POLÍTICA DE PRIVACIDAD DE SNOG

Esta política tiene como objetivo establecer lineamientos y estándares de protección de datos, basados en el respeto a la privacidad, los derechos humanos, la libertad de expresión, la inviolabilidad de la privacidad y la imagen; que permitan a los empleados adoptar normas de comportamiento adecuadas a los objetivos y necesidades de la empresa, a las mejores prácticas del mercado y a la legislación vigente aplicable; destacando la Ley General de Protección de Datos – Ley N° 13.709/18, modificada por la Ley N° 13.853/19.

COBERTURAS

Aplicable a todos los empleados, colaboradores, clientes y socios de Snog en todas sus sedes y Unidades de Negocio, que procesen o tengan acceso a datos personales.

DEFINICIONES

Datos Personales: información relacionada con una persona física identificada o identificable; Datos Personales Sensibles: datos personales sobre origen racial o étnico, convicciones religiosas, opiniones políticas, afiliación a un sindicato u organización de naturaleza religiosa, filosófica o política, datos relacionados con datos de salud o de vida sexual, genéticos o biométricos, cuando estén vinculados a una persona física; Datos Anonimizados: datos relativos al titular que no pueden ser identificados, considerando el uso de medios técnicos razonables disponibles en el momento de su procesamiento; Consentimiento: libre, informado acuerdo inequívoco por el cual el titular acepta el tratamiento de sus datos personales para una finalidad específica; y podrá ser removido en cualquier momento por el titular; Titular: persona natural a quien se refieren los datos personales objeto de tratamiento; Procesamiento: cualquier operación realizada con datos personales, tales como las relativas a recolección, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación o control de la información, modificación, comunicación, transferencia, difusión o extracción; Responsable: persona designada por el Responsable y Operador para actuar como comunicador canal entre el Responsable, los Titulares de los Datos y la Autoridad Nacional de Protección de Datos (ANPD); Responsable: persona natural o jurídica, de derecho público o privado, responsable de las decisiones relativas al Tratamiento de Datos Personales; Operador: persona natural o jurídica , de derecho público o privado, que realiza el Tratamiento de Datos Personales por cuenta del Responsable.

PAUTAS

A Snog estabelece sua PP – Política de Privacidade, como parte integrante do seu SGSI – Sistema de Gestão de Segurança da Informação e das melhores práticas de Governança Corporativa, em conformidade com a legislação vigente, com adoção de medidas para proteger a privacidade dos Titulares dos Datos personales.

La Presidencia, sus ejecutivos y Gobierno Corporativo están comprometidos con la protección efectiva de la privacidad. Por ello, adoptan todas las medidas apropiadas para garantizar que esta Política se comunica, comprende y sigue adecuadamente en todos los niveles de la organización. Se llevarán a cabo revisiones periódicas para garantizar su continua relevancia e idoneidad para las necesidades de Snog.

Todos los Datos Personales se clasifican adecuadamente para definir su Tratamiento a lo largo de su ciclo de vida.

Cualquier forma de transmisión, divulgación, transferencia o cualquier otro Tratamiento de Datos Personales sin seguir los lineamientos establecidos por esta Política y reglas adicionales está expresamente prohibida bajo pena de acciones civiles y/o penales, además de la aplicación de las leyes laborales, que puedan dar lugar a la extinción del contrato de trabajo.

PRINCIPIOS DEL TRATAMIENTO DE DATOS PERSONALES

Todo Tratamiento de Datos Personales debe seguir los siguientes principios:

Finalidad: realizar el Tratamiento con fines legítimos, específicos, explícitos e informados al Titular, sin posibilidad de Tratamiento posterior de forma incompatible con dichos fines;

Adecuación: compatibilidad del Tratamiento con las finalidades informadas al Titular, según el contexto del Tratamiento;

Necesidad: limitación del Tratamiento al mínimo necesario para lograr sus fines, con el alcance de los Datos relevantes, proporcional y no excesivo en relación con los fines del Tratamiento;

