Política de Privacidade

  1. Início
  2. Apresentação
  3. Política de Privacidade

Introdução

A presente Política de Privacidade (“Política”) tem por finalidade demonstrar o compromisso da Control Construções S.A (“Control”), inscrita no CNPJ/ME 02.949.016/0001-70, com sede na Av Minas Gerais, 671 - Estados - João Pessoa/PB, com a sua privacidade e a proteção dos seus dados, de forma clara e de acordo com as leis em vigor.

Esta Política descreve as principais regras sobre o tratamento dos seus dados pessoais, quando se faz uso de nossas funcionalidades por meio de nossos ambientes físicos e digitais.

Objetivos

Esta Política de Governança de Dados Pessoais têm o objetivo de apresentar as diretrizes da proteção aos dados pessoais da Control Construções S.A além de estabelecer as suas responsabilidades e os limites de atuação com relação aos dados pessoais.

Abrangência

Esta Política é voltada para nossos clientes, parceiros, prestadores de serviço e ao público em geral, e engloba, de forma básica, as formas pelas quais tratamos dados pessoais destas pessoas.

Definições

Para facilitar o entendimento de alguns termos que utilizamos nesta Política, apresentamos abaixo algumas definições.

  • Agente de Tratamento: O controlador e o operador.
  • Autoridade Nacional de Proteção de Dados (ANPD): Órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento da Lei de Proteção de Dados Pessoais aplicável.
  • Colaborador: Empregado, estagiário, prestador de serviço, terceirizado, fornecedor, menor aprendiz ou qualquer outro indivíduo ou organização que venham a ter relacionamento profissional, direta ou indiretamente, com a Control Construções S.A.
  • Compartilhamento de dados pessoais: Comunicação, difusão, transferência nacional ou internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos, entidades ou pessoais, e para uma ou mais modalidades de tratamento.
  • Consentimento: Manifestação livre, informada e inequívoca pela qual o Titular dos dados pessoais concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
  • Controlador: Pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
  • Cookies: Pequenos arquivos enviados pelos Sites, salvos nos seus dispositivos, que armazenam as preferências e poucas outras informações, com a finalidade de personalizar sua navegação de acordo com o seu perfil.
  • Dado anonimizado: Dado que não identifica de forma direta ou indireta um titular dos dados pessoais, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
  • Dado pessoal: Informação relacionada à pessoa física identificada ou identificável. Para os propósitos desta Política, os dados pessoais são classificados como Informação Confidencial.
  • Dado pessoal sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física.
  • Dados de saúde: Dados sensíveis que permitem inferir informações referentes à saúde do titular.
  • Decisões automatizadas: Tratam-se de decisões que afetam um usuário que foram programadas para funcionar automaticamente, sem a necessidade de uma operação humana, com base em tratamento automatizado de dados pessoais.
  • Encarregado pelo tratamento de dados pessoais: Pessoa física indicada ou jurídica pela Control Construções S.A e que atua como canal de comunicação entre a Control com os Titulares dos dados pessoais ou a ANPD.
  • Operador: Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.
  • Titular dos dados pessoais: Pessoa física a quem se referem os dados pessoais que são objeto de tratamento.
  • Tratamento de Dados Pessoais: Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
  • Violação: Qualquer atividade que desrespeite as regras estabelecidas nos documentos normativos da Control.
  • Violação de Dados Pessoais: Destruição, perda, alteração, divulgação acidental ou ilegal, não autorizada ou acesso a dados pessoais transmitidos, armazenados ou de outra forma processados, resultante de incidente de segurança.

Princípios De Proteção De Dados Pessoais

O tratamento de dados pessoais na Control deve ser regido pelos seguintes princípios:

  1. finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades
  2. adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento
  3. necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados
  4. livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais
  5. qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento
  6. transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial
  7. segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão
  8. prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais
  9. não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos
  10. responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas

Diretrizes Gerais

Bases Legais para Tratamento de Dados Pessoais

O tratamento dos dados pessoais, de acordo com a legislação vigente, somente pode ser realizado em caso de:

