Política de privacidade

POLÍTICA DE GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS MISS MAIS  Esta Política de Governança em Privacidade e Proteção de Dados Pessoais ("Política") compreende os princípios e os padrões de conduta que guiarão a atuação da AZUELOS E SARAIVA COMERCIO DE CONFECÇÕES LTDA (“MISS MAIS”) com relação a todos os dados pessoais que estejam sob seu controle, independentemente do meio pelo qual tais dados pessoais foram coletados, recebidos, obtidos ou gerados pela MISS MAIS. Para tanto, essa Política impõe e demonstra que o gerenciamento de dados pessoais feito pela MISS MAIS observa os princípios que regem a legislação de proteção de dados pessoais, além de estabelecer uma estrutura de responsabilidade focada na implementação e manutenção das práticas de governança em privacidade.  ESCOPO São dados pessoais sujeitos a esta política, na forma de legislação aplicável, toda e qualquer informação relacionada a uma pessoa natural identificada ou que possa ser identificada mediante esforços razoáveis da MISS MAIS, ou ainda que possa ser individualizada por meio do tratamento dado a essas informações pela MISS MAIS, mesmo sem que seja identificada. Isso inclui informações sobre clientes, colaboradores, fornecedores e prestadores de serviços, além de outras pessoas que se relacionem com a MISS MAIS. APLICAÇÃO A Política aplica-se a todos os colaboradores, diretores e administradores, conselheiros, parceiros, fornecedores e prestadores de serviços envolvidos nas operações de tratamento de dados pessoais controlados MISS MAIS.   OBJETIVOS A MISS MAIS respeita a privacidade e a autodeterminação informativa das pessoas cujos dados pessoais estejam sob seu controle, pautando-se sempre pela boa fé e pelo uso ético desses dados. A MISS MAIS nunca participará de nenhum tipo de comércio ilícito de dados pessoais e sempre agirá de modo a preservar os direitos e liberdades dos cidadãos afetados pelo tratamento de dados pessoais feito pela MISS MAIS. Como forma de atingir esses objetivos, esta Política também delimita as atribuições do Encarregado pelo Tratamento de Dados Pessoais (o “Encarregado”) e estabelece a criação de um Comitê de Privacidade para implementar e manter as boas práticas de governança em privacidade e proteção de dados pessoais da companhia.  PRINCÍPIOS As práticas relacionadas à coleta, utilização, compartilhamento, manutenção, exclusão e, enfim, tratamento de dados pessoais, pela MISS MAIS, observarão os seguintes princípios, que devem ser seguidos por todos os seus colaboradores, diretores e administradores, conselheiros, parceiros, fornecedores e prestadores de serviços em suas atividades: Finalidade: o tratamento de dados pessoais sempre será realizado para propósitos legítimos, específicos, explícitos e informados ao titular, bem como compatíveis com os interesses e atividades empresariais da MISS MAIS, de acordo com os objetivos de seus negócios, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. Adequação: o tratamento de dados pessoais sempre será compatível com finalidades informadas ao titular, de acordo com o contexto do tratamento. Necessidade: o tratamento de dados pessoais, inclusive sua coleta e guarda pela MISS MAIS, será limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados. Livre acesso: a MISS MAIS garantirá aos titulares a consulta facilitada e gratuita sobre a forma e a duração do tratamento de seus respectivos dados pessoais, bem como acesso à integralidade de seus dados pessoais tratados pela MISS MAIS, salvo nos casos em que seja legítimo recusar-lhes tal acesso devido às finalidades e circunstâncias da utilização desses dados pessoais. Qualidade dos dados: a MISS MAIS garantirá aos titulares que seus dados pessoais estarão exatos, claros e atualizados, bem como que apenas dados pessoais relevantes serão tratados pela MISS MAIS, de acordo com a necessidade e para o cumprimento das finalidades específicas de seu tratamento. Transparência: na medida do possível, a MISS MAIS fornecerá informações claras, precisas e facilmente acessíveis sobre a realização