1. Home
  2. Termo de Política de Privacidade Geral

Termo de Política de Privacidade Geral


1). INTRODUÇÃO 

Agradecemos por utilizar os serviços da OCP! Nós estamos comprometidos em proteger, tanto a sua privacidade quanto a segurança das suas informações pessoais e empresariais conosco compartilhadas.  O intuito deste documento é firmar e esclarecer nossa Política de Privacidade e de Proteção de Dados Pessoais para adequação à Lei nº 13.709/2018 (LGPD) e as demais legislações que tratam do tema, quais informações são coletadas para a execução dos nossos serviços, com o compromisso com as pessoas que conosco interagem, de tratar e proteger os dados pessoais coletados, garantindo a privacidade dos seus titulares.

Quando esta Política menciona “OCP”, “nós”, “nos” ou “nosso”, bem como as variações gramaticais da primeira pessoa do plural, ela se refere à empresa ORGANIZAÇÃO CONTABIL POFFO S/S, regularmente inscrita no CNPJ sob nº 03.062.081/0001-42 e à OCP CONTABILIDADE S/S LTDA, inscrita no CNPJ sob o nº 32.180.701/0001-46.


2).   APRESENTAÇÃO E CONSIDERAÇÕES INICIAIS

ORGANIZAÇÃO CONTABIL POFFO S/S, regularmente inscrita no CNPJ sob nº 03.062.081/0001-42 e a OCP CONTABILIDADE S/S LTDA, inscrita no CNPJ sob o nº 32.180.701/0001-46, pessoas jurídicas de direito privado, com sede e domicilio na Alameda Dr. Muricy, 257, Cj. 02 e 03, Centro, Curitiba/PR, neste ato estabelecem sua Política de Privacidade e de Proteção de Dados Pessoais para adequação à Lei nº 13.709/2018 e as demais legislações que tratam do tema.  

Os dados pessoais de pessoas naturais recebem tratamento especial por parte da OCP, para proteger os direitos fundamentais de liberdade, de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

O tratamento dos dados pessoais, é realizado pela empresa, visando à proteção, de forma a garantir:

a). o respeito à privacidade;

b). a autodeterminação informativa;

c). a liberdade de expressão, de informação, de comunicação e de opinião;

d). a inviolabilidade da intimidade, da honra e da imagem;

e). o desenvolvimento econômico, tecnológico e a inovação;

f). a livre iniciativa, a livre concorrência e a defesa do consumidor; e

g). os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

Os dados pessoais são tratados com a estrita observância da boa-fé e os seguintes princípios:

a). Finalidade: tratamos os dados pessoais somente para propósitos legítimos, específicos, explícitos e informados ao titular;

b). Adequação: o tratamento dos dados é realizado em compatibilidade com as finalidades informadas ao titular e de acordo com o contexto do tratamento;

c). Necessidade: o tratamento será sempre realizado em grau mínimo necessário para a realização das finalidades consentidas pelo titular ou previstas na legislação;

d). Livre acesso: garantimos aos titulares o livre acesso aos seus dados, mediante consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

e). Qualidade dos dados: garantimos aos titulares à exatidão, a clareza, a relevância e a atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

f). Transparência: nossa política junto ao titular dos dados é pautada na transparência;

g). Segurança: utilizamos medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

h). Prevenção: adotamos medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

i). Não discriminação: não tratamos dados pessoais para fins discriminatórios ilícitos ou abusivos.


3). CONCEITOS E DEFINIÇÕES 

A seguir listamos os principais conceitos e definições que serão utilizados na Política de privacidade e Proteção de Dados Pessoais, visando facilitar a compreensão.

Dado pessoal: é a informação relacionada à pessoa natural identificada ou identificável.

Como exemplo:  

a). Nome da pessoa;

b). Endereço;

c). Números de RG, CPF, CNH, CRC, PIS e outros;

d). Geolocalização;

e). Hábitos de consumo;

f). Dados bancários;

g). Dados referente à saúde;

h). Biometria;

i). Perfil cultural.

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Também chamado de DPO – Data Protection Officer, na OCP será o Sr. Guido Poffo.

Agentes de tratamento: o controlador e o operador.

Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.

Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.

Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.

Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.


4).  BASES LEGAIS PARA TRATAMENTO DE DADOS PESSOAIS 

Todas as operações de tratamento de dados pessoais, no âmbito das atividades da OCP, terão uma base legal que legitime a sua realização, bem como, a estipulação da finalidade e designação dos responsáveis pelo tratamento.

A seguir listamos as possibilidades legais que podem fundamentar o tratamento de dados pessoais pela OCP:

a). Através do consentimento pelo titular de dados pessoais;

b). Para o cumprimento de obrigação legal ou regulatória;

c). Para a realização de estudos por órgão de pesquisa;

d). Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular de dados pessoais;

e). Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

f). Para a proteção da vida ou da incolumidade física do titular de dados pessoais ou de terceiros;

g). Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

h). Quando necessário para atender aos interesses legítimos da OCP ou de terceiros;

i). Para a proteção do crédito.


