Em cumprimento ao disposto no Regulamento Geral de Proteção de Dados (GDPR) e na Lei Geral de Proteção de Dados Pessoais (LGPD), Lei 1266 de 2008, na Lei Estatutária 1581 de 2012 e seus Decretos Regulamentares, no Guia de Prestação de Contas da Superintendência de Indústria e Comércio e demais guias complementares, a SIMETRIK INC, SIMETRIK S. A.S. (doravante "SIMETRIK"), adota a presente política de Processamento de Dados Pessoais, que será informada a todos os titulares dos dados coletados ou que no futuro serão obtidos no exercício de suas atividades empresariais.
Este documento descreve os mecanismos pelos quais a SIMETRIK garante um gerenciamento apropriado dos Dados Pessoais coletados em seus bancos de dados, de modo a permitir que os Titulares dos Dados exerçam seus direitos de privacidade.
OBRIGAÇÕES:
Esta política é de cumprimento obrigatório e rigoroso para a SIMETRIK.
DISPOSIÇÕES GERAIS
1. DAS PARTES ENVOLVIDAS.
1.1 CONTROLADOR DE DADOS DE INFORMAÇÕES OU DADOS PESSOAIS:
SIMETRIK INC., uma corporação de Delaware domiciliada na cidade de São Francisco, Califórnia, identificada pelo EIN No. 61-1863197, cujo endereço corporativo é 2261 Market Street #4030 São Francisco, CA, EUA, e cujo número de telefone é +13053398090, como empresa controladora, SIMETRIK S.A.S., uma empresa colombiana, constituída de acordo com as leis da República da Colômbia, domiciliada na cidade de Bogotá D.C., identificada com o NIF. 901.030.030-8, cujo endereço corporativo é CL 91 # 11 - 29, andar 6, e cujo número de telefone é +13053398090, na qualidade de subsidiária.
- Objetivo corporativo da SIMETRIK INC e da SIMETRIK S.A.S: desenvolvimento de software em nuvem e fornecimento de serviços de tecnologia em nuvem (SaaS).
- Website: http://simetrik.com.
INFORMAÇÕES DOS TITULARES DOS DADOS:
Clientes, Fornecedores, Contratados, Subcontratados, Visitantes, Colaboradores ou Funcionários da SIMETRIK, ou qualquer terceiro que tenha fornecido suas informações ou Dados Pessoais em decorrência do serviço prestado pela SIMETRIK.
2. OBJETO
Esta Política define as diretrizes gerais para a proteção e o tratamento de Dados Pessoais no âmbito do SIMETRIK, permitindo assim fortalecer o nível de confiança entre o Controlador e os Titulares dos Dados, e demais responsáveis pelo tratamento e processamento de dados pessoais, em relação à coleta, registro, tratamento, transferência e processamento de dados pessoais identificáveis realizados pelo SIMETRIK no âmbito do exercício ordinário de seu objeto social.
3. ALCANCE
Esta Política de Privacidade será aplicada a todos os bancos de dados e/ou arquivos que incluam Dados Pessoais que estejam sujeitos a Processamento pela SIMETRIK como Controladora de Dados.
4. DEFINIÇÕES
- Autorização: Consentimento prévio, expresso e informado do Titular dos Dados para realizar o processamento dos Dados Pessoais.
- Autoridade de Proteção de Dados: É a autoridade responsável por monitorar e supervisionar que, no processamento de Dados Pessoais, os princípios, direitos e garantias dos Titulares dos Dados sejam respeitados.
- Aviso de privacidade: É o documento que é disponibilizado ao Titular dos Dados para informá-lo sobre o processamento de seus Dados Pessoais. O Aviso de Privacidade informa aos Controladores de Dados sobre a existência das políticas de privacidade que serão aplicáveis, os meios para acessá-las e as características do processamento que se pretende dar aos Dados Pessoais.
- Banco de dados: Conjunto organizado de Dados Pessoais que está sujeito a processamento.
- Sucessor: Uma pessoa que, por sucessão ou transmissão, adquire os direitos de outra pessoa.
- Dados pessoais: Qualquer informação vinculada ou que possa ser associada a uma ou várias pessoas físicas determinadas ou determináveis.
- Dados sensíveis: Dados sensíveis são Dados Pessoais que podem afetar a privacidade do Titular dos Dados ou cujo uso indevido pode levar à discriminação do Titular dos Dados, tais como aqueles que revelam origem racial ou étnica, orientação política, convicções religiosas ou filosóficas, filiação a sindicatos, organizações sociais, direitos humanos ou que promovam os interesses de qualquer partido político ou que garantam os direitos e garantias de partidos políticos de oposição, bem como dados relacionados à saúde, vida sexual e dados biométricos.
- Responsável pela Proteção de Dados: É a pessoa física que atende ao perfil estabelecido por lei e cuja função é monitorar e controlar a aplicação da Política de Privacidade, bem como processar quaisquer queixas ou solicitações feitas pelos Titulares dos Dados.
- Processador de dados: Pessoa física ou jurídica, pública ou privada, que, por si só ou em colaboração com outros, realiza o processamento de Dados Pessoais em nome do Controlador de Dados.
- Habeas Data: O direito de toda pessoa de conhecer, atualizar e retificar as informações coletadas sobre ela em arquivos e bancos de dados de natureza pública ou privada.
- Controladora de dados: Pessoa física ou jurídica, pública ou privada, que, por si só ou em associação com outros, decide sobre o banco de dados e/ou o processamento dos dados. Para os fins desta Política de Privacidade, a SIMETRIK é a Controladora de Dados.
- Titular(es) dos dados: Pessoa singular cujos dados pessoais são objeto de tratamento.
- Processamento: Qualquer operação ou conjunto de operações em Dados Pessoais, como coleta, armazenamento, uso, circulação ou exclusão.
- Violação da segurança de dados pessoais: Qualquer violação de segurança que resulte na destruição, perda ou alteração acidental ou ilegal de Dados Pessoais armazenados ou processados, ou na comunicação ou acesso não autorizado a esses dados.
- Fonte de Informações: Exclusivamente para fins de Dados Pessoais referentes à criação, execução e extinção de obrigações monetárias, é a pessoa, entidade ou organização que recebe ou conhece Dados Pessoais do Titular dos Dados, em virtude de uma relação comercial ou de serviço ou de qualquer outra natureza e que, em razão de autorização legal ou do Titular dos Dados, fornece tais dados a um Operador de Informações, que por sua vez os entregará ao usuário final.
- Operador de Informações ou Operadores de Banco de Dados: Exclusivamente para fins de Dados Pessoais relativos à criação, execução e extinção de obrigações monetárias, é a pessoa, entidade ou organização que recebe Dados Pessoais da Fonte de Informações sobre diversos Titulares de Dados, gerencia-os e confere acesso a esses Dados Pessoais aos Titulares de Dados, nos termos estabelecidos pela legislação aplicável.
- Usuário de informações: exclusivamente para fins de Dados Pessoais relativos à criação, execução e extinção de obrigações monetárias, é a pessoa jurídica ou física que pode acessar os Dados Pessoais de um ou mais Titulares de Dados fornecidos pelo Operador de Informações ou pela Fonte de Informações, ou diretamente pelo Titular de Dados.
5. PRINCÍPIOS ORIENTADORES APLICÁVEIS AOS DADOS PESSOAIS
Os princípios definidos a seguir constituem os parâmetros gerais que a SIMETRIK aplica e resguarda no exercício dos processos de captação, registro, gestão, uso e tratamento de Dados Pessoais:
5.1 Princípio da legalidade em questões de processamento de dados: O processamento de Dados Pessoais deverá ser realizado dentro da estrutura legal em vigor e nas outras disposições que o desenvolvem, de acordo com a autorização concedida pelo Titular dos Dados.
5.2 Princípio da finalidade: o processamento deve obedecer a uma finalidade legítima de acordo com a Constituição e a lei, que deve ser informada ao Titular dos Dados.
O processamento dos Dados Pessoais será realizado pelo tempo que for razoável e necessário, de acordo com as finalidades que justificam o processamento.
Após o cumprimento das finalidades do processamento, e não obstante qualquer disposição que possa indicar o contrário, os Dados Pessoais fornecidos serão excluídos.
5.3 Princípio da liberdade: o processamento só pode ser efetuado com o consentimento prévio, expresso e informado do Titular dos Dados. Os Dados Pessoais não podem ser obtidos ou divulgados sem autorização prévia ou na ausência de uma base legal ou mandato judicial que isente o consentimento.
5.4 Princípio da veracidade ou qualidade: As informações sujeitas a processamento devem ser verdadeiras, completas, precisas, atualizadas, verificáveis e compreensíveis. O processamento de dados parciais, incompletos, fracionados ou enganosos é proibido.
5.5 Princípio da transparência: O direito do Titular dos Dados de obter do Controlador de Dados ou do Processador de Dados, a qualquer momento e sem restrições, informações sobre a existência de dados referentes a ele ou ela deve ser garantido.
