2 Analisar, manter e propor novas políticas de governança de dados de acordo com as diretrizes corporativas da empresa;

5.7.1.3 Publicar e trazer ao conhecimento de todos os envolvidos as Políticas de Governança e as normas divulgadas por esta área;

5.7.1.4 Manter o Glossário Corporativo sempre atualizado em relação às diretrizes da diretoria da empresa, buscando atualizar, complementar, criticar e publicar as Políticas de Governança, Regras de Negócio, Regras de Dados, Categorias e Termos de Negócio que sejam aplicáveis na empresa;

5.7.1.5 Responder por eventuais inobservâncias dos colaboradores em relação à violação das políticas de governança de dados;

5.7.1.6 Alinhar com as equipes de Coordenação de Sistemas de Informação os critérios básicos de controle, a aplicação prática das políticas de governança de dados nos sistemas de informação e fontes de dados não estruturadas existentes na empresa;

5.7.1.7 Manter atualizadas as políticas de governança de dados frente a eventual criação ou as eventuais alterações das normas e regulamentações vigentes em relação ao tratamento de dados;

 

5.8 Coordenação de sistemas de informação

5.8.1 Responsabilidades

5.8.1.1 Catalogar todos os sistemas de informação ou fontes de dados não estruturadas nas plataformas de Governança de Dados da empresa;

5.8.1.2 Promover e gerenciar o inventário de ativos de TI em cada sistema cadastrado na plataforma de governança de dados;

5.8.1.3 Investigar os ativos de TI para identificar a presença de dados pessoais protegidos pelas normas e regulamentações vigentes;

5.8.1.4 Classificar os Ativos de TI em relação às políticas de governança de dados vigente e o contexto de negócio de cada elemento de dados ou documentos existentes nos sistemas e aplicações da empresa;

5.8.1.5 Responder a eventos que representem risco aos direitos do titular dos dados, atuando de forma proativa e integrada junto a equipe de Governança de Dados;

5.8.1.6 Apoiar o Comitê de Resposta aos Direitos dos Titulares nas tarefas de identificação e levantamento dos cadastros e informações existentes referente a um determinado titular que venha a requisitar à empresa algum de seus diretos.

 

6. SANÇÕES E PUNIÇÕES

6.1 Sobre as violações

As violações, mesmo que por omissão, ou tentativa frustrada desta política, suas normas e procedimentos publicados podem acarretar em penalidades que incluem advertência verbais, notificações formais, suspensão não remunerada, cancelamento de contrato (no caso de parceiros de negócio ou prestadores de serviços), e demissão por justa causa do funcionário da empresa;

 

6.2 Sobre aplicações de sanções e punições

A Aplicação de sanções e punições poderá ser realizada de acordo com a definição do COMITÊ LGPD, onde a gravidade do incidente ou ameaça e/ou dano causado será avaliado, além da recorrência e as hipótese previstas nos contratos e/ou no artigo 482 da CLT podem o COMITÊ LGPD, no uso disciplinar que lhe é atribuído em conjunto com o departamento de RH e/ou jurídico, aplicar a pena cabível;

 

6.3 Sobre violações criminosas

 Para violações que estejam relacionadas a atividades criminosas ou que possam acarretar dano à Rheserva Consultoria ou aos titulares das informações, o infrator será responsabilizado pelos prejuízos cabendo a aplicação de medidas judiciais.

 

7. DECLARAÇÃO DE COMPROMETIMENTO DA DIRETORIA (ABNT NBR ISO/ IEC 27701:2019)

A Diretoria da Rheserva Consultoria declara-se comprometida em um programa de governança que envolve a Segurança & Proteção dos Dados Pessoais de seus clientes e qualquer pessoa ou entidade acerca de seus negócios, garantindo a confidencialidade, integridade e disponibilidade dos mesmos, conforme legislação brasileira de boas práticas de governança de dados.

Nos comprometemos com os fundamentos e princípios de uso dos dados pessoais regidos pela lei 13.709/2018 para uso dos dados de forma consentida pelo seu titular, enquadramento em nosso direito ou dever de tratamento através das dez hipóteses previstas em lei. Nos comprometemos com a conscientização de todo nosso time de colaboradores, diretorias e executivos e com os processos adequados para uso legal dos dados.

 

7.1 Nosso papel de controlador de dados pessoais (ABNT NBR ISO/IEC 27701:2019)

A Rheserva Consultoria assume o papel de controlador de dados pessoais e, para isso, estabelece mecanismos de proteção a esses dados, além dos serviços para prover aos titulares das informações que tratamos para que exerçam seus direitos de confirmação do tratamento, acesso, possibilidade de atualização, portabilidade dentre outros.

No papel de controlador, a Rheserva Consultoria, trata dados pessoais de colaboradores, prestadores de serviços, fornecedores, candidatos e usuários. Para tal, realiza-se os enquadramentos devidos nas hipóteses previstas em lei, revisando e formalizando os processos de tratamentos de dados e cada etapa crítica onde os dados são coletados, armazenados, compartilhados e processados. Assim, calcula-se riscos e planeja-se mecanismos de mitigação dos mesmos, a fim de evitar o uso inadequado e vazamento de dados à luz de mecanismos tecnológicos de segurança digital, políticas, procedimentos e processos revisados, desenhados com os aspectos da privacidade por natureza (Privacy by design).

 

7.2 Partes interessadas (ABNT NBR ISO/IEC:2019)

Governo, sócios, clientes, colaboradores, prestadores de serviços, pessoa física, parceiros de negócios, empresas prestadoras de serviços, fornecedores, usuários e candidatos.

 

7.3 Principais mecanismos - Proteção dos Dados Pessoais (Segurança & Uso Adequado)

A Base de nosso programa de conformidade à LGPD é estabelecida a partir dessa política, onde buscamos abordar todos os procedimentos acerca do tema segurança da informação e uso legal dos dados pessoais que transacionam com a empresa. Para isso, estabelecemos alguns mecanismos chaves que estabelecem um arcabouço estruturado para um Sistema de Gestão da Privacidade e da Informação (3.2 ABNT NBR ISO/IEC 27701:2019) - SGPI, que considera a proteção de privacidade como potencial afetada pelo tratamento dos dados pessoais.

Essa política apresentará o conjunto de processos que estabelecem os mecanismos para segurança dos dados em nossa custódia, considerando processos, pessoas, infraestrutura e tecnologia, seguindo os princípios, fundamentos e hipóteses legais previstas em lei, observando todos os artigos que regem a LGPD. Além disso, os mecanismos de gestão da melhoria contínua que visam a observação dessa própria política geral (este documento, nesta revisão e versão) e todos os demais processos de segurança e uso legal dos dados, estarão em um verdadeiro ciclo de monitoramento e melhoramentos para que possam ser exigidos por normativas, diretivas e portarias legais a partir das comunicações e/ou novas exigências da ANPD (Autoridade Nacional de Proteção dos Dados Pessoais).

 

8. APROVAÇÃO

Esta NORMA foi aprovada no dia 18/08/2020

Responsáveis:

DPO: Lucas Aucar
Comitê LGPD: Raquel Oliveira, Carla Fonseca, Joyce Boratto, Anna Luisa Almeida, Jessica Fonseca, Caroline Araújo