POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS

1. OBJETIVO

A Política de Proteção de Dados tem por objetivo estabelecer as diretrizes aplicáveis à proteção de dados pessoais, os quais a CAVAN PRÉ MOLDADO S.A. (“Companhia”), suas subsidiárias e afiliadas, tem acesso em função do desempenho de suas atividades, estabelecendo as regras sobre a coleta, registro, armazenamento, uso, compartilhamento e eliminação de dados pessoais, em conformidade com a Lei 13.709/18, em vigor desde 18/09/2020.

2. PÚBLICO-ALVO

Esta Política é destinada a todos os funcionários, estagiários, administradores (todos em conjunto denominados “Colaboradores”), e terceiros da Companhia (prestadores de serviço, colaboradores contratados, fornecedores).

3. CONCEITOS

3.1 Autoridade Nacional de Proteção de Dados – ANPD – Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados em todo território nacional brasileiro.

3.2 Aviso de Privacidade – documento voltado a transparecer aos Titulares informações relativas ao Tratamento de seus Dados Pessoais.

3.3 Consentimento – manifestação livre, informada e inequívoca pela qual o titular dos dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

3.4 Controlador de Dados – Entidade legal que determina os propósitos e meios do tratamento de dados pessoais.

3.5 Dado Pessoal – informações relacionadas a pessoa natural identificada ou identificável, tais como nome, RG, CPF, e-mail e telefone.

3.6 Dado Pessoal Sensível – dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

3.7 Destinatário – Pessoa física ou jurídica, autoridade pública, agência ou qualquer outro órgão a quem os Dados Pessoais são divulgados, independentemente de ser um terceiro ou não.

3.8 Encarregado/DPO – pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação entre o Controlador, os Titulares dos Dados e a Autoridade Nacional de Proteção de Dados (ANPD).

3.9 Funcionário – refere–se a todo e qualquer conselheiro, administrador, diretor e demais colaboradores da Empresa.

3.10 Incidente de Segurança – qualquer violação da segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizado, a Dados Pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de Tratamento.

3.11 Record of Processing Activity (ROPA) – Registro de Atividades de Processamento, elaborado no mapeamento de atividades envolvidas no tratamento de dados pessoais.

3.12 Relatório de Impacto à Proteção de Dados Pessoais (RIPD) – documentação do Controlador que contém a descrição dos processos de Tratamento de Dados Pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

3.13 Terceiro – refere–se a todo e qualquer prestador de serviços, fornecedor, consultor, parceiro de negócio, terceiro contratado ou subcontratado, locatário, seja pessoa física ou jurídica, independentemente de contrato formal ou não, que utiliza o nome da Empresa para qualquer fim ou que presta serviços, fornece materiais, interage com o Governo ou com outros em nome da Empresa.

3.14 Titular dos Dados (“Titular”) – pessoa natural a quem se referem os dados pessoais que são objetos de tratamento.

3.15 Tratamento ou processamento de dados – toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

3.16 Operador de Dados – entidade legal que processa dados pessoais em nome do Controlador.

3.17 Governo – qualquer entidade integrante da administração pública direta ou indireta, incluindo a União, os Estados, os Municípios e o Distrito Federal, bem como seus órgãos, ministérios, secretarias, departamentos, subsecretarias, autarquias, empresas, instituições, agências e órgãos de propriedade ou controlados pelo governo e outras entidades públicas.

3.18 Privacy by Design – Considerar as implicações de privacidade de um determinado tratamento de dados desde o início de sua concepção;

3.19 Usuários da Informação – colaborador com vínculo empregatício de qualquer área da COMPANHIA ou terceiros contratados para prestação de serviços à Cia, independentemente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizadas a tratar dados pessoais em nome da COMPANHIA para o desempenho de suas atividades profissionais.

4. DIRETRIZES

4.1 Esta Política visa demonstrar o compromisso da COMPANHIA em:

  • Zelar pela privacidade e proteção dos dados pessoais coletados dos colaboradores, administradores, dos prestadores de serviço e terceiros da COMPANHIA, em função do desempenho de suas atividades;
  • Adotar diretrizes que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à privacidade e proteção de dados pessoais;
  • Promover a transparência sobre a forma pela qual a COMPANHIA trata dados pessoais; e
  • Adotar medidas de proteção em relação a risco de incidente de segurança que envolva dados pessoais.
  • Em caso de descumprimento deste normativo, medidas disciplinares previstas em normativos internos serão passiveis de aplicação.

4.2 Informações sujeitas à Política Informações pessoais fornecidas ou coletadas no contexto das atividades da COMPANHIA, dados pessoais de colaboradores, prestadores de serviço e parceiros coletadas no contexto de obrigação contratual ou legal.

