POLÍTICA DE PRIVACIDADE
POLÍTICA DE PRIVACIDADE – ASSOCIAÇÃO O AMOR AGRADECE
-
Objetivo
O objetivo dessa Política é fornecer diretrizes de conduta e orientação para o público alvo dos projetos e programas da Associação O Amor Agradece, assim como para as pessoas apoiadoras, colaboradoras, funcionárias e prestadoras de serviços da Associação O Amor Agradece no que se refere ao uso e tratamento de dados pessoais e dados pessoais sensíveis, buscando mitigar riscos de tratamento indevido, exposição, vazamento ou qualquer outro incidente dessa natureza, sempre em conformidade com a Missão, Visão, Princípios e normas internas da Associação O Amor Agradece.
Essa Política deve ser lida e interpretada em conjunto com o MANUAL DE BOAS PRÁTICAS e demais políticas e procedimentos internos relacionadas aos programas e projetos da Associação O Amor Agradece.
-
Aplicabilidade
As diretrizes desta Política de Privacidade se aplicam a todas as pessoas associadas à Associação O Amor Agradece e/ou pessoas que participam das atividades dos projetos e programas da Associação O Amor Agradece, assim como a todos as pessoas apoiadoras, colaboradoras, funcionárias e prestadoras de serviços da Associação O Amor Agradece, em qualquer nível hierárquico.
-
Como coletamos dados e tratamos os dados coletados
Dados pessoais e dados pessoais sensíveis podem ser coletados pela Associação O Amor Agradece e por terceiros por ela autorizados no âmbito da execução dos projetos e programas da Associação O Amor Agradece, sempre em conformidade com os termos desta Política de Privacidade.
Os dados são recolhidos por meio do preenchimento de formulários impressos ou digitais, resposta a entrevistas, registro de áudio ou audiovisual das atividades que integram os projetos e programas.
Os dados são coletadas e armazenadas pela Associação O Amor Agradece e/ou por terceiros por ela autorizados para que possam realizar o tratamento dos dados em conformidade com o propósito dos projetos e programas da Associação O Amor Agradece, em conformidade com a Lei Geral de Proteção de Dados, Lei Federal no. 13.709, de 14 de agosto de 2018.
Os dados poderão ser igualmente recolhidos por meio de informação direta por parte da pessoa que a forneceu ou por meio de transferência por via digital – email, whattsapp, messenger e outras plataformas digitais de comunicação.
-
Diretrizes
-
Diretrizes Gerais
A Associação O Amor Agradece é uma iniciativa organizada de forma horizontal, com o objetivo de entregar comida a quem tem fome. Começou em 2018, entre amigos, cozinhando e entregando coletivamente, por volta de 200 quentinhas. Com a pandemia e a restrição de contato, foram desenvolvidos núcleos menores, cada pessoa em sua casa. A associação recomeçou suas atividades com 9 mulheres cozinhando e entregando, sempre formando equipes com quem as pessoas já conviviam naquele momento. Foram, então, formados núcleos de pessoas voluntárias, liderados por outras pessoas voluntárias, divididos em regiões da cidade de São Paulo e de Guarulhos. Em rede, conseguimos entregar um prato de comida pra quem tem fome vários dias da semana. Mais informações sobre a organização e seus projetos e programas poderão ser acessadas em www.oamoragradece.org.br.
Para cumprir sua missão com êxito, informações e dados são fundamentais e, consequentemente, a segurança da informação e o respeito à privacidade dos dados pessoais são extremamente relevantes.
Assim, como essa Política de Privacidade trata de questões relacionadas a diferentes temas, antes de tudo, é preciso apresentar alguns conceitos:
O que é um dado? Dado é todo fragmento (um número, uma palavra, um símbolo) que consegue comunicar algo, mas que isolado não é capaz de produzir uma informação.
E o que é informação? Informação é um conjunto de dados, que uma vez estruturados, organizados e processados, são capazes de transmitir uma mensagem.
O que é um dado pessoal? Dado pessoal é uma informação relacionada a qualquer pessoa natural (pessoa física) que permite que ela seja identificada ou identificável.
O que é um dado pessoal sensível? Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
O que é tratamento de dados pessoais ou informações? Tratamento é toda atividade ou operação realizada com dados pessoais ou informações, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle, modificação, comunicação, transferência, difusão ou extração.
Quando falamos em segurança da informação e proteção de dados, falamos de uma gama de regras e processos que visam assegurar a proteção de tudo isso. E claro, isso não se restringe ao âmbito digital, visto que informações e dados estão presentes também em papéis, e também no conjunto de conhecimentos que as pessoas absorvem e compartilham verbalmente ao interagir umas com as outras, dentro ou fora do ambiente de trabalho.
