Logout     (41) 99820-4746     sac@sumatrasurf.com.br
  Conta
0
  Carrinho

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

 

I. INTRODUÇÃO E OBJETIVO

 

A Política de Segurança da Informação apresentada tem como objetivo orientar sobre o gerenciamento, em amplo aspecto, das atividades e operações de tratamento de dados pessoais existentes nas empresas (rede de lojas) que compõem o grupo econômico da SUMATRA SURF. Este documento integra o programa de compliance da SUMATRA SURF à Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e demais legislação/regulamentação que tratam sobre o tema.

 

Por meio do presente documento, a SUMATRA SURF tem a intenção de adequar suas operações de tratamento de dados pessoais às regulamentações legais sobre o tema e, em especial, à Lei Geral de Proteção de Dados aprovada em agosto de 2018.

 

No desempenho de suas atividades a SUMATRA SURF realiza operações de tratamento de dados pessoais alinhadas ao melhor interesse e direitos dos titulares dos dados pessoais, podendo ser caracterizada como Controladora de Dados Pessoais, de acordo com as definições da LGPD, reforçando, em todas as posições que ocupar, seu compromisso com o cumprimento das regras de privacidade e proteção de dados pessoais aplicáveis.

 

As adequações referentes ao processo de conformidade à LGPD abrangem um trabalho de interpretação da Lei para definição das obrigações legais, levantamento dos fatos relevantes e pertinentes para sua aplicação e aferição de fluxos e processos que contribuem ou não para os ajustes à norma legal.

 

Assim, esta Política tem o condão de orientar quanto às diretrizes aplicáveis à privacidade e proteção dos dados pessoais dos clientes, colaboradores, terceiros e parceiros dos quais a SUMATRA SURF tem acesso em função do desempenho de suas atividades, estabelecendo as regras aplicáveis sobre o tratamento dos dados coletados, de acordo com a legislação e regulamentação em vigor.

 

Esta Política deve ser analisada em conjunto com as obrigações previstas nos documentos referidos abaixo, que contenham informações em geral, complementando-a quando for o caso:

 

  • Políticas Geral de Segurança da Informação e normas de segurança da informação, assim como termos e condições de uso, que tratem sobre confidencialidade, integridade e disponibilidade das informações da SUMATRA SURF;
  • Contratos de trabalho dos empregados da SUMATRA SURF, termos de confidencialidade e outros documentos similares, que contenham obrigações de confidencialidade em relação às informações mantidas pela Instituição;
  • Quaisquer normas internas que tratem da proteção de dados pessoais, atuais ou que venham a ser periodicamente elaboradas e atualizadas.

 

 

II. TERMOS E DEFINIÇÕES

 

DADOS PESSOAIS: Informação relacionada a pessoa natural identificada ou identificável. Também são considerados dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural.

 

DADOS PESSOAIS SENSÍVEIS: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a pessoa natural.

 

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD): Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo território nacional. A ANPD foi instituída pela LGPD como órgão da administração pública federal com autonomia técnica, integrante da Presidência da República, definido a sua natureza como transitória e passível de transformação pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República.

 

LEI GERAL DE PROTEÇÃO DE DADOS (LGPD): Diploma normativo (Lei nº 13.709, de 14 de agosto de 2018) que dispõe sobre o tratamento de dados pessoais em meios digitais ou físicos realizados por pessoa natural ou por pessoa jurídica, de direito público ou privado, tendo como objetivo defender os titulares de dados pessoais e ao mesmo tempo permitir o uso dos dados para finalidades diversas, equilibrando interesses e harmonizando a proteção da pessoa humana com o desenvolvimento tecnológico e econômico.

 

AGENTES DE TRATAMENTO DE DADOS PESSOAIS: O controlador e o operador de dados pessoais.

 

CONTROLADOR DE DADOS PESSOAIS: Pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

 

OPERADOR DE DADOS PESSOAIS: Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.

 

TRATAMENTO DE DADOS PESSOAIS (TRATAMENTO): Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, modificação, comunicação, transferência, difusão ou extração.

 

ANONIMIZAÇÃO: Utilização de meios técnicos, razoáveis e disponíveis no momento do tratamento de dados pessoais, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. O dado anonimizado não é considerado dado pessoal para os fins da LGPD.

 

TITULAR DE DADOS PESSOAIS (TITULAR): Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

 

ENCARREGADO OU DATA PROTECTION OFFICER (DPO): Pessoa física ou jurídica indicada pelo Agente de Tratamento para atuar como canal de comunicação entre o Controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados.

