Diretriz de Proteção de Dados Pessoais do Fornecedor VLI
Prezado parceiro,
Apresentamos a Diretriz de Proteção de Dados Pessoais do Fornecedor VLI (“Diretriz”). Este documento tem por objetivo orientá-lo sobre as principais diretrizes que norteiam o tratamento de dados pessoais que venha a ocorrer no âmbito da relação entre a VLI e seus fornecedores.
Acreditamos que nossos princípios, valores e práticas relacionados à proteção de dados pessoais devam ser incorporados ao cotidiano de todos os parceiros que executem atividades de tratamento de dados pessoais. Neste documento, compartilhamos valores, princípios e diretrizes básicas que pautarão essas atividades de tratamento de dados pessoais.
Os principais objetivos desta Diretriz são assegurar a observância das legislações que tratam sobre privacidade e proteção de dados pessoais, garantir a integridade, a confiabilidade e a confidencialidade de dados pessoais e garantir que dados pessoais sejam tratados de forma ética e responsável por todos os parceiros da VLI.
Com esta Diretriz, buscamos construir parcerias que resultem em benefícios para todos os envolvidos: VLI, parceiros e titulares de dados pessoais, reafirmando nosso compromisso com as melhores práticas de governança corporativa.
Se você tem sugestões para aprimorar nossa relação, envie uma mensagem para dpo@vli-logística.com.
Gerência de Suprimentos
Introdução
A VLI tem como compromisso gerar valor aos negócios dos seus clientes e parceiros por meio de soluções logísticas que integram ferrovias, portos e terminais. Buscamos construir um modelo de negócio sustentável e contribuir para uma sociedade mais justa, ambientalmente equilibrada e economicamente próspera. Para isso, precisamos agir e influenciar positiva e proativamente cada parceiro e demais envolvidos em nossa cadeia produtiva.
Esta Diretriz de Proteção de Dados Pessoais do Fornecedor VLI tem por objetivo esclarecer o que a VLI espera de seus fornecedores sempre que eles executarem atividades de tratamento de dados pessoais no âmbito do seu relacionamento com a VLI, sobretudo no que diz respeito à observância da legislação aplicável, à adoção de medidas adequadas de segurança e à atuação ética e responsável no âmbito de atividades de tratamento de dados pessoais, respeitando os direitos fundamentais de liberdade e de privacidade dos titulares de dados pessoais.
Conceitos relevantes
Para os fins desta Diretriz, “Leis de Proteção de Dados Pessoais” são as leis, os regulamentos e as demais normas que regulam atividades de tratamento de dados pessoais e que sejam aplicáveis às atividades de tratamento de dados pessoais executadas pelo fornecedor da VLI, incluindo a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei 13.709/2018).
Os termos utilizados nesta Diretriz devem ser sempre interpretados em conformidade com as Leis de Proteção de Dados Pessoais. Sem prejuízo disso, para facilitar a compreensão desta Diretriz, apresentamos a seguir exemplos de como esses termos serão usualmente interpretados:
- Dado pessoal: dado pessoal é qualquer informação que esteja relacionada a uma pessoa natural (um indivíduo), tanto nos casos em que essa pessoa já esteja identificada quanto nos casos em que a sua identificação seja possível (por exemplo, por meio da interpretação ou da combinação dessas informações com outras informações). Podem ser dados pessoais, informações como nome, documentos de identificação (como CPF e RG, por exemplo), endereços de e-mail pessoais ou profissionais, endereços pessoais ou profissionais, dados de navegação (como identificadores de dispositivos, endereços de IP e outros registros de atividades em ambiente virtual), dados bancários, dados financeiros, perfis de comportamento, entre outras informações.
- Tratamento: tratamento é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
- Titular: o titular de um dado pessoal é a pessoa natural (indivíduo) identificado ou identificável a que se refira um dado pessoal ou um conjunto de dados pessoais.
- Controlador: é aquele a quem competem as decisões sobre o tratamento dos dados pessoais.
