Política de Privacidade e Proteção de Dados Pessoais

 

1. Objetivo

Essa política estabelece as diretrizes e normas para a condução das atividades envolvendo o tratamento e a garantia da privacidade e da proteção de Dados Pessoais, ou seja, dados de pessoas naturais (“Titulares”) com as quais o Zago Hotel se relaciona para executar suas atividades de negócio.

Todas as atividades relacionadas aos negócios do Zago Hotel que lidem com Dados Pessoais são orientadas por esta política, que tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

2. Compliance com Leis e Regulamentações

 

Esta Política foi elaborada de forma a atender aos requisitos da lei alterada pela lei(LGPD ou “Lei”), conhecida no Brasil como “Lei Geral de Proteção de Dados”, especialmente nos termos do seu Artigo 50, que trata das boas práticas e da governança da segurança dos Dados Pessoais, copiado abaixo:

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.

§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:

I – implementar programa de governança em privacidade que, no mínimo:

a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;

c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;

d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

g) conte com planos de resposta a incidentes e remediação; e

h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

II – demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei.

§ 3º As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.

3. Definições de Dados Pessoais e da Proteção de Dados Pessoais

Dados pessoais são informações relativas a uma pessoa viva, identificada ou identificável. Também constituem dados pessoais o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa.

Conforme a LGPD (Artigo 5º.) e outras referências similares, considera-se:

I – DADO PESSOAL: informação relacionada a pessoa natural identificada ou identificável.

II – DADO PESSOAL SENSÍVEL: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

III – DADO ANONIMIZADO: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

 

Os Dados Pessoais são necessários em diferentes atividades de negócios no Zago Hotel. Os Dados Pessoais podem ter várias formas de representação, armazenamento e transporte, sendo que o seu significado e valor dependem do contexto em que se encontram, podendo ser, por exemplo:

a)   Em papel: listas de presença, formulários de cadastro em papel, relatórios, memorandos, cartas, etc.

b)   Em mídia digital: arquivos digitais gravados em discos, SSDs, flash drives, fitas, CDs, etc.

c)   Em som: gravação de reuniões e outras atividades, secretária eletrônica, etc.

d)   Em imagem: fotos de pessoas e de seus documentos, vídeos contendo pessoas, etc.

A proteção dos Dados Pessoais deve garantir fundamentos e direitos básicos das pessoas, como o respeito à privacidade, à dignidade e à autodeterminação; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; a livre iniciativa e a livre concorrência; a defesa do consumidor e outros direitos humanos relacionados com a personalidade e o exercício da cidadania.

Para que os objetivos de proteção de Dados Pessoais sejam alcançados, os colaboradores e prestadores de serviços no Zago Hotel devem seguir as práticas determinadas nesta Política de Privacidade e Proteção de Dados Pessoais e nos procedimentos operacionais relacionados a este documento, que estabelecem diretrizes e normas para segurança para os dados pessoais.

4. Direitos dos Titulares:

Os Titulares dos dados coletados e processados pelo Zago Hotel possuem os seguintes direitos em relação aos seus Dados Pessoais tratados pelo Grupo.

a)  Confirmação da existência de tratamento de seus Dados Pessoais.

b)  Livre acesso de consulta aos seus Dados Pessoais.

c)  Correção de seus Dados Pessoais, quando os dados estiverem incompletos, inexatos ou desatualizados.

d) Eliminação de seus Dados Pessoais, quando os dados forem desnecessários, excessivos ou tratados em desconformidade com a Lei, inclusive quando houver consentimento por parte do titular, desde que os dados pessoais não sejam utilizados para cumprir com obrigações legais e regulatórias.

e) Portabilidade de seus Dados Pessoais para outro fornecedor de serviço ou produto, mediante requisição expressa do titular.

f)  Informação das entidades públicas e privadas com as quais o Grupo compartilhou seus Dados Pessoais.

g) Informação sobre a possibilidade de não fornecer consentimento para o tratamento de seus Dados Pessoais.

h) Revogação do consentimento para o tratamento de seus Dados Pessoais.