4.1).  Bases legais para tratamento de dados pessoais sensíveis, de crianças e adolescentes 

A OCP entende que o tratamento de dados pessoais sensíveis representa risco elevado ao titular dos dados pessoais. Por esta razão, a OCP firma o compromisso de maior empenho, e, cuidado especial no tratamento destes dados sensíveis elencados no art. 5º, inciso II da LGPD.

Os dados pessoais de crianças e adolescentes serão tratados com o mesmo nível de cuidado exigido e oferecido aos dados pessoais sensíveis, bem como em observância às disposições próprias estabelecidas no Capítulo II, Seção III, da LGPD e outras normas específicas aplicáveis.

O tratamento de dados pessoais sensíveis pela OCP será realizado:

a). Quando o titular de dados pessoais ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

b). Sem fornecimento de consentimento do titular de dados pessoais, nos casos em que o tratamento for indispensável para:

 i). o cumprimento de obrigação legal ou regulatória pela OCP;

ii). a realização de estudos quando a OCP estiver na posição de órgão de pesquisa ou for legalmente requerida, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

iv). o exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;

v).  proteção da vida ou da incolumidade física do titular de dados pessoais ou de terceiros;   vi). tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, vi). serviços de saúde ou autoridade sanitária; ou

vii). garantia da prevenção à fraude e à segurança do titular de dados pessoais, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.


5). DIREITOS E DEVERES 


5.1). Direitos dos titulares de dados pessoais  

A OCP garante ao titular de dados pessoais:

a). Direito à confirmação da existência do tratamento: pode enviar questionamento, via site da (www.eocp.com.br), através do email de contato no site divulgado, sobre a existência do tratamento de seus dados pessoais;

b). Direito de acesso: pode solicitar e receber informação sobre os dados que a OCP possui armazenado em seu banco de dados;

c). Direito de correção: pode requerer a correção de seus dados pessoais, caso estejam incompletos, inexatos ou desatualizados;

d). Direito de eliminação: pode requisitar a exclusão de seus dados pessoais de bancos de dados da OCP, exceto se houver um motivo legítimo para a sua manutenção, como eventual obrigação legal de retenção de dados.

e). Direito de solicitar a suspensão de tratamento ilícito de dados pessoais: a qualquer momento, o titular de dados pessoais poderá solicitar a OCP a anonimização, bloqueio ou eliminação de seus dados pessoais que tenham sido reconhecidos por autoridade competente como desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD.

f). Direito de oposição a um tratamento de dados pessoais: nas hipóteses de tratamento de dados pessoais não baseadas na obtenção do consentimento (quando este é obrigatório), o titular de dados pessoais poderá apresentar à OCP sua oposição, que será analisada a partir dos critérios presentes na LGPD.

g). Direito à portabilidade dos dados: poderá requisitar à OCP que seus dados pessoais sejam disponibilizados a outro fornecedor de serviço ou produto, respeitados o segredo comercial e industrial, bem como os limites técnicos de sua infraestrutura.

h). Direito à revogação do consentimento: tem direito a revogar o seu consentimento, porém o tratamento já realizado pela OCP não será afetado, desde que tenha sido consentido pelo titular anteriormente. Nesta circunstância, a OCP não garante a continuidade de eventuais prestações de serviços que vinham sendo realizadas que envolvam o interesse do titular dos dados pessoais.


5.2). Deveres dos titulares de dados pessoais 

O titular dos dados pessoais obriga-se comunicar à OCP sobre quaisquer modificações em seus dados pessoais através de encaminhamento, via e-mail, para o DPO – Data Protection Officer.


5.3). Deveres dos empregados 

Os empregados somente poderão tratar dados pessoais, dados pessoais sensíveis e de crianças e adolescentes para as finalidades especificadas nesta Política de Privacidade e Proteção de Dados Pessoais, sendo expressamente vedado o tratamento de dados para atividades não autorizadas pela OCP.


5.4). Deveres dos agentes de tratamento de dados pessoais e terceiros

Os agentes de tratamento (controlador e operador) estão proibidos de disponibilizar o   acesso aos dados pessoais mantidos pela OCP  para pessoas não autorizadas.

Cabe a cada agente de tratamento de dados obter a autorização necessária junto a OCP antes de qualquer realização de tratamento de dados, sendo expressamente vedada a utilização para fins não especificados ou ação contrária a política da OCP e a legislação vigente.

Todos devem cumprir as normas, recomendações, orientações de segurança da informação e prevenção de incidentes de segurança destacados pela OCP.


5.5). Deveres da diretoria 

É responsabilidade da Diretoria criar, aprovar e atualizar a Política de Privacidade e Proteção de Dados Pessoais, bem como, zelar pelo cumprimento e aplicabilidade desta política: cumprir e fazer cumpri-la.


