Políticas de Segurança da Informação & Compliance

1.OBJETIVO

O objetivo da Política Global de Proteção de Dados é orientar a todos os parceiros comerciais, fornecedores, prestadores de serviços e demais terceiros que atuem em colaboração com a Docket acerca das boas práticas em proteção de dados pessoais, visando conformidade com a Lei nº 13.709 de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais.

Esta Política visa estabelecer diretrizes de uma cultura empresarial que observe os padrões nacionais e internacionais de proteção de dados pessoais, assegurando a privacidade, confidencialidade, integridade e disponibilidade das informações, respeitando as normas vigentes

  1. REFERÊNCIA
  • ABNT NBR ISO/IEC 27001 – Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos;
  • ABNT NBR ISO/IEC 27701 – Técnicas de Segurança – para gestão da privacidade da informação — Requisitos e diretrizes;
  • Lei Geral de Proteção de Dados (LGPD) – Lei Nº 13.709/2018;
  1. ABRANGÊNCIA

Esta Política Global se aplica a clientes, fornecedores, prestadores de serviços, parceiros comerciais e demais terceiros que realizam qualquer atividade em conjunto com a Docket, e suas afiliadas, subsidiárias e relacionadas ao Brasil e exterior, independentemente de vínculo direto com a empresa, ou da natureza do tratamento.

  1. CONTEXTO

Esta política foi elaborada com base nas determinações da LGPD (Lei Geral de Proteção de Dados), baseado na necessidade de uma política onde reste expresso as diretrizes sobre privacidade e proteção de dados pessoais na prestação de serviços.  

Esta Política estabelece os padrões mínimos aplicáveis ao tratamento de dados pessoais, independentemente de onde se localize o titular e/ou a unidade de negócio responsável pelo tratamento dessas informações, dentro ou fora do território nacional. 

Por fim, resta estabelecido que aplicamos sempre o padrão mais alto em relação à proteção de dados, seja ele estabelecido nesta política, seja ele estabelecido em legislação aplicável. Variações decorrentes de leis locais e/ou regulações setoriais deverão ser interpretados em conjunto com esta Política.

  1. DEFINIÇÕES

Os termos desta Política Global terão o significado conforme abaixo:

INFORMAÇÃO: Dados, processados ou não, que podem ser utilizados para a produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato, sendo físico ou não;

SISTEMAS DE INFORMAÇÃO: Conjunto de aplicações e software que interagem entre si para uma determinada função ou atividade;

TRATAMENTO: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, ou controle da informação, modificação, comunicação, transferência, difusão ou extração. 

DADOS PESSOAIS: informação relacionada a pessoa natural identificada ou identificável. 

DADOS PESSOAIS SENSÍVEIS: qualquer dado pessoal vinculado a pessoa natural que contenha:

  • Origem racial ou étnica;
  • Convicção religiosa;
  • Opinião política;
  • Filiação a sindicato ou organização de caráter religioso, filosófico ou político. 
  • Dado referente à Saúde ou vida sexual;
  • Dado genético ou biométrico.

TITULAR: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

CONTROLADOR: pessoa natural ou jurídica de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

OPERADOR: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

ENCARREGADO: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados.

RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS: documentação que contém a descrição dos processos de tratamento de dados pessoais que põem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados em todo o território nacional.

INCIDENTE: Interrupção não planejada em um serviço, ou redução na qualidade de um serviço disponibilizado pela Docket aos seus clientes.  

INCIDENTE DE SEGURANÇA DA INFORMAÇÃO: É um evento que causa e/ou pode afetar à confidencialidade, integridade e disponibilidade das informações, dos sistemas, serviços e ativos de TI da Docket, bem como acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão de Dados Pessoais, trazendo impactos regulatórios, financeiros e na reputação da Docket;

CONFIDENCIALIDADE: Garantia de que a informação somente estará acessível para pessoas autorizadas;

DISPONIBILIDADE: Garantia de que a informação deve estar disponível para usuários autorizados quando solicitado;

INTEGRIDADE: Garantia de que a informação armazenada ou em trânsito, não sofrerá qualquer modificação não autorizada, seja esta intencional ou não;

