5.1 Finalidade e Fundamento Jurídico: todo e qualquer tratamento de dados pessoais na ou em favor da Dana deverá contar com uma finalidade legítima, específica e amparada em pelo menos uma das hipóteses legais previstas na LGPD, sendo que nenhum dado pessoal deverá ser tratado para finalidade diversa daquela informada ao seu titular.
5.2 Mapeamento e Reporte de Operações de Tratamento de Dados: todo e qualquer novo processo, atividade ou operação da Dana que envolva o tratamento de dados pessoais deverá ser reportado por escrito ao Encarregado, o qual poderá formular recomendações de ajuste de conformidade.
5.3 Transparência: a Dana empreenderá os melhores esforços para que o titular seja adequadamente informado acerca do tratamento de seus dados pessoais. Nos casos em que for necessário o compartilhamento de dados pessoais com outras empresas, a Dana garantirá a disponibilização, quando solicitado pelos titulares, de informações claras e ostensivas acerca deste compartilhamento, incluindo qual a sua finalidade.
5.4 Adequação, Necessidade e Qualidade: toda e qualquer Operação de Tratamento de Dados Pessoais realizada pela Dana estará balizada pelo princípio da necessidade e se realizar da forma menos invasiva possível ao titular – ou seja, os dados pessoais devem ser adequados, relevantes e não excessivos para os fins aos quais são coletados/processados. Além disso, deve-se empregar os melhores esforços para que os dados pessoais tratados sejam corretos, completos de acordo com a finalidade do tratamento e, conforme o caso, atualizados.
5.5 Ciclo de Vida dos Dados Pessoais: A Dana observará as diretrizes do tratamento de dados pessoais e da sua retenção respeitando o que se chama de Ciclo de Vida do Tratamento de Dados Pessoais, conforme se expõe no esquema abaixo:
A. Origem (Nascimento)
a. Justificação para o tratamento de dados
b. Atendimento aos princípios trazidos em lei
c. Finalidade, necessidade e adequação
B. Vida
a. Cumprimento de obrigações de segurança
b. Atendimento a direitos do usuário
C. Morte
a. Necessária exclusão do dado pessoal, quando atendida a finalidade do tratamento, salvo guarda obrigatória por determinação legal
Como regra, com o esgotamento da finalidade do tratamento dos dados pessoais no contexto de uma Operação de Tratamento de Dados, aqueles serão excluídos ou anonimizados, exceto se seguir existindo obrigação legal ou regulatória de guarda, ou, ainda, dever de transferência a terceiros. Antes da exclusão dos dados, a Dana apurará se estes não são necessários para outra Operação de Tratamento de Dados, devendo a exclusão ser validada junto ao Encarregado. Em qualquer cenário, serão ser observados os prazos previstos em política específica intitulada “Política de Guarda de Dados”.
5.6 Privacidade “by design” e “by default”: a Dana se preocupa em respeitar a sua privacidade. O respeito à privacidade se dará “by design” e “by default”, de modo que, desde a sua concepção, todo novo produto ou serviço será cautelosamente avaliado visando à redução de riscos à proteção de dados pessoais e não se poderá presumir a concessão de qualquer direito pelo titular dos dados pessoais.
5.7 Relações com Terceiros: na contratação com terceiros, parceiros comerciais e/ou prestadores de serviço, a Dana requererá documentos e realizará visitas técnicas, quando necessário, para fins de examinar a maturidade institucional da empresa/pessoa contratada no que atine à proteção de dados pessoais, privilegiando-se a contratação da empresa/pessoa que apresente maior maturidade institucional no que atine à proteção de dados, sem prejuízo do exame dos demais indicadores negociais.
Em especial, previamente à pactuação de qualquer contratação com terceiros, a Dana exigirá que todos os stakeholders envolvidos:
• tenham efetuado o mapeamento de todas as suas operações de tratamento de dados, garantindo que nenhum dado pessoal seja tratado à míngua do devido enquadramento em pelo menos uma das hipóteses legais previstas na LGPD e do respeito aos seus princípios norteadores;
• possuam meios aptos a recepcionar e atender, de forma adequada, petições e/ou comunicações dos titulares de dados pessoais;
• adotem as melhores práticas para garantir a segurança dos dados pessoais tratados;
• tenham nomeado um Encarregado do tratamento de dados pessoais;
• possuam Plano de Prevenção e Resposta a Incidentes com vazamento de dados.
5.8 Tratamento de Dados Pessoais de Crianças e Adolescentes: os dados pessoais de crianças e adolescentes serão tratados com segurança especial, sempre no seu melhor interesse. Nas operações de tratamento de dados de criança (menores de 12 anos, segundo o ECA), à exceção da hipótese em que o tratamento de dados da criança e/ou adolescente decorra de obrigação legal ou regulatória, será necessária obtenção do consentimento expresso de seu responsável, sendo indicada a finalidade que atenderá tal operação de tratamento.
5.9 Salvaguarda e segurança da Informação: A Dana está comprometida com a segurança de seus dados pessoais. A Dana deverá constantemente buscar a adoção das melhores práticas em tecnologia e segurança da informação, visando a garantir a segurança e a prevenção do dado pessoal, incluindo medidas de segurança técnicas e organizacionais para proteger os dados pessoais contra acesso não autorizado, manipulação acidental ou intencional, perda e destruição.
5.10 Hierarquização de acessos: o acesso aos dados pessoais coletados será restrito aos colaboradores autorizados e que necessitarem realizar o tratamento desses dados para o desempenho de suas funções na empresa. Os colaboradores que utilizarem as informações coletadas de forma indevida ou inadequada, em descumprimento à Política de Privacidade, estarão sujeitos às consequências de um processo disciplinar.
O armazenamento das informações coletadas de usuários, sejam elas fornecidas pelo próprio usuário ou automaticamente obtidas pelos sistemas eletrônicos da Dana, observará todos os padrões de segurança necessários para a preservação da confidencialidade e integridade dos dados pessoais.
Todos os dados pessoais que são transmitidos através de sistemas eletrônicos deverão obedecer a uma conexão segura utilizando ferramentas adequadas. Os dados referentes as senhas e assinaturas eletrônicas dos usuários deverão ser armazenados na base de dados da Dana e criptografados por algoritmos que garantam um nível alto de segurança.
5.11 Acesso a dados pessoais: sujeito às exceções legais, qualquer funcionário, representante ou prestador de serviço poderá obter, mediante solicitação, informações sobre seus próprios dados pessoais. Ainda, é assegurado o direito de revogar o consentimento previamente fornecido para tratamento de dados, respeitados às exceções previstas em lei.
5.12 Transferência internacional de dados pessoais: excepcionalmente, os dados pessoais tratados poderão ser enviados para localidade fora do Brasil, em especial para os Estados Unidos da América, local onde está situada a sede do controlador da Dana. Quando isso acontecer, a transferência deve observará as bases legais estabelecidas na LGPD, com a certificação que os destinatários de suas informações possuam um nível adequado de proteção das mesmas.