de tratamento de dados pessoais aos respectivos titulares, assim como os respectivos agentes de tratamento. Segurança e confidencialidade: a MISS MAIS adotará medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, sempre aplicando os padrões de segurança adequados aos riscos específicos de cada atividade e observando o estado da técnica e melhores práticas de mercado aplicáveis. Prevenção e mitigação de danos: serão adotados os melhores esforços, pela MISS MAIS, para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais e para mitigá-los ou repará-los caso venham a ocorrer. Não discriminação e tratamento ético dos dados pessoais: nunca será feito nenhum tratamento para fins discriminatórios, antiéticos, ilícitos ou abusivos. Responsabilização e prestação de contas: a MISS MAIS adotará medidas para confirmar e demonstrar a eficácia de seu programa de governança em privacidade e proteção de dados, inclusive no cumprimento da legislação aplicável. DIRETRIZES PARA O TRATAMENTO DE DADOS PESSOAIS Todo e qualquer dado pessoal coletado, recebido, obtido ou gerado pela MISS MAIS, deve estar atrelado a uma ou mais finalidades, que deverão ser validadas, registradas e, da melhor forma possível, comunicadas aos respectivos titulares. Nenhum dado pessoal será coletado, recebido, obtido ou gerado pela MISS MAIS se não for necessário para uma ou mais finalidades certas e determinadas. Todo dado pessoal terá seu ciclo de vida controlado e registrado desde o momento em que a MISS MAIS passar a ter controle do dado pessoal até o momento de seu descarte definitivo. A MISS MAIS realiza o tratamento de diversos tipos de dados pessoais, com as seguintes finalidades em geral: Dados de seus diretores, administradores e gestores, para a tomada e registro de decisões de gestão administrativa e jurídica da companhia, bem como alteração de seus documentos societários. Dados de seus acionistas, para relações institucionais, convocações de assembleias, registro de votos, distribuição de dividendos e realização de direitos e obrigações de natureza societária. Dados de todos os seus colaboradores e prestadores de serviços, para fins relacionados ao cumprimento de seus contratos de trabalho ou de prestação de serviços, ao respectivo pagamento, comunicação interna e à direção das tarefas realizada, bem como aqueles dados necessários para reporte do cumprimento do contrato às entidades e autoridades de fiscalização competentes, na forma da lei, e para o exercício dos direitos correspondentes.   Dados de colaboradores e dependentes também são necessários para realizar a gestão de benefícios contratuais e previdenciários concedidos a essas pessoas. Dados de fornecedores de bens e serviços, para fins relacionados ao cumprimento dos contratos firmados com a MISS MAIS e exercício dos direitos correspondentes. Dados de clientes, com a finalidade de contratar, entregar e gerenciar o fornecimento de produtos da MISS MAIS, o que implica coleta, acesso, processamento e guarda, inclusive, de dados não apenas cadastrais, mas também financeiros, de localização de clientes que sejam necessários ao fornecimento de produtos, pela sua própria natureza. Dados cadastrais e financeiros de clientes também serão compartilhados com as autoridades competentes com relação ao fornecimento de produtos pela MISS MAIS, seguindo a legislação aplicável. Dados de usuários de websites da MISS MAIS, para propósitos específicos na forma de seus respectivos avisos e políticas de privacidade. As atividades de tratamento de dados pessoais realizadas pela MISS MAIS estarão sempre embasadas em uma autorização legal e registradas em documentos ou sistemas específicos para controle dos riscos de seu tratamento, adoção de medidas de mitigação desses riscos e limitação da circulação interna e externa dos dados pessoais. Somente as pessoas que tenham estrita necessidade de acesso a determinadas categorias de dados pessoais terão acesso a eles, levando-se em conta o papel que desempenharem na MISS MAIS com relação à tarefa que necessitar de determinados dados pessoais e reduzindo-se a