  1. Consentimento do titular dos dados pessoais, sendo vedado o tratamento de dados pessoais mediante vício de consentimento
  2. Cumprimento de uma obrigação legal ou regulatória
  3. Tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres
  4. Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais
  5. Formalização de contrato, em que o titular seja parte, ou os seus dados pessoais são necessários para execução de procedimentos preliminares para se firmar o contrato
  6. Exercício regular de direitos em processo judicial, administrativo ou arbitral, prezando sempre pelo pedido de segredo de justiça quando envolver dado pessoal
  7. Proteção da vida ou da segurança física da pessoa a quem os dados pessoais se referem
  8. Proteção da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária
  9. Interesse legítimo da Control ou de terceiros, sendo obrigatória a confecção de relatório de impacto à proteção de dados pessoais nos termos do Procedimento para Elaboração do Relatório de Impacto à Proteção de Dados Pessoais

O tratamento de dados pessoais sensíveis deve ser precedido de relatório de impacto à proteção de dados pessoais e somente pode ser realizado em caso de:

  1. Consentimento pelo titular ou seu responsável legal, de forma específica e destacada, para finalidades específicas
  2. Cumprimento de obrigação legal ou regulatória
  3. Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos
  4. Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis
  5. Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral
  6. Proteção da vida ou da incolumidade física do titular ou de terceiro
  7. Garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos

Tratamento de Dados Pessoais

A Control deverá informar o titular de dados pessoais, com relação ao(a):

  • Qualificação da Control e os dados para contato
  • O canal de contato do Encarregado pelo Tratamento de Dados Pessoais
  • As finalidades específicas, forma e duração de tratamento
  • Os Controladores e operadores com as quais a realiza o uso compartilhado de dados pessoais
  • Segurança da Informação: As diretrizes de segurança existentes na Política de Segurança da Informação da Control, devem ser observadas durante todo o ciclo de vida do dado pessoal.
  • Coleta: A coleta do dado pessoal ocorre a partir da entrada do dado pessoal na Control, e poderá ser feita por meio de sistemas da informação ligados a sites, aplicativos, recebimento de arquivos, aquisição de base de dados, bem como no ambiente físico como pelo preenchimento de formulários, listas ou pelo registro de uma conversa presencial.
  • Direitos dos titulares de dados: Devem ser obedecidos os direitos do titular com relação aos dados pessoais tratados, como a confirmação da existência do tratamento, acesso aos dados pessoais, correção, revogação de consentimento, portabilidade, anonimização, bloqueio e eliminação de dados pessoais.

    Quando o titular dos dados pessoais solicitar a correção ou atualização de seus dados pessoais, antes de se proceder com a solicitação, deve ser confirmada a autenticidade desse titular, desse modo, o Departamento de Tecnologia da Informação com auxílio do Encarregado de Dados devem garantir que meios físicos e digitais onde esses dados pessoais foram replicados e armazenados sejam também atualizados.
  • Respostas às solicitações e requisições dos titulares: As respostas às requisições dos titulares dos dados pessoais serão regidas pelo Procedimento de Resposta às Requisições dos Titulares.
  • Dados de Saúde: O tratamento de dados de saúde por Operadores contratados pela Control deverá, obrigatoriamente, permitir ao titular o direito a portabilidade dos seus dados, quando solicitada ou as transações financeiras e administrativas resultantes do uso e da prestação dos serviços.
  • Consentimento: Sempre que for necessário o tratamento com base no consentimento, este consentimento deve ser obtido por meio de uma manifestação livre e informada do titular de dados, de acordo com as finalidades determinadas para o tratamento. Não é permitido o tratamento de dados pessoais mediante vício de consentimento.
  • Revogação do Consentimento: O titular de dados pode revogar o consentimento de modo gratuito e facilitado por meio dos canais de atendimento da Control, sendo que todo o tratamento realizado antes da revogação permanece válido. O titular dos dados pessoais deverá ser informado das consequências da revogação do consentimento, de maneira simples, clara e facilitada.
  • Dados Sensíveis: O consentimento para tratamento de dados pessoais sensíveis deverá ser coletado de forma específica e destacada, para finalidades específicas.
  • Dados de crianças e adolescentes: Não há tratamento de dados pessoais de crianças e adolescentes.
  • Legítimo Interesse: O legítimo interesse deverá ser previamente analisado e validado junto ao Encarregado da Proteção de Dados Pessoais da Control conforme Procedimento para Análise do Legítimo Interesse, sendo o Colaborador responsável por elaborar o relatório de avaliação do impacto à proteção de dados pessoais (Avaliador), nos termos do Procedimento para Elaboração do Relatório de Impacto à Proteção de Dados Pessoais.
  • Contratos: O Gestor de cada Setor deve assegurar que todas as contratações em que ocorra o tratamento de dados pessoais sejam precedidas de contratos que regulem a privacidade e proteção de dados pessoais.
  • Contratação de Operador: A Control na figura de Controlador, sempre que fizer uso de um Operador, deve estabelecer contrato tendo em vista as regulamentações relacionadas à privacidade e proteção de dados pessoais vigentes no país onde ocorrerá o tratamento dos dados pessoais.
  • Armazenamento: O armazenamento dos dados pessoais pode ser feito de modo físico (guarda de crachás, cartões, fichas, papeis com anotações à mão, formulários, notas fiscais, contratos e outros documentos em papel, por exemplo) ou digital (em mídias como CD, DVD, Blu-Ray, HD externo, pendrive, cartão de memória SD, nas plataformas digitais da Control ou em serviço contratado para esta finalidade).

    Os dados pessoais devem ser armazenados por período limitado, levando em consideração a finalidade específica do tratamento.

    Os meios físicos e digitais de armazenamento dos dados pessoais devem assegurar a sua segurança e qualidade, devendo ser mantidos exatos e atualizados, de acordo com a necessidade para o cumprimento da finalidade de tratamento.

    No caso de armazenamento e/ou transferência internacional de dados, o Gestor responsável deverá informar o Encarregado pelo Tratamento de Dados Pessoais, para que este, com o auxílio do Departamento Jurídico (DEJUR) da Control, avaliem as adequações do tratamento às leis daquele país.
  • Uso: O uso dos dados pessoais deve ser realizado dentro dos limites das finalidades legitimadas na coleta. Caso haja a necessidade de realizar o tratamento do dado pessoal para outra finalidade diversa da informada no momento da coleta, é necessário verificar:

    • Qualquer ligação entre a finalidade para a qual os dados pessoais foram coletados e a finalidade do novo tratamento
    • O contexto em que os dados pessoais foram tratados (a relação entre o titular dos dados pessoais e a Control)
    • Se o dado coletado está sendo compartilhado com demais Agentes de Tratamento
    • As consequências do novo tratamento para o titular dos dados pessoais, e A existência de medidas de proteção adequada, como anonimização.
    Essas informações devem ser encaminhadas ao Encarregado pelo Tratamento de Dados Pessoais para que defina se o novo tratamento já está ou não legitimado, e, caso não esteja, ele deve propor as estratégias de como este tratamento pode ser legitimado antes de ser realizado.
  • Decisões Automatizadas: O tratamento de dados pessoais realizado com base em decisões automatizadas, deve contar com informações claras e adequadas sobre os critérios utilizados para estes tratamentos, e serem disponibilizados aos titulares dos dados pessoais.

    O titular dos dados pessoais tem o direito de solicitar a revisão de decisão baseada em tratamento automatizado dos dados pessoais, tendo o acesso aos critérios e procedimentos.
  • Compartilhamento: O compartilhamento de dados pessoais ou de documentos/arquivos com dados pessoais em território nacional pode ser feito para Agentes de Tratamento autorizados, com as medidas de segurança indicadas pelo Departamento Tecnologia da Informação (TI) e somente para as finalidades de uso ou tratamento prévia e devidamente informadas e legitimadas junto ao titular dos dados pessoais.

    O compartilhamento de dados pessoais com demais Agentes de Tratamento, excetuando compartilhamento realizado para cumprimento de obrigações legais, somente poderá ocorrer caso estes tenham firmado contrato com cláusulas referentes à Proteção de Dados Pessoais.
  • Manutenção dos dados: Os dados pessoais podem ser mantidos, após atingida sua finalidade nos casos de cumprimento de obrigação legal ou regulatória por parte da CONTROL CONSTRUÇÕES S.A.
  • Eliminação segura: Após cumprida a finalidade do tratamento e findo o prazo de armazenamento determinado pela tabela de temporalidade, os dados devem ser eliminados de modo seguro, independentemente se em meios físicos ou digitais.

    A solicitação de eliminação do dado pessoal pelo titular não será possível quando o dado já tiver sido anonimizado ou no caso de cumprimento de obrigação legal quanto ao armazenamento destes dados para fins regulatórios ou legais, respeitada a Tabela de Temporalidade estabelecida pela CONTROL CONSTRUÇÕES S.A.
  • Classificação da Informação: Todos os dados pessoais tratados pela Control são tratados como confidenciais, de acordo com a Norma de Classificação da Informação.
  • Violação de dados pessoais: Todos os colaboradores têm o dever de notificar a Control imediatamente, sem demora injustificada, acerca de qualquer violação ou tentativa de violação de dados pessoais da qual tenham conhecimento, além de cooperar para a investigação e mitigação de incidentes de violação de dados pessoais.
  • Registro: Todos os procedimentos realizados devem ser documentados pelas partes envolvidas, sob a supervisão do Encarregado pelo Tratamento de Dados Pessoais.

Dados que a Control Utiliza

Coletamos dados pessoais quando são inseridos ou fornecidos pelo titular, quando interage conosco por nossos ambientes digitais ou em decorrência da prestação de nossos serviços, incluindo, mas não se limitando nossos canais de atendimento, portais.

Poderemos coletar diversos Dados Pessoais, considerando os diferentes serviços oferecidos pela Control, como nome completo, documentos pessoais de identificação (RG, CPF), foto, telefone, endereço eletrônico (e-mail), gênero, data de nascimento, cidade, estado, informações de pagamento, informações dos medidores de consumo vinculados ao seu cadastro, entre outros necessários.

Os serviços fornecidos pela Control dependem quase que inteiramente de determinados Dados Pessoais, principalmente cadastrais. Caso o titular não concorde em fornecer esses dados, a Control poderá ficar impossibilitada de executar alguns de nossos serviços e funcionalidades.

A despeito de quaisquer dados informados pelo titular, a Control fará uso daqueles efetivamente necessários para a finalidade declarada, como, por exemplo, para identificar e autenticar o titular quando for utilizar nossos serviços, manter seu contato conosco, acesso facilitado às funcionalidades promovidas pela Control, cumprir com nossas obrigações legais e regulatórias, bem como permitir o cumprimento aos interesses legítimos da Control.

O titular é o único responsável pela precisão, veracidade ou falta dela em relação aos dados que fornece, ou pela sua desatualização. É importante comunicar a Control a fim de garantir a exatidão ou mantê-los atualizados.

Adicionalmente, a Control não é obrigada a tratar quaisquer dos dados do titular se houver razões para crer que tal tratamento possa imputar qualquer infração de qualquer lei aplicável, ou seja pessoa titular dos dados estiver utilizando Nossos Ambientes para quaisquer fins ilegais, ilícitos ou contrários à moralidade.

A base de dados formada por meio da coleta de dados é de nossa propriedade e está sob nossa responsabilidade, sendo que seu uso, acesso e compartilhamento, quando necessários, serão feitos dentro dos limites e propósitos dos negócios descritos nesta Política.

Nossos Sites podem possuir tecnologias que fazem a coleta automática de informações, como cookies e caches que são utilizados para melhorar as funcionalidades dos Sites. Se desejar, quando quiser, o titular pode bloquear o uso por meio das opções de rejeição ou configuração do seu navegador de Internet. Contudo, importante salientar que, ao bloquear, alguns recursos oferecidos pelos Sites, poderão não funcionar corretamente e ter suas funcionalidades limitadas.

Todas as tecnologias utilizadas respeitarão sempre a legislação vigente e os termos desta Política.

Como a Control Compartilha Seus Dados

A Control possui trabalha em parceria com outras empresas. Deste modo, poderá compartilhar os dados pessoais do titular nas seguintes situações:

  • Diretrizes de segurança e proteção de dados pessoais, em relação às suas filiais
  • Prestação de serviços, em relação às empresas parceiras e fornecedores
  • Cumprimento de leis ou regulações específica em qualquer tipo de conflito, seja ações judiciais e processos administrativos, principalmente do setor da Control, em relação às autoridades governamentais, entidades regulatórias e de classe
  • Transferência das informações para continuidade dos serviços, em relação às transações e alterações societárias envolvendo a Control
  • Mediante ordem judicial ou pelo requerimento de autoridades administrativas que detenham competência legal para a sua requisição.

Para finalidades envolvendo órgãos de pesquisa e à imprensa em geral, se for o caso, os dados fornecidos serão anonimizados, ou seja, de maneira que não seja possível a identificação do indivíduo, sendo vedada a pseudoanonimização.