Todas as pessoas que se relacionam com a Associação O Amor Agradece, sejam elas apoiadoras, colaboradoras, funcionárias ou prestadoras de serviços, devem sempre estar atentas e cientes de sua responsabilidade individual na boa gestão das informações e dados, especialmente para que pessoas desatentas, despreparadas ou mal intencionadas não venham a apagar, manipular, armazenar, compartilhar ou utilizar de forma indevida os dados e informações.
Todas as pessoas que se relacionam com a Associação O Amor Agradece e seus programas e projetos, sejam apoiadoras, colaboradoras, funcionárias, prestadoras de serviços e mesmo as pessoas que se beneficiam dos projetos e programas, de forma direta ou indireta, são parte da organização, e seu alinhamento com as práticas de segurança da informação é indispensáveis. Assim, para integrar a estrutura da Associação O Amor Agradece, bem como para participar e contribuir com os projetos e programas, a premissa é o total engajamento com as diretrizes aqui estabelecidas.
-
Diretrizes Específicas
A segurança da informação e proteção de dados é coisa séria e primordial nas atividades da Associação O Amor Agradece, por isso todos devem dedicar atenção especial ao uso correto e seguro das bases de dados, como: contas de e-mail, nuvens ou discos rígidos (pendrives e HDs), documentos físicos e digitais, e conversas em reuniões internas e externas ou em ambientes públicos (transporte público, festas, bares, Redes Sociais, e demais ambientes físicos ou virtuais).
A Associação O Amor Agradece espera que todas as pessoas que atuam em seu nome ou representação procedam em suas ações e decisões de forma ética, íntegra e transparente, especialmente nos parâmetros de referência apresentados por essa Política de Privacidade.
-
Diretrizes de Proteção de Dados
Dado é todo fragmento (um número, um código, um símbolo, ou qualquer coisa que represente um significado) que consegue comunicar algo por si só, mas que sozinho não é capaz de produzir uma informação. Por exemplo, um número escrito em um pedaço de papel é só um dado que consegue comunicar algo por si só. Assim, sozinho não é uma informação. Ele só se torna uma informação quando alguém que detém a informação completa revela se aquele número significa um saldo bancário, ou o número de um apartamento, ou a quantidade de países que uma pessoa visitou, ou a quantidade de fotos que uma pessoa publicou em uma rede social, ou qualquer que seja a informação que aquele número escrito em um pedaço de papel represente.
Por outro lado, mesmo um dado sendo um registro solto e aleatório, uma vez desprotegido e inserido em um contexto, pode ser utilizado de forma indevida ou expor a organização a riscos, por isso a proteção de dados (fragmentos da informação) é tão importante quanto a proteção da própria informação.
Assim, todos as pessoas que se relacionam com a Associação O Amor Agradece, sejam elas apoiadoras, colaboradoras, funcionárias ou prestadoras de serviços, devem se assegurar que em seus processos e tarefas de trabalho, quando houver tratamento de dados relevantes, ainda que isolados, sejam empregadas atenção, ações e controles suficientes para impedir que pessoas, bem ou mal intencionadas, consigam acesso a tais dados que não lhe são de direito.
-
Diretrizes de Proteção de Dados Pessoais e Dados Sensíveis
Como visto, dados pessoais são informações que remetem à informação sobre pessoas físicas, as quais permitem que tal pessoa seja identificada (como o nome, CPF, RG, CNH, título de eleitor, número de passaporte, endereço residencial ou comercial, endereço de e-mail, número de telefone, dados de geolocalização, apelido, e outros) ou se torne identificável (como o conjunto de informações e características de uma pessoa, que não sejam propriamente dados pessoais, mas que em conjunto permitem sua identificação).
Já os dados pessoais sensíveis, como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, são informações que podem expor uma pessoa física que seja titular dos dados a situação danosa de violação de sua privacidade ou intimidade. Assim, dados sensíveis sobre uma pessoa, apesar de isoladamente não possibilitar a identificação dela, merecem uma atenção ainda mais relevante, uma vez que desprotegidos ou tratados de forma indevida podem ser utilizados para discriminar ou prejudicar a pessoa.
Portanto, o tratamento de dados pessoais de pessoas que se relacionam com a Associação O Amor Agradece, sejam elas apoiadoras, colaboradoras, funcionárias, prestadoras de serviços e beneficiárias dos projetos e programas é atividade que merece atenção e cuidado redobrado. Inclusive, há no Brasil lei específica para proteção de dados pessoais, a Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD). Essa lei estabelece diretrizes de tratamento de dados pessoais e punições para organizações que não dedicarem a segurança necessária ao tratamento desses dados sob sua responsabilidade.
Para tratar dados pessoais de forma legítima e em conformidade com a Lei Geral de Proteção de Dados (LGPD), a mencionada lei prevê 11 (onze) princípios fundamentais;
-
boa-fé: quem quer que tome parte no tratamento de dado pessoal, deve agir com lealdade e cooperação, abstendo-se de condutas que possam esvaziar as legítimas expectativas do titula daquele dado pessoal.
