A Política de Governança de Dados (“Política de Governança”) é o documento que orienta e estabelece as diretrizes para a proteção de informações e Dados Pessoais de uma organização, neste caso, a Swedish Match Brasil S.A e Swedish Match da Amazônia (“Swedish Match”).

Esta Política de Governança se faz necessária em decorrência do comprometimento da Swedish Match com:

(i) as melhores práticas em relação à privacidade e proteção de dados, bem como com a necessidade de conformidade com a Lei Geral de Proteção de Dados Pessoais – Lei nº 13.709/18 (“LGPD”); e,

(ii) a eficácia do sistema de gestão de segurança da informação, com o estabelecimento de políticas, práticas e procedimentos que assegurem a confidencialidade, a integridade e a disponibilidade dos Dados Pessoais que trata ao longo do desenvolvimento de suas atividades.

Esta Política de Governança foi elaborada a partir de orientações contidas a Lei nº 13.709 (Lei Geral de Proteção de Dados Pessoais – LGPD), bem como nas normas técnicas ABNT NBR ISO/IEC 27.001, ISO 27.002, ISO 27.005, ISO 27.701. Essas normas possuem reconhecimento internacional como um conjunto de práticas de segurança de informação e privacidade e estão em conformidade com a legislação brasileira.

DEFINIÇÕES

Para fins de interpretação desta Política de Governança serão aplicadas as definições previstas a seguir:

“Autoridade Nacional de Proteção de Dados” ou “ANPD”: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional;  

“Colaborador (es) SM”: todos os colaboradores, incluindo, exclusivamente para os fins desta Política de Governança (sem relação direta com constituição de vínculo empregatício), conselheiros, diretores, empregados, gestores, estagiários, aprendizes, prestadores de serviços e qualquer outra pessoa que possua vínculo direto; 

“Comitê de Proteção de Dados Pessoais”: estrutura de governança para questões que apresentem impacto a decisões de negócio relacionado à mitigação de riscos, reporte o incidente e tomada de decisão conjunta;

“Consentimento”: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus Dados Pessoais para uma finalidade determinada;

“Controlador de Dados” ou “Controlador”: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de Dados Pessoais;  

“Dado Anonimizado”: dado relativo ao titular que não permita a sua identificação pela utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

“Dado Pessoal”: informação relacionada a pessoa natural que permita de qualquer forma a identificar;  

“Dado Pessoal Sensível”: Dado Pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico;  

“Encarregado de Dados”: pessoa indicada pelo Controlador de Dados e pelo Operador de Dados para atuar como canal de comunicação com os Titulares dos Dados e com a Autoridade Nacional de Proteção de Dados (ANPD);  

”LGPD”: Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709/18);  

“Operador de Dados” ou “Operador”: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de Dados Pessoais em nome do Controlador;  

“Swedish Match”: Swedish Match do Brasil S.A. – CNPJ 33.016.338/0002-71 e Swedish Match da Amazônia S.A, CNPJ 05.458.096/0001-50, e empresas afiliadas;

“Titular de Dados”: a pessoa natural a quem se referem os Dados Pessoais que são objeto de tratamento; e

“Tratamento de Dados ou Tratamento”: toda operação realizada com Dados Pessoais, incluindo Dados Pessoais Sensíveis, como as que se referem a: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de Dados Pessoais.

APLICAÇÃO

(i) Para garantir efetividade na condução do Programa de Privacidade da Swedish Match em conformidade com a LGPD, esta Política de Governança aplica-se e deve ser seguida por todos Colaboradores SM, independentemente de nível hierárquico, bem como os parceiros e terceiros com quem se relaciona, e deve ser cumprida em todas as atividades internas e externas.

OBJETIVO

(i) Garantir a segurança da integralidade dos ativos de informação da organização, em conformidade com a legislação existente, em especial à LGPD e às normas publicadas pela ANPD. Ainda, assegurar que as medidas de segurança, técnicas e administrativas adotadas protejam os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

(ii) Além disso, orientar normas e procedimentos de segurança de informação e privacidade, bem como a implementação de controles e processos, a fim de garantir a proteção de dados, bem como assegurar a conformidade no tratamento de dados em relação à LGPD.

