POLÍTICA DE PRIVACIDADE ALUMICONTE

Política de Governança, Privacidade e Proteção de Dados Pessoais

1. Objetivo

Estabelecer, de forma clara e transparente, as diretrizes de governança, privacidade e proteção de dados pessoais adotadas pela Alumiconte, em atendimento à Lei Geral de Proteção de Dados Pessoais – LGPD, às boas práticas de segurança da informação e aos requisitos internos do Programa de Governança, Privacidade e Segurança da Informação.

Esta política consolida as regras aplicáveis ao tratamento de dados pessoais de clientes, fornecedores, representantes, visitantes, usuários de site, candidatos a vagas, empregados, aprendizes, estagiários e terceiros, incluindo regras de cookies, atendimento aos direitos dos titulares, auditorias LGPD, contratos com fornecedores, treinamentos, denúncias e penalidades.

2. Documento de referência

Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais – LGPD.

ABNT NBR ISO/IEC 27002 – Segurança da informação, segurança cibernética e proteção da privacidade – Controles de segurança da informação.

3. Definições

Dado pessoal: dados relacionados a pessoa natural identificada ou identificável.

Dado pessoal sensível: dado pessoal relacionado à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Titular de dados: pessoa natural a quem se referem os dados pessoais tratados pela Alumiconte, incluindo clientes, representantes, fornecedores, visitantes, candidatos a vagas, usuários do site, colaboradores ou terceiros relacionados às atividades da empresa.

Controlador: pessoa natural ou jurídica responsável pelas decisões relacionadas ao tratamento de dados pessoais. Para esta política, a Alumiconte atua como controladora dos dados pessoais tratados no desenvolvimento de suas atividades.

Controlador conjunto: situação em que dois ou mais controladores definem conjuntamente finalidades e meios essenciais do tratamento de dados pessoais.

Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador, conforme suas orientações e finalidades determinadas.

Encarregado pelo tratamento de dados pessoais – DPO: pessoa indicada pela Alumiconte para atuar como canal de comunicação entre a empresa, os titulares dos dados e a Agência Nacional de Proteção de Dados – ANPD.

ANPD – Agência Nacional de Proteção de Dados: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD no Brasil.

Anonimização: utilização de meios técnicos razoáveis e disponíveis para que um dado perca a possibilidade de associação direta ou indireta a uma pessoa natural.

Incidente de segurança: evento adverso confirmado ou suspeito que possa comprometer a confidencialidade, integridade ou disponibilidade dos dados pessoais, como acesso não autorizado, vazamento, perda, alteração indevida ou destruição de informações.

Tratamento de Dados Pessoais: toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, modificação, comunicação, transferência, difusão ou extração.

Consentimento: manifestação livre, informada, específica e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para finalidade determinada.

Cookies: Pequenos arquivos-texto enviados por um site ao navegador, utilizados para armazenar preferências, informações de navegação ou dados técnicos.

Cookies de terceiros: Cookies criados e gerenciados por organizações externas ao site acessado, como ferramentas de estatística, análise, publicidade ou integração.

Uso compartilhado de dados: comunicação, difusão, transferência, interconexão de dados pessoais ou tratamento compartilhado de dados, observadas as bases legais, finalidades e responsabilidades aplicáveis.

Relatório de Impacto à Proteção de Dados Pessoais: documentação que descreve processos de tratamento de dados pessoais que podem gerar riscos aos direitos e liberdades dos titulares, bem como medidas, salvaguardas e mecanismos de mitigação.

Bases legais: Hipóteses previstas na LGPD que autorizam o tratamento de dados pessoais.

4. Descrição

Esta política aplica-se a todas as operações de tratamento de dados pessoais e dados pessoais sensíveis realizadas pela Alumiconte, em meio físico ou digital, no desenvolvimento de suas atividades administrativas, comerciais, industriais, trabalhistas, contratuais, fiscais, jurídicas, de marketing, tecnologia da informação, segurança patrimonial e atendimento aos titulares.