- Operador: é aquele que realiza atividades de tratamento de dados pessoais em nome do controlador.
Abrangência
Esta Diretriz aplica-se a todos os fornecedores da VLI que executarem atividades de tratamento de dados pessoais no âmbito de seu relacionamento com a VLI.
Os compromissos exigidos do fornecedor com relação ao tratamento de dados pessoais devem ser observados tanto pelo fornecedor quanto pelos indivíduos e entidades que o fornecedor porventura envolver na execução de determinada atividade de tratamento de dados pessoais, como, por exemplo, colaboradores, assessores, consultores, terceirizados, subcontratados e prestadores de serviços.
Cumprimento das Leis de Proteção de Dados Pessoais
A VLI valoriza e respeita as Leis de Proteção de Dados Pessoais e exige que todos os seus parceiros comerciais que venham a tratar dados pessoais no âmbito do relacionamento com a VLI também observem as Leis de Proteção de Dados Pessoais.
O respeito às Leis de Proteção de Dados Pessoais pressupõe, entre outras premissas, que as atividades de tratamento sejam sempre realizadas de forma adequada e nos estritos limites da necessidade para o alcance das finalidades legítimas pretendidas.
Decisões sobre o tratamento e responsabilidades das partes
Quando atuar como controlador, o fornecedor tomará as decisões referentes ao tratamento dos dados pessoais, responsabilizando-se pela conformidade dessas atividades de tratamento as obrigações atribuídas ao controlador pelas Leis de Proteção de Dados Pessoais.
Quando atuar como operador, além de cumprir as obrigações a ele atribuídas pelas Leis de Proteção de Dados Pessoais, o fornecedor somente deverá realizar as atividades de tratamento nos estritos limites das instruções da VLI. Nesses casos, o fornecedor não deverá tratar dados pessoais em benefício próprio nem em benefício de terceiros, salvo se previamente autorizado pela VLI ou se exigido por lei, devendo manter a VLI informada sobre essas hipóteses de tratamento sempre que legalmente permitido.
O fornecedor deve sempre atuar de forma responsável e ética ao executar atividades de tratamento de dados pessoais, indenizando a VLI e os titulares de dados e mantendo-os livres de eventuais consequências decorrentes de descumprimentos de obrigações pelo fornecedor ou por terceiros que ele envolver nas atividades de tratamento.
O fornecedor deverá, sempre que solicitado, disponibilizar documentos, especificações, registros, esclarecimentos técnicos e outras informações e evidências relacionadas ao tratamento de dados pessoais pelo fornecedor. O fornecedor concorda que em certas situações a VLI poderá requerer acesso a suas instalações para atestar o cumprimento das obrigações assumidas pelo fornecedor.
Direitos dos titulares
O fornecedor e a VLI devem colaborar entre si para assegurar o adequado atendimento a solicitações dos titulares dos dados pessoais tratados pelo fornecedor no âmbito do seu relacionamento com a VLI.
Nos casos em que atuar como operador, o fornecedor deve informar prontamente à VLI caso receba alguma solicitação ou reclamação dos titulares dos dados pessoais, a fim de que a VLI, com a colaboração do fornecedor, determine as ações necessárias para assegurar que a solicitação ou reclamação seja adequadamente atendida.
Sigilo e segurança dos dados pessoais
Os fornecedores da VLI devem assumir compromisso de manutenção de sigilo e de segurança dos dados pessoais que venham a ser objeto de atividades de tratamento executadas no âmbito do seu relacionamento com a VLI.
O fornecedor deve adotar medidas técnicas e administrativas adequadas para evitar que os dados pessoais sejam objeto de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Essas medidas deverão assegurar a confidencialidade, a disponibilidade e a confiabilidade dos dados pessoais tratados pelo fornecedor. A VLI poderá exigir que o fornecedor atenda a medidas técnicas e administrativas específicas no âmbito dos contratos firmados com o fornecedor.
Sempre que atuar como operador, o fornecedor deverá obter autorização prévia da VLI para dar acesso aos dados pessoais ou de qualquer outra forma revelar os dados pessoais a terceiros.
