Estabelecer os princípios, diretrizes gerais e os compromissos relativos à privacidade e à proteção dos dados pessoais tratados pela Petro Rio S.A. (“PRIO” ou “Companhia”), tendo em vista a proteção dos direitos dos titulares de dados pessoais e sensíveis, de forma transparente e em conformidade com os parâmetros previstos na legislação brasileira.
Política de privacidade
Política de privacidade
Este aviso de privacidade tem por objetivo demonstrar os compromissos da Petro Rio S.A. (“PRIO”) relativos à privacidade e à proteção dos dados pessoais e sensíveis, sempre de forma segura, transparente e de acordo com as legislações em vigor.
Objetivo
Aplicação
Esta Política é aplicável a todas as diretorias, gerências, coordenadorias e supervisões da Companhia, inclusive de suas subsidiárias e controladas. Todos os colaboradores da PRIO, incluindo os conselheiros, diretores, empregados, fornecedores, prestadores de serviços, clientes e demais parceiros comerciais devem estar comprometidos e são responsáveis por disseminar e praticar as diretrizes aqui contidas.
Referência
-Código de Ética e Conduta
-Política de Segurança da Informação
-Lei Geral de Proteção de Dados Pessoais (“LGPD”) – Lei nº 13.709/2018
Glossário
Definições e acrônimos necessários para documentar a compreensão.
Autoridade Nacional de Proteção de Dados (“ANPD”): Órgão independente e parte do Poder Executivo do Governo Federal criada com atribuições de fiscalizar e divulgar como toda a informação pessoal e dados pessoais que circulam e são utilizados pelas empresas devem ser tratados.
Avaliação de Legítimo Interesse ‘Legitimate Interest Assessment’ – “LIA”: Teste por meio do qual busca-se uma avaliação sobre qual seria o legítimo interesse da empresa no tratamento daquele dado, qual seria a legítima expectativa do cidadão nessa situação e, a partir daí, estabelecer o entendimento se esse tratamento não irá implicar em ofensa a nenhum direito fundamental do titular.
Consentimento: Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Controladora: Pessoa natural ou jurídica, de direito público ou privado, responsável pela tutela dos dados pessoais e a quem competem as decisões referentes ao seu tratamento. Para fins deste Política, a própria PRIO.
Cookies: São pequenos arquivos de texto que armazenam informações sobre a navegação de usuários nas plataformas e em publicidades da PRIO. Esses arquivos são transmitidos para os dispositivos dos usuários (como smartphone, tablet ou computador) com o objetivo de viabilizar melhorias de funcionamento, desempenho e otimização da navegação, além de reconhecer o usuário nos próximos acessos.
Dado anonimizado: Dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Dado pseudoanonimizado: Dado pessoal que, após o seu tratamento, pode deixar de ser atribuído a um titular de dados específico, mas que possa ser identificado depois por meio de medidas técnicas e organizativas (ex.: separação e armazenamento controlado das informações de identificação).
Dados pessoais: Para fins desta Política, entende-se como dados pessoais aqueles relacionados à pessoa natural identificada ou identificável, tais como: nome, RG, CPF, telefone, fotografia, endereço de residência, de e-mail e de IP (protocolo de internet), testemunhos de conexão (cookies), etc.
Dados sensíveis: Dentro do conjunto de dados pessoais, há ainda aqueles que podem gerar preconceito e exigem um pouco mais de atenção, os chamados dados sensíveis, que geralmente incluem: dados de origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou a vida sexual, dado genético ou biométrico.
Encarregado ‘Data Protection Officer’ – “DPO”: Pessoa indicada pela PRIO para atuar como canal de comunicação entre os titulares dos dados pessoais, a ANPD e a própria Companhia.
Mascaramento de dados: Mascarar os dados tem o principal objetivo segurança de dados confidenciais contra acessos não autorizados. Na prática, as ferramentas de mascaramento de dados criam uma versão semelhante aos dados originais em termos de estrutura, mas sem revelar a sua verdadeira informação. Exemplifica-se o caso de um número de cartão em que os 12 primeiros dígitos são substituídos por “X”, deixando visíveis apenas os 4 últimos dígitos e impedindo que alguém faça o uso indevido.
Operadora: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome da Controladora.