5.6). Deveres de todos os destinatários desta política 

Cabe a todos os alcançados por esta Política de Privacidade e de Proteção de Dados Pessoais o dever de reportar ao DPO – Data Protection Officer, qualquer uma das seguintes ocorrências:

a). tratamento de dados pessoais realizada sem base legal que a justifique;

b). tratamento de dados pessoais sem a autorização do controlador;

c). tratamento de dados pessoais que seja realizada em desconformidade com a Política de Privacidade e de Proteção de Dados Pessoais;

d). eliminação ou destruição de dados pessoais sem a devida autorização do controlador;

e). qualquer outra violação da Política de Privacidade e de Proteção de Dados Pessoais.


6). DADOS PESSOAIS, FINALIDADE E BASE LEGAL PARA O TRATAMENTO 

A empresa recepciona dados pessoais de diversas fontes de informações no desenvolvimento de suas atividades na prestação de serviços, conforme a figura a seguir:

A seguir listamos os principais meios de captação de dados para tratamento interno.


6.1). Dos empregados 

Dos nossos empregados (colaboradores) tratamos os dados pessoais listados, para as finalidades e bases legais a seguir descritas:

DADO PESSOAL FINALIDADE BASE LEGAL 
Nome completo do empre- gado, endereço residencial, telefone de contato, formação e experiência profissional.  Preenchimento da ficha ou formulário de solicitação de emprego.  Art. 7º, I, da Lei nº 13.709/2018, mediante o consentimen- to expresso e por escrito do titular. 
Nome completo do emprega- do, endereço completo, CPF, RG, CTPS e PIS.  Contrato de trabalho.  Art. 7º, V da Lei nº 13.709/2018. 
Nome completo do emprega- do, fone e e-mail de contato e endereço residencial.  Agenda eletrônica de con- tatos  Art. 7º, V da Lei nº 13.709/2018. 
Nome completo, endereço residencial completo, foto 3x4, documentos do empregado: CTPS, RG, CPF, PIS, nome com- 
da mãe e nome completo do cônjuge e CPF. 		 Inserção no sistema que gera a folha de pagamentos e ali- menta os sistemas para envio de obrigações acessórias para órgãos públicos como Secretaria Especial do Minis- tério da Economia e Previdên- cia Social e FGTS.  Art. 7º, II da Lei nº 13.709/2018, Art. 13 e seguintes do Decreto-Lei nº 5.452/1943, Decreto nº 76.900/1975, Instrução Normativa RFB nº 1.919/2019, Decreto nº 8.373/2014, 
PORTARIA CONJUNTA SEPRT / RFB Nº 82/2020, PORTARIA CONJUNTA SEPRT 
/ RFB Nº 76/2020, Lei nº 9.528/97, Lei nº 8.036/90, Lei nº 8.212/91 e Lei nº 8.213/91. 
Nome completo do empegado e foto 3/4 e fone de contato.  Identificação pessoal em crachá.  Art. 7º, V da Lei nº 13.709/2018. 
Nome completo dos filhos, certidão de nascimento dos filhos, RG, CPF e carteira de vacinação.  Inserção no sistema que gera a folha de pagamentos e obrigações acessórias.  Art. 7º, II da Lei nº 13.709/2018, mediante o consentimento expresso por escrito do titular em cláusula destacada no contrato de trabalho. 
Dados ligados à saúde física do empregado: ASO, PPRA, PCMSO e PPP.  Para fins de admissão do empregado, manutenção no emprego e demissão.  Art. 11, II, “a”, da Lei 13/709/2018, 
Portaria ME/SEPRT nº 6.734/2020, NR-7, NR-9 
Atestado médico  Afastamento do trabalho.  Art. 11, II, “a”, da Lei 13/709/2018,

Art. 473 da CLT, e Art. 6º da Lei nº 605/49 e CF/88. 
Dados bancários  Para realização do pagamen-

to das verbas trabalhistas. 

 Art. 7º, V, da Lei nº 13.709/2018. 


6.2). Dos Clientes – tratamento de dados recorrentes 

Dos nossos clientes para os quais prestamos serviços recorrentes tratamos os dados pessoais listados, para as finalidades e bases legais a seguir descritas:

DADO PESSOAL  FINALIDADE  BASE LEGAL 
Nome completo do cliente, RG, CPF, e-mail, telefone de contato.  Para realização de Proposta Comercial.  Art. 7º, V da Lei nº 13.709/2018. 
Nome completo, endereço completo, RG, CPF, e-mail, fone de contato.  Para inserir no sistema interno para geração do contrato de prestação de serviços.  Art. 7º, V da Lei nº 13.709/2018. 
Nome completo do clien- te, telefone celular e e-mail pessoal.  Agenda eletrônica de con- tatos, para manter contato com os clientes.  Art. 7º, V da Lei nº 13.709/2018. 
Nome completo, endereço completo, CPF, PIS, RG, e-mail.  Inserção em livros fisco-con- tábeis, obrigações acessórias exigidas pelos fiscos: federal, estadual, distrital e municipal.  Art. 7º, V da Lei nº 13.709/2018. 


