I. OBJETO Y OBJETIVO DEL DOCUMENTO


La LGPD establece reglas y principios para el tratamiento de datos personales, incluso en medios digitales, con el fin de proteger los derechos fundamentales de libertad e intimidad y el libre desarrollo de la personalidad de la persona física.


La LGPD define que la protección de datos personales en Brasil se basa en: el respeto a la privacidad; autodeterminación informativa; libertad de expresión, información, comunicación y opinión; la inviolabilidad de la intimidad, el honor y la imagen; desarrollo económico y tecnológico e innovación; libre iniciativa, libre competencia y protección al consumidor; y los derechos humanos, el libre desarrollo de la personalidad, la dignidad y el ejercicio de la ciudadanía por parte de las personas naturales.


CONCILIG TELEMARKETING E COBRANÇA LTDA, (en adelante, “CONCILIG” o simplemente “Responsable”) reconoce el valor de la privacidad y la protección de datos como bien común y buenas prácticas comerciales; promoviendo sistemáticamente su implementación con la LGPD y la normativa aplicable. La presente política se aplica a CONCILIG en cuanto a su desempeño de conformidad con las leyes, reglamentos y reglas de gobierno aplicables en materia de Protección de Datos Personales.


II. ÁMBITO DE APLICACIÓN


En cuanto al ámbito de aplicación, el art. 3 establece que la LGPD se aplica a cualquier operación de tratamiento realizada por una persona física o jurídica de derecho público o privado, cualquiera que sea el medio, el país de su sede o donde se encuentren los datos, siempre que:


i) La operación de tratamiento se realice en el territorio nacional;


II) La actividad de tratamiento tenga por objeto la oferta o suministro de bienes o servicios o el tratamiento de datos de personas físicas ubicadas en el territorio nacional; o


II) Los datos personales objeto del tratamiento hayan sido recabados en territorio nacional. Los datos personales cuyo titular se encuentre en el territorio nacional al momento de su recolección se consideran recabados en el territorio nacional.


Este documento se aplica a todas las operaciones de CONCILIG que traten datos personales. Este documento también se aplica a las operaciones de CONCILIG realizadas fuera del territorio brasileño que procesan datos personales recopilados en Brasil, o que la actividad de procesamiento tiene como objetivo la oferta o suministro de bienes o servicios o el procesamiento de datos de personas físicas ubicadas en Brasil.


tercero REFERENCIAS


    Constitución de la República Federativa de Brasil de 1988– 5 X (“CRFB”); Ley 8078/90 – Código de Defensa del Consumidor (“CDC”); Ley 12.965/14 y su Decreto Reglamentario 8771/18 – (“Marco Civil da Internet '); Ley 13.709/18 (Ley General de Protección de Datos – “LGPD”);


IV. DEFINICIONES

Término

Consentir

Definición

El consentimiento debe ser prestado a través de una declaración clara que establezca una declaración libre, informada e inequívoca por la cual el titular está de acuerdo con el tratamiento de sus datos personales para un fin específico, como por ejemplo por escrito, incluyendo medios electrónicos, o por declaración verbal, siempre que previa prueba de su consentimiento.

Controlador

Persona física o jurídica responsable de las decisiones relativas al tratamiento de datos personales (Responsable), solo o junto con otros Responsables (Co-Responsables).

Transferencia internacional de datos

Hay una transferencia internacional de datos cuando hay una transferencia de datos personales a un país extranjero o una organización internacional de la que el país es miembro.

Incidente de seguridad de datos

El incidente de seguridad de datos es una violación de la seguridad que conduce al acceso accidental o ilegal, la divulgación no autorizada, la alteración, la pérdida o la destrucción de datos personales transmitidos, almacenados o procesados de otra manera.

Capataz o DPO

(Delegado de protección de datos)

Persona natural encargada de supervisar y apoyar al Responsable o al Operador en todo lo relacionado con el tratamiento de Datos Personales. El DPO tiene una función consultiva, vela por el cumplimiento de la LGPD, por parte del Responsable y del Operador, y es el referente y punto de contacto con la Autoridad Nacional y los Titulares, de conformidad con lo previsto en la LGPD y en esta Política.

Informe de Impacto en la Protección de

Datos Personales o DPIA

Evaluación de riesgos dirigida a:

● Describir el proyecto de procesamiento de datos y sus propósitos;

● Evaluar la necesidad y proporcionalidad del tratamiento;

● Evaluar los riesgos a los derechos y libertades del Titular derivados del tratamiento;

● Determinar y mitigar medidas; Es

● Cuando el DPO lo considere necesario, comparar los resultados de la


Consejo Nacional de Protección de Datos Personales y Privacidad o Consejo (LGPD)

DPIA con la Autoridad Nacional.