AMEAÇA: Conjunto de fatores externos/internos ou a causa potencial de um incidente indesejado que pode resultar em dano a um sistema ou para a empresa;

ANTIVIRUS: Software que visa prevenir, detectar, remover arquivos e executáveis maliciosos ocasionados por um ataque de vírus;

CRIPTOGRAFIA: Técnica utilizada para codificar informações e permitir que somente pessoas autorizadas tenham acesso;

FORNECEDOR: Pessoa ou empresa que fornece algo ou presta algum tipo de serviço para a Docket;

CLIENTE: efetivo ou potencial adquirente/usuário dos produtos e/ou serviços oferecidos pela Docket;

PARCEIRO DE NEGÓCIO: Pessoa ou empresa profissional, que realiza a prestação de algum serviço 

  1. DIRETRIZES

As medidas de segurança, técnicas e administrativas para proteção de dados pessoais deverão ser observadas desde a fase de concepção do produto, do serviço, ou da relação contratual até a sua execução). Fornecedores e parceiros de negócios que têm acesso às informações e/ou aos sistemas de informação da Docket também devem cumprir com os requisitos estabelecidos na presente Política Global. 

A Docket se disponibiliza para ser avaliada por clientes e realizar avaliações em fornecedores e parceiros sobre controles de segurança da informação, para avaliar a conformidade da empresa quanto aos itens constantes da legislação vigente sobre Privacidade e Proteção de dados, bem como nessa Política Global.

  1. SEGURANÇA DA INFORMAÇÃO

Como parte do processo de garantia da Privacidade e Proteção de Dados em sua operação, a Docket estabeleceu alguns requisitos e controles de Segurança da Informação, que deverão ser conhecidos e observados por todos os colaboradores, clientes, parceiros e fornecedores. 

A Docket reserva-se o direito de, a qualquer momento e sem aviso prévio, monitorar, auditar ou fazer cópias de segurança de qualquer dado e/ou informações armazenados em ativos de sua propriedade ou que trafegam em sua rede.

  1. REQUISITOS DE SEGURANÇA DA INFORMAÇÃO

A seguir, detalhamos os requisitos de Segurança que foram adotadas pela Docket, e nos quais se pautam a nossa avaliação de Riscos e Segurança aplicados em relações comerciais com parceiros, fornecedores e clientes:

▪ Assegurar que todos os seus funcionários e colaboradores entendam suas responsabilidades em segurança da informação e estejam em conformidade com os papéis que foram determinados. 

▪ Garantir e proteger a confidencialidade das informações compartilhadas com a Docket, como parte do objeto da relação contratual ou qualquer tipo de vínculo com a empresa. 

▪ Os dispositivos eletrônicos disponibilizados pela Docket, celulares, notebooks e outros, devem ser utilizados em conformidade com as regras estabelecidas nas políticas e procedimentos internos, bem como cláusulas contratuais. 

▪ As informações armazenadas nesses dispositivos devem ser protegidas, e portanto, devem ser respeitados os limites e regras de uso, bem como os controles definidos para Segurança da Informação apropriados. 

▪ Todos os ativos da Docket devem ser inventariados, monitorados, ter controle de responsáveis designados para fiscalizar seu controle, e deverão ser devolvidos e ter os acessos revogados no ato do encerramento de seu contrato, ou no término do contrato com a Docket. 

▪ Classificar toda informação manuseada, tratada e descartada em conformidade com o risco associado à informação, fazendo um processo de conformidade com a classificação definida pela Docket. 

▪ Caso ocorra a necessidade de utilização de mídias removíveis para o cumprimento da finalidade de tratamento contratado; elas deverão ser gerenciadas de acordo com a classificação da informação; devem ser descartadas de forma segura, garantindo que as informações não poderão ser mais recuperadas, e deverão receber as devidas proteções recomendadas. 

▪ Garantir que possua processo de controle de acesso em conformidade com o princípio do menor privilégio. 

▪ Assegurar o acesso autorizado e prevenir acessos indevidos aos sistemas e serviços da Docket.

▪ Garantir um processo de concessão, atualização periódica e revogação de acessos aos usuários da empresa aos sistemas e aplicações, que inclua a gestão e monitoramento de acessos e permissionamento.