6.3).  Dos clientes - tratamento de dados eventuais 

Dos nossos clientes eventuais tratamos os dados pessoais listados, para as finalidades e bases legais a seguir descritas:

DADO PESSOAL  FINALIDADE  BASE LEGAL 
Nome completo do cliente,

e-mail e telefone de contato. 

 Para realização de Proposta Comercial.  Art. 7º, V da Lei nº 13.709/2018. 
Nome completo do cliente, en- dereço completo, RG, CPF, e-mail, telefone de contato.  Para inserir no sistema interno para geração do contrato de prestação de serviços.  Art. 7º, V da Lei nº 13.709/2018. 
Nome completo do cliente, tele- fone celular e e-mail pessoal.  Agenda eletrônica de conta- tos, para manter contato com os clientes.  Art. 7º, V da Lei nº 13.709/2018. 
Nome completo, endereço re- sidencial, CPF, PIS, RG, e-mail, ocupação principal, nome e CPF dos dependentes, relação de bens, direitos, dívidas e ônus reais, rendi- mentos, pagamentos e doações realizadas.  Realização da Declaração de Ajuste Anual do Imposto de renda.  Art. 7º, V da Lei nº 13.709/2018. 
Nome completo, endereço residencial, CPF, PIS, RG, e-mail, relação de bens, direitos, dívidas e ônus reais, receitas e despesas.  Realização da Declaração e Apuração do Imposto Territo- rial Rural.  Art. 7º, V da Lei nº 13.709/2018. 


6.4).  Dos parceiros 

Dos nossos parceiros tratamos os dados pessoais listados, para as finalidades e bases legais a seguir descritas:

DADO PESSOAL  FINALIDADE  BASE LEGAL 
Nome completo, e-mail, telefone de contato.  Inserir em Agenda Eletrônica para os contatos necessário à realização execução do con- trato de parceria.  Art. 7º, V da Lei nº 13.709/2018. 
Nome completo, endereço completo, RG, CPF, PIS, dados bancários, e-mail, telefone de contato.  Para inserir no sistema interno e para geração do contrato de parceria.  Art. 7º, V da Lei nº 13.709/2018. 
Dados bancários.  Para realizarmos o paga- mento de comissões.  Art. 7º, V, da Lei nº 13.709/2018. 


6.5).  Dos fornecedores 

Dos nossos fornecedores tratamos os dados pessoais listados, para as finalidades e bases legais a seguir descritas

DADO PESSOAL  FINALIDADE  BASE LEGAL 
Nome completo do forne- cedor, e-mail, telefone de contato.  Inserir em Agenda Eletrônica para os contatos necessário à realização de pedidos para fornecimento.  Art. 7º, V da Lei nº 13.709/2018. 
Nome completo do fornecedor, endereço completo, RG, CPF, NIT, PIS, e-mail, telefone de contato.  Para inserir no sistema interno para realizar o pagamento

do fornecedor e realizar a retenção de tributos, quando exigido pela legislação. 

 Art. 7º, II e V da Lei nº 13.709/2018. 
Dados bancários.  Para realização do paga- mento dos fornecedores.  Art. 7º, V, da Lei nº 13.709/2018. 


7). EXPOSIÇÕES A RISCOS

A empresa se encontra comprometida com a proteção dos dados pessoais, em especial os dados pessoais de crianças, adolescentes, idosos e dados sensíveis, previstos da Lei nº 13.709/2018. Para tanto, analisou todo fluxograma de tratamento dos dados pessoais de pessoa natural para listar os principais pontos de exposições a riscos, conforme   listado a  seguir:

a). Acesso ao banco de dados pessoais:  neste tocante, a empresa criou senhas com limitações de acesso por parte dos colaboradores e demais usuários internos. Cada usuário somente tem acesso aos dados estritamente necessários à realização dos serviços a eles delegados. O sistema de dados somente pode ser acessado através de senha pessoal. Agentes externos não tem acesso ao nosso banco de dados, exceto em situações excepcionais, para fim específico e com prévia autorização da OCP.

b). Realização de cópias de segurança (backup): o banco de dados é objeto de cópia de segurança diária, à qual é realizada de maneira automática, sem a interferência humana, via rotina de trabalho automatizada para armazenagem em nuvem. As cópias diárias não são sobrepostas, gerando arquivos individuais que são mantidos pelo prazo de 180 (cento e oitenta) dias. As cópias de seguranças (backup) estão protegidas por senha, cujo acesso somente é permitido ao responsável nomeado para acompanhamento da realização das referi- das cópias.

c). Trabalho home office: os empregados, quando atuam nesta modalidade de trabalho, recebem da empresa, orientações sobre os cuidados para impedir que terceiros possam visualizar ou acessar dados pessoais. Neste sentido, os empregados, somente têm o acesso liberado aos dados pessoais para tratamento, estritamente necessários à execução dos trabalhos, após aderirem e se comprometerem com esta Política de Privacidade e de Proteção de Dados Pessoais e estarem cientes das suas responsabilidades.

d). Acesso e visualização de dados: orientamos nossos empregados sobre os cuidados necessários ao acessar qualquer dado pessoal, buscando mitigar o risco de acesso por pessoas não autorizadas.