5. Coleta, Uso e Tratamento de Dados Pessoais

O Zago Hotel coleta, utiliza e faz o tratamento dos Dados Pessoais para atender aos interesses legítimos do hotel, comprometendo-se a cumprir com toda a legislação aplicável em relação à proteção dos Dados Pessoais, assegurando que sejam coletados, utilizados e tratados de acordo com as disposições da LGPD e outras leis e regulações aplicáveis, se houver.

Dados Pessoais não são coletados e tratados sem uma finalidade. A coleta pode ocorrer, quando necessário, para estabelecer a relação comercial entre o Zago Hotel e seus colaboradores, clientes e parceiros de negócios, para a execução de um contrato ou para o cumprimento de uma obrigação legal à qual o Zago Hotel está sujeito.

Ao coletar Dados Pessoais, o Zago Hotel informará previamente, com transparência, de forma clara e inequívoca, quais são as finalidades para o tratamento daqueles dados pessoais e por quanto tempo serão retidos e tratados, quando for possível estabelecer este tempo.

Em todos os casos em que os dados pessoais coletados não forem anonimizados e a coleta não for para fins de (i) cumprimento de obrigação legal ou regulatória, (ii) execução de contrato ou procedimentos preliminares relacionados a contrato do qual seja parte o titular, (iii) exercício regular de direitos em processo judicial, administrativo ou arbitral, e (iv) proteção do crédito, o Zago Hotel deverá requerer o consentimento expresso do titular dos dados, devendo ficar este consentimento registrado e arquivado em mídia digital ou impressa.

Sempre que houver mudanças na finalidade, o Zago Hotel deverá informar previamente o titular sobre as mudanças e pedir novo consentimento, podendo o titular revogar o consentimento, caso discorde das alterações.

Quando o tratamento de dados pessoais for condição para o Zago Hotel fornecer um produto ou serviço, ou para o exercício de seu direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos elencados na Lei.

5.1. Novos projetos e processos de mudanças em Dados Pessoais

Qualquer nova atividade de tratamento de Dados Pessoais deve ser devidamente comunicada pelos Proprietários ao Encarregado dos DP, inclusive envolvendo este último no planejamento de novos projetos que possam envolver a coleta e tratamento de Dados Pessoais, de forma que os riscos à proteção de Dados Pessoais sejam plenamente avaliados e tratados.

Nos processos normais de operação dos negócios, toda e qualquer mudança em Dados Pessoais deverá ser comunicada ao Encarregado dos DP, de forma manual ou automática (integração sistêmica), para que o mesmo possa atualizar os registros na(s) sua(s) ferramenta(s) de controle. Incluem-se neste processo de comunicação/integração tanto as mudanças na estrutura de dados como nos registros, por exemplo:

  • Novos Dados Pessoais coletados em sistemas/processos atuais.
  • Alteração, correção ou eliminação de registros de Dados Pessoais nos sistemas/processos atuais.
  • Mudanças na estrutura das bases de Dados Pessoais de sistemas/processos já existentes.

6. Descarte de Dados Pessoais

Encerrado o período de utilização ou quando terminar a finalidade para a qual determinados Dados Pessoais foram coletados e tratados, os Proprietários dos DP deverão excluir os Dados Pessoais relacionados, utilizando-se de métodos de descarte seguro, ou de forma anônima, para fins estatísticos. Sempre que possível, estes descartes deverão ser evidenciáveis.

Nos casos em que o Zago Hotel não puder excluir os Dados Pessoais para cumprir exigências legais ou por alguma outra necessidade legítima, os Dados Pessoais devem ser arquivados com segurança, isolados de qualquer tratamento posterior, até que a exclusão seja possível.

7. Processos de comunicação com titulares e com a ANPD

O Zago Hotel deve estabelecer um canal de comunicação para que a ANPD e os titulares possam entrar em contato com o Hotel sempre que desejarem exercer seus direitos.

