POLÍTICA DE PROTEÇÃO DE DADOS
Procedimento para cumprimento da Lei de Proteção de Dados Pessoais n° 29733
1. Contextualização
No Peru, a partir de outubro de 2013, está vigente a Lei n° 29733 – Lei de Proteção de Dados Pessoais e desde maio de 2015 é de cumprimento obrigatório por todas as empresas com operações no país.
Esta lei garante o direito primordial das pessoas à proteção de sua privacidade, todo tratamento de dados pessoais realizado pela COLTUR PERU S.A.C. (COLTUR) deve cumprir estritamente os princípios norteadores estabelecidos na lei.
2. Propósito
A Política de Proteção de Dados Pessoais tem por objetivo estabelecer diretrizes, recomendações e procedimentos a serem seguidos por todas as pessoas relacionadas com a COLTUR que em algum momento realizam operações de tratamento de dados pessoais, visando o cumprimento da Lei de Proteção de Dados Pessoais n° 29733.
3. Escopo
As diretrizes, recomendações e procedimentos estabelecidos neste documento são de caráter obrigatório e devem ser cumpridos por toda a equipe do Grupo COLTUR encarregada do tratamento de dados pessoais ou que interaja com dados pessoais.
4. Termos e definições
- Banco de dados pessoais.
Conjunto estruturado de dados pessoais, automatizado ou não, independentemente do suporte, seja este físico, magnético, digital, óptico ou outros que seja criado; seja qual for a forma ou modalidade de sua criação, formação, armazenamento, organização e acesso. Por exemplo, a base de dados de Clientes da COLTUR.
- Dados pessoais.
Informação relacionada a pessoa natural identificada ou identificável através de meios que podem ser usados. Por exemplo, os números de identidade dos clientes da COLTUR.
- Operador de dados pessoais.
Pessoa natural ou jurídica, de direito público ou privado que, sozinha ou atuando conjuntamente com outra, realiza o tratamento de dados pessoais por encargo do controlador, em virtude de uma relação jurídica que a vincula a este e delimita o âmbito de sua atuação. Inclui quem realiza o tratamento sem a existência de um banco de dados pessoais.Por exemplo, os colaboradores da COLTUR com acesso ao banco de dados de clientes.
- Transferência internacional de dados pessoais.
Transferência internacional de dados pessoais a um destinatário localizado em outro país diferente do país de origem dos dados pessoais, independentemente do suporte em que esses dados se encontram, dos meios utilizados para a transferência ou do tratamento que os dados recebam. Um exemplo deste conceito aconteceria no caso de que a COLTUR armazenasse sua base de dados de clientes em um serviço da Microsoft.
- Nível suficiente de proteção de dados pessoais.
Nível de proteção que abrange, no mínimo, a consignação e o respeito aos princípios orientadores desta Lei, bem como medidas técnicas de segurança e confidencialidade adequadas, conforme a categoria dos dados tratados.
- Titular de dados pessoais.
Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
- Controlador
Pessoa natural ou jurídica, de direito privado ou público que determina a finalidade e conteúdo do banco de dados pessoais, o tratamento destes e as medidas de segurança.
- Tratamento de dados pessoais.
Toda operação ou procedimento técnico, automatizado ou não, que permite a coleta, registro, organização, armazenamento, arquivamento, elaboração, modificação, extração, consulta, utilização, bloqueio, eliminação, comunicação por transferência, difusão ou qualquer outra forma de processamento que facilite o acesso, correlação ou interconexão dos dados pessoais.
5. Princípios norteadores
A Lei n° 29733 – Lei de Proteção de Dados Pessoais define os seguintes princípios orientadores:
Tabela 1. Princípios norteadores da Lei n° 29733
A seguir, serão detalhadas as diretrizes, recomendações e procedimentos para cada um dos princípios definidos:
5.1 Princípio de legalidade e valor dos princípios
- O princípio de legalidade deve ser garantido sempre por meio de contrato, tanto para colaboradores internos do Grupo COLTUR quanto para prestadores de serviços e fornecedores externos.
- No caso dos colaboradores internos do Grupo COLTUR, o cumprimento é garantido através da oitava cláusula do Contrato de trabalho.
- No caso dos prestadores de serviços que participem nas operações do Grupo COLTUR, o cumprimento é garantido através da quinta cláusula: Confidencialidade do Contrato de Prestação de Serviços.
- Para o caso de pessoas físicas ou jurídicas que, pela natureza de sua colaboração, precisem realizar alguma tarefa de tratamento de dados pessoais para o Grupo COLTUR e que não estejam contempladas nos itens ‘b’ ou ‘c’, deverão assinar manifestação expressa de compromisso com o cumprimento da Lei n° 29733 – Lei de Proteção de Dados Pessoais.
5.2 Princípio de consentimento
- O consentimento para o tratamento de dados pessoais deve ser solicitado aos titulares dos dados pessoais de forma livre, prévia, informada, expressa e inequívoca, por meio da aceitação das condições propostas pelo Grupo COLTUR para a gestão desta informação.
- Os titulares de dados pessoais fornecerão seu consentimento por meio do formulário “Autorização para o tratamento de dados pessoais e dados sensíveis.” O formulário pode ser digital, e com a aceitação do titular de dados pessoais no momento da coleta de dados, cumpre-se o princípio de consentimento.