(iii) E, por fim, preservar as informações e Dados Pessoais da Swedish Match no que se refere à:

• Confidencialidade: garantia de que somente pessoas autorizadas acessem a informação;
• Integridade: garantia de que a informação é protegida de alterações indevidas, intencionais ou acidentais, permanecendo em seu estado original; e,
• Disponibilidade: garantia de que apenas os usuários autorizados podem acessar as informações quando necessário.

REFERÊNCIAS

(i) Este documento deve ser lido e interpretado sob a égide das leis brasileiras, e em conjunto com outras normas, políticas e procedimentos da Swedish Match:

• Registro de Operações de Tratamento;
• Plano de Gestão de Incidentes de Violação de Dados Pessoais; e,
• ABNT NBR ISO/IEC 27.001, ISO 27.002, ISO 27.005, ISO 27.701.

GOVERNANÇA DE DADOS

(i) A fim de reduzir riscos e promover uma cultura de proteção de dados a Swedish Match deve aplicar as orientações sobre governança de Dados Pessoais (“Governança de Dados”) na condução das atividades de Tratamento de Dados para que esteja em conformidade com a LGPD e demais legislação aplicável. 

(ii) O Tratamento de Dados deve seguir as normas estabelecidas na LGPD, bem como as que venham a ser editadas pela ANPD. A seguir, encontram-se os princípios orientadores, as hipóteses que autorizam o Tratamento e a Política de Retenção e Descarte de Dados Pessoais.

Princípios orientadores de Proteção de Dados Pessoais

(i) As atividades de Tratamento de Dados realizadas pela Swedish Match, como Controlador, são sempre baseadas na boa-fé, bem como nos princípios orientadores previstos na LGPD a seguir:

(ii) Princípio da finalidade: realização do Tratamento para propósitos legítimos, específicos, explícitos e informados ao Titular, sem possibilidade de Tratamento posterior de forma incompatível com essas finalidades (Art. 6º, I, LGPD).

Antes de realizar um tratamento você deve se questionar: Para qual propósito vou utilizar os Dados Pessoais? 

(iii) Princípio da adequação: compatibilidade do Tratamento com as finalidades informadas ao Titular, de acordo com o contexto do Tratamento. (Art. 6º, II, LGPD).

Você deve se questionar: Para atingir a finalidade desejada, é necessário realizar o Tratamento dos Dados Pessoais planejado?

(iv) Princípio da necessidade: limitação do Tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos Dados Pessoais pertinentes, proporcionais e não excessivos em relação às finalidades do Tratamento de Dados (Art. 6º, III, LGPD).

Você deve se questionar: Estou coletando somente os Dados Pessoais necessários para realizar a finalidade proposta?

(v) Princípio do livre acesso: garantia, aos Titulares, de consulta facilitada e gratuita sobre a forma e a duração do Tratamento, bem como sobre a integralidade de seus Dados Pessoais (Art. 6º, IV, LGPD).

Você deve se questionar: Para o Tratamento que estou realizando, proporciono aos Titulares os meios adequados para exercerem seus direitos e terem acesso à informação sobre como seus Dados Pessoais são tratados?

(vi) Princípio da qualidade dos dados: garantia, aos Titulares, de exatidão, clareza, relevância e atualização dos Dados Pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu Tratamento (Art. 6º, V, LGPD).

Você deve se questionar: Estou garantindo aos Titulares que seus Dados Pessoais estão atualizados e são tratados com exatidão, clareza, relevância para cumprir a finalidade proposta?

(vii) Princípio da transparência: garantia, aos Titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial (Art. 6º, VI, LGPD).

Você deve se questionar: Estou assegurando aos Titulares informações claras, precisas e acessíveis sobre o Tratamento realizado?

(viii) Princípio da segurança: utilização de medidas técnicas e administrativas aptas a proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (Art. 6º, VII, LGPD).

Você deve se questionar: Estou observando as boas práticas estabelecidas pela Swedish para garantir a segurança dos dados do titular?

(ix) Princípio da prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do Tratamento de Dados (Art. 6º, VIII, LGPD).

