Política de Governança em Privacidade

Home / Política de Governança em Privacidade

POLÍTICA DE GOVERNANÇA EM PRIVACIDADE DA ASSOCIAÇÃO BRASILEIRA DA INDÚSTRIA DE HIGIENE PESSOAL, PERFUMARIA E COSMÉTICOS – ABIHPEC E DE SUAS ENTIDADES PARCEIRAS INSTITUTO ABIHPEC E SINDICATO DA INDÚSTRIA DE PERFUMARIA E ARTIGOS DE TOUCADOR NO ESTADO DE SÃO PAULO – SIPATESP

 

-I-

ESCOPO

Esta Política de Governança em Proteção de Dados Pessoais (“Política”) compreende os princípios e os padrões de conduta que guiarão a atuação da Associação Brasileira da Indústria de Higiene Pessoal, Perfumaria e Cosméticos (“ABIHPEC”) e entidades aderentes em relação a todos os dados pessoais que estejam sob seu controle, inclusive de seus colaboradores, fornecedores, prestadores de serviço, membros de suas associadas e de outras associações empresariais, participantes de programas de responsabilidade social, agentes públicos e quaisquer outras pessoas, independentemente do meio pelo qual tais dados pessoais foram coletados, recebidos, obtidos ou gerados pela ABIHPEC.

Para tanto, essa Política compreenderá dispositivos que têm como objetivo demonstrar o gerenciamento de dados pessoais feito pela ABIHPEC, observando os princípios que regem as legislações de proteção de dados pessoais, abordando políticas e procedimentos que versam sobre a temática, bem como a criação de uma vertical, dentro da estrutura da ABIHPEC, focada na implementação e manutenção das práticas de governança em privacidade, incluindo um Comitê de Privacidade e o Encarregado pelo Tratamento de Dados Pessoais.

Dados Pessoais são, na forma de legislação aplicável, toda e qualquer informação relacionada a uma pessoa natural identificada ou que possa ser identificada mediante esforços razoáveis pela ABIHPEC, ou ainda que possa ser individualizada por meio do tratamento dado a essas informações pela ABIHPEC, mesmo sem que seja identificada.

Em consonância com a finalidade e objetivos associativos da ABIHPEC e com seu Código de Ética e Melhores Práticas, a ABIHPEC respeita a privacidade e a autodeterminação das pessoas cujos dados pessoais estejam sob seu controle, pautando-se sempre pela boa fé e pelo uso ético desses dados com o fim último de atingir sua finalidade associativa. A ABIHPEC nunca participará de nenhum tipo de comércio de dados pessoais, não utilizará dados pessoais para ganho próprio e sempre agirá de modo a preservar os direitos e liberdades dos cidadãos afetados pelo tratamento de dados pessoais feito pela ABIHPEC.

 

-II-

PRINCÍPIOS

A ABIHPEC observará os seguintes princípios, que guiam esta Política:

  • Finalidade, adequação e necessidade: a ABIHPEC somente possuirá sob seu controle os dados pessoais estritamente necessários para realizar tratamento de dados compatível com finalidades legítimas, determinadas, específicas e condizentes com sua finalidade e objetivos associativos; do mesmo modo, a ABIHPEC manterá todo uso, compartilhamento e guarda de dados pessoais restritos ao mínimo que seja pertinente, proporcional e não excessivo para atingir suas respectivas finalidades de coleta, sem utilizá-los em tratamento posterior de forma incompatível com essas finalidades.

 

  • Transparência, livre acesso e qualidade dos dados pessoais: a ABIHPEC prestará informações claras, precisas e facilmente acessíveis sobre o tratamento de dados pessoais aos respectivos titulares, garantindo a consulta gratuita aos dados que a Associação possui sobre ela, informações específicas acerca do tratamento desses dados na forma da lei, e a possibilidade de retificação e atualização dos dados, de acordo com a necessidade.

 

  • Segurança e confidencialidade dos dados pessoais: a ABIHPEC adotará medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, tratando-os sempre com a devida confidencialidade tanto com relação a terceiros como internamente.

