1. Objetivo
O Movimento Pessoas à Frente desenvolveu sua Política de Compartilhamento de Dados Pessoais com o intuito de expor as regras aplicáveis ao compartilhamento de dados, os papéis e responsabilidades de quem estiver envolvido no processo, bem como para dar transparência para os seus titulares de dados pessoais, parceiros e demais stakeholders sobre os motivos pelos quais realiza compartilhamento de dados, sobretudo indicando os controles que adota para garantir que os processos ocorram em segurança.
Essa Política deve ser lida e interpretada em conjunto com o Aviso de Privacidade e demais procedimentos internos relacionados ao Programa de Privacidade de Dados e Segurança da Informação do Movimento Pessoas à Frente.
2. Aplicabilidade
As diretrizes dessa Política se aplicam a todas e todos os colaboradores do Movimento Pessoas à Frente, em qualquer nível hierárquico, sejam conselheiros, no exercício das suas funções, lideranças e colaboradores. Se aplicam também a terceiros que se relacionam com o Movimento Pessoas à Frente, como parceiros, fornecedores e prestadores de serviços, coinvestidores ou qualquer público com quem se relacione.
3. Diretrizes Gerais
O compartilhamento de dados pessoais pressupõe o cumprimento de alguns requisitos que assegurarão a conformidade no processo, demonstrando que o Movimento Pessoas à Frente assume o compromisso da prestação de contas aos seus titulares de dados.
Dessa forma, o compartilhamento deve ocorrer de forma justa e transparente, sempre vinculado a, pelo menos, uma base legal que justifique o processo. Adicionalmente, medidas organizacionais e técnicas deverão ser rigorosamente cumpridas, garantindo segurança em todos os processos de compartilhamento de dados e informações.
Por essas razões, o compartilhamento de dados pessoais com terceiros deverá observar, inicialmente, os tipos de dados que estão sendo compartilhados, a fim de identificar os riscos relacionados em cada processo, o que, consequentemente, permitirá a adoção de planos de ações específicos, de acordo com as diretrizes mencionadas anteriormente, bem como com as determinadas em lei.
4. Diretrizes específicas
O Movimento Pessoas à Frente elaborou o Registro de Operações de Tratamento de Dados Pessoais (ROPA), no qual está definidos todos os processos em que ocorram o compartilhamento de dados com terceiros.
Entretanto, em caso de novos processos e, até mesmo, nas revisões periódicas do ROPA, é necessário que o gestor da área que demanda o compartilhamento de dados pessoais, preencha o Formulário de Avaliação de Compartilhamento de Dados, com as seguintes informações:
Após receber o formulário, o Encarregado pela Proteção de Dados Pessoais do Movimento Pessoas à Frente, deve realizar a avaliação do risco para o compartilhamento dos dados, o que resultará em uma conclusão sobre a necessidade de adotar controles específicos para prevenir ou mitigar os riscos previamente identificados no processo, sendo eles:
Cumpre destacar que quando houver compartilhamento de dados sensíveis ou compartilhamento e transferência internacional de dados, sempre ocorrerá a realização de auditorias, independentemente de indicação da Encarregada, objetivando avaliar se os terceiros que receberão os dados estão efetivamente adequados à LGPD e demais regulações de privacidade e proteção de dados, além de avaliar a maturidade dos seus controles de segurança.
Após todas as análises e cumprimento das medidas adicionais, o Encarregado se incumbirá de dar o reporte para o gestor da área sobre a autorização do compartilhamento dos dados pessoais com o terceiro envolvido no processo.