Como a Control Protege Seus Dados

A Control utiliza diversos recursos que são necessários e exigidos por lei para a preservação da privacidade e proteção dos dados pessoais do Titular quando as coleta. Assim, adota medidas como:

  • A Control utiliza os mais recentes métodos e equipamentos disponíveis no mercado para criptografar e anonimizar os seus dados pessoais, quando necessário.
  • A Control possui proteção contra acesso não autorizado a seus sistemas.
  • A Control somente autoriza o acesso de pessoas específicas ao local onde são armazenadas as suas informações pessoais, desde que este seja essencial ao desenvolvimento da atividade pretendida.
  • A Control garante que aqueles agentes, funcionários internos ou parceiros externos que realizarem o tratamento de dados pessoais deverão se comprometer a manter o sigilo absoluto das informações acessadas, bem como de adotar as melhores práticas para manuseio destas informações, conforme determinado nas regras e procedimentos externos.

Além dos esforços técnicos, a Control também adota medidas institucionais visando à proteção de dados pessoais, de modo que mantém programa de governança em privacidade aplicado a suas atividades e estrutura de governança, constantemente atualizado.

O acesso às informações coletadas é restrito a colaboradores e pessoas autorizadas. Aqueles que se utilizarem indevidamente dessas informações, em violação desta Política de Privacidade, estarão sujeitos a sanções disciplinares e legais cabíveis.

Em que pese o disposto, a Control não garante integralmente que os dados pessoais do titular não possam ser alvo de acessos não autorizados, perpetrados por meio de métodos desenvolvidos para obter informações de forma ilícita, caso em que, se ocorrer, a Control tomará todas as medidas internas com o Plano de Resposta a Incidentes e legais cabíveis contra os infratores.

Como a Control Armazena Seus Dados

Os dados pessoais coletados são armazenados em ambiente seguro e controlado e serão eliminados após cumprir suas finalidades para os quais foram coletados, ou quando o titular solicitar sua eliminação, exceto se sua manutenção for expressamente autorizada por legislações, regulamentos do setor ou regulação aplicável.

Contudo, as informações poderão ser conservadas por prazo superior para cumprimento de obrigação legal ou regulatória e uso exclusivo da Control, inclusive para o exercício de seus direitos em processos judiciais ou administrativos.

Também podemos manter registros de gravações por períodos curtos em acordo com nossas políticas de segurança e monitoramento de ambientes físicos e digitais para proteger o titular, nossos colaboradores e ambientes digitais.

Os dados coletados poderão ser armazenados em nossos servidores localizados no Brasil, bem como em ambiente de uso de recursos ou servidores na nuvem (cloud computing), o que poderá exigir uma transferência e/ou tratamento destes dados fora do Brasil, o qual será informado, caso solicite.

Informações Gerais Sobre Esta Política

Esta Política deve ser revisada, no mínimo, anualmente, ou sempre que existir a necessidade de alterações nos critérios definidos nas demais normas e políticas específicas da Control. A Control informará, em caso de atualização das finalidades ou necessidades do tratamento, notadamente para adequação e atendimento à disposição de lei ou norma que tenha força jurídica equivalente.

Reconhecemos como válida, eficaz e suficiente quaisquer comunicações emitidas pela Control e enviada por e-mail, SMS, aplicativos de comunicação instantânea ou qualquer outra forma digital, devidamente informados pelo titular, seja para assuntos que prestamos bem como outros que sejam relevantes à prestação de serviços, produtos e funcionalidades.

O presente documento deve ser lido e interpretado sob a égide das leis brasileiras, no idioma português, em conjunto com as Normas e Procedimentos aplicáveis pela Control.

Esta Política e as demais Normas e Procedimentos encontram-se disponíveis no Site oficial, na Intranet da Control ou, em caso de indisponibilidade, podem ser solicitadas por meio físico ou digital ao Encarregado pelo Tratamento de Dados Pessoais.

Para questões específicas sobre esta Política, incluindo a utilização de dados pessoais, cookies e outras tecnologias semelhantes, entre em contato com o nosso Encarregado pelo tratamento de dados pessoais por e-mail encarregado.lgpd@control.eng.br ou no endereço da Matriz Av. Minas Gerais, 671, CEP 58030-090, João Pessoa/PB.

Esta Política entra em vigor na data de sua publicação.