Política de Privacidade e Proteção de Dados Pessoais
1. Objetivo
Essa política estabelece as diretrizes e normas para a condução das atividades envolvendo o tratamento e a garantia da privacidade e da proteção de Dados Pessoais, ou seja, dados de pessoas naturais (“Titulares”) com as quais o ESPORTE CLUBE BAHIA S.A.F. se relaciona para executar suas atividades de negócio.
Todas as atividades relacionadas aos negócios do ESPORTE CLUBE BAHIA S.A.F. que lidem com Dados Pessoais são orientadas por esta política, que tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
2. Conformidade (“Compliance”) com Leis e Regulamentações
Esta Política foi elaborada de forma a atender aos requisitos da lei 13.709/2018, alterada pela lei 13.853/2019 (LGPD ou “Lei”), conhecida no Brasil como “Lei Geral de Proteção de Dados”, especialmente nos termos do seu Artigo 50, que trata das boas práticas e da governança da segurança dos Dados Pessoais, copiado abaixo:
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:
- implementar programa de governança em privacidade que, no mínimo:
demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
conte com planos de resposta a incidentes e remediação; e
seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
- demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei.
§ 3º As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.
3. Definições de Dados Pessoais e da Proteção de Dados Pessoais
Dados pessoais são informações relativas a uma pessoa viva, identificada ou identificável. Também constituem Dados Pessoais o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa.
Conforme a LGPD (Artigo 5º.) e outras referências similares, considera-se:
I- DADO PESSOAL: informação relacionada a pessoa natural identificada ou identificável.
II- DADO PESSOAL SENSÍVEL: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
III- DADO ANONIMIZADO: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Os Dados Pessoais são necessários em diferentes atividades de negócios no ESPORTE CLUBE BAHIA S.A.F. Os Dados Pessoais podem ter várias formas de representação, armazenamento e transporte, sendo que o seu significado e valor dependem do contexto em que se encontram, podendo ser, por exemplo:
a. Em papel: listas de presença, formulários de cadastro em papel, relatórios, memorandos, cartas etc.
b. Em mídia digital: arquivos digitais gravados em computadores, discos, HDs, SSDs, flash pen drives, drives, fitas, DVDs, CDs, repositórios da internet (em nuvem) etc.
c. Em som: gravação de reuniões e outras atividades, secretária eletrônica, etc.
d. Em imagem: fotos de pessoas e de seus documentos, vídeos contendo pessoas, etc.
A proteção dos Dados Pessoais deve garantir fundamentos e direitos básicos das pessoas, como o respeito à privacidade, à dignidade e à autodeterminação; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; a livre iniciativa e a livre concorrência; a defesa do consumidor e outros direitos humanos relacionados com a personalidade e o exercício da cidadania.
Para o alcance dos objetivos de proteção de Dados Pessoais, os colaboradores e prestadores de serviços do ESPORTE CLUBE BAHIA S.A.F. seguem as práticas determinadas nesta Política de Privacidade e Proteção de Dados Pessoais, os procedimentos operacionais relacionados a este documento e também à Política de Segurança da Informação (PSI), documento que estabelece diretrizes e normas gerais de segurança para todos os ativos de informação do Clube, incluindo Dados Pessoais e também outros tipos de dados sensíveis e de valor para os negócios.
4. Direitos dos Titulares
Os Titulares dos dados coletados e processados pelo ESPORTE CLUBE BAHIA S.A.F. possuem os seguintes direitos em relação aos seus Dados Pessoais tratados pelo Clube.
a. Confirmação da existência de tratamento de seus Dados Pessoais.
b. Livre acesso de consulta aos seus Dados Pessoais.
c. Correção de seus Dados Pessoais, quando os dados estiverem incompletos, inexatos ou desatualizados.
d. Eliminação de seus Dados Pessoais, quando os dados forem desnecessários, excessivos ou tratados em desconformidade com a Lei, inclusive quando houver consentimento por parte do Titular, desde que os Dados Pessoais não sejam utilizados para cumprir com obrigações legais e regulatórias.
e. Informação das entidades públicas e privadas com as quais o Clube compartilhou seus Dados Pessoais.
f. Informação sobre a possibilidade de não fornecer consentimento para o tratamento de seus Dados Pessoais.
g. Revogação do consentimento para o tratamento de seus Dados Pessoais.
