top of page

POLÍTICA DE PROTECCIÓN DE DATOS Y PRIVACIDAD

Objetivo

Esta política describe cómo se deben tratar y controlar los datos personales para cumplir con los estándares de protección de datos de la empresa y cumplir con la ley.

Objetivo

DOXA ADVISERS, en adelante la empresa, necesita tratar determinada información sobre personas físicas. Estos incluyen consultores, proveedores, contactos comerciales, empleados y cualquier otro individuo con quien la organización tenga una relación o tenga información personal.

Esta política describe cómo se deben tratar y controlar dichos datos personales para cumplir con los estándares de protección de datos de la empresa y cumplir con la ley.

Esta política de protección de datos garantiza que la empresa:

  • Cumplir con las leyes de protección de datos y seguir las buenas prácticas y códigos de conducta

  • Proteja los derechos de todas las personas vivas cuyos datos usted controla y procesa

  • Informes sin restricciones sobre cómo la organización controla y procesa los datos de una persona física viva

  • Protéjase de los riesgos de violaciones de datos y fugas de información

  • Proteja su información confidencial.

El objetivo principal es garantizar la privacidad de los datos personales de las personas y permitir un mayor control sobre los mismos. Además, la Ley crea reglas claras sobre los procesos de recolección, almacenamiento y compartición de esta información, contribuyendo a promover el desarrollo tecnológico en la sociedad y la defensa de los derechos de los titulares y consumidores en general.

La Ley de Protección de Datos

La Ley General de Protección de Datos – LGPD n. 13.709 del 14 de agosto de 2018 – fue creada e implementada para atender una urgente necesidad de protección de datos, con el fin de sancionar de manera más objetiva el uso indebido de datos personales por parte de las empresas.

El reglamento da mayor protagonismo al titular de los datos y deja clara y objetiva la necesidad del consentimiento explícito del titular de la información, dándole control sobre el uso, procesamiento, modificación, portabilidad y eliminación de estos datos de forma práctica y no burocrática.

Esto evitará que las empresas utilicen tácticas como hacer disponibles los términos de uso de datos de manera oscura, sin dejar claro al usuario qué se hará y los objetivos de la recopilación de la información.

La LGPD describe cómo las organizaciones, incluidas las empresas, deben recopilar, procesar y almacenar información personal.

Principios de la LGPD

A LGPD em seu Art. 6º exige que os dados pessoais sejam tratados de forma lícita e transparente. Além de informar e garantir, ao cidadão, o cumprimento da Lei  e o tratamento correto dos seus dados pessoais. E estabelece 10 medidas:

 

1. FINALIDADE

A LGPD exige que exista uma finalidade específica para tratamento dos dados pessoais. A empresa não pode simplesmente coletar os dados pessoais para fins indefinidos. Além disso, a empresa deve informar o titular dos dados, de forma clara e objetiva, porque está coletando e como está usando os dados dele. E não pode alterar o motivo após informá-lo.

 

2. ADEQUAÇÃO

A empresa deve coletar apenas os dados que sejam compatíveis com o contexto e a finalidade informada ao titular dos dados. Por exemplo, caso os dados coletados sejam para efetivar inscrição num curso, você deve garantir ao titular que os dados serão usados apenas para finalidade de matrícula formal no curso e cumprimento de legislações específicas.
 

3. NECESSIDADE

 

Os dados pessoais devem ter o volume apropriado, que esteja adequado ao propósito e não possa ultrapassar a quantidade necessária para realizar o tratamento de dados. Ou seja, além de garantir que os dados são adequados, o controlador, ou seja –  a empresa –  deve obter apenas o mínimo necessário de dados pessoais para realização de suas finalidades informadas ao titular.

 

4. LIVRE ACESSO

A empresa deve oferecer acesso livre e gratuito para que o titular consulte seus dados, a forma como estão sendo tratados, e o tempo durante o qual serão tratados.