informação acessada ao mínimo necessário por meio de medidas técnicas e organizacionais adequadas. Documentos físicos e digitais contendo dados pessoais serão armazenados enquanto suas finalidades específicas subsistirem. Dados pessoais, em quaisquer suportes, serão eliminados de forma segura e irrecuperável imediatamente após o esgotamento de todas as suas finalidades lícitas e legítimas, quando for atingido o prazo de salvaguarda para cumprimento de obrigações legais ou exercício de direitos, ou no caso de alguma solicitação do respectivo titular que obrigue a MISS MAIS à exclusão desses dados pessoais.  Todo e qualquer tratamento de dados pessoais em que a MISS MAIS identificar dano provável aos direitos e liberdades fundamentais dos titulares, bem como o tratamento de dados pessoais sensíveis, no termos da Lei, serão objeto de avaliação de impacto à proteção de dados pessoais em que serão levantados os riscos esperados e medidas adequadas para sua mitigação, prevenção ou eliminação. A MISS MAIS, por meio de seu Encarregado pelo Tratamento de Dados Pessoais e seu Comitê de Privacidade, trabalhará no desenvolvimento e implantação de políticas e normas de boas práticas para garantir o tratamento adequado dos dados pessoais nos termos acima, as quais serão levadas à deliberação da Diretoria da companhia no âmbito das respectivas atribuições, competindo a direção a adoção, implantação e monitoramento de políticas gerais e decisões que possam afetar a companhia no longo prazo ou seu valor acionário e competindo à Diretoria a adoção, implantação e monitoramento de normas corporativas de processos e políticas específicas de áreas de negócios, bem como as decisões de dia-a-dia aceca de privacidade e proteção de dados pessoais. COMPARTILHAMENTO DE DADOS PESSOAIS  Dados pessoais somente serão compartilhados, transferidos ou divulgados a quaisquer pessoas, empresas e entidades públicas e privadas pela MISS MAIS conforme sejam estritamente necessários para o cumprimento de finalidades legítimas, específicas, expressas e registradas pela MISS MAIS e mediante o uso de contratos ou outros instrumentos e mecanismos que prevejam a observância dos preceitos desta Política e das leis e regulamentos de proteção de dados pessoais aplicáveis pela outra parte, bem como permitam a fiscalização e auditoria desse cumprimento pela MISS MAIS.  A MISS MAIS adotará procedimentos para certificar-se de que apenas compartilhará dados pessoais com empresas e entidades privadas que adotem medidas técnicas e administrativas suficientes para garantir a adequada segurança e proteção dos dados pessoais de acordo com os riscos a que estejam expostos, a salvaguarda dos direitos e liberdades fundamentais dos respectivos titulares e a responsabilização do terceiro perante a MISS MAIS pelas ações e omissões que praticar.  O compartilhamento, transferência e divulgação de dados pessoais para autoridades públicas e entidades governamentais será limitado ao mínimo necessário para o cumprimento de obrigações legais e regulatórias, para o cumprimento de ordens judiciais e requisições das autoridades competentes, e para a defesa ou exercício de direitos da MISS MAIS ou de terceiros. Nessas condições, a legalidade e legitimidade da ordem ou obrigação, a competência do requisitante, a extensão do dever e as respectivas consequências sempre serão avaliadas antes de se conceder acesso das autoridades ou órgãos públicos aos dados pessoais em questão. SEGURANÇA DE INFORMAÇÃO A MISS MAIS sempre adotará medidas técnicas e organizacionais de segurança de informação compatíveis com o estado da técnica e com o nível de risco avaliado para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência de seus sistemas informáticos, bancos de dados, arquivos físicos e outros repositórios de informações, de modo a evitar acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão de dados pessoais. Os riscos e as medidas e protocolos adotados serão registrados em políticas e outros documentos normativos de aplicação obrigatória às pessoas sob responsabilidade da MISS MAIS, devendo