El Consejo Nacional de Protección de Datos y Privacidad está compuesto por representantes, titulares suplentes, de los órganos: Poder Ejecutivo Federal, Senado Federal, Cámara de Diputados, Consejo Nacional de Justicia, Consejo Nacional del Ministerio Público, Comité de Gestión de Internet en Brasil, entidades Sociedad Civil con actuación comprobada en la protección de datos personales, instituciones científicas, tecnológicas y de innovación, entidades representativas del sector empresarial relacionado con el área de tratamiento de datos personales. Corresponde al Consejo proponer los lineamientos de la Política Nacional de Protección de Datos; preparar informes anuales que evalúen la implementación de las acciones de la Política Nacional de Protección de Datos Personales y Privacidad; sugerir acciones a ser tomadas por la ANPD; preparar estudios y celebrar debates y audiencias públicas sobre la protección de datos personales y la privacidad; difundir el conocimiento sobre la protección de datos personales y la privacidad a la población en general, en los términos del art. 58-B de la LGPD.

Ley General de Protección de Datos o LGPD.

Brasileña Ley N° 13.709/18 que prevé el tratamiento de datos personales, incluso en medios digitales, por personas naturales o jurídicas de derecho público o privado, con el objetivo de proteger los derechos fundamentales de libertad e intimidad y libre desarrollo de la personalidad natural de la persona.

Titular de los Datos Personales

Persona física a quien se refieren los datos personales que son objeto de tratamiento. Se entiende por persona física identificada o identificable.

Interés legítimo

El interés legítimo es una de las bases legales para el procesamiento de Datos Personales y está definido por la relación especial entre el Controlador y el Titular.

Información personal

Dato Personal es cualquier información relacionada con una persona física identificada o identificable, como nombre, número de identificación, datos de ubicación, un identificador en línea o uno o más de los elementos característicos de su identidad física, fisiológica, genética, psíquica, económica, cultural o social (ver también Categorías especiales de datos personales).

Aviso de Privacidad

Instrumento por el cual el Responsable proporciona información completa sobre las características esenciales del tratamiento.

Tratamiento

Cualquier operación realizada con datos personales, tales como las referidas a la recolección, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación o control de información, modificación, comunicación, transferencia, difusión o extracción.

Operador

Persona natural o jurídica, pública o privada, que trate datos personales por cuenta del Responsable.

Seudonimización, anonimización y encriptación

La seudonimización constituye el tratamiento de datos personales de manera que se atribuyan a un Titular específico, salvo que se utilice información adicional, y siempre que esta información complementaria se mantenga en un archivo separado.La anonimización es el uso de medios técnicos razonables disponibles en el momento de la tratamiento, mediante el cual un dato pierde la posibilidad de asociación, directa o indirecta, a un Particular.

El cifrado es el proceso de transformación de la información utilizando un algoritmo de tal manera que sea imposible que alguien la lea, excepto aquellos con un identificador único, a menudo denominado clave.


Medidas de seguridad

Medidas técnicas y administrativas capaces de proteger los datos personales del acceso no autorizado y de situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o cualquier forma de tratamiento inapropiado o ilícito, de conformidad con el art. 46 de la LGPD y sus respectivos reglamentos.

Datos personales confidenciales

(incluidos los relacionados con la biometría y la salud)

En el contexto de la protección de datos, la categoría de datos personales sobre origen racial o étnico, convicciones religiosas, opiniones políticas, pertenencia a un sindicato u organización de carácter religioso, filosófico o político, datos referentes a la salud o la vida sexual, datos genéticos o biométrico, cuando se vincule a una persona física. Estos datos están definidos por la LGPD como “Datos Personales Sensibles”. “Datos genéticos”: datos personales relativos a las características genéticas, hereditarias o adquiridas de una persona física que proporcionan información inequívoca sobre la fisiología o la salud de dicha persona física, y que resultan, en particular, del análisis de una muestra biológica de la persona física en cuestión;

 

“Datos biométricos”: datos personales resultantes de un tratamiento técnico específico relacionado con las características físicas, fisiológicas o de comportamiento de una persona física que permiten o confirman la identificación única de esa persona, como foto, video, imágenes faciales o datos dactiloscópicos; “Datos de salud”: datos personales relativos a la salud física o mental de una persona, incluida la prestación de servicios de salud, que revelen información sobre su estado de salud;


Autoridad Nacional de Protección de Datos (ANPD)

La Autoridad Nacional de Protección de Datos es el órgano de la administración pública encargado de velar, implementar y supervisar el cumplimiento de la LGPD en todo el territorio nacional.

V. PRINCIPIOS GENERALES


La protección de Datos Personales en CONCILIG se basará en los siguientes principios fundamentales, en su mayoría previstos por la LGPD:


Principio de Finalidad: El Tratamiento por parte de CONCILIG debe realizarse con fines legítimos, determinados, explícitos e informados, sin posibilidad de ulteriores Tratamientos en forma incompatible con dichos fines.


