Política de Privacidade
e Tratamento de Dados
Resina & Marcon Advogados Associados
SUMÁRIO EXECUTIVO
O escritório Resina & Marcon Advogados Associados, ao longo de seus 37 anos de excelência na prestação de serviços jurídicos, sempre pautou sua atuação pelos mais elevados padrões éticos e de confidencialidade. Esta Política de Proteção de Dados Pessoais e Privacidade representa a evolução natural desse compromisso, alinhando nossas práticas às exigências da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 - LGPD) e às melhores práticas internacionais de proteção de dados.
Como escritório certificado pela NBR ISO 9001:2015, integramos os princípios de proteção de dados ao nosso Sistema de Gestão da Qualidade, demonstrando que a privacidade e a segurança da informação são elementos centrais de nossa estratégia organizacional e não meros requisitos de conformidade.
1. DISPOSIÇÕES GERAIS
1.1 Objetivo e Escopo
Esta Política estabelece os princípios, diretrizes e procedimentos para o tratamento de dados pessoais pelo escritório Resina & Marcon Advogados Associados, seja na qualidade de controlador ou operador de dados pessoais, abrangendo todas as atividades de coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração de dados pessoais.
1.2 Aplicabilidade
Esta Política aplica-se a todos os sócios, advogados, estagiários, colaboradores, prestadores de serviços, correspondentes jurídicos, fornecedores e demais terceiros que, em nome do escritório ou em seu benefício, tenham acesso a dados pessoais sob nossa responsabilidade.
1.3 Fundamentação Legal
Esta Política fundamenta-se na Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), no Marco Civil da Internet (Lei nº 12.965/2014), no Código de Defesa do Consumidor (Lei nº 8.078/1990), no Estatuto da Advocacia e da OAB (Lei nº 8.906/1994), no Código de Ética e Disciplina da OAB, bem como nas demais normas aplicáveis à proteção de dados pessoais e ao exercício da advocacia.
2. DEFINIÇÕES E TERMINOLOGIA
Para os fins desta Política, adotam-se as seguintes definições, em conformidade com o artigo 5º da LGPD:
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.
Banco de Dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável.
Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
Encarregado (DPO): pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.
Incidente de Segurança de Dados Pessoais: ocorrência que resulte na destruição acidental ou ilícita, perda, alteração, divulgação ou acesso não autorizado a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Órgão de Pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.
Relatório de Impacto à Proteção de Dados Pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Uso Compartilhado de Dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses órgãos e entidades.
3. PRINCÍPIOS FUNDAMENTAIS
O tratamento de dados pessoais pelo Resina & Marcon Advogados Associados observa rigorosamente os seguintes princípios, conforme estabelecido no artigo 6º da LGPD:
3.1 Finalidade
Realizamos o tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Cada operação de tratamento possui uma finalidade claramente definida e documentada.
3.2 Adequação
O tratamento é compatível com as finalidades informadas ao titular, de acordo com o contexto do tratamento e a natureza dos serviços jurídicos prestados.
3.3 Necessidade
Limitamos o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento.
3.4 Livre Acesso
Garantimos aos titulares consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
3.5 Qualidade dos Dados
Asseguramos aos titulares a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
3.6 Transparência
Garantimos aos titulares informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial e o sigilo profissional.
3.7 Segurança
Utilizamos medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
3.8 Prevenção
Adotamos medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
3.9 Não Discriminação
O tratamento não é realizado para fins discriminatórios ilícitos ou abusivos.
3.10 Responsabilização e Prestação de Contas
Demonstramos a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e a eficácia dessas medidas.