Você deve se questionar: Estou adotando medidas adequadas de prevenção à violação de Dados Pessoais?

(x) Princípio da não discriminação: impossibilidade de realização do Tratamento para fins discriminatórios ilícitos ou abusivos (Art. 6º, IX, LGPD).

Você deve se questionar: O Tratamento de Dados realizado gera algum tipo de discriminação ilícita ou abusiva? 

(xi) Princípio da responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de Proteção de Dados Pessoais e, inclusive, da eficácia dessas medidas (Art. 6º, X, LGPD).

Você deve se questionar: Emprego os meios necessários para demonstrar que adoto medidas que comprovam o cumprimento da LGPD?

Hipóteses autorizadoras do Tratamento de Dados  

(i) As hipóteses legais para o Tratamento de Dados Pessoais estão previstas no art. 7º da LGPD, e no caso Swedish Match, as que justificam o Tratamento são:

• Consentimento (art. 7º, I, LGPD)
• Cumprimento de obrigação legal ou regulatória (art. 7º, II, LGPD)
• Execução de contrato ou procedimentos preliminares relacionados a contrato (art. 7º, V, LGPD)
• Exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 7º, VI, LGPD)
• Proteção da vida ou incolumidade física do titular ou de terceiro (art. 7º, VII, LGPD)
• Interesse legítimo do controlador ou de terceiro (art. 7º, IX, LGPD)
• Proteção do crédito (art. 7º, X, LGPD)

(ii) As hipóteses legais para o Tratamento de Dados Pessoais Sensíveis estão previstas no art. 11 da LGPD, e no caso da Swedish Match, as que justificam o Tratamento são:

• Consentimento (art. 11, I, LGPD)
• Cumprimento de obrigação legal ou regulatória (art. 11º, II, a, LGPD)
• Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral (art. 11, II, d, LGPD)
• Proteção da vida ou incolumidade física do titular ou de terceiro (art. 11, II, e, LGPD)
• Prevenção à fraude e à segurança do titular nos processos de identificação e autenticação de cadastros em sistemas eletrônicos (art. 11, II, g, LGPD)

(iii) Em conformidade com o que determina a LGPD, a Swedish Match somente poderá tratar dados quando houver uma hipótese legal identificada em conjunto com a área de Privacidade da PMI e o Comitê de Proteção de Dados, delimitando as hipóteses com potencial de aplicabilidade para as atividades realizadas, devendo ser obrigatoriamente elaborado de relatório de impacto toda a vez que novas atividades ou alterações substanciais das já realizadas ocorrerem.

Retenção e descarte de Dados Pessoais

(i) A Swedish Match considera, nos termos do art. 15, da LGPD, encerrado o Tratamento de Dados quando:

• Houver verificado que a finalidade foi alcançada ou que os Dados Pessoais deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
• Ocorrer o fim do período de Tratamento;
• Houver comunicação expressa do Titular, inclusive no contexto do exercício do direito de revogação do consentimento; e,
• Por determinação da ANPD, em caso de violação à LGPD.

(ii) A Swedish Match, nos termos do art. 16 da LGPD, eliminará os Dados Pessoais após o término de seu Tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

• Cumprimento de obrigação legal ou regulatória pelo Controlador;
• Transferência a terceiro, desde que respeitados os requisitos de tratamento de Dados dispostos na LGPD; e
• Uso exclusivo da Swedish Match, sendo proibido seu acesso por terceiro, e desde que anonimizados os Dados Pessoais.

(iii) A Swedish Match e os Colaboradores SM devem manter e descartar os Dados Pessoais tratados conforme a Política de Retenção e Descarte de Dados Pessoais.

4.4 Estrutura da Governança de Dados

(i) Os procedimentos específicos previstos nesta Política de Governança tem o objetivo de:

• Atender aos requisitos de gerenciamento de informações, incluindo Dados Pessoais previamente definidos;
• Apoiar os objetivos da Swedish Match;
• Implantar controles alinhados ao nível de risco aceito pela Swedish Match;
• Garantir o cumprimento de obrigações legais e contratuais;
• Proteger os interesses dos Titulares de Dados e outras partes interessadas.