Plano de Resposta a Incidentes ‘Incident Response Plan’ – “IRP”: Documento que dispõe sobre as medidas que devem ser tomadas no caso de um incidente de segurança em dados pessoais, contendo:(i) a definição de incidente para a empresa,(ii) descrição dos procedimentos a serem executados quando um incidente ocorrer,(iii) as ferramentas, tecnologias e recursos a serem utilizados em caso de incidentes, e(iv) descrição dos colaboradores que fazem parte do processo e quais são suas responsabilidades e ações.
Privacidade por Padrão ‘Privacy by Default’: Esse modelo significa que, quando uma empresa lança um produto ou um serviço no mercado, as configurações de privacidade devem ser padrão, ou seja, essas configurações de privacidade devem ser restritas e o usuário é quem deve autorizar o acesso à coleta.
Privacidade por Design ‘Privacy by Design’: Metodologia aplicada desde os primeiros estágios do desenvolvimento de um projeto ou processo que envolva o tratamento de dados pessoais, deve haver a observância de medidas que garantam a proteção de dados pessoais (e, consequentemente, a privacidade dos indivíduos sobre quem os dados pessoais dizem respeito).
Relatório de Impacto à Proteção de Dados Pessoais (“RIPD”) ‘Data Protection Impact Assessment’ – “DPIA”: Documento a ser elaborado pela empresa controladora, de forma prévia, sempre que houver o intuito de se tratar dados pessoais que possam gerar riscos às liberdades civis e aos direitos fundamentais. Ele deve ser construído para, sistematicamente, analisar, identificar e minimizar o risco de incidentes envolvendo os respectivos dados.
Titular de dados pessoais: Pessoa natural a quem os dados pessoais que estão sendo tratados se referem.
Transferência internacional: Transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
Tratamento de dados pessoais: Toda operação realizada com dados pessoais e/ou sensíveis, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Princípios
A PRIO segue os princípios gerais de proteção e os direitos do titular previsto na LGPD, conforme abaixo:
Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
Livre Acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
Qualidade dos Dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
Não Discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
Responsabilização e Prestação de Contas: demonstração, pela Companhia, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Diretrizes gerais
Tratamento de dados pessoais e sensíveis
– A Companhia busca garantir que os dados sejam tratados ao mínimo necessário para a realização de suas finalidades, de forma lícita, adequada, justa e transparente em toda extensão do ciclo de vida das informações.
– Os dados deverão ser armazenados de forma a permitir a identificação dos titulares de dados por um período definido para o tratamento, sendo excluído ou tornado anônimo quando o período for finalizado, com ressalva as hipóteses legais que autorizam a continuidade do tratamento.
– Os dados também deverão ser mantidos em segurança e protegidos contra o acesso e/ou tratamento não autorizados ou ilegais, e contra a perda, destruição ou danos acidentais, utilizando técnicas adequadas e medidas para garantir a sua qualidade, integridade e confidencialidade.
– Os processos que tratam dados pessoais devem ser mapeados e documentados por meio de uma ferramenta de mapeamento de dados para registro do inventário, a ser atualizado pelo menos uma vez por ano, e os que afiguram apresentar provável alto risco aos direitos e garantias fundamentais dos titulares, deverão ser submetidos a uma análise de impacto para emissão do Relatório de Impacto à Proteção de Dados (“RIPD”), e/ou quando determinado pela ANPD nos termos do regulamento aplicável.
Dados pessoais
– Os dados tratados pela PRIO devem ser legitimados por uma das seguintes bases legais:
(i) Consentimento do titular; (ii) Execução de contrato e procedimentos preliminares a ele relacionados; (iii) Cumprimento de obrigação legal ou regulatória pela Controladora; (iv) Exercício regular de direitos em processo judicial, administrativo ou arbitral; (v) Proteção da vida ou da incolumidade física do titular ou de terceiros; E (vi) legítimo interesse.
Dados pessoais sensíveis
– Tais dados deverão ser tratados por uma das seguintes bases legais:
(i) Quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; (ii) Para fins de execução das obrigações legais ou regulatórios, bem como de exercício dos direitos conferidos à PRIO ou ao titular de dados, especialmente os relacionados a gestão empregatícia, prestação de serviços, à seguridade social ou à segurança do trabalho; (ii) Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos e liberdades fundamentais do titular que exijam a proteção dos dados; (iii) Proteger os interesses vitais do titular de dados ou de outra pessoa natural; Ou (iv) para uso em processo judicial, administrativo e arbitral.