O responsável pela operação deste canal de comunicação é o Encarregado dos Dados Pessoais.

Este canal de comunicação deverá ser publicado na Internet e/ou em outros meios que facilitem a divulgação aos titulares e à ANPD.

Adicionalmente, sempre que requerido, o Encarregado dos DP deverá também atender aos pedidos de informações, emissão de relatório de impacto para a ANPD e a ocorrência de incidentes, entre outras demandas legais que poderão ser futuramente regulamentadas pela ANPD.

8. Medidas de Proteção

8.1. Proteção de Dados Pessoais em Papel:

Para a correta proteção dos locais que contém Dados Pessoais em papel, os seguintes controles devem estar implementados:

a)   Estrutura física adequada contra impactos, alagamentos ou incêndios.

b)   Acesso físico restrito e monitorado.

c)   A entrada no local e a utilização de equipamentos fotográficos e outros que permitam cópia não autorizada dos documentos deve ser controlada.

Documentos em papel que contém Dados Pessoais e que estão sob a responsabilidade do Zago Hotel não podem ser retirados das instalações do hotel sem autorização expressa prévia do Proprietário dos DP daquele processo específico e do Encarregado.

8.2. Proteção em Dispositivos e Sistemas Pessoais:

O uso de dispositivos e sistemas pessoais (notebooks, tablets, smartphones, mídias portáteis de armazenamento de dados, sistemas de mensagens e de trabalho em grupo na nuvem, etc.) podem acarretar em riscos para a segurança dos Dados Pessoais.

Os colaboradores que necessitarem utilizar qualquer recurso não fornecido pelo hotel para o tratamento de Dados Pessoais devem pedir autorização prévia à área de TI e ao Encarregado dos DP que, por sua vez, caso entendam que o uso é de fato requerido, avaliarão o contexto e deverão implementar as medidas necessárias de proteção.

O processo de análise e autorização deverá considerar:

a)   A necessidade do uso do recurso.

b)   Os riscos à proteção de Dados Pessoais provenientes do uso deste recurso.

c)   A realização das atividades somente após a garantia da adoção das proteções necessárias.

8.3. Proteção de Dados Pessoais em meio eletrônico

8.3.1 Controles de Acesso

O acesso aos sistemas e redes do Zago Hotel que contém Dados Pessoais deve ser concedido por processos de identificação, autenticação e certificação de login e senha de acesso, devendo ser comprovada a necessidade do acesso para desempenho das atividades.

Cabe ao Proprietário de cada base dos Dados Pessoais determinar os controles apropriados para direito de acesso, concessão de privilégios e gerenciamento dos acessos concedidos aos Dados Pessoais sob a sua gestão.

8.3.2 Uso de softwares

A instalação de softwares não homologados pelo Zago Hotel ou a mudança da configuração de equipamentos (computadores, notebooks, impressoras, etc.) de tecnologia da informação deve ser proibida aos usuários que não possuam esta atribuição.

8.3.3 Acesso externo

O acesso externo a sistemas e equipamentos deve ser concedido somente a pessoal que de fato demande este recurso, naqueles casos de real necessidade para execução das atividades de negócios e que não acarretem riscos elevados para a proteção dos Dados Pessoais.

O acesso externo deverá considerar que:

a) A pessoa a serviço do Zago Hotel (colaborador, consultor, prestador de serviços, temporários e outros terceiros) deve obter autorização específica para o uso remoto de equipamentos com acesso a dados pessoais.

b)   Equipamentos com dados pessoais não podem ser deixados desprotegidos em áreas públicas, devendo sempre ser transportados pelos seus usuários.

c)  Convém que dispositivos e computadores portáteis sejam carregados como bagagem de mão e oportunamente descaracterizados para não chamar atenção indesejada, sempre que possível.

d)  Devem ser reforçados os cuidados sobre a segurança dos Dados Pessoais sempre que forem manipulados em áreas com menor segurança física (por exemplo, fora dos escritórios administrativos).

e)  Qualquer problema relativo à proteção de Dados Pessoais deve ser reportado imediatamente ao Encarregado (DPO) e ao respectivo Proprietário dos DP (Data Owner).