Estrutura de documentação

(i) A documentação base para a estruturação da Governança de Dados é composta de políticas, normas e procedimentos.

(i.i) Políticas são documentos que estabelecem princípios e fundamentos orientadores dos demais instrumentos que compõe o programa de conformidade à LGPD.

(i.ii) Normas são documentos que estabelecem regras internas de cada departamento ou atividade estrutural do programa de conformidade à LGPD. As normas observam as diretrizes das políticas de privacidade.

(i.ii) Procedimentos são documentos que apresentam a descrição e divisão de tarefas para atendimento às regras apresentadas em políticas e normas.

5.5. Alterações de procedimento que envolvam atividades de Tratamento de Dados nas áreas de negócio devem ser atualizadas e encaminhadas para avaliação do Encarregado de Dados, sempre em conjunto com a atualização do Registro de Operação de Tratamentos (“ROPA”).

Responsáveis pela Governança de Dados

(i) O Governança de Dados é gerida e aplicada pela Área de Privacidade da PMI, com o apoio do Comitê de Proteção de Dados e do Encarregado de Dados quando necessário, que darão apoio a Swedish Match para o cumprimento das políticas, normas e procedimentos estabelecidos.

Área de Privacidade da PMI

(i) A área de Privacidade da PMI tem como atribuições, dentre outras, como as estabelecidas no Plano de Gestão de Incidentes de Violação de Dados:

(i.i) Apoiar gestores de todas as áreas da Swedish Match em temas relativos à Proteção de Dados Pessoais, a fim de atender às exigências da LGPD, da ANPD e dos procedimentos internos;

(i.ii) Revisar políticas, normas e procedimentos desta Política de Governança periodicamente, a cada ano, a fim de garantir a melhoria contínua;

(i.iii) Orientar a respeito das práticas a serem tomadas para garantir a Proteção de Dados Pessoais;

(i.iv) Receber as comunicações internas referentes a incidentes de violação de Dados Pessoais;

(i.v) Dar seguimento aos procedimentos necessários, indicando as demais áreas que deverão participar do processo;

(i.vi) Apoiar a organização e a elaboração, junto com o Comitê de Governança de Proteção de Dados e o Encarregado de Dados, da notificação de incidente de violação de dados à ANPD e para os Titulares de Dados, conforme o caso; e,

(i.vii) Prosseguir com a investigação do incidente até a conclusão, indicando atividades para mitigação de riscos, sugestões de monitoramento, de controles internos e de treinamentos.

(ii) A área de Privacidade da PMI deve ser envolvida sempre que a tomada de decisões impactar nas atividades de Tratamento de Dados.

(iii) O contato para Titulares obterem informações sobre o tratamento de seus dados deve ser divulgado a todos e poderá ser contatado através do e-mail privacidade@swedishmatch.com.

Ciclo de Vida dos Dados

(i) Estas diretrizes de Governança de Dados são aplicadas para todo o ciclo de vida dos Dados Pessoais no âmbito das atividades da Swedish Match, nos seguintes termos:

• Coleta: tem sua origem quando a Swedish Match obtém o dado do Titular ou de terceiros, envolvendo, na tipificação estabelecida pela LGPD, operações de Tratamento de coleta, produção e recepção.
• Armazenamento: ocorre quando a Swedish Match retém os Dados Pessoais, seja em meio físico ou em meio digital, como em servidores, dispositivos ou mídias móveis, em sistemas de computação na nuvem, entre outras possibilidades, envolvendo operações de Tratamento como arquivamento e coleta, nos termos da LGPD.
• Acesso: ocorre quando alguém tem contato com os Dados Pessoais, podendo, a partir disso, usá-lo para algum tipo de atividade, o que envolve operações de Tratamento como utilização, acesso, avaliação ou controle da informação, processamento, modificação ou extração, nos termos da LGPD.
• Compartilhamento: ocorre quando alguém disponibiliza os Dados Pessoais para terceiros, podendo ser Operadores ou Controladores, envolvendo operações de Tratamento como transmissão, distribuição, comunicação, transferência e difusão, nos termos da LGPD.
• Eliminação: ocorre quando a Swedish Match determina a supressão definitiva dos Dados Pessoais, ou sua anonimização, impossibilitando que a atribuição dos Dados Pessoais a um Titular, envolvendo operações de Tratamento como eliminação e anonimização, nos termos da LGPD.

