POLÍTICA DE PROTEÇÃO DE DADOS

Procedimento para cumprimento da Lei de Proteção de Dados Pessoais n° 29733

1. Contextualização

No Peru, a partir de outubro de 2013, está vigente a Lei n° 29733 – Lei de Proteção de Dados Pessoais e desde maio de 2015 é de cumprimento obrigatório por todas as empresas com operações no país.

Esta lei garante o direito primordial das pessoas à proteção de sua privacidade, todo tratamento de dados pessoais realizado pela COLTUR PERU S.A.C. (COLTUR) deve cumprir estritamente os princípios norteadores estabelecidos na lei.

2. Propósito

A Política de Proteção de Dados Pessoais tem por objetivo estabelecer diretrizes, recomendações e procedimentos a serem seguidos por todas as pessoas relacionadas com a COLTUR que em algum momento realizam operações de tratamento de dados pessoais, visando o cumprimento da Lei de Proteção de Dados Pessoais n° 29733.

3. Escopo

As diretrizes, recomendações e procedimentos estabelecidos neste documento são de caráter obrigatório e devem ser cumpridos por toda a equipe do Grupo COLTUR encarregada do tratamento de dados pessoais ou que interaja com dados pessoais.

4. Termos e definições

  • Banco de dados pessoais.

Conjunto estruturado de dados pessoais, automatizado ou não, independentemente do suporte, seja este físico, magnético, digital, óptico ou outros que seja criado; seja qual for a forma ou modalidade de sua criação, formação, armazenamento, organização e acesso. Por exemplo, a base de dados de Clientes da COLTUR.

  • Dados pessoais.

Informação relacionada a pessoa natural identificada ou identificável através de meios que podem ser usados. Por exemplo, os números de identidade dos clientes da COLTUR.

  • Operador de dados pessoais.

Pessoa natural ou jurídica, de direito público ou privado que, sozinha ou atuando conjuntamente com outra, realiza o tratamento de dados pessoais por encargo do controlador, em virtude de uma relação jurídica que a vincula a este e delimita o âmbito de sua atuação. Inclui quem realiza o tratamento sem a existência de um banco de dados pessoais.Por exemplo, os colaboradores da COLTUR com acesso ao banco de dados de clientes.

  • Transferência internacional de dados pessoais.

Transferência internacional de dados pessoais a um destinatário localizado em outro país diferente do país de origem dos dados pessoais, independentemente do suporte em que esses dados se encontram, dos meios utilizados para a transferência ou do tratamento que os dados recebam. Um exemplo deste conceito aconteceria no caso de que a COLTUR armazenasse sua base de dados de clientes em um serviço da Microsoft.

  • Nível suficiente de proteção de dados pessoais.

Nível de proteção que abrange, no mínimo, a consignação e o respeito aos princípios orientadores desta Lei, bem como medidas técnicas de segurança e confidencialidade adequadas, conforme a categoria dos dados tratados.

  • Titular de dados pessoais.

Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

  • Controlador

Pessoa natural ou jurídica, de direito privado ou público que determina a finalidade e conteúdo do banco de dados pessoais, o tratamento destes e as medidas de segurança.

  • Tratamento de dados pessoais.

Toda operação ou procedimento técnico, automatizado ou não, que permite a coleta, registro, organização, armazenamento, arquivamento, elaboração, modificação, extração, consulta, utilização, bloqueio, eliminação, comunicação por transferência, difusão ou qualquer outra forma de processamento que facilite o acesso, correlação ou interconexão dos dados pessoais.