4. CATEGORIAS DE DADOS PESSOAIS TRATADOS
4.1 Dados de Clientes
4.1.1 Dados Cadastrais e de Identificação:
•Nome completo, nome social, nacionalidade, estado civil
•Documentos de identificação (RG, CPF, CNH, passaporte)
•Data e local de nascimento
•Endereço residencial e comercial
•Telefones de contato (fixo, celular, WhatsApp)
•Endereços de e-mail
•Profissão, ocupação e renda
•Dados bancários para pagamentos
4.1.2 Dados Contratuais e Processuais:
•Informações sobre contratos de prestação de serviços
•Dados processuais e procedimentais
•Correspondências e comunicações
•Documentos probatórios e petições
•Histórico de atendimentos e consultas
4.1.3 Dados Sensíveis (quando aplicável):
•Dados de saúde (em casos de direito médico, previdenciário)
•Dados biométricos (quando necessários para identificação)
•Dados sobre orientação sexual (em casos de direito de família)
•Convicções religiosas ou filosóficas (quando relevantes para o caso)
•Dados sobre origem racial ou étnica (em casos específicos)
4.2 Dados de Colaboradores
4.2.1 Dados de Recursos Humanos:
•Dados cadastrais completos
•Documentos trabalhistas e previdenciários
•Histórico profissional e acadêmico
•Dados bancários para pagamento
•Informações sobre benefícios e plano de saúde
•Avaliações de desempenho
•Dados de controle de ponto e frequência
4.2.2 Dados de Candidatos:
•Currículos e dados profissionais
•Resultados de processos seletivos
•Referências profissionais
•Dados de contato para comunicação
4.3 Dados de Terceiros
4.3.1 Fornecedores e Prestadores de Serviços:
•Dados cadastrais da empresa e representantes
•Informações contratuais e financeiras
•Dados de contato e comunicação
•Documentos de qualificação técnica
•Dados bancários para pagamento
4.3.2 Correspondentes Jurídicos:
•Dados profissionais e de qualificação
•Informações sobre casos compartilhados
•Dados de comunicação e coordenação
•Dados bancários para pagamento
4.4 Dados de Visitantes e Usuários Digitais
4.4.1 Visitantes das Instalações:
•Nome, documento de identidade e empresa
•Dados de entrada e saída das instalações
4.4.2 Usuários do Website e Redes Sociais:
•Dados de navegação e cookies técnicos
•Informações de contato fornecidas voluntariamente
•Dados de interação com conteúdos
5. FINALIDADES DO TRATAMENTO E BASES LEGAIS
5.1 Prestação de Serviços Jurídicos
Finalidades:
•Consultoria e assessoria jurídica
•Representação em processos judiciais e administrativos
•Elaboração de contratos e documentos jurídicos
•Acompanhamento processual e comunicação com clientes
Base Legal: Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular (art. 7º, V, LGPD) e exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 7º, VI, LGPD).
5.2 Gestão de Recursos Humanos
Finalidades:
•Recrutamento e seleção de pessoal
•Administração de contratos de trabalho
•Gestão de benefícios e folha de pagamento
•Cumprimento de obrigações trabalhistas e previdenciárias
•Desenvolvimento profissional e treinamento
Base Legal: Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular (art. 7º, V, LGPD) e cumprimento de obrigação legal ou regulatória pelo controlador (art. 7º, II, LGPD).
5.3 Gestão Administrativa e Financeira
Finalidades:
•Controle financeiro e contábil
•Emissão de notas fiscais e cobrança
•Gestão de fornecedores e prestadores de serviços
•Cumprimento de obrigações fiscais e regulatórias
Base Legal: Execução de contrato (art. 7º, V, LGPD), cumprimento de obrigação legal ou regulatória (art. 7º, II, LGPD) e legítimo interesse do controlador (art. 7º, IX, LGPD).
5.4 Segurança e Controle de Acesso
Finalidades:
•Controle de acesso às instalações físicas
•Segurança patrimonial e pessoal
•Investigação de incidentes de segurança
•Cumprimento de normas de segurança
Base Legal: Legítimo interesse do controlador (art. 7º, IX, LGPD) e proteção da vida ou da incolumidade física do titular ou de terceiro (art. 7º, III, LGPD).