– O tratamento de dados sensíveis é realizado e incluído como uma etapa dentro da execução das atividades de rotina da PRIO e de suas controladas para este assunto. Nessas hipóteses, haverá o tratamento de dados sensíveis como: (i) Dados de saúde, com base no melhor interesse e benefício dos colaboradores em concessões de dispensas por atestados médicos, licenças médicas e procedimentos junto a organismos públicos e, também, para fins de monitoramento e salvaguarda dos colaboradores devido a pandemias ou situações graves e emergenciais; (ii) Dados biométricos e para reconhecimento facial, por meio do controle e monitoramento de acesso em ambientes controlados, com objetivo de garantir a saúde e segurança dos colaboradores e visitantes nas instalações da PRIO.
Dados de crianças e adolescentes
– Devem atender às finalidades específicas e ser coletados por meio do consentimento de, pelo menos, um dos pais ou pelo responsável legal. A coleta desta natureza de dados é realizada para: (i) Permitir a sua entrada nos estabelecimentos da PRIO; (ii) Administração de benefícios aos menores dependentes dos empregados da PRIO; E (iii) relações de trabalho para o caso da modalidade empregatícia de aprendizes.
– Quando o consentimento expresso for considerado como base legal para o tratamento de dados, as provas de consentimento ‘opt-in’ (expresso) e/ou de sua revogação deverão ser armazenadas no sistema eletrônico e/ou arquivo físico da Companhia. A revogação do consentimento pelo titular não afeta a legalidade do tratamento realizado previamente à revogação, bem como se, fundada em uma das hipóteses autorizativas previstas no rol do artigo 16 da LGPD, a PRIO poderá, mesmo após a sua revogação, conservar e manter os respectivos dados pessoais.
– Caso a base legal adequada seja o legítimo interesse, o documento de Avaliação de Legítimo Interesse (“LIA”) deverá ser registrado formalmente e devidamente armazenado pela Companhia, quando exigido para atender à legislação aplicável.
Finalidades de tratamento dos dados
– A Companhia realiza o tratamento estritamente para as finalidades definidas e embasadas em fundamentos legais previstos na LGPD, como execução de contratos, cumprimento de obrigações legais e regulatórias, análise estatística de resultados, entre outras e, ainda, com base em seu legítimo interesse, sempre no limite de sua expectativa, e nunca em prejuízo de interesses, direitos e liberdades fundamentais dos titulares de dados pessoais.
– O tratamento de dados deve ser realizado para finalidades legítimas, explícitas e específicas. A maioria dos dados pessoais que a PRIO trata é fornecida diretamente pelo próprio titular, por uma das seguintes razões: (i) Em razão das relações de trabalho para a formalização, administração, performance e/ou encerramento dos contratos de trabalho, contemplando ainda os contratos para estágios e de aprendizagem, bem como para o cumprimento das obrigações legais e contratuais advindas destas relações; (ii) Ainda no âmbito das relações de trabalho, para realização de diferentes processos internos da Companhia, tais como: gestão de benefícios e viagens, realização de pagamentos, gerenciamento de direitos de acesso e segurança em ambiente cibernético, realização de treinamentos, geração de relatórios, execução de auditorias internas e investigações de reclamações e denúncias; (iii) Para fins de recrutamento e seleção de potenciais de possíveis candidatos às vagas de emprego e estágio fornecidas pela PRIO; (iv) Para a gestão de contratos e o relacionamento com fornecedores, prestadores de serviços e clientes, nas interações e transações correlatas; (v) Para o banco de dados de fornecedores, prestadores de serviços e clientes, para gestão do relacionamento comercial e dos contratos com eles por meio das suas equipes; (vi) Para verificação de fatos relacionados a outros terceiros, tais como os associados aos projetos de responsabilidade social, doação e patrocínios; (vii) Para o cumprimento de obrigações legais, contratuais e regulatórias; (viii) Para o exercício regular de direitos em ações judiciais e arbitrais, como também nos processos administrativos; (ix) Para realização ou análise da viabilidade das transações incluindo as de ordem societária, como a reorganização societária, fusão, incorporação, cisão, constituição de entidades, consórcios e ‘joint venture’, cessão, transferência ou alienação de participação; (x) Para realizar a gestão de incidentes e pagamento de indenizações ou demais pagamentos que se justifiquem para remediar ou mitigar tais incidentes; (xi) Para garantir a saúde e a segurança dos empregados, prestadores de serviço, visitantes nos espaços físicos da PRIO, bem como a integridade patrimonial.