Principio de Adecuación: CONCILIG debe garantizar la compatibilidad del Tratamiento con las finalidades informadas al titular, según el contexto del Tratamiento.


Principio de Necesidad: El Tratamiento que realice CONCILIG deberá limitarse al mínimo necesario para el cumplimiento de sus fines, cubriendo los datos pertinentes, proporcionados y no excesivos en relación con las finalidades del Tratamiento. Así, la recolección de Datos Personales por parte de CONCILIG debe limitarse a lo esencial.


Principio de Libre Acceso: CONCILIG debe garantizar a los Titulares la consulta fácil y gratuita sobre la forma y duración del Tratamiento, así como sobre la integridad de sus datos personales.


Principio de Calidad de los Datos: CONCILIG debe garantizar a los Titulares la exactitud, claridad, pertinencia y actualización de los datos, de acuerdo con la necesidad y para el cumplimiento de la finalidad de su Tratamiento.


Principio de Transparencia: CONCILIG debe garantizar a los Titulares información clara, precisa y de fácil acceso sobre la realización del Tratamiento y sobre los Responsables y Operadores que intervienen en el mismo, observando secretos comerciales e industriales. Debe existir una política general de transparencia respecto del desarrollo, prácticas y políticas de CONCILIG en materia de Datos Personales.


Principio de Seguridad: Utilización por parte de CONCILIG de Medidas de Seguridad capaces de proteger los Datos Personales de accesos no autorizados y situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o difusión de Datos Personales.


Principio de Prevención: Adopción de medidas por parte de CONCILIG para evitar la ocurrencia de daños con motivo del tratamiento de datos personales.


Principio de No Discriminación: CONCILIG no realizará ningún Tratamiento con fines ilícitos o abusivos discriminatorios.


Principio de Responsabilidad y Rendición de Cuentas: Demostración, por parte de CONCILIG, de la adopción de medidas efectivas capaces de acreditar el cumplimiento y cumplimiento de las normas de protección de datos personales, e incluso la efectividad de dichas medidas.


CONCILIG, a través de la documentación y demostración de los procesos internos, rendirá cuentas a las Autoridades y Colaboradores, ya quienes estime pertinente, respecto de la observancia de las medidas que den cumplimiento a los principios señalados anteriormente. Esto implica una actualización continua de las mejores prácticas de protección de datos y el correspondiente esfuerzo por incorporarlas a la estrategia, organización y negocio de CONCILIG.


El principio de responsabilidad también requiere un uso más amplio de metodologías de evaluación de riesgos, como el Informe de impacto de la protección de datos personales (DPIA) como un proceso de toma de decisiones centrado en los intereses del Titular de los datos. Esto implica el deber del Controlador y Operador de realizar una DPIA no solo sobre tratamientos ya en curso, sino también sobre el diseño de una nueva organización, proceso, plataforma digital y algoritmo, etc.


Privacidad por diseño (desde la concepción) y por defecto (por defecto)


Principio no previsto expresamente por la LGPD, pero que se consolida en todo el mundo, y según el cual CONCILIG debe establecer las medidas técnicas y organizativas adecuadas para garantizar y poder demostrar que todo tratamiento de Datos Personales se realiza teniendo en cuenta todos los requisitos aplicables a la protección de datos personales, desde el inicio del proyecto u operación.


Estas medidas deberán estar incluidas en los proyectos desde el inicio, considerando el costo de implementación, la naturaleza, alcance, contexto y finalidad del tratamiento, así como la probabilidad y gravedad del riesgo a los derechos y libertades del Titular por razón de el tratamiento (“Privacidad por diseño”).


El Controlador debe asegurarse de que, de manera predeterminada, solo se procesen los Datos personales que son necesarios para cada propósito de procesamiento específico ("Privacidad por defecto"). Esta obligación se aplica a todos los Datos personales recopilados, la extensión de su tratamiento, el período de su almacenamiento y su accesibilidad. Estas medidas deben revisarse y actualizarse si es necesario, teniendo en cuenta la evolución de las mejores prácticas.


La contratación de terceros para el tratamiento de datos deberá desarrollarse e implementarse de tal forma que este tercero cuente con un nivel de seguridad adecuado equivalente a los estándares de CONCILIG. La calificación de proveedores y las cláusulas contractuales tienen como objetivo proteger los datos personales.

 

VI - TRATAMIENTO DE DATOS PERSONALES


Las áreas de CONCILIG, con el apoyo del DPO, tienen el deber de seguir las instrucciones impartidas por la Autoridad Nacional de Protección de Datos, así como las mejores prácticas para garantizar la privacidad y Protección de Datos de los Titulares. Al procesar datos, es necesario prestar atención a algunas especificidades, tales como:


anonimización


El Tratamiento de Datos Personales incluye las siguientes actividades: investigación, recolección a través de cualquier instrumento o sensor, escucha y grabación (foto, video, voz, etc.), identificación, uso, gestión, manipulación, organización, estructuración, almacenamiento (incluyendo almacenamiento físico y gestión y mantenimiento del servidor donde se almacenan los Datos Personales, incluso temporalmente), comparación, compilación, duplicación, conservación de perfiles, adaptación, modificación, integración, corrección, inspección, uso, extracción, consulta, comunicación, transmisión, difusión, segregación de opiniones , eliminación, cancelación, destrucción; seudonimización, anonimización y cifrado.


