PRIVACIDADE E PROTEÇÃO DE DADOS
1. OBJETIVO
1.1. Apresentar aos colaboradores da COPI OPERADORA PORTUÁRIA DO ITAQUI (“COPI”) as diretrizes da proteção aos dados pessoais, além de estabelecer as suas responsabilidades e os limites de atuação em relação aos dados pessoais.
1.2. A Alta Diretoria da COPI está comprometida e apoia as diretrizes estabelecidas nesta Política, bem como na legislação aplicável, fortalecendo os negócios, as parcerias e as relações com os Titulares dos dados pessoais.
2. DEFINIÇÕES E SIGLAS
Agentes de Tratamento
O Controlador e o Operador.
Autoridade Nacional de Proteção de Dados – ANPD
Órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento da Lei de Proteção de Dados Pessoais aplicável.
Avaliador do Legítimo Interesse
Colaborador responsável pela avaliação do legitimo interesse do processo de negócio de sua área que envolva o tratamento dos dados pessoais baseado no legitimo interesse.
Colaborador
Empregado, estagiário, temporário ou jovem aprendiz, que venha a ter relacionamento profissional, diretamente, com a COPI.
Compartilhamento de dados pessoais
Comunicação, difusão, transferência nacional ou internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos, entidades ou pessoais, e para uma ou mais modalidades de tratamento.
Consentimento
Manifestação livre, informada e inequívoca pela qual o Titular dos dados pessoais concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Controlador
Pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Dado anonimizado
Dado que não identifica de forma direta ou indireta um titular dos dados pessoais, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Dado pessoal
Informação relacionada à pessoa física identificada ou identificável.
Dado pessoal sensível
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física.
Dados de saúde
Dados sensíveis que permitem inferir informações referentes à saúde do titular.
Encarregado pelo tratamento de dados pessoais: Pessoa física ou jurídica indicada pela COPI e que atua como canal de comunicação entre a COPI com os Titulares dos dados pessoais ou a ANPD.
Operador: Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.
Tabela de temporalidade
Documento que visa fornecer a diretriz legal para garantir que registros, documentos e Dados Pessoais sejam adequadamente protegidos e mantidos enquanto durar o seu tratamento e pelo prazo mínimo legal que decorrerá de seu término (“Prazo Legal de Retenção”) em conformidade com a legislação brasileira, em especial a Lei 13.709 (Lei Geral de Proteção de Dados – “LGPD”).
Titular dos dados pessoais: Pessoa física a quem se referem os dados pessoais que são objeto de tratamento.
Tratamento de Dados Pessoais: Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Violação de Dados Pessoais: Destruição, perda, alteração, divulgação acidental ou ilegal, não autorizada ou acesso a dados pessoais transmitidos, armazenados ou de outra forma processados, resultante de incidente de segurança.
Violação: Qualquer atividade que desrespeite as regras estabelecidas nos documentos normativos.
Tentativa de Burla: A tentativa de burlar as diretrizes e controles estabelecidos, quando constatada, deve ser tratada como uma violação.
3. RESPONSABILIDADES
3.1. Encarregado pelo Tratamento de Dados Pessoais
3.1.1. Organizar e/ou ministrar treinamentos em proteção de dados pessoais aos colaboradores ou prestadores de serviço, promovendo a cultura de proteção de dados pessoais na COPI;
3.1.2. Elaborar e/ou revisar os procedimentos internos relativos à proteção de dados pessoais e auxiliar na definição de controles para garantir a integridade, confidencialidade e disponibilidade dos dados pessoais;
3.1.3. Auxiliar na definição de controles para garantir a existência de registros auditáveis de todo o ciclo de vida dos dados pessoais;
3.1.4. Apoiar na resposta aos incidentes de segurança que envolvam dados pessoais;
3.1.5. Realizar acompanhamento legislativo/regulatório sobre o tema;
3.1.6. Orientar as áreas de negócio em caso de mudanças de finalidades de tratamento;
3.1.7. Apoiar na manutenção atualizada do mapeamento dos fluxos de dados pessoais;
3.1.8. Recomendar os requisitos adequados no caso de transferência de dados entre Agentes de Tratamento, especialmente transferências internacionais;
3.1.9. Responder as consultas e apresentar recomendações sobre a aplicação das regras de privacidade junto às áreas de negócios e demais Agentes de Tratamento;
3.1.10. Participar no processo de avaliação dos demais Agentes de Tratamento de dados pessoais (aderência e maturidade do tema), quando necessário;
3.1.11. Realizar o reporte do Programa de Proteção de Dados à Alta Diretoria;
3.1.12. Zelar para que os titulares dos dados sejam informados sobre seus direitos, obrigações e responsabilidades sobre a proteção de dados;