– Os dados pessoais serão tratados somente por profissionais devidamente autorizados, respeitando os princípios de proporcionalidade, necessidade, finalidade, segurança, prevenção e adequação para os objetivos propostos ao respectivo titular, além do compromisso de confidencialidade e preservação da sua privacidade nos termos desta Política.
Armazenamento dos dados e registros
– Os dados pessoais serão armazenados pelo período necessário e para o alcance das finalidades pretendidas, em um ambiente seguro e controlado, sendo observados os requisitos de segurança dispostos na legislação brasileira.
– O término do tratamento de dados pessoais, bem como sua eliminação ocorrerá quando: (i) For verificado que a finalidade para a qual o consentimento dado foi alcançada ou que os respectivos dados pessoais coletados deixaram de ser necessários ou pertinentes ao alcance da finalidade almejada e o tratamento não se embasar em nenhuma das bases legais que autorizam a continuidade das operações; (ii) Decorrer o fim do período de tratamento legal; (iii) Por meio de manifestação de vontade pelo titular do dado, ou seja, revogação do consentimento, quando cabível, através de nossos canais de atendimento; E (iv) houver alguma determinação legal.
– No entanto, por motivo de lei, regulamentação ou determinação judicial, os dados poderão ser mantidos por período superior, findo o qual, serão excluídos com uso de métodos de descarte seguro, sendo eles:
(i) Deleção direta da base de dados; (ii) Anonimização da informação; (iii) Pseudonimização dos dados; E (iv) destruição em caso de dados físicos.
– Os dados coletados são armazenados preferencialmente em servidores no Brasil, em formato que favoreça o exercício do direito de acesso. Eventualmente, os dados podem ser processados em outros países conforme a operação do provedor de infraestrutura demandar, sempre respeitando a legislação brasileira.
Direitos do titular de dados
– Observado o disposto nesta Política, a PRIO reconhece e respeita os direitos dos titulares de dados pessoais, motivo pelo qual a Companhia conta com os meios adequados para responder e atender às requisições, considerando a legislação e os regulamentos aplicáveis e vigentes: (i) Confirmação de tratamento: confirmação da existência de tratamento dos dados. (ii) Acesso aos dados: acesso aos dados coletados pela PRIO, com exceção dos casos de proteção de segredo comercial e indústria. (iii) Correção de dados: solicitação da correção de informações incompletas, desatualizadas ou errôneas. (iv) Anonimização e bloqueio: anonimização e bloqueio de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na legislação aplicável. A anonimização se dará considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. (v) Informação sobre o compartilhamento de dados: informação ao titular sobre os dados pessoais que são compartilhadas com as entidades públicas e privadas. (vi) Revogação de consentimento: revogação do consentimento dado, a qualquer momento, mediante requerimento expresso do titular. O procedimento de revogação será sempre gratuito e facilitado. (vii) Eliminação dos dados pessoais: os dados pessoais serão eliminados ao término de sua finalidade ou no caso de o titular manifestar o desejo de revogação de seu consentimento para a realização daquele tratamento. Sujeito aos requerimentos legais, a Companhia pode manter o dado pessoal caso: (i) seja legalmente obrigada a mantê-los, (ii) para o cumprimento de regulamentos e/ou instruções que assim determinem; (iii) necessite dos dados para estabelecer, exercer ou defender reivindicações legais; e (iv) necessite manter o controle dos dados por razões de saúde pública.
– O titular de dados poderá exercer os direitos acima por meio do e-mail: [email protected]. Para tanto, a Companhia deverá observar os prazos estipulados na LGPD para confirmação de existência ou o acesso a dados pessoais, isto é, de imediato para resposta em formato simplificado, ou em até 15 (quinze) dias, contados da data do requerimento do titular, em formato completo que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial da PRIO.
