Política de Proteção de Dados Pessoais
CONSIDERAÇÕES INICIAIS
O Escritório BURATTO SOCIEDADE DE ADVOGADOS tem o compromisso de proteger a Privacidade e os Dados Pessoais de seus colaboradores, clientes, parceiros de negócios e outras pessoas físicas identificáveis, tanto nas hipóteses de tratamento de Dados Pessoais realizada de forma direta quanto indireta. Desta forma, o BURATTO ADV. desenvolveu um Programa de Proteção de Dados Pessoais para estabelecer e manter padrões elevados para coletar e tratar Dados Pessoais. Esta Política de Proteção de Dados Pessoais é a base do Programa de Proteção de Dados Pessoais e descreve a abordagem adotada pelo BURATTO ADV. ao tratar Dados Pessoais em todos os países onde atua ou venha a atuar.
Este documento abrange aspectos sobre a coleta e tratamento de dados pessoais nas hipóteses onde o BURATTO ADV. atua como Controlador e/ou Operador de dados pessoais, de acordo com os termos da lei e/ou de contrato.
Ademais, considerando-se as regulamentações relacionadas à proteção de dados pessoais, com destaque à Lei Geral de Proteção de Dados brasileira (Lei n. 13.709/2018), o Escritório buscará a constante adequação legal ao tema, objetivando a conformidade legal e o respeito à privacidade dos titulares de dados pessoais. Para tanto, deverá sempre observar o disposto na lei de privacidade (e suas regulamentações), bem como realizar consultas prévias e demais planejamentos em conjunto com o Encarregado pelo Tratamento de Dados Pessoais (DPO), sempre que desenvolver e/ou implementar medidas e/ou sistemas que envolvam o tratamento de dados pessoais.
1. DEFINIÇÕES
Cliente: significa a pessoa jurídica, ou física, que contrata os serviços disponibilizados pelo BURATTO ADV. O Cliente é o responsável pelos dados pessoais coletados e em seu respectivo banco de dados, sendo, portanto, o CONTROLADOR dos dados pessoais, nos termos da LGPD e demais legislações aplicáveis.
Agentes de tratamento: o controlador e o operador.
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
Encarregado (ou DPO – Data Protection Officer): pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
LGPD: Lei 13.709/2018 – Lei Geral de Proteção de Dados do Brasil e demais normas correlatas.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Pseudonimização: é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
Transferência Internacional de Dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
2. APLICABILIDADE
Esta política se aplica, e deve ser respeitada, por todos os gestores, colaboradores, prestadores de serviços, consultores, colaboradores temporários e outros terceiros / empregados no BURATTO ADV. (independente da forma e vínculo), bem como em suas subsidiárias e empresas parceiras, incluindo toda a equipe afiliada a terceiros que, de alguma forma, podem ter acesso a qualquer recurso aplicável do BURATTO ADV., inclusive serviços baseados em nuvem, hospedados dentro ou fora do BURATTO ADV., quanto ao aplicável.
Esta Política de Proteção de Dados Pessoais também se aplica internacionalmente aos atos de coleta e tratamento de dados pessoais envolvendo o BURATTO ADV. e/ou empresas parceiras, seja por meios eletrônicos ou físicos (tais como dados geridos por meio de papel ou qualquer outro formato analógico) em qualquer país ou território no mundo onde atua ou venha a atuar.
Documentos adicionais poderão ser desenvolvidos e gerenciados pela equipe de Compliance, em conjunto com o Encarregado (DPO) e o departamento jurídico da empresa, visando regulamentar de forma mais específica sobre alguns departamentos e/ou tipos de Dados Pessoais coletados e tratados.
A Política e o Programa, aqui referidos, também devem visar, sempre que viável, proteger todos os tipos de dados não pessoais tratados, especialmente quanto à questões de segurança durante o tratamento.
3. DISPOSIÇÕES GERAIS
3.1. Garantias adequadas para o tratamento de dados pessoais
Esta Política, em conjunto com demais documentos previstos em leis e/ou normas nacionais e internacionais, também visa a constante busca pelas adequações e as proteções exigidas para o devido tratamento de dados pessoais confiados ao BURATTO ADV. (contidos em suporte físico e/ou digital).
Tal conjunto de documentação permite que o BURATTO ADV. trate os dados pessoais de titulares à ele vinculados, viabilizando e respaldando seus processos comerciais internos e/ou para disponibilizar funcionalidades de produtos e serviços. Para tanto, documentos adicionais, tais como contratos/ cláusulas de tratamento de dados pessoais e contratos / cláusulas para transferência internacional de dados pessoais, dentre outros, serão devidamente constituídos e respeitados entre as partes evolvidas no tratamento dos dados.
Todos os gestores, colaboradores diretos ou indiretos, prestadores de serviço, bem como qualquer terceiro que, por solicitação e ciência do BURATTO ADV. precisarem ter algum tipo de acesso e/ou qualquer tipo de tratamento a dados pessoais geridos pela empresa, deverá tomar ciência e respeitar integralmente o disposto em lei, nesta política, e demais documentos aplicáveis, antes de executar o ato necessário.
3.2. Conformidade com as leis aplicáveis
O BURATTO ADV. declara que buscará a constante adequação e respeito aos Princípios e as Leis de Proteção de Dados Pessoais locais, aplicáveis em todos os países onde realiza algum tipo de tratamento sobre dados pessoais, com destaque para a LGPD (Lei Geral de Proteção de Dados – Lei n. 13.709/18), e seus regulamentos, no Brasil.
Ainda, declara-se que, nas eventuais hipóteses onde as leis de proteção de dados aplicáveis exigirem um padrão mais elevado de proteção para dados pessoais do que o padrão estabelecido nesta política, os requisitos da lei de proteção de dados aplicável devem prevalecer. Na eventual hipótese de que as leis de proteção de dados aplicáveis estabeleçam um padrão mais baixo de proteção para dados pessoais do que o padrão estabelecido nesta política, os requisitos dessa política devem prevalecer.
Ademais, declara-se que nas situações onde os gestores e/ou colaboradores do BURATTO ADV. identificarem que a lei aplicável impede o BURATTO ADV. de cumprir suas obrigações sob esta política, eles devem informar imediatamente o fato ao Encarregado (DPO) (dpo@slkt.adv.br) para que sejam adotadas as devidas providências no menor prazo possível.
Por fim, declara-se que na eventual situação em que houver um conflito entre a lei aplicável e esta política, o departamento de Compliance, o Encarregado (DPO) e o departamento jurídico do BURATTO ADV., de forma conjunta, analisarão a situação fática e apresentarão um parecer deliberativo incluindo as devidas ações a serem realizadas para resolver tal conflito, bem como, quando aplicável, irão realizar consultas à autoridade reguladora adequada, nos termos e forma da lei.
3.3. Princípios legais sobre a proteção de dados pessoais
Apresenta-se abaixo, em complementação ao Princípio da Boa-Fé, o qual permeia os atos do escritório, os princípios norteadores às práticas da, bem como por parte das empresas do grupo ou parceiras, para qualquer tipo de tratamento de dados pessoais, tais como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Ademais, salienta-se que, quanto aos dados pessoais controlados por terceiros (escritório atuando como Operador), estes serão tratados nos termos expressamente solicitados pelos respectivos Controladores, os quais assumem a responsabilidade de respeitar os princípios e as legislações aplicáveis em seu respectivo país de atuação, sempre devendo ser respeitadas as normas legais e contratuais.
Finalidade: o escritório sempre buscará realizar o tratamento para propósitos legítimos, específicos, explícitos e informados ao titular (diretamente ou pelo respectivo Controlador), sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
Adequação: o escritório sempre buscará respeitar a compatibilidade do tratamento com as finalidades informadas ao titular (diretamente quando atuar como controlador e indiretamente quanto atuar como operador), de acordo com o contexto do tratamento.
Necessidade: o escritório sempre buscará respeitar a limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados, bem como sempre respeitando as solicitações expressas dos controladores dos dados, quando aplicável.
Livre acesso: o escritório sempre buscará a garantia, aos titulares e/ou aos controladores dos dados, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais (de forma direta quando for controlador dos dados, ou em outras hipóteses previstas em lei e/ou contratos).
Qualidade dos dados: o escritório sempre buscará disponibilizar meios para a garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento, quando for controlador dos dados, bem como facilitará para que os controladores (clientes) possam respeitar este princípio.
Transparência: o escritório sempre buscará respeitar a garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial, e nos termos da lei e contrato quando atuar como operador dos dados.
Segurança: o escritório sempre buscará a utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Prevenção: o escritório sempre buscará a adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
Não discriminação: o escritório sempre buscará tratar os dados de forma a não realizar tratamento para fins discriminatórios ilícitos ou abusivos, sempre que for a controlador destes.
Responsabilização e prestação de contas: o escritório sempre buscará manter atualizados, e nos termos legais, a demonstração da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. Este princípio será respeitado perante as autoridades competentes, tanto no Brasil quanto no exterior, bem como em relação aos controladores dos dados (clientes).
3.4. Das bases legais para o tratamento de dados pessoais
O BURATTO ADV. entende que para o devido tratamento de dados pessoais deve haver uma base legal adequada e válida, nos termos da LGPD e/ou outra norma aplicável. Assim, o escritório deverá sempre buscar manter uma avaliação atualizada quanto as bases legais aplicáveis nos tratamentos de dados pessoas que realizar.
Quando a base legal para o tratamento for o consentimento, este deve ser efetivado por meio de uma manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Assim, nas situações em que o escritório seja CONTROLADOR dos dados pessoais, serão mantidos sistemas e documentos que informem sobre a utilização dos dados coletados e demonstrem o devido consentimento, nos termos legais aplicáveis.
Nas hipóteses em que o tratamento de dados pessoais seja realizado por meio de outras bases legais, o BURATTO ADV. deverá implementar medidas para regulamentar, registrar, gerenciar e demonstrar os respectivos requisitos legais.
Nas demais situações, onde o escritório seja OPERADOR de dados pessoais, é de responsabilidade do respectivo CONTROLADOR dos dados pessoais a obtenção e comprovação do consentimento, ou de outro ato legal / base legal de autorização de tratamento, quando aplicável, nos termos da lei.
3.5. Dos direitos dos titulares dos dados
O BURATTO ADV. se compromete em sempre buscar os melhores meios para atender e garantir a efetividade dos direitos dos titulares de dados, nos termos e na forma da lei. Quando o escritório atuar como CONTROLADOR de dados, irá buscar a implementação e manutenção de ferramentas de contato e/ou acesso direto que facilitem o gerenciamento e execução da solicitação realizada.
Nas situações em que o escritório atuar como OPERADOR de dados pessoais, serão disponibilizados meios para que o respectivo CONTROLADOR possa, dentro dos termos legais, atender a demanda solicitada. Ademais, nos termos legais e contratuais, nas eventuais hipóteses onde o escritório deva atender diretamente a solicitação, este irá implementar e manter mecanismos para que tais atos sejam devidamente cumpridos.
3.6. Segurança dos dados pessoais
Todos os gestores, colaboradores, prestadores de serviços, consultores, colaboradores temporários e outros terceiros / empregados no BURATTO ADV. (independente da forma e vínculo) são responsáveis pela busca constante da garantia de que quaisquer dados pessoais tratados pelo BURATTO ADV. sejam mantidos de forma segura e não sejam disponibilizadas a terceiros, a menos que esse terceiro tenha sido especificamente autorizado pelo escritório, CONTROLADOR responsável ou o titular, para receber essas informações, bem como tenha, previamente, celebrado um acordo de confidencialidade adequado.
Ainda, os dados pessoais devem ser acessíveis somente àqueles que precisam de alguma forma tratá-lo, bem como concedido por meio de acordo com a política de controle de acesso. Todos os dados pessoais devem ser tratados com a mais alta segurança e devem ser mantidos, entre outros (disposições exemplificativas):
• em uma sala com fechadura com acesso controlado; e/ou
• em uma gaveta trancada ou armário de arquivamento; e/ou
• se informatizado, com senha protegida e/ou criptografados de acordo com os requisitos corporativos na política de controle de acesso; e/ou
• armazenados em suportes informáticos (incluindo mídias removíveis) que sejam adequados e protegidos de acordo com Política de Segurança da Informação, bem como descartados de acordo com a Política de Retenção e Eliminação de Dados Pessoais.
As rotinas de trabalho devem ser observadas com o intuito de se garantir que as telas e os terminais de computadores, notebooks e similares não sejam visíveis a terceiros, exceto para colaboradores e demais pessoas autorizadas pelo BURATTO ADV. Ademais, os equipamentos e sistemas utilizados devem estar, dentro outros requisitos, devidamente licenciados, e atualizados, com softwares / hardwares de serviço e segurança adequados.
Os registos de dados pessoais em suporte físico não podem ser deixados onde possam ser acessados por pessoas não autorizadas, bem como não podem ser removidos das instalações comerciais sem autorização expressa da diretoria, departamento jurídico, Encarregado (DPO) e/ou algum responsável do departamento de compliance. Todos os registros impressos ou manuscritos deverão, após sua devida utilização, armazenados em local seguro ou destruídos, de acordo com as normas e determinações da área de compliance.
Os dados pessoais só podem ser descartados / eliminados em conformidade com os procedimentos de retenção e exclusão de registos, os quais são gerenciados pelo departamento de compliance, Segurança da Informação, responsável pela informação e/ou Encarregado (DPO).
Os eventuais tratamentos de dados pessoais fora das instalações do BURATTO ADV. podem apresentam um risco potencialmente maior de perda, roubo ou danos a estes. Nestas hipóteses, caso haja a necessidade de tais atos, o usuário deverá requerer autorização prévia e expressa do departamento de compliance, Segurança da Informação, responsável pela informação e/ou Encarregado (DPO), bem como seguir as normas de segurança e utilização adequadas.
3.6.1. Medidas essenciais de segurança
A título ilustrativo, devendo serem analisados os casos específicos, apresenta-se as principais medidas de segurança que devem ser implementadas, e gerenciadas, pelos responsáveis pela Segurança da Informação do BURATTO ADV. (verificar Política de Segurança da Informação e demais documentos complementares relacionados):
● Controle de acesso físico às instalações do escritório (tais como: senhas, biometria e/ou chaves);
● Controle de acesso aos sistemas e/o banco de dados digitais, incluindo senhas e registros de uso, dentre outros;
● Utilização de sistemas digitais de segurança atualizados, tais como sistemas operacionais licenciados e regularmente atualizados; softwares antivírus; softwares de VPN e/ou firewalls, entre outros a serem determinados pela equipe de Segurança da Informação e departamento de compliance;
● Utilização de sistemas de criptografia e/ou pseudonimização, nos termos estudados e apresentados pela equipe de Segurança da Informação e departamento de compliance.
● Contratar serviços de terceiros, que inclui armazenamento e tratamento de dados, adequados com a legislação de proteção de dados e o contido neste documento, considerando-se, ainda, a localização física dos servidores e medidas de segurança disponibilizadas.
● Treinamentos e revisões de rotinas de trabalho dos colaboradores, e terceiros, visando o constante cuidado e respeito com as normas de Segurança da Informação e legislações aplicáveis.
3.7. Retenção e exclusão de dados pessoais
Visando a devida adequação à LGPD, o BURATTO ADV. deve buscar manter os dados pessoais, de forma a permitir a identificação de titulares de dados, apenas pelo período necessário, em relação à(s) finalidade(s) para a qual os dados foram originalmente recolhidos e/ou nos termos das leis aplicáveis e/ou nos seus interesses legítimos, nas hipóteses onde for CONTROLADOR destes. Nas situações em que atuar como OPERADOR dos dados em nome de CONTROLADORES, o prazo será definido por estes, respeitando-se os termos legais e de contrato.
O escritório pode, eventualmente, armazenar dados pessoais por períodos mais longos do que as hipóteses previstas em Lei, respeitando-se seus preceitos e adotando as medidas técnicas adequadas, bem como buscando a manutenção do devido registro e fundamento aplicável.
O período de retenção para cada categoria de dados pessoais será definido pelo departamento de compliance do escritório, juntamente o responsável pela informação, diretoria e/ou Encarregado (DPO), com os critérios usados para determinar esse período, incluindo quaisquer obrigações legais e/ou contratuais que o BURATTO ADV. tenha ao manter os dados, considerando-se, também, o previsto em contrato nas hipóteses aonde o escritório for OPERADOR dos dados.
Os Dados Pessoais devem ser eliminados de forma segura, de acordo com os princípios e termos previstos na lei aplicável, bem como nos termos contratuais nas hipóteses de atuação como Operador dos dados, protegendo assim os direitos e liberdades dos titulares dos dados. O departamento de compliance do escritório, juntamente com o responsável pela informação, diretoria e/ou Encarregado (DPO) desenvolverá e manterá regras documentadas para estes procedimentos.
3.8. Transferência internacional de dados pessoais
Todas as ocasionais transferências internacionais de Dados Pessoais, envolvendo o armazenamento ou qualquer tipo de tratamento, para países e/ou territórios diversos ao da coleta e/ou residência do titular deverá ser realizada nos termos da legislação aplicável, e após a devida adequação ao necessário para tanto.
O departamento de Compliance do BURATTO ADV., juntamente com o responsável pela informação, diretoria e/ou Encarregado (DPO), manterá Políticas, instruções e demais documentos relacionados, de forma atualizada sempre que houver algum tipo de transferência / tratamento internacional de dados pessoais.
3.9. Registros sobre tratamento de dados pessoais
O BURATTO ADV. estabelecerá, e manterá, um inventário de dados e um processo de fluxo de dados como parte de sua abordagem para abordar riscos e oportunidades em todo o projeto de Compliance quanto à proteção de Dados Pessoais. A documentação será criada, atualizada e gerenciada pelo departamento de Compliance em conjunto com a equipe de Segurança da Informação, responsável pela informação e/ou Encarregado (DPO).
3.10. Tratamento de dados pessoais compartilhado
O BURATTO ADV., sempre que tratar dados pessoais em atuação com terceiros (operador, suboperador, co-controlador ou similares) deverá buscar a constante adequação legal, jurídica, organizacional e técnica com o terceiro envolvido.
Dentre outros aspectos a serem analisados e documentados, o escritório deverá alinhar, e exigir observância, por parte dos terceiros, e de forma documentada, os seguintes itens: obrigação de adequação e manutenção constante do previsto nas leis, e demais normas, relacionadas à proteção de dados pessoais aplicáveis (com destaque para a LGPD) pelas partes envolvidas; definição das responsabilidades mútuas quanto ao tratamento; exigência contratual de que o terceiro fornecerá medidas de segurança apropriadas para proteger os dados pessoais tratados; definição e exigência de respeito ao previsto no contrato / adendo de tratamento de dados pessoais.
Sempre que necessário, um contrato e/ou adendo de tratamento de dados pessoais poderá / deverá ser implementado, complementando cláusulas e/ou acordos estabelecidos entre as partes.
3.11. Gestão de Incidentes de segurança envolvendo dados pessoais
Sempre que houver a verificação de um evento de incidente de segurança com dados pessoais, seja de forma efetiva ou suspeita, o Responsável pela Segurança da Informação (CSO) e o Encarregado (DPO) devem, no prazo adequado e de forma documentada, executar uma investigação interna e aplicar medidas corretivas adequadas, nos termos da Política de Gestão de Incidentes de Segurança.
Ademais, de acordo com o disposto em lei e/ou regulamentos complementares, deverá haver a comunicação (direta ou indireta) do fato à autoridade nacional (ANPD) e ao titular, nas hipóteses onde a ocorrência de incidente de segurança possa acarretar risco ou dano relevante aos titulares, dentro dos prazos legais (ver artigo 48 da LGPD).
Maior detalhamento sobre o tema, serão expostos em documentos complementares e/ou em legislação aplicável.
3.12. Avisos de Privacidade
O BURATTO ADV. buscará, e manterá, a implementação de Avisos de Privacidade aos titulares de dados antes e/ou no momento da coleta e tratamento de seus dados. Estes avisos deverão conter informações essenciais sobre o tratamento a ser realizado, e serão complementados por uma Política de Privacidade, a qual conterá todos os requisitos legais (esta Política poderá ser exclusiva para o tratamento referido e/ou englobar diversos tratamentos relacionados / similares).
Em caso de haver tratamento de dados pessoais sensíveis e/ou de transferência internacional de dados pessoais, deverá ser apresentado um Aviso de Privacidade com destaque especial informado tal tratamento.
Diferentes Avisos de Privacidade poderão ser disponibilizados para a mesma coleta, nas hipóteses de haver tipos diferentes de tratamento, os quais demandem consentimento e/ou ciência de forma individualizada.
Todos os Avisos e/ou Políticas de Privacidade, quando tecnicamente possível e/ou legalmente obrigatório, deverão possuir comprovação de aceite (de forma digital e/ou física).
3.13. Minimização / Anonimização / Pseudoanonimização
Visando o efetivo cumprimento do disposto na LGPD, e a prevenção / mitigação de Incidentes de Segurança, o BURATTO ADV., sempre que viável e permitido por lei, buscará coletar e tratar a menor quantidade de dados pessoais possível em seus atos de tratamento. Ainda, dentro das possibilidades técnicas, jurídicas e legais, se buscará a anonimização de dados pessoais quando do tratamento de dados pessoais que não demandem a identificação do titular dos dados.
Complementando a observância aos princípios de Segurança da Informação e da proteção de dados pessoais, e sempre que viável tecnicamente, se buscará a pseudoanonimização de dados pessoais, de forma a se prevenir e/ou mitigar incidentes de segurança, complementando outras medidas com este fim.
4. REGISTROS SOBRE TRATAMENTO DE DADOS PESSOAIS
O BURATTO ADV. estabelecerá, e manterá, um inventário de dados e um processo de fluxo de dados como parte de sua abordagem para abordar riscos e oportunidades em todo o projeto de Compliance quanto à proteção de Dados Pessoais. A documentação será criada, atualizada e gerenciada pelo departamento de Compliance em conjunto com a equipe de Segurança da Informação, responsável pela informação e/ou Encarregado (DPO).
5. CONFORMIDADE DA POLÍTICA
O BURATTO ADV. tem o compromisso de sempre buscar a garantia de que esta Política de Proteção de Dados Pessoais seja observada por todos os seus gestores, colaboradores, prestadores de serviços, consultores, colaboradores temporários e outros terceiros / empregados no BURATTO ADV. (independente da forma e vínculo).
5.1. Data efetiva do cumprimento
Esta política entra em vigor a partir da data de sua aprovação, ato formalizado com a assinatura de todos os responsáveis abaixo descritos.
5.2. Medição de conformidade
A conformidade com esta Política será verificada, de maneira contínua, por variados meios disponíveis, incluindo relatórios de ferramentas de negócios, auditorias internas e externas e autoavaliação e/ou feedback para os responsáveis na área de Compliance da empresa.
O BURATTO ADV. verificará, periodicamente, se esta Política Proteção de Dados Pessoais continua em conformidade com as leis de proteção de dados aplicáveis.
5.3. Exceções de conformidade
Quaisquer exceções a esta Política exigem a aprovação por escrito do departamento de Compliance, em conjunto com o departamento jurídico, diretoria e/ou Encarregado (DPO) do BURATTO ADV.
Todos os registros de exceções devem ser arquivados de acordo com o processo de gerenciamento de registros do BURATTO ADV., os quais serão gerenciados pelo departamento de Compliance.
5.4. Não conformidade
Todos os gestores, colaboradores, prestadores de serviços, consultores, colaboradores temporários e outros terceiros / empregados no BURATTO ADV. (independente da forma e vínculo) envolvidos com o tratamento de dados pessoais, devem sempre respeitar esta Política e as leis aplicáveis. Eventuais desvios ou não conformidade com este documento, bem como desrespeito às leis aplicáveis, inclusive tentativas de contornar a política e/ou o processo determinado, manipulando ou evitando o processo, o sistema ou os dados, podem resultar em ações disciplinares, inclusive o término do vínculo contratual / empregatício, nos termos legais.
Ademais, nos termos das leis aplicáveis, tais violações podem resultar em sanções administrativas, penalidades, pedidos de indenização ou medidas cautelares e/ou outras ações civis e/ou criminais.
As eventuais investigações e sanções / penalidades serão gerenciadas pela Diretoria do BURATTO ADV., em conjunto com o departamento jurídico e demais responsáveis relacionados ao setor / profissional investigado, nos termos das normas internas e legais aplicáveis.
6. PROCESSOS E POLÍTICAS RELACIONADOS
Outros documentos, tais como políticas, manuais e registros complementares poderão ser criados e gerenciados pelo departamento de Compliance, equipe de Segurança da Informação, jurídico, Encarregado (DPO) e/ou outros departamentos o escritório. Tais documentos devem respeitar esta Política e as demais determinações legais aplicáveis, bem como serem disponibilizados para as partes envolvidas com o procedimento referido.
Ademais, outras normas e documentos emitidos por Autoridades públicas (ex. ANPD / Poder Judiciário / Poder Legislativo) deverão ser analisados e respeitados.
Principais referências externas a serem observadas:
Lei Geral de Proteção de Dados pessoais – LGPD (Lei n. 13.709/18);
Política de Segurança da Informação (PSI) do BURATTO ADV.;
Política de Gestão e Notificação de Incidentes do BURATTO ADV.;
Práticas de mercado – ISO/IEC 27001.
7. ATUALIZAÇÕES DESTA POLÍTICA
O BURATTO ADV. pode analisar e revisar periodicamente as práticas, as políticas e os procedimentos de proteção de dados, inclusive esta Política de Proteção de Dados Pessoais. Se forem feitas quaisquer alterações significativas, o BURATTO ADV. deverá:
A) Tomar medidas razoáveis para informar, dentro do escopo adequado, a todas as empresas do grupo BURATTO ADV., colaboradores, parceiros de negócios, empresas parceiras, clientes e outros titulares de dados afetados pelas alterações; e
B) Publicar avisos apropriados referentes às alterações nos sites relevantes – internos e externos, conforme apropriado.
São Paulo, 10 de janeiro de 2022