 

FORNECEDORES: No contexto da (NOME DA EMPRESA) são considerados fornecedores os outros terceiros contratados e subcontratados, pessoa física ou jurídica, não enquadrados como parceiros comerciais.

 

 

III. ABRANGÊNCIA

 

A presente Política de Privacidade e Proteção de Dados Pessoais se aplica (i) aos empregados da SUMATRA SURF; (ii) a todos os terceiros, sejam eles pessoas físicas ou jurídicas, que atuam para ou em nome da SUMATRA SURF em operações que envolvam tratamento de dados pessoais que sejam realizadas no escopo das atividades conduzidas pela SUMATRA SURF; (iii) aos agentes de tratamento de dados pessoais externos à SUMATRA SURF que de qualquer forma se relacionem com ela; e (iv) aos titulares de dados pessoais, cujos dados são tratados pela SUMATRA SURF.

 

As informações tratadas por esta Política incluem todos os dados detidos, usados ou transmitidos pela ou em nome da SUMATRA SURF, em qualquer tipo de mídia. Isso inclui dados pessoais registrados em papel, mantidos em sistemas de computador ou dispositivos portáteis, bem como dados pessoais transmitidos oralmente.

 

 

IV. PRINCÍPIOS DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

 

Nos termos da LGPD, a SUMATRA SURF cumprirá com os seguintes princípios de proteção de dados pessoais quando do tratamento deles:

 

FINALIDADE: a SUMATRA SURF realizará o tratamento de dados pessoais apenas para propósitos legítimos, específicos, explícitos e informados ao titular de dados pessoais, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

ADEQUAÇÃO: a SUMATRA SURF realizará o tratamento de dados pessoais de forma compatível com as finalidades informadas ao titular de dados, e de acordo com o contexto do tratamento;

NECESSIDADE: o tratamento de dados pessoais realizado pela SUMATRA SURF será limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento;

LIVRE ACESSO: a SUMATRA SURF garantirá aos titulares de dados pessoais a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados;

QUALIDADE DOS DADOS: a SUMATRA SURF garantirá, aos titulares de dados pessoais, a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

TRANSPARÊNCIA: a SUMATRA SURF garantirá aos titulares de dados pessoais informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento de dados pessoais, observados os segredos comercial e industrial;

SEGURANÇA: a SUMATRA SURF utilizará medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

PREVENÇÃO: a SUMATRA SURF adotará medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

NÃO DISCRIMINAÇÃO: a SUMATRA SURF garantirá a impossibilidade de realização do tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos;

RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: a SUMATRA SURF compromete-se a demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, e a eficácia dessas medidas.

 

 

V. DIRETRIZES

 

1. Disposições iniciais

 

1.1.  Esta Política visa demonstrar o compromisso da SUMATRA SURF em:

 

1.1.1.  Zelar pela privacidade e proteção dos dados pessoais coletados dos clientes, dos colaboradores e dos parceiros, em função do desempenho de suas atividades;

 

1.1.2. Adotar diretrizes que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à privacidade e proteção de dados pessoais;

 

1.1.3. Promover a transparência sobre a forma pela qual a SUMATRA SURF trata dados pessoais; e

 

1.1.4. Adotar medidas de proteção em relação a risco de incidente de segurança que envolva dados pessoais.

 

2. Informações sujeitas à Política

 

2.1.  Estão sujeitas à esta Política:

 

2.1.1.  Todas os dados e informações fornecidas ou coletadas no contexto da prestação dos serviços pela SUMATRA SURF aos seus clientes para a venda de roupas, calçados e acessórios multimarcas, além da emissão da Nota Fiscal respectiva e publicidade; e

 

2.1.2.  Todas as informações de colaboradores e parceiros coletadas no contexto de obrigação contratual ou legal.

 

2.2.  Quanto à sua natureza, as informações fornecidas pelo titular do dado são aquelas inseridas ou encaminhadas por ele ou seu representante legal, decorrentes do contato, cadastro e/ou contratação junto à SUMATRA SURF como: nome completo, CPF, endereço completo, dados bancários, endereço de e-mail e número de telefone.

 

2.3.  As práticas de privacidade específicas em relação a outros produtos e serviços que a SUMATRA SURF vier a disponibilizar aos seus clientes estarão associadas à aceitação pelo cliente ou terceiro de cada produto ou serviço.

