Proteção de dados

I. INTRODUÇÃO

Esta Política define os padrões adotados pela 4KST para tratamento e proteção de dados pessoais1 que estejam ou venham a estar sob a sua tutela.

Todo o repertório legal que envolva a questão da proteção a dados pessoais e os direitos inerentes a seus titulares é preocupação precípua da 4KST e esta exige o mesmo comprometimento de todos os seus colaboradores no desenvolvimento de suas atividades.

 

II. PREMISSAS

A 4KST adota premissas que norteiam esta Política e que deverão ser consideradas em qualquer dos seus processos (internos ou externos) e em todas suas decisões:

  1. proteção de todo dado pessoal que esteja sob sua tutela, atuando continuamente de forma a evitar qualquer vazamento ou acesso indevido;
  2. somente será fornecedora de dados pessoais (ex: bureaus) ou de serviços relacionados a dados pessoais para a 4KST, empresa devidamente constituída, sobre a qual inexista qualquer indício de ilicitude, ilegalidade ou ausência de legitimidade para tal fornecimento;
  3. o tratamento de dados pessoais somente será realizado para fins lícitos, não discriminatórios e não abusivos;
  4. respeito estrito à privacidade de qualquer titular de dados2;
  5. obediência integral à legislação e regulamentação que envolva a proteção de dados pessoais, sejam elas nacionais ou internacionais, em especial a Lei Brasileira de Proteção de Dados Pessoais – Lei 13.708/2018 (a ¨LGPD¨);
  6. o tratamento de dados pessoais somente será realizado quando enquadrado em base legal de acordo com os requisitos da LGPD;
  7. o não tratamento de dados pessoais sensíveis3;
  8. descarte de todo e qualquer dado pessoal que não seja necessário manter sob sua tutela, ou seja, que não deva ser guardado para fins de cumprimento de alguma exigência legal, para funcionamento de produto ou serviço fornecido, ou para manutenção de contatos comerciais e/ou técnicos;
  9. todas as suas relações, internas e com terceiros, são pautadas pela total transparência no que tange à guarda, tratamento e uso de dados pessoais; e
  10. no caso de eventual incidente de segurança4, o(s) titular(es) dos dados envolvidos serão devida e imediatamente cientificados, com total transparência aos mesmos e às autoridades públicas relacionadas.

A 4KST somente prestará serviços de tratamento de dados pessoais para terceiros, se houver a formalização prévia do instrumento contratual relacionado, em que conste expressamente o alinhamento da outra parte às premissas relacionadas à proteção de dados pessoais aqui definidas.

 

III. DADOS PESSOAIS

A 4KST por sua estrutura organizacional, atividades e mercado de atuação, segrega os dados pessoais sob sua tutela em duas categorias para estruturação de seus processos internos de coleta, guarda, proteção e descarte de dados pessoais:

1. Dados Pessoais Internos

São dados pessoais de empregados, estagiários, sócios, investidores, profissionais autônomos e prestadores de serviços que compõem o grupo de colaboradores 4KST.

Também se enquadram nesta categoria os dados de pessoas que representem clientes ou clientes em prospecção, fornecedores e parceiros da 4KST.

2. Dados Pessoais Business 4KST

Compõem essa categoria:

  • dados pessoais controlados por clientes dos produtos ou serviços 4KST entregues para tratamento; e
  • dados pessoais adquiridos de bureaus fornecedores da

 

IV. GOVERNANÇA DA PROTEÇÃO DE DADOS PESSOAIS

A 4KST adota uma estrutura de governança interna dedicada à segurança de dados pessoais e conformidade com as questões legais e éticas que envolvem a matéria.

Além do Comitê de Segurança e Proteção de Dados Pessoais (o ¨Comitê¨) e de sua liderança, o Data Protection Officer – DPO (encarregado de proteção de dados pessoais), a 4KST possui Representantes de Proteção de Dados Pessoais (os ¨RPDPs¨) em todas áreas/atividades sensíveis da empresa.