 

5. QUALIDADE DOS DADOS

O titular pode conferir se os seus dados são exatos, claros, relevantes e atualizados de acordo com a necessidade e cumprimento da finalidade do tratamento. A empresa deve garantir que os dados pessoais sejam exatos e estejam atualizados, tendo em conta as finalidades para as quais são tratados, e corrigi-los caso seja necessário.

 

6. TRANSPARÊNCIA

A empresa deve garantir, ao titular, informações claras, precisas e facilmente acessíveis sobre como o tratamento é feito e quem são os agentes responsáveis pelo tratamento. Os segredos comercial e industrial não são necessários apresentar, neste caso.

 

7. SEGURANÇA

A empresa deve apresentar garantias técnicas e administrativas adequadas para garantir a segurança dos dados pessoais, incluindo a proteção contra o seu tratamento não autorizado, ilícito, contra a sua perda, destruição ou danificação acidental, adotando as tecnologias adequadas.

 

8. PREVENÇÃO

Além da segurança, é essencial que a empresa apresente as medidas adotadas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

 

9. NÃO DISCRIMINAÇÃO

A coleta de dados pessoais não pode ser usada para fins discriminatórios, ilícitos ou abusivos.

 

10. RESPONSABILIDADE E PRESTAÇÃO DE CONTAS

O agente deverá demonstrar, quando solicitado, a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Derechos individuales

La LGPD está dedicada, en el Capítulo III, a los derechos de los titulares de datos personales. Sin embargo, antes de profundizar en su examen específico, es importante destacar que, en capítulos anteriores, la LGPD ya ha abordado varios de estos derechos.

A modo de sistematización, se presenta inicialmente la lista de derechos de los titulares que ya habían sido previstos en los primeros artículos de la ley:

Captura de pantalla 2024-08-25 222425.png

Es importante resaltar que varios de los derechos de los titulares de datos personales surgen directamente de los principios que la LGPD contempla en su art. 6º, como las siguientes:

Captura de pantalla 2024-08-25 222715.png
Captura de tela 2024-08-25 222729.png
Captura de pantalla 2024-08-25 222738.png

Por último, es importante destacar que, con base en el art. 7º La LGPD ya empieza a abordar varias cuestiones relacionadas con los derechos de los interesados:

Captura de pantalla 2024-08-25 223343.png
Captura de pantalla 2024-08-25 223333.png
Captura de pantalla 2024-08-25 223322.png
Captura de pantalla 2024-08-25 223239.png

Neste documento estamostratando dos seguintes direitos para os indivíduos:

 

  • O direito de ser informado

  • O direito de acesso

  • O direito de retificação

  • O direito de apagamento

  • O direito de restringir o tratamento

  • O direito à portabilidade de dados

  • O direito de oposição

  • Direitos em relação à criação de perfis e decisões automatizadas.

Alcance

Esta política se aplica a:

  • A la sede de la empresa

  • A todas las sucursales de la empresa

  • A todo el equipo y a todos los empleados de la empresa.

  • A todos los contratistas, proveedores y otras personas que trabajan en nombre de la empresa.

Se aplica a todos los datos que la empresa posee en relación con personas que pueden ser identificadas, incluso si esta información está técnicamente fuera del alcance de la LGPD. Esto puede incluir, pero no se limita a:

  • Cualquier otra información que pueda utilizarse para inferir la identidad de un individuo

  • Información genética y biométrica

  • Información sobre la salud física o mental

  • Información sobre creencias políticas, religiosas o filosóficas

  • Información de propiedad de la empresa

  • Cualquier información de propiedad perteneciente a terceros que la Compañía esté contractualmente obligada a proteger.

Riesgos de protección de datos

Esta política ayuda a proteger a la empresa de algunos riesgos de seguridad de datos, incluidos:

  • Violaciones de la confidencialidad. Por ejemplo, la distribución indebida de información de manera inapropiada.

  • La no oferta de elección. Por ejemplo, todas las personas deberían tener la libertad de elegir cómo la empresa utiliza los datos relacionados con ellas.