5.6 Princípio de acesso e circulação restritos: O processamento está sujeito aos limites derivados da natureza dos Dados Pessoais, das disposições da lei e da Constituição. Nesse sentido, o processamento só pode ser realizado por pessoas autorizadas pelo Titular dos Dados e/ou pelas pessoas previstas em lei, desde que nenhuma outra base legal para o processamento se aplique. Os Dados Pessoais, exceto informações públicas, não podem ser disponibilizados na Internet ou em outros meios de divulgação ou comunicação em massa, a menos que o acesso seja tecnicamente controlável para fornecer conhecimento restrito apenas aos Controladores de Dados ou a terceiros autorizados por lei.
5.7 Princípio de segurança: As informações sujeitas a processamento pelo Controlador ou Processador de Dados devem ser tratadas com as medidas técnicas, humanas e administrativas necessárias para garantir a segurança das informações necessárias para garantir a segurança dos registros para evitar sua adulteração, perda, consulta, uso ou acesso não autorizado ou fraudulento.
5.8 Princípio da confidencialidade: Todas as pessoas envolvidas no processamento de Dados Pessoais que não sejam de natureza pública são obrigadas a garantir a confidencialidade das informações, inclusive após o término de seu relacionamento com qualquer uma das tarefas que compõem o processamento, e somente poderão fornecer ou comunicar Dados Pessoais quando isso corresponder ao desenvolvimento das atividades autorizadas por e nos termos da lei.
5.9 Princípio da temporalidade: Os dados pessoais serão mantidos apenas pelo tempo razoável e necessário para cumprir as finalidades que justificaram o processamento, levando em conta as disposições aplicáveis ao assunto em questão e os aspectos administrativos, contábeis, fiscais, legais e históricos das informações. Os dados serão mantidos quando isso for necessário para o cumprimento de uma obrigação legal ou contratual. Quando a finalidade do processamento e os termos estabelecidos acima forem atendidos, os dados serão excluídos.
5.10 Interpretação integral dos direitos constitucionais: Os direitos devem ser interpretados em harmonia e em equilíbrio com os direitos constitucionais aplicáveis.
5.11 Princípio da necessidade: Os dados pessoais processados devem ser estritamente necessários para o cumprimento das finalidades almejadas com o banco de dados.
6. CATEGORIAS ESPECIAIS DE DADOS
6.1 Dados privados: São quaisquer informações que se refiram à vida privada de uma pessoa, tais como dados pessoais, como e-mail pessoal, telefone, endereço residencial, dados de emprego, nível de escolaridade, infrações administrativas ou criminais, dados administrados por certas entidades, como fiscais, financeiras ou de seguridade social, fotografias, vídeos e quaisquer outros dados que se refiram ao estilo de vida da pessoa.
O Titular dos Dados tem o direito de controlar quando e quem pode acessar essas informações que fazem parte de sua vida privada.
6.2 Dados semiprivados: Os dados que não são de natureza íntima, reservada ou pública e cujo conhecimento ou divulgação pode ser de interesse não apenas de seu proprietário, mas também de um setor ou grupo de pessoas específicos ou da sociedade em geral, como dados financeiros e de crédito de atividades comerciais ou de serviços.
Os dados semiprivados possuem uma limitação, que é o fato de sua divulgação exigir uma ordem de uma autoridade administrativa ou judicial.
Os dados semiprivados incluem: históricos de crédito, dados financeiros, relatórios em agências de crédito.
6.3 Dados confidenciais: Os dados confidenciais são definidos na Seção 4 desta Política de Privacidade.
O processamento de dados confidenciais é proibido, exceto nos seguintes casos:
- Quando o Titular dos Dados dá seu consentimento.
- O processamento é necessário para proteger o interesse vital do Titular dos Dados e o Titular dos Dados está física ou legalmente incapacitado.
- O processamento é realizado no curso de atividades legítimas e com as devidas garantias por uma fundação, ONG, Associação ou qualquer outra organização sem fins lucrativos, cuja finalidade seja política, filosófica, religiosa ou sindical, desde que diga respeito exclusivamente aos seus membros ou pessoas em contato regular com eles em razão de sua finalidade.
- O processamento refere-se a dados necessários para o reconhecimento, exercício ou defesa de um direito em um processo judicial.
- O processamento tem uma finalidade histórica, estatística ou científica; no último caso, devem ser tomadas medidas para suprimir a identidade dos Titulares dos Dados.
- Quando uma base legal diferente para o processamento de dados pessoais confidenciais puder ser aplicada, de acordo com a lei aplicável.
6.4 dados biométricos: Biometria refere-se a qualquer informação relativa a indivíduos identificados ou identificáveis quanto aos parâmetros e características do corpo humano, parâmetros físicos que são únicos para cada pessoa, como impressões digitais, íris dos olhos, fotografias, câmeras de vigilância por vídeo, registros dentários, voz, impressão palmar ou características faciais.
6.5 Dados de crianças e adolescentes: O processamento dessa categoria especial de Dados Pessoais é proibido, exceto quando esses dados forem de natureza pública. Além disso, o processamento de Dados Pessoais de crianças e adolescentes é permitido quando a finalidade desse processamento atende aos melhores interesses das crianças e adolescentes e garante, sem exceção, o respeito aos seus direitos vigentes.
7. FINALIDADE
As informações coletadas, armazenadas, utilizadas, divulgadas e excluídas, e de outra forma processadas pela SIMETRIK, são utilizadas com a finalidade principal de possibilitar o desenvolvimento adequado do objeto social da empresa para o cumprimento de seu relacionamento com o Titular dos Dados, bem como outras finalidades, conforme descrito abaixo:
- Para cumprir com as obrigações assumidas pela SIMETRIK com o Titular dos Dados.
- Transferir dados pessoais para fora do país da SIMETRIK S.A.S. para a SIMETRIK, INC, como sua empresa matriz.
- Fornecer os serviços oferecidos pela SIMETRIK aceitos no contrato assinado.
- Transmitir dados pessoais para fora do país a terceiros com os quais a SIMETRIK tenha firmado contrato de tratamento de dados, quando essa transmissão for necessária para o cumprimento do objeto contratual com os Titulares dos Dados.
- Fornecer informações a terceiros com os quais a SIMETRIK tenha uma relação contratual e que seja necessário entregá-las a eles visando o cumprimento do objeto contratado.
Portanto, quem acessar os serviços e/ou produtos da SIMETRIK, tiver contrato de trabalho ou de prestação de serviços com a SIMETRIK, for fornecedor da SIMETRIK, for acionista da SIMETRIK, ou comparecer às dependências da SIMETRIK, deverá fornecer voluntariamente determinados dados de identificação física ou pessoal, tais como: nome, sobrenome, RG, idade, sexo, telefone, endereço físico e eletrônico, país, cidade e dentre outros dados necessários solicitados no âmbito de sua relação com a SIMETRIK.
As finalidades específicas de cada categoria de Dados Pessoais processados pela SIMETRIK estão descritas na Seção 10.2. desta Política de Privacidade.
8. LIMITAÇÕES
A divulgação, publicação ou transferência dos Dados Pessoais processados pela SIMETRIK será limitada de acordo com os princípios aplicáveis que regulam o processo de gerenciamento de dados pessoais.
Os dados pessoais e os dados de usuários enviados por meio das plataformas e, de forma geral, as informações geradas, produzidas, armazenadas, enviadas ou compartilhadas na prestação dos serviços do SIMETRIK, não poderão ser objeto de comercialização ou exploração econômica de qualquer natureza, salvo com a autorização expressa do Titular dos Dados e de acordo com os limites impostos pela legislação de privacidade aplicável.
9. BASE LEGAL PARA O PROCESSAMENTO DE DADOS PESSOAIS
A SIMETRIK somente processará os Dados Pessoais dos Titulares dos Dados quando for atendida pelo menos uma das seguintes bases legais:
- O Titular dos Dados deu sua autorização explícita para esse processamento;
- O processamento é necessário a fim de proteger o interesse vital do Titular dos Dados e o Titular dos Dados está física ou legalmente incapacitado. Nesses casos, o representante legal do Titular dos Dados deve fornecer essa autorização.
- O processamento é realizado no curso de atividades legítimas e com as devidas garantias por uma fundação, ONG, associação ou qualquer outra organização sem fins lucrativos, cuja finalidade seja política, filosófica, religiosa ou sindical, desde que se relacione exclusivamente com seus membros ou com pessoas que mantenham contatos regulares em razão de sua finalidade. Nesses casos, os dados não poderão ser fornecidos a terceiros sem a autorização do Titular dos Dados, desde que essa base legal se aplique de acordo com a lei de privacidade aplicável;
- O processamento refere-se a dados necessários para o reconhecimento, exercício ou defesa de um direito em um processo judicial, ou para cumprir uma obrigação legal à qual a SIMETRIK está sujeita.
- O processamento tem uma finalidade histórica, estatística ou científica. Nesse caso, as medidas que levem à supressão da identidade dos Titulares dos Dados deverão ser adotadas.
- Os Dados Pessoais não serão utilizados para fins comerciais ou de marketing, a menos que haja autorização expressa para isso.
- O processamento é necessário para a execução de um contrato do qual o Titular dos Dados é parte ou para tomar medidas, a pedido do Titular dos Dados, antes de firmar um contrato, quando essa base legal for aplicável de acordo com a legislação vigente.
- O processamento é necessário para o desempenho de uma tarefa realizada no interesse público, em que essa base legal se aplica de acordo com a legislação vigente.