Los Datos Personales, luego de ser sometidos a un proceso efectivo de anonimización, pierden la calidad de Datos Personales, excepto cuando tales procedimientos sean inversos o reversibles.


Consentir


El consentimiento debe ser otorgado mediante un acto afirmativo claro que establezca una declaración libre, informada e inequívoca por la cual el titular está de acuerdo con el tratamiento de sus datos personales para un fin específico, lo que puede ocurrir por medio de una declaración escrita u oral, incluso por medios electrónicos. ., siempre sujeto a verificación por parte del Responsable.


Podrá incluir la marca en una casilla de verificación (opt-in) al visitar un sitio web de CONCILIG, u otra declaración o conducta que indique claramente, en este contexto, la aceptación del Titular de la propuesta de tratamiento de sus Datos Personales. El silencio y la inercia del Titular frente a las casillas de verificación previamente marcadas/seleccionadas no constituyen consentimiento.


El consentimiento debe aplicarse a todas las actividades de procesamiento realizadas con el mismo propósito. Si el procesamiento tiene más de un propósito, se debe proporcionar el consentimiento para cada uno de estos propósitos, por ejemplo, en casillas separadas. De conformidad con el § 2 del Art. 9 de la LGPD, si hay cambios en la finalidad del tratamiento de datos personales que no sean compatibles con el consentimiento original, el controlador deberá informar previamente al titular sobre los cambios en la finalidad, y el titular podrá revocar el consentimiento, si no está de acuerdo con los cambios.


Si el consentimiento del Titular se recaba electrónicamente, la solicitud debe ser clara, concisa. El Responsable, junto con el Operador, son responsables de recabar legalmente el consentimiento del Titular y tienen la obligación de demostrar ante la Autoridad Nacional que la recolección del consentimiento se realizó de manera legal y con pleno respeto a las normas de privacidad y la LGPD.


Mientras dure una actividad de Tratamiento basada en el consentimiento del Titular, existe la obligación de demostrar este consentimiento. Una vez finalizada la actividad de Tratamiento, la prueba del consentimiento deberá conservarse durante el tiempo estrictamente necesario para el cumplimiento de una obligación legal o para que la empresa pueda ejercer sus derechos o defenderlos en reclamaciones judiciales, administrativas o arbitrales.


Para las actividades de Tratamiento basadas en el consentimiento del Titular, el intercambio de Datos Personales con terceros solo puede realizarse con el consentimiento específico y destacado, de conformidad con el § 5 del Art. 9 de la LGPD.


Para obtener el consentimiento informado de los niños, niñas y adolescentes, así como de todas las personas vulnerables, el Responsable debe explicar en un lenguaje claro y sencillo a los niños cómo pretende tratar los datos que recopila. Los padres o un representante legal del niño deben dar su consentimiento, por lo que se necesitará un cuerpo de información para permitir que los adultos tomen una decisión informada.


Como regla general, si se revoca el consentimiento, todas las operaciones de procesamiento que se basaron en él y tuvieron lugar antes de que se retirara el consentimiento siguen siendo legales.


Aviso de Privacidad


El aviso de privacidad debe tener un texto conciso, claro, sencillo y comprensible para los diversos públicos (pe menores de edad, personas con necesidades especiales, etc.) y ser entregado al Titular al momento de la recolección de los Datos Personales, conteniendo:

 

    Información general, identificación y Contacto del Responsable; Información general y de contacto del Responsable - DPO; Objeto y modalidades del Tratamiento; Finalidad y fundamento jurídico del Tratamiento; Fuente de los Datos Personales; Destinatarios con quienes serán los Datos Personales compartidos; Transferencia de Datos de Datos Personales; Responsabilidades de los Agentes que realizan el tratamiento (Responsable y Operador); El plazo de conservación de los Datos Personales; Cualquier uso de la toma de decisiones automatizada; Los derechos de los Titulares y los medios para ejercerlos .


El DPO es responsable de aprobar cualquier Aviso de Privacidad en CONCILIG y el documento debe ser revisado cada vez que exista algún cambio en el tratamiento de Datos Personales.