 

(ii) O Programa de Privacidade deve estabelecer controles para todo o ciclo de vida dos Dados Pessoais, conforme a seguir: 

 

• Privacidade Por Padrão e Privacidade por Projeto: A privacidade deve ser estabelecida por padrão, desde a concepção do projeto. Novos projetos, sistemas e tecnologias devem ser avaliados mediante uso de um checklist de requisitos de privacidade, antes de iniciarem sua execução ou serem introduzidos.
• Diretrizes para a fase de coleta: Toda a coleta de Dados Pessoais será feita para uma finalidade específica, que deve ser registrada no ROPA. Todos devem coletar somente os dados estritamente necessários para cumprir com as finalidades previamente definidas e lançadas no ROPA.
• Diretrizes para a fase de armazenamento: A forma de armazenamento de Dados Pessoais deve sempre estar registrada no ROPA, devendo somente ser armazenados em ambientes e dispositivos de propriedade da organização ou por prestadores de serviço mediante contrato. Os dados serão armazenados apenas pelo tempo estritamente necessário para o cumprimento de suas finalidades previamente estabelecidas no registro de operações de Tratamento, bem como em contrato.
• Diretrizes para a fase de acesso: O acesso somente poderá ser realizado por aqueles que necessitem tratar os Dados Pessoais para atender as finalidades informadas no ROPA, mediante controle de autenticação e acesso. Conforme a criticidade dos Dados Pessoais, pode-se estabelecer registro de acesso, a fim de se propiciar a rastreabilidade.
• Diretrizes para a fase de compartilhamento: As operações de compartilhamento de Dados Pessoais devem estar lançadas no ROPA, podendo ser realizadas somente com agentes que forem contratados e compartilhando-se os dados estritamente necessários para o cumprimento do contrato. A contratação de novos Operadores deve ocorrer somente após serem examinados os requisitos de privacidade e proteção de dados.
• Diretrizes para a fase de eliminação: Terminada a finalidade para o Tratamento, não havendo mais hipótese de Tratamento aplicável, os Dados Pessoais devem ser eliminados, anonimizados ou relacionados a uma nova finalidade. As operações de eliminação de Dados Pessoais devem gerar um registro para fins de rastreabilidade.

REGISTRO DE OPERAÇÕES DE TRATAMENTO (“ROPA”)

(i) O ROPA é um documento exigido pela LGPD, que consta no art. 37 da LGPD, e será mantido em conjunto com os relatórios impactos.

 

(i.ii) Além da exigência legal, é uma excelente ferramenta de gestão de conformidade, que deve estar sempre atualizado, a fim de possibilitar, entre outras atividades, o atendimento das solicitações dos Titulares de Dados quando do exercício de seus direitos e a eventual elaboração de acordos de processamento de Dados Pessoais.

 

(ii) O ROPA pode, conforme a necessidade da Swedish Match, conter as seguintes informações:

 

• Descrição do fluxo geral da informação em cada etapa de seu ciclo de vida, abrangendo operação de processo de trabalho, categoria dos Titulares, pessoas que acessam os Dados Pessoais, com quais Operadores e Controladores são compartilhados, canal de coleta, departamentos envolvidos;
• Hipótese legais de Tratamento utilizada;
• Categorias de Dados Pessoais coletados;
• Finalidade para a qual o Dado Pessoal é tratado;
• Local de Tratamento do Dado: digital (nuvem, servidor, laptop etc.) e geográfico (se possível);
• Período de retenção do Dado Pessoal;
• Área responsável pelo Dado Pessoal.

 

(iii) A área de Privacidade da PMI será responsável por manter o ROPA atualizado.

(iv) Sempre que uma nova categoria de Dados Pessoais for coletada, ou houver a criação de novos processos de trabalho de Tratamento, o responsável pela área que realizá-los deverá informar à área de Privacidade da PMI.