8.4. Proteção nas transferências de Dados Pessoais

Como os riscos de vazamento de informações são maiores nos processos que envolvem transferências entre diferentes equipamentos e/ou sistemas, visando a segurança e proteção de Dados Pessoais, as seguintes orientações devem ser seguidas por todos os colaboradores e prestadores de serviços:

a) O uso de conexões aos sistemas da Rede Interna e da Internet é permitido para todos os efeitos e propósitos de negócios, suporte, serviços e objetivos específicos do Zago Hotel. O uso destes recursos para outras finalidades é proibido.

b) Qualquer computador de propriedade do Zago Hotel ou de propriedade de prestadores de serviços a serviço do Zago Hotel, que estiver conectado à Rede Interna ou à Internet, deverá estar devidamente configurado com sistemas de proteção contra a infestação de vírus ou de software malicioso.

c) Todos os computadores, redes, sistemas e softwares deverão estar sujeitos ao monitoramento e, portanto, o Zago Hotel poderá, a seu critério, manter o histórico de acessos e transações realizadas através das conexões da Rede Corporativa (interna) ou da Internet (externa).

d) Prospecções, varreduras ou outra forma qualquer de tentativa de invasão através de mecanismos de testes não podem ser realizadas sem a devida e expressa autorização, configurando assim, ameaça e tentativa de apropriação indevida de Dados Pessoais.

e) Toda as conexões entre as Redes Internas do Zago Hotel e outras Redes Externas, inclusive a Internet, deverão obrigatoriamente, ser franqueadas por um sistema específico, configurado e homologado, de firewall.

f)  As estações de trabalho devem estar habilitadas com programas específicos, homologados e configuradas para acesso à Rede Interna e à Internet, podendo este ou aquele acesso ser inibido em atenção à solicitação formal do gestor do departamento interessado, do Proprietário ou do Encarregado dos DP, ou para a manutenção dos níveis de segurança de Dados Pessoais.

g) Os serviços de correio eletrônico, conexão remota e transferência de arquivos deverão ser preferencialmente, desabilitados para os usuários que tenham funções que não requeiram estes serviços.

h)  A conexão de usuários às redes (Internas e Externas) deve ocorrer, única e exclusivamente, através de processos de identificação, autenticação e certificação de chave e senha de acesso.

i) Dispositivos de controle e segurança (Servidor Proxy, Firewall e similares) deverão ser implementados para garantir a confidencialidade e a integridade de Dados Pessoais em tráfego por estas redes.

j)  Não realizar downloads de softwares não homologados, pois podem conter código malicioso e gerar ameaças à segurança dos Dados Pessoais.

k) Manter as opções de compartilhamento de arquivos, a conexão automática em redes Wi-Fi e Bluetooth desabilitadas.

l) Em quaisquer situações, independentemente do que foi anteriormente apontado, todo e qualquer arquivo proveniente de redes ou usuários externos deverão, obrigatoriamente, ser verificados por sistemas de proteção contra vírus e software malicioso.

Toda e qualquer transferência de Dados Pessoais para sistemas e pessoas externas do Zago Hotel, por meio de quaisquer recursos de comunicação, deve ocorrer de maneira segura considerando os seguintes controles:

a) Evitar o envio de Dados Pessoais através de mensagens de e-mail ou por outros serviços de mensagens. Idealmente, os Dados Pessoais devem ser acessados e transferidos usando somente os recursos próprios dos sistemas de gestão e aplicativos do hotel.

b) Se não for possível transferir Dados Pessoais por meio dos próprios sistemas que os armazenam, as transferências de Dados Pessoais por meio de mensagens (como anexos em e-mails, por exemplo) somente podem ocorrer se estes arquivos estiverem criptografados ou anonimizados.

c) Não utilizar redes públicas (por exemplo, wi-fi público) para troca ou envio de Dados Pessoais, exceto se estiver adotando recursos de segurança e criptografia nesta comunicação (por exemplo, SSL e VPN).