VII REGISTROS DEL PROCESAMIENTO DE DATOS


La LGPD establece que el Responsable y el Operador deben llevar registros de las operaciones de Tratamiento que realicen (“Registro” de forma independiente). Para asegurar el cumplimiento de la obligación LGPD, es fundamental que exista un mapeo dinámico del tratamiento y su ciclo de vida. El contenido mínimo del registro del Controlador debe presentar:


    El nombre y datos de contacto del Responsable y, en su caso, de los Corresponsables, del representante legal del Responsable y del Encargado - DPO, Las finalidades del tratamiento, Descripción de las categorías de Titulares y categorías de Datos Personales; Las categorías de destinatarios a los que se han divulgado o se divulgarán los Datos personales, incluidos destinatarios en terceros países u organizaciones internacionales; Cuando corresponda, transferencias internacionales de datos personales a otro país u organización internacional, incluida la identificación de ese otro país u organización Siempre que sea posible , los plazos previstos para la disposición de las distintas categorías de Datos Personales; Siempre que sea posible, una descripción general de las medidas de seguridad a que se refiere el art. 46.


VIII INFORME DE IMPACTO DE LA PROTECCIÓN DE DATOS PERSONALES (DPIA)


El Informe de Impacto en la Protección de Datos Personales (“DPIA”) es la documentación del Responsable que contiene la descripción de los procesos de tratamiento de datos personales que pueden suponer riesgos para las libertades y derechos fundamentales de los interesados, así como las medidas, salvaguardas y mecanismos de riesgo. mitigación. Por lo tanto, DPIA es un proceso dirigido a:


    Describir el proyecto o proceso de Tratamiento de Datos y su finalidad; Evaluar la necesidad y proporcionalidad del Tratamiento; Evaluar los riesgos para los derechos y libertades del Titular derivados del Tratamiento; Determinar las medidas de mitigación, y; Cuando lo considere necesario, el DPO deberá presentar las resultados de la DPIA a la Autoridad Nacional.


El riesgo debe entenderse como un riesgo de afectación negativa de los derechos y libertades del Titular. La probabilidad y gravedad del riesgo para los derechos y libertades del Titular deberán determinarse en atención a la naturaleza, alcance, contexto y fines del tratamiento. El riesgo debe evaluarse en base a una evaluación objetiva, a través de la cual se establezca si las operaciones de tratamiento de datos implican un riesgo o un alto riesgo.


La LGPD no establece hipótesis en las que la elaboración de la DPIA sea obligatoria, definiendo únicamente que la Autoridad Nacional puede determinar su ejecución. Sin embargo, dispone en su art. 37 que el Controlador y el Operador deben mantener registros de las operaciones de procesamiento que realizan, especialmente cuando se basan en un interés legítimo. Así, el Responsable y el Operador deberán registrar el Tratamiento de tal forma que sea factible la elaboración de la DPIA en todas las situaciones en las que exista Tratamiento.


IX) RESPONSABLE (OFICIAL DE PROTECCIÓN DE DATOS)


La LGPD obliga a las organizaciones que tratan Datos Personales a designar un responsable del tratamiento de datos personales (DPO) que debe realizar las actividades previstas en el § 2 del art. 41 de la ley.


El DPO se selecciona teniendo en cuenta su experiencia en privacidad y protección de datos, sus características profesionales, su capacidad para cumplir con las tareas que le son asignadas. Por lo tanto, para cumplir con la legislación, CONCILIG designó a Lee, Brock, Camargo Advogados como DPO, a quien se puede contactar a través de la dirección de correo electrónico dpo@concilig.com.br.


El Responsable y Operador debe involucrar al DPO en todo lo relativo a la protección de Datos Personales y asegurar su independencia en el ejercicio de sus funciones, destacando que son:


    Garantizar los recursos necesarios para el desempeño de sus funciones; Velar por que no reciba instrucciones, ni sea sancionado por sus decisiones y opiniones; Velar por que el DPD no actúe en situaciones de conflicto de interés.

El DPO debe mantener su actividad en secreto y confidencialidad, siendo responsable de:

    Asegurar que las quejas y comunicaciones de los Titulares sean debidamente atendidas, se brinden las aclaraciones y se tomen las medidas necesarias; LGPD y normas emitidas por la AutoridadDiseñar programas de cumplimiento y monitorear la implementación, definir la gobernanza de protección de datos, avisos de privacidad estándar, cláusulas contractuales y mejores prácticas .Apoyar al Controlador y Operador en la negociación de contratos de protección de datos, definir el flujo de atención de los derechos de los Titulares; definir y ejecutar planes de formación y sensibilización de los empleados; emitir, en su caso, dictamen sobre la evaluación de impacto en materia de protección de datos y hacer un seguimiento de su evolución; cooperar y actuar como punto de referencia para la Autoridad Nacional, recibiendo comunicaciones y adoptando medidas; Aceptar quejas y comunicaciones de los titulares, brindar aclaraciones y adoptar medidas; orientar a los empleados y contratistas de la entidad sobre las prácticas a seguir en materia de protección de datos


