Política de Segurança
1. IDENTIFICAÇÃO DOS AGENTES DE TRATAMENTO E DO ENCARREGADO
CONTROLADOR: SERVICOS DE COBRANÇA LTDA
OPERADOR: HBB Serviços de Cobrança LTDA
ENCARREGADO: Yamn Khalil Mori Moreno Sousa
CARGO: Marketing
E-MAIL: lgpd@holdbrasil.com.br
2. NECESSIDADE DE ELABORAR O RELATÓRIO
A cultura da empresa sempre foi de assegurar que as nossas atividades sejam conduzidas em conformidade com
as normas aplicáveis aos nossos Clientes.
Nesse sentido, de acordo com o art.38, caput, da Lei 13.709/18, ou Lei Geral de Proteção de Dados Pessoais
(LGPD), a qualquer momento, a Autoridade de Proteção de Dados Pessoais (ANPD) pode determinar à HoldBrasil,
que elabore um relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis.
A HoldBrasil diariamente, realiza o tratamento de dados pessoais que se relacionam a pessoa natural
identificada ou identificável (art.5º, I, LGPD).
Podem existir também, dependendo do Cliente e Contrato firmado, os dados pessoais sensíveis, que dizem
respeito a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a
organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados
genéticos ou biométricos, quando vinculados a uma pessoa natural (art.5º, II, LGPD).
Para os fundamentos da proteção de dados pessoais (art.2º e incisos, LGPD), a boa-fé e os demais princípios
a serem observados nas atividades de tratamento de dados pessoais (art.6º e incisos, LGPD), a HoldBrasil
dispõe de controles internos, que podem variar, mas estão sempre em acordo com a natureza do dado pessoal,
para mitigar eventuais riscos de falha na proteção de dados pessoais.
Apesar do alto grau de maturidade da gestão dos controles internos, a HoldBrasil não pode garantir a
eliminação total dos riscos que, em caso de materialização, causariam impacto à privacidade dos dados
pessoais existentes na empresa.
3. DESCRIÇÃO DO TRATAMENTO
A Política de Segurança da Informação descreve como a HoldBrasil mitiga os possíveis riscos aos quais estão sujeitos os ativos de informação, que possam comprometer as nossas atividades e o cumprimento da missão corporativa.
- Os ativos de informação abrangem os meios de armazenamento até o processamento da informação;
- Os equipamentos necessários a isso;
- Os sistemas utilizados para tal e os locais onde se encontram esses meios;
3.1. NATUREZA DO TRATAMENTO
Adotamos medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados,
de situações acidentais ou ilícitas de destruição, perda ou alteração.
O acesso às bases de dados é controlado por grupos de rede e acesso limitado a determinados perfis de
usuários, com logins e senhas pessoais.
Como medidas administrativas adotadas, informamos todos os envolvidos sobre a sua responsabilidade para
acesso a sistemas, por requisição formal ou por e-mail, sobre os registros dos acessos concedidos, e sobre a
criação de diretórios de acesso exclusivo para guarda de documentos digitais dos clientes.
3.2 TRATAMENTO DOS DADOS
Existem algumas formas de tratamento dos dados pessoais na HoldBrasil, em conformidade com a LGPD:
-
Coletados/Tratados
Os dados são coletados principalmente por meio de sistemas de informação e por captação de informações dos clientes, conforme acordos firmados. Os dados de captações são recebidos, em geral, por meio do Sistema de Transferência de Arquivos (STA). -
Retidos/Armazenados
Os dados são mantidos das seguintes formas:
- Bancos de dados corporativos (utilizando os sistemas gerenciadores de banco de dados DB2, SQL Server, Oracle);
- Arquivos (p. ex.: planilhas Excel);
-
Eliminados
Os dados podem ser eliminados por meio de ações em sistemas de informação, comandos SQL nos bancos de dados e exclusão de arquivos, ou por descarte, quando os dados são apagados.
3.3 COMPARTILHAMENTO DOS DADOS
O compartilhamento de dados pessoais ocorre quando o cliente expressa sua intenção por escrito, é executado somente com autorização expressa. Pode ocorrer o compartilhamento dos dados com órgãos dos Poderes Judiciário, Executivo e Legislativo, e do Ministério Público, para fins de instrução de processo de apuração de irregularidades em que o titular das informações estiver envolvido, bem como com autorização judicial.