  • Daño a la reputación. Por ejemplo, la empresa podría sufrir si los piratas informáticos obtienen acceso a datos confidenciales.

  • Daños a las operaciones comerciales causados por la divulgación de información confidencial

  • Acciones legales derivadas de incidentes de vulneración de la confidencialidad de datos personales, como los ejemplificados anteriormente.

Responsabilidades

Todos los que trabajan para o con la empresa tienen cierta responsabilidad de garantizar que los datos se controlen y se traten adecuadamente.

Cualquier grupo que maneje datos sensibles debe asegurarse de que los mismos sean tratados de conformidad con esta política, las buenas prácticas de protección de datos o cualquier normativa o estándar aplicable.

Roles

A lei detalha os papéis de quatro diferentes agentes: o titular, o controlador, o operador e o encarregado.

  • O titular: é a pessoa física a quem se referem os dados pessoais que serão tratados.

  • O controlador:  é a empresa ou pessoa física que coleta dados pessoais e toma todas as decisões em relação à forma e finalidade do tratamento dos dados. O controlador é responsável por como os dados são coletados, para que estão sendo utilizados e por quanto tempo serão armazenados.

  • O operador: é a empresa ou pessoa física que realiza o tratamento de dados pessoais sob as ordens do controlador.

  • O encarregado (DPO - Data Protection Officer): é a pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional), além de orientar os funcionários do controlador sobre práticas de tratamento de dados. Ele é responsável por supervisionar a estratégia e a implementação da proteção de dados para garantir a conformidade com os requisitos não só da LGPD, mas também de outras normas internacionais às quais a empresa eventualmente esteja submetida quando se coloca no papel de controlador ou operador, recebendo, tratando e solucionando as reclamações e comunicações dos titulares de dados e da autoridade nacional e orientando colaboradores e terceiros a respeito das melhores práticas no que tange ao tratamento de dados pessoais. Ou seja, sua função será a de educar sobre os requisitos de conformidade, treinar todos os envolvidos, realizar auditorias regulares de segurança, manter registros abrangentes de todas as atividades e atuar como interface entre a organização, os titulares dos dados e a Agência Nacional de Proteção de Dados (ANPD). A norma não inclui uma lista de credenciais para o DPO, mas recomenda-se fortemente que seja um profissional, ou uma empresa, que tenha conhecimento especializado de leis e práticas de proteção de dados, que esteja alinhado com as operações, a infraestrutura e os sistemas de tecnologia da informação da organização e, principalmente, que conheça os riscos envolvidos neste particular, considerando as especificidades do negócio e da empresa. Idealmente, o DPO deve ter habilidades de gerenciamento e capacidade de interagir com a equipe interna, terceiros, titulares de dados e órgãos oficiais. É necessário que as informações de identidade do DPO, bem como as informações de contato, sejam públicas e divulgadas de forma clara e objetiva.

 

A alta gestão é a responsável por garantir que a empresa cumpra as suas obrigações legais.

 

A área de segurança da informação é responsável por:

  • Manter a diretoria atualizada sobre responsabilidades, riscos e problemas referentes à proteção de dados.

  • Revisar todos os procedimentos de proteção de dados e políticas relacionadas, de acordo com um cronograma acordado.

  • Organizar treinamentos e assessoria sobre proteção de dados para as pessoas cobertas por esta política.

  • Responder perguntas sobre proteção de dados da equipe e de qualquer outra pessoa coberta por esta política.

  • Lidar com pedidos de indivíduos para ver os dados que a empresa detém sobre eles, conhecidos como solicitações de acesso dos titulares.

  • Verificar e aprovar qualquer contrato ou acordo com terceiros que possam lidar com os dados confidenciais da empresa.

 

O departamento de TI é responsável por:

  • Garantir que todos os sistemas, serviços e equipamentos usados para armazenar dados cumpram padrões de segurança aceitáveis.

  • Realizar depurações e verificações frequentes para garantir que o hardware e software de segurança estejam funcionando adequadamente.