 

3. Dados Coletados, forma e finalidade da coleta

 

3.1.  As informações serão coletadas por meios éticos e legais e armazenadas em ambiente seguro e controlado, pelo prazo exigido na regulamentação vigente. A SUMATRA SURF compromete-se a tomar todas as medidas cabíveis para manter o absoluto sigilo e a estrita confidencialidade de todas as informações, dados pessoais ou especificações a que tiver acesso ou que porventura venha a conhecer ou ter ciência de seus clientes, bem como dos indivíduos diretamente relacionados aos clientes, a que venha a ter acesso em razão da prestação dos serviços (venda de roupas, calçados e acessórios multimarcas destinados ao púbico feminino e masculino), sendo-lhe vedado ceder e/ou permitir acesso por terceiros a tais informações, ressalvadas as hipóteses descritas nesta Política.

 

3.2. O acesso de terceiros às informações coletadas pela SUMATRA SURF se dá exclusivamente para atendimento das finalidades informadas nesta Política e dentro do limite necessário ao desempenho das atividades relativas ao curso normal dos seus negócios, incluindo:

 

3.2.1. Prestadoras de serviços que executam operações comerciais e/ou de processamento de informações para a SUMATRA SURF nas vendas via e-commerce (Jefferson Cristiano Sabino desenvolvimento do website, Scryta Contabilidade Ldta., Saastec Network Tecnologia e Sistemas Ltda. emissão de NFE, Lithium Software Ltda.,  PAG SEGURO, Banco Itaú e gateway de pagamento YAPAY plugin de integração entre o site da SUMATRA SURF e o Banco Itaú);

 

3.2.2. Prestadoras de serviços que executam operações comerciais e/ou de processamento de informações para a SUMATRA SURF nas vendas em lojas físicas (Scryta Contabilidade Ldta., PAG SEGURO, Banco Itaú e Software Express);

 

3.2.3. Prestadoras de serviços que auxiliam na confidencialidade, segurança da informação e compliance (Global Sign, Tray Sistemas, Goulart, Willemann & Bernert Advogados e Saastec Network Tecnologia e Sistemas Ltda. e Bling Sistemas Ltda.);

 

3.2.4.      Órgãos reguladores competentes (prefeitura, receita estadual, INSS, Ministério do Trabalho, etc.); e

 

3.2.5.     SMC Sindicato dos Metalúrgicos de Curitiba apenas quanto aos dados pessoais de seus associados/filiados.

 

3.3.     Ao aceitar esta política, o titular de dados está ciente e autoriza que todas as empresas (rede de lojas) do grupo econômico que utilizam a marca e nome fantasia SUMATRA SURF compartilhem entre si os dados pessoais e informações coletados de seus clientes para fins de cadastro e publicidade.

 

3.4.   A SUMATRA SURF poderá compartilhar informações de forma agregada, publicamente e/ou com seus parceiros, desde que tais informações não sejam pessoalmente identificáveis.

 

3.5.   Sempre que se fizer necessária a utilização das informações coletadas pela SUMATRA SURF para outros fins que não os definidos nesta Política ou aquele expressamente autorizado pelo titular dos dados, a SUMATRA SURF informará diretamente ao titular dos dados sobre esta nova finalidade e, quando necessário, coletará (nova) autorização.

 

4. Relacionamento com terceiros

 

4.1. A SUMATRA SURF exige a todos os terceiros que mantenham a confidencialidade das informações a eles compartilhadas ou que tenham acesso em virtude do exercício da sua atividade, bem como que utilizem tais informações exclusivamente para os fins expressamente permitidos.

 

5. Segurança das informações

 

5.1.  Visando a segurança das informações fornecidas pelos clientes, a (SUMATRA SURF dispõe de processos de segurança físicos, lógicos, técnicos e administrativos compatíveis com a sensibilidade das informações coletadas, cuja eficiência é periodicamente avaliada por auditoria independente.

 

5.2.  A SUMATRA SURF implementa novos procedimentos e melhorias tecnológicas contínuas para proteger todos os dados pessoais coletados dos clientes e terceiros.

 

5.3  No tratamento das informações coletadas a SUMATRA SURF utiliza de sistemas estruturados de forma a atender aos requisitos de segurança e transparência, aos padrões de boas práticas e de governança e aos princípios gerais estabelecidos na Lei nº 13.709/2018 Lei Geral de Proteção de Dados Pessoais (LGPD).