Aplica-se a empregados, aprendizes, estagiários, sócios, gestores, terceiros, prestadores de serviço, fornecedores, representantes comerciais e demais pessoas que acessem, tratem ou manipulem dados pessoais sob controle da Alumiconte.

4.1. Princípios para tratamento de dados pessoais

Sempre que tratar dados pessoais, a Alumiconte observará os princípios previstos na LGPD:

  1. Finalidade: tratamento para propósito legítimos, específicos, explícitos e informados ao titular;
  2. Adequação: compatibilidade do tratamento com as finalidades informadas ao titular;
  3. Necessidade: limitação do tratamento ao mínimo necessário para atingir as finalidades;
  4. Livre acesso: garantia de consulta facilitada e gratuita sobre a forma e duração do tratamento;
  5. Qualidade dos dados: exatidão clareza, relevância e atualização dos dados;
  6. Transparência: informações claras, precisas e acessíveis aos titulares;
  7. Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
  8. Prevenção: adoção de medidas preventivas para evitar danos aos titulares e assegurar o tratamento de dados pessoais conforme as exigências legais;
  9. Não discriminação: vedação ao tratamento para fins discriminatórios ilícitos ou abusivos;
  10. Responsabilização e prestação de contas: demonstração da adoção de medidas eficazes de conformidade.

4.2. Bases legais para tratamento de dados pessoais

A Alumiconte deverá tratar dados pessoais somente quando houver base legal adequada, devidamente vinculada à finalidade do tratamento. As principais bases utilizadas são:

Base legal Exemplos de aplicação na Alumiconte
Cumprimento de obrigação legal ou regulatória Emissão de notas fiscais, obrigações fiscais, trabalhistas, eSocial, registros de saúde e segurança do trabalho e atendimento a órgãos públicos.
Execução de contrato ou procedimentos preliminares Venda de produtos, entrega de pedidos, contratação de fornecedores, relação com representantes, contrato de trabalho e processos seletivos.
Proteção do crédito Análise de crédito de clientes, representantes ou parceiros comerciais, quando aplicável.
Exercício regular de direitos Defesa judicial, administrativa ou arbitral, guarda de evidências, controle de acesso, imagens de segurança e histórico de relação contratual.
Tutela da saúde ou da vida Situações de emergência, saúde ocupacional e atendimento médico quando aplicável.
Legítimo interesse Atendimento de solicitações, relacionamento comercial, segurança patrimonial, prevenção de fraudes e melhoria de processos, observados os direitos e expectativas dos titulares.
Consentimento Envio de comunicações promocionais quando exigido, uso de imagem/voz para campanhas institucionais, endomarketing ou publicidade, quando não houver outra base legal aplicável.
Outras bases previstas na LGPD Estudos por órgãos de pesquisa, execução de políticas públicas, proteção da vida, prevenção à fraude e demais hipóteses legais, conforme o caso concreto.

4.3. Categorias de titulares, dados tratados e finalidades

A Alumiconte deverá manter mapeamento atualizado dos processos que envolvem dados pessoais. O quadro abaixo consolida as principais categorias atualmente tratadas.

O mapeamento dos processos que envolvem dados pessoais deverá ser revisado periodicamente, preferencialmente a cada 12 meses, mediante validação dos gestores responsáveis por cada área, mantendo-se registros das conferências realizadas.