ser revisados e atualizados com frequência razoável e na ocorrência de eventos relevantes. A MISS MAIS também manterá um plano de resposta a incidentes de segurança que garanta a rápida avaliação, interrupção, remediação e, quando necessário, mitigação e reparação dos danos eventualmente causados pelos incidentes. Serão mantidos registros de incidentes de segurança, identificando as categorias e titulares de dados pessoais eventualmente afetados, para possibilitar a comunicação imediata desses incidentes às autoridades competentes e aos respectivos titulares na forma da lei, comprometendo-se a MISS MAIS a auxiliá-los de boa-fé na mitigação ou reparação dos danos efetivamente sofridos. DIREITOS DOS TITULARES DE DADOS PESSOAIS A MISS MAIS compromete-se a adotar medidas efetivas para a garantia de todos os direitos dos titulares de dados pessoais controlados, conforme especificados pela LGPD - Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709, de 14 de agosto de 2018) e demais leis e regulamentos brasileiros aplicáveis à privacidade e proteção de dados pessoais. Em especial, são direitos legais dos titulares de dados pessoais: confirmação da existência de tratamento de seus dados pessoais pela MISS MAIS e acesso aos dados; correção de dados pessoais incompletos, inexatos ou desatualizados sob controle da MISS MAIS; anonimização, bloqueio ou eliminação de dados pessoais desnecessários, excessivos ou tratados pela MISS MAIS em desconformidade com o disposto nesta Lei, bem como oposição ao tratamento de dados pessoais pela MISS MAIS nas mesmas circunstâncias; portabilidade dos dados a outra pessoa jurídica semelhante à MISS MAIS, mediante requisição expressa e observados os segredos de negócio da MISS MAIS, conforme este direito venha a ser regulamentado pelo poder público; informação das entidades públicas e privadas com as quais a MISS MAIS venha a realizar uso compartilhado de dados pessoais; informação sobre a possibilidade de não fornecer consentimento para o tratamento de dados pessoais pela MISS MAIS e sobre as consequências da negativa de consentimento, bem como os direitos à retirada desse consentimento a qualquer tempo e à eliminação dos dados pessoais tratados com base nele, podendo esses dados ser mantidos pela MISS MAIS para o uso exclusivo em outras finalidades lícitas que não dependam do consentimento ou mediante anonimização; possibilidade de revisão de decisões que afetem seus interesses e forem tomadas pela MISS MAIS unicamente com base em tratamento de dados pessoais de forma automatizadas. A MISS MAIS adotará normas, controles e processos atualizados que garantam a apresentação das devidas informações aos respectivos titulares de dados pessoais, preferencialmente no momento ou no contexto da coleta desses dados ou na primeira oportunidade após o seu recebimento ou obtenção, limitado às hipóteses em que não seja viável ou haja justo motivo para não proceder à entrega de determinadas informações aos titulares. A MISS MAIS também adotará normas, controles e processos atualizados que garantam a resposta aos direitos dos titulares sem demora, dentro dos prazos previstos em lei ou nos regulamentos aplicáveis para essa resposta, de forma gratuita e mediante confirmação prévia e adequada da identidade do titular requisitante. Serão mantidos canais de contato direto com o Encarregado pelo Tratamento de Dados Pessoais para que os titulares possam exercer seus direitos, fazer reclamações e solicitações, bem como enviar sugestões com relação às práticas da MISS MAIS. Também serão criados canais facilitados para as diversas categorias de titulares de dados pessoais com maior circulação de dados nas atividades da MISS MAIS, na medida do possível. ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS E COMITÊ DE PRIVACIDADE A MISS MAIS indicará e manterá como seu Encarregado pelo Tratamento de Dados Pessoais um colaborador ou consultor externo com conhecimento teórico e prático sobre proteção de dados pessoais e segurança de informação, cujas atribuições serão: Atuar com independência, imparcialidade, decoro e boa-fé; Assessorar a Diretoria e outras instâncias de decisão da companhia com relação a comunicações, requisições e intimações da ANPD - Autoridade Nacional de Proteção de Dados, CVM - Comissão de Valores Mobiliários e outras autoridades com relação a privacidade e proteção de dados pessoais, a solicitações e reclamações de titulares e incidentes de segurança, bem como em outras decisões que possam ter impacto à privacidade ou à proteção de dados pessoais de quaisquer pessoas; Receber e dar encaminhamento interno a comunicações, requisições e intimações da ANPD, Bacen e outras autoridades com relação a privacidade e proteção de dados pessoais, bem como apresentar resposta à autoridade após aprovação pelo Conselho de Administração; Receber e dar encaminhamento interno a solicitações e reclamações de titulares de dados pessoais, bem como apresentar resposta da companhia aos titulares após aprovação da Diretoria. Esclarecer dúvidas de titulares de dados pessoais quanto às práticas da companhia com relação a seus dados pessoais. Orientar os colaboradores, contratados e terceirizados da MISS MAIS com relação às políticas e práticas em vigor da companhia relativas à privacidade e proteção de dados pessoais. Participar de times de resposta a incidentes de segurança e comunicá-los à ANPD e aos titulares afetados em nome da MISS MAIS quando necessário, após aprovação pela Direção.  Participar como consultor na revisão e no estabelecimento de processos da companhia que possam trazer risco relevante à privacidade ou à proteção de dados pessoais de quaisquer pessoas (e.g. vazamentos, desvio de finalidade e tratamento ilícito de dados pessoais). Participar na elaboração e revisão das cláusulas, minutas e documentos relacionados com o compartilhamento e transferência de dados pessoais e das políticas e avisos de privacidade da companhia para colaboradores, consumidores, intranet, usuários de sites etc. Controlar periodicidade e coordenar as revisões dos registros de operação de tratamento de dados pessoais e das normas internas relativas à privacidade, proteção de dados pessoais e segurança de informação. Acompanhar a evolução das leis, regulamentos e boas práticas de privacidade, proteção de dados pessoais e segurança de informação. Coordenar projetos de implantação e auditar processos e práticas relativas à privacidade, proteção de dados pessoais e segurança de informação, levando suas conclusões à Diretoria e demais instâncias de decisão da companhia. Participar na seleção e auditar prestadores de serviços com potencial de risco relevante à privacidade e proteção de dados pessoais. Recomendar e dirigir a realização de avaliações de interesse legítimo, avaliações de impacto à privacidade e outras avaliações de riscos relacionados à proteção de dados pessoais, discutir seus resultados com os líderes dos projetos afetados e, se necessário, levar suas conclusões às instâncias de decisão competentes. Recomendar e dirigir a realização de relatórios de impacto à proteção de dados pessoais e encaminhá-los à ANPD após aprovação pelo Comitê de Governança Interna. Participar do estabelecimento e revisão de processos e diretrizes de minimização de dados pessoais, eliminação de dados pessoais, “privacy by design” (i.e. garantir a proteção de dados pessoais desde a concepção de um projeto/atividade) e “privacy by default” (i.e. garantir o maior nível de privacidade possível quando houver alternativas ou escolhas). Ser informado de todas as novas atividades e processos da companhia que tenham potencial de risco relevante à privacidade e proteção de dados pessoais. Constituir e participar em grupos de trabalho relacionados a melhorias na gestão de privacidade e mitigação de riscos à privacidade e proteção de dados pessoais. Todos os temas relativos à privacidade e proteção de dados pessoais serão levados pelo Encarregado à discussão e aprovação da instância de decisão apropriada, incluindo a necessidade de avaliação, implantação ou revisão de novas normas, processos e políticas, respostas a comunicações e notificações, endereçamento de