3.1.13. Sensibilizar os colaboradores sobre proteção de dados e privacidade.
3.1.14.Apoiar investigações para apuração de responsabilidade dos envolvidos em violações de dados pessoais e auxiliar na definição de aplicação das penalidades internas, quando necessário;
3.1.15. Avaliar Relatórios de Impacto à Proteção de Dados Pessoais;
3.1.16.Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
3.1.17. Receber comunicações da Autoridade Nacional e adotar providências;
3.1.18. Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
3.1.19. Verificar a adequação das práticas e políticas da COPI no que se refere à transferência internacional de dados pessoais;
3.1.20.Assegurar a divulgação e a disponibilidade dos documentos que compõem esta Política e outros documentos internos para proteção de dados pessoais na COPI.
3.2. Comitê de Privacidade e Segurança da Informação
3.2.1. Analisar e tomar decisões dos reportes realizados pelo Encarregado pelo Tratamento de Dados Pessoais.
3.3. Tecnologia da Informação e Comunicação
3.3.1. Assegurar que todos os sistemas, serviços e equipamentos usados para o tratamento de dados pessoais estejam dentro de um padrão aceitável de segurança;
3.3.2. Analisar os aspectos técnicos de todo e qualquer produto ou serviço de terceiros que a COPI esteja considerando contratar para processar ou armazenar dados pessoais (exemplos: nuvem, hardware, equipamentos de rede);
3.3.3.Auxiliar a implementação de procedimentos, controles e rotinas necessárias para o tratamento de dados pessoais;
3.3.4. Implementar medidas necessárias e apropriadas para manutenção da confidencialidade, integridade e disponibilidade dos dados pessoais;
3.3.5. Coletar e manter registros das atividades de tratamento de dados pessoais.
3.4 Jurídico
3.4.1. Auxiliar nos processos de contratação e aquisição de produtos e serviços da COPI;
3.4.2. Apoiar o Encarregado pelo Tratamento de Dados Pessoais quanto a possibilidades de tratamento de dados pessoais no exterior, auxiliando no entendimento de validação do nível de proteção de dados pessoais do país destino;
3.4.3. Apoiar o Encarregado na elaboração de repostas à ANPD;
3.4.4. Fornecer orientação legal na ocorrência de incidentes de violação de dados pessoais.
3.5. Recursos Humanos
3.5.1. Promover, em conjunto com o Encarregado pelo Tratamento de Dados Pessoais, a cultura de proteção de dados pessoais na COPI, realizando campanhas de capacitação e divulgação da proteção dos dados pessoais;
3.5.2. Assegurar a divulgação dos documentos que compõem esta Política e outros documentos internos para proteção de dados pessoais na COPI;
3.5.3. Assegurar que os colaboradores estejam cientes do tratamento realizado aos seus dados pessoais;
3.5.4.Definir controles de proteção de dados pessoais especificamente relacionados aos processos de contratação, desligamento (ou encerramento de prestação de serviços), modificação de atividades (incluindo a promoção) e afastamentos (incluindo férias e quaisquer licenças ou suspensões).
3.6. Áreas de Negócio
3.6.1. Cumprir as diretrizes desta Política e seus documentos complementares;
3.6.2. Tratar os dados pessoais sob responsabilidade da COPI somente para fins autorizados, de forma ética e legal, respeitando os direitos do titular dos dados pessoais e de acordo com as orientações desta Política, demais instrumentos regulamentares relacionados à proteção de dados pessoais e da legislação aplicável;
3.6.3. Zelar pela integridade, disponibilidade, confidencialidade, autenticidade e legalidade dos dados pessoais acessados ou manipulados, não utilizando, enviando, transmitindo ou compartilhando indevidamente estes dados pessoais, em qualquer local ou mídia, inclusive na Internet;
3.6.4.Reportar formalmente ao Encarregado pelo Tratamento de Dados Pessoais quaisquer eventos relativos à violação ou possibilidade de violação de dados pessoais ou atividades suspeitas de que tiver conhecimento.