Origem/coleta Titulares Dados pessoais tratados Finalidades principais Bases legais e compartilhamentos
Comercialização de produtos, propostas, pedidos e contratos Clientes pessoa física; representantes legais, compradores e contatos de clientes pessoa jurídica. Dados de identificação, contato, dados bancários, dados de pedidos, dados fiscais, análise de crédito e histórico comercial. Relacionamento comercial, cumprimento de obrigações contratuais, emissão de nota fiscal, entrega de produtos, concessão de crédito, cobrança, atendimento e envio de materiais institucionais ou comerciais. Execução de contrato, proteção de crédito, cumprimento de obrigação legal, legítimo interesse e consentimento quando aplicável. Compartilhamento com representantes, transportadoras, instituições bancárias, consultorias, sistemas de gestão e órgãos públicos.
Fornecedores e prestadores de serviço Representantes legais, funcionários, contatos comerciais e testemunhas contratuais. Dados de identificação, contato, bancários, assinatura, documentos de representação e dados contratuais. Relacionamento comercial, contratação, pagamento, execução de obrigações contratuais, cadastro, homologação e gestão de fornecedores. Execução de contrato, cumprimento de obrigação legal e exercício regular de direitos. Compartilhamento com áreas internas, instituições bancárias, consultorias e sistemas de gestão.
Representantes comerciais Representantes comerciais pessoas físicas ou contatos de empresas representantes. Dados de identificação, contato, assinatura, documentos contratuais, dados bancários e informações de análise de crédito quando aplicável. Gestão contratual, pagamento de comissões, atendimento comercial, definição de carteira, segurança jurídica e cumprimento de obrigações legais. Execução de contrato, cumprimento de obrigação legal, proteção de crédito e exercício regular de direitos.
Acesso às dependências da Alumiconte e uso de rede Wi-Fi Visitantes, fornecedores, prestadores de serviço, clientes, representantes e demais pessoas com acesso presencial. Dados de identificação, imagens de câmeras de segurança, informações de acesso, dados de dispositivo móvel/MAC quando aplicável. Controle de acesso, segurança patrimonial, prevenção de incidentes, análise de acessos à rede e preservação de evidências. Legítimo interesse, exercício regular de direitos e segurança. Compartilhamento restrito a áreas responsáveis, TI, segurança, jurídico ou autoridades quando necessário.
Site, fale conosco, download de catálogos e newsletter Usuários do site, interessados, clientes e potenciais clientes. Nome, dados de contato, cidade, estado, assunto, mensagem, dados técnicos de navegação e preferências quando aplicável. Atendimento de solicitações, envio de catálogos, comunicações institucionais, divulgação de produtos, melhoria do site e análise de interações. Execução de contrato ou procedimentos preliminares, consentimento e legítimo interesse. Compartilhamento com empresas relacionadas ao funcionamento do site, marketing, comunicação e ferramentas de análise.
Atendimento ao cliente, assistência técnica e acordos comerciais Clientes, consumidores, representantes e contatos envolvidos na solicitação. Dados de identificação, contato, pedido, nota fiscal, mensagens, evidências, fotos, vídeos ou documentos relacionados ao atendimento. Cumprimento de obrigações legais e contratuais, atendimento ao consumidor, análise de solicitações, rastreabilidade, tratativas comerciais e defesa de direitos. Cumprimento de obrigação legal, execução de contrato e exercício regular de direitos. Compartilhamento com setores internos, representantes, qualidade, jurídico e terceiros envolvidos na solução.
Trabalhe conosco e recrutamento e seleção Candidatos a vagas. Dados de identificação, contato, data de nascimento, informações profissionais, escolaridade, experiência, currículo, condição de PCD quando aplicável e comprovações necessárias para a vaga. Identificação do candidato, avaliação para vaga, contato, processo seletivo, formação de banco de talentos e cumprimento de obrigações legais quando aplicável. Procedimentos preliminares relacionados a contrato, cumprimento de obrigação legal e consentimento quando aplicável. Compartilhamento com agências de emprego, consultorias, psicólogos ou prestadores de apoio ao recrutamento.
Relação de emprego, aprendizagem e estágio Empregados, ex-empregados, aprendizes e estagiários. Dados cadastrais, documentos pessoais, CPF, RG, CNH, CTPS, PIS, título de eleitor, escolaridade, cargo, função, setor, salário, dados bancários, jornada, avaliações, histórico profissional, admissão, desligamento, dados de saúde ocupacional, exames, atestados, imagem/voz, treinamentos e dados de benefícios. Gestão do contrato de trabalho, folha de pagamento, cumprimento de obrigações trabalhistas, previdenciárias e fiscais, saúde e segurança do trabalho, benefícios, treinamentos, endomarketing, comunicação interna, defesa de direitos e gestão organizacional. Execução de contrato, cumprimento de obrigação legal, exercício regular de direitos, tutela da saúde e consentimento para usos de imagem/voz quando aplicável. Compartilhamento com governo, clínicas, laboratórios, medicina do trabalho, bancos, seguradoras, corretoras, operadoras de benefícios, farmácias, Sesi, agências de comunicação e recrutamento.
Dependentes de empregados Dependentes, incluindo crianças e adolescentes quando aplicável. Nome, CPF, data de nascimento, certidão de nascimento, relação de dependência, número do cartão SUS, informações necessárias a benefícios, eSocial, salário-família e plano de saúde. Concessão de benefícios, cumprimento de obrigações legais, eSocial, plano de saúde e gestão trabalhista. Cumprimento de obrigação legal, execução de contrato, tutela da saúde e melhor interesse da criança ou adolescente quando aplicável. Compartilhamento com governo e operadoras de plano de saúde.
Ações institucionais, treinamentos e endomarketing Empregados, terceiros, clientes, representantes e participantes de eventos ou cursos. Imagem, vídeo, voz, nome, cargo, empresa vinculada, depoimentos e evidências de participação em treinamento. Valorização de colaboradores, humanização da marca, divulgação institucional, evidência de treinamentos, defesa de direitos e comunicação interna ou externa. Consentimento quando aplicável, exercício regular de direitos para evidência de treinamento e legítimo interesse conforme o contexto.