- O processamento é necessário para os fins dos interesses legítimos perseguidos pela SIMETRIK, que incluem os fins definidos ao longo desta Política de Privacidade, ou por um terceiro, exceto quando esses interesses forem sobrepostos pelos interesses ou direitos e liberdades fundamentais do Titular dos Dados que exijam a proteção dos dados pessoais, principalmente quando o titular dos dados for uma criança, nos casos em que essa base legal se aplique de acordo com a legislação aplicável.
10.PROCESSAMENTO
10.1 PROCESSAMENTO DE DADOS
A SIMETRIK declara ser responsável pelo processamento dos Dados Pessoais que tenham sido fornecidos pelo Titular dos Dados e que se encontrem armazenados em bases de dados ou meios de armazenamento detidos ou geridos pela SIMETRIK, ou cuja gestão tenha sido confiada a terceiros pela SIMETRIK.
As informações contidas nos bancos de dados do SIMETRIK estão sujeitas a diferentes formas de processamento, tais como coleta, intercâmbio, atualização, tratamento, reprodução, compilação, armazenamento, utilização, sistematização e organização, todas elas em conformidade com as finalidades definidas.
As informações podem ser transmitidas ou transferidas para entidades públicas, parceiros de negócios, contratados, subsidiárias e afiliadas, desde que essa transferência ou transmissão se destine a cumprir as finalidades estabelecidas e esteja em conformidade com os requisitos definidos pela legislação aplicável.
De qualquer modo, a transmissão ou transferência será efetuada após a execução dos documentos necessários para salvaguardar a confidencialidade das informações. Igualmente, em cumprimento de suas obrigações legais, a SIMETRIK poderá fornecer informações pessoais a autoridades judiciais ou administrativas.
Quando a SIMETRIK processar Dados Pessoais de Titulares de Dados residentes no exterior, adotará as disposições em conformidade com o Regulamento Geral de Proteção de Dados (GDPR), ou qualquer outro regulamento de privacidade de dados aplicável. A SIMETRIK conduzirá uma avaliação de impacto prévia, quando for provável que uma forma específica de processamento de Dados acarrete um alto risco aos direitos dos Titulares de Dados, devido à sua natureza, escopo, finalidades ou contexto.
A avaliação deverá: (i) incluir uma descrição das operações de processamento e suas finalidades; (ii) uma avaliação da necessidade e proporcionalidade do processamento; (iii) uma avaliação dos riscos aos direitos dos Controladores de Dados; e (iv) as medidas previstas para garantir a proteção dos Dados Pessoais.
A SIMETRIK poderá consultar a Autoridade de Proteção de Dados antes de realizar uma forma de tratamento de Dados Pessoais, quando a avaliação prévia de impacto demonstrar que o tratamento implicaria em um alto risco aos direitos dos Titulares dos Dados, caso não sejam tomadas as medidas necessárias para sua mitigação.
10.2 TIPOS DE PROCESSAMENTO DE DADOS PESSOAIS
10.2.1 PROCESSAMENTO DOS DADOS PESSOAIS DOS FUNCIONÁRIOS
Os Dados Pessoais que coletamos de nossos funcionários incluem:
- Informações de identificação: Nome, endereço, número de telefone, estado civil, nome dos membros da família e beneficiários, data de nascimento, local de nascimento, documento de identidade com foto, idade, caderneta militar (se aplicável), cidadania, número do documento de identidade ou passaporte de estrangeiro, número da carteira de motorista, assinatura.
- Contato eletrônico: E-mail
- Informações acadêmicas: Títulos acadêmicos, certificados acadêmicos, diplomas, registro profissional.
- Dados de emprego: Informações de recrutamento e seleção, referências pessoais e trabalhistas, informações de previdência social (por exemplo, afiliação a fundos de aposentadoria, assistência médica, fundos de compensação familiar, etc.)
- Dados financeiros: Conta bancária, tipo de conta bancária.
- Dados biométricos: Impressão digital, escaneamento facial.
As informações coletadas pela SIMETRIK de seus funcionários destinam-se principalmente às seguintes finalidades:
- Armazenar os dados pessoais dos funcionários, inclusive aqueles que foram obtidos no decorrer do processo seletivo (incluindo as afiliações e contribuições aplicáveis a planos de saúde, fundos de pensão, riscos trabalhistas e outros que se aplicam de acordo com o vínculo empregatício).
- Cumprir as obrigações impostas pela legislação trabalhista aos empregadores e atender às ordens emitidas pelas autoridades competentes para tais fins.
- Emitir certificações sobre o relacionamento do funcionário com a SIMETRIK.
- Cumprir as obrigações previstas nos sistemas de gerenciamento de saúde e segurança ocupacional, quando aplicável
- Gerenciar as funções exercidas pelos funcionários.
- Consultar memorandos ou lembretes.
- Avançar os processos disciplinares correspondentes.
- Entrar em contato com os membros da família em caso de emergência.
- Para realizar procedimentos de contratação de pessoal e cumprir obrigações contratuais.
- Registrar sua inscrição em treinamentos, eventos, etc., listas de presença.
- Identificação de pessoal (gerenciamento interno de bancos de dados para criação de métricas, acompanhamento de equipes e análise da área de People Experience & Culture).
- Gerenciar e efetuar pagamentos (relatórios de notícias, pagamentos de folha de pagamento, relatórios para entidades de previdência social e afins).
- Cumprir as obrigações contratuais.
- Monitoramento de atividades virtuais e presenciais (atividades em grupo em que precisamos manter presença, participação ou registro de notas).
- Formulários, pesquisas ou avaliações em que sua participação é necessária. Se a participação não for anônima, os dados pessoais serão usados para rastrear a participação.
- Para o processamento de Dados Pessoais Sensíveis, a SIMETRIK coletará essas informações com a respectiva Autorização. Os Dados Pessoais Sensíveis coletados serão armazenados em bancos de dados e/ou arquivos independentes dos demais Dados Pessoais que são objeto de tratamento pela SIMETRIK.
- As informações coletadas, armazenadas e processadas pela SIMETRIK não excederão 20 (vinte) anos contados a partir do término do vínculo empregatício, ou de acordo com as circunstâncias legais ou contratuais que tornem necessário o tratamento das informações.
Os dados pessoais podem ser coletados para as finalidades acima descritas diretamente do funcionário, durante o processo de integração, quando o funcionário se candidata a uma vaga específica na SIMETRIK, por meio de formulários de integração, ou a qualquer momento durante a execução do contrato de trabalho do funcionário.
10.2.2 TRATAMENTO DOS DADOS PESSOAIS DOS ACIONISTAS
Os Dados Pessoais que coletamos de nossos acionistas incluem:
- Informações de identificação: Nome, endereço, número de telefone, estado civil, nome dos membros da família e beneficiários, data de nascimento, local de nascimento, documento de identidade com foto, idade, caderneta militar (se aplicável), cidadania, número do documento de identidade ou passaporte de estrangeiro, número da carteira de motorista, assinatura.
- Contato eletrônico: E-mail
- Dados biométricos: Impressão digital, escaneamento facial.
- Outros: qualquer outra informação necessária para que a SIMETRIK cumpra as leis aplicáveis em relação ao seu relacionamento com seus acionistas
As informações coletadas pela SIMETRIK de seus acionistas destinam-se principalmente às seguintes finalidades:
- Permitir o exercício dos deveres e direitos derivados da condição de Acionista do Titular dos Dados.
- Enviar convites para eventos programados pela empresa e, de forma geral, entrar em contato com o Acionista.
- Emitir certificações relacionadas ao relacionamento do Titular dos Dados com a Empresa (operações comerciais e de crédito em que a composição acionária da SIMETRIK deve ser conhecida).
- Quaisquer outros especificamente previstos nas autorizações concedidas pelos Acionistas.
- Para o processamento de Dados Pessoais Sensíveis, a SIMETRIK coletará essas informações com a respectiva Autorização. Os Dados Pessoais Sensíveis coletados serão armazenados em bancos de dados e/ou arquivos independentes dos demais Dados Pessoais que são objeto de tratamento pela SIMETRIK.
- As informações coletadas, armazenadas e tratadas pela SIMETRIK não excederão cinco (5) anos a partir da data em que você perder sua condição de acionista da empresa.
Os dados pessoais poderão ser coletados para as finalidades acima descritas diretamente do acionista, no momento em que o Titular dos Dados adquire sua condição de acionista da SIMETRIK, ou a qualquer momento em que o acionista continue a atuar nessa condição.
10.2.3 PROCESSAMENTO DE DADOS PESSOAIS DE CLIENTES
A SIMETRIK coleta os Dados Pessoais de seus clientes e usuários através da assinatura de contratos de prestação de serviços em nuvem e/ou por meio do domínio simetrik.com, em que, para fins de autenticação e acesso ao serviço, serão solicitadas ao cliente e/ou usuário determinadas informações de identificação pessoal que poderão ser utilizadas para contatá-lo ou identificá-lo. As informações de identificação pessoal podem incluir, mas não se limitam a: Endereço de e-mail, nome, endereço, país, CEP, cidade, cookies e dados de uso, bem como qualquer informação sobre o histórico do cliente que possa ajudar a SIMETRIK a avaliar a viabilidade de celebrar um contrato com o cliente, incluindo qualquer informação necessária para cumprir a obrigação da SIMETRIK para a prevenção, detecção, monitoramento e controle de riscos de lavagem de dinheiro, financiamento do terrorismo, fraude, suborno e corrupção.