Entretanto, em algumas situações, a responsabilidade pela autorização do compartilhamento pode não ser da Encarregada, conforme quadro abaixo:
Grau de exposição ao risco | Descrição do grau do risco | Responsável por autorizar o compartilhamento |
Baixo | Quando há compartilhamento de dados que não são capazes de identificar titulares de dados | Gestor da área do projeto |
Médio | Quando há compartilhamento de dados pessoais que são capazes de identificar titulares de dados | Encarregado pela Proteção de Dados Pessoais |
Alto | Quando há compartilhamento de dados pessoais sensíveis, dados de crianças e adolescentes, dados financeiros e dados pessoais comportamentais ou relacionados à personalidade de titulares | Encarregado pela Proteção de Dados Pessoais |
Muito Alto | Quando há transferência internacional de dados. | Comitê de Governança, Riscos e Compliance |
Após a autorização pelo compartilhamento, a área responsável pela contratação do terceiro deverá providenciar a elaboração de contrato ou aditivo contratual para formalização da relação, definindo em cláusulas os papéis e responsabilidades para o correto tratamento dos dados. Ademais, é fundamental que, além do contrato, seja realizado o Acordo de Compartilhamento de Dados (Data Processing Agreement), contendo informações detalhadas sobre:
5. Limitações ao compartilhamento
Ainda que sejam adotados todos os controles acima elencados, não serão permitidos,
além de outros impedimentos que possam estar previstos em leis ou normativas:
6. Responsabilidades
Para garantir a segurança nos processos de compartilhamento, é necessário que todos
colaborem de acordo com as suas responsabilidades, conforme as definições abaixo:
7. Aceitação da Política
Toda colaboradora e colaborador, ou terceiro que age em nome ou interesse do Movimento Pessoas à Frente, devem analisar essa Política e comprometer-se em aderir seus termos e condições disponibilizada no site do Movimento Pessoas à Frente.
8. Penalidades
As diretrizes dessa Política foram criadas para garantir segurança aos processos de tratamento dos dados pessoais dos titulares que confiam os seus dados ao Movimento Pessoas à Frente, além de reforçar o nosso compromisso em cumprir as diretrizes legais e boas práticas de privacidade e proteção de dados.
Por essa razão, a não observância dos papéis e responsabilidades aqui definidos, serão considerados como violações passíveis de responsabilização e aplicação de medidas disciplinares, desde advertência verbal, escrita, suspensão e/ou, por fim, desligamento por justa causa, a depender da gravidade da conduta cometida.
Em caso de relacionamento com terceiros, as violações poderão ensejar o encerramento do vínculo contratual ou parceria.
9. Atualizações
A responsabilidade pela gestão, monitoramento, aplicação e atualização desta Política é da Encarregada pela proteção de dados pessoais do Movimento Pessoas à Frente e de supervisão do Comitê de Governança, Riscos e Compliance.
10. Definições
Caso tenha alguma dúvida sobre os termos utilizados neste Aviso de Privacidade, consulte o glossário abaixo:
TERMO | DEFINIÇÃO |
Dado Pessoal | Qualquer informação relacionada a pessoa natural, direta ou indiretamente, que seja capaz de identificá-la ou torná-la identificável. |
Dado Pessoal Sensível | Categoria especial de dados pessoais referentes à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referentes à saúde ou à vida sexual, dados genéticos ou biométricos relativos à pessoa natural. |
Titular | Pessoa natural a quem se referem os dados pessoais, tais como funcionários, colaboradores, prestadores de serviço, autoridades políticas, parceiros, coinvestidores. |
Tratamento | Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, compartilhamento, armazenamento, transmissão, comunicação, arquivamento, modificação, avaliação, transferência ou eliminação. |
11. Disposições finais
Para o Movimento Pessoas à Frente, construir uma cultura de privacidade e proteção de dados é prioridade, de modo que alcançaremos esse objetivo por meio do cumprimento das boas práticas e diretrizes legais sobre o tema. Por isso, estamos sempre nos atualizando para mantermos os mais altos padrões de privacidade e segurança.
Em caso de dúvidas sobre esta Política de Compartilhamento de Dados Pessoais, entre em contato conosco por meio de: contato@movimentopessoasafrente.org.br