Política de Privacidade e Tratamento de Dados
Esta política estabelece as diretrizes norteadoras a ser seguida pela Rota Transportes, no resguardo e uso de dados pessoais que venham a ser tratados em suas atividades. Como referência, é utilizada a Lei Geral de Proteção de Dados Pessoais (LGPD), entre outras normas nacionais e internacionais relativas à privacidade e proteção de dados pessoais, como especialmente a General Data Protection Regulation (GDPR).
Assim, aplicabilidade da referida política é para que o tratamento de dados, diretamente ou indiretamente pelos colaboradores da Rota Transportes, seja cedendo dados, manipulando enquanto colaborador, compartilhando dados com prestadores de serviços ou receba em compartilhamento para tratamento, siga estritamente um protocolo de segurança da informação, aplicando-se a todas as informações pessoais recebida pela Rota Transportes em qualquer formato, digital/eletrônico, papel ou verbal.
1 – Definições
As descrições encontradas nessa política de privacidade e tratamento de dados, seguem estritamente o que encontramos no art. 5º da LGPD. Quais sejam:
I – Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável;
II – Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
III – Dado Anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
IV – Banco de Dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
V – Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI – Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII – Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII – Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX – Agentes de Tratamento: o controlador e o operador;
X – Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
XI – Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
XII – Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
XIII – Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
XIV – Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
XV – Transferência Internacional de Dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
XVI – Uso Compartilhado de Dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
XVII – Relatório de Impacto à Proteção de Dados Pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
XVIII – Órgão de Pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
XIX – Autoridade Nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
2 – Princípios para o tratamento de dados pessoais
Para melhor entendimento dos usuários que interagem com Rota Transportes, os princípios que devem ser atendidos por todos os envolvidos que lidam com tratamento de dados (seja o titular do dado, como aquele que irá tratar o dado), são aqueles que estão logo abaixo conceituados, com o fim de nortear o papel de cada envolvido:
I – Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
II – Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
III – Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
IV – Livre Acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
V – Qualidade dos Dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
VI – Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
VII – Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
IX – Não Discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
X – Responsabilização e Prestação de Contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
3 – Coleta/uso de dados
De acordo com o art. 7º da LGPD, o tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – Com fornecimento de consentimento do titular de dados;
II – Para o cumprimento de obrigação legal ou regulatória;
III – Para necessária execução contratual;
IV – Para exercício regular de um direito:
V – Proteção à vida ou incolumidade física do controlador ou de terceiros;
Assim, a coleta de todos os dados apontados como necessários para interação com a Rota Transportes, são basicamente para realização de cadastro para uma correta validação e identificação do usuário, viabilizar a prestação do serviço contratado para a emissão de documentos necessários, tais como: bilhete de passagem, lista de passageiros, elaboração de contrato; comunicação com o cliente em eventual necessidade sobre o serviço contratado, mudança de horários ou itinerário; promover uma melhor experiência de compra para os clientes, através de pesquisas de opinião, análises sobre hábitos de consumo e/ou preferências, informar aos clientes sobre novas ofertas e serviços, realizar análise de crédito, analisar candidaturas e formalizar contrato de trabalho e demais atividades relacionadas a um vínculo jurídico, estabelecer contratos com fornecedores, prestadores de serviço, parceiros comerciais, dentre outros.
4 – Tratamento de dados de menores
A Rota Transportes entende ser relevante e sensível os dados pessoais de crianças. Portanto, colaborador, cliente, parceiro e prestador de serviço a responsabilidade de informar quando os dados forem pertencentes a um menor de idade, estando todos os envolvidos – obrigado por lei – a cumprir a legislação aplicável.
Em consequência, todo e qualquer dado pessoal relacionado a crianças e/ou adolescentes deverá vir acompanhado do termo de consentimento expresso de ao menos um dos pais ou responsável legal.
5 – Objetivo na utilização dos dados pessoais
Os dados pessoais, coletados ou recebidos pela Rota Transportes, devem ser utilizados para fins relacionados à prestação de serviço de transporte de passageiros, serviços de turismo, fretamento e encomendas.
No momento da coleta dos dados perante seus titulares, seja colaborador, cliente, parceiro ou prestador de serviço, será comunicado por quem for o responsável pela coleta, o motivo pelo qual a Rota Transportes utiliza suas informações, o tempo que ficará armazenado, como também, a possibilidade de compartilhamento de dados com terceiros, se houver, além disso, apresentará o termo de consentimento correspondente, para a devida assinatura.
Existindo a coleta de dado sensível, haverá previsão no termo de consentimento. O colaborador, cliente e prestadores de serviços da Rota Transportes estarão cientes, toda vez que houver o compartilhamento de dados com parceiros, com a indicação da finalidade, sob o manto da transparência.