-
finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
-
adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
-
necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
-
livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
-
qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
-
transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
-
segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
-
prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
-
não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e
-
responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Também é necessário seguir outra diretriz da LGPD, que aponta para a necessidade de se observar diferentes autorizações que permitem a adequação no tratamento dos dados pessoais:
-
consentimento do titular dos dados;
-
cumprimento de uma obrigação legal;
-
execução de políticas públicas;
-
ser órgão de pesquisa;
-
cumprimento de uma execução de contrato;
-
exercício regular de direito;
-
exercício da proteção da vida;
-
exercício da tutela da saúde;
-
exercício de legítimo interesse; ou
-
exercício da proteção ao crédito.
Já o tratamento de dados pessoais sensíveis somente poderá ocorrer mediante o consentimento do seu titular, ou, na ausência de consentimento, para as seguintes hipóteses: a) cumprimento de obrigação legal ou regulatória pelo controlador do dado: b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos; c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; e) proteção da vida ou da incolumidade física do titular ou de terceiro; f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos dos titulares, exceto no caso de prevalecer direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Assim, todas as pessoas que se relacionam com a Associação O Amor Agradece, sejam elas apoiadoras, colaboradoras, funcionárias e/ou prestadoras de serviços, que em suas atividades tratarem dados pessoais e/ou dados pessoais sensíveis, devem estar atentas e comunicar falhas de segurança e riscos de acesso indevido e vazamentos, bem como devem manter condições adequadas de segurança desses dados.
Desde já, a Associação O Amor Agradece assume o compromisso de indicar pessoa física ou jurídica para a função de encarregada de dados, bem como proceder com a constante revisão dessa Política de Privacidade e de toda a Governança de Dados Pessoais e Dados Pessoais Sensíveis da Associação O Amor Agradece, além da implementação de Políticas, Processos e Procedimentos em respeito ao tratamento e cuidado de Dados Pessoais e Dados Pessoais Sensíveis que coletar no exercício de suas atividades.
-
Diretrizes de Segurança da Informação
Segurança da Informação se traduz pelo conjunto de mecanismos de controle e boas práticas que garantam que informações (armazenadas de forma física ou digital) não sejam acessadas por pessoas não autorizadas, acesso esse que deixaria qualquer organização exposta a vazamentos, espionagem, fraudes, manipulação ou destruição de informações, e outros incidentes de segurança da informação que podem significar prejuízos operacionais, reputacionais, financeiros e até judiciais.
A principal boa prática em Segurança da Informação estabelece 3 Pilares: Confidencialidade, Integridade e Disponibilidade, os quais devem ser observados por todas as pessoas apoiadoras, colaboradoras, funcionárias e/ou prestadoras de serviços da Associação O Amor Agradece quando lidam com Dados e Informações:
-
Pilar 1 - Confidencialidade: estabelece a Privacidade dos Dados e Informações relacionados à Organização e suas atividades, de modo a se utilizar de medidas de controle que garantam o acesso à Informações somente por pessoas autorizadas. Essas medidas de controle podem ser implementadas por cláusula contratual e através de controles de acesso, como implantação de senhas de acesso, criptografia, classificação da informação ou outros mecanismos de controle. Um erro ou falha de Confidencialidade pode expor Dados e Informações secretas, colocando os projetos e programas e a reputação da Organização em risco;
-
Pilar 2 - Integridade: determina que a integridade dos Dados e Informações precisa ser preservada. Isso implica cuidar para que, na coleta, armazenamento, manuseio, uso e compartilhamento dos Dados e informações, sejam preservadas a sua exatidão e integridade, impedindo que sejam corrompidos, comprometidos ou adulterados de forma indevida. Essas medidas de controle podem ser implementadas através de controle de log de acesso (trilha com as “pegadas” de todos que acessaram e/ou modificaram um Dado ou informação), bem como por controle de versões (garantir o armazenamento das versões antigas de um dado ou informação) e outros mecanismos de controle. Um erro ou falha de Integridade (como por exemplo um disco rígido corrompido) pode levar a perda de Dados e Informações relevantes e atrasar ou inviabilizar projetos e programas da Organização;
-
Pilar 3 - Disponibilidade: A Disponibilidade se refere à acessibilidade dos Dados e Informações sempre que se fizer necessário para tarefas e processos nas atividades da Organização. Dados e Informações precisam ser protegidos de pessoas não autorizadas a acessá-los, e, ao mesmo tempo, precisam estar sempre disponíveis para quem de direito. Por isso, adequações, atualizações, modernização e monitoramento das condições de softwares e hardwares, bem como de espaços físicos, precisam ser constantes, sem se esquecer de Backups e demais formas de recuperação de Dados e Informações em caso de incidentes. Um erro ou falha de Disponibilidade pode paralisar totalmente os projetos e programas, ou mesmo toda a Organização (como nos eventos onde hackers sequestram e criptografam bancos de Dados e Sistemas das Companhias, cobrando “resgate” para devolver o acesso).
