Foto de uma mulher tocando a tela de um tablet

Política de Privacidade e Proteção de Dados Pessoais

1. Objetivo

A Política de privacidade e proteção de dados pessoais (“Política”) descreve as diretrizes da Fundação Itaúsa Industrial a serem aplicadas aos dados pessoais de seus dirigentes, colaboradores, participantes dos planos de benefícios e seus parceiros, que são coletados, utilizados e, quando necessário, inclusive por obrigação legal, compartilhados com terceiros, como parceiros de negócios, fornecedores e outras organizações com quem a Fundação Itaúsa Industrial possua ou possa vir a ter uma relação de negócio.

A Fundação Itaúsa Industrial reconhece a importância da proteção de dados pessoais e tem como prática seu tratamento de forma responsável, em conformidade com o disposto na lei nº 13.709, de 14 de Agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (“LGPD”).

Esta Política estabelece, ainda, os princípios que devem reger a Fundação Itaúsa Industrial na proteção de dados pessoais, garantindo, em todo caso, o cumprimento da legislação. Em particular, esta Política tem a finalidade de garantir o direito à proteção dos dados pessoais da pessoa natural.

2. Definições

Dado pessoal: Informação relacionada a pessoa natural (pessoa física) identificada ou identificável.
Dado sensível: Qualquer dado que possa trazer algum tipo de discriminação quando do seu tratamento (ex.: origem racial, convicção religiosa, dados referentes à saúde, dados genéticos e biométricos).
Tratamento: Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, ocorrida dentro da fronteira física do Brasil.
Titular: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Consentimento: Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Controlador: Refere-se à Fundação Itaúsa Industrial.
Operador: Refere-se a qualquer pessoa física ou jurídica que realize o tratamento de dados pessoais em nome da Fundação Itaúsa Industrial.
Eliminação: Exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

3. Princípios

A Fundação Itaúsa Industrial levará em conta e respeitará os seguintes princípios legais:

I – Finalidade: Realizar o tratamento dos dados pessoais para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – Adequação: O tratamento dos dados pessoais sempre será compatível com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – Necessidade: O tratamento dos dados pessoais será limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pessoais pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados pessoais;
IV – Livre acesso: Garantir aos titulares a consulta facilitada e gratuita sobre a forma e a duração do tratamento dos dados pessoais, bem como sobre a integralidade de seus dados pessoais;
V – Qualidade dos dados: Garantir aos titulares a exatidão, clareza, relevância e atualização dos seus dados pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – Transparência: Garantir, aos titulares, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e as partes envolvidas no tratamento, sendo observados os segredos comercial e industrial;
VII – Segurança: Utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – Prevenção: Adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – Não discriminação: O tratamento de dados pessoais não poderá ser usado para fins discriminatórios ilícitos ou abusivos;
X – Responsabilização e prestação de contas: Adotar medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

4. Escopo

Esta Política se aplica a quaisquer dados pessoais tratados em território nacional pela Fundação Itaúsa Industrial, incluindo os relativos a seus dirigentes, colaboradores, participantes dos planos de benefícios, clientes, prestadores de serviços, fornecedores, consultores externos e parceiros comerciais.

Esta Política não contempla o tratamento de dados anonimizados, que são dados que não possuem a possibilidade de associação, direta ou indireta, a uma pessoa natural.

5. Papéis e responsabilidades

A proteção dos dados pessoais é um dever da Fundação Itaúsa Industrial e de todos aqueles que possuam cargo, função, posição e/ou relação societária, empregatícia, comercial, profissional, contratual ou de confiança com a Entidade.

A Fundação Itaúsa Industrial designará o responsável pela função de Data Privacy Officer (DPO), que poderá ou não ser colaborador, e será responsável por:

• Atender reclamações e comunicações dos titulares, prestar
esclarecimentos e adotar providências;
• Receber comunicações da autoridade nacional de proteção de dados e adotar providências;
• Orientar os funcionários e os contratados da Entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
• Executar as demais atribuições determinadas pela Fundação Itaúsa Industrial ou estabelecidas em normas complementares.

6. Procedimentos de segurança da informação

O objetivo da Fundação Itaúsa Industrial é proteger os dados pessoais dos titulares e mantê-los sempre precisos e protegidos. Para tanto, possui salvaguardas físicas, administrativas e técnicas razoáveis para proteger os dados pessoais dos titulares de acessos, utilização ou divulgação não autorizados.

Nos contratos celebrados com nossos fornecedores, é exigido que os dados pessoais por ventura compartilhados sejam sempre protegidos do acesso, utilização ou divulgação não autorizados.

7. Direitos do titular

O titular tem direito a obter, em relação aos seus dados pessoais tratados, a qualquer momento e mediante requisição:

I – Confirmação da existência de tratamento de dados pessoais;
II – Acesso aos dados pessoais;
III – Correção de dados incompletos, inexatos ou desatualizados;
IV – Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
V – Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial;
VI – Eliminação dos dados pessoais tratados com o consentimento do titular, exceto em hipóteses específicas, como cumprimento de obrigação legal ou
regulatória;
VII – Informação das entidades públicas e privadas com as quais a Fundação Itaúsa Industrial realizou uso compartilhado de dados;
VIII – Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX – Revogação do consentimento.