A SIMETRIK armazena os dados em um banco de dados, que é classificado pela empresa como confidencial, e será divulgado somente com a autorização expressa do proprietário ou quando solicitado por uma autoridade competente.
As finalidades para as quais os Dados Pessoais dos Clientes da SIMETRIK são utilizados são:
- Realizar os estágios pré-contratual, contratual e pós-contratual de seu contrato.
- Envio de convites para eventos programados pela empresa.
- Envio de atualizações de software e notícias.
- Para corroborar qualquer requisito que possa surgir no desenvolvimento do contrato executado.
- Para cumprir o objeto do contrato, incluindo atividades de correspondência, conformidade, entre outras.
- Fornecer suporte ao cliente.
- Monitorar o uso do software.
- Detectar, prevenir e resolver problemas técnicos.
- Verificar casos de não conformidade por qualquer uma das partes.
- Relacionamento geral com cada cliente.
- Para realizar atividades de fidelização de clientes e operações de marketing, caso em que os Dados Pessoais podem ser processados direta ou indiretamente pelo Controlador de Dados ou por um Processador de Dados.
- Ao processar dados confidenciais, é necessário obter a autorização do Titular dos Dados, que, em qualquer caso, será expressa e opcional, indicando claramente os dados confidenciais a serem processados e sua finalidade.
- Os dados confidenciais coletados serão armazenados em bancos de dados e/ou arquivos separados dos outros Dados Pessoais que estão sujeitos a processamento. Do mesmo modo, terá sistemas de segurança apropriados para o manuseio de dados confidenciais e sua confidencialidade.
- Em qualquer caso, as informações não serão processadas por um período que exceda a duração do relacionamento do cliente com a empresa e o tempo adicional exigido de acordo com as circunstâncias legais ou contratuais que tornem necessário o gerenciamento de informações, que em nenhum caso poderá exceder cinco (5) anos a partir do momento do término do relacionamento.
Os dados pessoais também poderão ser coletados para as finalidades acima descritas diretamente do cliente, durante o processo de onboarding, quando o cliente celebra um contrato com a SIMETRIK, por meio de formulários de onboarding, ou a qualquer momento antes ou durante a execução do contrato do cliente com a SIMETRIK.
10.2.4 PROCESSAMENTO DE DADOS PESSOAIS DE FORNECEDORES
Os Dados Pessoais que coletamos de nossos fornecedores incluem:
- Informações de identificação: Nome, endereço, número de telefone, estado civil, nome dos membros da família e beneficiários, data de nascimento, local de nascimento, documento de identidade com foto, idade, caderneta militar (se aplicável), cidadania, número do documento de identidade ou passaporte de estrangeiro, número da carteira de motorista, assinatura.
- Contato eletrônico: E-mail
- Informações de histórico: Qualquer informação sobre o histórico do fornecedor que possa ajudar a SIMETRIK a avaliar a viabilidade de celebrar um contrato com o fornecedor, incluindo qualquer informação necessária para cumprir a obrigação da SIMETRIK de prevenção, detecção, monitoramento e controle de riscos de lavagem de dinheiro, financiamento do terrorismo, fraude, suborno e corrupção.
- Outros: Quaisquer outras informações necessárias para que a SIMETRIK cumpra a legislação aplicável no que tange ao relacionamento com seus fornecedores.
A SIMETRIK, coleta os Dados Pessoais de seus fornecedores e os armazena em um banco de dados que, embora seja composto em sua maioria por dados públicos, é qualificado pela empresa como privado. A empresa somente divulgará dados privados com a autorização expressa do Titular dos Dados ou quando solicitado por uma autoridade competente.
As finalidades para as quais os Dados Pessoais dos fornecedores da SIMETRIK são processados são:
- Propor ao fornecedor a celebração de um acordo e tomar providências para os estágios pré-contratual, contratual e pós-contratual.
- Envio de convites para eventos programados pela empresa ou por suas afiliadas.
- Outros especificamente estabelecidos nas autorizações concedidas pelos próprios fornecedores.
- A SIMETRIK somente coletará esses dados na medida em que forem necessários, pertinentes e não excessivos com a finalidade de seleção, avaliação e execução do contrato.
- Em todo caso, a coleta de Dados Pessoais de pessoas físicas filiadas a fornecedores pela SIMETRIK terá a finalidade de verificar a idoneidade e competência dos funcionários; ou seja, uma vez verificado esse requisito, a SIMETRIK devolverá tais informações ao Fornecedor, exceto quando sua conservação for expressamente autorizada.
- Do mesmo modo, a SIMETRIK terá sistemas de segurança adequados para o manuseio de dados sensíveis e sua confidencialidade.
- De qualquer forma, as informações não estarão sujeitas a processamento por um período maior do que a duração do relacionamento do Fornecedor com a empresa e o tempo adicional necessário conforme as circunstâncias legais ou contratuais que tornam necessário o tratamento das informações, que em nenhum caso poderá ser maior do que dez (10) anos a partir do término do relacionamento do Fornecedor com a empresa.
Os dados pessoais poderão ser coletados para as finalidades acima descritas diretamente do fornecedor, durante o processo de onboarding, quando o fornecedor celebra um contrato com a SIMETRIK, por meio de formulários de onboarding, ou a qualquer momento durante ou antes da execução do contrato do cliente com a SIMETRIK.
10.2.5 PROCESSAMENTO DE DADOS PESSOAIS DE GRAVAÇÕES DE VIGILÂNCIA POR VÍDEO
A SIMETRIK, de tempos em tempos, poderá coletar dados biométricos, incluindo imagens pessoais do Titular dos Dados e gravações de vídeo, de seus visitantes, por meio de suas câmeras de vigilância e armazená-los em um banco de dados que é classificado pela empresa como confidencial, e somente será divulgado com a autorização expressa do Titular dos Dados ou quando solicitado por uma autoridade competente.
As finalidades para as quais os Dados Pessoais contidos nas Câmeras de Vigilância da SIMETRIK são usados são:
- Garantir a segurança no ambiente de trabalho.
- Fornecer ambientes de trabalho adequados para o desenvolvimento seguro das atividades de trabalho da empresa.
- Controle a entrada, permanência e saída de funcionários e prestadores de serviços nas instalações da empresa.
- A fim de cumprir com o dever de informação que corresponde à SIMETRIK como administradora de Dados Pessoais, a empresa implementará Avisos de Privacidade nas áreas em que for efetuada a captura de imagens que envolvam o processamento de Dados Pessoais.
- Em qualquer caso, as informações não serão processadas por um período superior a 30 (trinta) dias a partir de sua coleta, de acordo com as circunstâncias legais ou contratuais que tornam necessário o tratamento das informações.
Os Dados Pessoais sob essa categoria serão coletados no momento em que o Titular dos Dados entrar em uma das áreas das instalações da SIMETRIK que está sujeita a gravações de vigilância. Em todos os momentos, um aviso de privacidade será disponibilizado aos Titulares dos Dados que acessarem essas áreas, para garantir que eles tenham acesso a esta Política de Privacidade.
10.2.6 DADOS SOBRE CRIANÇAS E ADOLESCENTES
Os dados pessoais que coletamos de crianças e adolescentes incluem:
- Informações de identificação: Nome, endereço, membros da família, data de nascimento, local de nascimento, documento de identidade com foto, idade, número de identificação.
- Outros: Quaisquer outras informações necessárias para que a SIMETRIK cumpra a legislação aplicável no que tange ao relacionamento com seus fornecedores.
A SIMETRIK não processa diretamente os Dados Pessoais de menores. No entanto, em particular, a empresa coleta e processa os Dados Pessoais dos filhos menores de idade de seus funcionários com a finalidade exclusiva de cumprir as obrigações impostas por lei aos empregadores em relação às afiliações aos sistemas de previdência social e parafiscais e, principalmente, a fim de permitir o gozo dos direitos fundamentais das crianças à saúde e à recreação.
Em qualquer caso, a SIMETRIK coletará, quando for o caso, a respectiva autorização para seu processamento, tendo sempre em vista o melhor interesse do menor e o respeito aos direitos vigentes da criança e do adolescente.
Os dados sobre Crianças e Adolescentes serão coletados de seus pais (ou seja, funcionários da SIMETRIK) de forma voluntária, exclusivamente para as finalidades definidas acima.
10.2.7 COOKIES
Cookies são arquivos de texto colocados em computadores para coletar informações de registro da Internet e informações sobre o comportamento do visitante. Quando o site da SIMETRIK é acessado, a SIMETRIK pode coletar informações dos Titulares dos Dados automaticamente por meio de cookies ou tecnologia similar.
A SIMETRIK executa varreduras de cookies para garantir que esteja ciente de todas as informações pessoais que estão sendo coletadas em seu site e para garantir que seu site não esteja coletando ou compartilhando nenhuma informação de que não precise ou da qual não esteja ciente.