A Associação O Amor Agradece espera que todas as pessoas que agem em seu nome ou benefício se assegurem de que em suas tarefas e processos a circulação de Dados e Informações esteja segura e controlada de forma adequada, evitando que pessoas não autorizadas tenham acesso indevido a esses conteúdos.
-
Segurança e Proteção da Informação no uso de ativos
-
Dispositivos, telefonia (fixa e móvel) e serviços de armazenamento em nuvem
A Associação O Amor Agradece utiliza serviço de armazenamento em nuvem e compartilhamento pela plataforma googledrive. Esse serviço é de uso exclusivo no atendimento dos interesses da Associação O Amor Agradece. Ademais, as pessoas que se relacionam com a Associação O Amor Agradece como apoiadoras, colaboradoras, funcionárias ou prestadoras de serviços usam dispositivos (desktops, notebooks, tablets, cartões de memória, pen drives, HDs externos, CDs, DVDs, e outros eletrônicos) bem como aparelhos e serviços de telefonia (fixa e móvel) próprios.
No uso de dispositivos físicos ou serviços digitais de armazenamento ou compartilhamento, deve-se ter sempre o cuidado de observar e cumprir as diretrizes de proteção de Dados e Segurança da Informação, o que implica se atentar à necessidade de se valer de antivírus, firewalls, criptografia, anonimização ou demais recursos de segurança e privacidade de Redes e Dispositivos.
Deste modo, no uso dos dispositivos e serviços é vedado a todos os usuários fazer downloads de programas ou arquivos que aparentam ser suspeitos ou de origem suspeita, ou, em relação aos serviços, que sejam alheios aos interesses da Organização.
Também é vedado aos usuários de dispositivos e serviços que utilizam criptografias ou senhas impedir o acesso ao conteúdo de pastas, e-mails, arquivos, dispositivos e serviços que estejam relacionados às atividades da Associação O Amor Agradece, bem como aos projetos e programas.
-
Responsabilidade
A responsabilidade pela gestão, monitoramento, aplicação e atualização desta Política de Privacidade é da Associação O Amor Agradece.
5.1. Engajamento da Liderança
Se você é uma liderança, deve liderar pelo exemplo. Oriente as pessoas com quem atua e trabalha, converse sobre o Manual de Boas Práticas, sobre essa Política de Privacidade e sobre questões éticas em toda e qualquer situação que isso for possível.
Nunca acoberte ou ignore situações e problemas de natureza ética. Encoraje a comunicação entre as pessoas com quem atua e trabalha e agradeça quando lhe trouxerem dilemas éticos. É importante destacar que a Liderança não pode repreender ou pressionar nenhuma pessoa apoiadora, colaboradora, funcionária ou prestadora de serviços por fazer uma denúncia, uma comunicação ou contribuir em um processo de apuração.
-
Aceitação da Política
Toda pessoa que se relaciona com a Associação O Amor Agradece, seja como apoiadora, colaboradora, funcionária, prestadora de serviços ou, ainda, beneficiária dos projetos e programas da Organização deve tomar conhecimento dessa Política de Privacidade e se comprometer a observar e respeitar seus termos e condições. Para isso, a Política de Privacidade é publicada no site da Associação O Amor Agradece, disponível em www.oamoragradece.org.br.
-
Canal de Escuta Confidencial e Denúncia
A Associação O Amor Agradece disponibiliza ao público interno e externo um canal direito de escuta e denúncia, seguro e confidencial, gerido pela pessoa nomeada como Encarregada de Dados.
Por este canal, qualquer pessoa pode registrar dúvidas, sugestões, denúncias, reclamações e suspeitas de irregularidades e violações ao Manual de Boas Práticas a esta Política de Privacidade, bem como sobre procedimentos e normas internas da Associação O Amor Agradece e à legislação vigente aplicáveis às Organização relativamente à proteção de dados.
A Associação O Amor Agradece se compromete a analisar de forma imparcial e sigilosa todos os registros recebidos. As fases do gerenciamento dos registros recebidos, bem como as respectivas responsabilidades dos envolvidos na operacionalização, gestão e tomada de decisão, desde o recebimento até o arquivamento e monitoramento, estão formalizadas em normativa interna da Associação O Amor Agradece. Após o recebimento, registro e triagem inicial do registro, eventualmente, pode surgir a necessidade de instauração de uma apuração interna. De todo modo, todo registro será recebido e devidamente respondido.