- O consentimento é solicitado no momento da coleta de dados. Embora o Grupo COLTUR não seja necessariamente o responsável por essa tarefa, ele realizará o tratamento de dados pessoais e deve verificar que, no momento da coleta de dados, o titular autorize o compartilhamento das informações com o Grupo COLTUR.
5.3 Princípio de finalidade
- A(s) finalidade(s) de coleta de dados pessoais deve(m) ser apresentada(s) como parte do consentimento dado pelos titulares de dados pessoais. Desta forma, os titulares de dados pessoais são informados sobre a utilização de seus dados pessoais coletados. Um exemplo de finalidade poderia ser: “Gestão de reservas de hospedagem e/ou transporte: Os dados recebidos serão compartilhados principalmente com os fornecedores de serviços de hospedagem (hotéis) e transporte terrestre ou aéreo.”
5.4 Princípio de necessidade
- Para o cumprimento deste princípio, é necessário elaborar um formulário de Mapeamento de dados pessoais, que descreva os dados pessoais coletados (ou recebidos de terceiros), a finalidade, e se esses dados são obrigatórios ou opcionais.
5.5 Princípio de qualidade dos dados
a. Para garantir a segurança de dados pessoais coletados, todos são armazenados em formato digital, protegidos por autenticação de usuário e senha, e pela segurança proporcionada pela rede interna do Grupo COLTUR. Mais informação sobre esse assunto será apresentada no item 5.6 Princípio de segurança.
b. Devido a possíveis auditorias e por questões tributárias, conforme regulamentado no Peru pela SUNAT, os dados pessoais dos clientes serão armazenados por um período de cinco anos a partir de seu registro no banco de dados pessoais e nas pastas de arquivos do Grupo COLTUR.
c. Atualmente, está sendo realizada uma adaptação na base de dados para que a partir de agosto de 2022 seja cumprido o determinado no item b.
d. Além disso, o Grupo COLTUR tem um mecanismo de TI-PR-008 Cópia de segurança de informação v2, destinado a garantir a segurança e persistência de dados pessoais armazenados.
5.6 Princípio de segurança
a. O Grupo COLTUR utiliza dois meios para armazenar os dados pessoais coletados. Uma base de dados local (banco de dados pessoais) e uma pasta de arquivos armazenada na nuvem por meio do serviço OneDrive da Microsoft.
b. A base de dados local é acessada por meio do Sistema de Gestão do Grupo COLTUR, que usa a autenticação por meio de credenciais de usuário e senha como mecanismo de segurança. Além disso, a base de dados está hospedada fisicamente nos servidores internos do Grupo COLTUR e seu acesso é restrito à rede interna do grupo.
c. O Sistema de Gestão do Grupo COLTUR, define perfis com acessos restritos aos dados pessoais armazenados. A criação e eliminação de novos usuários segue o procedimento definido no TI-PR-005 Atendimento para criação e eliminação de usuários.
d. A pasta de arquivos armazenada no OneDrive, serviço de nuvem da Microsoft, usa a autenticação por meio de credenciais de usuário e senha como mecanismo de segurança. Adicionalmente, os usuários com acesso permitido ao OneDrive estão organizados em perfis que permitem o acesso apenas aos dados pessoais necessários para o cumprimento das funções atribuídas ao seu perfil.
A Privacidade (de dados pessoais) da Microsoft pode ser consultada em: https://privacy.microsoft.com/pt-br/privacystatement. Além disso, a Microsoft oferece uma Central de Confiabilidade com recomendações e práticas implementadas no tratamento de dados pessoais oferecidas pelos seus clientes: https://www.microsoft.com/pt-br/trust- center/privacy/gdpr-overview.
5.7 Princípio de atendimento às demandas
O Grupo COLTUR definiu como mecanismo administrativo o uso do endereço eletrônico: info@colturperu.com para atender aos pedidos dos titulares de dados pessoais.
b. Os pedidos serão recebidos e processados pelas pessoas responsáveis pelo tratamento de dados pessoais e atendidos no prazo máximo de 30 dias úteis.
5.8 Princípio de nível de proteção adequado
a. Para o recebimento de dados pessoais por meio de transferência internacional, o Grupo COLTUR deve garantir que a informação enviada esteja protegida pelo menos por uma senha (Exemplo: comprimida em um arquivo ZIP ou protegida por senha fornecida pela Microsoft Office).
b. Quando o Grupo COLTUR realizar uma transferência internacional de dados pessoais, deve assegurar-se de que o destinatário apresente um nível de proteção adequado, conforme previsto na lei ou nos padrões internacionais de proteção de dados.
6. MEDIDAS A APLICAR
O descumprimento das diretrizes estabelecidas para qualquer um dos princípios resultará, de forma preventiva, na suspensão imediata do acesso aos recursos informáticos, com o objetivo de garantir a estabilidade e o bom funcionamento deles. O Departamento de TI é responsável por realizar auditorias para verificar o cumprimento das diretrizes estabelecidas para cada princípio descrito neste documento. Casou seja identificado um descumprimento, o Departamento notificará o usuário infrator por escrito, com cópia ao seu supervisor. Em caso de faltas graves e/ou reincidência, serão decididas, em coordenação com o Departamento de Recursos Humanos e a Gerência da área, as ações a serem tomadas.