9. Uso de dados e perfis pessoais para tomada de decisão

O Zago Hotel não emprega técnicas para a tomada de decisão automatizada a partir de processamento eletrônico de Dados Pessoais, que tenham efeitos legais ou que afetem os titulares de maneira significativa.

10. Comunicações em caso de incidentes

Um incidente de segurança pode ser qualquer evento que viole a proteção dos Dados Pessoais e dos Dados Pessoais Sensíveis.

De acordo com a Lei, o Zago Hotel deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

O DPO deverá executar atividades de monitoramento, alerta, responsabilização, resposta, comunicação entre os envolvidos, documentação e registro dos incidentes, contemplando as seguintes atividades:

a)   O monitoramento e gerenciamento de incidentes de segurança relacionados aos Dados Pessoais, ou seja, que abranjam os bancos de dados dos sistemas, arquivos e locais da rede contendo Dados Pessoais.

b)   O tratamento e o registro das respostas aos incidentes e das respectivas correções aplicadas.

c)   A comunicação aos devidos responsáveis pela proteção dos Dados Pessoais, ao Encarregado e ao respectivo Proprietários dos DP, de toda e qualquer ocorrência relacionada à perda ou apropriação indevida de Dados Pessoais.

Caberá ao Encarregado dos Dados Pessoais (DPO) analisar a severidade dos incidentes, com apoio dos respectivos Data Owners e da Diretoria. Caso um incidente seja entendido como acarretando dano aos titulares e impacto na sua privacidade, o Encarregado dos Dados Pessoais deverá elaborar e realizar a devida comunicação à ANPD e aos titulares, seguindo o respectivo processo operacional implementado no Zago Hotel.

Conforme previsto na Lei, a comunicação deverá conter, no mínimo, os seguintes dados sobre o ocorrido:

a)   A descrição da natureza dos dados pessoais afetados.

b)   As informações sobre os titulares envolvidos.

c)   A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial.

d)   Os riscos relacionados ao incidente.

e)   Os motivos da demora, no caso de a comunicação não ter sido imediata.

f)    As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

11. Atualização da Política

 

O Zago Hotel poderá, a qualquer momento, promover revisões ou atualizações oportunas para esta política. Atualizações desta política entrarão em vigor assim que forem publicadas no site institucional do Zago Hotel.

12. Glossário

  • Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
  • ANPD: Autoridade Nacional de Proteção de Dados – órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.
  • Banco de Dados: conjunto estruturado de dados, podendo ter dados pessoais, em meio eletrônico ou físico.
  • Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
  • Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
  • Controlador: pessoa natural ou jurídica a quem compete determinar a finalidade e o meio de tratamento dos Dados Pessoais executadas pela próprio do Zago Hotel ou pelo Operador.
  • Dado Anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
  • Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável.
  • Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
  • Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
  • Encarregado dos Dados Pessoais: função do Zago Hotel indicada para atuar como canal de comunicação entre o hotel, os titulares dos dados e a ANPD.
  • Lei: o mesmo que LGPD.
  • LGPD: Lei Geral de Proteção de Dados pessoais, Lei 13.709/2018
  • Operador: prestador de serviço externo, terceirizado, que realiza a coleta, e/ou uso,e/ou o tratamento de Dados Pessoais dos quais o Zago Hotel é a controladora.
  • Portabilidade de Dados Pessoais: transferência do tratamento de DP para outro fornecedor de serviço ou produto, mediante requisição expressa do titular dos dados.
  • Proprietário dos Dados Pessoais: pessoa ou grupo de pessoas responsável pela coleta e tratamento dos dados pessoais.
  • Titular dos Dados: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
  • Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.