Caso solicitado pelo titular, a Fundação Itaúsa Industrial deverá elaborar uma declaração de livre acesso, com a confirmação de existência ou o acesso a dados pessoais. Esta declaração deverá ser enviada em formato simplificado, imediatamente, ou por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial.

Ademais, dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso. As informações e os dados poderão ser fornecidos, a critério do titular por meio eletrônico, seguro e idôneo para esse fim ou sob forma impressa.

A declaração deverá ser fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.

8. Obtenção do consentimento do titular

A atividade de tratamento de dados pessoais somente deverá ocorrer mediante consentimento prévio do titular dos dados pessoais, que deverá ser claro, dado livremente, específico e informado, sem a existência de vícios de consentimento. Previamente ao início da atividade de tratamento dos dados pessoais, deverá ser informado ao titular:

• As finalidades do tratamento;
• A forma e a duração do tratamento dos dados pessoais, guardados os segredos comercial e industrial;
• As limitações do tratamento;
• Os terceiros que terão acesso aos dados pessoais (e porque eles terão acesso);
• Os países em que os dados serão enviados e o porquê;
• Responsabilidades da Fundação Itaúsa Industrial e os direitos do titular.

O consentimento deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.

O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular. Caso o titular revogue seu consentimento, a atividade de tratamento de dados deverá ser interrompida imediatamente, guardadas as disposições legais.

9. Dispensa do consentimento do titular

O tratamento de dados pessoais independe do consentimento do titular nos seguintes casos:

• Para o cumprimento de obrigação legal ou regulatória da Fundação Itaúsa Industrial;
• Para o tratamento e uso compartilhado de dados necessários à
execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
• Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
• Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
• Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
• Para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
• Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados
pessoais; ou
• Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

10. Tratamento de dados pessoais sensíveis

Exceto nas ocasiões que for indispensável para o cumprimento de obrigação legal, regulatória e demais previsões legais, o tratamento de dados sensíveis na forma da lei, somente poderá ocorrer mediante o consentimento do titular ou seu responsável legal em forma específica e destacada, para finalidades específicas.

11. Tratamento de dados pessoais de crianças e adolescentes

O tratamento de dados pessoais de crianças e adolescentes deve seguir a mesma lógica adotada para os dados pessoais de maior capaz, porém, deverá o menor ser representado ou assistido na forma da legislação em vigor. Somente poderão ser coletados dados pessoais de crianças sem o consentimento na ocasião em que a coleta proteger o menor.

Nesse caso, a coleta deve ser realizada uma única vez e sem armazenamento, e em nenhum caso os dados pessoais de crianças e adolescentes poderão ser repassados a terceiros sem o consentimento.

Excetua-se da situação acima, a ocorrência de formalização, pelo menor de 18 anos de idade, de adesão aos planos de benefícios administrados pela Fundação Itaúsa Industrial.

12. Transferência internacional de dados

O tratamento de dados pessoais pode resultar em transferências de dados pessoais com parceiros e fornecedores da Fundação Itaúsa Industrial localizados no exterior.

13. Término do tratamento de dados

O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

I – Verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
II – Fim do período de tratamento;
III – Comunicação do titular, inclusive no exercício de seu direito de revogação do consentimento conforme disposto no § 5º do art. 8º da LGPD, resguardado o interesse público; ou
IV – Determinação da autoridade nacional, quando houver violação ao disposto na LGPD.

O término do tratamento de dados não necessariamente implicará na
eliminação definitiva dos mesmos, na forma da legislação em vigor.

14. Eliminação dos dados

Os dados pessoais serão eliminados após o término de seu tratamento, no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:

I – Cumprimento de obrigação legal ou regulatória pela Fundação Itaúsa Industrial;
II – Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
III – Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD; ou
IV – Uso exclusivo da Fundação Itaúsa Industrial, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Os dados pessoais poderão ser arquivados após o período de retenção quando não forem mais necessários para a atividade de tratamento, embora sempre respeitando os limites legais e regulatórios de armazenamento de documentos e para proteger os interesses jurídicos e econômicos da Fundação Itaúsa Industrial.

15. Vigência e atualização

Esta Política será revisada e/ou alterada a qualquer tempo quando for constatada necessidade de atualização do seu conteúdo. Os ajustes em processos internos, documentações, formalizações, aprovações de cláusulas contratuais relativas a Lei Geral de Proteção de Dados e o que mais for necessário em termos operacionais e relativos à administração da Entidade, serão objeto de deliberação pela Diretoria Executiva.

Política de privacidade e proteção de dados pessoais, aprovada em reunião de Conselho Deliberativo realizada em 27 de maio de 2020.