A SIMETRIK utiliza cookies de várias maneiras a fim de melhorar a experiência do Titular dos Dados no site da SIMETRIK, inclusive mantendo o usuário conectado e compreendendo como os Titulares dos Dados utilizam o site da SIMETRIK.
Os Titulares dos Dados podem configurar seus navegadores para não aceitar cookies. No entanto, em certos casos, alguns recursos do site da SIMETRIK podem não funcionar como resultado.
11. TRANSFERÊNCIA INTERNACIONAL E TRANSMISSÃO DE DADOS PESSOAIS
Atualmente, a empresa realiza transferências internacionais de dados pessoais. Para realizar as Transferências Internacionais de Dados Pessoais, além de informar o Titular dos Dados e ter sua autorização, a SIMETRIK, garantirá que a transferência seja regularizada e que atenda aos requisitos previstos no GDPR, na Lei Orgânica 1581 de 2012, em seus decretos regulamentares e/ou em quaisquer outras normas aplicáveis.
À medida que a SIMETRIK também realizar Transmissões Internacionais de Dados, a SIMETRIK celebrará um acordo de transmissão de dados, celebrará Cláusulas Contratuais Padrão, celebrará qualquer acordo ou cumprirá qualquer requisito sob as leis de privacidade de dados aplicáveis para a divulgação de dados pessoais a um processador de dados.
12. PROTEÇÃO DAS INFORMAÇÕES FORNECIDAS
A SIMETRIK protege os Dados Pessoais fornecidos pelos Controladores de Dados, por meio da adoção de diretrizes e controles que buscam impedir o acesso não autorizado, a modificação, a divulgação ou a destruição das informações armazenadas em seus bancos de dados.
Em conformidade com a obrigação descrita acima, a SIMETRIK adota os seguintes protocolos:
- Protocolos de segurança, mediante a restrição de acesso às informações, como o uso de criptografia de Dados Pessoais.
- Controles nos sistemas de informação para garantir a confiabilidade, a integridade e a disponibilidade permanente dos Dados Pessoais.
- Processos constantes de verificação, avaliação e apreciação das medidas técnicas e de segurança adotadas para a proteção dos Dados Pessoais.
- Protocolos de segurança para impedir o acesso não autorizado a bancos de dados, armazenados física e eletronicamente. Implementação e aprimoramento de controles nas instalações físicas, para proteger os dados contidos em forma física, a fim de atenuar o efeito nocivo que poderia originar a materialização de qualquer risco sofrido pelos dados sensíveis gerenciados pela SIMETRIK.
Não obstante o acima exposto, a SIMETRIK poderá divulgar informações pessoais quando for obrigada a fazê-lo por uma Autoridade de Proteção de Dados e/ou por uma entidade pública ou administrativa no exercício de suas funções legais. Nesse caso, a SIMETRIK notificará os Titulares dos Dados com 3 (três) dias úteis de antecedência em relação à data em que as informações deverão ser entregues.
O Responsável pela Proteção de Dados Pessoais informará a autoridade de proteção de dados, no prazo máximo de 72 horas a partir do conhecimento do incidente, no caso de Dados Pessoais de residentes da União Europeia, no prazo máximo de 15 dias úteis para dados processados no território colombiano, ou dentro do prazo e em conformidade com os requisitos estabelecidos nas leis de privacidade aplicáveis.
A notificação deve incluir, no mínimo, o seguinte:
Descreva a natureza da violação de segurança dos dados pessoais e, quando for o caso, as categorias e o número aproximado de titulares de dados envolvidos e as categorias e o número aproximado de registros de dados pessoais envolvidos.
O nome e os detalhes de contato do Responsável pela Proteção de Dados ou de outro contato com o qual se possa ter mais informações.
Descreva as possíveis consequências de uma violação de dados pessoais.
Descreva as medidas tomadas pelo Controlador de dados para mitigar a violação de segurança e seus possíveis efeitos negativos.
Por sua vez, o Processador de Dados deverá notificar prontamente o Controlador sobre qualquer violação de segurança do Titular de Dados Pessoais residente no exterior.
13. VENDA DE DADOS PESSOAIS
A SIMETRIK não vende, compra, não está de qualquer outra forma envolvida na comercialização dos dados pessoais do titular dos dados.
14. AUTORIZAÇÃO DOS TITULARES DOS DADOS DE CARÁTER PESSOAL
Para o tratamento dos Dados Pessoais, a SIMETRIK solicitará a autorização prévia e informada do Titular dos Dados, que poderá ser obtida por qualquer meio que poderá ser objeto de consultas posteriores.
14.1 A autorização deverá conter, no mínimo, as seguintes informações:
- A identificação do controlador de dados e da área responsável pela proteção de dados pessoais.
- O tipo de dados pessoais a serem processados.
- A finalidade para a qual os Dados Pessoais serão processados.
- Os interesses legítimos almejados, quando essa base legal for aplicável.
- Os destinatários ou categorias de destinatários dos dados pessoais, se houver, nos casos em que essas informações devam ser informadas ao Titular dos Dados conforme as leis aplicáveis.
- O fato de que o controlador pretende transferir dados pessoais para um terceiro país ou organização internacional e a existência ou ausência de uma decisão de adequação pela autoridade de proteção de dados, nos casos em que essas informações devam ser informadas ao Titular dos Dados segundo as leis aplicáveis.
- Os direitos dos Titulares dos Dados.
- Os canais de comunicação pelos quais os Controladores de Dados podem enviar consultas e/ou queixas ao Controlador de Dados.
- Detalhes de contato do Responsável pela Proteção de Dados.
- O período pelo qual os dados pessoais serão armazenados ou, se isso não for possível, os critérios utilizados para definir esse período, nos casos em que essas informações devam ser informadas ao Titular dos Dados conforme as leis aplicáveis.
- Se o fornecimento de dados pessoais é um requisito estatutário ou contratual, ou um requisito necessário para celebrar um contrato, bem como se o titular dos dados é obrigado a fornecer os dados pessoais e as possíveis consequências do não fornecimento desses dados, em casos em que essas informações devam ser informadas ao titular dos dados conforme as leis aplicáveis.
- A existência de tomada de decisão automatizada, incluindo a criação de perfis, fornecendo informações significativas sobre a lógica envolvida, bem como a importância e as consequências previstas de tal processamento para o titular dos dados, nos casos em que essas informações devam ser informadas ao Titular dos Dados de acordo com as leis aplicáveis.
A SIMETRIK não recorrerá ao silêncio, a caixas pré-marcadas ou à inatividade a fim de obter a autorização do Titular dos Dados.
14.2 Eventos em que a autorização não é necessária:
- Informações exigidas por uma entidade pública ou administrativa no exercício de suas funções legais ou por ordem judicial.
- Dados de natureza pública.
- Casos de emergência médica ou sanitária.
- Processamento de informações autorizadas por lei para fins históricos, estatísticos ou científicos.
- Dados relacionados ao Registro Civil de Pessoas.
- Quando uma base jurídica diferente do consentimento nos permitir processar os Dados Pessoais do Titular dos Dados.
15. DIREITOS E CONDIÇÕES DE LEGALIDADE PARA O PROCESSAMENTO DE DADOS
15.1 DIREITOS DOS TITULARES DOS DADOS
Os Titulares dos Dados usufruem dos seguintes direitos, bem como dos que lhes são conferidos por lei:
- Acesso: Os Titulares dos Dados têm o direito de obter confirmação sobre se os Dados Pessoais relativos ao Titular dos Dados estão ou não sendo processados e, se for o caso, de saber quais dados pessoais a SIMETRIK possui sobre o Titular dos Dados, para que são utilizados e as condições de uso que a SIMETRIK faz deles, gratuitamente, nos termos definidos pela legislação aplicável.
- Retificação: Da mesma forma, o Titular dos Dados tem o direito de solicitar a correção de suas informações pessoais caso elas estejam desatualizadas, imprecisas ou incompletas.
- Direito de exclusão ou direito de ser esquecido: Os Titulares dos Dados têm o direito de obter o apagamento dos registros ou bancos de dados da SIMETRIK quando o Titular dos Dados considerar que não estão sendo usados de acordo com os princípios, deveres e obrigações previstos em lei, e quando outros fundamentos legais para o seu apagamento forem aplicáveis. A SIMETRIK conservará os seus dados pessoais sempre que se apliquem outras bases legais para o tratamento.
- Restrição do processamento de dados: Os Titulares dos Dados têm o direito de solicitar a restrição do uso de suas informações pessoais pela SIMETRIK para finalidades específicas, sempre que houver motivos legais aplicáveis para essa restrição.
- Direito de oposição: É direito dos Titulares dos Dados limitar ou opor-se, a qualquer momento, ao tratamento dos seus Dados Pessoais por parte da SIMETRIK. Em caso de pedido de limitação, a SIMETRIK deverá obter uma nova autorização, de acordo com a limitação solicitada. No entanto, a SIMETRIK pode demonstrar bases legais para continuar a processar os dados pessoais, na medida do possível, de acordo com as leis de privacidade aplicáveis.
- Portabilidade de dados: Os Titulares dos Dados têm o direito de solicitar que a SIMETRIK forneça seus dados pessoais a outro Controlador de Dados, quando as condições estabelecidas pela legislação aplicável forem atendidas.