3.7. Gestores
3.7.1. Cumprir, fazer cumprir e gerenciar o cumprimento desta Política e demais documentos complementares por parte de seus colaboradores;
3.7.2. Assegurar que qualquer dado pessoal só poderá ser recebido, tratado, excluído ou compartilhado por sua Gerência de acordo com as atividades profissionais autorizadas pela COPI e nos termos desta Política e de seus documentos internos;
3.7.3. Identificar e avaliar riscos relacionados à proteção de dados pessoais em suas atividades e propor melhorias;
3.7.4. Submeter à análise do Encarregado pelo Tratamento de Dados Pessoais todo novo processo, incluindo novas aplicações, contratações, serviços, produtos, dentre outros, onde houver tratamento de dados pessoais;
3.7.5. Garantir a observação desta Política e da legislação competente pelos parceiros de negócio que recebam dados pessoais enviados por sua Gerência
3.7.6. Ao identificar violações de dados pessoais ou qualquer ação duvidosa, comunicar o Encarregado pelo Tratamento de Dados Pessoais imediatamente.
3.8. Colaboradores
a) Cumprir as diretrizes desta Política e seus documentos complementares;
a) Tratar os dados pessoais sob responsabilidade da COPI somente para fins autorizados, de forma ética e legal, respeitando os direitos do titular dos dados pessoais e de acordo com as orientações desta Política, demais instrumentos regulamentares relacionados à proteção de dados pessoais e da legislação aplicável;
b) Zelar pela integridade, disponibilidade, confidencialidade, autenticidade e legalidade dos dados pessoais acessados ou manipulados, não utilizando, enviando, transmitindo ou compartilhando indevidamente estes dados pessoais, em qualquer local ou mídia, inclusive na Internet;
c) Reportar formalmente ao Encarregado pelo Tratamento de Dados Pessoais quaisquer eventos relativos à violação ou possibilidade de violação de dados pessoais ou atividades suspeitas de que tiver conhecimento.
4. APLICAÇÃO
4.1. Esta Política é um documento normativo interno e dispõe de valoração jurídica,
por isso é aplicada a todos os colaboradores da COPI.
5. NORMAS E REFERÊNCIAS
5.1. A elaboração desta política é fundamentada na Lei 13.709/2018 (“Lei Geral de Proteção de Dados” ou “LGPD”)
6. PRINCÍPIOS DE PROTEÇÃO DE DADOS PESSOAIS
6.1. O tratamento de dados pessoais da COPI deve ser regido pelos seguintes
princípios:
d) Finalidade: Tratar os dados pessoais apenas para as finalidades determinadas, explícitas, legítimas e informadas antes do tratamento, não podendo ser tratados posteriormente para finalidades incompatíveis e limitar o tratamento de dados pessoais ao mínimo necessário para execução das finalidades informadas.
e) Adequação: Tratar os dados pessoais de modo adequado e pertinente às suas finalidades de uso.
f) Necessidade e Minimização, Proporcionalidade e Subsidiariedade: Tratar somente os dados pessoais de modo proporcional aos objetivos do negócio e o menor volume possível de dados pessoais, limitando o tratamento de dados pessoais ao mínimo necessário para execução das finalidades informadas, não sendo feito tratamento de tipos de dados pessoais que não sejam necessários e proporcionais aos objetivos de negócio e buscar formas alternativas (subsidiárias) de se atingir as mesmas finalidades por meios menos invasivos à privacidade do titular dos dados pessoais
g) Limitação de armazenamento: Armazenar os dados pessoais apenas durante o período estritamente necessário de acordo com sua finalidade, excetuando-se hipóteses legais nas quais seja permitido o armazenamento por prazo maior.
h) Livre acesso: Viabilizar aos titulares a consulta facilitada e gratuita sobre a forma e a duração do tratamento de seus dados pessoais.
i) Qualidade dos dados: Manter a exatidão, clareza, relevância e atualização dos dados pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
j) Transparência: Prestar informações claras, precisas e facilmente acessíveis aos titulares de dados sobre o tratamento de seus dados pessoais (coleta, finalidade, armazenamento, compartilhamento e descarte de seus dados pessoais), observados os segredos comercial e industrial.