  • Avaliar a segurança de qualquer serviço de terceiros que a empresa esteja considerando usar para armazenar ou tratar dados. Por exemplo, serviços de computação em nuvem.

 

O departamento de marketing é responsável por:

  • Aprovar todas as declarações de proteção de dados anexadas a comunicações, como, p. ex.,  e-mails e cartas.

  • Abordar qualquer pergunta sobre proteção de dados feita por jornalistas ou meios de comunicação como jornais.

  • Trabalhar com outros membros da equipe, sempre que necessário, para garantir que as iniciativas de marketing respeitem os princípios de proteção de dados.

Responsabilidades generales del equipo:

  • As únicas pessoas capazes de acessar os dados cobertos por esta política devem ser aquelas que, necessariamente, precisem deles para executar seu trabalho.

  • Os dados não devem ser compartilhados informalmente. Quando o acesso a informações confidenciais for necessário, os funcionários podem solicitá-lo de seus gerentes de linha.

  • A empresa treinará todos os funcionários para ajudá-los a entender suas responsabilidades ao lidar com dados, de acordo com a Política de Treinamento.

  • Os funcionários devem zelar pela segurança de todos os dados, seguindo as diretrizes das políticas de segurança da informação e os procedimentos da empresa.

  • As senhas devem ser gerenciadas conforme estipulado na Política de Senhas.

  • Dados pessoais nunca devem ser divulgados a pessoas não autorizadas, seja dentro ou fora da empresa.

  • Se um funcionário suspeitar de uma violação ou ocorrência de segurança, ele deve reportá-la ao departamento de segurança da informação.

  • Os dados devem ser revisados com frequência e atualizados se estiverem defasados. Se não forem mais necessários, eles devem ser excluídos e descartados conforme estipulado no Procedimento de Descarte.

  • Os funcionários devem pedir ajuda ao seu gerente de linha, departamento de segurança da informação, ou ENCARREGADO (Data Protection Officer, na sigla em inglês) se não tiverem certeza sobre qualquer aspecto da proteção de dados.

  • Ter conhecimento e utilizar todas as políticas aplicáveis.

Capacitación

Todo el personal recibirá capacitación sobre esta política, las políticas que la respaldan y los procedimientos de la empresa. Cuando una nueva persona se une al equipo, recibirá capacitación como parte del proceso de incorporación. Se ofrecerá capacitación adicional periódicamente o cuando haya un cambio significativo en la Ley o en las políticas y procedimientos.

Los registros de estas capacitaciones se mantendrán como parte de la Política de Capacitación y se almacenarán en los registros de capacitación.

Los principios de protección de datos

Condiciones justas, legales y transparentes para el tratamiento:


La empresa garantizará que cualquier procesamiento de datos personales tenga una base legal documentada. Todos los responsables del tratamiento de datos personales conocerán las condiciones del tratamiento. Las condiciones del tratamiento estarán disponibles para los interesados en forma de aviso de privacidad o de aviso de tratamiento legal.

Avisos de privacidad

Para garantizar un procesamiento legítimo, legal y transparente, se deben emitir avisos de privacidad y avisos de procesamiento legítimo a los titulares de los datos para que sepan cómo la empresa pretende utilizar y proteger sus datos.
Estos avisos deben:

  • Declarar los fines del tratamiento de datos.

  • Informar la información que debe conservarse

  • Indique la base legal para el tratamiento de los datos, indique el plazo durante el cual se conservarán los datos

  • Declarar las medidas adoptadas para proteger todos los datos

  • Indique los terceros que pueden acceder a estos datos

  • Facilitar los datos de contacto del Delegado de Protección de Datos (DPD)

  • Proporcionar los datos de contacto del Delegado de Protección de Datos (DPD) de terceros

  • Informar a los interesados sobre sus derechos

Precisión

Al recopilar o procesar datos, la empresa debe seguir el Procedimiento de garantía de calidad de datos al recopilar y garantizar que cualquier dato personal procesado sea correcto y esté actualizado.