5. Princípios norteadores

A Lei n° 29733 – Lei de Proteção de Dados Pessoais define os seguintes princípios orientadores:

Tabela 1. Princípios norteadores da Lei n° 29733

PrincípioDescrição
Princípio de legalidade e valor dos princípiosGarantir a boa-fé dos operadores no tratamento de dados pessoais, em conformidade com a normativa prevista.
A atuação dos titulares e operadores de tratamento de dados pessoais e, em geral, de todos os que intervenham com relação aos dados pessoais, deve cumprir os princípios norteadores detalhados neste documento.
Princípio de consentimentoO consentimento do titular dos dados pessoais deve ser solicitado no momento do registro de dados.
Princípio de finalidadeDevemos especificar a finalidade de coleta e armazenamento de dados pessoais.
Princípio de necessidadeDevemos buscar coletar apenas os dados mínimos necessários.
Princípio de qualidade dos dadosOs dados pessoais coletados devem ser preservados de forma a garantir sua segurança e apenas pelo tempo necessário para cumprir a finalidade do tratamento ou conforme exigido pela normativa.
Princípio de segurançaDevemos detalhar as medidas de segurança que usaremos para armazenar a informação no banco de dados pessoais.
Princípio de atendimento às demandasDeve detalhar-se o procedimento administrativo para que os titulares de dados pessoais possam apresentar pedidos de reclamação e reivindicação de seus direitos (correção, eliminação de dados pessoais).
Princípio de nível de proteção adequadoAplica-se apenas quando houver transferência internacional de dados pessoais. Devemos garantir um nível suficiente de proteção para os dados pessoais a serem tratados, que deve ser, pelo menos, equiparável ao previsto na lei ou aos padrões internacionais sobre o tema.

A seguir, serão detalhadas as diretrizes, recomendações e procedimentos para cada um dos princípios definidos:

5.1 Princípio de legalidade e valor dos princípios

  • O princípio de legalidade deve ser garantido sempre por meio de contrato, tanto para colaboradores internos do Grupo COLTUR quanto para prestadores de serviços e fornecedores externos.
  • No caso dos colaboradores internos do Grupo COLTUR, o cumprimento é garantido através da oitava cláusula do Contrato de trabalho.
  • No caso dos prestadores de serviços que participem nas operações do Grupo COLTUR, o cumprimento é garantido através da quinta cláusula: Confidencialidade do Contrato de Prestação de Serviços.
  • Para o caso de pessoas físicas ou jurídicas que, pela natureza de sua colaboração, precisem realizar alguma tarefa de tratamento de dados pessoais para o Grupo COLTUR e que não estejam contempladas nos itens ‘b’ ou ‘c’, deverão assinar manifestação expressa de compromisso com o cumprimento da Lei n° 29733 – Lei de Proteção de Dados Pessoais.

5.2 Princípio de consentimento

  • O consentimento para o tratamento de dados pessoais deve ser solicitado aos titulares dos dados pessoais de forma livre, prévia, informada, expressa e inequívoca, por meio da aceitação das condições propostas pelo Grupo COLTUR para a gestão desta informação.
  • Os titulares de dados pessoais fornecerão seu consentimento por meio do formulário “Autorização para o tratamento de dados pessoais e dados sensíveis.” O formulário pode ser digital, e com a aceitação do titular de dados pessoais no momento da coleta de dados, cumpre-se o princípio de consentimento.
  • O consentimento é solicitado no momento da coleta de dados. Embora o Grupo COLTUR não seja necessariamente o responsável por essa tarefa, ele realizará o tratamento de dados pessoais e deve verificar que, no momento da coleta de dados, o titular autorize o compartilhamento das informações com o Grupo COLTUR.

5.3 Princípio de finalidade

  • A(s) finalidade(s) de coleta de dados pessoais deve(m) ser apresentada(s) como parte do consentimento dado pelos titulares de dados pessoais. Desta forma, os titulares de dados pessoais são informados sobre a utilização de seus dados pessoais coletados. Um exemplo de finalidade poderia ser: “Gestão de reservas de hospedagem e/ou transporte: Os dados recebidos serão compartilhados principalmente com os fornecedores de serviços de hospedagem (hotéis) e transporte terrestre ou aéreo.”

5.4 Princípio de necessidade

  • Para o cumprimento deste princípio, é necessário elaborar um formulário de Mapeamento de dados pessoais, que descreva os dados pessoais coletados (ou recebidos de terceiros), a finalidade, e se esses dados são obrigatórios ou opcionais.