8). POLÍTICA DE PRIVACIDADE E DE PROTEÇÃO DE DADOS PESSOAIS 

Nossa Política de Privacidade e de Proteção de Dados Pessoais se baliza dentro dos seguintes parâmetros e diretrizes gerais:

i). Os dados pessoais não serão tratados sem base legal ou consentimento  do seu respectivo titular;

ii). Os dados de crianças e adolescentes somente serão tratados com o consentimento do titular dos dados ou o representante, exceto para as situações previstas na LGPD e do Estatuto da Criança e do Adolescente; 

iii). Para os casos em que são exigidos o consentimento do titular, informamos a este, a finalidade específica do tratamento;

iv). Em nosso sistema de tratamento de dados (banco de dados) determinamos a forma e a duração do tratamento, observados os segredos comercial e industrial;

v). Os titulares de dados pessoais podem tomar ciência da identificação do controlador de dados;

vi). Não compartilhamos dados com terceiros, exceto para os casos em que, formalmente for autorizado ou solicitado pelo titular dos dados, por outro controlador de dados, por força de decisão judicial, ou, para atender situ- ações elencadas na Lei nº 13.709/2018;

vii). Assumimos a responsabilidade pelo tratamento dos dados pessoais a nós confiados e conduzimos nossos trabalhos pelo princípio da boa-fé e suportado por tecnologias e soluções que dispomos internamente;

viii). A transparência e o livre acesso (consulta) por parte do titular são nossos compromissos com cada um dos titulares que a nós confiarem seus da- dos e consentirem para realizar o devido tratamento;

ix). No tratamento de dados pessoais sensíveis adotamos critérios de controle e acesso rígidos visando preservá-los;

x). Não limitaremos esforços, para durante o processo de tratamento dos dados pessoais, para anonimizá-los, para que não possam ser atribuídos ou relacionados aos seus titulares;

xi). Os dados pessoais de crianças e adolescentes receberão um cuidado especial, com a política de não ter dados duplicados (digital e em papel) sempre com o objetivo da menor exposição ao uso indevido e para mitigar a possibilidade de vazamento;

xii). Ao término do tratamento de dados e vencidos os prazos descritos em nossa Política de Privacidade e de Proteção de Dados Pessoais, todos os dados serão eliminados de nosso banco de dados de maneira que não possam mais ser recuperados por qualquer tipo de técnica ou prática por nós conhecida no momento da realização deste procedimento;

xiii). Ao titular dos dados, além do consentimento (quando assim for exigido) e transparência do uso, será garantido a qualquer momento, mediante requerimento, o acesso aos dados para confirmar a correção, alteração ou até mesmo a proibição (não consentimento) da continuidade do respectivo tratamento se este for o caso;

xiv). Dedicaremos esforços para que a segurança e o sigilo de dados possam ser garantidos durante todo processo de tratamento dos dados pessoais; Ao longo do tempo, estaremos sempre buscando melhorar e adequar nossas práticas de governança interna, para maior segurança e a privacidade dos dados pessoais que são por nós tratados.

xv). O servidor de dados da OCP é protegido por firewall. Todas os computadores (dos usuários internos) são dotados de antivírus Avast Premium Security atualizado diariamente que faz a segurança de sistema e e-mail. Além disso, todas as operações na web exigem identificação de usuário no proxy. Todos os usuários necessitam de autenticação para acessar os dados em rede. 


9). RELATÓRIO DE IMPACTO A PROTEÇÃO DE DADOS 

Antes de iniciarmos o tratamento dos dados pessoais, de qualquer titular que se relacione, comercialmente ou por outro motivo, com a OCP, analisamos a base legal do tratamento, determinamos a finalidade do tratamento e os dados pessoais estritamente necessários. Para os casos em que a LGPD exige o consentimento do titular dos dados pessoais, realizamos essa formalização através de documento físico (papel) ou por meio digital, onde o titular dá o aceite ao consentimento para finalidade listada no referido termo.

Em nosso site na internet (www.eocp.com.br) manifestamos nosso compromisso formal com relação à privacidade e a proteção de dados pessoais, possibilitando ao titular dos dados, conhecer nosso Controlador responsável, bem como ter a possibilidade de se dirigir ao nosso DPO – Data Protection Officer para solicitar alguma informação relativa à sua proteção de dados pessoais, conforme previsto em nossa Política de Privacidade e de Proteção de Dados Pessoais e na Lei nº 13.709/2018.

Durante o processo de tratamento de dados, interna ou externamente, o acesso somente será permitido através de “senha de usuário” previamente cadastrada, cujo usuário será cientificado do zelo e da responsabilidade sobre o acesso aos dados, inclusive sobre os cuidados extras exigidos para dados de crianças, adolescentes, idosos e sensíveis descritos neste termo.