5.5 Marketing e Comunicação
Finalidades:
•Envio de newsletters e comunicações institucionais
•Divulgação de eventos e seminários
•Relacionamento com clientes e prospects
•Análise de mercado e satisfação
Base Legal: Consentimento do titular (art. 7º, I, LGPD) e legítimo interesse do controlador (art. 7º, IX, LGPD).
5.6 Cumprimento de Obrigações Legais
Finalidades:
•Atendimento a determinações judiciais
•Cumprimento de obrigações regulatórias
•Cooperação com autoridades competentes
•Prevenção à lavagem de dinheiro e financiamento ao terrorismo
Base Legal: Cumprimento de obrigação legal ou regulatória pelo controlador (art. 7º, II, LGPD).
6. COMPARTILHAMENTO DE DADOS PESSOAIS
6.1 Princípios do Compartilhamento
O compartilhamento de dados pessoais pelo escritório observa os princípios da necessidade, adequação e transparência, sendo realizado exclusivamente nas hipóteses previstas na LGPD e mediante a adoção de medidas de segurança adequadas.
6.2 Categorias de Destinatários
6.2.1 Correspondentes Jurídicos e Advogados Parceiros
•Finalidade: Atuação conjunta em processos e procedimentos
•Base Legal: Exercício regular de direitos em processo judicial (art. 7º, VI, LGPD)
•Medidas de Proteção: Contrato de Tratamento de Dados (DPA) e termo de confidencialidade
6.2.2 Órgãos do Poder Judiciário e Administração Pública
•Finalidade: Cumprimento de obrigações processuais e legais
•Base Legal: Cumprimento de obrigação legal (art. 7º, II, LGPD)
•Medidas de Proteção: Protocolos seguros de transmissão
6.2.3 Prestadores de Serviços de Tecnologia
•Finalidade: Manutenção de sistemas, backup e suporte técnico
•Base Legal: Legítimo interesse (art. 7º, IX, LGPD)
•Medidas de Proteção: Contrato de Tratamento de Dados (DPA) com cláusulas específicas de segurança
6.2.4 Empresas de Contabilidade e Recursos Humanos
•Finalidade: Processamento de folha de pagamento e obrigações acessórias
•Base Legal: Cumprimento de obrigação legal (art. 7º, II, LGPD)
•Medidas de Proteção: Contrato de Tratamento de Dados (DPA)
6.2.5 Instituições Financeiras
•Finalidade: Processamento de pagamentos e transações financeiras
•Base Legal: Execução de contrato (art. 7º, V, LGPD)
•Medidas de Proteção: Protocolos bancários de segurança
6.3 Transferências Internacionais
O escritório não realiza transferências rotineiras de dados pessoais para países estrangeiros. Quando necessárias, tais transferências observarão rigorosamente os requisitos do Capítulo V da LGPD, incluindo:
•Adequação do país de destino conforme decisão da ANPD
•Cláusulas contratuais específicas de proteção
•Consentimento específico do titular, quando aplicável
7. DIREITOS DOS TITULARES
7.1 Catálogo de Direitos
Em conformidade com o artigo 18 da LGPD, o escritório assegura aos titulares de dados pessoais o exercício dos seguintes direitos:
7.1.1 Confirmação da Existência de Tratamento
O titular tem o direito de obter confirmação sobre a existência de tratamento de seus dados pessoais pelo escritório.
7.1.2 Acesso aos Dados
O titular tem o direito de acessar seus dados pessoais tratados pelo escritório, incluindo informações sobre as finalidades, categorias de dados, período de tratamento e compartilhamento.
7.1.3 Correção de Dados
O titular tem o direito de solicitar a correção de dados incompletos, inexatos ou desatualizados.
7.1.4 Anonimização, Bloqueio ou Eliminação
O titular tem o direito de solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
7.1.5 Portabilidade
O titular tem o direito de solicitar a portabilidade de seus dados pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa e observadas as limitações técnicas e de sigilo profissional.