Los interesados tienen la responsabilidad de tomar medidas razonables para garantizar que los datos personales de la empresa sean precisos y se mantengan actualizados según sea necesario.


Por ejemplo, si sus circunstancias personales cambian, deberán informar a la empresa para que sus registros puedan actualizarse.

Adequação e Relevância

La empresa debe garantizar que todos los datos personales recopilados se utilicen únicamente para el propósito para el que fueron obtenidos. Los datos personales obtenidos para un fin no se utilizarán para ningún otro fin no relacionado, a menos que el individuo en cuestión haya dado su consentimiento o exista una obligación legal de hacerlo.

Retención de datos

La empresa no conservará datos personales durante más tiempo del necesario. La definición de lo que es necesario dependerá de las circunstancias de cada caso, teniendo en cuenta las razones por las que se obtuvieron los datos personales, pero deberá determinarse de manera consistente con las pautas de retención de datos de la empresa. El registro de activos de información de la empresa contiene la información del período de retención de cada activo. Esta conservación no afecta al derecho de supresión del interesado. Los activos deben enajenarse siguiendo el Procedimiento de Enajenación.

Seguridad de datos

La empresa debe mantener los datos confidenciales a salvo de pérdida, mal uso o divulgación no autorizada. Cuando otras organizaciones procesan datos personales como un servicio en nombre de la empresa, deben existir cláusulas contractuales para brindar el mismo nivel de protección de datos que la empresa. Para proporcionar un nivel consistente de protección de la información en toda la empresa, la Política de Seguridad de la Información debe implementarse y aplicarse mediante el uso de políticas y procedimientos de apoyo, capacitación y tecnologías apropiadas.

Privacidad por diseño y por defecto

La empresa está obligada a adoptar medidas de protección de datos, desde la creación de cualquier nueva tecnología o producto, desde su concepción. El DPO será responsable de realizar evaluaciones de impacto sobre la privacidad y garantizar que todos los proyectos de TI comiencen a incluir un plan de privacidad. Cuando sea pertinente y no haya un impacto negativo para el interesado, la configuración de privacidad se establecerá de forma predeterminada en la configuración más privada.

Evaluación de impacto de la protección de datos
{DPIA – Evaluación de Impacto de la Protección de Datos}

Siempre que el tratamiento de información personal pueda suponer un riesgo para los derechos y libertades de los interesados, se deberá realizar una evaluación de impacto de la protección de datos y los resultados deberán implementarse e incorporarse al diseño. Se deben almacenar registros de todas las evaluaciones de impacto de protección de datos y la evaluación debe llevarse a cabo de conformidad con el Procedimiento de evaluación de impacto de protección de datos.

Almacenamiento de datos

Todos os dados controlados pela empresa devem ser armazenados de maneira segura. Nos casos em que os dados são armazenados em papel impresso, eles devem ser armazenados em um local seguro, longe do acesso de pessoas não autorizadas. Os dados impressos devem ser triturados quando não forem mais necessários, de acordo com os padrões do Procedimento de Descarte. Os dados armazenados em um computador devem ser protegidos, conforme descrito na Política de Segurança da Informação. Os dados armazenados em CD's ou cartões de memória devem estar em conformidade com as diretrizes da Política de Mídia Removível. Devem ser efetuados backups frequentes dos dados, de acordo com os Planos de Continuidade e Recuperação de Desastres da empresa. Todos os servidores que contenham dados confidenciais devem ser aprovados e protegidos por software de segurança e firewalls fortes.

Transferencia internacional de datos

Sólo se permite en los casos previstos en la LGPD, que incluyen la transferencia a países con un nivel adecuado de protección (a definir por la ANPD) o mediante la utilización de cláusulas contractuales tipo, estándares corporativos globales, sellos y certificados y códigos de conducta aprobados por la ANPD, entre otros casos;

Derechos del titular de los datos

El arte. 17 de la LGPD dispone que “A toda persona física se le asegura la propiedad de sus datos personales y se le garantizan los derechos fundamentales de libertad, intimidad y privacidad, en los términos de esta Ley.