- Solicitar comprovação da autorização: O Titular dos Dados tem o direito de solicitar comprovação da autorização concedida ao Controlador de Dados, exceto quando expressamente isento como base legal para o processamento.
- Apresentar queixas: Os Titulares dos Dados têm o direito de registrar queixas perante a autoridade competente de proteção de dados, incluindo, entre outros, a Comissão Europeia e a Superintendência de Indústria e Comércio, por violações das disposições estabelecidas nas leis e regulamentos de proteção de dados aplicáveis.
- Direito de revogar seu consentimento: Os Titulares dos Dados podem revogar sua autorização e/ou solicitar a exclusão de seus Dados Pessoais quando o processamento não estiver em conformidade com os princípios, direitos e garantias constitucionais e legais aplicáveis. Independentemente do acima exposto, a SIMETRIK poderá demonstrar uma base legal para continuar a processar os dados pessoais, nos termos estabelecidos pela legislação aplicável.
- Tomada de decisão automatizada, incluindo criação de perfis: Os Titulares dos Dados têm o direito de solicitar que a SIMETRIK não processe suas informações pessoais exclusivamente por meios automatizados, incluindo a criação de perfis, de uma maneira que produza efeitos legais ou similarmente significativos sobre eles.
16. DEVERES DOS CONTROLADORES DE DADOS, OPERADORES DE BANCOS DE DADOS E FONTES DE INFORMAÇÕES
16.1 DEVERES DA SIMETRIK COMO CONTROLADORA DE DADOS PESSOAIS
A SIMETRIK, como Controladora de Dados, deverá cumprir as seguintes obrigações:
- Garantir ao Titular dos Dados, em todos os momentos, o exercício pleno e efetivo do direito de habeas data.
- Solicitar e manter, nas condições previstas em lei, uma cópia da respectiva autorização concedida pelo Titular dos Dados.
- Informar devidamente o Titular dos Dados sobre a finalidade da coleta e os direitos que ele tem em virtude da autorização concedida.
- Manter as informações sob as condições de segurança necessárias para evitar sua adulteração, perda, consulta, uso ou acesso não autorizado ou fraudulento.
- Garantir que as informações prestadas ao Processador de dados sejam verdadeiras, completas, precisas, atualizadas, verificáveis e compreensíveis.
- Se aplicável, informe o Controlador de dados sobre qualquer retificação, exclusão ou limitação do processamento feito pelo Titular dos dados.
- A fim de garantir que somente os Dados Pessoais necessários para cada uma das finalidades específicas do processamento estejam sujeitos a processamento.
- Atualizar as informações, comunicando em tempo hábil ao Processador de Dados todos os desenvolvimentos relativos aos dados fornecidos anteriormente e tomar outras medidas necessárias para garantir que as informações fornecidas a ele sejam mantidas atualizadas.
- Retificar as informações quando estiverem incorretas e comunicar qualquer inconsistência ao Processador de dados.
- Para fornecer ao Processador de Dados, de acordo com o caso, apenas dados cujo processamento seja previamente autorizado de acordo com as disposições da lei.
- Quando o processamento for realizado por um Processador, tentar selecionar um Processador de Dados que ofereça garantias suficientes de acordo com as disposições desta Política de Privacidade.
- Celebrar um contrato de confidencialidade e/ou o documento que o substitua com o Processador de Dados, estabelecendo, mas não se limitando a, as obrigações e os direitos do Controlador de Dados, a finalidade, a duração, a natureza, os tipos de Dados Pessoais a serem processados, a finalidade do processamento e o compromisso de processar os Dados Pessoais de acordo com as leis aplicáveis e esta Política de Privacidade.
- Exigir do Processador de Dados, em todos os momentos, o respeito às condições de segurança e privacidade das informações do Titular dos Dados, além de seus direitos.
- Processar consultas e reinvindicações emitidas nos termos estabelecidos pela regulamentação de privacidade de dados aplicável.
- Implementar um manual interno de políticas e procedimentos para garantir a conformidade adequada com a lei de privacidade aplicável e, principalmente, para processar consultas e queixas.
- Informar o Processador de dados quando determinadas informações estiverem sendo discutidas pelo Titular dos dados, uma vez que uma reivindicação tenha sido registrada e ainda não tenha sido resolvida.
- Informar, mediante solicitação do Titular dos Dados, sobre o uso dado aos seus Dados Pessoais.
- Informar a Autoridade de Proteção de Dados quando houver violações dos códigos de segurança e riscos na administração das informações dos Titulares dos Dados.
- Cumprir as instruções e os requisitos emitidos pela autoridade de proteção de dados.
16.2 DEVERES DOS OPERADORES DE BANCO DE DADOS
Exclusivamente para fins de Dados Pessoais relativos à criação, execução e extinção de obrigações monetárias, os Operadores de Banco de Dados são obrigados a:
- Garantir, sempre, ao Titular dos Dados o direito de habeas data e o direito de petição.
- Garantir ao Titular dos Dados a possibilidade de acessar as informações sobre ele que existam ou estejam no banco de dados, e de solicitar a atualização ou retificação dos dados, o que será feito por meio dos mecanismos de consultas ou reivindicações, como previsto na legislação aplicável.
- Garantir que, na coleta, processamento e divulgação de dados, os direitos do Titular dos Dados e outros direitos consagrados em lei serão respeitados.
- Permitir o acesso às informações somente aos indivíduos autorizados a acessá-las.
- Adotar políticas e procedimentos para garantir a conformidade adequada com a lei de privacidade de dados.
- Processar consultas e queixas dos Titulares dos Dados.
- Solicitar a certificação da Fonte de Informações sobre a existência da autorização concedida pelo Titular dos Dados, quando essa autorização for necessária, de acordo com as disposições estabelecidas na legislação aplicável.
- Manter as Bases de Dados de forma segura para evitar sua deterioração, perda, alteração, uso não autorizado ou fraudulento.
- Atualizar e retificar os dados periodicamente e em tempo hábil, sempre que as fontes de informação informarem novas informações.
- Para processar as petições, consultas e reivindicações registradas pelos Titulares dos Dados, de acordo com os termos estabelecidos na legislação aplicável.
- Sinalizar qualquer informação sob solicitação de revisão pelos Titulares dos Dados, quando uma solicitação de retificação ou atualização tiver sido enviada e o processo não tiver sido concluído.
- Divulgar informações aos Usuários de Informações dentro dos parâmetros determinados.
- Cumprir as instruções e os requisitos fornecidos pela autoridade supervisora com relação à conformidade com a lei aplicável.
16.3 DEVERES DAS FONTES DE INFORMAÇÕES
Exclusivamente para fins de Dados Pessoais relativos à criação, execução e extinção de obrigações monetárias, as Fontes de Informação deverão cumprir as seguintes obrigações:
- Garantir que as informações fornecidas aos Operadores de Banco de Dados ou Usuários de Informações sejam verdadeiras, completas, precisas, atualizadas e verificáveis.
- Informar ao operador, de forma regular e oportuna, todos os novos desenvolvimentos com relação aos dados fornecidos previamente e tomar outras medidas necessárias a fim de garantir que as informações fornecidas ao operador sejam mantidas atualizadas.
- Retificar as informações quando estiverem incorretas e informar os operadores adequadamente.
- Projetar e implementar mecanismos eficazes para a comunicação oportuna de informações ao operador.
- Solicitar, quando aplicável, e manter cópia ou evidência da respectiva autorização concedida pelos Titulares dos Dados das informações, e certificar-se de não fornecer às operadoras quaisquer informações cujo fornecimento não tenha sido previamente autorizado, quando tal autorização for necessária, de acordo com as disposições desta lei.
- Certificar, semestralmente, ao Operador de Informações, que as informações fornecidas são autorizadas.
- Resolver as reivindicações e petições do Titular dos Dados na forma determinada pela legislação aplicável.
- Informar o operador sobre qualquer informação que esteja sujeita a uma solicitação de revisão em nome dos Titulares dos Dados, quando uma solicitação de retificação ou atualização tiver sido enviada, para que o operador registre essa solicitação no Banco de Dados, até que o processo seja finalizado.
- Cumprir as instruções emitidas pela autoridade supervisora em relação à conformidade com a lei aplicável.
16.4 DEVERES DOS USUÁRIOS DE INFORMAÇÕES
Para fins exclusivos de Dados Pessoais relativos à criação, execução e extinção de obrigações monetárias, os Usuários de Informações deverão:
- Manter a confidencialidade das informações fornecidas a eles pelos Operadores de Informações, pelas Fontes de Informações ou pelos Titulares dos Dados das informações e usar as informações somente para os fins para os quais foram fornecidas a eles.
- Informar os Titulares dos Dados, a pedido deles, sobre o uso que está sendo feito de suas informações.
- Manter as informações recebidas com as medidas de segurança adequadas para evitar sua deterioração, perda, alteração, uso não autorizado ou fraudulento.
- Cumprir as instruções fornecidas pela autoridade de supervisão.