 (v) A área de Privacidade da PMI deve ser envolvida na tomada de decisões que sempre houver novas atividades de Tratamento de Dados, ou alteração substancial das já realizadas.

DIREITOS DO TITULAR 

(i) A Swedish Match enquanto Controladora de Dados realizará o atendimento das solicitações feitas para exercício dos direitos dos Titulares conforme Diretrizes de Solicitação de Titulares (DSR).

(ii) A área de Privacidade da PMI e o Comitê de Proteção de Dados são responsáveis por apoiar a Swedish Match, Controladora de Dados, no atendimento das solicitações dos Titulares.

 

(ii.i) Ao receber solicitação de Titulares a Swedish Match, a área de Privacidade da PMI e o Comitê de Proteção de Dados devem avaliar o requerimento e encaminhar resposta ao Titular de acordo com os prazos previstos da LGPD.

(iii) Nos termos do que determina a LGPD, ao titular é garantido o exercício dos seguintes direitos:

(iii.i) Confirmação da existência do tratamento e acesso a dados – art. 18, I e II;

(iii.ii) Correção de dados incompletos, inexatos ou desatualizados – art. 18, III;

(iii.iii) Direito à anonimização, bloqueio ou eliminação – art. 18, IV;

(iii.iv) Direito à portabilidade – art. 18, V;

(iii.v) Direito à eliminação dos dados – art. 18, VI;

(iii.vi) Direito à informação de compartilhamento – art. 18, VII;

(iii.vii) Direito de revogação do consentimento – art. 18, IX;

(iii.viii) Direito de oposição – art. 18, IX, § 2º;

(iii.ix) Direito de peticionamento (à ANPD, Procon e Poder Judiciário) – art. 18, §1º e §8º, art. 22; e,

(iii.x) Direito de revisão de decisões automatizadas – art. 20.

SEGURANÇA DA INFORMAÇÃO

(i) A Swedish Match possui regulação interna específica sobre o tema da segurança da informação, tendo como base o documento Política de Segurança de TI, que pode ser encontrado em [inserir link/caminho].

(ii) A política apresenta o Sistema de Gestão de TI da Swedish Match, trazendo normas de segurança, técnicas e administrativas que devem ser seguidas por todos.

(iii) Esta Política pode estabelecer, a partir das necessidades identificadas:

(iii.i) os papéis e responsabilidades para a segurança de privacidade e informação;

(iii.ii) uma política para uso de dispositivos móveis e mídias móveis;

(iii.iii) uma política para trabalho remoto;

(iii.iv) diretrizes de treinamento em segurança da informação;

(iii.v) medidas disciplinares para violação de política de segurança da informação;

(iii.vi) inventário e controle de ativos associados a informação e recursos de processamento de informação;

(iii.vii) controle com base em classificação de informação (sensibilidade, valor, criticidade);

(iii.viii) política de controle de acesso a sistemas e a dados pessoais e dados sigilosos;

(iii.ix) política de gerenciamento de acesso de usuários;

(iii.x) segurança física dos ativos de informação;

(iii.xi) controle dos equipamentos contra perda, danos, furto ou roubo ou comprometimento das operações da organização;

(iii.xii) política de proteção contra malware;

(iii.xiii) política de backup;

 (iii.xiv) política de monitoramento de usuários;

(iii.xv) política de transferência segura de informações;

(iii.xvi) política de gestão de incidente de violação de dados pessoais.

(iv) Esta Política deve ser revisada periodicamente, a fim de, acompanhando-se a eficácia dos controles, poder readequá-los conforme a necessidade e a mudança de procedimentos internos. 

CONDUTA

(i) O sucesso de um programa de conformidade com a LGPD depende em boa parte do comprometimento de todos, sejam funcionários, prestadores de serviços ou terceiros, e do conhecimento que eles detêm sobre as boas práticas adotadas pela organização.

(ii) Este documento traz orientações sobre como todos devem agir em suas atividades, a fim que a Swedish Match tenha êxito na implementação da LGPD. É importante que todos, por essa razão, tenham conhecimento desta política, a fim de que possam contribuir efetivamente com a cultura de proteção de dados da organização.

