POLÍTICA INTERNA DE PRIVACIDADE E TRATAMENTO DE DADOS PESSOAIS

O Conselho de Administração da Iguá Saneamento S.A. (“Iguá”) tem a responsabilidade legal de fixar a orientação geral dos negócios da companhia. No exercício destas responsabilidades, e com o propósito de estabelecer os princípios gerais que devem reger o tratamento dos dados pessoais em todas as sociedades pertencentes ao grupo controlado pela Iguá (“Grupo Iguá”), o Conselho de Administração aprova esta Política Interna de Privacidade e Tratamento de Dados Pessoais (“Política”).

  1. Introdução

A Iguá preza pelo tratamento de dados pessoais de acordo com a Lei nº 13.709 de 14 de agosto de 2018, denominada Lei Geral de Proteção de Dados Pessoais (“LGPD”).

Esta Política servirá como o pilar primordial para todas as práticas e processos internos do Grupo Iguá relativos ao tratamento de dados pessoais, que deverão ser pautados sempre de acordo com os termos aqui dispostos e com as previsões disciplinadas em outras políticas e normas internas a ser posteriormente elaboradas e que estabelecerão regras específicas aplicáveis ao Grupo Iguá.

  1. Conceitos Básicos e Definições

As definições abaixo são relevantes para a compreensão dos termos utilizados ao longo desta Política.

Autoridade Nacional de Proteção de Dados (ANPD) Órgão da administração pública responsável por zelar, implementar e fiscalizar a LGPD. É o órgão que terá a competência de aplicar sanções, como multas, por violações à LGPD.
Controlador É a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, quem definirá os meios e propósitos do tratamento. (Ex.: a Iguá é a Controladora dos dados pessoais de seus colaboradores em relação às atividades de tratamento de dados necessárias para a execução dos seus respectivos contratos de trabalho).
Dados Pessoais Toda e qualquer informação relacionada a uma pessoa natural identificada ou identificável. (Ex.: nome, telefone, endereço, RG, CPF, são todos dados pessoais).
Dados Pessoais Sensíveis Dados que revelem origem étnica ou racial, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos. (Ex.: tipo sanguíneo, por se tratar de um dado genético, é considerado um dado pessoal sensível).
Encarregado

 

É a pessoa física ou jurídica, nomeada pelo Controlador, para atuar como o canal de comunicação entre o Controlador, os Titulares de dados e a Autoridade Nacional de Proteção de Dados.
Titular Toda a pessoa física a quem os dados pessoais se relacionem é um titular de dados. (Ex.: os colaboradores da Iguá são todos titulares de dados).
Tratamento Toda atividade realizada com dados pessoais é considerada um tratamento de dados, incluindo, mas não se limitando a atividades como a coleta, compartilhamento, comunicação, acesso, reprodução, processamento, armazenamento, eliminação e modificação de dados pessoais.
  • Âmbito de Aplicação

Esta Política se aplica aos administradores, diretores e colaboradores do Grupo Iguá. Naquelas sociedades ou entidades participadas, direta ou indiretamente, que não sejam controladas pelo Grupo Iguá, seus representantes procurarão que se observem as previsões desta Política e que se promova, na medida do possível, a aplicação de seus princípios.

  1. Princípios do Tratamento de Dados Pessoais

As sociedades do Grupo Iguá cumprirão criteriosamente à LGPD, atuando para que os princípios abrangidos nesta Política sejam levados em conta (i) no desenho e implementação de todos os procedimentos que impliquem o tratamento de dados pessoais, (ii) nos produtos e serviços oferecidos pelo Grupo Iguá, (iii) em todos os contratos e obrigações formalizadas, e (iv) na implantação dos sistemas e plataformas que permitam o acesso por parte de colaboradores ou de terceiros a dados pessoais e/ou o tratamento desses dados.

As atividades de tratamento de dados pessoais deverão observar a boa-fé e os princípios abaixo. Caso alguma atividade de tratamento de dados pessoais não respeite estes princípios, ela não deve ser realizada pelas sociedades do Grupo Iguá, precisando ser imediatamente revista.

(i) Finalidade. Dados pessoais somente devem ser tratados para uma finalidade específica, um propósito que seja legítimo, explícito, delimitado e informado ao titular, não sendo permitido o tratamento posterior que seja incompatível com as finalidades identificadas.

(ii) Adequação. O tratamento de dados pessoais observará a compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.

(iii) Necessidade. O tratamento de dados pessoais se limitará ao tratamento mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.

(iv) Livre Acesso. Será garantido, aos titulares de dados, consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

(v) Qualidade dos Dados. Os dados pessoais tratados devem ser claros, exatos, relevantes e atualizados, de acordo com a sua necessidade e com os propósitos do tratamento. Não devem ser tratados dados pessoais desatualizados ou irrelevantes para a finalidade indicada.

(vi) Transparência. As sociedades do Grupo Iguá disponibilizarão aos titulares de dados informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, em especial, forma e duração do tratamento, observados os segredos comercial e industrial.

(vii) Segurança. As sociedades do Grupo Iguá utilizarão de medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

(viii) Prevenção. As sociedades do Grupo Iguá adotarão medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

(ix) Não Discriminação. As sociedades do Grupo Iguá jamais realizarão tratamento para fins discriminatórios ilícitos ou abusivos.

(x) Responsabilização e Prestação de Contas. As sociedades do Grupo Iguá adotarão medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, a eficácia dessas medidas.