5. PRINCÍPIOS DE PROCESSAMENTO DE DADOS PESSOAIS

É responsabilidade de todo e qualquer Colaborador e/ou Terceiro, ao realizar o Tratamento de Dados Pessoais, independentemente do propósito, observar estritamente os seguintes princípios básicos:

a. Boa-Fé – Os Dados Pessoais devem ser objeto de Tratamento de maneira justa, transparente e legal. O Colaborador e/ou Terceiro não deve tratar os Dados Pessoais de um Titular, a menos que tenha um motivo legítimo para fazê-lo.

b. Finalidade e Adequação – O Tratamento de Dados Pessoais deve ser conduzido para propósitos legítimos, específicos, explícitos e informados ao Titular. Os Dados Pessoais não devem ser objeto de Tratamento de maneira incompatível com as finalidades informadas ao Titular.

c. Livre acesso – Os Titulares terão direito à consulta facilitada e gratuita sobre a forma e duração do Tratamento, bem como sobre a integridade de seus Dados Pessoais.

d. Não discriminação – Os Dados Pessoais não poderão ser utilizados para quaisquer finalidades discriminatórias, ilícitas ou abusivas.

e. Necessidade – O Tratamento de Dados Pessoais deve ser adequado, relevante e limitado aos dados necessários para suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às suas finalidades no seu Tratamento.

f. Qualidade dos dados – Aos Titulares devem ser garantidas a exatidão, clareza, relevância e atualização dos seus Dados Pessoais em Tratamento pela Cia, seus Colaboradores e/ou Terceiros, de acordo com a sua necessidade e para o cumprimento da finalidade de seu Tratamento. Quaisquer Dados Pessoais incorretos identificados durante o processo de Tratamento devem ser retificados o mais rápido possível.

g. Responsabilização e prestação de contas – A COMPANHIA, seus Colaboradores e quaisquer Terceiros são responsáveis por demonstrar sua conformidade com esta Política. A COMPANHIA assegura a adoção de medidas eficazes para fins de observância e cumprimento da LGPD.

h. Retenção de dados – Os Dados Pessoais não devem ser mantidos por mais tempo do que o necessário, à luz do propósito (ou propósitos) legal para o qual são processados e de acordo com os períodos e princípios internos de retenção aplicáveis.

i. Segurança e prevenção – Os Dados Pessoais devem ser protegidos contra o Tratamento não autorizado ou ilegal e de situações acidentais a fim de prevenir a ocorrência de incidentes de segurança envolvendo Dados Pessoais.

j. Transferências internacionais de dados – Quaisquer eventuais transferências internacionais de Dados Pessoais deverão observar os limites e procedimentos estabelecidos na LGPD, nesta Política e demais normativos internos aplicáveis.

k. Transparência – Os Titulares terão assegurado o direito de obter informações claras, precisas e acessíveis sobre o Tratamento de seus Dados Pessoais e os respectivos agentes de Tratamento, observados os segredos comercial e industrial.

5.1 Os Colaboradores estão incumbidos de demonstrar conformidade com esses princípios, por isso, é importante manter registros completos e exatos de toda atividade que realize o Tratamento de Dados Pessoais.

6. FUNDAMENTO JURÍDICO PARA TRATAMENTO DE DADOS PESSOAIS

6.1 Para fins de Tratamento de Dados Pessoais, os Colaboradores devem observar ao menos uma dentre as bases legais abaixo especificadas, sem prejuízo de outras aplicáveis:

a. Cumprimento de obrigação legal ou regulatória – Existência de lei, norma, decisão judicial ou regulação vigente, pela qual o Tratamento se torna necessário. Exemplos: – Envio de dados ao E-Social. – Envio de informações ao Sindicato; – Controle de ponto de colaboradores; – Exames laborais; – Eleição e Reunião da CIPA.

b. Execução de contrato ou procedimentos preliminares ao contrato – Quando necessário o Tratamento para a execução de contrato ou de procedimentos preliminares relacionados a um contrato, do qual o Titular seja parte. Exemplos: – Recrutamento, seleção e admissão de colaboradores; – Fornecimento de benefícios aos colaboradores. – Acompanhamento mensal da quitação trabalhista dos fornecedores; – Emissão de Contratos.

c. Exercício regular de direito – Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, em trâmite ou futuro. Exemplos: – Controle dos processos judiciais; – Demandas Judiciais.

d. Legítimo interesse do Controlador – Para garantir a continuidade das atividades econômicas e operações da Empresa, desde que o Titular tenha expectativa quanto à atividade de Tratamento dos seus Dados Pessoais. Exemplos:

– Controle de Acesso – Portaria; – Comunicação/Divulgação Interna; – Entrega de Brindes.

e. Consentimento – O Consentimento pode ser utilizado para fundamentar qualquer atividade de Tratamento, desde que seja livre, informado e inequívoco, sendo certo que o Titular pode, a qualquer tempo, revogar o Consentimento concedido. Exemplos: – Consentimento para tratamento da dados de crianças menores de 12 anos de

idade, para cadastro no Plano de Saúde e outros benefícios.