k) Segurança: Proteger dados pessoais contra o tratamento não autorizado ou ilícito, perda, destruição ou dano acidental, com a adoção de medidas técnicas e organizacionais para salvaguardar a integridade, confidencialidade e disponibilidade dos dados pessoais e atender as diretrizes de segurança existentes na Política de Segurança da Informação da COPI durante todo o ciclo de vida do dado pessoal.
l) Prevenção: Adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
m) Não discriminação: Não tratar os dados pessoais para fins discriminatórios ilícitos ou abusivos.
n) Responsabilização e prestação de contas: Demonstrar a adoção de medidas eficazes e capazes de comprovar o cumprimento das normas de proteção de dados pessoais e a eficácia dessas medidas.
7. BASES LEGAIS PARA TRATAMENTO DE DADOS PESSOAIS
7.1. O tratamento dos dados pessoais, de acordo com a legislação vigente, somente
pode ser realizado em caso de
a) Consentimento do titular dos dados pessoais, sendo vedado o tratamento de dados pessoais mediante vício de consentimento;
b) Cumprimento de uma obrigação legal ou regulatória;
c) Formalização de contrato, em que o titular seja parte, ou os seus dados pessoais são necessários para execução de procedimentos preliminares para se firmar o contrato;
d) Exercício regular de direitos em processo judicial, administrativo ou arbitral, prezando sempre pelo pedido de segredo de justiça quando envolver dado pessoal;
e) Proteção da vida ou da segurança física da pessoa a quem os dados pessoais se referem;
f) Interesse legítimo da COPI ou de terceiros, sendo obrigatória a confecção de relatório de impacto à proteção de dados pessoais nos termos do Procedimento para Elaboração do Relatório de Impacto à Proteção de Dados Pessoais;
g) Proteção do crédito.
7.2. O tratamento de dados pessoais sensíveis somente podem ser realizado em caso de:
a) Consentimento pelo titular ou seu responsável legal, de forma específica e destacada, para finalidades específicas;
b) Cumprimento de obrigação legal ou regulatória;
c) Exercício regular de direitos, inclusive em contrato e em processo judicial,
administrativo e arbitral;
d) Proteção da vida ou da incolumidade física do titular ou de terceiros;
e) Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
8. TRATAMENTO DE DADOS PESSOAIS
8.1. Informações da COPI: A COPI deverá informar o titular de dados pessoais, com relação ao(a):
a) Qualificação da COPI e os dados para contato;
b) O canal de contato do Encarregado pelo Tratamento de Dados Pessoais
da COPI;
c) As finalidades específicas, forma e duração de tratamento;
d) Controladores/Operadores com as quais a realiza o uso compartilhado de dados pessoais;
e) Informação da sobre a transferência de dados pessoais para outro país.
8.2. Segurança da Informação: As diretrizes de segurança existentes na Política de Segurança da Informação da COPI, devem ser observadas durante todo o ciclo de vida do dado pessoal.
8.3. Coleta: A coleta do dado pessoal ocorre a partir da entrada do dado pessoal na COPI, e poderá ser feita por meio de sistemas da informação ligados a sites, aplicativos, recebimento de arquivos, aquisição de base de dados, bem como no ambiente físico como pelo preenchimento de formulários, listas ou pelo registro de uma conversa presencial.
8.4. Direitos dos titulares de dados: Devem ser obedecidos os direitos do titular com relação aos dados pessoais tratados, como a confirmação da existência do tratamento, acesso aos dados pessoais, correção, revogação de consentimento, portabilidade, anominização, bloqueio e eliminação de dados pessoais.
8.5. Correção e Atualização: Quando o titular dos dados pessoais solicitar a correção ou atualização de seus dados pessoais, antes de se proceder com a solicitação, deve ser confirmada a autenticidade desse titular, desse modo, a Tecnologia da Informação e Comunicação e a Área de Negócio devem garantir que meios físicos e digitais onde esses dados pessoais foram replicados e armazenados sejam também atualizados.
8.6. Respostas às solicitações e requisições dos titulares: As respostas às requisições dos titulares dos dados pessoais deverão ser feitas por colaboradores definidos pela COPI e serão regidas pelo capítulo referente a Resposta às Requisições dos Titulares da Norma de Privacidade e Proteção de Dados Pessoais da COPI.