– Caso a solicitação seja referente a tratamentos em que a Companhia é apenas operadora dos dados pessoais, ou seja, realiza o tratamento em nome de suas associadas, a PRIO responderá ao titular, direcionando-o ao canal de contato das associadas para o devido atendimento de suas requisições e direitos.
Deveres do titular de dados
– O titular de dados deverá provar a sua legitimidade ao exercer os direitos previstos no item 6.4 acima, respondendo a questões iniciais como forma de sua autenticação (ex.: RG, CPF e data de nascimento) para uma primeira verificação pela Companhia.
– Quando aplicável, o titular de dados tem a responsabilidade de proteger a confidencialidade de sua senha de acesso aos serviços da Companhia, inclusive para prevenir o uso não autorizado.
Compartilhamento dos dados pessoais com terceiros
– Para cumprir com as finalidades descritas nos tópicos anteriores, a PRIO pode ser assistida por terceiros indicados pela Companhia, incluindo suas controladas. O compartilhamento é pautado por obrigações e responsabilidades entre as partes visando impedir que estas utilizem os dados pessoais de maneira diferente daquela estabelecida pela Companhia e/ou que violem as legislações aplicáveis ao tema. Tais entidades também possuem o dever de tratar os dados com base nas melhores práticas em segurança da informação e de mantê-los apenas pelo período proposto de acordo com as finalidades e as bases legais. Estas obrigações se mantêm mesmo após o fim do relacionamento entre as partes.
– A Companhia, como responsável pelo tratamento de dados pessoais, exige contratualmente que os seus fornecedores e parceiros, criteriosamente escolhidos, atuem de forma segura e adotem todas as medidas técnicas e organizacionais de segurança da informação para garantir o cumprimento da legislação aplicável de privacidade e proteção de dados pessoais e, adicionalmente, desta Política.
– Em algumas circunstâncias, a PRIO pode ser legalmente obrigada a compartilhar dados desta natureza para atender a questionamentos ou investigações, conforme exigido por lei e/ou por solicitação oficial de autoridade competente.
Transferência internacional de dados
– A Companhia, para o melhor fornecimento dos seus produtos e serviços pode, em algumas circunstâncias e quando necessário, compartilhar os dados pessoais com a matriz, entidades controladas, ou com as empresas processadoras contratadas e sediadas fora do território nacional, sempre em conformidade com a legislação aplicável e de acordo com as cláusulas contratuais pertinentes, incluindo para fins de armazenamento in cloud (nuvem). Neste caso, a Companhia deve realizar tal transferência para países ou organismos internacionais que detêm grau de proteção de dados pessoais adequado aos parâmetros exigidos pela legislação aplicável ao tema ou oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados.
– A PRIO utilizará uma das seguintes garantias: (i) cláusulas contratuais específicas para determinada transferência; (ii) cláusulas contratuais padrão ou(iii) documentos normativos adequados.
Confidencialidade dos dados pessoais
– Os dados pessoais estão sujeitos ao sigilo de dados. Qualquer coleta, processamento ou uso não autorizado de tais dados pelos empregados da PRIO e/ou de controladas e seus prestadores de serviços é proibido.
– Será considerado como não autorizado qualquer tratamento de dados realizado pelos empregados da PRIO e/ou de controladas e seus prestadores de serviços que não tenham sido previamente autorizados a tal.
– Os empregados da PRIO e/ou de controladas e seus prestadores de serviços podem ter acesso aos dados pessoais, mas tal acesso deve se limitar estritamente para o tipo e o escopo da tarefa sob sua responsabilidade, na forma de gestão de acessos e segregação de funções.
– Os empregados da PRIO e/ou de controladas e seus prestadores de serviços estão proibidos de usar dados pessoais para fins particulares, mesmo que não econômicos, divulgá-los a pessoas não autorizadas ou disponibilizá-los de qualquer outra forma.
– Os empregados da PRIO e/ou de controladas e seus prestadores de serviços devem proteger as informações e garantir o sigilo dos dados pessoais. Esta obrigação permanecerá em vigor mesmo após o término do vínculo empregatício ou da prestação de serviços.
Segurança de dados pessoais
– Seguindo os conceitos desta Política e de ‘Privacy by Design’ e ‘Privacy by Default’, a PRIO adota medidas técnicas e organizacionais de segurança da informação que garantem a confidencialidade, a integridade e a disponibilidades dos dados pessoais tratados, conforme disposto na Política de Segurança da Informação da Companhia.