Tais RPDPs são responsáveis por dar suporte ao DPO na identificação e monitoramento de riscos LGPD 5 e também por garantir o cumprimento dos processos e procedimentos definidos em suas áreas de atuação.

A Governança de Proteção de Dados Pessoais da 4KST está desta forma estruturada:

1. Comitê de Segurança e Proteção de Dados Pessoais –
Membros: sócios quotistas DPO
Periodicidade: Ordinária, a cada 30 dias; Extraordinária, sob convocação
Ata: Se necessário, documentar por relevância de decisão tomada

Deverão obrigatoriamente serem levadas ao Comitê para mapeamento dos riscos LGPD e deliberação, as seguintes matérias:

  • novo produto ou serviço que envolva o uso ou tratamento de dados pessoais, em fase de estudo de viabilidade para disponibilização ao mercado pela 4KST;
  • contratação de fornecedor de dados pessoais e/ou serviços que envolvam dados pessoais, especialmente serviços prestados fora do ambiente da 4KST (ex: bureaus, serviços de processamento em nuvem, etc.);
  • definição de processos de auditorias internas e apresentação de seus resultados;
  • aprovação de normas internas da 4KST (Políticas e Procedimentos) relacionadas à matéria de proteção de dados pessoais, e de suas atualizações;
  • denúncias a respeito do descumprimento desta Política e demais normas internas da 4KST relacionadas à proteção de dados pessoais; e
  • demais matérias relacionadas à proteção de dados pessoais que o DPO ou qualquer dos RPDPs decida levar para deliberação pelo Comitê.

Também deverá ser objeto de estudo e deliberação do Comitê, todo Relatório de Impacto à Proteção de Dados Pessoais – RIDP que venha a ser produzido pela 4KST quando esta pretender realizar tratamento de dados pessoais, em que se observe as seguintes condições:

  • a 4KST seja controladora6 dos dados pessoais; e
  • o tratamento de dados esteja baseado em legítimo interesse da 4KST previsto na

A finalidade de todo RIDP é analisar e documentar o impacto futuro que eventual tratamento de dados possa gerar sobre seus titulares e à sociedade, considerando possíveis consequências indesejadas a eles.

2. Data Protection Officer – 4KST DPO

É o encarregado indicado para atuar como canal de comunicação com os titulares dos dados pessoais, a Autoridade Nacional de Proteção de Dados (ANPD) e demais autoridades públicas que possam representar os interesses dos titulares dos dados. O DPO é o responsável pela elaboração do RIPD, em conjunto com o(s) RPDP(s) responsável(is) pela(s) área(s) a que o relatório se refere.

O DPO também é o responsável por liderar as ações para o atendimento a qualquer incidente de segurança que possa vir a ocorrer na 4KST.

Qualquer exceção ao cumprimento de norma e/ou processo interno da 4KST que envolva risco LGPD deverá ser levado ao DPO, para análise e autorização prévia.

3. Representantes de Proteção de Dados Pessoais – RPDP
a) Marketing e Comunicação

O RPDP do Marketing da 4KST é responsável por:

  • garantir que todos os ambientes e canais digitais utilizados pela 4KST apresentem termos de uso, políticas de privacidade, termos de consentimento e demais documentos definidos para adequação às regras de proteção de dados pessoais da 4KST;
  • dar suporte para comunicação interna e treinamento a respeito das normas internas de proteção de dados e risco LGPD; e
  • comunicar ao DPO qualquer inconformidade ou fragilidade detectada em sua área de atuação que possa configurar uma exposição a risco LGPD.
b) Comercial –

O RPDP do Comercial da 4KST é responsável por:

  • garantir que qualquer abordagem comercial a cliente siga todas as premissas da 4KST quanto às suas regras de proteção de dados pessoais;
  • avaliar previamente a qualquer contratação se a pretensão de um cliente em utilizar um produto ou serviço 4KST está alinhada às diretrizes de proteção de dados pessoais adotada pela 4KST, especialmente no que tange à não utilização de dados sensíveis e finalidade não discriminatória e não abusiva; e
  • comunicar ao DPO qualquer inconformidade ou fragilidade detectada em sua área de atuação que possa configurar uma exposição a risco LGPD.
c) Administrativo/Financeiro –