AGENTES DE TRATAMIENTO DE DATOS PERSONALES X.OS


Controlador


Al actuar como Controlador, CONCILIG tiene el deber de consultar las instrucciones emitidas por la Autoridad Nacional, así como los lineamientos reconocidos y las mejores prácticas en materia de protección de datos personales. El Controlador define el propósito del procesamiento de los Datos personales y debe implementar las medidas técnicas y organizativas apropiadas para garantizar la protección de los Datos personales de conformidad con la LGPD. CONCILIG aún tiene la carga de probar el cumplimiento de la LGPD y, con el apoyo del DPO, debe:


    Planificar e implementar las medidas adecuadas de seguridad, privacidad desde el diseño y por defecto, aplicando las mejores prácticas y los más altos estándares del mercado; Capacitación continua para sus empleados y terceros; nombre; Cooperar con la Autoridad Nacional en el curso de sus iniciativas investigativas;


Los Responsables, cuando sean mancomunados, deberán determinar de forma transparente, mediante acuerdo, sus respectivas responsabilidades en relación con el cumplimiento de las obligaciones derivadas de la LGPD, en particular en lo que se refiere al ejercicio de derechos por parte de los Titulares.


Operador


CONCILIG, al actuar como Operador, tiene el deber de consultar y cumplir las disposiciones de la LGPD y las que eventualmente emita la Autoridad Nacional respecto de sus responsabilidades como operador.


Las siguientes indicaciones son ejemplos no exhaustivos sobre el tema:


Cuando el Procesamiento se lleva a cabo en nombre de un Controlador, no debe involucrar a otro operador (Suboperadores) en las actividades de procesamiento realizadas en nombre de un Controlador sin la autorización previa, específica o general, por escrito del Controlador respectivo.


Al buscar un Operador para procesar Datos en su nombre, CONCILIG debe asegurarse de que el Operador siga las instrucciones y que la naturaleza, duración y finalidad del tratamiento, el tipo de Datos Personales Procesados, las categorías de los Titulares, las obligaciones y derechos de los el controlador.


Al establecer un contrato, CONCILIG, como Controlador, debe establecer que el Operador:


    Procesar Datos personales solo siguiendo instrucciones documentadas del Controlador, incluso con referencia a la transferencia de Datos personales a un tercer país u organización internacional, a menos que así lo exija la legislación a la que está sujeto el Operador; en estos casos, el Operador debe informar al Controlador de todos los requisitos legales antes del Procesamiento, a menos que la ley prohíba tal información; Asegurar que las personas autorizadas para procesar Datos Personales tengan la obligación contractual o legal de mantener el secreto y la confidencialidad; las medidas de seguridad requeridas bajo el términos de, así como 46 de la LGPD; Respetar las condiciones establecidas por la LGPD para subcontratar otro Operador, con la obligación de garantizar que la transferencia internacional de datos fuera de Brasil se realizará solo para países considerados adecuados con la legislación local privacidad, y se suscriba previamente un documento contractual adecuado entre el Operador y el Sub-Operador para garantizar los derechos de los Titulares; Adoptar, considerando la naturaleza del tratamiento, medidas técnicas y organizativas apropiadas, en la medida de lo posible, que permitan al Responsable atender las solicitudes de los Titulares en el ejercicio de sus derechos, de conformidad con lo previsto en el Capítulo III de la LGPD; Prestar asistencia al Responsable para asegurar el cumplimiento de las obligaciones relacionadas con las medidas de Seguridad (Capítulo VII de la LGPD), Notificación y Comunicación de Incidentes de Seguridad de Datos (Art. 48 de la LGPD) y DPIA (Art. 38 de la LGPD); Suprimir o devolver, a criterio exclusivo del Responsable, todos los Datos Personales al finalizar la prestación de los servicios relacionados, suprimiendo las copias existentes, salvo disposición expresa en contrario en la legislación aplicable para el almacenamiento de los Datos Personales objeto de la respectiva Proporcionar al Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en la LGPD;


XI MEDIDAS DE SEGURIDAD


El Responsable tiene el deber de consultar y cumplir las disposiciones contenidas en la LGPD y las que pueda dictar la Autoridad Nacional respecto de las medidas de seguridad aplicables a las actividades de Tratamiento.


