AVA Gestão

Política de Privacidade

Esta Política de Privacidade e Proteção de Dados Pessoais (“Política”) tem como objetivo reafirmar o compromisso do Ava Gestão Ltda. (AVA ou Empresa) com as regras da Lei Geral de Proteção de Dados, Lei nº. 13.709, 14 de agosto de 2018, (LGPD), e com seu Programa de Governança em Privacidade e Proteção de Dados em todos os “nossos ambientes”. A Política objetiva, dentre outros aspectos, explicitar como são coletados, utilizados e compartilhados dados pessoais pela Empresa, além de expor quais são os direitos do seu titular e de que maneira pode exercê-los.

Glossário

Antes de adentrar aos tópicos específicos desta Política, visando à plena compreensão do leitor, são apresentados os principais conceitos que serão utilizados e suas definições.

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)

Agentes de tratamento: o controlador e o operador;

Tratamento: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais, ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta, ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;

Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

Identificação do Controlador

Ava Gestão Ltda., pessoa jurídica de direito privado, inscrita no CNPJ sob o n. 39.741.005/0001-00, com sede em SMDB CONJ 17 Lote 1 Unidade C, Brasília/DF

A Empresa pode ser caracterizada como Controladora e Operadora de Dados Pessoais, de acordo com as definições da LGPD. Em quaisquer das funções, a Empresa assume o compromisso de resguardar o direito à privacidade e de cumprir as regras relativas à proteção de dados pessoais.

As regras estipuladas nesta Política deverão ser observadas por todos os colaboradores integrantes da AVA no desempenho de suas atividades.

Identificação do Encarregado

Conforme conceituação constante do glossário, o Encarregado é pessoa indicada pelo controlador e operador, no caso a Empresa, para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). O Encarregado é responsável por:

a. receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

b. receber comunicações da autoridade nacional e adotar providências;

c. orientar os funcionários e os contratados da Empresa acerca das práticas relativas à proteção de dados pessoais; e

d. executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares pela ANPD.

Na AVA, o Encarregado é Rubens Guedes que pode ser contatado por meio do endereço eletrônico encarregado@avagestao.com.br e físico acima descrito.

Quais os nossos compromissos em relação à privacidade e à proteção de dados pessoais?

A AVA segue as normas e os princípios previstos na LGPD, buscando garantir proteção aos dados fornecidos por quaisquer titulares diretamente à Empresa ou com ela compartilhados.

Na condução de suas atividades, a Empresa incorpora os objetivos estipulados pela LGDP, quais sejam, a proteção dos direitos fundamentais de liberdade, de privacidade e do livre desenvolvimento da personalidade da pessoa natural. Esta Política e o Manual são voltados à garantia dos referidos direitos daqueles que confiam nos serviços da AVA Gestão, compartilhando seus dados pessoais, bem como à segurança das informações coletadas.

A AVA, compromissada com a proteção dos dados pessoais por ele tratados, observa atentamente não somente a boa-fé, mas todos os princípios estipulados pela LGPD:

a. finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

b. adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

c. necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

d. livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

e. necessidade garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

f. transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

g. segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

h. prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

i. não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

j. responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Em que hipóteses a LGPD é aplicável?

A LGPD é aplicável em qualquer operação de tratamento de dados pessoais, desde que ocorra uma das seguintes hipóteses:

  1. o tratamento tenha sido realizado no território nacional;
  2. o tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional e
  3. os dados pessoais tenham sido coletados no território nacional (o titular encontrava-se no território nacional no momento da coleta).

As principais modalidades de tratamento de dados pessoais podem ser identificadas, por exemplo, na seleção e contratação de colaboradores, na celebração de contratos com fornecedores e parceiros, no relacionamento com os clientes etc.

Em quais circunstâncias a Empresa promoverá o tratamento de dados?

O tratamento de dados pessoais pela Empresa poderá ocorrer apenas nas seguintes hipóteses:

  1. mediante consentimento do titular, o qual se caracteriza pela manifestação inequívoca deste pela concordância com o tratamento dos dados por ele fornecidos. Caso haja alteração quanto à finalidade do tratamento dos dados, de forma que não seja mais compatível com o consentimento original, o titular será informado e poderá revogar sua manifestação anterior;
  2. para o cumprimento de obrigação legal ou regulatória;
  3. para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual o titular seja parte, a pedido do titular dos dados; e
  4. para atender a seus interesses legítimos ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Quais dados são coletados e para qual finalidade?

a. Dados pessoais

A AVA coleta e armazena dados pessoais principalmente para o desempenho de suas atividades de gestão e consultoria e para gerenciamento interno.

Dados pessoais de clientes poderão ser coletados e tratados para comunicação, elaboração de propostas, exercício de atividades de consultoria e contratos de acompanhamento mensal. No exercício das atividades de consultoria e contratos mensais, a AVA poderá acessar e tratar também dados pessoais de terceiros relacionados aos clientes, como seus fornecedores, funcionários e terceiros.

Dados pessoais de fornecedores são coletados e tratados quando são feitas cotações, contratações e comunicações em geral.

Por fim, dados pessoais de funcionários da AVA são utilizados no momento da contratação, fornecimento de benefícios, pagamentos, e contratação com fornecedores, entre outros.

b. Dados sensíveis

A equipe de Recursos Humanos trata dados sensíveis relacionados à saúde dos colaboradores da Empresa, uma vez toma as providências necessárias junto à Seguradora para adesão ao plano de saúde.

Além disso, a atividade-fim da AVA, qual seja de gestão administrativa e financeira, poderá implicar em acesso a dados sensíveis de clientes e terceiros a eles relacionados. Por exemplo, a AVA poderá prestar serviços para hospitais e consultórios médicos e, consequentemente, obter acesso a dados sensíveis de pacientes.