incidentes e respostas a solicitações de exercícios de direitos. Temas urgentes relativos à privacidade e proteção de dados pessoais que caibam à deliberação da Diretoria poderão ser levados à deliberação e aprovação quando, no julgamento do Encarregado, tal deliberação não puder esperar pela discussão, devendo ser ratificadas. A Direção da MISS MAIS compromete-se a garantir a independência do Encarregado pelo Tratamento de Dados Pessoais na realização de suas funções e o acesso direto à Diretoria e às demais instâncias executivas da MISS MAIS para que possam ser tomadas as decisões necessárias com relação a questões que impactem a privacidade e a proteção de dados pessoais sob controle da MISS MAIS. Também serão garantidos ao Encarregado pelo Tratamento de Dados Pessoais o acesso a todas as informações sobre novas atividades e processos da MISS MAIS que tenham potencial de risco relevante à privacidade e proteção de dados pessoais e demais informações relevantes às suas atribuições, independentemente de sua classificação de confidencialidade, desde que observadas as políticas e normas corporativas aplicáveis para garantir seu sigilo e segurança. Para auxiliar os trabalhos do Encarregado e alimentá-lo com informações sobre os diversos processos e atividades da companhia, a MISS MAIS manterá um Comitê de Privacidade permanente, composto por qualquer quantidade de colaboradores das diversas áreas da companhia sugeridas pelo Encarregado. Os deveres dos integrantes do Comitê de Privacidade são: •    Atuar como embaixadores da cultura de privacidade e proteção de dados pessoais controlados pela MISS MAIS e como aliados na governança em privacidade e proteção de dados pessoais; Analisar as questões relativas à privacidade e proteção de dados trazidas pelo Encarregado e levantar informações das diversas áreas da companhia que sejam necessárias para a realização de seus trabalhos; Reunir-se para discussão e deliberação mediante convocação do Encarregado, inclusive de forma imediata e fora da jornada de trabalho habitual em caso de emergência envolvendo incidentes de segurança;     •    Discutir e participar da elaboração de normas, políticas, relatórios e documentos sob coordenação do Encarregado; •    Auxiliar o Encarregado em todas as suas atribuições. O Comitê de Privacidade manterá estrito sigilo sobre assuntos que digam respeito às discussões havidas no âmbito de suas atribuições. RESPONSABILIDADES Cada colaborador, diretor, prestador de serviço e contratado da MISS MAIS é responsável pelos próprios atos com relação às atividades de tratamento de dados pessoais, pelo cumprimento desta Política e demais normas aplicáveis, bem como por possibilitar a boa realização dos trabalhos do Encarregado pelo Tratamento de Dados Pessoais e do Comitê de Privacidade. Os diretores, administradores, conselheiros e gestores respondem, ainda, pela garantia das boas práticas de tratamento de dados pessoais pelos colaboradores e terceiros sob sua responsabilidade, de acordo com suas atribuições. O Encarregado pelo Tratamento de Dados Pessoais somente responderá pela sua atuação com dolo, má-fé ou negligência em suas atribuições, sendo resguardado contra responsabilidade pessoal pelos atos e decisões executivas da MISS MAIS. Todos os colaboradores, prestadores de serviço e contratados da MISS MAIS têm o dever de auxiliar o Encarregado pelo Tratamento de Dados Pessoais em suas funções e a zelar pela governança e boas práticas de privacidade e proteção de dados pessoais da MISS MAIS. COMUNICAÇÃO A MISS MAIS manterá controles e processos que garantam a pronta resposta aos direitos dos titulares e requisições das autoridades competentes com relação a proteção de dados pessoais, disponibilizando os seguintes canais de contato direto com o Encarregado pelo Tratamento de Dados Pessoais para que os titulares possam exercer seus direitos, fazer reclamações e solicitações, bem como enviar sugestões: AZUELOS E SARAIVA COMÉRCIO E CONFECÇÕES LTDA.   A/C Encarregado pelo Tratamento de Dados Pessoais Adriana Magalhães Azuelos E-mail: sac@missmais.com.br