– Os dados pessoais devem ser protegidos contra o acesso não autorizado, o tratamento ou a divulgação ilegal, bem como a perda acidental, modificação ou destruição, segundo os requerimentos legais. Isto se aplica independentemente do fato de tais dados serem processados de forma eletrônica ou impressa, em papel.
– Antes da introdução de novos métodos de tratamento de dados, devem ser definidas e implementadas medidas técnicas e organizacionais apropriadas para proteger os dados pessoais. Essas medidas devem se basear em riscos de segurança e proteção de dados e na necessidade de proteção desses dados, associadas, quando for o caso, no processo de classificação das informações. Adicionalmente, a PRIO se compromete a prover soluções adequadas de backup e restauração dos dados, para garantir a disponibilidade das informações.
-Na hipótese de eliminação de dados pessoais, esta deve ser realizada de maneira segura, em linha com as medidas técnicas cabíveis, de modo a assegurar que os dados pessoais excluídos não possam ser recuperados.
Regras para o tratamento da violação de dados pessoais
– Em casos de violações de dados pessoais, todos os empregados da PRIO e/ou de controladas e seus prestadores de serviço que são operadores dos respectivos dados, devem informar o fato imediatamente a seu gestor imediato e a equipe de Compliance e Privacidade da PRIO por meio do e-mail.
– As violações de dados pessoais deverão ser tratadas pelo Encarregado (“DPO”) ou pelos responsáveis indicados por ele, conforme o Plano de Resposta a Incidentes.
– A equipe de Compliance e Privacidade da PRIO deve fiscalizar a atuação das áreas de negócios quanto ao tratamento dos dados pessoais garantindo que este seja realizado de acordo com os limites dispostos na legislação de proteção de dados.
Encarregado de Proteção de Dados Pessoais (DPO)
– O responsável pelo Programa de Privacidade e Proteção de Dados da PRIO é o Encarregado (“DPO”) pelo tratamento de dados pessoais, a ser designado pela Diretoria Executiva da Companhia.
– As principais atribuições do Encarregado na PRIO compreendem, sem prejuízo de demais atividades estabelecidas em políticas, normas e procedimentos específicos que compõem o Programa de Privacidade e Proteção de Dados: (i) Gestão do Programa de Privacidade e Proteção de Dados; (ii) Desenvolvimento, manutenção, propositura e revisão de Políticas, Normas e Procedimentos de privacidade da Companhia, inclusive desta Política; (iii) Fiscalização do cumprimento desta Política e demais documentos normativos relativos ao Programa de Privacidade e Proteção de Dados; (iv) Monitoramento do nível de conformidade da Companhia, por meio de análises de diagnóstico anuais com a definição de planos de ação para melhorar as iniciativas de comunicação, treinamento e a clareza dos documentos que integram o Programa de Privacidade e Proteção de Dados; (v) Atuação como ponto de contato para a ANPD e os titulares; (vi) Recepção e atendimento das requisições dos titulares; (vii) Preparo dos Relatórios de Impacto à Proteção de Dados Pessoais (“RIPD”), com apuração e revisão dos riscos das atividades.
– Além das atribuições específicas do Encarregado, é responsabilidade de todos os colaboradores, fornecedores, prestadores de serviço e demais parceiros da PRIO, a observância às diretrizes do Programa de Privacidade e Proteção de Dados, garantindo que os dados pessoais tratados nos processos operacionais da sua área de atuação sejam utilizados e protegidos conforme esta Política.
Equipe de Compliance e Privacidade (2ª Linha)
– A equipe de Compliance e Privacidade possui especial responsabilidade pelo tratamento dos dados pessoais nos processos e sistemas da sua área, e devem garantir a conformidade com esta Política e com a LGPD. O uso dos dados pessoais em discordância com as diretrizes da lei, e a falta de atenção na sua proteção, podem ocasionar graves incidentes e prejudicar a PRIO e os titulares dos dados. São responsabilidades da área: (i) Garantir o cumprimento desta Política e demais normas e procedimentos de proteção de dados pessoais que forem emitidos, por todos os colaboradores sob sua responsabilidade; (ii) Manter as Normas e os Procedimentos da área alinhados com esta Política; (iii) Orientar os colaboradores que, por necessidade e natureza do trabalho, tenham de manusear ou tomar conhecimento de documentos e arquivos com dados pessoais, quanto ao zelo que devem ter com tais dados; (iv) Garantir que parceiros, terceiros, prestadores de serviços, fornecedores, temporários e contratados sob sua responsabilidade, estejam cientes e trabalhem conforme esta Política; (v) Acionar o Encarregado (DPO) para orientações sobre o Programa de Privacidade e Proteção de Dados, inclusive em situações de dúvidas ou tomada de decisão.