Luego, el arte. 18 establece que “El titular de datos personales tiene derecho a obtener del responsable del tratamiento, en relación con los datos del titular tratados por este, en cualquier momento y previa solicitud:

I – confirmación de la existencia del tratamiento;

II – acceso a los datos;

III – corrección de datos incompletos, inexactos o desactualizados;

IV – anonimización, bloqueo o supresión de datos innecesarios, excesivos o tratados en incumplimiento de lo dispuesto en esta Ley;

V – portabilidad de los datos a otro prestador de servicios o productos, previa solicitud expresa y en cumplimiento de los secretos comerciales e industriales, de conformidad con la normativa del organismo de control;

VI – supresión de datos personales tratados con el consentimiento del titular, salvo en los casos previstos en el art. 16 de esta Ley;

VII – información sobre entidades públicas y privadas con las que el responsable del tratamiento compartió datos;

VIII – información sobre la posibilidad de no prestar el consentimiento y sobre las consecuencias de la negativa;

IX – revocación del consentimiento, de conformidad con el § 5 del art. 8º de esta Ley.”

La empresa deberá respetar los derechos del interesado establecidos en la LGPD. Toda solicitud de un particular deberá ser tramitada por el DPO y se deberá emitir una respuesta en el plazo de 15 días. En casos justificados este plazo podrá prorrogarse excepcionalmente.

Consentir

La LGPD impone requisitos específicos para el consentimiento, que debe consistir en una manifestación previa, libre, informada e inequívoca, para una finalidad específica, y puede ser revocado en cualquier momento;

Cuando una empresa utiliza el consentimiento como base legal para el procesamiento de datos, debe existir un registro del consentimiento activo del interesado. El consentimiento debe recibirse de la manera descrita en el Procedimiento de gestión del consentimiento. El interesado tiene derecho a retirar este consentimiento en cualquier momento. Este derecho no afecta a ninguno de los demás derechos.

Cuando se procesen datos personales sensibles, se requerirá el consentimiento explícito del interesado para dicho procesamiento, a menos que se apliquen circunstancias excepcionales o exista una obligación legal de hacerlo [por ejemplo, para cumplir con las obligaciones legales para garantizar la salud y la seguridad en el trabajo]. Todo consentimiento de este tipo deberá identificar claramente cuáles son los datos relevantes, por qué se están procesando y a quién se divulgarán.

Si el titular de los datos es menor de 16 años, la empresa deberá obtener autorización del tutor legal del individuo.

El derecho a estar informado

Nos termos da LGPD os titulares dos dados têm o direito de ser informados sobre como seus dados são tratados. Para cumprir com esse direito, a empresa fornece as informações necessárias em seu aviso de tratamento legítimo.

El derecho de acceso

En relación con la LGPD, el derecho de acceso a los datos se complementa con el art. 19, según el cual “La confirmación de la existencia o el acceso a los datos personales se proporcionará, a solicitud del titular:

Yo – en formato simplificado, de inmediato; o

II – mediante declaración clara y completa, indicando el origen de los datos, la inexistencia de registro, los criterios utilizados y la finalidad del tratamiento, teniendo en cuenta los secretos comerciales e industriales, facilitada en un plazo de hasta 15 (quince) días, contados a partir de la fecha de la solicitud del titular.”

§ 1 del Arte. 19 refuerza además que “Los datos personales se almacenarán en un formato que favorezca el ejercicio del derecho de acceso”, y el § 2 determina que “La información y los datos podrán proporcionarse, a discreción del titular:

I – por medios electrónicos, seguros y adecuados para tal fin; o

II – en forma impresa.”

La intención de la LGPD es clara, a través de los dispositivos citados, de facilitar el acceso a los datos en todas sus formas.

Estas solicitudes deberán ser transmitidas al DPO para su tramitación.