O cadastramento das senhas somente se dará com a presença física do usuário ou outra forma segura, para que possamos garantir a pessoalidade, sempre dentro da dupla segurança, ou segurança confirmatória em duas etapas. O acesso é limitado aos dados estritamente necessários a consecução dos trabalhos.

Os dados pessoais somente serão compartilhados com terceiros por força da legislação, contrato firmado ou por solicitação e consentimento expresso do titular, que pode se dar através de requerimento formal de protocolo, via e-mail do próprio titular ou outra forma de comunicação onde possamos ter razoável certeza de que se trata de pedido do titular dos dados ou seu represente previamente conhecido por nós.

No cumprimento de obrigações acessórias ligadas as esferas: municipal, estadual, distrital, federal, ou qualquer outro órgão público ou autarquia, os dados pessoais serão fornecidos por nós em estrita observância das exigências legais e na sua respectiva extensão, sempre visando atender as obrigações ligadas ao titular ou de pessoas jurídicas de sua responsabilidade.

Qualquer compartilhamento de dados pessoais, que tenha sido consentido pelo titular, pode ser desautorizado através de requerimento formal a nós dirigido pelo titular dos dados ou por seu represente devidamente autorizado para tal fim.

Os operadores internos de dados da OCP, em especial nossos colaboradores (empregados ou agentes terceirizados) receberão treinamento periódico onde demonstraremos, a responsabilidade e o zelo, necessários no trato de dados pessoais e dados pessoais de crianças e adolescentes e outros dados considerados sensíveis perante a LGPD.

Eventualmente quando nossos colaboradores ou agentes externos devidamente autorizados por nós, ao terem acesso aos dados pessoais, atuarem através do trabalho na modalidade de Home Office, destacaremos a estes, além das recomendações já descritas anteriormente, a obrigatoriedade da assinatura de termo de responsabilidade para tratamento de tais dados pessoais, onde ficam expressamente vedadas a visualização ou o acesso aos dados pessoais por pessoas que possam estar neste local de trabalho e que não tenham autorização formal da OCP para tratamento de dados pessoais.  

Documentos pessoais originais recebidos por nós, onde constem dados pessoais, serão após o tratamento digital e sua inserção em nosso banco de dados, devolvidos a quem nos apresentou tais documentos: o titular ou seu representante legal ou ainda outro Controlador de dados. Já os documentos pessoais que recebemos através de cópias, após o procedimento anteriormente descrito, serão eliminados fisicamente para evitar a duplicidade de dados.

Nossos sistemas de acesso aos dados pessoais serão parametrizados onde cada colaborador somente terá acesso aos dados estritamente necessários para realização dos trabalhos a eles confiados, ainda faremos o bloqueio do respectivo acesso durante períodos de afastamento da empresa (férias ou outro motivo), bem como, pelo desligamento do colaborador do quadro de empregados.

Em nossos trabalhos internos, quando geramos relatórios para simples conferência, faremos isso preferencialmente através de relatórios digitais na tela do monitor, porém quando realizado através de impressão em papel, este será eliminado e destruído após o processo de conferência, para assim mitigar o uso indevido de dados pessoais. Neste sentido, nenhum relatório impresso, para simples conferência, que contenha dados pessoais, será reaproveitado para outra finalidade.

Em nosso dia a dia buscamos anonimizar os dados pessoais para que não possam ser relacionados ou atribuídos aos seus respectivos titulares. Desta maneira, em nossos relatórios de acompanhamentos nos empenhamos fortemente para apenas demonstrar a situação genérica que estamos querendo apresentar, porém sem relacionar esta situação as pessoas de maneira direta ou específica.

Sempre que captados dados pessoais de pessoas naturais em nossas redes sociais e em nossa página na internet, somente fazemos isso, após obtermos o consentimento do titular dos dados, o qual no ato será cientificado do tratamento específico relativo ao dado captado, bem como terá acesso a nossa Política de Privacidade e de Proteção de Dados Pessoais.

Quando cessar o consentimento, do titular ou de seu representante, para o tratamento de dados pessoais, imediatamente suspendemos o respectivo uso, e, fazemos a respectiva guarda dentro do prazo de prescrição, previsto na legislação, conforme descrito nesta Política de Privacidade e de Proteção de Dados Pessoais, quando da ocasião, os dados serão eliminados por completo de nosso banco dados, dentro das técnicas por nós conhecidas.