▪ Os acessos físicos e lógicos devem ser gerenciados para prevenir/impedir o acesso não autorizado, danos ou interferências (perda, furto ou roubo) aos ativos de informações que estão sendo tratados pela Docket. 

▪ Garantir a proteção dos ativos de informação que serão acessados por fornecedores subcontratados. 

▪ Garantir que informações classificadas como “confidenciais” sejam criptografadas em armazenamento, repouso e em trânsito. 

▪ Os equipamentos devem ser protegidos e colocados em locais seguros para manter a integridade das informações e disponibilidade dos serviços. 

▪ Todos os equipamentos que contenham mídias de armazenamento de dados devem ser examinados para remoção 

▪ Assegurar que as informações e recursos de processamento estejam protegidos, e garantir que a proteção das informações em redes com mecanismos de segurança, níveis de serviço, segregação de redes e requisitos de gerenciamento das aplicações da Docket. 

▪ Garantir a segurança da informação no ciclo de vida dos sistemas e infraestrutura. 

▪ Realizar periodicamente varreduras e análises nas camadas de infraestrutura e de aplicações para identificação de vulnerabilidades e fazer a gestão das vulnerabilidades encontradas. 

▪ Garantir um processo de desenvolvimento seguro como parte integrada do ciclo de vida de desenvolvimento de software. Deve possuir um ambiente de produção segregado de forma física e lógica, de ambientes de testes ou desenvolvimento. 

▪ Assegurar que todas as conexões da rede da Docket a outras redes (externa e interna) sejam protegidas e segregadas. 

▪ Assegurar o gerenciamento dos incidentes de segurança da informação, incluindo a comunicação sobre fragilidades e eventos de segurança da informação. 

▪ Os incidentes devem ser classificados, registrados, tratados e devidamente comunicados para o time de Segurança da Informação da Docket tempestivamente, sempre que afetarem os serviços contratados ou houver comprometimento da confidencialidade, integridade e disponibilidade das informações da Docket, através do e-mail: si@docket.com.br , com cópia para os gestores da área relacionada ao incidente. 

▪ Manter logs e trilhas de auditoria para que possibilitem a rastreabilidade de ações não autorizadas. 

▪ Garantir a continuidade da segurança da informação nos sistemas de gestão de continuidade de negócios.

▪ O plano para recuperação dos processos críticos do negócio da Docket deve ser definido, incluindo os SLAs aplicáveis de acordo com o definido pela Docket. O plano deve ser implementado, testado, periodicamente revisado e compartilhado com a Docket. 

▪ Assegurar que a Segurança da Informação seja implantada e operada em conformidade com as políticas e procedimentos da Docket, a fim de evitar quaisquer violações de obrigações legais, regulamentares ou contratuais que afetem a Docket.

▪ Quando necessário, buscar orientação da área de Segurança da Informação da Docket, pelo e-mail: si@docket.com.br .

  1. ADEQUAÇÃO A LEI GERAL DE PROTEÇÃO DE DADOS

A LGPD foi promulgada com o intuito de regulamentar o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, tendo como principal objetivo a proteção dos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

  1. PRINCÍPIOS DA LGPD

De acordo com a lei, as atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

  1. FINALIDADE
  2. ADEQUAÇÃO
  3. NECESSIDADE
  4. LIVRE ACESSO
  5. QUALIDADE DOS DADOS
  6. TRANSPARÊNCIA
  7. SEGURANÇA
  8. PREVENÇÃO
  9. NÃO DISCRIMINAÇÃO
  10. RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS 

I. FINALIDADE

Partindo do entendimento de que a norma determina que todos os princípios sejam observados, de modo a cumprir com a adequação à LGPD, a Docket declara estar de acordo com o requisitado, atendendo a todos os princípios elencados conforme consta:

A finalidade para o tratamento de dados realizado pela Docket é atender a demanda requerida por nossos clientes/controladores, principalmente no que tange a obtenção de documentos requeridos em nossa plataforma. Todos os processos de tratamento de dados realizados pela Docket são especificados aos nossos clientes via Contrato e não há tratamento de dados após a entrega do documento ao cliente em nossa plataforma.