17. DESIGNAÇÃO E FUNÇÕES DO RESPONSÁVEL PELA PROTEÇÃO DE DADOS
O Responsável pela Proteção de Dados será a pessoa designada pela SIMETRIK, que pode ser contatada pelo e-mail: dataprivacy@simetrik.com
O Responsável pela Proteção de Dados será responsável pelo processamento de todas as queixas e solicitações de privacidade recebidas pela SIMETRIK e garantirá que a SIMETRIK processe os dados pessoais em conformidade com todas as leis e regulamentos de proteção de dados aplicáveis.
As funções do Responsável pela Proteção de Dados incluem, entre outras, as seguintes:
- Informar, supervisionar e aconselhar o Controlador ou o Processador de Dados sobre os requisitos de conformidade com esta Política de Privacidade e outros regulamentos aplicáveis.
- Cooperar com a autoridade de proteção de dados e ser o ponto de contato/comunicação com a autoridade de proteção de dados.
- Garantir ao Titular dos Dados, em todos os momentos, o exercício pleno e efetivo do direito de habeas data.
- Manter as informações sob as condições de segurança necessárias para evitar sua adulteração, perda, consulta, uso ou acesso não autorizado ou fraudulento.
- Atualizar, retificar ou excluir dados em tempo hábil, de acordo com os termos do GDPR e da Lei 1581 de 2012 e outras regulamentações concordantes e atuais.
- Atualizar as informações relatadas pelos Controladores de Dados em até cinco (5) dias úteis a partir de seu recebimento.
- Para processar as consultas e reivindicações formuladas pelos Titulares dos Dados nos termos indicados nesta Política de Privacidade.
- Adotar um manual interno de políticas e procedimentos para garantir a conformidade adequada com a lei e, em particular, para o atendimento de consultas e queixas dos Titulares dos Dados.
- Permitir o acesso às informações somente àqueles que podem acessá-las.
- Verificar se o Controlador de dados possui a autorização para o processamento dos dados pessoais do Titular dos dados.
18. PROCESSAMENTO DE INFORMAÇÕES
Todos os processos da organização, ao realizarem suas próprias atividades, assumirão as responsabilidades e obrigações relativas ao tratamento adequado das informações pessoais, desde sua coleta, armazenamento, uso, circulação e inclusive seu descarte final.
18.1 USO DE INFORMAÇÕES
As informações pessoais contidas nos bancos de dados devem ser usadas e processadas de acordo com as finalidades descritas nesta política. Caso alguma área identifique novos usos diferentes dos descritos nesta política de tratamento de dados pessoais, deverá informar o Responsável pela Proteção de Dados, que avaliará e gerenciará, quando aplicável, sua inclusão nesta política. Do mesmo modo, devem ser levadas em consideração as seguintes premissas:
- Na hipótese de uma área diferente daquela que inicialmente coletou os Dados Pessoais requerer o uso dos Dados Pessoais que foram obtidos, isso poderá ocorrer desde que seja um uso previsível para o tipo de serviços oferecidos pela SIMETRIK e para uma finalidade contemplada nesta Política de Privacidade.
- Cada área deve garantir que nenhuma informação confidencial ou dado pessoal seja divulgado.
- Os líderes de processos não podem tomar decisões que tenham um impacto significativo sobre as informações pessoais ou que tenham implicações legais; portanto, eles devem validar as informações diretamente com o Titular dos Dados, nos casos em que isso for necessário.
- Apenas o pessoal autorizado pode inserir, modificar ou excluir Dados Pessoais contidos nos Bancos de Dados ou documentos sujeitos à proteção. As permissões de acesso dos usuários são concedidas de acordo com a política de controle de acesso, de acordo com os perfis estabelecidos, que serão previamente definidos pelos líderes do processo em que é necessário o uso de informações pessoais.
- Qualquer uso das informações diferente do determinado deverá ser consultado previamente com o Responsável pela Proteção de Dados.
18.2 ARMAZENAMENTO DE INFORMAÇÕES
O armazenamento de informações digitais e físicas é feito em mídias ou ambientes que possuem controles adequados para a proteção de dados. Isso envolve controles de segurança física e tecnológica em repositórios autorizados e gerenciados adequadamente.
18.3 DESTRUIÇÃO
A destruição de mídias físicas e eletrônicas é realizada por meio de mecanismos que não permitem sua reconstrução. Isso é feito de acordo com o tempo de retenção estabelecido para as informações.
19. PROCEDIMENTO PARA LIDAR COM INCIDENTES, RECLAMAÇÕES, PETIÇÕES, CONSULTAS E REIVINDICAÇÕES DE TITULARES DE DADOS
Em caso de qualquer consulta, reivindicação, queixa ou solicitação relacionada ao processamento de dados pessoais dos Titulares dos Dados, eles podem entrar em contato conosco pelo e-mail dataprivacy@simetrik.com.
19.1 GERENCIAMENTO DE INCIDENTES COM DADOS PESSOAIS
Um incidente é entendido como qualquer eventualidade que afete ou possa afetar a segurança dos bancos de dados ou das informações neles contidas.
Caso o usuário tome conhecimento de qualquer incidente ocorrido, ele deverá comunicá-lo ao Responsável pela Proteção de Dados, que tomará as medidas adequadas para lidar com o incidente informado.
O Responsável pela Proteção de Dados Pessoais deverá informar a autoridade de proteção de dados, no prazo máximo de 72 horas a partir do conhecimento do incidente, no caso de Dados Pessoais de residentes da União Europeia, e no prazo máximo de 15 dias úteis para dados processados no território colombiano, ou dentro do prazo estabelecido pelas leis de privacidade aplicáveis.
Os incidentes podem afetar bancos de dados digitais e físicos e gerarão as seguintes atividades:
- Notificação de incidentes: É responsabilidade do pessoal, quando se supõe que um incidente possa ter afetado ou tenha afetado Bancos de Dados com Dados Pessoais ou qualquer evento suspeito, fraqueza ou violação de políticas que possam afetar a confidencialidade, a integridade e a disponibilidade de ativos e informações pessoais, deve ser relatado ao Responsável pela Proteção de Dados, que gerenciará seu relatório à autoridade de proteção de dados, incluindo, quando aplicável, a Comissão Europeia, no prazo máximo de 72 horas após tomar conhecimento do incidente, e à Superintendência da Indústria e Comércio por meio de seu Registro Nacional de Bancos de Dados da Colômbia, no prazo máximo de 15 dias úteis após ter tomado conhecimento do incidente.
- Contenção, investigação e diagnóstico: O Responsável pela Proteção de Dados deve garantir que sejam tomadas medidas para investigar e diagnosticar as causas que geraram o incidente.
- Solução: O processo de TI, bem como todas as áreas comprometidas e os responsáveis diretos pelo gerenciamento de dados pessoais, devem evitar que o incidente de segurança ocorra novamente, corrigindo todas as vulnerabilidades existentes.
- Encerramento e acompanhamento do incidente: o gerente de tecnologia da informação e segurança da informação e o Responsável pela Proteção de Dados devem documentar as ações tomadas para remediar o incidente de segurança. O Responsável pela Proteção de Dados preparará uma análise dos incidentes registrados.
19.2 QUEIXAS
O Titular dos Dados, seus cessionários, seu representante e/ou procurador, ou quem quer que seja determinado por estipulação em favor de outrem; poderá apresentar uma queixa ou solicitação perante a autoridade de proteção de dados para o exercício de seus direitos, ou poderá optar por dirigir-se primeiramente à SIMETRIK para a Consulta ou Reivindicação diretamente junto à empresa.
19.3 SOLICITAÇÕES DE ATUALIZAÇÃO E/OU RETIFICAÇÃO
A SIMETRIK retificará e atualizará, a pedido do Titular dos Dados, as informações imprecisas ou incompletas, conforme o procedimento e os termos indicados acima, para o que o Titular dos Dados deverá apresentar a solicitação de acordo com os canais disponibilizados pela empresa, indicando a atualização e retificação dos dados e, por sua vez, deverá fornecer a documentação que respalde essa solicitação.
19.4 REVOGAÇÃO DE AUTORIZAÇÃO E/OU EXCLUSÃO DE DADOS PESSOAIS
O Titular dos Dados poderá revogar, a qualquer momento, o consentimento ou a autorização dada para o processamento de seus Dados Pessoais, desde que não haja impedimento consagrado em disposição legal ou contratual.
Da mesma forma, o Titular dos Dados tem o direito de solicitar à SIMETRIK, a qualquer momento, a exclusão ou eliminação de seus Dados Pessoais, desde que não haja obrigação legal de que os Dados Pessoais do Titular dos Dados permaneçam nos Bancos de Dados da SIMETRIK.
Tal exclusão implica a eliminação total ou parcial das informações pessoais, conforme solicitado pelo Titular dos Dados nos registros, arquivos, bancos de dados ou processamento realizado pela SIMETRIK.
Esse direito não é absoluto e, por isso, a SIMETRIK poderá se recusar a revogar tal autorização nos seguintes casos:
- O Titular dos Dados tem uma obrigação legal ou contratual de permanecer no banco de dados.
- A exclusão de dados dificulta os processos judiciais ou administrativos relacionados a obrigações fiscais, a investigação e o julgamento de crimes ou a atualização de sanções administrativas.
- Os dados são necessários para proteger os interesses legalmente protegidos do Titular dos Dados; para realizar uma ação de interesse público ou para cumprir uma obrigação legalmente adquirida pelo Titular dos Dados.