Penalidades
Violações a esta Política, Normas, Procedimentos e orientações da Companhia relacionadas à proteção de dados sujeitam os infratores a consequências, que incluem advertência verbal ou formal, suspensão ou demissão, observado o disposto no artigo 482 da Consolidação das Leis do Trabalho. As medidas disciplinares são aplicadas considerando a gravidade da infração, efeito alcançado, e a recorrência da conduta, após recomendação do DPO e da Gerência de Recursos Humanos, e de acordo com a análise e deliberação do Comitê de Ética e Compliance ou do Conselho de Administração.
Disposições gerais
– Os dados pessoais coletados devem ser tratados e conservados apenas enquanto forem necessários para o cumprimento de suas respectivas finalidades, observando-se a legislação aplicável quanto à prescrição de direitos e as regulamentações de agências e órgãos reguladores e fiscalizadores.
– Excepcionalmente, os dados pessoais podem ser mantidos nos arquivos da PRIO para o cumprimento e observância aos prazos prescricionais legais ou ainda para o atendimento de questões regulatórias, observado o disposto no item 6.3.3 acima.
– Todas as áreas da PRIO devem atuar em conjunto com a equipe de Compliance e Privacidade na gestão efetiva dos dados pessoais que tratem, observando os respectivos estágios e ciclos de vida dos dados, mantendo-os devidamente atualizados e em conformidade com a legislação de proteção de dados pessoais.
– A Companhia se compromete a publicar os contatos da equipe de Compliance e Privacidade e do DPO nos canais de comunicação oficiais da PRIO.
– Na ocorrência de incidentes de segurança e privacidade e/ou eventos que importem na violação de proteção dos dados dos titulares, a PRIO se compromete a comunicar às partes relevantes e interessadas, como a ANPD e notificar aos titulares dos dados acerca dos riscos aos quais estejam expostos.
– Em caso de conflitos entre esta Política e a lei vigente, prevalecerão as disposições legais.
– Esta Política deverá ser revisada periodicamente, no mínimo 1 (uma) vez a cada 3 (três) anos ou sob demanda.
Disposições gerais
Este aviso de privacidade tem por objetivo demonstrar os compromissos da Petro Rio S.A. (“PRIO”) relativos à privacidade e à proteção dos dados pessoais e sensíveis, sempre de forma segura, transparente e de acordo com as legislações em vigor.
O objetivo deste aviso de privacidade é esclarecer como a PRIO realiza o tratamento dos dados pessoais de todos os seus colaboradores, ajudando-os a entender quais são os tipos de informações tratadas, por qual motivo as coletamos, se as compartilhamos e com quem. Além disso, informamos quais são os direitos dos titulares pessoais e como exercê-los junto à PRIO.
Equipe
Equipe de Compliance e Privacidade: [email protected]
Encarregado de Proteção de Dados (DPO):
Emiliano Fernandes
Por meio do e-mail [email protected]
Ou via correios pelo endereço: Praia de Botafogo, nº 370 – 13º andar – Botafogo, Rio de Janeiro – RJ, CEP 22250-040.
Bem-vindo(a) ao Formulário para Solicitações dos Titulares de Dados Pessoais
A Petro Rio S.A. (“PRIO”) está comprometida com o cumprimento de todas as exigências legais e regulamentares aplicáveis relacionadas à privacidade e proteção de dados pessoais.
Este formulário foi criado para ser o meio de contato entre a PRIO e você (titular de dados). Aqui você poderá realizar solicitações relacionadas a Lei Geral de Proteção de Dados Pessoais (LGPD).
Antes de enviar sua solicitação recomendamos que você leia o nosso Aviso de Privacidade. Agradecemos o seu contato!