O RPDP do Administrativo/Financeiro da 4KST é responsável pela:

  • proteção e sigilo de todas as informações relacionadas a prestadores de serviços e demais profissionais autônomos;
  • proteção e sigilo de informações relacionadas a parceiros e investidores e sócios da 4KST; e
  • comunicação ao DPO sobre qualquer inconformidade ou fragilidade detectada em sua área de atuação que possa configurar uma exposição a risco LGPD.
d) Técnica – Tecnologia da Informação

O RPDP da área Técnica da 4KST é responsável por:

  • garantir a implantação das boas práticas de segurança da informação na transmissão e armazenamento de dados;
  • garantir que todos os computadores da empresa possuam logs de acesso de arquivos;
  • garantir a realização análise dos logs periodicamente e de acordo com requisições internas/externas;
  • confirmar o descarte de todos os dados após a realização de provas de conceito ou da prestação de serviços dentro do prazo estipulado em contrato;
  • buscar continuamente novas soluções de segurança de TI para identificação daquelas que possam ser implantadas nos processos da 4KST como forma de melhoria contínua;
  • treinar toda equipe técnica de tecnologia da informação da 4KST em conceitos de segurança de TI e proteção de dados;
  • comunicar o DPO de forma imediata quando detectar qualquer incidente de segurança na estrutura da 4KST; e
  • comunicar ao DPO qualquer inconformidade ou fragilidade detectada em sua área de atuação que possa configurar uma exposição a risco LGPD.
e) Recursos Humanos –

O RPDP de Recursos Humanos da 4KST é responsável por:

  • garantir a guarda segura de todas as informações relacionadas aos empregados e estagiários da empresa e profissional técnico autônomo, exigindo, inclusive contratualmente, que qualquer prestador de serviços que necessite ter acesso a tais informações (ex: folha de pagamento e e-social, medicina do trabalho, etc.) siga estritamente compromisso de guarda e não divulgação;
  • criar todos os processos internos da atividade de gestão de recursos humanos considerando as diretrizes de proteção de dados pessoais da 4KST previstas nesta Política e demais normas internas relacionadas;
  • manter documentos com dados pessoais que identifiquem candidatos apenas durante processos de seleção conduzidos pela 4KST;
  • dar preferência à utilização de ferramentas públicas de cadastro de dados profissionais e acadêmicos (ex: Curriculum Lattes, Linkedin, etc) para busca de profissionais;
  • implantar processos periódicos para confirmação da observância às normas 4KST de proteção de dados pessoais pelos seus fornecedores e colaboradores 4KST; e
  • comunicar ao DPO qualquer inconformidade ou fragilidade detectada em sua área de atuação que possa configurar uma exposição a risco LGPD.
f) Jurídico –

O RPDP do Jurídico da 4KST é responsável por:

  • acompanhar alterações legais e regulamentares relacionadas à matéria e manter o DPO e membros do Comitê atualizados;
  • assegurar que todos os instrumentos contratuais que regem as relações com terceiros envolvendo dados pessoais, possuam cláusulas robustas de segurança e confidencialidade e estejam em total conformidade com a legislação relacionada e normas internas da 4KST; e
  • comunicar ao DPO qualquer inconformidade ou fragilidade detectada em sua área de atuação que possa configurar uma exposição a risco LGPD.
g) Compliance –

O RPDP do Compliance da 4KST é responsável por:

  • realizar processos de due diligence de terceiros sensíveis quanto ao risco LGPD (ex: bureaus);
  • formação/treinamento e reciclagem sobre o risco LGPD e normas internas da 4KST relacionadas a todos os colaboradores 4KST; e
  • comunicar ao DPO qualquer inconformidade ou fragilidade detectada na 4KST que possa configurar uma exposição a risco LGPD.