Considerando las condiciones existentes, los costos de implementación, la naturaleza, alcance, contexto y fines del Tratamiento, así como el riesgo y el impacto en los derechos y libertades de los Titulares, el Controlador y el Operador deben implementar medidas técnicas y organizativas encaminadas a garantizar un nivel adecuado de seguridad, incluidas, entre otras, medidas de privacidad por diseño (desde el diseño) y privacidad por defecto (por defecto). El controlador y el operador deben:


    Revisar y proteger todos los sistemas, identificación de aplicaciones e infraestructuras y accesos lógicos; Revisar y administrar de forma segura los Datos Personales y Sensibles, con el objetivo de garantizar una alta calidad de los datos y que el Tratamiento se limite a lo necesario y adecuado; Segregar los Datos Personales Datos y perfilar a los usuarios que traten Datos Personales, limitando el acceso y las cesiones conforme a lo estrictamente necesario para su ejecución; Seudonimizar, anonimizar y encriptar Datos Personales y Sensibles. La elección entre las tres opciones debe estar a disposición del Responsable y del Operador; Garantizar de forma permanente la confidencialidad, integridad, disponibilidad y resistencia de los sistemas utilizados en el Tratamiento; Restaurar con prontitud el acceso y la disponibilidad de los Datos Personales en caso de incidentes de seguridad; Probar , verificar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad;


Al evaluar el nivel adecuado de seguridad, se deben considerar los riesgos que presenta el Tratamiento, particularmente en caso de conducta ilícita o accidental que conduzca a la destrucción, pérdida, alteración, divulgación o acceso no autorizado a los Datos Personales transmitidos, almacenados o tratados de otra forma.


La adhesión a un código de conducta aprobado por la Autoridad Nacional o un mecanismo de certificación aprobado en línea con las buenas prácticas de protección de datos de la LGPD pueden utilizarse como elementos para demostrar el cumplimiento de la LGPD.


XII.- INCIDENTE DE SEGURIDAD DE DATOS Y DERECHO DE AUDITORÍA


La implementación de medidas de seguridad en el ámbito del art. 46 de la LGPD, junto con las medidas previstas en la Política de Seguridad de la Información y en el Plan de Respuesta a Incidentes de Seguridad, deben ser instrumentos adecuados para prevenir Incidentes de Seguridad de Datos.


El Controlador tendrá derecho, en cualquier momento durante la vigencia del Acuerdo y/o durante todo el período en el que el Operador conserva los Datos personales del Controlador, a realizar una evaluación o auditoría interna para confirmar que el Operador y/o o el Suboperador está actuando de acuerdo con esta Política y el RGPD, previa notificación del Operador [insertar número de días] con días hábiles de anticipación.


El Operador pondrá a disposición, en cualquier momento, toda la información necesaria para demostrar el cumplimiento de esta Política y el Contrato, y permitirá y contribuirá a las auditorías, incluidas las comprobaciones e inspecciones periódicas, por parte del Controlador o de un auditor enviado por el Controlador, en en relación con el Tratamiento de los Datos Personales del Responsable. En caso de que se encuentren problemas de seguridad durante dichas auditorías, el Operador tomará, a su cargo, todas las acciones necesarias para resolver los problemas mencionados.


El Controlador tendrá derecho a notificar al Operador y/o Sub-Operador cualquier posible riesgo de eventual ocurrencia de un Incidente de Seguridad o incumplimiento de las Leyes y Reglamentos de Protección de Datos que encuentre en su auditoría, y el Operador y /o Sub-Operador deberá, dentro de los 30 (treinta) días calendario, tomar las medidas necesarias, informando al Controlador que podrá, a su discreción, realizar una nueva auditoría.


El Responsable y el Operador tienen el deber de consultar y cumplir las instrucciones detalladas en la LGPD y las que pueda dictar la Autoridad Nacional ante la notificación de un incidente de datos personales.


XIII DE LOS DERECHOS DE LOS TITULARES


El derecho a la Privacidad y Protección de Datos Personales debe ser considerado frente a otros derechos fundamentales, de acuerdo con el principio de proporcionalidad. El Responsable deberá realizar sus mejores esfuerzos, sin dilación indebida, para proporcionar al Titular una interfaz fácil y práctica para el pleno ejercicio de los derechos de protección de datos disciplinados por la LGPD.


El plazo de respuesta a la solicitud del Titular es, de pleno derecho, inmediato para respuestas en formato simplificado, o en el plazo de hasta 15 (quince) días, contados a partir de la fecha de la solicitud del titular, en caso de clara y completa que indique el origen de los datos, la falta de registro, los criterios utilizados y la finalidad del tratamiento, observando secretos comerciales e industriales, proporcionada en un formato libre de su elección. La respuesta a la solicitud del Titular deberá ser por escrito o por medio de herramientas electrónicas, y deberá ser clara, concisa y transparente.


El Responsable del tratamiento tiene la carga de probar que la solicitud es manifiestamente excesiva o infundada. Asimismo, el ejercicio de los derechos se realiza de forma gratuita para el Titular y corresponde al Responsable del Tratamiento adoptar las medidas técnicas y organizativas necesarias para tramitar el ejercicio de los derechos del Titular.