7.1.6 Eliminação de Dados Baseados em Consentimento
O titular tem o direito de solicitar a eliminação dos dados pessoais tratados com base em seu consentimento, ressalvadas as hipóteses de retenção previstas na LGPD.
7.1.7 Informação sobre Compartilhamento
O titular tem o direito de obter informações sobre as entidades públicas e privadas com as quais o escritório realizou uso compartilhado de dados.
7.1.8 Informação sobre Consentimento
O titular tem o direito de ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
7.1.9 Revogação do Consentimento
O titular tem o direito de revogar seu consentimento, quando este for a base legal do tratamento.
7.2 Procedimento para Exercício de Direitos
7.2.1 Canal de Atendimento
Os titulares podem exercer seus direitos através dos seguintes canais:
•E-mail: eduardo@resinamarcon.com.br
•Telefone: [a ser definido pelo escritório]
•Correspondência: [endereço completo do escritório]
•Presencialmente: no endereço do escritório, mediante agendamento
7.2.2 Prazo de Resposta
O escritório responderá às solicitações dos titulares em até 15 (quinze) dias, podendo ser prorrogado por mais 15 (quinze) dias mediante justificativa expressa.
7.2.3 Verificação de Identidade
Para garantir a segurança dos dados, o escritório poderá solicitar informações adicionais para confirmar a identidade do titular antes de atender à solicitação.
7.2.4 Limitações ao Exercício de Direitos
O exercício dos direitos dos titulares poderá ser limitado nas hipóteses previstas no artigo 18, §§ 1º a 4º da LGPD, incluindo situações relacionadas ao sigilo profissional e ao exercício regular de direitos em processos judiciais.
8. MEDIDAS DE SEGURANÇA E PROTEÇÃO
8.1 Governança de Segurança
O escritório adota uma abordagem abrangente de segurança da informação, integrando medidas técnicas, organizacionais e físicas para proteger os dados pessoais contra acessos não autorizados, vazamentos, alterações indevidas e outras formas de tratamento ilícito.
8.2 Medidas Técnicas
8.2.1 Controle de Acesso e Autenticação
•Sistema de autenticação multifator para acesso a sistemas críticos
•Controle de acesso baseado em perfis e necessidade de conhecimento
•Senhas complexas e renovação periódica obrigatória
•Tokens de autenticação para sistemas jurídicos
8.2.2 Criptografia e Proteção de Dados
•Criptografia de dados em trânsito e em repouso
•Certificados digitais para comunicações seguras
•Assinatura digital de documentos eletrônicos
•Proteção por senha de documentos sensíveis
8.2.3 Infraestrutura e Sistemas
•Firewall e sistemas de detecção de intrusão
•Antivírus corporativo com atualizações automáticas
•Backup automatizado com teste de restauração
•Segregação de redes e ambientes críticos
8.2.4 Monitoramento e Auditoria
•Logs de acesso e atividades em sistemas
•Monitoramento de tentativas de acesso não autorizado
•Auditoria periódica de permissões e acessos
•Análise de vulnerabilidades e testes de penetração
8.3 Medidas Organizacionais
8.3.1 Políticas e Procedimentos
•Política de Segurança da Informação integrada ao SGQ
•Procedimentos de classificação e manuseio de informações
•Política de uso aceitável de recursos de TI
•Procedimentos de resposta a incidentes de segurança
8.3.2 Treinamento e Conscientização
•Programa de treinamento em proteção de dados para todos os colaboradores
•Campanhas de conscientização sobre segurança da informação
•Treinamento específico para o DPO e equipe de TI
•Simulações de incidentes de segurança
8.3.3 Gestão de Terceiros
•Due diligence de segurança para fornecedores
•Contratos de Tratamento de Dados (DPA) com operadores
•Monitoramento de conformidade de prestadores de serviços
•Avaliação periódica de riscos de terceiros
8.4 Medidas Físicas
8.4.1 Controle de Acesso Físico
•Registro de visitantes e acompanhamento obrigatório