Incidentes e outras violações
O fornecedor deverá comunicar em 24 horas, contadas do conhecimento, à VLI:
- Qualquer incidente ou suspeita de incidente envolvendo os dados pessoais tratados pelo fornecedor no âmbito do seu relacionamento com a VLI, tais como acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, investigando o incidente e disponibilizando prontamente à VLI as informações a ele relacionadas;
- Eventuais descumprimentos ou irregularidades no tratamento de dados pessoais pelo fornecedor ou por terceiros que o fornecedor tenha envolvido em qualquer atividade de tratamento, apresentando à VLI todas as informações sobre o evento, ainda que os referidos descumprimentos não resultem em um incidente propriamente dito.
Envolvimento de terceiros no tratamento de dados pessoais
O fornecedor é responsável por assegurar que quaisquer terceiros envolvidos pelo fornecedor em atividades de tratamento de dados pessoais atuem em conformidade com as Leis de Proteção de Dados Pessoais. O fornecedor responderá por quaisquer irregularidades ou descumprimentos de terceiros que envolver em atividades de tratamento de dados pessoais.
Quando atuar como operador, o fornecedor deverá obter aprovação da VLI antes de envolver qualquer terceiro em uma atividade de tratamento de dados pessoais. A VLI poderá solicitar informações ao fornecedor acerca dos terceiros que ele pretenda envolver, inclusive no que se refere às medidas adotadas por esses terceiros para assegurar que o tratamento ocorra em conformidade com as Leis de Proteção de Dados Pessoais.
O fornecedor deverá exigir dos terceiros que envolver no tratamento de dados pessoais (inclusive por meio de obrigações contratuais) que assegurem níveis de proteção dos dados pessoais que sejam no mínimo tão protetivos quanto os exigidos nesta Diretriz, nos contratos firmados com a VLI e nas Leis de Proteção de Dados Pessoais.
Transferências internacionais de dados pessoais
O fornecedor compromete-se a observar eventuais restrições impostas pelas Leis de Proteção de Dados Pessoais à transferência de dados pessoais para outros países. Sempre que os dados pessoais forem objeto de uma transferência internacional, o fornecedor deverá adotar as medidas que sejam necessárias para assegurar que os dados pessoais permaneçam adequadamente protegidos.
Sempre que atuar como operador, o fornecedor somente poderá transferir dados pessoais para fora do Brasil após obter autorização expressa da VLI. Antes de autorizar a transferência dos dados para outros países, a VLI poderá exigir do fornecedor a adoção de medidas específicas para assegurar o cumprimento das Leis de Proteção de Dados Pessoais.
Término do tratamento dos dados pessoais
Ao término de determinado relacionamento entre o fornecedor e a VLI que envolva tratamento de dados pessoais pelo fornecedor, ele deverá devolver à VLI e excluir de forma definitiva os dados pessoais tratados. As exclusões deverão ser formalizadas/evidenciadas junto à VLI. O fornecedor também atenderá a eventuais solicitações da VLI nesse sentido que sejam apresentadas antes do término do relacionamento entre as partes.
Caso o fornecedor seja obrigado por lei ou por determinação de autoridade competente a manter dados pessoais, o fornecedor poderá manter especificamente os dados abrangidos pela exigência aplicável, devendo, contudo, assegurar a manutenção de mecanismos necessários para assegurar a proteção dos dados que porventura sejam mantidos pelo fornecedor.
Disposições complementares
O fornecedor concorda que os contratos firmados com a VLI poderão incluir disposições contratuais compatíveis com esta Diretriz e que detalhem obrigações do fornecedor com relação ao tratamento de dados pessoais.
O descumprimento dos princípios e compromissos expressos nesta Diretriz poderá implicar a adoção de medidas disciplinares, incluindo o encerramento dos contratos estabelecidos e o descadastramento do fornecedor, de acordo com normas da VLI.
Esta Diretriz passa por revisões periódicas, com transparência e participação das partes interessadas.