5. Coleta, Uso e Tratamento de Dados Pessoais
O ESPORTE CLUBE BAHIA S.A.F. coleta, utiliza e faz o tratamento dos Dados Pessoais para atender aos interesses legítimos do Clube, comprometendo-se a cumprir com toda a legislação aplicável em relação à proteção dos Dados Pessoais, assegurando que sejam coletados, utilizados e tratados de acordo com as disposições da LGPD e outras leis e regulações aplicáveis, se houver.
Os Dados Pessoais não são coletados sem que exista uma finalidade. A coleta somente ocorre quando necessário para estabelecer a relação comercial entre o ESPORTE CLUBE BAHIA S.A.F. e seus colaboradores e parceiros de negócios, para a execução de um contrato ou para o cumprimento de uma obrigação legal à qual o ESPORTE CLUBE BAHIA S.A.F. está sujeito.
Ao coletar Dados Pessoais, o ESPORTE CLUBE BAHIA S.A.F. informa previamente, com transparência, de forma clara e inequívoca, quais são as finalidades para o tratamento daqueles Dados Pessoais e por quanto tempo serão retidos e tratados, podendo informar também que o tempo de retenção é indefinido.
Em todos os casos em que os Dados Pessoais coletados não forem anonimizados e a coleta não for para fins de (i) cumprimento de obrigação legal ou regulatória, (ii) execução de contrato ou procedimentos preliminares relacionados a contrato do qual seja parte o Titular,
(iii) exercício regular de direitos em processo judicial, administrativo ou arbitral, e (iv) proteção do crédito, o ESPORTE CLUBE BAHIA S.A.F. requererá o consentimento expresso do Titular dos dados e este ficará registrado e arquivado em mídia digital ou impressa.
Sempre que houver mudanças na finalidade, o ESPORTE CLUBE BAHIA S.A.F. informará previamente o Titular sobre as mudanças e pedirá novo consentimento, podendo o Titular revogar o consentimento, caso discorde das alterações.
Quando o tratamento de Dados Pessoais for condição para o ESPORTE CLUBE BAHIA S.A.F. fornecer um produto ou serviço, ou para o exercício de seu direito, o Titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos elencados na Lei.
Os Titulares ficam cientes que, ao interagir com as plataformas digitais do ESPORTE CLUBE BAHIA S.A.F., poderão se vincular ou se conectar a sites, serviços, redes sociais, aplicativos ou outros recursos não titularizados pelo Clube. A ativação desses recursos levará outras pessoas além do Clube a processar informações sobre os Titulares. O Clube não tem controle sobre esses recursos de outras partes, daí porque não cabe ao Clube qualquer responsabilidade pelo manuseio de tais informações pessoais. Assim, o ESPORTE CLUBE BAHIA S.A.F.recomenda que os Titulares acessem as políticas de privacidade dessas partes antes de utilizarem esses recursos.
Algumas funcionalidades poderão permitir com que os Titulares enviem comentários, documentos e arquivos. Nestes casos, os Titulares anuem com a possibilidade de outros usuários terem acesso aos conteúdos publicados, sem que o ESPORTE CLUBE BAHIA S.A.F. tenha qualquer responsabilidade por estes.
5.1. Novos projetos e processos de mudanças em Dados Pessoais
Qualquer nova atividade de tratamento de Dados Pessoais será devidamente comunicada ao Encarregado dos Dados Pessoais, inclusive envolvendo este último no planejamento de novos projetos que possam envolver a coleta e tratamento de Dados Pessoais, de forma que os riscos à proteção de Dados Pessoais sejam plenamente avaliados e tratados.