(iii) Nesse sentido, apresentam-se algumas normas a serem seguidas, além daquelas já presentes neste documento:

(iii.i) Todos se comprometem a somente realizar Tratamento de Dados de acordo com as orientações da Swedish Match, respeitando as prescrições da LGPD, bem como as políticas, normas e procedimentos internos da organização;

(iii.ii) Sempre que novas operações de Tratamento, novos projetos ou novos processos de trabalho que utilizem dados pessoais forem planejados, devem consultar a área de Privacidade da PMI para que seja avaliada a necessidade de atualizar o registro de operações de tratamento ou de realizar relatório de impacto;

(iii.iii) Todos, sempre que lhes for solicitado, devem contribuir com o Comitê de Proteção de Dados, a área de Privacidade da PMI ou o Encarregado de Dados no atendimento das solicitações dos titulares de dados pessoais, prestando informações com agilidade e no menor prazo de tempo possível;

(ii.iv) Todos devem seguir o conjunto de políticas que compõe o Programa de Privacidade da Swedish Match;

(iii.v) Todos devem ter ciência das normas e dos procedimentos estabelecidos na Política de Gestão de Incidentes de Violação de Dados, bem como devem contribuir para evitar e mitigar riscos de perda de confidencialidade, disponibilidade e integridade de dados pessoais;

(iii.vi) Nas relações com terceirizados, parceiros e clientes, todos devem prezar por agirem em conformidade com esta política.

(iv) Funcionários, prestadores de serviço e terceiros devem:

(iv.i) Zelar pelo sigilo de suas credenciais ou chaves de acesso a locais ou sistemas corporativos, não as compartilhando com terceiros;

(iv.ii) Zelar pelo sigilo dos dados pessoais que estejam sob sua guarda ou responsabilidade, não os compartilhando com terceiros não autorizados a ter o acesso;

(iv.iii) Não compartilhar dados pessoais que tenham acesso em suas atividades laborais com quaisquer pessoas físicas ou jurídicas externas ao escritório sem autorização ou sem permissão estabelecida na Política de Governança;

(iv.iv) Não utilizar WhatsApp pessoal ou outras aplicações que não sejam de uso corporativo previamente estabelecido para atividades laborais.

(iv.v) Limitar-se ao uso de dados pessoais que venham a ter acesso apenas para finalidades relativas às atividades da Swedish Match, em conformidade com a Política de Governança;

(iv.vi) Todos têm o dever de comunicar pelo e-mail privacidade@swedishmatch.com, a respeito de qualquer situação de vulnerabilidade que possa causar uma violação de dados que tenha conhecimento, ou seja, que possa acarretar acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

(v) Todos estão cientes que a violação desta Política e de outras normas que dela fazem parte pode ter como consequência sanções a serem aplicadas pela Swedish Match.

RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS

(i) A Swedish Match produz Relatório de Impacto à Proteção de Dados quando identifica que um determinado tratamento de dados pessoais pode gerar risco aos direitos fundamentais e liberdades civis de titulares de dados.

(ii) Enquanto não houver regulamento editado pela ANPD, a Swedish Match orienta que a elaboração ocorra com base no Art. 38, parágrafo único da LGPD, bem como com fundamento no Art. 35º do GDPR. O documento deve conter pelo menos:

(ii.i) a descrição dos tipos de dados coletados;

(ii.ii) a metodologia usada para a coleta e para a garantia da segurança das informações;

(ii.iii) análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

(iii) A necessidade de um relatório de impacto será avaliada sempre que houver uma nova operação de tratamento de dados pessoais, e levando em conta:

(iii.i) Os objetivos da organização no aperfeiçoamento das práticas de segurança, privacidade e proteção de dados;

(iii.ii) Quando houver uma alteração da natureza, âmbito, contexto ou objetivos do tratamento de dados pessoais;

(iii.iv) Houver tratamento de dados pessoais que possam violar direitos fundamentais e liberdades dos titulares, bem como resultar em danos físicos, materiais ou imateriais particulares.

