Política de Privacidade dos Colaboradores

POLÍTICA DE PRIVACIDADE PARA COLABORADORES

     1. Escopo

É prioridade absoluta da SYNNEX Westcon-Comstor proteger, preservar e respeitar os dados, a privacidade e os direitos de seus clientes, colaboradores, fornecedores, prestadores de serviços, parceiros e acionistas.
Para tanto, essa Política foi criada para indicar as diretrizes do programa de privacidade da SYNNEX Westcon-Ccomstor, bem como as regras necessárias para que os colaboradores possam lidar com dados pessoais de maneira correta e segura.
Leia esta Política de Privacidade para Colaboradores (“Política”) para entender nossas práticas a respeito de seus Dados Pessoais, e também sobre os cuidados que esperamos dos nossos colaboradores no tratamento de Dados Pessoais dos Titulares.

     2. Objetivo

Durante a execução de suas operações a SYNNEX Westcon-Comstor coleta, manuseia e armazena informações que podem estar relacionadas a pessoas físicas identificadas e/ou identificáveis (“Dados Pessoais”), o que deve ser feito conforme as regras previstas na Lei nº 13.709/2018 (Lei Geral de Proteção de Dados). Com isso, a Companhia se compromete, por meio desta política e de outros documentos que compõe o seu programa de Governança em Dados Pessoais a:

  • Estar em conformidade com as leis e regulamentações aplicáveis de proteção de Dados Pessoais e seguir as melhores práticas;
  • Proteger os direitos dos colaboradores, clientes, fornecedores, prestadores de serviços, parceiros e acionistas contra os riscos de violações de Dados Pessoais;
  • Ser transparente com relação aos procedimentos da SYNNEX Westcon-Comstor no Tratamento de Dados Pessoais;
  • Promover a conscientização sobre a relevância da proteção de Dados Pessoais e questões de privacidade;

     3. Atribuições e Responsabilidades

     3.1. Comitê LGPD

Comitê formado por representantes das áreas Jurídica, Recursos Humanos, Tecnologia da Informação e Estratégia de Soluções, sem prejuízo de outros integrantes serem incluídos, responsável por aprovar, coordenar e/ou validar a implementação das regras de boas práticas e de governança, bem como as políticas, que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento de proteção de dados e segurança da tecnologia, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais e de segurança da tecnologia.

Dentre suas Atribuições e Responsabilidades, estão:

  • Acompanhamento dos trabalhos do DPO, incluindo reunião mensal de acompanhamento;
  • Apoiar no acompanhamento e na implementação dos planos de ação para correção de gaps das iniciativas de privacidade;
  • Referendar e conferir validade executiva às decisões do DPO;
  • Apoiar no preparo dos relatórios de impacto à proteção de Dados Pessoais (DPIA – Data Protection Impact Analysis) e na tomada de decisão dos projetos garantido o alinhamento com os requerimentos desta Política.

     3.2. Data Protection Officer (DPO)

  • Responsabilizar-se pelo tratamento adequado de Dados Pessoais em suas atividades;
  • Realizar treinamentos aos Colaboradores promovendo ações educativas de conscientização da privacidade;
  • Avaliar, sob a ótica de privacidade, os projetos que envolvam Tratamento de Dados Pessoais a fim de validar a aderência aos requisitos da legislação e da regulamentação aplicáveis, além de garantir privacidade como um padrão e a incorporação das medidas de segurança necessárias;
  • Apoiar no acompanhamento e na implementação dos planos de ação para correção de gaps das iniciativas de privacidade;
  • Apoiar no preparo dos relatórios de impacto à proteção de Dados Pessoais (DPIA – Data Protection Impact Analysis) e na tomada de decisão dos projetos garantido o alinhamento com os requerimentos desta Política;
  • Fornecer orientação e garantir o atendimento das requisições dos Titulares de Dados Pessoais, sempre que solicitado a fim de garantir que sejam respondidas dentro do prazo;
  • Garantir a manutenção das evidências de execução e implementação das iniciativas de privacidade (princípio da responsabilização);
  • Realizar treinamentos e a disseminação dos princípios de privacidade aos Colaboradores, promovendo ações educativas de conscientização da privacidade;
  • Outras atribuições designadas pelo Comitê de LGPD.

     3.3. Gestores

  • Responsabilizar-se pelo uso adequado de Dados Pessoais nas atividades de seus colaboradores e de suas respectivas áreas;
  • Responsabilizar-se pela implementação dos devidos controles e recomendações de tratamento de dados pessoais;
  • Garantir que os requisitos da LGPD sejam atendidos, bem como que os seus liderados atuem de acordo com esta Política;
  • Revisar e manter atualizado o mapeamento de Dados Pessoais, pelo menos uma vez por ano (ou sempre em caso de mudanças substanciais), junto com o DPO;
  • Garantir a adesão do tratamento de Dados Pessoais às bases legais previstas na LGPD;
  • Relatar para o DPO a ocorrência de quaisquer incidentes de Dados Pessoais ou segurança de dados da sua respectiva área, bem como as deficiências identificadas relacionadas ou possíveis riscos de privacidade.

     3.4. Área de Tecnologia de Informação ou TI

  • Responsabilizar-se pelo uso adequado de Dados Pessoais em suas atividades;
  • Responsabilizar-se pela eficácia e funcionalidade de hardwares e softwares que garantam a segurança e inviolabilidade de dados pessoais;
  • Analisar incidentes, violações e vazamentos de Dados Pessoais bem como efetuar a coleta de evidências técnicas;
  • Monitorar e implementar medidas de segurança para garantir o cumprimento da legislação e da regulamentação aplicáveis;
  • Revisar e manter atualizada a Política relativa à Segurança da Informação que estejam na sua competência;
  • Auxiliar na implementação mecanismos técnicos, quando necessário, para garantir o exercício pelos titulares dos direitos previstos na LGPD;
  • Prestar suporte técnico e analisar novas ferramentas e sistemas com foco na exposição de Dados Pessoais; e
  • Garantir a aplicação das medidas de segurança proporcionais ao risco gerado pelo Tratamento de Dados Pessoais e em linha com a expectativa de proteção do Titular do Dado Pessoal, garantindo a integridade, disponibilidade e confidencialidade destas informações.

     3.5. Área Jurídica

  • Responsabilizar-se pelo uso adequado de Dados Pessoais em suas atividades;
  • Assegurar que os contratos que contemplem a cessão ou o Tratamento de Dados Pessoais contenham cláusulas de privacidade adequadas à legislação e regulamentação aplicáveis;
  • Prestar apoio jurídico na ocorrência de vazamentos de Dados Pessoais;
  • Prestar apoio jurídico na interpretação da legislação e regulamentação relativas à proteção de Dados Pessoais;
  • Apoiar na renegociação de contratos/aditivos com fornecedores e clientes que realizam o Tratamento de Dados Pessoais; e
  • Apoiar na interface com a Autoridade Nacional de Dados Pessoais conjuntamente com o DPO.

     3.6. Todos os Colaboradores da Synnex Westcon-Comstor, incluindo os Gestores

  • Responsabilizar-se pelo uso adequado de Dados Pessoais em suas atividades;
  • Cumprir a LGPD e a legislação e regulamentação aplicáveis, bem como a presente Política, os procedimentos da SYNNEX Westcon-Comstor relativos à proteção de Dados Pessoais (Política de Segurança da Informação, Política de Resposta a Incidentes, dentre outros) e aplicação das medidas adequadas de segurança de TI;
  • Relatar para o DPO a ocorrência de quaisquer incidentes de Dados Pessoais ou segurança de dados, bem como as deficiências identificadas relacionadas ou possíveis riscos de privacidade; e
  • Participar das atividades de treinamento em proteção de dados conforme orientado.

     3.7. Time de Compliance

  • Realizar o monitoramento do cumprimento das regras internas e manutenção de indicadores relacionados à proteção de dados e privacidade;
  • Conduzir periodicamente as avaliações de maturidade sobre as iniciativas de privacidade, identificando a evolução do programa e os gaps remanescentes e/ou novos;
  • Realizar acompanhamento da implementação dos planos de ação para correção de gaps das iniciativas de privacidade;
  • Monitorar as requisições dos Titulares de Dados Pessoais a fim de garantir que sejam respondidas dentro do prazo;
  • Garantir a manutenção das evidências de execução e implementação das iniciativas de privacidade (princípio da responsabilização);
  • Outras atribuições designadas pelo Comitê de Data Protection e Technology Security.

     4. Tratamento de Dados Pessoais pelos nossos Colaboradores

     4.1. Princípios de Proteção de Dados Pessoais

Esta seção descreve os princípios que devem ser observados no Tratamento de “Dados Pessoais” pela Companhia para atender aos padrões de proteção de dados no ambiente e corporativo e estar em conformidade com a LGPD.


a) Finalidade específica e Informada e Adequação à finalidade.
O Tratamento de Dados Pessoais deve ser realizado de maneira compatível com a finalidade original para a qual os Dados Pessoais foram coletados, não podendo ser coletados com um propósito e utilizados para outro. Quaisquer outras finalidades devem ser compatíveis com a razão original para qual os Dados Pessoais foram coletados.


b) Necessidade do tratamento, limitado ao uso de dados essenciais para alcançar a finalidade inicial (Minimização dos Dados).
A SYNNEX Westcon-Comstor somente pode tratar Dados Pessoais na medida em que seja necessário para atingir um propósito específico, este é o princípio da minimização de dados. O compartilhamento de Dados Pessoais com outra área ou outra empresa deve considerar este princípio, só podendo ser compartilhados quando tenham um amparo legal adequado.


c) Qualidade dos Dados.
A SYNNEX Westcon-Comstor deve adotar medidas razoáveis para assegurar que quaisquer Dados Pessoais em sua posse sejam mantidos precisos e atualizados em relação às finalidades para as quais foram coletados. Uma vez que a base legal para tratamento de dados pessoais pela SYNNEX Westcon-Comstor é o cumprimento de suas obrigações regulatórias perante as autoridades brasileiras (Art. 7º, II da LGPD) e sua guarda, manutenção e exclusão serão feitos de acordo com a legislação em vigor, em especial as regras do Banco Central do Brasil.


d) Retenção e Limitação do Armazenamento de Dados.
A SYNNEX Westcon-Comstor deve ter conhecimento de suas atividades de Tratamento, períodos de retenção estabelecidos e processos de revisão periódica, não podendo manter os Dados Pessoais por prazo superior ao necessário para atender as finalidades pretendidas.


e) Integridade e Confidencialidade (Livre Acesso, Prevenção e Segurança).
A Companhia deve assegurar que medidas técnicas e administrativas apropriadas sejam aplicadas aos Dados Pessoais para protegê-los contra o Tratamento não autorizado ou ilegal, bem como contra a perda acidental, destruição ou danos. O Tratamento de Dados Pessoais também deve garantir a devida confidencialidade. Dentre as medidas técnicas mais comuns, podem ser descritas:

(i) Anonimização: significa que os Dados Pessoais são tornados anônimos de tal forma que os dados não mais se referem a uma pessoa direta ou indiretamente identificável. O anonimato tem que ser irreversível; e

(ii) Pseudoanonimização: é um processo pelo qual os Dados Pessoais não mais se relacionam diretamente com uma pessoa identificável (por exemplo, mencionando seu nome), mas não é anônimo, porque ainda é possível, com informações adicionais que são mantidas separadamente, identificar uma pessoa.


f) Responsabilização e Prestação de Contas.
A SYNNEX Westcon-Comstor é responsável e deve demonstrar o cumprimento desta Política, assegurando a implementação de diversas medidas que incluem, mas não se limitam a:

  • Garantia de que os Titulares dos Dados Pessoais possam exercer os seus direitos;
  • Registro de Dados Pessoais, incluindo: (i) registros de atividades de Tratamento de Dados Pessoais, com a descrição dos propósitos/finalidades de Tratamento, (ii) os destinatários do compartilhamento dos Dados Pessoais e os prazos pelos quais a Companhia deve retê-los;
  • Registro de incidentes de Dados Pessoais e violações de Dados Pessoais;
  • Garantia de que os terceiros prestadores de serviços que sejam Operadores de Dados Pessoais sejam obrigados contratualmente a agir de acordo com a LGPD e de acordo com as recomendações da SYNNEX Westcon-Comstor;
  • Garantia de que a SYNNEX Westcon-Comstor possui um Encarregado ou DPO; e
  • Garantia de que a SYNNEX Westcon-Comstor esteja cumprindo todas as exigências e solicitações da ANPD.

     4.2. Direitos dos Titulares de Dados Pessoais

A SYNNEX Westcon-Comstor está comprometida com os direitos dos Titulares de Dados Pessoais, os quais incluem:

  • Direito a informação e acesso, saber quais e como seus dados são tratados bem como sua finalidade;
  • A correção de seus Dados Pessoais se estiverem imprecisos, incorretos ou incompletos;
  • A exclusão, bloqueio e/ou anonimização de seus Dados Pessoais em determinadas circunstâncias. Isso pode incluir, mas não se limita a, circunstâncias em que não é mais necessário que a SYNNEXWestcon-Comstor retenha os Dados Pessoais para os propósitos para os quais foram coletados;
  • A restrição do Tratamento de seus Dados Pessoais em determinadas circunstâncias;
  • Opor-se ao Tratamento de Dados Pessoais, se constatado que se trata de um Tratamento irregular;
  • A portabilidade dos Dados Pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa em determinadas circunstâncias;
  • A revisão das decisões tomadas unicamente com base em Tratamento automatizado de Dados Pessoais; e
  • A apresentação de queixa à SYNNEX Westcon-Comstor ou à ANPD, se o Titular dos Dados Pessoais tiver motivos para supor que qualquer um de seus direitos de proteção de Dados Pessoais tenha sido violado. Caso você receba alguma reclamação neste sentido, encaminhe-a diretamente a seu Líder ou ao DPO.

     4.3. Gestão de Terceiros

A Companhia deve assegurar que em qualquer instrumento jurídico em que haja compartilhamento de Dados Pessoais contenham as cláusulas de privacidade que exijam que o terceiro implemente controles técnicos e administrativos apropriados para garantir a confidencialidade e segurança dos Dados Pessoais, e especifiquem que o Operador está autorizado a tratar Dados Pessoais apenas quando seja formalmente solicitado pela Companhia.

     5. Tratamento de Dados Pessoais dos Colaboradores da SYNNEX Westcon-Comstor

Veja, abaixo, quais Dados Pessoais utilizamos dos nossos Colaboradores, a finalidade do Tratamento destes Dados Pessoais e os motivos:

     5.1. Dados Pessoais que Coletamos

Para que o Colaborador possa desempenhar suas atividades, devemos coletar algumas informações, dentre as quais incluem:

  • Dados Cadastrais como nome, CPF, RG, data de nascimento, e-mail, endereço, telefone, comprovante de endereço
  • Dados contidos na Carteira de Trabalho
  • Certidão de Nascimento ou de Casamento e Óbito
  • Documentos de Dependentes, caso aplicável
  • Dados de veículo (placa), caso aplicável
  • Dados Biométricos: foto e biometria
  • Dados Bancários
  • Informações sobre histórico e antecedentes criminais, conforme aplicável
  • Raça, sexo e identidade de gênero

     5.2. Como usamos os Dados Pessoais de nosso Colaboradores

Utilizamos os dados dos nossos Colaboradores para as seguintes finalidades:

  • Execução de Contrato com o Colaborador;
  • Cumprimento de obrigações legais ou regulatórias, ordem judicial de autoridade competente ou de órgão fiscalizador;
  • Exercício regular de direitos, inclusive apresentando documentos em processos judiciais e administrativos, se necessário;
  • Verificação da identidade e elegibilidade para tornar-se um Colaborador
  • Prevenção à fraude e garantia da segurança dos Colaboradores nos processos de identificação (dados biométricos)

     5.3. Compartilhamento de Dados Pessoais de Colaboradores

Podemos compartilhar os dados de Colaboradores com terceiros parceiros da SYNNEX Westcon-Comstor tais como: prestadores de serviços, fornecedores de serviços de tecnologia da informação, de comunicação, de serviços estatísticos, de pesquisas, seguradoras, serviços de planos de saúde, serviços financeiros, bancos, escritórios parceiros, como de advocacia, contabilidade, auditoria independente.
Além disso, a SYNNEX Westcon-Comstor também pode compartilhar os Dados Pessoais com autoridades e órgão reguladores e/ou fiscalizadores para diversas finalidades, quando necessário. O compartilhamento será sempre realizado de acordo com os propósitos dos negócios da SYNNEX Westcon-Comstor e conforme autoriza a legislação aplicável.

     5.4. Retenção e Armazenamento

Os Dados Pessoais dos Colaboradores serão armazenados e mantidos de forma segura e em um ambiente controlado enquanto o Colaborador for um colaborador da SYNNEX Westcon-Comstor. Com o fim de cumprir com obrigações legais, a Synnex Westcon-Comstor poderá armazenar determinados dados por um período adicional para fins de auditoria, cumprimento de obrigações legais ou regulatórias ou exercício regular de direitos nos termos que a legislação vigente aplicável exigir.

     5.5. Processo Disciplinar

Violações de qualquer Política da SYNNEX Westcon-Comstor podem resultar em consequências graves à SYNNEX Westcon-Comstor e aos Colaboradores envolvidos. Portanto, a falha em cumprir esta Política ou relatar o conhecimento de violação desta Política poderá resultar em ação disciplinar para qualquer Colaborador envolvido.
O não cumprimento desta Política e suas normas, assim como as demais definições regulamentares e legais, internas ou externas, por qualquer usuário, são passíveis de responsabilização administrativa, cível ou penal, de processos disciplinares e sanções previstas na consolidação das leis do trabalho (CLT).

     6. Disposições Finais

Os Colaboradores são responsáveis por conhecer e aplicar todas as orientações da presente Política. De forma similar, os Gestores são responsáveis por garantir que todos os integrantes de sua equipe compreendam e sigam as orientações desta Política.
Os Colaboradores que tiverem perguntas ou dúvidas a respeito desta Política, incluindo seu escopo, termos ou obrigações, devem procurar seus respectivos Gestores e, se necessário o DPO da Companhia.
Nenhuma regra prevista no Manual de Sistemas e Controles Internos (“MSCI”), incluindo nessa Política, proibirá que Colaborador ou terceiros possam reportar preocupações ou atividades ilegais para as autoridades reguladoras correspondentes.

     7. Responsável pelo documento e aprovação

O Encarregado/DPO é o proprietário deste documento e é responsável por garantir que esta Política seja revisada de acordo com os requisitos da Legislação Aplicável de Proteção de Dados.

     8. Penalidades

A observância desta Norma é de cunho obrigatório por todos os colaboradores e corpo societário da Companhia, estando estes sujeitos às medidas disciplinares cabíveis.

ANEXO I – Definições

Essa Política deverá ser interpretada, conforme as definições abaixo descritas:

“Autoridade Nacional de Proteção de Dados” ou “ANPD”: consiste no órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.
“Anonimização”: Processo e técnica por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Dado anonimizado não é considerado Dado Pessoal.
“Companhia” ou “SYNNEX Westcon-Comstor”: SYNNEX Westcon-Comstor
“Consentimento”: Manifestação livre, informada e inequívoca pela qual o Titular concorda com o Tratamento de seus Dados Pessoais para uma finalidade determinada.
“Controlador”: consiste no agente a quem competem as decisões referentes ao Tratamento dos Dados Pessoais.
“Dado(s) Pessoal (is)”: Qualquer informação relativa a uma pessoa singular identificada ou identificável, que pode ser identificada, direta ou indiretamente, por referência a um identificador como nome, número de identificação, dados de localização, identificador on-line ou a um ou mais fatores específicos a identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa natural.
“Dado(s) Pessoal(is) Sensível(is)”: Todo Dado Pessoal que pode gerar qualquer tipo de discriminação, como por exemplo os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
“Data Protection Officer (DPO)” ou “Encarregado”: é a pessoa indicada pelo Controlador para atuar como um canal de comunicação entre o Controlador, os Titulares dos Dados Pessoais e a ANPD.
“Colaborador (es)”: Funcionários/empregados que trabalham na SYNNEX Westcon-Comstor em todos os níveis, incluindo executivos, conselheiros, diretores, estagiários e aprendizes.
“Gestor (es)”: Todo Integrante que lidera uma equipe.
“LGPD”: significa a Legislação brasileira nº 13.709/2018, suas alterações posteriores e quaisquer outras leis e regulamentos em relação ao tratamento, proteção e privacidade de Dados Pessoais aplicáveis e, se aplicáveis, todas as orientações, normas, regras, portarias, regulamentos e códigos de prática e conduta emitidos pela Autoridade Nacional de Proteção de Dados (ANPD) ou outra autoridade de supervisão ou proteção de dados pertinente.
“Operador”: Pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador.
“Área de Tecnologia da Informação” ou “TI”: Área responsável por proteger a integridade, disponibilidade e confidencialidade dos sistemas de TI e deve implementar as medidas adequadas para alcançar este objetivo.
“Titular(es) de Dados”: Pessoa natural singular identificada ou identificável a quem se refere um Dado Pessoal específico. Para os fins desta Política, Titulares são os clientes, colaboradores, clientes, fornecedores, prestadores de serviços, parceiros e acionistas da SYNNEX Westcon-Comstor.
“Tratamento de Dados Pessoais” ou “Tratamento”: Qualquer operação ou conjunto de operações efetuadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, por meios automatizados ou não automatizados, tais como a coleta, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição.
“Violação de Dados Pessoais”: significa uma violação de segurança da informação que acarreta a destruição acidental ou ilegal, perda, alteração, divulgação ou acesso não autorizado a Dados Pessoais transmitidos, armazenados ou de outra forma tratados pela SYNNEX Westcon-Comstor ou um subcontratado autorizado.

Vamos começar gerando resultados juntos

Português