II. ADEQUAÇÃO

O tratamento de dados realizado pela Docket está devidamente adequado com as hipóteses definidas pela LGPD, uma vez que nosso principal foco é atender as demandas dos Controladores no que se refere a busca e obtenção de documentos para concretização de serviços contratados entre o Controlador e os Titulares.  

III. NECESSIDADE

O tratamento deve ser limitado ao mínimo necessário para atingir a finalidade proposta. A Docket preza pelo mínimo acesso à informação e aos dados dos nossos clientes. Em nosso formulário de pedido, apenas temos como dados obrigatórios aqueles que são exigidos pelos órgãos para emissão dos documentos. Quando necessário algum dado adicional, nós abrimos uma pendência com o cliente pela plataforma para solicitar a informação, e cabe ao cliente aprovar ou não essa concessão de dados adicionais, garantindo assim a limitação do tratamento mínimo necessário para a finalidade de emissão do documento.

IV. LIVRE ACESSO

Nossa plataforma está acessível aos nossos clientes 24X7. Os prazos do tratamento de dados são declarados em contrato de acordo com cada documento contido no checklist do cliente e o mesmo ainda pode observar o andamento do prazo em tempo real pela funcionalidade do tracking/progresso, no Shopping de Documentos. A integridade dos dados também pode ser observada da mesma maneira, visualizando o status do documento.

V. QUALIDADE DE DADOS

É garantido aos nossos clientes a exatidão e clareza do tratamento e seus dados por meio de contrato e observados em tempo real em nossa plataforma Shopping de Documentos. A atualização de dados é feita mediante criação de pendência com o cliente, feita pela plataforma, onde ele aprova a inclusão ou alteração dos dados necessários para emissão do documento requerido.

VI. TRANSPARÊNCIA

A transparência pode ser observada em todo o processo de emissão de documento com informações claras, precisas e de fácil acesso via Shopping de Documentos aos nossos clientes. Além do status do documento e do pedido, o cliente pode observar e acompanhar toda a troca de informações via pendência pela plataforma.

VII. SEGURANÇA

A Docket possui ferramentas de IPS e IDS na instância do nosso servidor da aplicação Shopping de Documentos com a garantia da proteção dos dados dos nossos clientes. Além disso, todos os dados são armazenados em servidores no Brasil e ficam numa Cloud privada altamente segura (AWS). A aplicação Shopping de Documentos é acessada via certificado HTTPS (SSL) e todas as informações são criptografadas no tráfego. Por fim, nosso ambiente possui redundância, alta disponibilidade e possui rotinas de Disaster Recovery. A aplicação Shopping de Documentos dispõe também de WAF (Web Application Firewall), para prevenir e impedir ataques maliciosos, impedindo assim a exposição de dados não autorizados.

VIII. PREVENÇÃO

Nosso time de Segurança da Informação trabalha de forma preventiva a fim de garantir que não haja nenhum dano relacionado aos dados pessoais dos nossos clientes. Contamos com auditorias internas e externas que apoiam essa finalidade e ferramentas de SI que apoiam esse processo tecnicamente. 

IX. NÃO DISCRIMINAÇÃO

A Docket não realiza nenhum tratamento de dados pessoais identificados com a finalidade de criação de perfil, bem como também não trata dados sensíveis e é observado em contrato, inclusive de trabalho com o nosso time que os dados devem ser unicamente tratados para a finalidade de emissão do documento.

X. RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS

A Docket possui um time de Controles internos e Auditoria interna que possui como responsabilidade garantir os controles internos e a execução dos processos de acordo com o que estabelecem as boas práticas que observamos, como LGPD e ISO 27001. Periodicamente somos auditados interna e externamente por esses controles na finalidade de tratamento de dados, inclusive.

  1. RESPONSABILIDADE COMPARTILHADA

A responsabilidade pelo correto tratamento dos dados pessoais dentro da empresa é compartilhada entre todos aqueles que atuam como operadores, sendo fundamental a cooperação de todos para que a empresa esteja sempre em conformidade com a lei, oferecendo segurança a todos os titulares de dados pessoais sob seu controle.

