1. INTRODUÇÃO

A informação é um ativo valioso para a MAZOLA AUTOMÓVEIS e é essencial para que possamos cumprir nossa missão de prestação de serviço com excelência. Priorizamos a privacidade e a segurança das informações dos nossos colaboradores, clientes e parceiros de negócios.

A MAZOLA AUTOMÓVEIS será tratada como Organização.

Esta Política está em conformidade com Lei Federal n. 13.709/2018 - Lei de Proteção de Dados Pessoais – LGPD e poderá ser alterada em decorrência de atualização normativa interna ou externa à Organização.

Encarregado de Proteção de Dados Pessoais: Rosalia Ferreira Munhoz

2. PROPÓSITO

Esta Política tem por propósito estabelecer diretrizes e princípios que assegurem a proteção e privacidade de dados permitindo aos colaboradores, clientes e parceiros de negócios adotar padrões de comportamento seguro e adequado em relação a proteção dos dados pessoais e outros dados internos e confidenciais da Organização.

Orientar em relação à adoção de controles e processos para atendimento dos requisitos de segurança da informação e as legislações em relação à proteção dos dados pessoais como a lei 13.709/2018 (LGPD).

Resguardar as informações da Organização, garantindo requisitos básicos de confidencialidade, integridade e disponibilidade.

Prevenir incidentes com segurança e tratamento de dados, como o uso inadequado de bases de dados, tratamento de dados sem hipóteses previstas em lei, incidente de vazamento e responsabilização legal da empresa, parceiros e colaboradores.

Minimizar os riscos de autuação pela autoridade reguladora (ANPD), processos judiciais, perda de confiança do mercado, exposição institucional por problemas de inconformidade e outros impactos negativos que a falta de segurança e de processos adequados à legislação possa acarretar.

Garantir os direitos dos titulares previstos no Artigo 18 da lei 13709/2018.

3. ESCOPO

Esta política se aplica a todos os usuários das informações tratadas pela Organização incluindo qualquer indivíduo que possui ou possuiu vínculo com a empresa como: funcionários, ex-funcionários, fornecedores, prestadores de serviços, parceiros de negócios, que possuíram ou possuem ou virão a possuir acesso as informações da Organização e fazem uso, ou fizeram dos recursos computacionais e acessos aos serviços de dados e/ou bases de dados.

4. DIRETRIZES

O objetivo da segurança da informação e proteção dos dados pessoais tratados é garantir a gestão efetiva de todos os aspectos relacionados à segurança e governança do uso dos dados, provendo suporte às operações críticas de negócio e minimizando os riscos identificados em cada departamento e/ou processo de negócio, ou tratamento de dados respectivo e seus impactos à organização.

A diretoria executiva e o comitê de privacidade e proteção de dados, estão comprometidos com uma gestão efetiva de proteção dos dados pessoais e adotam medidas cabíveis para garantir que essa política seja adequadamente comunicada, entendida e seguida em todos os níveis da organização. Revisões periódicas serão realizadas a fim de se manter esta política realista, aplicável, sem comprometer o negócio da organização, garantindo seu propósito primário.

A Organização declara como política de proteção de dados pessoais:

• Elaborar, implantar e seguir por completo as políticas, normas e procedimentos de proteção dos dados pessoais, garantindo os requisitos básicos de confidencialidade, integridade e disponibilidade da informação, atingidos através de adoção de controle contra ameaças provenientes de fontes externas e internas.

• Disponibilizar políticas, normas e procedimentos de proteção dos dados pessoais a todas as partes interessadas e autorizadas tais como: Colaboradores, prestadores de serviços, parceiros e onde for aplicável em fornecedores e clientes.

• Garantir a educação e conscientização sobre as práticas de proteção dos dados pessoais adotadas internamente;

• Atender integralmente a Lei 13.709/2018 e aos requisitos de segurança da informação aplicáveis por outras legislações pertinentes e cláusulas específicas contratuais com parceiros de negócios.

• Tratar integralmente os incidentes de uso dos dados e/ou segurança da informação, garantindo que sejam devidamente registrados, classificados, investigados, tratados e quando necessário comunicado as partes interessadas (ANPD/TITULARES/DIRETORIAS).

• Garantir a continuidade do negócio adotando a melhoria contínua e planos de ação com objetivos de segurança das informações e uso legal dos dados.

• Melhorar continuamente a gestão da segurança da informação, qualidade dos dados, governança dos enquadramentos dos registros de dados baseados nas hipóteses legais previstas na LGPD.

5. PAPÉIS E RESPONSABILIDADES

5.1 COMITÊ DE PRIVACIDADE E PROTEÇÃO DE DADOS

Institui-se o COMITÊ DE PRIVACIDADE E PROTEÇÃO DE DADOS, que é composto pelos gestores áreas de Tecnologia da Informação, Administração e Comercial, sendo liderado pelo Encarregado de Proteção de Dados (DPO).