  1. As Hipóteses de Tratamento de Dados Pessoais

As sociedades do Grupo Iguá somente tratarão dados pessoais de acordo com as hipóteses autorizadas pela LGPD. Entre as hipóteses previstas na legislação e que são diretamente aplicáveis ao Grupo Iguá estão as seguintes: (i) quando o titular de dados fornecer seu consentimento explícito, (ii) quando necessário para o cumprimento de obrigação legal ou regulatória, (iii) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular dos dados, (iv) quando necessário para o exercício regular de direitos em processo judicial, administrativo ou arbitral, (v) para a proteção da vida ou da incolumidade física do titular ou de terceiro, (vi) quando necessário para atender aos interesses legítimos do Grupo Iguá ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular, e (vii) para a proteção do crédito.

  1. Os Direitos dos Titulares de Dados

Em conformidade com o artigo 18 da LGPD, as sociedades do Grupo Iguá garantirão que seja assegurado aos titulares de dados o direito de obter, a qualquer momento e mediante requisição:

(i) confirmação da existência de tratamento;

(ii) acesso aos dados;

(iii) correção dos dados incompletos, inexatos ou desatualizados;

(iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;

(v) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da Autoridade Nacional de Proteção de Dados, observados os segredos comercial e industrial;

(vi) eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses legais de sua manutenção;

(vii) informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

(viii) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; e

(ix) revogação do consentimento.

  • Implementação

Para a implementação desta Política, a área de Compliance e Auditoria Interna, conjuntamente com o Jurídico do Grupo Iguá, desenvolverá e manterá atualizadas as políticas e normas internas do Grupo Iguá relativas à gestão global de proteção de dados, que serão de cumprimento obrigatório para todos os diretores, administradores e colaboradores do Grupo Iguá.

O Jurídico do Grupo Iguá será responsável por reportar à área de Compliance e Auditoria Interna os desenvolvimentos e atualizações normativas que se produzam neste âmbito, inclusive sobre regras específicas para o tratamento de dados pessoais de colaboradores e para o atendimento de solicitações de titulares de dados.

A área de Tecnologia da Informação (TI), ou a área que assuma suas funções, será a encarregada de implementar, nos sistemas de informação das sociedades do Grupo Iguá, os controles e desenvolvimentos tecnológicos que sejam adequados para garantir o cumprimento das normas internas de gestão global de proteção de dados e garantirá que esses desenvolvimentos estejam atualizados em cada momento.

Será constituído um Comitê de Privacidade e Proteção de Dados Pessoais, nos termos do artigo 13 do Estatuto Social da Iguá, que será composto por 6 (seis) membros escolhidos pela diretoria da Iguá, sendo 1 da área de Compliance e Auditoria Interna, 1 da área de Clientes e Serviços, 1 do Jurídico, 1 da área de Tecnologia da Informação – TI, 1 da área de Suprimentos e 1 da área de Recursos Humanos.

O Comitê de Privacidade e Proteção de Dados Pessoais dará prosseguimento ao acompanhamento geral da proteção de dados pessoais nas sociedades do Grupo Iguá e velará pela adequada coordenação, no âmbito do Grupo Iguá, das práticas e gestão dos riscos de proteção dos dados pessoais. Caberá ao Comitê aprovar uma Política de Privacidade Externa, a ser disponibilizada no site do Grupo Iguá, garantindo transparência sobre as atividades de tratamento de dados pessoais aos titulares de dados, bem como aprovar as demais políticas e normas internas sobre proteção de dados, que devem sempre estar em linha com esta Política.

Adicionalmente, o Comitê de Privacidade e Proteção de Dados Pessoais da Iguá deverá (i) nomear o Encarregado do Grupo Iguá, na forma do artigo 41 da LGPD, que atuará sob a supervisão da área de Compliance e Auditoria Interna e (ii) coordenar com a área de Compliance e Auditoria Interna qualquer atividade que implique ou suporte a gestão de dados pessoais, considerando as particularidades das sociedades do Grupo Iguá.

  • Treinamentos

O Grupo Iguá desenvolverá, com o auxílio do Comitê de Privacidade e Proteção de Dados, um programa de treinamento específico, com o objetivo de garantir que todos os seus colaboradores tenham conhecimento sobre esta Política, bem como sobre as políticas e normas internas que venham a ser aprovadas pelo Comitê de Privacidade e Proteção de Dados.

  1. Sanções Disciplinares

Como é dever de todos os colaboradores observar integralmente os termos desta Política e as demais políticas e normas internas que venham a ser aprovadas pelo Comitê de Privacidade e Proteção de Dados, caso haja violação das regras estabelecidas, as seguintes sanções disciplinares poderão ser aplicadas pelas sociedades do Grupo Iguá: (i) advertência por escrito; (ii) suspensão; (iii) rescisão do contrato de trabalho por justa causa; (iv) ajuizamento de ações judiciais cíveis ou criminais, caso a violação importem em danos ao Grupo Iguá ou constitua um ilícito penal.

  1. Atualização desta Política

Esta Política pode passar por alterações e atualizações ao longo do tempo, para melhor refletir nossas práticas de tratamento de dados pessoais e conferir maior segurança e transparência às operações do Grupo Iguá.

  1. Uso Interno

Esta Política e as demais políticas e normas internas que venham a ser aprovadas pelo Comitê de Privacidade e Proteção de Dados são materiais de uso interno do Grupo Iguá, não podendo ser divulgados para pessoas externas, salvo quando autorizado pelo Conselho de Administração ou pelo Comitê de Privacidade e Proteção de Dados. A divulgação indevida desses materiais resultará nas sanções disciplinares previstas no item IX acima.

***

voltar

topo