Cuando se tramiten dichas solicitudes, se deberá enviar una respuesta al interesado en el plazo de 15 días. Las solicitudes deben registrarse y monitorearse y debe seguirse el proceso del Procedimiento de Solicitud de Acceso del Titular de los Datos.

El derecho a la portabilidad de datos

A LGPD prevê, em seu art. 18, V, o direito à “portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador”.

Trata-se, portanto, de direito que tem como um de seus objetivos principais o empoderamento e o reforço da autodeterminação informativa do titular. Com efeito, a portabilidade procura viabilizar o efetivo controle do titular sobre os seus dados para os mais diversos fins, possibilitando que sejam gerenciados e reutilizados, inclusive com o objetivo de facilitar a migração do titular para serviços concorrentes. Com isso, evita-se que os consumidores fiquem presos a determinado ofertante (efeito lock in) em virtude das dificuldades ou mesmo dos altos custos de troca (switching costs) que decorreriam da “perda” dos dados.

Daí a ideia de que o direito à portabilidade, para atingir tais propósitos, deve ser fácil, gratuito e assegurado de modo a permitir a usabilidade dos dados com eficiência e segurança.

Portanto, o titular dos dados deve ter o direito de receber uma cópia dos seus dados em um formato estruturado, mediante uma solicitação. Essas solicitações devem ser trabalhadas dentro de um mês, desde que não haja nenhum ônus indevido e não comprometa a privacidade de outras pessoas. Um titular de dados também pode solicitar que seus dados sejam transferidos diretamente para outro sistema. Isso deve ser feito gratuitamente.

 

Nos termos da LGPD, o titular dos dados pode solicitar que seus dados pessoais sejam transferidos de um controlador de dados para outro.

Esses pedidos devem ser passados para o ENCARREGADO (DPO) para tratamento.

 

Com relação a estas solicitações, uma resposta deve ser enviada ao titular dos dados dentro de um mês. Os pedidos devem ser registrados e monitorados e o processo descrito no Procedimento de Portabilidade de Dados deve ser seguido.

El derecho de rectificación

Dada la creciente importancia de los datos en la vida de las personas, es esencial establecer un tipo de proceso legal en relación con los datos, que permita a los titulares de los mismos corregir errores, inexactitudes o información desactualizada que pueda causarles daño. Según los términos de la LGPD, los interesados pueden solicitar que se corrija la información personal almacenada.

De acuerdo con lo dispuesto en el § 6 del art. 18 de la LGPD, el RESPONSABLE DEL TRATAMIENTO (DPD) deberá informar inmediatamente de la corrección a los encargados del tratamiento con los que haya compartido datos, garantizando con ello la plena efectividad del citado derecho.

Respecto de estas solicitudes se deberá enviar respuesta al interesado en el plazo de 15 días. Las solicitudes deben registrarse y monitorearse y debe seguirse el proceso descrito en el Procedimiento de solicitud de rectificación del titular de los datos.

El derecho al borrado

Según la LGPD, el interesado puede solicitar que se borre o elimine la información personal almacenada, y cualquier tercero que procese o utilice dichos datos también debe cumplir con la solicitud. Una solicitud de eliminación sólo podrá ser rechazada en casos excepcionales.

Estas solicitudes deberán ser transmitidas al DPO para su tramitación. Respecto de estas solicitudes se deberá enviar respuesta al interesado en el plazo de un mes. Las solicitudes deben registrarse y monitorearse y debe seguirse el proceso descrito en el Procedimiento de solicitud de eliminación de datos del titular de los datos.

El derecho a restringir el procesamiento

Según la LGPD, los interesados pueden solicitar la restricción del tratamiento de sus datos personales en los casos en que el interesado no desee que sus datos se borren, pero no quiera que se procesen.

Estas solicitudes deberán ser transmitidas al DPO para su tramitación. Respecto de estas solicitudes se deberá enviar respuesta al interesado en el plazo de 15 días. Las solicitudes deben registrarse y monitorearse y debe seguirse el proceso descrito en el Procedimiento de restricción de tratamiento.