•Câmeras de segurança em áreas críticas
•Alarmes e sistemas de detecção de intrusão
8.4.2 Proteção de Equipamentos
•Salas de servidores com controle ambiental e acesso restrito
•Cofres e armários com chave para documentos físicos
•Política de mesa limpa e tela bloqueada
•Destruição segura de documentos e mídias
9. GESTÃO DE INCIDENTES DE SEGURANÇA
9.1 Definição de Incidente
Considera-se incidente de segurança de dados pessoais qualquer evento que resulte na destruição acidental ou ilícita, perda, alteração, divulgação ou acesso não autorizado a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
9.2 Procedimento de Resposta a Incidentes
9.2.1 Detecção e Notificação Interna
•Qualquer colaborador que identifique um potencial incidente deve comunicar imediatamente ao DPO
•O DPO deve ser notificado em até 2 (duas) horas da descoberta do incidente
•Ativação da equipe de resposta a incidentes
9.2.2 Avaliação e Contenção
•Avaliação imediata do escopo e impacto do incidente
•Medidas de contenção para evitar a propagação do incidente
•Preservação de evidências para investigação
•Documentação detalhada de todas as ações tomadas
9.2.3 Investigação e Análise
•Investigação das causas raiz do incidente
•Análise do impacto nos direitos e liberdades dos titulares
•Identificação de dados pessoais afetados
•Avaliação de riscos para os titulares
9.2.4 Comunicação Externa
•Comunicação à ANPD em até 72 (setenta e duas) horas, quando o incidente apresentar risco aos direitos e liberdades dos titulares
•Comunicação aos titulares afetados quando o incidente apresentar alto risco
•Comunicação a outras autoridades competentes, quando aplicável
9.3 Medidas de Mitigação e Recuperação
9.3.1 Ações Corretivas Imediatas
•Implementação de medidas para mitigar os efeitos do incidente
•Assistência aos titulares afetados
•Restauração de sistemas e dados, quando aplicável
9.3.2 Lições Aprendidas e Melhorias
•Análise post-incidente para identificar melhorias
•Atualização de políticas e procedimentos
•Treinamento adicional, quando necessário
•Implementação de controles preventivos adicionais
10. RETENÇÃO E ELIMINAÇÃO DE DADOS
10.1 Princípios de Retenção
O escritório mantém dados pessoais apenas pelo período necessário para as finalidades para as quais foram coletados, observando os prazos legais de retenção e os princípios da necessidade e proporcionalidade.
10.2 Prazos de Retenção
10.2.1 Dados de Clientes
•Contratos e documentos contratuais: 10 (dez) anos após o encerramento do contrato
•Processos judiciais: até o trânsito em julgado e cumprimento de todas as obrigações, respeitando prazos prescricionais
•Correspondências e comunicações: 5 (cinco) anos após o último contato
•Dados financeiros: conforme legislação fiscal e contábil aplicável
10.2.2 Dados de Colaboradores
•Dados trabalhistas: conforme legislação trabalhista e previdenciária
•Dados de candidatos não selecionados: 2 (dois) anos após o processo seletivo
•Avaliações de desempenho: durante o vínculo empregatício e 5 (cinco) anos após o desligamento
10.2.3 Dados de Terceiros
•Fornecedores e prestadores: 5 (cinco) anos após o encerramento do contrato
•Visitantes: 30 (trinta) dias após a visita, salvo necessidade específica
10.3 Procedimentos de Eliminação
10.3.1 Eliminação Segura
•Dados físicos: destruição por fragmentação ou incineração
•Dados eletrônicos: sobrescrita segura ou destruição física de mídias
•Certificação de destruição quando aplicável
10.3.2 Exceções à Eliminação
•Dados anonimizados podem ser mantidos indefinidamente
•Dados necessários para cumprimento de obrigação legal
•Dados necessários para exercício regular de direitos
11. ENCARREGADO DE PROTEÇÃO DE DADOS (DPO)
11.1 Identificação
O Encarregado de Proteção de Dados (Data Protection Officer - DPO) do escritório é o Sr. Eduardo Marques, conforme designação formal da Diretoria.
