Estabelecer diretrizes corporativas de proteção de dados pessoais visando:

• Garantir a conformidade com a Lei nº 13.709 – Lei Geral de Proteção de Dados Pessoais (LGPD), de 14 de agosto de 2018, nos estabelecimentos de trabalho da VECTOR e eventuais terceiros quando prestadores de serviço da VECTOR;
• Estabelecer regras gerais para tratamento de dados pessoais;
• Nortear a definição de procedimentos associados à privacidade de dados, bem como a implementação de controles e processos para seu cumprimento;
• Estabelecer regras para que colaboradores e fornecedores adotem postura suficiente para apoiar a criação e manutenção da cultura de privacidade dos dados;
• Garantir proteção dos direitos dos titulares dos dados.

Esta Política terá seu início a partir da data da sua publicação e vigorará por prazo indeterminado, estando sujeita a revisões, em decorrência de alterações na regulamentação e/ou legislação aplicável ou, ainda, para refletir alterações nos procedimentos internos da VECTOR.

Esta Política se aplica (i) aos Funcionários da VECTOR; (ii) a todos os terceiros, sejam eles pessoas físicas ou jurídicas que atuam para ou em nome da VECTOR em operações que envolvam tratamento de dados pessoais que sejam realizados no escopo das atividades conduzidas pela VECTOR; e (iii) aos titulares de dados pessoais, cujos dados são tratados pela VECTOR.

A adesão ao programa de conformidade da VECTOR às leis de proteção de dados pessoais e aos normativos dele decorrentes, incluindo a presente Política, é obrigatória a todos os destinatários acima indicados na medida em que se relacionam à VECTOR. Todas as operações que envolvam tratamento de dados pessoais que sejam realizadas no escopo das atividades conduzidas pela VECTOR estão sujeitas a tais normativas.

• Agentes de Tratamento - O Controlador e Operador;
• Anonimização - utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
• Autoridade Nacional de Proteção de Dados (ANPD) - Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei nº 13.709/2018;
• Banco de dados - conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
• Colaborador - Qualquer pessoa que trabalhe para a VECTOR, seja este funcionário com registro em carteira de trabalho, terceiro, trainee, estagiário ou aprendiz;
• Confidencialidade - Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas;
• Consentimento - Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
• Controlador - Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, no caso presente a própria VECTOR;
• Dado Pessoal – Qualquer informação relacionada a pessoa natural identificada ou identificável, como nome, endereço, número de identificação, informações de localização, identificadores eletrônicos (e-mail, endereço IP), geolocalização, número de telefone, informações de conexão, CPF, RG, etc.
• Dado Pessoal Sensível – Dado pessoal sobre origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical, dados genéticos, dados biométricos tratados simplesmente para identificar um ser humano, dados relacionados à vida sexual e/ou orientação sexual;
• Disponibilidade - Garantia de que os usuários obtenham acesso à informação e aos ativos correspondentes sempre que necessário;
• Eliminação - Exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
• Encarregado - Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
• Informação - Todo e qualquer tipo de informação impressa, e-mail, textos veiculados em banners, TV, site da VECTOR, fornecedores da VECTOR.
• Integridade - Garantia de que a informação seja mantida em seu estado original, protegida contra alterações indevidas, intencionais ou acidentais, durante o ciclo de vida;
• Operador - Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador, como colaboradores e prestadores de serviço, assessoria de contabilidade, a operadora do plano de saúde e todos que possuem acesso aos dados pessoais para o exercício de suas atividades, etc.
• Órgão de pesquisa - Órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
• Sistema de Gestão de Documentos GEPROVE – Consiste no sistema de Gerenciamento Eletrônico de Documentos – GED implantado e disponibilizado pela VECTOR aos colaboradores.
• Titular - Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
• Tratamento - Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
• Uso compartilhado de dados - Comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.

4.1 PAPÉIS E ATRIBUIÇÕES

DIRETORIA / CONSELHO DE ADMINISTRAÇÃO (CONTROLADOR)

• Fazer cumprir todas as regras e diretrizes desta política;
• Proporcionar meios e condições para que as áreas técnicas trabalhem em aderência aos procedimentos e diretrizes contidos nesta política;
• Decidir quanto às medidas corretivas a serem tomadas no caso de descumprimento ou violação das regras desta política;
• Propor alterações/atualizações nesta política.

ENCARREGADO DE PROTEÇÃO DE DADOS

O Encarregado de Proteção de Dados será designado e responderá diretamente à Diretoria e ao Conselho de Administração e será responsável por:

• Apoiar no aconselhamento dos colaboradores sobre as respectivas obrigações nos termos da lei;
• Prestar aconselhamento e controlar a realização do Relatório de Impacto à Proteção de Dados (RIPD), quando necessário;
• Cooperar com a autoridade regulamentadora e atuar como ponto de contato com esta sobre questões relacionadas ao tratamento;
• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• Manter esta política atualizada, de acordo com a legislação vigente;
• Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

QUALIDADE

• Dar suporte à elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD);
• Promover a divulgação da política a todos os colaboradores, monitorando a sua efetiva aplicação;
• Acompanhar todos os pedidos relativos ao tratamento de dados pessoais;
• Reportar ao Encarregado de Proteção de Dados qualquer desvio no cumprimento da LGPD que possa prejudicar a VECTOR e dar suporte na realização das providências.

DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO 

• Garantir que todos os sistemas, serviços e equipamentos utilizados para armazenamento de informações pessoais atendam aos padrões aceitáveis de segurança da informação;
• Realizar verificações regulares para garantir que tanto o hardware quanto os softwares de segurança estejam funcionando adequadamente;
• Avaliar quanto aos aspectos de segurança quaisquer serviços de terceiros que a empresa esteja considerando utilizar para armazenar ou processar dados pessoais, por exemplo, serviços de computação em nuvem.

RECURSOS HUMANOS

• Garantir que todos os colaboradores tenham acesso ao conteúdo obrigatório da LGPD, disponibilizando a política atualizada para os colaboradores que eventualmente não tiverem acesso ao Sistema de Gestão de Documentos GEPROVE;
• Coletar assinatura dos operadores (colaboradores, prestadores de serviço, assessorias externas, etc.) no “Termo de Consentimento de Condições de Uso de Dados” no ato da admissão ou assinatura do contrato.

OPERADORES 

• Realizar o tratamento dos dados pessoais segundo as instruções fornecidas pela VECTOR;
• Manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse;

LÍDERES E COORDENADORES EQUIPES

• Promover a conscientização inicial e divulgação periódica da política às equipes de trabalho, monitorando a sua efetiva aplicação;
• Informar e aconselhar colaboradores sobre as respectivas obrigações nos termos da política e sobre as implicações no caso de descumprimento ou violação das regras;
• Realizar o tratamento dos dados pessoais segundo as instruções fornecidas pela VECTOR;
• Manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

TITULAR

• O titular tem a responsabilidade de compartilhar informações verdadeiras com a VECTOR, bem como proteger a confidencialidade de login(s) e senha(s) de acesso aos serviços e produtos que venham a ser utilizados eventualmente no decorrer do trabalho e prestação de serviços na VECTOR, inclusive para prevenir seu uso não autorizado, não devendo compartilhá-los com terceiros de nenhuma natureza.
• O titular deve ainda estar ciente de que os contratos firmados com a VECTOR também podem apresentar cláusulas sobre o tratamento de dados pessoais, estritamente necessários para garantir o efetivo cumprimento das obrigações legais como contratada. Havendo quaisquer dúvidas em relação ao exposto, poderá o titular requerer esclarecimentos nos termos do item 5.2.5.
• Apenas o titular dos dados, ou terceiro portando procuração específica, através de solicitação por escrito, poderá solicitar a exclusão dos respectivos dados pessoais da base da VECTOR.

A VECTOR, no exercício de seus valores, mantém o compromisso de respeitar e empregar esforços para a máxima proteção e privacidade dos dados pessoais processados em qualquer um de seus estabelecimentos. Desta forma, a informação – em qualquer meio – deve estar submetida a esta política sendo adequadamente manuseada e protegida.

5.1 DIRETRIZES GERAIS

Toda informação pessoal e sensível tratada pela VECTOR, deve ser:

• Adequadamente processada de acordo com os direitos dos titulares dos dados, relevantes e de forma não excessiva;
• Mantidas somente pelo tempo necessário;
• Obtidas para um propósito específico e legal;
• Protegidas de forma adequada.

As únicas pessoas autorizadas a acessar os dados pessoais amparados nesta política devem ser aquelas que de fato necessitam para o exercício de suas atividades, para tanto:

• Os dados não devem ser compartilhados informalmente;
• Os funcionários e prestadores de serviço da VECTOR devem manter todos os dados pessoais seguros, tomando precauções sensatas e seguindo as diretrizes de confidencialidade, disponibilidade e integridade das informações;
• Os funcionários e prestadores de serviço da VECTOR devem solicitar auxílio do superior imediato se não tiverem certeza sobre os aspectos da proteção de dados pessoais.

5.2 DIRETRIZES ESPECÍFICAS

5.2.1 RESPONSABILIDADE SOLIDÁRIA

• O Controlador ou o Operador que, em razão do exercício de atividade de tratamento de informações pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de informações pessoais, é obrigado a repará-lo;
• O Operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas desta política, hipótese em que o Operador se equipara ao Controlador;
• Os Controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente;
• Salvo, nos seguintes casos de exclusão, quando os agentes de tratamento só não serão responsabilizados quando provarem, conforme o Art. 43 da Lei 13.709 de 2018 (LGPD):
  • Que não realizaram o tratamento de dados pessoais que lhes é atribuído;
  • Que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
  • Que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.

5.2.2 COLETA E PROCESSAMENTO DE DADOS

Todas as operações de tratamento de dados pessoais no âmbito das atividades conduzidas pela VECTOR terão uma base legal que legitime a sua realização, com estipulação da finalidade e designação dos responsáveis pelo tratamento.

A realização de operações de tratamento de dados pessoais pela VECTOR poderá ser realizada:

1. Mediante o fornecimento de consentimento pelo titular de dados pessoais;
2. Sem o fornecimento de consentimento do titular de dados pessoais, nos casos em que o tratamento for indispensável para:

• O cumprimento de obrigação legal ou regulatória pela VECTOR;
• Execução das atividades contratuais relacionadas aos produtos e/ou serviços prestados pela VECTOR;
• Para a realização de estudos por órgão de pesquisa, quando obrigatórios à VECTOR;
• O exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
• Proteção da vida ou da incolumidade física do titular de dados pessoais ou de terceiros;
• Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
• Garantia da prevenção à fraude e à segurança do titular de dados pessoais, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

5.2.3 ATUALIZAÇÃO E PRECISÃO DE DADOS

A VECTOR se esforçará ao máximo para garantir que os dados pessoais sejam mantidos precisos e atualizados e para tanto, algumas medidas razoáveis serão tomadas para garantia de precisão, a saber:

• Os dados pessoais devem ser mantidos em locais adequados, conforme necessário. Não se deve criar conjuntos de dados adicionais desnecessários;
• As equipes devem considerar todas as oportunidades para garantir que os dados pessoais sejam atualizados. Por exemplo, confirmando os detalhes de um titular quando houver contato;
• Os dados pessoais devem ser atualizados conforme descoberta de imprecisões. Por exemplo, se um funcionário ou terceiro não puder mais ser contatado por seu número de telefone armazenado, este dado deverá ser atualizado no banco de dados para que seja garantida a consistência e a precisão dos dados pessoais armazenados;
• Eventuais verificações das bases de dados devem ser realizadas exclusivamente por colaboradores autorizados, a fim de que seja garantida a precisão dos dados pessoais armazenados.

5.2.4 COMPARTILHAMENTO DE BASE DE DADOS

A VECTOR, sob análise prévia do Encarregado, poderá compartilhar informações pessoais constantes em sua base de dados com seus contratantes, prestadores de serviços ou ainda parceiros de negócios, desde que seja para a execução de atividades contratualizadas pela empresa, bem como sejam protegidas e resguardadas por quem as recebeu.

5.2.5 SOLICITAÇÕES PARA EXERCÍCIO DOS DIREITOS DO TITULAR

Toda e qualquer solicitação deverá ser realizada através do envio de um e-mail para o endereço Este endereço de email está sendo protegido de spambots. Você precisa do JavaScript ativado para vê-lo.. A VECTOR somente entregará e tratará qualquer pedido solicitado mediante verificação e confirmação da identidade do requerente, bem como respaldo legal da solicitação e, para tanto, poderá solicitar o fornecimento de informações adicionais.