Acceso Libre: garantizar a los Titulares la consulta fácil y gratuita sobre la forma y duración del Tratamiento, así como sobre la integridad de sus Datos Personales;

Calidad de los Datos: garantizar, a los Titulares, la exactitud, claridad, pertinencia y actualización de los Datos, de acuerdo a la necesidad y para cumplir con la finalidad de su Tratamiento;

Transparencia: garantizar, a los Titulares, información clara, precisa y de fácil acceso sobre la realización del Tratamiento y los respectivos agentes del Tratamiento, observando secretos comerciales e industriales;

Seguridad: uso de medidas técnicas y administrativas capaces de proteger los Datos Personales de accesos no autorizados y situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o difusión;

Prevención: adopción de medidas para evitar la ocurrencia de daños por el Tratamiento de Datos Personales

No Discriminación: imposibilidad de realizar el Tratamiento con fines ilícitos o abusivos discriminatorios; Es

Responsabilidad y Accountability: demostración, por parte del agente, de la adopción de medidas efectivas capaces de acreditar el cumplimiento de las normas de protección de Datos Personales e, incluyendo, la efectividad de estas medidas.

HIPÓTESIS SOBRE EL TRATAMIENTO DE DATOS PERSONALES

El Tratamiento de Datos Personales sólo podrá realizarse en los siguientes casos:

Proporcionando el Consentimiento del Titular; Para cumplir con una obligación legal o reglamentaria del Responsable; Para realizar estudios por parte de un organismo de investigación, garantizando, siempre que sea posible, la anonimización de los Datos Personales; Cuando sea necesario para la ejecución de un contrato o procedimientos preliminares relacionado con un contrato del cual el Titular es parte, a solicitud del Titular; Para el ejercicio regular de derechos en procesos judiciales, administrativos o arbitrales; Para la protección de la vida o seguridad física del Titular o de un tercero ; Cuando sea necesario para satisfacer intereses legítimos del Responsable o de un tercero, excepto en el caso de que prevalezcan los derechos y libertades fundamentales del Titular que requieren la protección de Datos Personales; sólo podrá realizarse en los siguientes casos: Cuando el Titular o su tutor legal Consiente, de forma específica y destacada, para fines específicos; y Sin otorgar el Consentimiento del Titular, en los casos en que sea imprescindible para: Cumplir obligaciones legales o reglamentarias por parte del Responsable; Realizar estudios por parte de un organismo de investigación, garantizando, siempre que sea posible, la anonimización de los Datos Personales Sensibles; Ejercicio regular de los derechos, incluso en contratos y en procedimientos judiciales, administrativos y arbitrales; Protección de la vida o seguridad física del Titular o de terceros; Garantía de prevención del fraude y de la seguridad del Titular, en los procesos de identificación y autenticación de registro en sistemas electrónicos , salvaguardando los derechos mencionados en el art. 9 de la LGPD y salvo en el caso de que prevalezcan los derechos y libertades fundamentales del Titular que requieren la protección de Datos Personales.

El tratamiento de datos personales de niños, niñas y adolescentes debe realizarse en su interés superior:

El procesamiento de datos personales de los niños debe realizarse con el consentimiento específico y destacado otorgado por al menos uno de los padres o tutor legal. Los controladores no deben condicionar la participación de los titulares en juegos, aplicaciones de Internet u otras actividades al suministro de información personal más allá de el estrictamente necesario para la actividad, debiendo el responsable del tratamiento hacer todos los esfuerzos razonables para verificar que el consentimiento ha sido otorgado por el responsable del niño, teniendo en cuenta las tecnologías disponibles.

Todo Tratamiento de Datos Personales debe establecer un plazo para su finalización, cuando los Datos deberán ser eliminados, salvo que exista alguna base legal para su conservación, como por ejemplo:

Cumplimiento de una obligación legal o reglamentaria por parte del Responsable; Estudio por parte de un organismo de investigación, asegurando la anonimización de los Datos Personales; Transferencia a terceros, según lo permite la LGPD, como en el caso de la portabilidad de datos a terceros, cuando lo solicite el Titular de los datos; o, Uso exclusivo por parte del Responsable, si los datos son Anonimizados.