(iii.v) O risco, com base em:

 

1. Normas da ANPD que tratem de risco elevado, como a contida no artigo 4º da Resolução CD/ANPD nº 2 de 2022[1].
2. As nove operações de tratamento inerentemente de risco, conforme recomendação do Grupo de Trabalho do Artigo 29[2] da União Europeia: avaliação ou scoring; decisões automatizadas que afetem de modo significativo os titulares; monitoramento sistemático; uso de dados sensíveis ou de alto impacto em direitos fundamentais; tratamento em ampla escala; combinação ou cruzamento de bases de dados; tratamento de titulares vulneráveis (crianças, empregados etc); emprego de soluções tecnológicas ou organizacionais inovadoras; tratamento que impeça exercício de direito ou obste acesso a serviço e produtos.

 

(iv) Quando ocorrerem as hipóteses dos itens 3 ou 4 desta seção, e a Swedish Match considerar a desnecessidade de elaboração de relatório de impacto, deve documentar sua decisão, com os fundamentos que o levou a não o realizar.

(v) Os relatórios elaborados serão de uso interno, permanecendo sob sigilo e não devendo ser publicado para consulta do público externo. A documentação será fornecida à ANPD, entretanto, nos termos da LGPD, sempre que for solicitada.

INCIDENTES DE VIOLAÇÃO DE DADOS PESSOAIS

(i) Em caso de incidentes de violação de dados pessoais, a área de Privacidade da PMI e o Comitê de Proteção de Dados devem ser comunicados, bem como o responsável pela Segurança da Informação, para que possam tomar as medidas cabíveis.

(ii) A Swedish Match possui um Plano de Gestão de Incidentes de Violação de Dados Pessoais que apresenta normas e procedimentos para orientar a tomada de decisão em caso de incidentes de violação de dados pessoais.

(iii) O referido do documento pode estabelecer:

(iii.i) objetivo, abrangência, diretrizes e prescrições quanto à prevenção de incidentes;

(iii.ii) normas quanto à identificação, registro e contenção de incidentes;

(iii.iii) diretrizes para análise de risco;

(iii.iv) orientações para notificação à ANPD e aos titulares de dados pessoais, bem como da decisão de não-notificação;

(iii.v) orientações para o pós-incidente;

(iii.vi) definição de responsabilidades;

(iii.vii) previsão de sanções disciplinares;

(iii.vii) previsão de atualização da política.

 

(iv) Essa política pode ser encontrada em [inserir link/caminho] e deve ser de conhecimento de todos, a fim que possam contribuir para evitar episódios de violação, bem como para minimizar riscos, em caso de ocorrência de incidentes. 

DISPOSIÇÕES FINAIS

(i) Além deste documento, fazem parte do Programa de Privacidade:

• Registros de Operações de Tratamento e Avaliações de Impacto de Proteção de Dados;
• Normativa de Atendimento às Solicitações de Titulares de Dados Pessoais;
• Política de Segurança de TI;
• Política de Uso de Tecnologia;
• Plano de Gestão de Incidentes de Violação de Dados Pessoais;

(ii) As normas previstas serão atualizadas pelo menos periodicamente a cada 2 (dois) anos, ou sempre que necessário.

(iii) A presente Política de Governança entra em vigor a partir da sua data de divulgação

[1] Art. 4º Para fins deste regulamento, e sem prejuízo do disposto no art. 16, será considerado de alto risco o tratamento de dados pessoais que atender cumulativamente a pelo menos um critério geral e um critério específico, dentre os a seguir indicados:

I – critérios gerais:

1. a) tratamento de dados pessoais em larga escala; ou
2. b) tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais dos titulares;

II – critérios específicos:

1. a) uso de tecnologias emergentes ou inovadoras;
2. b) vigilância ou controle de zonas acessíveis ao público;
3. c) decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, inclusive aquelas destinadas a definir o perfil pessoal, profissional, de saúde, de consumo e de crédito ou os aspectos da personalidade do titular; ou
4. d) utilização de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes e de idosos.

• 1º O tratamento de dados pessoais em larga escala será caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado.
• 2º O tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.

[2] ARTICLE 29 WORKING PARTY. Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, p. 22.

Disponível em: <https://ec.europa.eu/newsroom/article29/items/611236>. Acesso em 30 ago. 2021.