 

  • Prevenção e não discriminação: a ABIHPEC adotará medidas técnicas e organizacionais adequadas à prevenção de vazamentos de dados pessoais e outros danos em virtude do tratamento de dados pessoais, incluindo utilização dos dados para fins ilícitos, discriminatórios, abusivos ou inadequados às suas finalidades específicas.

 

  • Responsabilização e prestação de contas: a ABIHPEC manterá uma estrutura de governança na forma desta Política, dotada de um Encarregado pelo Tratamento de Dados Pessoais e um Comitê de Privacidade que sejam capazes de garantir a observância e o cumprimento desta Política e das demais normas de proteção de dados pessoais aplicáveis, garantir a responsabilização das pessoas envolvidas em conduta contrária a suas disposições, documentar as práticas relativas ao tratamento de dados, sugerir e adotar medidas de salvaguarda e proteção da privacidade e diminuição de riscos aos dados, bem como avaliar a eficácia dessas medidas e da Política, de modo a revisá-la e atualizá-la periodicamente ou sempre que deixar de atender adequadamente a seu propósito.

 

-III-

DADOS PESSOAIS CONTROLADOS PELA ABIHPEC

A ABIHPEC possui e realiza o tratamento de diversos tipos de dados pessoais, quais sejam:

  • Dados de seus diretores estatutários e de representantes das empresas associadas necessários para a tomada e registro de decisões de gestão e administração da entidade, bem como alteração de seu estatuto, regimento interno e documentos normativos.

 

  • Dados de seus colaboradores e prestadores de serviços relacionados ao cumprimento de seus contratos de trabalho, prestação de serviços e consultoria especializada, respectivo pagamento e direção dos trabalhos realizados, bem como para reporte às entidades e autoridades competentes de fiscalização na forma da lei.

 

  • Dados de fornecedores de bens e serviços, também relacionados aos contratos firmados com a ABIHPEC.

 

  • Dados de autoridades públicas relacionados com o cumprimento de obrigações legais da ABIHPEC e com a viabilização de ações institucionais e jurídicas da ABIHPEC no interesse do setor que representa.

 

  • Dados de doadores, contribuintes e voluntários relacionados a ações de responsabilidade social, manutenção de programas sociais e prestações de contas na forma da lei.

 

  • Dados de usuários dos websites da ABIHPEC, coletados para seus propósitos específicos na forma de seus respectivos avisos e políticas de privacidade.

 

  • Dados de terceiros participantes em cursos, eventos, ações de responsabilidade social e campanhas realizadas pela ABIHPEC, conforme necessário para sua realização e outras finalidades delas decorrentes.

 

  • Dados pessoais relacionadas ao SIPATESP e Instituto ABIHPEC, relativos ao atingimento das respectivas finalidades e objetivos institucionais, nos termos de acordo ou convênio que regule o compartilhamento de dados entre as entidades.

 

 

-IV-

TRATAMENTO DE DADOS PESSOAIS

Todo e qualquer dado pessoal coletado, recebido, obtido ou gerado pela ABIHPEC deve estar atrelado a uma ou mais finalidades lícitas, específicas, explícitas, informadas aos respectivos titulares na medida do possível e consoantes com a finalidade e objetivo associativos da ABIHPEC. Esse dado pessoal deverá também ser necessário e compatível com a finalidade proposta e ter seu ciclo de vida controlado desde o momento em que a ABIHPEC passa a ter controle do dado pessoal até o momento de seu descarte definitivo.

As atividades de tratamento de dados pessoais pela ABIHPEC devem estar embasadas em uma autorização legal para tanto e serão registradas em documento ou sistema específico para controle da realização dos ônus e obrigações legais decorrentes de tal autorização, dos riscos atrelados e medidas de mitigação desses riscos, bem como da circulação interna e externa dos dados pessoais.

Somente os colaboradores, diretores e terceiros que tenham estrita necessidade de acesso a determinadas categorias de dados pessoais para a realização de suas finalidades de tratamento específicas terão acesso a esses dados, levando-se em conta o papel desempenhado pela pessoa com relação aos dados e reduzindo-se a informação acessada ao conteúdo mínimo viável para que a informação tenha utilidade, por meio de medidas técnicas e organizacionais como divisão e segregação de dados, tarjeamento, desidentificação, pseudonimização, entre outras consideradas adequadas pelo responsável pelo tratamento.

Dados pessoais, incluindo os documentos físicos e digitais contendo tais informações, somente poderão ser mantidas sob controle da ABIHPEC para atividades de tratamento compatíveis com suas finalidades de coleta, recepção, obtenção ou geração e enquanto tais finalidades subsistirem. Esses dados pessoais serão eliminados imediatamente nos casos de ser reconhecida a inexistência de qualquer finalidade lícita e legítima que justifique a sua manutenção, de ser atingido o prazo de salvaguarda do dado ou documento para fim de cumprimento de obrigações legais ou para exercício de direitos para os quais o dado pessoal é necessário, ou no caso de exercício de direito do respectivo titular, incluindo retirada de consentimento, que obrigue a ABIHPEC ao descarte desse dado pessoal. O descarte de informações e documentos será feito de forma segura, com a destruição de meios físicos e sobrescrição de arquivos digitais que garanta sua impossibilidade de recuperação, conforme estabelecido na política de segurança de informação adotada pela ABIHPEC.

Todo e qualquer tratamento de dado pessoal em que a ABIHPEC identificar potencial de dano aos direitos e liberdades fundamentais dos titulares serão objeto de avaliação de impacto à proteção de dados pessoais em que sejam avaliados os riscos e possíveis medidas para sua mitigação, prevenção ou eliminação.

 

-V-

COMPARTILHAMENTO DE DADOS PESSOAIS COM TERCEIROS

Dados pessoais somente serão compartilhados, transferidos ou divulgados pela ABIHPEC a terceiros na medida estritamente necessária para cumprimento de uma finalidade legítima, específica, expressa e reconhecida pela ABIHPEC como compatível com sua finalidade e objetivos associativos.

O compartilhamento, transferência e divulgação de dados pessoais a entidades privadas será sempre precedido de procedimentos, auditoria ou documentação que garanta a adoção, pelo terceiro, de medidas técnicas e administrativas suficientes para a segurança dos dados pessoais de acordo com os riscos a que estejam expostos, além da salvaguarda dos direitos e liberdades fundamentais dos respectivos titulares. O terceiro deverá firmar contrato que preveja condições mínimas para a vinculação do terceiro ao cumprimento desta Política e das leis e regulamentos de proteção de dados pessoais aplicáveis, bem como mecanismos que permitam a conferência do cumprimento pela ABIHPEC.

O compartilhamento, transferência e divulgação de dados pessoais às autoridades públicas e entidades governamentais será limitado ao necessário para o cumprimento de obrigações legais ou regulatórias, o cumprimento de ordem judicial ou requisição de autoridade pública, e à defesa ou exercício de direitos da ABIHPEC ou de empresas associadas em um processo judicial ou administrativo. Nessas condições, a legalidade e legitimidade da ordem ou obrigação, a competência da autoridade ou órgão público, a extensão do dever e as respectivas consequências sempre serão avaliadas antes da autoridade ter acesso aos dados.

 

-VI-

SEGURANÇA DE INFORMAÇÃO

A ABIHPEC adotará medidas técnicas e organizacionais de segurança de informação compatíveis com o nível de risco avaliado e com o estado da técnica para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência de seus sistemas informáticos, bancos de dados, arquivos físicos e outros repositórios de informações, de modo a evitar acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão de dados pessoais. Os riscos avaliados e as medidas e protocolos adotados serão registrados em políticas e outros documentos normativos e aplicação obrigatória para a ABIHPEC e todos os colaboradores, diretores e terceiros relevantes, devendo ser revisados e atualizados pelo menos anualmente e nas hipóteses de evento ou fato relevante.

A ABIHPEC adotará um plano de resposta a incidentes de segurança que garanta a rápida avaliação, interrupção, remediação e, quando necessário, mitigação e reparação dos danos eventualmente causados pelo evento. A ABIHPEC manterá registro de eventos de segurança constando categorias e titulares de dados pessoais eventualmente afetados e realizará a comunicação imediata desses incidentes às autoridades competentes e aos respectivos titulares na forma da lei, comprometendo-se a auxiliá-los de boa-fé na mitigação ou reparação dos danos efetivamente sofridos.

A ABIHPEC também atribuirá responsabilidade formal e controlará o acesso às informações restritas ou sigilosas, imputando penalidades disciplinares em casos de violação da segurança da informação.

 

-VII-

DIREITOR DOS TITULARES DE DADOS PESSOAIS

A ABIHPEC garante o cumprimento de todos os direitos dos titulares de dados pessoais controlados pela Associação, listando, em especial, os seguintes direitos previstos na LGPD com relação ao tratamento de seus dados pessoais:

  • o acesso facilitado a informações claras acerca do tratamento de dados pessoais pela ABIHPEC, inclusive sobre as finalidades específica do tratamento, forma e duração do tratamento, identificação e informações de contato da ABIHPEC e eventuais outros controladores, informações acerca do uso compartilhado de dados pela ABIHPEC e a respectiva finalidade do compartilhamento, responsabilidades das diferentes entidades públicas e privadas envolvidas em tratamento compartilhado agentes que realizarão o tratamento, bem como os direitos do titular.

 

  • a confirmação de existência e informações sobre o tratamento de seus dados pessoais pela ABIHPEC.

 

  • o acesso aos dados pessoais de sua titularidade controlados pela ABIPEHC.

 

  • a correção de eventuais dados pessoais incompletos, inexatos ou desatualizados.

 

  • o bloqueio, a eliminação ou a anonimização de dados pessoais que sejam detidos pela ABIHPEC sem necessidade, excessivos para as finalidades declinadas pela ABIHPEC ou tratados em desconformidade com a legislação e com esta Política.

 

  • portabilidade dos seus dados pessoais a outras entidades, em formato interoperável, mediante requisição expressa e conforme os regulamentos oficiais sobre o assunto.

 

  • a eliminação, quando requerida, dos dados pessoais coletados mediante seu consentimento, na forma da legislação aplicável.

 

  • informação das entidades públicas e privadas com as quais houve uso compartilhado de seus dados.

 

  • informação sobre a possibilidade de não fornecer seu consentimento e sobre as consequências da negativa, nos casos em que seus dados forem coletados e tratados mediante consentimento.

 

  • a revogação do seu consentimento para coleta e tratamento de dados nestes mesmos casos.

 

  • a possibilidade de revisão de decisões automatizadas que a ABIHPEC venha a adotar para em processos que possam atingir os direitos e interesses dos titulares de dados.

 

A ABIHPEC manterá normas, controles e processos atualizados que garantam a apresentação das devidas informações aos respectivos titulares de dados pessoais, preferencialmente no momento ou no contexto da coleta de seus dados ou na primeira oportunidade após o seu recebimento ou obtenção, limitado às hipóteses em que não seja viável ou haja justo motivo para não proceder à entrega de determinadas informações aos titulares.

A ABIHPEC também manterá normas, controles e processos atualizados que garantam a resposta aos direitos dos titulares sem demora, dentro dos prazos previstos em lei ou nos regulamentos aplicáveis para essa resposta.

Serão mantidos canais de contato direto com o Encarregado pelo Tratamento de Dados Pessoais, Sr. Hélio Arcoverde da Silva, para que os titulares possam exercer seus direitos, fazer reclamações e solicitações, bem como enviar sugestões com relação às práticas da ABIHPEC, entre eles um ramal específico do telefone +55 (11) 3372 9899 e o e-mail privacidade@abihpec.org.br. Também serão criados canais facilitadores para as diversas categorias de titulares de dados pessoais com maior circulação de dados nas atividades da ABIHPEC, como seus colaboradores.

-VIII-

ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS E COMITÊ DE PRIVACIDADE

A ABIHPEC manterá como Encarregado pelo Tratamento de Dados Pessoais um colaborador designado pela Diretoria que possua conhecimento teórico e prático sobre proteção de dados pessoais e experiência anterior nas áreas de tecnologia da informação, segurança de informação, gestão de projetos, compliance ou jurídica, boa articulação como todas as categorias de titulares de dados pessoais tratados pela ABIHPEC e boas habilidades de comunicação com o público e com autoridades públicas.

São atribuições e responsabilidades do Encarregado:

  • Receber e dar encaminhamento interno a comunicações, requisições e intimações da ANPD – Autoridade Nacional de Proteção de Dados, bem como solicitações e reclamações de titulares de dados pessoais.

 

  • Aconselhar os órgãos associativos da ABIHPEC com relação a comunicações, requisições e intimações da ANPD, solicitações e reclamações de titulares e incidentes de segurança, bem como em outras decisões que possam ter impacto à privacidade ou à proteção de dados pessoais de quaisquer pessoas.

 

  • Atuar como porta-voz da ABIHPEC para assuntos relativos à privacidade e proteção de dados pessoais após aprovação do Conselho Deliberativo na forma do Regimento Interno da ABIHPEC.

 

  • Apresentar resposta da ABIHPEC a comunicações, requisições e intimações da ANPD e a solicitações e reclamações de titulares de dados pessoais, em ambos os casos após a devida aprovação da Diretoria e/ou do Conselho Deliberativo.

 

  • Comunicar incidentes de segurança à ANPD e aos titulares de dados pessoais em nome da ABIHPEC após aprovação da Diretoria e/ou Conselho Deliberativo.

 

  • Esclarecer dúvidas de titulares de dados pessoais quanto às práticas da ABIHPEC com relação a seus dados.

 

  • Orientar os colaboradores, diretores, conselheiros, prestadores de serviços e representantes das empresas associadas da ABIHPEC com relação às políticas e práticas em vigor da ABIHPEC relativas à privacidade e proteção de dados pessoais.

 

  • Coordenar a revisão e no estabelecimento de processos da ABIHPEC que possam trazer risco relevante à privacidade ou à proteção de dados pessoais de quaisquer pessoas (e.g. vazamentos, desvio de finalidade e tratamento ilícito de dados).

 

  • Coordenar o estabelecimento e revisão de processos e diretrizes de minimização de dados, eliminação de dados, garantia de proteção de dados pessoais desde a concepção de novos projetos e garantia do maior nível de privacidade possível quando houver alternativas ou escolhas para um mesmo processo.

 

  • Controlar periodicidade e coordenar as revisões de registros de operação de tratamento de dados pessoais, políticas e normas internas relativas à privacidade, proteção de dados pessoais e segurança de informação, e projetos de implantação de soluções para inadequações à legislação e regulamentos de proteção de dados pessoais.

 

  • Acompanhar ou coordenar o acompanhamento da evolução das leis, regulamentos e boas práticas de privacidade, proteção de dados pessoais e segurança de informação.

 

  • Participar na elaboração e revisão de cláusulas, minutas e documentos relacionados com o compartilhamento e transferência de dados, na seleção e elaboração de critérios de seleção de prestadores de serviços com potencial de risco relevante à privacidade e proteção de dados pessoais e na elaboração e revisão de políticas e avisos de privacidade da ABIHPEC para diferentes categorias de titulares de dados pessoais.

 

  • Auditar processos e práticas relativas à privacidade, proteção de dados pessoais e segurança de informação e levar suas conclusões à Diretoria e/ou ao Conselho Deliberativo.

 

  • Auditar prestadores de serviços com potencial de risco relevante à privacidade e proteção de dados pessoais.

 

  • Recomendar e dirigir a realização de avaliações de interesse legítimo, avaliações de impacto à privacidade, e outras avaliações de riscos relacionados à proteção de dados pessoais, discutir seus resultados com os líderes dos projetos afetados e, se necessário, levar suas conclusões à Diretoria e/ou ao Conselho Deliberativo.

 

  • Recomendar e dirigir a realização de relatórios de impacto à proteção de dados pessoais e obter aprovação da Diretoria e/ou Conselho Deliberativo para seu encaminhamento à ANPD.

 

  • Convocar, organizar e participar de reuniões do Comitê de Privacidade.

 

A ABIHPEC garantirá independência do Encarregado na realização de suas funções e o acesso direto à Diretoria, Conselho Deliberativo e demais órgãos da Associação para que possam ser tomadas as decisões gerenciais e executivas necessárias com relação a questões que impactem a privacidade e a proteção de dados pessoais sob controle da ABIHPEC, na forma do Regimento Interno da ABIHPEC. Também serão garantidos ao Encarregado o acesso a todas as informações sobre novas atividades e processos da ABIHPEC que tenham potencial de risco relevante à privacidade e proteção de dados pessoais e demais informações relevantes às suas atribuições, independentemente de sua classificação de confidencialidade, desde que observadas as políticas e normas corporativas para garantir seu sigilo e segurança.

Será mantido um Comitê de Privacidade, órgão auxiliar permanente da ABIHPEC composto pelo Encarregado e outros membros sugeridos pelo encarregado e aprovados na forma do Regimento Interno. São competência do Comitê de Privacidade todos os assuntos correspondentes ao tema de privacidade e proteção de dados pessoais, inclusive a realização das atribuições do Encarregado sob sua direção ou coordenação.

São deveres dos integrantes do Comitê de Privacidade, incluindo o Encarregado:

  • atuar com independência, imparcialidade, decoro e boa-fé.

 

  • conhecer, aplicar e fazer cumprir as regras, regulamentos e procedimentos da ABIHPEC.

 

  • atuar como embaixadores da cultura de privacidade e proteção de dados pessoais dentro da ABIHPEC e aliados na governança em dados pessoais.

 

  • acatar e respeitar as decisões do Conselho Deliberativo.

 

  • declarar-se impedido quando houver conflito de interesses.

 

  • manter sigilo sobre assuntos que digam respeito às discussões havidas no âmbito do Comitê de Privacidade.

 

  • firmar termo de compromisso e confidencialidade.

 

  • abster-se de utilizar a condição de membro do Comitê de Privacidade para obter vantagens para si ou para terceiros.

 

  • propor políticas e adotar postura de porta-voz interno à ABIHPEC quando houver necessidade para a manutenção do cumprimento e instrução de demais pessoas envolvidas com o tratamento de dados pessoais.

 

  • Incorporar em suas atribuições o constante gerenciamento e fiscalização de atividades que englobem tratamento de dados pessoais.

 

 

-IX-

RESPONSABILIDADES PELA PROTEÇÃO DE DADOS PESSOAIS

Cada colaborador, diretor, conselheiro, grupo de trabalho e comitê é responsável pelos próprios atos com relação às atividades de tratamento de dados pessoais, pelo cumprimento desta Política e demais normas aplicáveis, bem como por possibilitar a boa realização dos trabalhos do Encarregado pelo Tratamento de Dados Pessoais e do Comitê de Privacidade.

Cada colaborador, diretor, conselheiro, grupo de trabalho e comitê é responsável pelos próprios atos com relação às atividades de tratamento de dados pessoais, pelo cumprimento desta Política e demais normas aplicáveis, bem como por possibilitar a boa realização dos trabalhos do Encarregado pelo Tratamento de Dados Pessoais e do Comitê de Privacidade.

O Encarregado pelo Tratamento de Dados Pessoais prestará contas de suas atribuições diretamente ao Conselho Deliberativo e à Assembleia Geral. O Encarregado responderá pela sua atuação com dolo, má-fé ou negligência em suas atribuições, sendo resguardado pela ABIHPEC contra responsabilidade pessoal pelos atos e decisões da Diretoria, do Conselho Deliberativo e dos demais órgãos associativos.

O Comitê de Privacidade tem sua responsabilidade regulada na forma do Regimento Interno da ABIHPEC.

 

-X-

ADESÃO

Em consonância com suas finalidades associativas e em benefício mútuo das entidades aqui listadas e da sociedade como um todo, a ABIHPEC convida o Sindicato da Indústria de Perfumaria e Artigos de Toucador no Estado de São Paulo – SIPATESP e o Instituto ABIHPEC a aderirem à presente Política mediante compromisso de que suas práticas e conduta estão e estarão de acordo com esta Política, de que respeitarão todas as suas disposições, de que participarão do Comitê de Privacidade e da estrutura de governança da ABIHPEC estabelecidos por esta política, mediante aprovação das respectivas Assembleias Gerais e/ou Diretorias, na forma dos respectivos Estatutos.