Los Titulares de los Datos tienen derechos, de acuerdo con la LGPD:


    Confirmación de la existencia de tratamiento; Acceso a los datos; Rectificación de datos incompletos, inexactos o no actualizados; Anonimización, bloqueo o supresión de datos innecesarios, excesivos o tratados en incumplimiento de la LGPD; Portabilidad de datos; Eliminación de datos personales tratados con consentimiento; Información sobre las entidades públicas y privadas con las que se realizó el uso compartido de datos; Información sobre la posibilidad de no prestar el consentimiento y sobre las consecuencias de la denegación; Revocación del consentimiento; e, Revisión de decisiones automatizadas realizadas en base al tratamiento de datos


Derecho de Confirmación y Derecho de Acceso


El Titular tiene derecho a ser informado de que se está realizando un tratamiento de sus propios datos y, en caso de respuesta afirmativa, obtener acceso a sus Datos Personales y recibir una copia de los mismos.


La confirmación de la existencia o el acceso a los Datos Personales se proporcionará en un formato simplificado, de inmediato o en un plazo de hasta 15 (quince) días a través de una declaración clara y completa, que indique: el origen de los datos y la finalidad de la tratamiento, observando los secretos comerciales e industriales, previstos en, contados a partir de la fecha de solicitud por parte del titular.


Los Datos Personales serán almacenados en un formato que favorezca el ejercicio del derecho de acceso. La información y los Datos Personales podrán ser proporcionados, a criterio del Titular: por medios electrónicos, seguros y aptos para tal fin o en forma impresa. La copia de Datos Personales es gratuita.


Derecho de corrección


El Titular tiene derecho a obtener del Responsable del Tratamiento la rectificación de los Datos Personales que le conciernen y que resulten incompletos, inexactos o desactualizados.


Derecho a retirar el consentimiento y derecho a eliminar datos personales


El Titular tiene derecho a revocar el consentimiento previamente expresado en cualquier momento mediante una manifestación expresa, a través de un procedimiento gratuito y facilitado. El interesado también tiene derecho a obtener la eliminación de los Datos Personales tratados con el consentimiento del Titular.


El Controlador deberá eliminarlos considerando la tecnología disponible y los costos de implementación mediante la adopción de las medidas adecuadas. Todos los enlaces, copias o reproducciones de sus Datos personales deben eliminarse. Solo se pueden hacer excepciones en la medida en que el procesamiento sea necesario para:


    Cumplimiento de una obligación legal o reglamentaria por parte del responsable; Estudio por parte de un organismo de investigación, garantizando, siempre que sea posible, la anonimización de los datos personales; Cesión a un tercero, siempre que se respeten los requisitos de tratamiento de datos establecidos en la LGPD


El Controlador debe informar a otros Controladores involucrados en el mismo procesamiento de datos sobre la solicitud de eliminación.


Derecho de Oposición


El Titular tiene derecho a obtener del Controlador la anonimización, bloqueo o eliminación de los Datos Personales:


    Innecesarios; Excesivos o; Tratados en contravención de lo dispuesto en la LGPD.


Derecho a la portabilidad de los datos


El Titular tiene derecho a recibir Datos Personales proporcionados a un Controlador de forma estructurada y tiene derecho a transmitir dichos datos a otro Controlador, sin interferencia del Controlador. Al ejercer el derecho a la portabilidad de los datos, el Titular tiene derecho a obtener la transmisión directa de los Datos Personales, cuando sea técnicamente factible, de un responsable u otro.


Derecho de información


El Titular siempre tiene derecho a ser plenamente informado sobre el Tratamiento a que son sometidos sus Datos Personales. En particular, el Titular tiene derecho a obtener información:


    Las entidades públicas y privadas con las que el Responsable realizó un uso compartido de los datos; Sobre la posibilidad de no prestar el consentimiento y las consecuencias de la negativa;


Derecho a revisar decisiones automatizadas


El interesado tiene derecho a solicitar la revisión de las decisiones tomadas únicamente sobre la base del tratamiento automatizado de Datos Personales que afecten a sus intereses, incluidas las decisiones encaminadas a definir su perfil personal, profesional, de consumo y crediticio o aspectos de su personalidad.


El Responsable del tratamiento deberá proporcionar, siempre que se le solicite, información clara y adecuada sobre los criterios y procedimientos utilizados para la decisión automatizada, observando secretos comerciales e industriales.


En caso de no ofrecer esta información con base en la observancia del secreto comercial e industrial, la Autoridad Nacional podrá realizar una auditoría para verificar aspectos discriminatorios en el tratamiento automatizado de Datos Personales.


XIV TIEMPO DE RETENCIÓN


El período de almacenamiento de datos está establecido por ley en la mayoría de los casos. Si el Responsable decide un mayor tiempo de conservación, deberá hacerlo constar debidamente en el Registro de Datos. Cuando la ley no prevea un período mínimo de conservación, el Responsable del tratamiento deberá ser capaz de justificar el período de conservación de conformidad con los Principios de responsabilidad y rendición de cuentas, necesidad y adecuación.


XV.REVISIONES


Esta Política es revisada anualmente o según lo acordado por el Comité de Privacidad de CONCILIG, con la participación del DPO.

Share by: