Baixar versão em PDF
1. FINALIDADE
Estabelecer diretrizes para a coleta e o tratamento dos dados pessoais de pessoas físicas, que sejam clientes, empregados, administradores, terceirizados, fornecedores, acionistas, parceiros de negócios, outras partes interessadas, e suas respectivas partes relacionadas, no âmbito da Centrais Elétricas do Rio Jordão – Elejor.
2. CONCEITOS
2.1 – DADO PESSOAL
Informação relacionada a pessoa natural identificada ou identificável. *
2.2 – DADO PESSOAL SENSÍVEL
Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político; dado referente à saúde ou à vida sexual; dado genético ou biométrico, quando vinculado a uma pessoa natural. *
2.3 – BANCO DE DADOS
Conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico. *
2.4 – DADO ANONIMIZADO
Dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. *
2.5 – TITULAR
Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. *
2.6 – CONTROLADOR
Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais e a comunicação com titulares e com a Autoridade Nacional e/ou autoridades competentes em relação ao Tratamento de Dados Pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais – LGPD e as boas práticas de governança.
2.7 – OPERADOR
Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador devendo seguir as diretrizes trazidas pelo controlador e tratar os dados de acordo com as políticas de privacidade correspondente e o ordenamento jurídico vigente. *
2.8 – ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS (Data Protection Officer – DPO) Pessoa física ou jurídica indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD. (Redação dada pela Lei no 13.853, de 2019). *
2.9 – AGENTES DE TRATAMENTO
O controlador e o operador.*
2.10 – TRATAMENTO DE DADOS PESSOAIS
Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. *
2.11 – ANONIMIZAÇÃO
Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. *
2.12 – CONSENTIMENTO
Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. *
2.13 – PARTES INTERESSADAS (STAKEHOLDERS)
Compreendem todos os entes envolvidos com os negócios e/ou operações da Elejor: acionistas, clientes, fornecedores, público interno, poderes públicos, a comunidade e o meio ambiente.
2.14 – AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD)
Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.
* Redação dada pela Lei Federal no 13.709/2018 – LGPD. Todas as definições acima deverão ser interpretadas nos termos das Leis de Proteção de Dados Pessoais. Caso algum termo seja utilizado nos contratos e não esteja compreendido nesta política, as Partes deverão adotar a definição estipulada nas Leis de Proteção de Dados.
3. PRINCÍPIOS
3.1 – A presente Política de Privacidade e Proteção de Dados Pessoais está fundamentada nos valores (Ética, Respeito às Pessoas, Dedicação, Transparência, Segurança e Saúde, Responsabilidade e Inovação) e no Código de Conduta da Elejor.
3.2 – As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
– FINALIDADE: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
– ADEQUAÇÃO: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
– NECESSIDADE: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
– LIVRE ACESSO: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
– QUALIDADE DOS DADOS: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
– TRANSPARÊNCIA: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
– SEGURANÇA: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
– PREVENÇÃO: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
– NÃO DISCRIMINAÇÃO adoção de medidas para impedir a realização do tratamento para fins discriminatórios ilícitos ou abusivos; e
– RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: demonstração, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
4. PREMISSAS
4.1 – A Elejor valoriza o respeito incondicional e irrestrito à totalidade de leis nacionais e estrangeiras aplicáveis, regulamentos, políticas, normas, padrões, procedimentos e boas práticas organizacionais, em todas as atividades em nome da Companhia e onde quer que ela atue.
4.2 – A Elejor cumpre integralmente a legislação e as normas internas referentes à segurança da informação, de forma a garantir a integridade, a disponibilidade e a confiabilidade das informações da Companhia, promovendo um ambiente corporativo íntegro, ético e transparente.
4.3 – A Elejor respeita integralmente o direito à confidencialidade e a privacidade dos dados pessoais dos clientes e de todos os públicos de interesse, em virtude de seus processos de negócios, criando relação de credibilidade e de longo prazo.
5. DIRETRIZES
5.1 – Identificar e monitorar os negócios, processos, áreas e pessoas críticas, bem como parceiros de negócios, de forma a identificar e avaliar os riscos de vazamento de informações, elaborando planos de ação para mitigação destes riscos.
5.2 – Tratar os dados pessoais em conformidade com as boas práticas de governança corporativa e com as Leis de Proteção de Dados Pessoais, assegurando níveis de proteção de dados de todos a cujos dados a Elejor tenha acesso em virtude de seus processos de negócios a fim de evitar incidentes de segurança de informação. 5.3 – Implementar e monitorar o atendimento as medidas de segurança físicas e lógicas e aos requisitos de tratamento dos dados pessoais no processo de gestão das informações pessoais.
5.4 – Adequar os processos internos e criar procedimentos para a coleta e tratamento de dados pessoais de pessoas físicas ou jurídicas para que sejam realizados de forma suficiente para o atendimento de sua finalidade, de acordo com a fundamentação legal, mantendo os dados permanentemente atualizados e classificados
5.5 – Estabelecer regras, mecanismos e procedimentos internos e adequar os processos e ferramentas utilizados para o tratamento de dados pessoais, visando garantir os direitos dos titulares dos dados previstos na LGPD principalmente em relação à proteção de dados pessoais sensíveis, ressalvando os direitos da Companhia.
5.6 – Aplicar as medidas técnicas e organizativas adequadas para assegurar um nível de segurança compatível ao risco, levando em conta as técnicas mais avançadas, os custos de aplicação e a natureza, o âmbito, o contexto e as finalidades do Tratamento, bem como os riscos, de probabilidade e gravidade variável, para garantia dos direitos e liberdades de Titulares.
5.7 – Zelar para que o Operador e quaisquer subcontratados mantenham os mesmos níveis de segurança para proteção de dados pessoais mantidos e recomendados pelo Controlador.
5.8 – Adotar mecanismos no sistema de controle interno para que a área de Tecnologia de Informação da Elejor possa monitorar, rastrear e identificar situações atípicas e consideradas suspeitas de vazamento de dados pessoais.
5.9 – Assegurar que os contratos, convênios e demais documentos contratuais que envolvam tratamento de dados, contenham cláusulas relativas à responsabilidade do prestador de serviço, possibilidade de auditorias nos processos e serviços, bem como penalidades em caso de descumprimento à lei ou à presente Política. 5.9.1 – Zelar para que o Armazenamento dos dados pessoais dos titulares seja somente pelo prazo necessário para cumprimento do Contrato, e que, após o término de sua vigência, sejam mantidos somente os Dados Pessoais necessários para cumprimento das obrigações legais do Controlador.
5.10 – Empenhar esforços razoáveis para assegurar que o Operador possa cumprir com as obrigações contratuais, realizando análise de conformidade com as Leis de Proteção de Dados Pessoais.
5.11 – Manter registro das operações de tratamento realizadas, apontando finalidade, tempo de processamento, prazo, segurança, sigilo e privacidade, consentimento dado, ou hipóteses de exclusão de consentimento.
5.12 – Disponibilizar e divulgar interna e externamente esta Política e outras informações e orientações necessárias para o esclarecimento sobre a proteção de dados pessoais, observando-se as especificidades das necessidades de comunicação das partes interessadas.
5.13 – Disponibilizar canais de comunicação, considerando as especificidades das necessidades de comunicação das partes interessadas, para que ocorrências de vazamento de dados pessoais sejam denunciadas de forma completa, adequada e tempestiva.
5.14 – Elaborar planos de resposta para a gestão de incidentes relacionados à privacidade de titulares de dados (vazamento de dados pessoais), controle, registro e reporte dos incidentes à ANPD e aos titulares envolvidos, adequando os processos e ferramentas utilizados para o tratamento de dados pessoais.
5.15 – Considerar os compromissos voluntários assumidos pela Elejor referente ao desenvolvimento sustentável, como o Pacto Global e os Objetivos de Desenvolvimento Sustentável – ODS.
6. DISPOSIÇÕES FINAIS
6.1 – As violações desta Política serão examinadas pelo Data Protection Officer – DPO, com emissão de parecer opinativo para submissão à Diretoria Executiva da Elejor, que deliberará sobre as medidas cabíveis, sujeitando os responsáveis às sansões disciplinares e às demais consequências previstas na legislação vigente. 6.2 – Dúvidas acerca das disposições da presente Política, bem como às denúncias deverão ser encaminhadas por meio do Canal de Denúncias, de forma completa, adequada e tempestiva.
7. LEGISLAÇÃO E NORMAS RELACIONADAS AO ASSUNTO
a) Lei Federal No 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;
b) demais Leis de Proteção de Dados Pessoais, Legislações de proteção de dados pessoais vigentes ou que entrarão em vigor na vigência dos contratos, incluindo, mas não se limitando a:
– Lei Federal no 12.965, de 23 de abril de 2014 (“Marco Civil da Internet”),
– Lei Federal no 8.078, de 11 de setembro de 1990 (“Código de Defesa do Consumidor”),
– Lei Federal Complementar no 166, de 08 de abril de 2019 (“Lei do Cadastro Positivo”),
– Lei Federal no 12.527, de 18 de novembro de 2011 (“Lei de Acesso à Informação”) e Decreto No 7724/2012 que a regulamenta; e
– Decreto Federal no 7.962, de 15 de março de 2013 (“Decreto Comércio Eletrônico”).
c) Lei No 13.853/2019 (Dispõe sobre a proteção de dados pessoais e cria a Autoridade Nacional de
Proteção de Dados; e dá outras providências);
d) Decreto Federal No 8.771/2016 (Procedimentos para guarda e proteção de dados por provedores de conexão e de aplicações);
e) Decreto Federal No. 9.637/2018 (Institui a Política Nacional de Segurança da Informação, dispõe sobre a governança da segurança da informação);
f) Decreto Estadual No 10285/2014 (Dispõe sobre os procedimentos do Poder Executivo, que garante o acesso à informação, nos termos da legislação vigente.);
g) Lei Estadual No 16.595/2010 e Decreto Estadual No 10.285/2014 que a regulamenta;
h) Lei Complementar No 131/2009;
i) Decreto Federal No 7.845/2012;
j) Lei Federal No 12.813/13 (Lei de Conflito de Interesses);
k) Regulamento Geral sobre a Proteção de Dados (GDPR — General Data Protection Regulation);
l) Código de Melhores Práticas de Governança Corporativa do Instituto Brasileiro de Governança Corporativa – IBGC;
m) Código de Conduta da Elejor;
n) POL/CAD 003.2019 – Política de Integridade;
o) POL/CAD 007.2019 – Política de Segurança da Informação;
p) POL/CAD 001.2019 – Política de Governança Corporativa;
Encarregado de Dados (DPO)
Ana Paula Oaida Gabellini
e-mail: lgpd@elejor.com.br
Requisição de dados pessoais
Requisite informações sobre a existência de dados pessoais e o tratamento realizado pela Elejor ou exercer os demais direitos dos titulares de dados pessoais descritos na Lei Geral de Proteção de Dados (LEI Nº 13.709, DE 14 DE AGOSTO DE 2018).