Dados de Contato:
•E-mail: eduardo@resinamarcon.com.br
•Telefone: [a ser definido pelo escritório]
•Endereço: [endereço completo do escritório]
11.2 Atribuições e Responsabilidades
11.2.1 Atribuições Legais (art. 41, LGPD)
•Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
•Receber comunicações da autoridade nacional e adotar providências
•Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais
•Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares
11.2.2 Responsabilidades Adicionais
•Supervisionar a implementação e manutenção desta Política
•Conduzir avaliações de impacto à proteção de dados (DPIA)
•Coordenar a resposta a incidentes de segurança
•Manter registro das atividades de tratamento
•Promover treinamentos e conscientização sobre proteção de dados
11.3 Independência e Recursos
O DPO atua com independência no exercício de suas funções, reportando-se diretamente à Diretoria do escritório e tendo acesso aos recursos necessários para o desempenho de suas atribuições.
12. AVALIAÇÃO DE IMPACTO À PROTEÇÃO DE DADOS
12.1 Quando Realizar
O escritório realizará Avaliação de Impacto à Proteção de Dados (DPIA) nas seguintes situações:
•Tratamento de dados sensíveis em larga escala
•Implementação de novas tecnologias de tratamento
•Tratamento que possa gerar riscos aos direitos e liberdades dos titulares
•Quando determinado pela ANPD
12.2 Metodologia
A DPIA seguirá metodologia estruturada incluindo:
•Descrição sistemática do tratamento pretendido
•Avaliação da necessidade e proporcionalidade
•Avaliação dos riscos aos direitos e liberdades dos titulares
•Medidas de mitigação de riscos
13. TRANSFERÊNCIAS INTERNACIONAIS
13.1 Princípios
O escritório não realiza transferências rotineiras de dados pessoais para países estrangeiros. Quando necessárias, tais transferências observarão os requisitos do Capítulo V da LGPD.
13.2 Salvaguardas
Quando aplicáveis, as transferências internacionais serão protegidas por:
•Decisão de adequação da ANPD
•Cláusulas contratuais-padrão
•Normas corporativas globais
•Consentimento específico do titular
14. MONITORAMENTO E AUDITORIA
14.1 Programa de Monitoramento
O escritório mantém programa contínuo de monitoramento da conformidade com esta Política, incluindo:
•Auditorias internas periódicas
•Revisão de controles de acesso
•Análise de logs e registros de atividades
•Avaliação de fornecedores e operadores
14.2 Indicadores de Desempenho
São monitorados os seguintes indicadores:
•Tempo de resposta a solicitações de titulares
•Número e tipo de incidentes de segurança
•Taxa de conclusão de treinamentos
•Conformidade de fornecedores
15. DISPOSIÇÕES FINAIS
15.1 Vigência e Revisão
Esta Política entra em vigor na data de sua aprovação e será revisada anualmente ou sempre que houver mudanças significativas na legislação, nos processos de tratamento ou na estrutura organizacional do escritório.
15.2 Hierarquia Normativa
Esta Política prevalece sobre demais normas internas do escritório em matéria de proteção de dados pessoais, devendo ser observada em conjunto com o Sistema de Gestão da Qualidade e demais políticas organizacionais.
15.3 Sanções
O descumprimento desta Política poderá resultar em medidas disciplinares, sem prejuízo das responsabilidades cíveis, criminais e administrativas cabíveis.
15.4 Publicação e Comunicação
Esta Política será:
•Publicada no website do escritório
•Comunicada a todos os colaboradores e parceiros
•Disponibilizada aos clientes e titulares de dados
•Mantida atualizada e acessível