
PDD.01.001
Rev. 01
Princípios e Diretrizes
Os princípios e diretrizes sobre proteção de dados adotados pela CMOC Brasil visam a garantir que todas as operações de tratamento realizadas internamente, respeitem e atendam as determinações da Lei 13.709/18
Ações para boas práticas e governança no tratamento de dados considerados nessa política:
a. Princípio da minimização:
Considerar o atendimento aos princípios da LGPD de obter o mínimo de dados possíveis respeitando principalmente, a finalidade, necessidade, transparência no trato dos dados.
b. Privacidade no desenho (Privacy by Design):
Considerar o atendimento às diretrizes de proteção de dados no desenvolvimento de projetos, aquisições de softwares ou qualquer possível novo tratamento. A aplicar a metodologia privacy by design e avaliar os riscos envolvidos no tratamento com base do preenchimento do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), com o suporte do encarregado de proteção de dados. Esse relatório deve conter no mínimo, a descrição dos dados coletados, finalidade, a metodologia utilizada na coleta e as garantias de segurança e mecanismos que diminuam a ocorrência de riscos.
c. Controles internos e gestão de riscos:
Identificar e comunicar as possíveis ameaças à proteção de dados ao encarregado de proteção de dados, que deverá avaliar e, quando necessário, propor ações ou a implantação de controles com o objetivo de diminuir a possibilidade de ocorrência de riscos, danos e prejuízos financeiros ou reputacionais a CMOC do Brasil.
d. Inventário de dados e descarte de documentos:
Efetuar e manter atualizado o inventário dos documentos físicos e eletrônicos que contém dados existentes na empresa para descarte ou digitalização.
Após a conclusão da finalidade legitima e propósito declarado que justificou o tratamento do dado, esse, independentemente de seu meio (digital ou físico) deve ser descartado, bloqueado ou anonimizado com segurança, conforme Política de Retenção e Descarte de Documentos Tratados CMOC (PDD.02.001).
e. Gestão de contratos e contratadas:
Para a contratação de parceiros ou qualquer realização de contrato que demandem o tratamento de dados, avaliar a adequação desse novo parceiro aos requerimentos da legislação LGPD. Considerar nos processos de contratação e avaliar com rigor, junto aos fornecedores e parceiros, sobre os controles e critérios de segurança adotados sobre o tratamento de dados da CMOC Brasil e a forma de mitigação de riscos e incidentes.
A CMOC adota clausulas específicas de adequação à LGPD na definição das obrigações das contratadas.
f. Incidentes e violações de dados:
Na ocorrência de um incidente, tratar integralmente a situação e garantir que seja registrado, investigado, documentado, comunicado a todas as partes interessadas e reparado, conforme requisitos e prazos previstos na legislação vigente e no nosso Plano de Ação, Comunicação e de Resposta a Incidentes CMOC (PDD.03.001).
g. Segurança da informação e sistemas de TI
Os sistemas de informação e suporte a processos que envolvam tratamento de dados pessoais utilizados pela empresa refletem o conceito de privacy by design.
Aplicar medidas técnicas adequadas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração comunicação ou difusão, com o suporte do encarregado de proteção de dados e conforme detalhado na Política de Segurança da Informação CMOC (STI.01.033) e Gestão de Identidade e Acessos (STI.01.063).
A CMOC promoverá pelo menos uma vez por ano, uma revisão de acessos de todos os seus colaboradores. O Encarregado de Dados juntamente com a equipe de TI irá avaliar o perfil e nível de acesso dos colaboradores com os seus respectivos gestores para identificar eventuais necessidade de adequação.
Situações de acessos consideradas inconsistentes, incompatíveis ou que denotem conflitos de interesses são analisadas no detalhe para verificação de possíveis reflexos na integridade e privacidade de dados.
h. Melhoria continua
Revisar a cada dois anos (ou conforme orientação do CGD) as políticas e procedimentos relacionados à Privacidade e Proteção de Dados CMOC Brasil, garantindo que reflitam as práticas adequadas e suficientes para mitigar adequadamente os riscos que surgem nos processos.
A CMOC acatará a qualquer momento os direitos e solicitações dos titulares dos dados conforme artigos 17 a 22 da LGPD relacionados a confirmação, tratamento, correção, portabilidade e exclusão dos dados. Para isso divulga em suas mídias formas de comunicação e solicitação dos titulares dos dados.