Cabe señalar que los Datos Anonimizados no se consideran Datos Personales según la LGPD, excepto cuando el proceso utilizado para la anonimización pueda revertirse utilizando medios exclusivos, o cuando, con un esfuerzo razonable, pueda revertirse.

DERECHOS DEL TITULAR DE LOS DATOS PERSONALES

Todo Titular de Datos Personales tiene derecho a obtener de Snog – como Responsable, en relación con los Datos tratados por él, en cualquier momento y previa solicitud:

Confirmación de la existencia de Tratamiento; Acceso a Datos tratados; Corrección de Datos incompletos, inexactos o desactualizados; Anonimización, bloqueo o eliminación de Datos innecesarios, excesivos o tratados en incumplimiento de la LGPD; Portabilidad de Datos a otro proveedor de servicios o productos, previa solicitud expresa y respetando secretos comerciales e industriales; La eliminación de Datos Personales tratados con el Consentimiento del Titular; Información de entidades públicas y privadas con las que el Responsable compartió el uso de datos; Ser informado de manera clara y transparente en el momento de otorgar su Consentimiento, y la posibilidad de retirar dicho Consentimiento en cualquier momento y con la misma facilidad y utilizando los mismos medios utilizados para su otorgamiento; Ser informado si se produce algún tipo de incidencia/fuga de sus Datos.

PRIVACIDAD POR DISEÑO

Según la LGPD, los Responsables y Operadores deben adoptar medidas de seguridad técnicas y administrativas capaces de proteger los Datos Personales del acceso no autorizado, destrucción, pérdida, modificación, comunicación u otros tipos de Tratamiento no autorizado o ilegal. Por lo tanto, para garantizar la privacidad de los Titulares de Datos Personales que son tratados por la empresa, todo sistema de Tratamiento de Datos Personales debe seguir los siguientes lineamientos:

Todo sistema debe desarrollarse teniendo en cuenta el concepto de Privacidad por Diseño. Es decir, las medidas de seguridad de la información deben observarse desde la fase de diseño de los sistemas hasta su implementación. Por lo tanto, se debe analizar el impacto en la privacidad incluso antes de que comience su desarrollo, realizando los ajustes necesarios para asegurar que se preserve la Privacidad de los Titulares; en el proceso de diseño se debe completar el cuestionario “Análisis de Impacto en la Privacidad”, y se puede desarrollar sólo comenzarán después de la aprobación del área Legal y de InfoSec; a menos que sea técnicamente inviable, los procesos de desarrollo, prueba y aprobación deben utilizar Datos Anonimizados.

RESPONSABILIDADES

Todos los empleados de las empresas de Snog son responsables de velar por el cumplimiento de las normas establecidas en la legislación vigente, especialmente la LGPD. Sin embargo, algunas áreas específicas tendrán un papel mayor en la garantía de la privacidad de los Titulares, de acuerdo con las responsabilidades que se establecen a continuación:

RESPONSABILIDADES DEL RESPONSABLE:

Definir estándares de privacidad que atiendan las exigencias legales y empresariales, alineados con los lineamientos de Gobierno Corporativo y LGPD, así como orientar a todas las áreas de Snog sobre dichos estándares y exigir su cumplimiento; Redactar y actualizar la Política, así como asegurar su revisión, de acuerdo con la frecuencia definida por Gobierno Corporativo; Recibir y evaluar los cuestionarios de “Análisis de Impacto en la Privacidad”, recomendando ajustes cuando sea necesario; Apoyar a las áreas de la empresa en el mantenimiento del cumplimiento de esta Política; Definir y mantener el proceso de respuesta a las exigencias legales de los Titulares en materia de sus Datos Personales; Recibir y dirigir al área de Tecnologías de la Información y al Departamento Jurídico las demandas legales de los Titulares de Datos Personales; Atender las demandas de la ANPD y otros organismos gubernamentales; Coordinar acciones de respuesta a incidentes relacionados con la privacidad.