6 – Gestão de incidente com dados pessoais
No processo de tratamento e todo fluxo dos dados, deverão ter um processo de gestão de incidentes com dados pessoais, como dispõe o art. 46 e seguintes da LGPD, contendo no mínimo:
I – A confirmação, avaliação e descrição dos dados pessoais afetados;
II – Informações sobre os titulares envolvidos;
III – Avaliação do potencial risco ou danos aos titulares com o incidente;
IV – Identificação de causas;
V – Definição de medidas de reversão e mitigação dos efeitos do eventual prejuízo;
VI – Definição de medidas de prevenção de repetição do incidente; e
VII – Comunicação ao Titular e à ANPD do incidente ocorrido e as medidas tomadas ou a serem tomadas nos moldes da LGPD.
Todo incidente deve ser tratado imediatamente nos termos desta política corporativa de proteção de dados. Utilizando assim, as normas e procedimentos de gestão de incidentes de segurança da informação adotados pela Rota Transportes.
7 – Retenção e Armazenamento das Informações
Os dados pessoais de titulares de dados devem permanecer armazenados em ambiente seguro durante todo o período contratualmente firmado para as finalidades relacionadas nos termos de consentimento assinados em apartado, e ainda, caso, após o término da contratação para cumprimento de obrigação legal ou impostas por órgãos de fiscalização, nos termos do art. 16 da LGPD.
Findado o tratamento dos dados e qualquer prazo legal para armazenamento, a Rota Transportes excluirá definitivamente os respectivos dados, expedindo relatório comprobatório de exclusão. Quando solicitado pelo titular, a exclusão de seus dados deverá ser realizada, desde que não fira nenhuma obrigação legal ou imposição de órgãos de fiscalização.
8 – Compartilhamento de Dados
O compartilhamento de dados pessoais dos colaboradores, clientes e prestadores de serviço da Rota Transportes, com outros agentes de tratamento de dados, inclusive órgão públicos, caso seja necessário para as finalidades listadas nos termos de consentimento, desde que, sejam respeitados os princípios da boa-fé, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.
A Rota Transportes poderá compartilhar dados com parceiros operadores, através de autorização expressa dos titulares de dados coletados antecipadamente, em termo de consentimento. Devendo ainda, estar relacionado ao exercício da sua atividade empresarial. Os Dados coletados e as atividades registradas (logs) podem ser compartilhados com autoridades judiciais, administrativas ou governamentais competentes (como para permitir a emissão de notas fiscais), sempre que houver determinação legal, requerimento, requisição ou ordem nesse sentido, bem como para nossa defesa em procedimentos judiciais, administrativos ou arbitrais.
Há também a possibilidade de compartilhamento de dados com empresas e áreas de negócios do Grupo Brasileiro, as quais estão de acordo com esta Política, com prestadores de serviço ou empresas parceiras, para facilitar, garantir a segurança, prover ou executar atividades relacionadas ao fornecimento de acesso ao nosso site e aos serviços que ofertamos (não autorizamos qualquer terceiro a usar ou divulgar seus dados pessoais, a não ser com a finalidade de fornecer os serviços contratados), com instituições financeiras, para permitir o pagamento pelos serviços que ofertamos, com empresas de marketing e publicidade, para podermos te enviar as promoções e informações que combinam com você e que possam ser do seu interesse.
Lembrando que fica obrigado os operadores de dados a seguir os ditames de segurança da informação contemplado no programa de proteção de dados existente nessa política, bem como, a execução de um programa próprio de Compliance em LGPD.
9 – Direitos dos Titulares de Dados
São direitos dos titulares de dados, podendo solicitar a Rota Transportes:
I – Confirmação da existência de tratamento;
II – Acesso aos dados;
III – Correção de dados incompletos, inexatos ou desatualizados;
IV – Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei nº 13.709, de 2018;
V – Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
VI – Eliminação dos dados pessoais tratados com o consentimento do Titular, exceto nas hipóteses previstas no art. 16 da Lei nº 13.709, de 2018;
VII – Informação das entidades públicas e privadas com as quais o Controlador realizou uso compartilhado de dados;
VIII – Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX – Revogação do consentimento, nos termos do §5º do art. 8º da Lei nº 13.709, de 2018.
10 – Políticas de Privacidade, Cookies e Contratos de Prestação de Serviços
Os termos de privacidade, cookies, contratos de prestação de serviços, termos de consentimento, termos de responsabilidade entre agentes de tratamento de dados, entre outros documentos produzidos envolvendo proteção de dados, deve conter os padrões de segurança adotados pela Rota Transportes. Bem como, fazer referência ao cumprimento e observância desta política corporativa de proteção de dados.