8.7. Dados de Saúde: O tratamento de dados de saúde por Operadores contratados pela COPI deverá, obrigatoriamente, permitir ao titular o direito a portabilidade dos seus dados, quando solicitada ou as transações financeiras e administrativas resultantes do uso e da prestação dos serviços.
8.8.Consentimento: Sempre que for necessário o tratamento com base no consentimento, este consentimento deve ser obtido por meio de uma manifestação livre e informada do titular de dados, de acordo com as finalidades determinadas para o tratamento. Não é permitido o tratamento de dados pessoais mediante vício de consentimento.
8.9.Revogação do Consentimento: O titular de dados pode revogar o consentimento de modo gratuito e facilitado por meio dos canais de atendimento da COPI, sendo que todo o tratamento realizado antes da revogação permanece válido. O titular dos dados pessoais deverá ser informado das consequências da revogação do consentimento, de maneira simples, clara e facilitada.
8.10.Dados Sensíveis: O consentimento para tratamento de dados pessoais sensíveis deverá ser coletado de forma específica e destacada, para finalidades específicas.
8.11. Dados de crianças: O tratamento de dados pessoais de crianças (pessoa de até 12 anos de idade incompletos) deve ocorrer somente se o consentimento for dado por pelo menos um dos pais ou pelo responsável legal.
8.12. Legítimo Interesse: O legítimo interesse deverá ser previamente analisado pelo Avaliador e validado junto ao Encarregado da Proteção de Dados Pessoais da COPI conforme Capítulo sobre Análise do Legítimo Interesse da Norma de Privacidade e Proteção de Dados Pessoais da COPI, sendo recomendada a elaboração do Relatório de Impacto à Proteção de Dados pessoais, nos termos do Capítulo sobre Elaboração do Relatório de Impacto à Proteção de Dados Pessoais do referido documento, pelo Encarregado da Proteção de Dados Pessoais.
8.13. Contratos: O Gestor da sua área deve assegurar que todas as contratações em que ocorra o tratamento de dados pessoais sejam precedidas de contratos que regulem a privacidade e proteção de dados pessoais, podendo contar com auxílio do Jurídico.
8.14. Contratação de Operador: A COPI na figura de Controlador, sempre que fizer uso de um Operador, deve estabelecer contrato tendo em vista as regulamentações relacionadas à privacidade e proteção de dados pessoais vigentes no país onde ocorrerá o tratamento dos dados pessoais.
8.15. Mapeamento de Dados: Tanto o Controlador como o Operador deverão manter o registro das operações de tratamento de dados pessoais que realizarem.
8.16. Armazenamento: O armazenamento dos dados pessoais pode ser feito de modo físico (guarda de crachás, cartões, fichas, papeis com anotações à mão, formulários, notas fiscais, contratos e outros documentos em papel, por exemplo) ou digital (em mídias como CD, DVD, Blu-Ray, HD externo, pendrive, cartão de memória SD, nas plataformas digitais da COPI ou em serviço contratado para esta finalidade).
8.17. Os dados pessoais devem ser armazenados por período limitado, levando em consideração a finalidade específica do tratamento.
8.18. Os meios físicos e digitais de armazenamento dos dados pessoais devem assegurar a sua segurança e qualidade, devendo ser mantidos exatos e atualizados, de acordo com a necessidade para o cumprimento da finalidade de tratamento.
8.19. No caso de armazenamento e/ou transferência internacional de dados, o Gestor responsável deverá informar o Encarregado pelo Tratamento de Dados Pessoais, para que este, com o auxílio da Área Jurídica da COPI, avalie as adequações do tratamento às leis daquele país.
8.20. Uso: O uso dos dados pessoais deve ser realizado dentro dos limites das finalidades legitimadas na coleta. Caso haja a necessidade de realizar o tratamento do dado pessoal para outra finalidade diversa da informada no momento da coleta, é necessário verificar:
8.21. Qualquer ligação entre a finalidade para a qual os dados pessoais foram coletados e a finalidade do novo tratamento;
8.22. O contexto em que os dados pessoais foram tratados (a relação entre o titular dos dados pessoais e a COPI);
8.23.Se o dado coletado está sendo compartilhado com demais Agentes de Tratamento;
8.24. As consequências do novo tratamento para o titular dos dados pessoais, e
8.25.A existência de medidas de proteção adequada, como criptografia ou pseudonimização.