10). ELIMINAÇÃO E DESCARTE DE DADOS PESSOAIS 

A seguir descrevemos como e com que bases legais estabelecemos os prazos para eliminação dos dados pessoais por nós tratados, em conformidade com os Artigos 15 e 16 da Lei nº 13.709/2018, conforme o quadro a seguir:


10.1). Empregados 

Os dados pessoais de empregados por nós tratados terão os seguintes prazos para eliminação, respeitando a legislação, no âmbito e nos limites técnicos das nossas atividades. Tais prazos, estarão sujeitas as finalidades para as quais foram tratados em cumprimento de obrigação legal ou contratual. Neste sentido, a eliminação será realizada após decorrido o prazo que listamos da coluna “ELIMINAÇÃO”, cuja contagem de tempo se inicia na respectiva emissão dos referidos documentos que contém os dados pessoais ou como apontado na tabela a seguir:

DADOS TRATADOS PARA FINS PREVIDENCIÁRIOS  ELIMINAÇÃO 
Documentos que comprovem a isenção da contribuição previ denciária.  10 anos. 
Perfil Profissiográfico Previdenciário (PPP).  20 anos. 
Salário-família - documentos referentes à concessão, manu- tenção e pagamento das cotas do salário-família.  10 anos. 
Demais documentos previdenciários.  05 anos. 
Fundamentação: art. 13 da Lei Complementar nº 128/2008; arts. 45 e 46 da Lei nº 8.212/1991; art. 68, § 1º, da Lei nº 8.213/1991 com redação dada pelo art. 37 da Lei Complementar nº 150/2015; artigo 225, §§ 5º e 7º do Decreto nº 3.048/1999; art. 29, VI da Lei nº 12.101/2009 e arts. 173 e 174 do Código Tributário Nacional; arts. 362, 568 e 573 da Instrução Normativa INSS nº 77/2015; Súmula Vinculante STF nº 8; 
DADOS TRATADOS PARA FINS PREVIDENCIÁRIOS  ELIMINAÇÃO 
Atestado de Saúde Ocupacional (ASO).  20 anos após o desligamento. 
Contrato de trabalho.  Não será eliminado. 
Livros ou fichas de registro de empregados.  Não serão eliminados 
Programa de Controle Médico de Saúde Ocupacional (PCMSO).  20 anos. 
Programa de Prevenção de Riscos Ambientais (PPRA) - Histórico técnico de desempenho.  20 anos. 
Guia de Recolhimento Rescisório do FGTS (GRRF).  30 anos. 
Guia de Recolhimento do Fundo de Garantia do Tempo de Serviço e Informações à Previdência Social (GFIP).  30 anos. 
Fundo de Garantia do Tempo de Serviço (FGTS) - depósitos e documentos.  30 anos. 
Demais documentos trabalhistas.  05 anos. 
Fundamentação: art. 7º, III e XXIX, da Constituição Federal de 1988; art. 23, § 5º, da Lei nº 8.036/1990; art. 8º da Portaria MTE nº 269/2015; art. 2º, § 1º da Portaria MTE nº 1.129/2014; subitem 4.12., "j" da Norma Regulamentadora nº 4; subitem 5.40, "j", da Norma Regulamentadora nº 5; subitem 7.4.5.1 da Norma Regulamentadora nº 7; subitem 9.3.8.2 da Norma Regulamentadora nº 9. 
DADOS TRATADOS PARA OUTRAS FINALIDADES  ELIMINAÇÃO 
Ficha de solicitação de emprego.  01 ano ou pela ocasião da solicitação do titular dos dados pessoais. 
Agenda eletrônica contatos, para manter contato com os empregados.  03 anos após do desligamento ou pela solicitação do titular dos dados. 
Dados inseridos no sistema interno para apuração da folha de pagamentos e cumprimento de obrigações acessórias.  05 anos. 
Dados bancários.  Após do desligamento ou pela solicitação do titular dos dados. 


10.2).  Clientes 

Os dados pessoais de clientes por nós tratados terão os seguintes prazos para eliminação, respeitando a legislação, no âmbito e nos limites técnicos das nossas atividades.

Tais prazos estarão sujeitos as finalidades para as quais foram tratados em cumpri- mento de obrigação legal ou contratual. Neste sentido, a eliminação será realizada após decorrido o prazo que listamos da coluna “ELIMINAÇÃO”, cuja contagem de tempo se inicia na respectiva emissão dos referidos documentos que contém os dados pessoais ou como apontado na tabela a seguir:

DADOS TRATADOS PARA FINS CONTRATUAIS E LEGAIS  ELIMINAÇÃO 
Para realização de Proposta Comercial.  05 anos. 
Dados inseridos no sistema interno para fins de cum- primento do contrato e o contrato de prestação de serviços.  05 anos. 
Inseridos na agenda eletrônica, para manter contato com os clientes.  05 anos ou por solicitação do titular dos dados pessoais. 
Para realização da Declaração de Ajuste Anual do Imposto de Renda da Pessoa Física.  05 anos ou por solicitação do titular dos dados pessoais. 
Para realização da Declaração e Apuração do Im- posto Territorial Rural – ITR.  05 anos ou por solicitação do titular dos dados pessoais. 