Nos termos dos art. 42 e seguintes da Lei Geral de Proteção de Dados (Lei Federal nº 13.709), o operador de dados pessoais que descumprir as diretrizes lícitas de proteção de dados do controlador – no caso a Docket – responderá como se também fosse controlador dos dados em questão, estando assim sujeito à responsabilidade cível, administrativa e criminal sobre o tratamento inadequado dos dados.

Segundo o regimento interno da Docket, a violação de segredos da empresa, concepção que inclui dados pessoais sob seu controle, poderá a critério exclusivo da Direção ser motivo para embasar a demissão por justa causa de colaboradores ou a rescisão de contrato de prestadores de serviços envolvidos na violação, sem prejuízo das ações de regresso cabíveis judicialmente.

  1. TRATAMENTO DE DADOS PESSOAIS NA DOCKET

A Docket entende que o tratamento dos dados pessoais realizado durante a prestação de seus serviços deve seguir os parâmetros e diretrizes estabelecidos nesta política. O Tratamento de Dados deve ser estritamente voltado às finalidades às quais a coleta das informações se destina, e devendo-se sempre respeitar os requisitos de segurança da informação estabelecidos nesta política com base na legislação vigente.

  1. NATUREZA DO TRATAMENTO

O tratamento de dados ocorre quando realizamos a entrega de nossos serviços contratados. Com a requisição do serviço, é possível que o contratante compartilhe em nossas aplicações, informações e documentos contendo dados pessoais, de acordo com o objetivo contratado.

O serviço requerido pelo cliente emite uma solicitação em nosso servidor, onde o dado pessoal do titular a que se refere o pedido é coletado e utilizado para a emissão deste documento ou serviço contratado.

Como a Docket é uma empresa de tecnologia cujo foco é atender a demandas burocráticas na seara da busca e obtenção de documentos forenses e cartorários, a principal natureza de suas atividades com relação ao tratamento de dados é a utilização de dados pessoais identificados em compartilhamento com órgãos públicos e governamentais. 

Aplicando, portanto, o princípio da finalidade, como sendo o requisito básico da legislação de proteção de dados para justificar o tratamento de dados, a Docket compreende que o serviço prestado encontra respaldo nas seguintes hipóteses elencadas por meio de incisos do artigo 7º da LGPD:

II – Para o cumprimento de obrigação legal ou regulatória pelo controlador;

V – Para a execução de contrato ou de procedimentos preliminares relacionados a contratos estabelecidos entre o Titular e o Controlador;

VI – Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

IX – Quando necessário para atender aos interesses legítimos do controlador ou do terceiro;

X – Para proteção do crédito.

Contudo, a Docket se reserva o direito de aplicar preventivamente todos os controles de segurança e legalidade disponíveis hoje no que tange a realizar uma prestação de serviços segura e em conformidade com a lei.

  1. SEGURANÇA E PRIVACIDADE DO TRATAMENTO

Para garantir o tratamento seguro dos dados, o acesso de cada colaborador da Docket ao banco de dados da empresa é individual e protegido por senha própria e intransferível. Assim, somente as pessoas autorizadas a manipular dados pessoais identificáveis de funcionários e contratados, por exemplo, poderão acessá-los.

Os dados pessoais devem ser manipulados apenas por pessoas que precisem lidar com eles. Este processo deve ser adotado de forma a reduzir o risco de um vazamento e uso inadequado da informação. 

Deve ser implementado um Procedimento de Gestão de Acessos, de modo que, o tratamento dos dados seja rastreável, seguro e seja possível identificar em cada situação quem são os operadores dos dados; diminuindo assim os riscos de um incidente na segurança da informação.

Para garantir que nenhum dos dados que são inseridos nos formulários de solicitação que a Docket recebe de seus clientes para emissão de documentos sejam utilizados indevidamente, todos são protegidos com diversos controles de segurança, onde inclusive, são armazenados temporariamente em nuvem com a devida certificação aos clientes dos quais estes dados provêm e com todos os métodos de proteção possíveis. Após utilização, os dados são devolvidos ou descartados, conforme acordado com os clientes via contrato.

 O acesso dos empregados e prestadores de serviço da Docket aos formulários com os dados pessoais e informações contidas no sistema informatizado dos nossos produtos e servidores é restrito à previsão da Ordem de Serviço e à função determinada para cada colaborador.

O mero acesso e/ou a utilização indevida de quaisquer dados pessoais recebidos pela empresa são terminantemente proibidos, sob pena de demissão por justa causa (ou rescisão do contrato de prestação de serviços) sem prejuízo da responsabilização cível e criminal cabível em âmbito judiciário.

  1. COLETA DOS DADOS PESSOAIS

As informações referentes a pessoas físicas somente devem ser coletadas na medida da necessidade para a prestação de serviços, e em todas as hipóteses cabíveis o consentimento para o tratamento dos dados deverá ser obtido em conformidade com a Lei Geral de Proteção de Dados.

O consentimento é requerido ao solicitar os dados aos clientes que forem pessoas físicas – quando necessário – através do aceite no campo apropriado do sistema, ou do aceite ao e-mail resposta com o qual a solicitação dos serviços for concluída, na fase comercial. O consentimento é requerido ao solicitar assinatura de termo apropriado quando da contratação de novos empregados, estagiários e prestadores de serviços.

  1. COMPARTILHAMENTO INTERNO DE DADOS PESSOAIS

Os dados pessoais referentes às solicitações de serviços recebidas, não podem ser compartilhados entre os colaboradores da Docket, a menos que tenha prévia autorização dos gestores, e que seja justificado o motivo do compartilhamento e a real necessidade de realizá-lo para cumprir com o serviço contratado. 

É vedado o envio de documentos, arquivos e dados por meio de canais de comunicação e de e-mails, sem que o mesmo seja previamente autorizado pelos gestores. O descumprimento desses requisitos de segurança será passível de sanções, conforme orientado no Código de conduta e ética da Docket. 

Os dados pessoais próprios dos colaboradores somente podem ser compartilhados com pessoas cuja função dentro da empresa exija que elas tenham acesso a eles. Por exemplo: dados referentes a saúde ocupacional, como atestados médicos, exames admissionais, entre outros, só podem ser compartilhados dentro da empresa com pessoas que sejam responsáveis pelo tratamento dessas informações, como o responsável pelo time de DP (Departamento Pessoal), não podendo ser compartilhados com alguém de outro time que não precise ter acesso a esses dados para o cumprimento de suas funções.

  1. COMPARTILHAMENTO EXTERNO DE DADOS PESSOAIS

O compartilhamento de dados pessoais com pessoas ou entidades externas à Docket deve ser restrito ao mínimo necessário para a execução dos contratos e prestações de serviços nos quais os titulares estão envolvidos, ou para o cumprimento de qualquer obrigação legal. Mesmo quando o tratamento envolver diretamente a prestação de serviços, o consentimento para este tratamento e compartilhamento deverá ter sido previamente obtido.

É vedado o compartilhamento externo de dados pessoais de clientes ou membros da empresa – por qualquer meio, telefônico, digital ou por escrito – sem autorização destes. O descumprimento deste requisitos de segurança serão passíveis de sanções, conforme orientado  no Código de conduta e ética da Docket.

  1. ELIMINAÇÃO DOS DADOS PESSOAIS

Quando atingida a finalidade do tratamento dos dados pessoais, e eles não mais precisarem ser armazenados para satisfazer quaisquer exigências legais, estes deverão ser devidamente eliminados física e digitalmente, com a comunicação desta eliminação ao titular nos casos em que ela se dê de maneira diversa àquela prevista no termo de consentimento aplicável.

A Docket também estabelece que contratualmente é possível realizar a devolução dos dados tratados durante a vigência do contrato, bem como também é possível realizar a exclusão dos mesmos, antes do término da relação contratual. Fica a critério do contratante definir quando se dará a eliminação ou devolução destes dados.

  1. AGENTES DE TRATAMENTO DE DADOS PESSOAIS

De acordo com a LGPD, existem apenas duas figuras que realizam o tratamento de dados, que são os chamados de “agentes do tratamento de dados”; eles recebem os títulos de Operador de Dados e Controlador de dados. 

O Controlador de Dados é a figura designada para tomar as decisões referentes ao tratamento de dados, enquanto que o Operador de Dados, é quem realiza o tratamento dos dados em obediência às instruções do controlador.

Haja vista o modelo de negócios da Docket, ser pautado na prestação de serviços contratados por clientes corporativos (modelo “b2b”); é de sumo conhecimento de todos que na relação contratual para o tratamento de dados, a Docket atue como sendo OPERADOR DE DADOS

Contudo, também é de conhecimento da Docket que, no que tange ao processo interno de Proteção da informação, gerenciamento de riscos e controle de auditoria interna de segurança da informação; a Docket atuará como Co controladora de dados, excepcionalmente no que se refere a decisões que contemplem Proteção de Dados e Segurança da Informação.

Ainda seguindo as determinações da legislação vigente de Proteção de Dados, temos a figura do ENCARREGADO DE DADOS (DPO) como sendo a pessoa indicada pela empresa para ser o responsável pela aplicação da Proteção de Dados na Docket, e por ser o canal de comunicação entre os controladores e a Autoridade Nacional de Proteção de Dados (ANPD). 

São atribuições do encarregado verificar os riscos existentes, apontar as medidas corretivas e avaliar periodicamente a segurança de dados pessoais dentro da empresa, devendo também realizar eventuais comunicações necessárias com os titulares ou com o poder público. 

Quaisquer questionamentos que surgirem no dia a dia da empresa acerca da proteção de dados pessoais devem ser levados ao Encarregado para que este possa orientar de imediato o operador ou buscar junto à ANPD e demais entidades especializadas uma orientação adequada ao questionamento levantado.

  1. RELATÓRIO DE IMPACTO E MAPEAMENTO DE DADOS

Dentro das exigências que a LGPD profere, estão elencados os RIPD – Relatório de Impacto da Proteção de Dados, e o mapeamento dos dados, das operações que realizam o tratamento e o inventário dos dados tratados. A Docket está adequada a essas exigências, haja vista termos em vigor internamente emitidos os documentos necessários supracitados.  

O Encarregado da Proteção de Dados Pessoais é o responsável por manter os relatórios exigidos atualizados e sob supervisão, e isso também inclui a de avaliação de riscos (risk & assessment) e dos impactos à proteção de dados pessoais, por meio do qual as medidas necessárias à segurança da informação poderão ser aplicadas, atualizadas, implementadas e avaliadas.

  1. PRESTAÇÃO DE CONTAS E TRANSPARÊNCIA

A Docket como sendo Operadora de Dados, deverá prover todas as informações requeridas pelos Controladores acerca do tratamento dos dados pessoais encaminhados, respeitando o direito da empresa de manter sigilo comercial quando cabível. A finalidade do tratamento deve ser sempre evidenciada e transparente.

Do mesmo modo, os possíveis parceiros ou fornecedores de serviços prestado à Docket, que contenham tratamentos de dados pessoais, seja de titulares terceiros, seja de titulares colaboradores da empresa, deverão prover todas as informações requeridas pela Docket acerca do tratamento realizado com seus dados, apresentando inclusive se solicitado, a finalidade para o tratamento realizado. 

Caso haja solicitação da prestação de informações sobre os dados pessoais tratados, o controlador dos dados deverá acionar o Encarregado de Dados, para que o mesmo verifique a melhor forma de prestar os esclarecimentos sobre os dados tratados e a proteção de sua privacidade.

  1. DISPOSIÇÕES GERAIS

A Docket reitera aos seus clientes, fornecedores, parceiros de negócios e colaboradores que este documento pode sofrer alterações periódicas, visando sempre o aumento da proteção e abrangências de seus requisitos e controles de segurança, e que os requisitos desta Política Global não são exaustivos, e são aplicados e aplicáveis a todas as linhas de operações, interna e externa, independente do tratamento de dados realizados. 

11. CONTATO

    Estamos à disposição para esclarecer suas dúvidas e colocar você no controle dos seus dados pessoais. Para solicitar informações sobre como seus dados pessoais estão sendo tratados, você poderá consultar o nosso Data Protection Officer através do e-mail: dpo@docket.com.br