5.2 RESPONSABILIDADES DO COMITÊ DE PRIVACIDADE E PROTEÇÃO DE DADOS

Analisar, revisar e propor a aprovação de políticas e normas relacionadas à proteção dos dados pessoais;

Garantir a disponibilidade de recursos necessários para uma gestão efetiva do programa de proteção dos dados pessoais;

Garantir que as atividades de governança e segurança dos dados estejam em conformidade com esta política;

Promover a divulgação da Política de Privacidade e Proteção dos Dados Pessoais e disseminar a cultura de proteção dos dados, uso legal, conceito de privacidade de dados desde a concepção e por padrão na organização.

5.3 ENCARREGADO DE DADOS E GERENTE DE TI

Responsabilidades:

• Conduzir a gestão e operação da governança dos dados, revisões contínuas nos processos de negócio com base nesta política e com base nas definições do COMITÊ LGPD;

• Apoiar o COMITÊ LGPD em suas deliberações;

• Identificar, avaliar e comunicar as ameaças e a proteção dos dados pessoais e implantar medidas preventivas e corretivas para reduzir os riscos inerentes;

• Tomar as ações cabíveis para se fazer cumprir os termos desta política;

• Realizar a gestão e comunicação dos incidentes de uso inadequado e segurança.

5.4 GESTORES DE ÁREAS

Responsabilidades:

• Gerenciar os processos de negócios, tratamentos de dados formalizados e informações geradas sob suas responsabilidades durante todo o seu ciclo de vida, incluindo a criação, manuseio e seus descartes, dentro da linha de enquadramento legal dos registros de dados nos sistemas, controles de uso até o momento da sua exclusão ou anonimização, no caso de fim de finalidades de uso, ou falta de enquadramento legal para tratamento;

• Identificar, classificar e rotular as informações geradas sob responsabilidade da área, ajustando a classificação e rotulagem quando necessário. Todos os processos relevantes de negócio que tratam dados pessoais devem ser formalizados, assim como seus respectivos tratamentos de dados/finalidades e hipóteses legais que subsidiam os respectivos tratamentos;

• Revisar os processos de negócio/tratamento de dados, identificação dos ativos e suas classificações periodicamente, ou sempre que houver mudanças de sistemas, bases relevantes de dados e/ou diretivas do COMITÊ LGPD

• Autorizar e revisar os acessos à informação e sistemas de informação sob sua responsabilidade;

• Solicitar a concessão ou revogação de acessos às informações e sistemas, de acordo com os procedimentos adotados pela organização.

5.5 USUÁRIOS DA INFORMAÇÃO

Responsabilidades:

• Ler, compreender e executar integralmente os termos da política de proteção dos dados pessoais, assim como as normas e procedimentos adicionais publicadas;

• Enviar dúvidas ou solicitações de esclarecimentos sobre a política de proteção dos dados pessoais ao COMITÊ DE PRIVACIDADE E PROTEÇÃO DE DADOS quando necessário, de forma documentada;

• Comunicar ao COMITÊ DE PRIVACIDADE E PROTEÇÃO DE DADOS e gerar notificação no sistema de incidentes sob qualquer evento que possa violar esta política e suas normas publicadas;

• Assinar o termo de uso dos sistemas de informação da empresa e conhecimento desta política, formalizando a ciência e o aceite integral de seus termos e conteúdo, assumindo as responsabilidades pelo seu cumprimento;

• Responder, sob a inobservância desta política, suas normas e procedimentos inerentes conforme as sanções e punições previstas.

8. SANÇÕES E PUNIÇÕES

As violações, mesmo que por omissão, ou tentativa frustrada desta política, suas normas e procedimentos publicados podem acarretar penalidades que incluem advertência verbais, notificações formais, suspensão não remunerada, cancelamento de contrato (no caso de parceiros de negócio ou prestadores de serviços), e demissão por justa causa do funcionário da empresa;

A aplicação de sanções e punições poderá ser realizada de acordo com a definição do COMITÊ DE PRIVACIDADE E PROTEÇÃO DE DADOS, onde a gravidade do incidente ou ameaça e/ou dano causado será avaliado, além da recorrência e as hipóteses previstas nos contratos e/ou no artigo 482 da CLT podem o COMITÊ LGPD, no uso disciplinar que lhe é atribuído em conjunto com o departamento de RH e/ou jurídico, aplicar a pena cabível;

Para violações que estejam relacionadas a atividades criminosas ou que possam acarretar dano a Organização ou aos titulares das informações, o infrator será responsabilizado pelos prejuízos cabendo a aplicação de medidas judiciais.

9. DECLARAÇÃO DE COMPROMETIMENTO DA DIRETORIA

A Diretoria da Organização declara-se comprometida em um programa de governança que envolve a Segurança e Proteção dos Dados Pessoais de seus clientes e qualquer pessoa ou entidade acerca de seus negócios, garantindo a confidencialidade, integridade e disponibilidade dos mesmos, conforme legislação brasileira de boas práticas de governança de dados.

Nos comprometemos com os fundamentos e princípios de uso dos dados pessoais regidos pela lei 13.709/2018 para uso dos dados de forma consentida pelo seu titular, enquadramento em nosso direito ou dever de tratamento através das dez hipóteses previstas em lei.

Nos comprometemos com a conscientização de todo nosso time de colaboradores, diretorias e executivos e com os processos adequados para uso legal dos dados.

10. Aprovação

Esta Política foi aprovada no dia 15/10/2021