RESPONSABILIDAD CGSI – COMITÉ DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

Evaluar problemas de seguridad de la información con un enfoque en la protección de los Datos Personales procesados por Snog.

RESPONSABILIDADES DE GOBIERNO CORPORATIVO:

Determinar as responsabilidades gerais na gestão da privacidade, bem como estabelecer diretrizes e oferecer suporte às iniciativas de privacidade;Revisar e garantir a aprovação das políticas relacionadas à privacidade;Identificar e mapear toda a legislação e regulamentação relevante sob as quais as empresas da Snog precisam estar en conformidad.

RESPONSABILIDADES DE TI – TECNOLOGÍA DE LA INFORMACIÓN

Garantizar que los registros se generen, almacenen y procesen de acuerdo con las demandas comerciales, los requisitos legales y las solicitudes de los clientes; Estos registros deben estar protegidos contra acceso/cambios inadecuados; Las actividades electrónicas realizadas por usuarios con credenciales de “administrador” o similares deben registrarse en registros y revisarse periódicamente Implementar y gestionar un proceso de control de acceso a Datos Personales basado en los conceptos de “privilegio mínimo” y “necesidad de acceso”, que definen el otorgamiento de acceso. a la menor cantidad de Datos personales y con el menor privilegio posible para llevar a cabo sus funciones y satisfacer las demandas comerciales; Garantizar que todos los Datos personales se eliminen de forma segura del equipo que se desecha; eDesarrollar y mantener un proceso continuo de identificación de Datos Personales; Atender las exigencias del Responsable del Tratamiento en cumplimiento de las exigencias legales de los Titulares en relación con sus Datos Personales.

RESPONSABILIDAD LEGAL

Insertar cláusulas contractuales que cubran la responsabilidad de los proveedores en el cumplimiento de esta Política, además de las normas y procedimientos internos vigentes; Desarrollar y aplicar, cuando sea necesario, un “acuerdo de confidencialidad” entre la empresa y los terceros involucrados (clientes y proveedores), que cubre el tema de privacidad; Atender las exigencias del Responsable del Tratamiento en cumplimiento de las exigencias legales de los Titulares en relación con sus Datos Personales.

RESPONSABILIDAD DE RECURSOS HUMANOS

Asegurar que todos los empleados conozcan formalmente esta Política, asegurando el reciclaje de este conocimiento; Asegurar que el Tratamiento de Datos Personales realizado por el área de Recursos Humanos sea conforme a esta Política y a la LGPD.

RESPONSABILIDAD DE LA GESTIÓN DE PROVEEDORES

Mantener una lista actualizada de proveedores de servicios; Asegurar que los proveedores cumplan con las demandas de privacidad de la empresa, utilizando el cuestionario de autoevaluación (Vendor Risk Assessment)

RESPONSABILIDAD DEL LIDERAZGO

Gestionar el cumplimiento de esta Política, por parte de sus empleados y proveedores de servicios; Asegurar una gestión adecuada de los cambios que puedan impactar la privacidad; Comunicar inmediatamente al responsable, en caso de algún incidente que involucre Datos Personales identificados en sus respectivas áreas; Presentar cualquier nuevo proyecto que involucra Datos Personales al Responsable e InfoSec, aún en su fase de diseño, buscando así garantizar el concepto de Privacidad por Diseño; Asegurar que ningún proyecto sea desarrollado y/o implementado sin la aprobación del Responsable e InfoSec.

RESPONSABILIDAD DE TODOS LOS EMPLEADOS

Observar y hacer cumplir todas las pautas generales de privacidad de Snog; Participar en capacitaciones sobre privacidad a las que esté invitado; Conocer y firmar esta Política; Informar inmediatamente al responsable, en caso de un incidente que involucre Datos Personales;

Los empleados que no cumplan con las normas establecidas en el PP, PSI – Política de Seguridad de la Información, el Código de Conducta y otras políticas de Snog están sujetos a sanciones disciplinarias que pueden resultar en su despido.