10.3). Parceiros 

Os dados pessoais de parceiros por nós tratados terão os seguintes prazos para eliminação, respeitando a legislação, no âmbito e nos limites técnicos das nossas atividades. Tais prazos estarão sujeitos as finalidades para as quais foram tratados em cumprimento de obrigação legal ou contratual. Neste sentido, a eliminação será realizada após decorrido o prazo que listamos da coluna “ELIMINAÇÃO”, cuja contagem de tempo se inicia na respectiva emissão dos referidos documentos que contém os dados pessoais ou como apontado na tabela a seguir:

DADOS TRATADOS PARA FINS CONTRATUAIS E LEGAIS                   ELIMINAÇÃO 
Dados inseridos em Agenda Eletrônica para os contatos necessários à realização e execução do contrato de parceria.  05 anos ou por solicitação do titular dos  dados. 
Dados inseridos no sistema interno para fins admi- nistrativos e o contrato de contrato de parceria.  05 anos. 
Dados bancários.  Pelo fim da parceria ou por solicitação do titular dos dados pessoais. 


10.4). Fornecedores 

Os dados pessoais de fornecedores por nós tratados terão os seguintes prazos para eliminação, respeitando a legislação, no âmbito e nos limites técnicos das nossas atividades. Tais prazos estarão sujeitos as finalidades para as quais foram tratados em cumprimento de obrigação legal ou contratual. Neste sentido, a eliminação será realizada após decorrido o prazo que listamos da coluna “ELIMINAÇÃO”, cuja contagem de tempo se inicia na respectiva emissão dos referidos documentos que contém os dados pessoais ou como apontado na tabela a seguir:

DADOS TRATADOS PARA FINS CONTRATUAIS E LEGAIS  ELIMINAÇÃO 
Dados inseridos na Agenda Eletrônica para os contatos necessários à realização de pedidos de fornecimentos.  Por solicitação do titular dos dados pes- soais. 
Dados inseridos no sistema interno para fins admi- nistrativos e retenção de tributos, quando exigido pela legislação.  05 anos. 
Dados bancários.  Por solicitação do titular dos dados pes- soais. 


11).  ATENDIMENTO AO TITULAR DE DADOS E ÓRGÃOS REGULADORES 

O titular de dados pessoais, ou seu representante legalmente constituído, será atendido pelo nosso Encarregado de Proteção de Dados (DPO – Data Protection Officer), cujo acesso poderá ser realizado através do site da OCP na internet através do preenchimento do Formulário de Solicitação, ou através de e-mail contato@eocp.com.br a ser enviado para o nosso DPO – Data Protection Officer, Sr. Guido Poffo.

As solicitações por parte dos titulares de dados serão atendidas no prazo de até 02 (dois) dias úteis da data do recebimento da solicitação. Já as solicitações por parte de órgãos reguladores serão atendidas no prazo previsto em lei. As situações para as quais não tiver previsão legal referente ao prazo, atenderemos dentro do prazo de 15 dias corridos da tomada da ciência da solicitação.



12). QUALIFICAÇÃO DO TIME DE COLABORADORES 

Na adequação inicial à LGPD e adoção da Política de Privacidade e de Proteção de Dados Pessoais foi realizado um treinamento envolvendo todo quadro de colaboradores, onde foram apresentadas as principais particularidades relacionadas a LGPD: o objetivo e os princípios da Lei Geral de Proteção de Dados, os cuidados que devem ser tomados no tratamento dos dados, com destaque especial aos dados de crianças, adolescentes e dados sensíveis, bem como, os deveres dos empregados no tratamento dos dados pessoais.

Os empregados ainda receberam material eletrônico para leitura complementar sobre a Lei Geral de Proteção de Dados e esta Política de Privacidade e de Proteção de Dados Pessoais para que possam entender a extensão de suas respectivas responsabilidades e que tenham condições de mitigar os riscos por uso indevido, compartilhamento e vazamento de dados de forma acidental.

Visando a qualificação e atualização constante, anualmente a empresa disponibiliza- rá meios para que os colaboradores possam evoluir no tratamento de dados pessoais com responsabilidade e zelo.


13). ENVOLVIMENTO INTERNO E EXTERNO PARA EXIGIR COMPLIANCE 

Antes de exigir compliance para agentes internos e externos ocorreu o envolvimento e o comprometimento da alta administração da empresa no sentido de viabilizar o constante aperfeiçoamento e a aplicabilidade desta Política de Privacidade e de Proteção de Dados Pessoais.

Para a OCP, as regras e políticas estabelecidas precisam ser cumpridas por todos: ninguém está acima da lei, da norma ou do regramento interno. Isso significa que os exemplos precisam vir da alta cúpula e chegar ao estágio inicial do organograma. Não se pode esquecer que os regramentos internos visam, além da garantia de um bom ambiente dentro da empresa, garantir que as relações externas sejam essencialmente realizadas, levando-se em conta o zelo e a responsabilidade no trato com os dados pessoais e de privacidade.

Os valores presentes dentro da empresa precisam alcançar os parceiros, fornecedores e clientes, para que juntos, tais valores possam ser cultivados e assimilados não por mera exigência da lei, mas por convicção pessoal. Neste sentido, a OCP além da formalização exigida pela LGPD criou meios para o envolvimento cada vez maior de parceiros, clientes e fornecedores para formar um grande sistema comprometido pelo correto tratamento dos dados pessoais e em respeito à liberdade individual e a privacidade de cada pessoa natural.