Nos processos normais de operação dos negócios, toda e qualquer mudança em Dados Pessoais será comunicada ao Encarregado dos Dados Pessoais, de forma manual ou automática (integração sistêmica), para que o mesmo possa atualizar os registros na(s) sua(s) ferramenta(s) de controle. Incluem-se neste processo de comunicação/integração tanto as mudanças na estrutura de dados como nos registros, por exemplo:
6. Descarte de Dados Pessoais
Encerrado o período de utilização ou quando terminar a finalidade para a qual determinados Dados Pessoais foram coletados e tratados, os Dados Pessoais relacionados serão excluídos, utilizando-se de métodos de descarte seguro, ou de forma anonimizada, para fins estatísticos, desde que os Dados Pessoais não sejam utilizados para cumprir com obrigações legais e regulatórias. Sempre que possível, estes descartes deverão ser evidenciáveis.
Nos casos em que o ESPORTE CLUBE BAHIA S.A.F. não puder excluir os Dados Pessoais para cumprir exigências legais ou por alguma outra necessidade legítima, os Dados Pessoais serão arquivados com segurança, isolados de qualquer tratamento posterior, até que a exclusão seja possível.
7. Processos de comunicação com Titulares e com a ANPD
O ESPORTE CLUBE BAHIA estabelecerá um canal de comunicação para que a ANPD e os Titulares possam entrar em contato com o Clube sempre que desejarem exercer seus direitos.
O responsável pela operação deste canal de comunicação é o Encarregado dos Dados Pessoais.
Este canal de comunicação deverá ser publicado na Internet e/ou em outros meios que facilitem a divulgação aos Titulares e à ANPD.
Adicionalmente, sempre que requerido, o Encarregado dos Dados Pessoais deverá também atender aos pedidos de informações, emissão de relatório de impacto para a ANPD e a ocorrência de incidentes, entre outras demandas legais que poderão ser futuramente regulamentadas pela ANPD.
8. Criação de Perfis para Tomada de Decisão
O ESPORTE CLUBE BAHIA S.A.F. não emprega técnicas para a tomada de decisão automatizada a partir de Dados Pessoais, incluindo a definição dos perfis individuais, que tenham efeitos legais ou que afetem os Titulares de maneira significativa.
9. Comunicações em caso de incidentes
Um incidente de segurança pode ser qualquer evento que viole a proteção dos Dados Pessoais e dos Dados Pessoais Sensíveis.
De acordo com a Lei, o ESPORTE CLUBE BAHIA S.A.F. comunicará à ANPD e ao Titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos Titulares.
O responsável pela Segurança da Informação executará atividades de monitoramento, alerta, responsabilização, resposta, comunicação entre os envolvidos, documentação e registro dos incidentes, contemplando as seguintes atividades:
a. O monitoramento e gerenciamento de incidentes de segurança relacionados aos Dados Pessoais, ou seja, que abranjam os bancos de dados dos sistemas, arquivos e locais da rede contendo Dados Pessoais.
b. O tratamento e o registro das respostas aos incidentes e das respectivas correções aplicadas.
c. A comunicação aos devidos responsáveis pela proteção dos Dados Pessoais, ao Encarregado e ao respectivo Proprietários dos Dados Pessoais, de toda e qualquer ocorrência relacionada à perda ou apropriação indevida de Dados Pessoais.
O Encarregado dos Dados Pessoais analisará a severidade dos incidentes conjuntamente com o Departamento Jurídico e com o Departamento responsável. Caso um incidente seja entendido como acarretando risco ou dano relevante aos Titulares, o Encarregado dos Dados Pessoais haverá a elaboração e será realizada a devida comunicação à ANPD e aos Titulares.
Conforme previsto na Lei, a comunicação conterá, no mínimo, os seguintes dados sobre o ocorrido:
a. A descrição da natureza dos Dados Pessoais afetados.
b. As informações sobre os Titulares envolvidos.
c. A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial.
d. Os riscos relacionados ao incidente.
e. Os motivos da demora, no caso de a comunicação não ter sido imediata.
f. As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
10. Atualização da Política
O ESPORTE CLUBE BAHIA S.A.F. poderá, a qualquer momento, promover revisões ou atualizações oportunas para esta política. Atualizações desta política entrarão em vigor assim que forem publicadas no site http://www.esporteclubebahia.com.br
11. Glossário
12. Vigência
Esta Política entra em vigor nesta data e tem vigência por tempo indeterminado, até a próxima revisão ou sua revogação.