 

V. RELAÇÕES EXTERNAS

1) Autoridades Públicas

É compromisso da 4KST e do seu DPO o atendimento a todas as exigências de autoridades públicas respaldadas em preceitos legais, bem como o pleno cumprimento de toda determinação judicial envolvendo a questão de dados pessoais. Não é permitido que qualquer colaborador 4KST crie qualquer óbice para impedir ou prejudicar fiscalizações ou investigações.

2) Titulares dos Dados

O relacionamento da 4KST com titulares de dados pessoais será pautado pela total transparência e integral observância à Lei 13.708/2018, em especial ao princípio do livre acesso nela previsto.

 

VI. MONITORAMENTO

1) Auditoria de Terceiros

A 4KST permitirá que seus clientes e fornecedores promovam processos de auditoria em seus ambientes físicos e computacionais, com vistas a confirmar a observância aos compromissos contratuais relacionados à guarda, proteção, confidencialidade e descarte de dados pessoais.

2) Monitoramento Interno

A 4KST manterá rotinas de monitoramento periódico, inclusive através de auditorias internas, para identificar eventuais não conformidades às suas normas internas que possam gerar uma exposição a risco LGPD.

 

VII. RESPOSTA A INCIDENTES

A 4KST, por seus colaboradores, está ciente da sensibilidade de suas atividades, no que diz respeito ao impacto sobre os titulares dos dados na eventualidade da ocorrência de um incidente de segurança. Reconhece que, não obstante todas as precauções de segurança que possam ser implantadas, não há como garantir totalmente a inviolabilidade de seu ambiente de processamento e armazenamento. Também reconhece que os dados pessoais do Business 4KST decorrem de relações que seus clientes mantêm com os titulares de dados, relações estas protegidas pelo direito consumerista.

Desta forma, é compromisso da 4KST adotar processos claros e pré-definidos de resposta a qualquer incidente de segurança, considerando níveis de impacto e gravidade, de forma a garantir uma ação rápida para mitigar ao máximo seus danosos efeitos, bem como a total transparência junto aos titulares dos dados e autoridades públicas.

 

VIII. VIOLAÇÕES E PENALIDADES

Todos os colaboradores 4KST serão continuamente treinados a respeito do risco LGPD e das normas e processos internos adotados pela empresa para reduzir a exposição a tal risco.

Esta Política e demais normas internas relacionadas à segurança da informação publicadas pela 4KST deverão ser conhecidas e observadas integralmente por cada colaborador 4KST, sendo que quaisquer violações poderão ser punidas com a descontinuação da relação contratual. A 4KST não irá se abster de encaminhar eventuais violações legais às autoridades competentes.

 

 

1 dado pessoal: dado que de forma individualizada, ou através de um conjunto de dados, identifica ou pode identificar uma pessoa física.
2 Titular de dados: pessoa natural a quem se referem os dados pessoais.
3 dados pessoais sensíveis: são aqueles dados de uma pessoa física que se referem à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referentes à saúde ou à vida sexual, dados genéticos ou biométricos.
4 incidente de segurança: violação de segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizado, a dados pessoais sob a tutela da 4KST.
5 Risco LGPD: risco de dados pessoais sob a tutela da 4KST serem divulgados indevidamente ou serem objeto de uso, guarda e/ou tratamento em desconformidade com as legislações relacionadas à proteção de dados pessoais de jurisdições onde quer que a 4KST desenvolva seus negócios.
6 Controladora: a quem cabe as decisões referentes ao tratamento de dados pessoais.
Política de Proteção de Dados Pessoais 4KST – versão 01 Publicada em 18/09/2020
compliance@4kst.com

Esteja à frente
da concorrência

Otimize suas decisões estratégicas com as previsões
mais assertivas do mercado.


Fale Conosco
  • Conformidade com a LGPD
  • Resolução BCB nº85/2021
  • Certificação ISO/ISE 27001:2022