 

5.4.  Todas as tecnologias utilizadas respeitarão sempre a legislação vigente e os termos desta Política.

 

6. Cooperação com autoridades reguladoras

 

6.1.  Nas hipóteses em que se fizerem necessárias a divulgação dos dados pessoais de clientes, terceiros, colaboradores ou parceiros, seja em razão de cumprimento de lei, determinação judicial ou de órgão competente fiscalizador das atividades desenvolvidas pela SUMATRA SURF e/ou terceiros, tais informações serão reveladas somente nos estritos termos e nos limites requeridos para a sua divulgação, sendo que os titulares das informações divulgadas, na medida do possível, serão notificados sobre tal divulgação, para que tomem as medidas protetivas ou reparadoras apropriadas.

 

7. Alterações

 

7.1.  A presente Política de Privacidade e Proteção de Dados poderá ser modificada a qualquer momento, conforme a finalidade ou necessidade para adequação e conformidade de disposição de legislação/regulamentação ou sempre que a SUMATRA SURF julgar necessário. As alterações serão divulgadas por meio do website https://www.sumatrasurf.com.br/. A continuidade do uso dos serviços da SUMATRA SURF ou da prestação de serviços para a SUMATRA SURF, conforme o caso, após divulgação das alterações será considerada aceitação do cliente e terceiros quanto aos novos termos e condições.

 

 

VI. GESTÃO DE CONSEQUÊNCIAS

 

Colaboradores, fornecedores ou outros stakeholders/públicos de interesse que observarem quaisquer desvios às diretrizes desta Política, poderão relatar o fato ao seguinte e-mail: lgpd@sumatrasurf.com.br, podendo ou não se identificar.

 

Internamente, o descumprimento das diretrizes desta Política enseja a aplicação de medidas de responsabilização dos agentes que a descumprirem conforme a respectiva gravidade do descumprimento.

 

Quando um incidente reportado envolver dados pessoais e/ou dados pessoais sensíveis, deverá ser prontamente informado ao Data Protection Officer (DPO) / Encarregado em Privacidade e Proteção de Dados.

 

 

VII. DIREITOS DOS TITULARES

 

Você pode sempre solicitar a correção ou remoção de seus dados e informações pessoais ou relatar eventual uso indevido por meio do e-mail lgpd@sumatrasurf.com.br.

 

Em caso de obrigações legais, regulatórias, proteção de eventuais ações judiciais futuras ou para manutenção e prosseguimento dos serviços ofertados, a Becker Direito Empresarial não irá remover os dados pessoais, tratando-os nessas bases legais expostas e para os fins informados nessa Política de Privacidade e demais documentos complementares.

 

 

 

VIII. RESPONSABILIDADES

 

Cumpre aos administradores, colaboradores e terceiros:

Observar e zelar pelo cumprimento da presente Política e, quando assim se fizer necessário, acionar o Encarregado em Privacidade e Proteção de Dados (DPO) para consulta sobre situações que envolvam conflito com esta Política ou mediante a ocorrência de situações nela descritas.

 

Cumpre a Comitê Gestor de Proteção de Dados Pessoais (Encarregado / DPO):

- Manter atualizada esta Política, de forma a garantir que quaisquer alterações regulatórias/legais das diretrizes e regras gerais aqui estabelecidas sejam observadas;

- Esclarecer dúvidas relativas a esta Política e à sua aplicação;

- Aceitar reclamações e comunicações dos titulares dos dados, prestar esclarecimentos e adotar providências;

- Receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar providências;

- Orientar os colaboradores e os terceiros da SUMATRA SURF a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

- Adotar iniciativas para compartilhamento de informações sobre incidentes contendo dados pessoais com a ANPD e com os titulares dos dados, quando necessário.

 

 

IX. DOCUMENTAÇÃO COMPLEMENTAR

 

Artigo 5º da Constituição Federal de 1988;

Política Geral de Segurança da Informação e Anexos da SUMATRA SURF

Regimento Interno de Criação do Comitê Gestor de Proteção de Dados Pessoais da SUMATRA SURF;

Contrato de Prestação de Serviços da SUMATRA SURF;

Lei Complementar nº 105/2001;

Lei nº 13.709/2018;

Normas e procedimentos internos aperfeiçoados constantemente, aprovados pelas alçadas competentes e disponibilizadas a todos os colaboradores.

 

 

X. DISPOSIÇÕES GERAIS

 

É competência do Comitê Gestor de Proteção de Dados Pessoais alterar esta Política sempre que se fizer necessário.

 

Esta Política entra em vigor na data de sua aprovação pelos Comitê Gestor de Proteção de Dados Pessoais da SUMATRA SURF e revoga quaisquer documentos em contrário.

 

Curitiba,2022.

 

 

Pablo Pedrozo Vorma

Encarregado de Proteção de Dados Pessoais (DPO)

 


TOPO