4.4. Compartilhamento de dados pessoais

Os dados pessoais tratados pela Alumiconte poderão ser compartilhados exclusivamente para o desenvolvimento das atividades da empresa, cumprimento de obrigações legais ou regulatórias, execução de contatos, atendimento aos titulares, segurança, exercício regular de direitos e demais finalidades descritas nesta política.

A Alumiconte exigirá dos terceiros que mantenham nível adequado de confidencialidade, segurança e governança dos dados compartilhados, bem como que utilizem tais informações somente para as finalidades expressamente permitidas.

  1. Empresas terceirizadas contratadas para atividades comerciais, operacionais, administrativas, jurídicas, contábeis, fiscais, trabalhistas, de marketing, comunicação e tecnologia.
  2. Empresas relacionadas ao funcionamento do site, sistemas eletrônicos, hospedagem, armazenamento, ferramentas de análise e gestão de base de dados.
  3. Consultorias jurídicas, contábeis, fiscais, trabalhistas e de gestão.
  4. Agencias de recrutamento, psicólogos, coachs, clínicas, laboratórios e empresas de medicina do trabalho.
  5. Agencias de comunicação, acessórias de imprensa, fotógrafos e empresas de filmagem.
  6. Transportadoras, representantes de vendas e instituições bancárias.
  7. Órgãos públicos, entidades fiscalizadoras, autoridades administrativas ou judiciais, quando houver obrigação legal, regulatória ou solicitação válida.

4.5. Armazenamento, segurança e transferência de dados

Os dados pessoais poderão ser armazenados em pastas físicas, servidores internos, datacenters físicos, sistemas corporativos e ambientes em nuvem utilizados pela Alumiconte, observadas as regras da Política de Segurança da Informação e demais controles internos aplicáveis.

Sempre que houver contratação de sistemas, infraestrutura em nuvem ou fornecedores que envolvam tratamento de dados pessoais, a Alumiconte deverá avaliar os riscos, as medidas de segurança, a localização dos dados, as obrigações contratuais e eventual transferência nacional ou internacional de dados, quando aplicável.

A Alumiconte adotará medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados, perda, destruição, alteração indevida, comunicação ou difusão não autorizada, observados os princípios de necessidade, segurança, prevenção e responsabilização.

4.6. Retenção, exclusão e anonimização de dados

Os dados pessoais permanecerão armazenados pelo tempo necessário ao cumprimento das finalidades que justificam sua coleta e tratamento, observando prazos legais, regulatórios, contratuais e necessidades legítimas da Alumiconte.

Os dados poderão ser mantidos, mesmo após o término da relação com o titular, quando necessários para:

  1. Cumprimento de obrigação legal ou regulatória;
  2. Exercício regular de direitos da Alumiconte em processos judiciais, administrativos ou arbitrais;
  3. Segurança, controle de fraudes, prestação de contas, auditorias e atendimento à ANPD;
  4. Preservação de evidências de treinamentos, contratos, relações comerciais, trabalhistas e demais registros necessários ao negócio.

Após o término das finalidades e dos prazos aplicáveis, os dados deverão ser eliminados ou anonimizados, sempre que tecnicamente viável e juridicamente permitido. Critérios específicos de retenção poderão ser definidos em política ou tabela própria de retenção de dados.

4.7. Dados de criança e adolescentes

O site da Alumiconte é direcionado a pessoas maiores de 18 anos e a empresa não coleta intencionalmente dados pessoais de crianças por meio do site para fins publicitários.

A Alumiconte poderá tratar dados de crianças e adolescentes somente quando necessário para finalidades legítimas, tais como dependência em plano de saúde, salário-família, obrigações trabalhistas, eSocial, benefícios, contratação de menor aprendiz ou outras hipóteses legais, observando o melhor interesse do titular e as bases legais aplicáveis.

4.8. Direitos dos titulares

A Alumiconte garantirá aos titulares o exercício dos direitos previstos na LGPD, incluindo:

  1. Confirmar a existência de tratamento de dados pessoais;
  2. Acessar os dados pessoais tratados;
  3. Solicitar correção de dados incompletos, inexatos ou desatualizados;
  4. Solicitar anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
  5. Solicitar portabilidade dos dados, quando regulamentada e aplicável;
  6. Solicitar eliminação dos dados tratados com consentimento, ressalvadas as hipóteses legais de manutenção;
  7. Ser informado sobre compartilhamento de dados;
  8. Ser informado sobre as consequências da negativa de fornecimento de dados;
  9. Revogar consentimento, quando o tratamento se basear nessa hipótese legal.

O fluxo interno, prazos, responsáveis e registros de atendimento às requisições dos titulares deverão ser definidos pelo CPSI e pelo DPO, mantendo evidências das respostas fornecidas.

4.9. Canal de contato com o controlador e DPO

Os titulares poderão esclarecer dúvidas, solicitar o exercício de direitos ou apresentar reclamações por meio dos canais oficiais da Alumiconte.

Item Informação
Controlador ALUMICONTE COMPONENTES DE ALUMINIO Ltda.
CNPJ 92.175.892/0001-80
Endereço Estrada Linha Conde de Porto Alegre, nº 1000, Bairro Centro, Vila Flores/RS.
Encarregado/DPO Luis Henrique Luzzatto
Backup Encarregado/DPO Deise Girardi
E-mail do DPO e backup [email protected]
Canal de solicitações/reclamações Cadastro de Requisição de Titulares – inserir link oficial vigente.
Canal interno para empregados Departamento de Recursos Humanos ou e-mail [email protected], quando aplicável.

4.10. Avisos de privacidade

A Alumiconte poderá manter avisos de privacidade específicos, publicados no site oficial, canais internos ou outros meios aplicáveis, com linguagem direcionada aos respectivos titulares, tais como usuários do site, clientes, candidatos, empregados, terceiros e visitantes. Esses avisos deverão refletir as finalidades, bases legais, compartilhamentos, direitos dos titulares e canais de contato definidos nesta política.

4.11. Cookies e tecnologias similares

Cookies são pequenos arquivos-textos enviados por um site ao navegador do usuário, utilizados para registrar preferências, informações técnicas e interações de navegação.

Os cookies podem ser primários, quando criados e gerenciados pelo próprio site acessado, ou de terceiros, quando criados e gerenciados por organizações externas ao site, como ferramentas de análise, estatística, publicidade ou integração.

Conforme a política atualmente praticada, a Alumiconte não realiza armazenamento de cookies primários. Os cookies de terceiros poderão ser utilizados pelo Google Analytics para coletar dados relacionados ao dispositivo/navegador, endereço IP e atividades no site, bem como para medir e coletar estatísticas sobre as interações dos usuários.

A Alumiconte não controla a utilização de cookies captados por terceiros. A política de privacidade do Google e demais ferramentas utilizadas devem ser disponibilizadas por meio de link correto e atualizado no site da Alumiconte.

O usuário poderá configurar cookies pelo navegador, ativando modo de navegação anônima, bloqueando cookies, desabilitando-os ou excluindo cookies já armazenados. A desativação de cookies poderá causar restrições de funcionamento, personalização, informações de sessão e usabilidade do site.

Antes da publicação oficial, recomenda-se validar com TI/Jurídico se o site possui banner de cookies, ferramenta de consentimento, opção de rejeição e lista atualizada de cookies efetivamente utilizados.

4.12. Governança, responsabilidade e CPSI

A governança de privacidade e segurança da informação será conduzida pelo Comitê de Privacidade e Segurança da Informação – CPSI, com apoio do DPO e dos gestores responsáveis pelos processos que tratam dados pessoais.

4.13. Responsabilidades do CPSI

  1. Deliberar sobre diretrizes de privacidade e segurança da informação;
  2. Apoiar a definição de escopos de auditoria, treinamentos e campanhas de conscientização;
  3. Acompanhar planos de ação decorrentes de auditorias, incidentes ou não conformidades;
  4. Decidir sobre fatos não previstos nesta política, quando necessário;
  5. Avaliar violações, denúncias e medidas disciplinares, observando o regimento interno aplicável;

4.14. Responsabilidade do encarregado – DPO e seu backup

  1. Atuar como canal entre Alumiconte, titulares e ANPD;
  2. Apoiar o entendimento de requisições de titulares;
  3. Orientar gestores e áreas internas quanto a tratamento de dados pessoais;
  4. Acompanhar atualizações de mapeamento de dados e bases legais;
  5. Apoiar a análise de riscos, incidentes e contratos que envolvam dados pessoais;
  6. Apoiar a revisão periódica dos mapeamentos de dados pessoais e bases legais, em conjunto com os gestores responsáveis;
  7. Apoiar a atualização dos avisos de privacidade e canais de atendimento as titulares, quando aplicável.

4.15. Responsabilidades dos gestores

  1. Informar imediatamente ao DPO qualquer alteração, exclusão ou inclusão de processo que envolva dados pessoais;
  2. Garantir que os dados tratados em sua área estejam limitados às finalidades mapeadas;
  3. Assegurar que empregados e terceiros sob sua gestão observem esta política;
  4. Apoiar a execução de planos de ação, auditorias, treinamentos e controles aplicáveis.

4.16. Responsabilidades dos colaboradores e terceiros

  1. Tratar dados pessoais somente para as finalidades autorizadas;
  2. Proteger documentos, sistema, acessos e informações sob sua responsabilidade;
  3. Não compartilhar dados pessoais sem autorização ou finalidade legítima;
  4. Comunicar imediatamente suspeitas de incidente, vazamento, uso indevido ou descumprimento desta política.

4.17. Treinamentos e conscientização

A Alumiconte disponibiliza os recursos necessários para treinamentos e realização de companhas regulares de divulgação e conscientização sobre privacidade, proteção de dados pessoais e segurança da informação para todos os envolvidos.

Os treinamentos deverão ser aplicados nas integrações a todos os novos funcionários e poderão ser reforçados periodicamente por meio de vídeos, comunicados internos, dicas nos canais de comunicação interna e DDS com apoio da CIPA, quando aplicável.

4.18. Contratos com fornecedores e agentes de tratamento

Todos os contratos que envolvam compartilhamento ou tratamento de dados pessoais deverão conter cláusulas adequadas de privacidade, proteção de dados, segurança da informação, confidencialidade, finalidade, responsabilidade e atendimento à LGPD.

Nenhum contrato que envolva tratamento ou compartilhamento de dados pessoais deverá ser formalizado sem a análise das cláusulas mínimas de proteção de dados, salvo exceção justificada e aprovada pelo DPO, Jurídico ou CPSI.

Quando o fornecedor atuar como operador, controlador conjunto ou controlador independente, as responsabilidades deverão estar claramente definidas no contrato, incluindo instruções de tratamento, medidas de segurança, subcontratação, incidentes, atendimento a titulares e eliminação ou devolução de dados ao término da relação.

Caso o fornecedor não aceite as cláusulas propostas ou apresente risco relevante, o assunto deverá ser encaminhado ao DPO e/ou CPSI para análise e orientação quanto às medidas cabíveis.

4.19. Auditorias, fiscalização e planos de ação

As auditorias do programa de Governança, Privacidade e Segurança da informação são ferramentas de gestão de riscos e controle de processos internos, com objetivo de verificar o cumprimento da LGPD, desta política e demais normas aplicáveis.

As auditorias deverão ser realizadas, no mínimo, anualmente, podendo ser internas ou conduzidas por empresa especializada, conforme definição do CPSI.

O CPSI será responsável por definir o escopo da auditoria, a forma de aplicação, os responsáveis internos, os departamentos entrevistados e o relatório a ser utilizado.

Quando aplicável, o CPSI ou a empresa terceirizada contratada deverá exaurir os pontos previstos no relatório RG-TI-0005, mediante análise documental e entrevistas presenciais ou online com os departamentos envolvidos, a fim de verificar a regularidade e a eficiência do Programa de Governança, Privacidade e Segurança da Informação.

O relatório de auditoria RG-TI-0005 deverá contemplar a realidade atual do programa na data de aplicação, a indicação de não conformidades, vulnerabilidades ou oportunidades de melhoria e os planos de ação necessários.

Após a auditoria, caberá ao CPSI e aos responsáveis definidos:

  1. Arquivar o relatório de auditoria em pasta específica ou sistema definido;
  2. Definir responsáveis, prazos e ações para tratamento das não conformidades;
  3. Utilizar modelo de plano de ação aplicável como RG-GR-0005;
  4. Guardar evidências de conclusão ou justificativa de não execução dos planos;
  5. Acompanhar eficácia e reincidência dos apontamentos identificados.

4.20. Incidentes, denúncias, violações e penalidades

Qualquer suspeita de incidente, vazamento, acesso indevido, perda, destruição, alteração não autorizada, compartilhamento inadequado ou descumprimento desta política deverá ser comunicada imediatamente ao gestor da área, TI, DPO ou CPSI, conforme o caso.

Para denúncias de descumprimento desta política, poderá ser utilizado o canal do DPO: , sem prejuízo de outros canais oficiais definidos pela empresa.

Em caso de violação desta política, poderão ser aplicadas medidas administrativas, disciplinares ou jurídicas, observada a gravidade do caso, a reincidência, a intenção, o dano causado e o procedimento interno aplicável:

  1. Advertência verbal;
  2. Treinamento ou reciclagem obrigatória;
  3. Advertência formal;
  4. Suspensão;
  5. Demissão sem justa causa;
  6. Demissão por justa causa;
  7. Outras medidas jurídicas cabíveis.

No caso de terceiros, as penalidades deverão observar as condições previstas nos contratos mantidos com fornecedores, prestadores de serviço, parceiros ou representantes.

4.21. Disposições finais

As dúvidas decorrentes de fatos não previstos nesta política deverão ser encaminhadas ao CPSI e/ou DPO para avaliação e decisão, por meio dos canais oficiais da Alumiconte.

Esta política entra em vigor na data de sua publicação e poderá ser alterada a qualquer tempo por decisão do CPSI, DPO, Jurídico ou Direção, mediante surgimento de fatos relevantes, alterações legais, regulamentações da NPD, mudanças de processos internos ou necessidade de melhoria do programa de privacidade.

A versão consolidada substitui, após aprovação e publicação oficial, os documentos absorvidos indicados no item 2, salvo se a Alumiconte decidir manter algum deles como aviso externo, anexo ou procedimento operacional específico.

5. Distribuição

  1. Compras;
  2. DH;
  3. Jurídico;
  4. TI;
  5. Vendas.