3.4 MEDIDAS DE SEGURANÇA
As medidas de segurança adotadas pela HoldBrasil, têm validade para qualquer tipo de informação, (definidas
na Política de Segurança da Informação) a qual contém os procedimentos de Segurança em Tecnologia da
Informação.
As mídias removíveis (pendrive, CD, DVD ou HD externo) podem ser utilizadas para a transferência de
arquivos, mediante justificativa e com a anuência da área de TI.
- Não são considerados meios adequados para a transferência de arquivos eletrônicos: pastas compartilhadas em estações de trabalho (desktops e notebooks), e-mail particular e serviços de terceiros na Internet (ex.: Dropbox, Google Drive e One Drive).
-
Impressão de documentos
Não deverão ser impressos arquivos eletrônicos corporativos com informação sensível de clientes fora das dependências da HoldBrasil. -
Descarte de informações
O descarte de informações corporativas gravadas em qualquer mídia deverá ser feito de maneira a impedir a sua recuperação. -
Monitoramento
A área de TI poderá monitorar, para fins de trilhas de auditoria, os acessos, as gravações de arquivos, as transferências e impressões de arquivos eletrônicos corporativos.
É de responsabilidade de cada área assegurar o uso correto e eficiente do armazenamento de dados, verificando periodicamente se apenas arquivos necessários aos processos de trabalho estão armazenados, se não existem arquivos que apresentem outros riscos jurídicos, como músicas, filmes e livros que não tenham sido adquiridos pela HoldBrasil.
A segurança da informação é constantemente revista e aprimorada com novas medidas de segurança. Uma das abordagens em discussão atualmente é garantir que os dados estejam protegidos durante todo o seu tratamento (desde a coleta até o descarte). Nesse processo, são utilizadas diversas ferramentas para permitir a criptografia e o controle de acesso de forma integrada.
3.5 DADOS FÍSICOS
Os documentos físicos são mantidos em dossiês nos arquivos da HoldBrasil até que cumpram seu prazo de guarda
e possam ser eliminados ou enviados para guarda permanente.
Os documentos físicos são arquivados pelo tempo definido internamente e somente pessoas lotadas nas áreas
que cuidam de determinado assunto podem pedir para consultar um documento físico arquivado. Há casos
excepcionais, como documentos da área de Recursos Humanos, que podem ser consultados também pelo titular dos
dados, por exemplo.
As cópias dos documentos físicos são classificadas como restritas, cabendo ao destinatário reclassificá-las,
se for o caso. Documentos restritos somente podem ser visualizados por seu possuidor.
3.6 CONTEXTO DO TRATAMENTO
A HoldBrasil trata os dados pessoais de acordo com os propósitos legítimos e específicos de modo compatível com a sua finalidade, cujo caráter é de atender as especificações dos clientes, tratados formalmente nos contratos firmados entre as partes.
4. PARTES CONSULTADAS
Para confecção deste Relatório, todas as áreas da HoldBrasil foram consultadas, a partir de dezembro de 2020, foram realizadas reuniões virtuais para avaliação da conformidade à LGPD, segundo metodologia da Consultoria contratada para implantação do projeto, baseado nas melhores práticas de gerenciamento de Compliance.
5. CONSIDERAÇÕES FINAIS
O documento atual mostra, em linhas gerais, como os dados pessoais são coletados, tratados, usados,
compartilhados, bem como as medidas adotadas para o tratamento dos riscos que possam afetar as liberdades
civis e os direitos fundamentais dos titulares desses dados. Além disso, foram apresentadas informações que
denotam o estágio atual de conformidade da HoldBrasil à LGPD.
Este relatório será revisto e atualizado anualmente ou sempre que a HoldBrasil achar que deve mostrar
qualquer tipo de mudança que afete o tratamento dos dados pessoais.
A HoldBrasil preocupa-se em avaliar continuamente os riscos de tratamento de dados pessoais que surgem em
consequência do dinamismo das transformações nos cenários tecnológico, normativo e do nosso negócio.