5.5 Princípio de qualidade dos dados

a. Para garantir a segurança de dados pessoais coletados, todos são armazenados em formato digital, protegidos por autenticação de usuário e senha, e pela segurança proporcionada pela rede interna do Grupo COLTUR. Mais informação sobre esse assunto será apresentada no item 5.6 Princípio de segurança.

b. Devido a possíveis auditorias e por questões tributárias, conforme regulamentado no Peru pela SUNAT, os dados pessoais dos clientes serão armazenados por um período de cinco anos a partir de seu registro no banco de dados pessoais e nas pastas de arquivos do Grupo COLTUR.

c. Atualmente, está sendo realizada uma adaptação na base de dados para que a partir de agosto de 2022 seja cumprido o determinado no item b.

d. Além disso, o Grupo COLTUR tem um mecanismo de TI-PR-008 Cópia de segurança de informação v2, destinado a garantir a segurança e persistência de dados pessoais armazenados.

5.6 Princípio de segurança

a. O Grupo COLTUR utiliza dois meios para armazenar os dados pessoais coletados. Uma base de dados local (banco de dados pessoais) e uma pasta de arquivos armazenada na nuvem por meio do serviço OneDrive da Microsoft.

b. A base de dados local é acessada por meio do Sistema de Gestão do Grupo COLTUR, que usa a autenticação por meio de credenciais de usuário e senha como mecanismo de segurança. Além disso, a base de dados está hospedada fisicamente nos servidores internos do Grupo COLTUR e seu acesso é restrito à rede interna do grupo.

c. O Sistema de Gestão do Grupo COLTUR, define perfis com acessos restritos aos dados pessoais armazenados. A criação e eliminação de novos usuários segue o procedimento definido no TI-PR-005 Atendimento para criação e eliminação de usuários.

d. A pasta de arquivos armazenada no OneDrive, serviço de nuvem da Microsoft, usa a autenticação por meio de credenciais de usuário e senha como mecanismo de segurança. Adicionalmente, os usuários com acesso permitido ao OneDrive estão organizados em perfis que permitem o acesso apenas aos dados pessoais necessários para o cumprimento das funções atribuídas ao seu perfil.

A Privacidade (de dados pessoais) da Microsoft pode ser consultada em: https://privacy.microsoft.com/pt-br/privacystatement. Além disso, a Microsoft oferece uma Central de Confiabilidade com recomendações e práticas implementadas no tratamento de dados pessoais oferecidas pelos seus clientes: https://www.microsoft.com/pt-br/trust- center/privacy/gdpr-overview.

5.7 Princípio de atendimento às demandas

O Grupo COLTUR definiu como mecanismo administrativo o uso do endereço eletrônico: info@colturperu.com para atender aos pedidos dos titulares de dados pessoais.

b. Os pedidos serão recebidos e processados pelas pessoas responsáveis pelo tratamento de dados pessoais e atendidos no prazo máximo de 30 dias úteis.

5.8 Princípio de nível de proteção adequado

a. Para o recebimento de dados pessoais por meio de transferência internacional, o Grupo COLTUR deve garantir que a informação enviada esteja protegida pelo menos por uma senha (Exemplo: comprimida em um arquivo ZIP ou protegida por senha fornecida pela Microsoft Office).

b. Quando o Grupo COLTUR realizar uma transferência internacional de dados pessoais, deve assegurar-se de que o destinatário apresente um nível de proteção adequado, conforme previsto na lei ou nos padrões internacionais de proteção de dados.

6. MEDIDAS A APLICAR

O descumprimento das diretrizes estabelecidas para qualquer um dos princípios resultará, de forma preventiva, na suspensão imediata do acesso aos recursos informáticos, com o objetivo de garantir a estabilidade e o bom funcionamento deles. O Departamento de TI é responsável por realizar auditorias para verificar o cumprimento das diretrizes estabelecidas para cada princípio descrito neste documento. Casou seja identificado um descumprimento, o Departamento notificará o usuário infrator por escrito, com cópia ao seu supervisor. Em caso de faltas graves e/ou reincidência, serão decididas, em coordenação com o Departamento de Recursos Humanos e a Gerência da área, as ações a serem tomadas.

9°11'23.9"S 75°0.909'O