El derecho a objetar

Según la LGPD, los interesados pueden oponerse al procesamiento si sospechan que sus datos están siendo procesados ilegalmente. Tras una objeción, el responsable del tratamiento de datos está obligado a investigar la reclamación y comunicar los resultados al interesado.

Estas solicitudes deberán ser transmitidas al DPO para su tramitación. Cuando se tramiten dichas solicitudes, se deberá enviar una respuesta al interesado en el plazo de un mes. Las solicitudes deben registrarse y monitorearse y debe seguirse el proceso descrito en el Procedimiento de Solicitud de Oposición del Titular de los Datos.

Derechos en relación con la elaboración de perfiles y la toma de decisiones automatizada

Según la LGPD, los interesados tienen derecho a ser informados si están sujetos a decisiones automatizadas y de las posibles consecuencias que dicha decisión automatizada pueda tener sobre ellos. Para cumplir con este derecho, se debe proporcionar la información necesaria en su aviso de procesamiento legal y la recopilación y documentación del consentimiento debe realizarse como se describe en el Procedimiento de consentimiento de recopilación.

Monitoreo del cumplimiento

Todos deben observar esta política. El DPO tiene plena responsabilidad por esta política. Debería existir un seguimiento constante para garantizar que se cumpla esta política.

Auditoría y registro de datos

Se realizarán auditorías de datos con frecuencia para gestionar y mitigar riesgos y proporcionar registro de datos. Contiene información sobre qué datos se almacenan, dónde se almacenan, cómo se utilizan, quién es responsable y cualquier otra norma o programa de retención que pueda ser relevante.

Denuncia de infracciones

Todos os membros da equipe têm a obrigação de relatar desconformidades de proteção de dados sejam elas existentes ou potenciais. Isso nos permite: -

  • Investigar a falha e tomar as medidas corretivas, se necessário

  • Manter um registro de falhas de conformidade

  • Notificar a Autoridade Supervisora [SA] de quaisquer falhas de conformidade que sejam materiais por direito próprio ou como parte de um padrão de falhas.

Consecuencias del incumplimiento

Cuando un empleado ha violado las políticas o procedimientos de la empresa, se pueden tomar las siguientes acciones:

Advertencia escrita: una advertencia oficial de que cualquier otra violación dará lugar a medidas adicionales.

Eliminación de privilegios: al empleado se le puede prohibir realizar determinadas acciones, acceder a determinados sistemas o utilizar determinados dispositivos.

Acción correctiva: Instruir al empleado para que actúe de manera que no se produzcan más infracciones, por ejemplo, mediante capacitación.

Terminación de la relación laboral.- El trabajador podrá dar por terminada su relación con la empresa.

Acción civil – El trabajador puede sufrir sanciones legales y tener que pagar una indemnización de acuerdo con la ley.

Acción penal - La empresa pasará detalles del delito a las autoridades con vistas a presentar cargos.

Contratistas externos

En los casos en que un tercero contratado haya incumplido obligaciones contractuales en materia de protección de datos, se podrán adoptar las siguientes acciones:

Advertencia escrita: una advertencia oficial de que cualquier otra violación dará lugar a medidas adicionales.

Eliminación de privilegios: al tercero contratado se le prohibirá realizar determinadas acciones, acceder a determinados sistemas o utilizar determinados dispositivos.

Acción correctiva – Instruir al tercero contratado para que actúe de manera que no se produzcan más infracciones, por ejemplo, mediante capacitación.

Auditoría de seguridad: una auditoría de los sistemas contratados por terceros para garantizar que aún cumplen con sus obligaciones.

Terminación del contrato: El contratista externo ya no debe ser contratado para trabajar para la empresa.

Acción civil - Se puede interponer una reclamación legal por daños y perjuicios contra el tercero contratado.

Acción penal l - La empresa pasará los detalles de la infracción a las autoridades con la intención de presentar una denuncia.

bottom of page