8.26. Essas informações devem ser encaminhadas ao Encarregado pelo Tratamento de Dados Pessoais para que defina se o novo tratamento já está ou não legitimado, e, caso não esteja, ele deve propor as estratégias de como este tratamento pode ser legitimado antes de ser realizado.
8.27. Decisões Automatizadas: O tratamento de dados pessoais realizado com base em decisões automatizadas, deve contar com informações claras e adequadas sobre os critérios utilizados para estes tratamentos, e serem disponibilizados aos titulares dos dados pessoais.
8.28. O titular dos dados pessoais tem o direito de solicitar a revisão de decisão baseada em tratamento automatizado dos dados pessoais, tendo o acesso aos critérios e procedimentos.
8.29.Compartilhamento: O compartilhamento de dados pessoais ou de documentos/arquivos com dados pessoais em território nacional pode ser feito para Agentes de Tratamento autorizados, com as medidas de segurança indicadas pela pelo Responsável pela Segurança da Informação da COPI e somente para as finalidades de uso ou tratamento prévia e devidamente informadas e legitimadas junto ao titular dos dados pessoais.
8.30. O compartilhamento de dados pessoais com demais Agentes de Tratamento, excetuando-se o compartilhamento realizado para cumprimento de obrigações legais, somente poderá ocorrer caso estes tenham firmado contrato com cláusulas referentes à Proteção de Dados Pessoais.
8.31. Manutenção dos dados: Os dados pessoais podem ser mantidos, após atingida sua finalidade, nos casos de cumprimento de obrigação legal ou regulatória por parte da COPI.
8.32. Eliminação segura: Após cumprida a finalidade do tratamento e findo o prazo de armazenamento determinado pela tabela de temporalidade, os dados devem ser eliminados de modo seguro, independentemente se em meios físicos ou digitais.
8.33. A solicitação de eliminação do dado pessoal pelo titular não será possível quando o dado já tiver sido anonimizado ou no caso de cumprimento de obrigação
legal quanto ao armazenamento destes dados para fins regulatórios ou legais, respeitada a Tabela de Temporalidade.
8.34. Classificação da Informação: Todos os dados pessoais tratados pela COPI são tratados como restritas, de acordo com o capítulo sobre Classificação da Informação da Norma de Privacidade e Proteção de Dados Pessoais da COPI.
8.35. Violação de dados pessoais: Todos os colaboradores têm o dever de notificar a COPI imediatamente, sem demora injustificada, acerca de qualquer violação ou tentativa de violação de dados pessoais da qual tenham conhecimento, além de cooperar para a investigação e mitigação de incidentes de violação de dados pessoais.
8.36. Registro: Todos os procedimentos realizados devem ser documentados pelas partes envolvidas, sob a supervisão do Encarregado pelo Tratamento de Dados Pessoais.
9. SANÇÕES
9.1. Violações: Qualquer atividade que desrespeite as disposições estabelecidas nesta Política ou em quaisquer dos documentos normativos complementares da COPI deve ser considerada como uma Violação e tratada a fim de apurar as responsabilidades dos envolvidos, visando aplicação de sanções cabíveis.
10. DISPOSIÇÕES FINAIS
10.1. Esta Política deve ser revisada, no mínimo, anualmente, ou sempre que existir a necessidade de alterações nos critérios definidos nas demais normas e políticas específicas da COPI.
10.2. O presente documento deve ser lido e interpretado sob a égide das leis brasileiras, no idioma português, em conjunto com as normas e procedimentos aplicáveis pela COPI.
10.3. Este documento bem como os demais documentos que a complementam encontram-se disponíveis na intranet ou, em caso de indisponibilidade, podem ser solicitadas ao Encarregado pelo Tratamento de Dados Pessoais da COPI.
10.4. Qualquer dúvida relativa a esta Política deve ser encaminhada ao Encarregado pelo Tratamento de Dados Pessoais da COPI por meio do e-mail dpo@e-copi.com.br;
Esta Política entra em vigor na data de sua publicação.