- Qualquer outra base legal para rejeitar a solicitação do Titular dos Dados se aplica.
19.5 CONSULTA
As informações pessoais do Titular dos Dados contidas nos bancos de dados do SIMETRIK poderão ser consultadas, sendo que a empresa será responsável por fornecer todas as informações contidas no registro individual ou que estejam vinculadas à identificação do solicitante, utilizando, em qualquer caso, uma linguagem clara e simples.
A consulta, uma vez recebida pela empresa, será respondida em um prazo máximo de dez (10) dias úteis a partir da data de recebimento da mesma. As informações solicitadas pelo Titular dos Dados podem ser fornecidas por escrito, por e-mail ou por qualquer outro meio, conforme solicitado pelo Titular dos Dados.
Quando não for possível comparecer à consulta dentro desse prazo, a parte interessada deverá ser informada, expondo as razões do atraso e indicando a nova data em que a consulta será realizada, que em nenhum caso poderá exceder 5 (cinco) dias úteis após a expiração do primeiro prazo.
O Titular dos Dados pode consultar seus Dados Pessoais gratuitamente pelo menos uma vez a cada mês, e nos casos em que houver alterações substanciais nas Políticas de processamento de informações que justifiquem novas consultas.
Entretanto, caso a periodicidade das consultas seja superior a uma por mês, o Titular dos Dados poderá ser cobrado pelos custos de envio, reprodução e, se aplicável, certificação dos documentos.
19.6 REIVINDICAÇÕES
Quando se considerar que as informações contidas em um banco de dados da SIMETRIK devam ser corrigidas, atualizadas ou excluídas, ou quando for constatada a suposta violação de qualquer um dos deveres contidos na legislação de privacidade de dados aplicável, poderá ser registrada uma reivindicação perante a SIMETRIK, que será processada de acordo com as regras a seguir:
- A reivindicação deverá ser formulada por meio de comunicação escrita dirigida à SIMETRIK, com a identificação do Titular dos Dados, a descrição dos fatos que dão origem à reivindicação, o endereço e os documentos que a acompanham.
- Se a reivindicação estiver incompleta, a parte interessada deverá corrigir as falhas no prazo de cinco (5) dias após o recebimento da reivindicação. Após dois (2) meses a partir da data da solicitação, se o solicitante não enviar as informações necessárias, será considerado que a reivindicação foi abandonada.
- Caso a SIMETRIK receba uma Reivindicação que não seja competente para resolver, a empresa transferirá a Reivindicação para a pessoa apropriada em um prazo máximo de dois (2) dias úteis e informará o Titular dos Dados.
- Assim que a reivindicação completa for recebida, a empresa incluirá no respectivo banco de dados uma legenda que diz "reivindicação em processo" e a razão para isso, em um prazo não superior a dois (2) dias úteis. A empresa manterá essa legenda sobre os dados em discussão até que a reivindicação seja decidida.
- O prazo máximo para tratar a reivindicação será de 15 (quinze) dias úteis a partir do dia seguinte à data de recebimento. Quando não for possível atender à reivindicação dentro do prazo mencionado, a empresa informará ao Titular dos Dados os motivos do atraso e a nova data em que a reivindicação será atendida, que em nenhum caso poderá exceder 8 (oito) dias úteis após a expiração do primeiro prazo.
20. CONSEQUÊNCIAS DA ACEITAÇÃO DA POLÍTICA
Ao aceitar esta Política, cada Titular de Dados autoriza expressamente a SIMETRIK a realizar o tratamento dos Dados Pessoais, parcial ou totalmente, incluindo a coleta, o armazenamento, o registro, a utilização, a circulação, o processamento, a supressão, a transmissão nos termos desta Política de Privacidade e/ou a transferência, dentro do país ou para terceiros países, dos dados fornecidos para as finalidades descritas nas políticas de privacidade dos terceiros para os quais tais dados pessoais são transferidos. Com a aceitação desta Política, na sua qualidade de Titular das Informações e dos Dados Pessoais coletados, você autoriza o processamento desses dados para todas as finalidades previstas nesta Política e, principalmente, para:
- Use as informações e os dados pessoais fornecidos para realizar uma verificação de conflito em bancos de dados que reúnem fontes de informações, como as listas de sanções da FATF que contêm informações do OFAC, a antiga Lista Clinton, as Nações Unidas, a União Europeia, o FBI, a Interpol e outras listas internacionais.
- Utilizar as Informações e os Dados Pessoais fornecidos para o estabelecimento e a manutenção do relacionamento comercial; para o envio de informações relativas ao relacionamento legal, comercial, contratual ou obrigacional; para a cobrança de contas a receber; para o pagamento de contas a pagar; e para qualquer outra finalidade decorrente do desenvolvimento do relacionamento que surgir.
- Usar as Informações e os Dados Pessoais fornecidos para enviar informações comerciais ou informações que a SIMETRIK considere que possam ser de interesse do Titular dos Dados.
- Usar as Informações e os Dados Pessoais fornecidos para disponibilizá-los ao pessoal encarregado do trabalho correspondente, dentro da empresa, sem excluir a possibilidade de serem transferidos para gerentes, consultores, assessores, pessoas e escritórios externos, conforme necessário.
- Utilizar as Informações e os Dados Pessoais fornecidos para fins de marketing dos serviços da SIMETRIK e dos produtos e serviços de terceiros com os quais a SIMETRIK mantém uma relação comercial.
- Utilizar as Informações e Dados Pessoais disponibilizados para a solicitação de pesquisas e acompanhamento pós-venda para constatar a satisfação dos serviços prestados pela SIMETRIK para fins estatísticos e de melhoria contínua, ou para avaliações qualitativas e quantitativas dos níveis de serviços recebidos pela SIMETRIK.
- Para a transferência de dados a terceiros do mesmo setor ou de setores relacionados à SIMETRIK, para que os titulares dos dados possam conhecer e ter acesso a outras opções de produtos e serviços.
- Usar as informações e os dados pessoais fornecidos para manter registros, conforme exigido por lei.
- Usar as informações e os dados pessoais fornecidos para consultar e atualizar os dados pessoais.
- Usar as informações e os dados pessoais fornecidos para emitir as certificações exigidas pelo titular dos dados.
- Usar as Informações e os Dados Pessoais fornecidos para fazer registros contábeis.
- Publicar anúncios e/ou relatar a participação e o trabalho da SIMETRIK na prestação de serviços ao Titular do Registro e/ou o trabalho do Titular do Registro no desenvolvimento de trabalhos realizados com ou para a SIMETRIK, em apresentações da SIMETRIK e no site da SIMETRIK, bem como em publicações nacionais ou internacionais relacionadas com as áreas de atuação da SIMETRIK, para as quais a SIMETRIK poderá, entre outros, revelar o nome do Titular do Registro e das pessoas físicas, jurídicas e entidades associadas ao mesmo, a assessoria prestada, e incluir um link para a site da SIMETRIK. Para esse fim, a SIMETRIK poderá, entre outros, divulgar o nome do Titular dos Dados e das pessoas físicas, jurídicas e entidades associadas ao mesmo.
- Fornecer as Informações e os Dados Pessoais às autoridades de controle e fiscalização, administrativas, policiais e judiciais, nacionais e internacionais, em virtude de uma exigência legal ou regulamentar.
- Permitir o acesso à Informação e aos Dados Pessoais a auditores ou terceiros contratados para realizar processos de auditoria interna ou externa próprios da atividade comercial que SIMETRIK desenvolve.
- Para consultar e atualizar as Informações e os Dados Pessoais.
- Contratar com terceiros o armazenamento e/ou processamento das Informações e Dados Pessoais para a correta execução dos contratos firmados com a SIMETRIK, sob os padrões de segurança e confidencialidade aos quais a SIMETRIK está obrigada.
Terceiros podem estar envolvidos nas atividades acima mencionadas e que essas atividades podem ocorrer em países diferentes do local onde o serviço é contratado, e sem prejuízo de outras finalidades que tenham sido informadas nesta Política e nos termos e condições de cada um dos serviços contratados com cada Titular de Dados.
21. MODIFICAÇÃO DE POLÍTICAS
A SIMETRIK se reserva o direito de modificar a Política de Privacidade a qualquer momento. No entanto, qualquer alteração será disponibilizada em tempo hábil para os Titulares dos Dados por meio da publicação da versão atualizada no site. A SIMETRIK solicitará o consentimento prévio, informado e explícito do Titular dos Dados para processar seus Dados Pessoais segundo a nova política de privacidade.
No caso de um Titular de Dados não concordar com a nova Política Geral ou Especial e com razões válidas que constituam uma justa causa para não continuar com a autorização, desde que tal justa causa se aplique nos termos da legislação aplicável, o Titular de Dados poderá solicitar à SIMETRIK a retirada de suas informações por meio dos canais indicados na Seção 20 deste documento. No entanto, os Titulares dos Dados não podem solicitar a remoção de seus Dados Pessoais quando a empresa tiver uma obrigação legal ou contratual de processar os dados.
22. ATUAL
Esta Política entra em vigor a partir da data de sua publicação. A última versão atualizada data de 23 de julho de 2024.
Emiliano Murúa Cuesta,
Chief Information Security Officer