Por quanto tempo usamos dados pessoais?

Os dados pessoais coletados serão tratados e armazenados pela Empresa: (i) durante o período necessário para atingir as finalidades contratuais; (ii) durante o prazo legalmente estipulado, o qual pode variar a depender de cada situação e do dado pessoal; e (iii) até a revogação do consentimento manifestada expressamente à Empresa pelo titular do dado pessoal, nas hipóteses em que o tratamento de dados apenas for autorizado em razão de consentimento.

Como compartilhamos os dados?

Para o exercício de suas atividades, é necessário que a Empresa compartilhe dados internamente e com terceiros.  

Os destinatários dos dados são advertidos quanto à importância da proteção de dados pessoais, e, como qualquer operador e controlador, sujeitos às obrigações impostas pela LGPD, o que será exigido mediante formalização contratual.

a. Compartilhamento interno

Sempre que necessário para o exercício das atividades da Empresa, haverá compartilhamento de dados pessoais entre setores internos.

Os dados são compartilhados internamente, por exemplo, para que possa ser realizada a contratação de colaboradores, prestação de contas, emissão de notas fiscais, elaboração de contratos e atividades de consultoria e prestação de serviços mensais aos clientes.

b. Compartilhamento com terceiros

A Empresa compartilha dados com terceiros quando necessário ao exercício de suas atividades. Poderá ser necessário o compartilhamento de dados pessoais com os próprios clientes, com parceiros, com órgãos públicos, com empresas contratadas, com instituições bancárias, dentre outros.          

Como a Empresa protege os dados pessoais?

Todos os colaboradores da AVA devem estar cientes de seu dever de cumprir com as obrigações da LGPD no tratamento de dados pessoais, inclusive denunciando eventuais violações ou suspeitas de ofensa a dados pessoais. Considera-se violação a dados pessoais o uso não autorizado ou para finalidades não autorizadas, o extravio, a eliminação indevida de dados, dentre outras.

É importante que os clientes e os colaboradores também empreendam esforços na proteção de seus dados pessoais, buscando compreender a finalidade da coleta, e sempre que compartilharem seus dados, atentar para mantê-los corretos e atualizados.

  • Mecanismos utilizados para proteção dos dados

A AVA utiliza diversos mecanismos na proteção dos dados pessoais, dentre eles: (i) Criptografia em todos os computadores corporativos; (ii) antivírus; (iii) firewall; (iv) senhas para acesso aos computadores e sistemas; (v) acesso seletivo a documentação apenas para os colaboradores que de fato necessitam para o exercício de suas atividades ; e (vi) armazenamento de arquivos feitos integralmente em ambiente na nuvem.

Em caso de dúvidas ou esclarecimentos quanto à segurança na proteção de dados, é facultado ao titular dos dados contatar o Encarregado que poderá, inclusive, franquear acesso ao Manual e respectivo anexo caso haja interesse justificado.

  • Sigilo dos dados fornecidos

(i) acesso restrito a documentos sigilosos que podem ser bloqueados com senha dentro do ambiente cloud;

(ii) e-mails e relatórios redigidos com advertência relativa à confidencialidade do conteúdo;

(iii) todos os colaboradores assinam termo de confidencialidade, quando do ingresso à Empresa, assegurando que os temas e dados tratados internamente não deverão ser divulgados externamente.

  • Treinamento dos colaboradores

A Empresa irá promover treinamento e seminário interno voltados à conscientização dos colaboradores sobre a importância de zelar pela privacidade e pela proteção de dados pessoais.

  • Monitoramento

A AVA se responsabilizará pela realização periódica de auditorias para fins de averiguar a implementação do programa de proteção de dados.

Direitos do titular de dados

O titular dos dados pessoais tem direito a obter informações sobre seus dados a qualquer momento, por meio de pedido expresso feito à Empresa. Esse pedido deverá ser feito conforme as instruções previstas no Capítulo XIII.  

São os seguintes os direitos do titular:

  1. confirmação da existência de tratamento, isto é, se a Empresa tem dados pessoais do titular;
  2. acesso aos dados;
  3. correção de dados incompletos, inexatos ou desatualizados;
  4. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei, isto é, o direito a que seus dados pessoais que sejam desnecessários ao tratamento ou que o excedam sejam tornados anônimos, bloqueados ou eliminados;
  5. portabilidade dos dados a outro fornecedor de serviço ou produto, isto é, o titular tem o direito de requerer que seus dados sejam enviados a outro prestador de serviço, desde que respeitados segredos comercial e industrial da Empresa;
  6. eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses prevista em Lei para armazenamento;
  7. informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados, isto é, o titular tem o direito de saber com quem seus dados foram compartilhados pela Empresa;
  8. informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, isto é, o titular tem direito a saber que pode não consentir com o fornecimento de dados e sobre as consequências do seu não consentimento;
  9. revogação do consentimento, isto é, o titular pode revogar a autorização para uso de seus dados;
  10. opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei, isto é, o titular tem o direito de se opor ao tratamento de dados feito sem consentimento e fora das hipóteses em que a Lei permite.

Importante destacar que os direitos dos titulares serão devidamente respeitados pela Empresa, podendo ser restringidos em face de obrigações legais, preexistentes ou supervenientes, a exemplo daquelas que dispõem sobre o dever de guarda de informações.

Como o titular de dados pode requerer informações e exercer seus direitos?

Em caso de dúvida sobre esta Política, informações sobre os seus dados pessoais ou sobre os seus direitos é possível entrar em contato direto com o Encarregado, Rubens Guedes, por meio do: Endereço eletrônico encarregado@avagestao.com.br