5.2.6 ARMAZENAMENTO DE DADOS (INVENTÁRIO DE DADOS)

Através do documento Mapeamento de Dados Pessoais, deverão ser detalhados quais tipos de dados pessoais serão coletados na rotina operacional da VECTOR, bem como a base legal que autoriza os seus usos, as suas finalidades, o tempo de retenção, as práticas de segurança de informação implementadas no armazenamento e com quem os dados podem ser eventualmente compartilhados.

Quando os dados forem armazenados em meio físico (ex. papel), deve-se seguir as regras abaixo:

• Devem ser mantidos em local seguro onde pessoas não autorizadas não tenham acesso. Essa diretriz também se aplica a dados pessoais armazenados eletronicamente, mas que foram impressos por qualquer motivo;
• Quando necessário, os arquivos devem ser mantidos em ambiente trancado com acesso controlado;
• Os colaboradores da VECTOR devem certificar-se de que as impressões não serão deixadas onde pessoas não autorizadas possam ter acesso, como impressoras, mesas de trabalho, entre outros;
• As impressões de dados pessoais devem ser trituradas e descartadas com segurança quando não mais necessárias.

Quando os dados forem armazenados eletronicamente, os dados devem ser protegidos contra acesso não autorizado, exclusão acidental e tentativas de invasão maliciosa:

• Os dados pessoais só devem ser armazenados no Sistema de Gestão de Documentos GEPROVE nos locais designados para tal;
• Os dados pessoais devem ser protegidos e nunca devem ser compartilhadas entre colaboradores informalmente ou através de meios telemáticos paralelos (Skype, WhatsApp, e-mail, etc), sendo o acesso aos mesmos exclusivo do respectivo operador através do Sistema de Gestão de Documentos GEPROVE;
• Os dados pessoais só podem ser enviados para serviços e provedores de computação em nuvem, devidamente aprovados pela equipe de tecnologia da informação;
• Os dados pessoais devem ser submetidos a backup frequente, conforme procedimentos específicos de backup de informações aplicados pelo departamento de tecnologia da informação;
• Dados pessoais nunca devem ser salvos diretamente em laptops (notebooks) ou qualquer dispositivo móvel, como tablets ou smartphones, sem mecanismos de segurança devidamente aprovados pelo departamento de tecnologia da informação;
• Todos os servidores e computadores que contêm dados pessoais devem ser protegidos por processos e tecnologias de segurança da informação definidos pelo departamento de tecnologia da informação.

5.2.7 FORNECIMENTO DE INFORMAÇÕES

Visando garantir que os titulares estejam cientes de que seus dados estão sendo processados e que eles entendem como seus dados pessoais estão sendo tratados e como exercer seus direitos, uma versão desta Política deve estar disponível no site e portais da VECTOR.

5.2.8 VIOLAÇÃO DE DADOS

A VECTOR comunicará à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular dos dados pessoais assim que tomar conhecimento sobre eventual ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares dos dados pessoais. A comunicação será feita conforme definiçãoda ANPD e deverá mencionar no mínimo:

• A descrição da natureza dos dados pessoais afetados;
• As informações sobre os titulares envolvidos;
• A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, observados os segredos comercial e industrial;
• Os riscos relacionados ao incidente;
• Os motivos da demora, no caso de a comunicação não ter sido imediata;
• As medidas que foram e/ou serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Todos os clientes, fornecedores e colaboradores são responsáveis por proteger as informações e relatar qualquer situação que represente desvio ou violação de segurança.

Poderão ser utilizados todos os canais de atendimento disponíveis no site da VECTOR para notificação sobre qualquer incidente que ocorra.

Em caso de violação de dados, os titulares serão informados conforme determinação legal vigente. A comunicação da violação dos dados pessoais aos respectivos titulares será feita pelos meios de comunicação disponibilizados pela VECTOR, tais como e- mail e telefone. Na comunicação com os titulares dos dados pessoais e com a Autoridade Nacional de Proteção de Dados, serão explicitadas todas as medidas que foram adotadas para minimizar os efeitos do incidente de segurança que provocou a violação dos dados pessoais.