6.2 Se não conseguir satisfazer ao menos um dos fundamentos jurídicos específicos acima listados, entre em contato com o Encarregado/DPO e/ou Jurídico para obter orientação.

7. PROCESSAMENTOS DE DADOS PESSOAIS SENSÍVEIS

A COMPANHIA apenas processará e/ou reterá Dados Pessoais Sensíveis, quando tiver fundamentos legais para fazê-lo. Os fundamentos jurídicos lícitos incluem:

a. Consentimento explícito do Titular de Dados;

b. Atendimento a uma obrigação legal ou regulatória,

c. Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitragem.

8. DADOS DE MENORES DE IDADE

As atividades de tratamento que eventualmente envolver dados pessoais de menores de idade

serão justificadas pela base legal por meio de consentimento específico por um dos pais ou

responsável legal.

9. ATIVIDADES DE TRATAMENTO DE DADOS PESSOAIS DE ALTO RISCO

Em caso de Tratamento de Dados Pessoais que representem um “alto risco” para o Titular, a

COMPANHIA adotará relatório de avaliação do impacto potencial à proteção de Dados

Pessoais (DPIA), que deverá ser aprovado pelo Encarregado/DPO e submetido à avaliação

do Comitê de Privacidade.

a. São exemplos de Tratamento de “alto risco”, o (i) monitoramento ou criação de perfil dos Titulares; e (ii) Tratamento de Dados Pessoais Sensíveis em larga escala.

10. REGISTRO DAS ATIVIDADES DE TRATAMENTO DE DADOS PESSOAIS

10.1 Sem prejuízo de outras obrigações previstas na presente Política:

a. A documentação de registro das atividades de Tratamento de Dados Pessoais deve ser clara e detalhada para que possa embasar as respostas às solicitações dos Titulares, no eventual exercício de seus direitos.

b. As operações de Tratamento de Dados Pessoais devem ser registradas pela área responsável em documento específico e enviadas para o Encarregado/DPO, contendo, no mínimo:  A área responsável pelo Tratamento;  A finalidade específica do Tratamento;  Quais Dados Pessoais são objeto de Tratamento;  De quem são os Dados Pessoais objeto de Tratamento (prestador de

serviço, fornecedor, colaborador, entre outros);  Se há o Tratamento de Dados Pessoais de menor de idade;  Se há o compartilhamento desses Dados Pessoais com Terceiros (inclusive

mediante Transferência);  Os prazos previstos para a exclusão dos Dados Pessoais (sempre que possível)

c. Sempre que julgar necessário, o Encarregado/DPO poderá solicitar informações

adicionais à área responsável pelo Tratamento dos Dados Pessoais, especialmente, mas não se limitando, para a realização de monitoramento e fiscalização.

10.2 São de responsabilidade das áreas gestoras/departamentos os registros precisos e atualizados das atividades de Tratamento realizadas pela COMPANHIA, seus Colaboradores ou quaisquer Terceiros sob sua gestão.

10.3 O Encarregado/DPO deverá ser informado, de forma tempestiva e formal, em caso de eventual alteração da finalidade do Tratamento previamente informada ao Titular.

10.4 É obrigação do Encarregado/DPO manter o Registro das Atividades de Tratamento de Dados Pessoais atualizado.

11. RELACIONAMENTO COM TERCEIROS

A COMPANHIA exige a todos os terceiros que mantenham a confidencialidade das informações a eles compartilhadas ou que tenham acesso em virtude do exercício da sua atividade, bem como que utilizem tais informações exclusivamente para os fins expressamente permitidos. No entanto, a COMPANHIA não se responsabilizará pelo uso indevido de tais informações, seja pelos terceiros ou por seus colaboradores, em virtude do descumprimento desta Política e das obrigações contratuais assumidas pelos referidos terceiros com a COMPANHIA por meio de instrumentos próprios.

12. TRANSFERÊNCIA INTERNACIONAL DE DADOS

O tratamento de dados pessoais pode resultar em transferência de dados pessoais para parceiros e fornecedores da COMPANHIA localizados no exterior. Para todos os contratos que contenham transferência internacional de dados, haverá a adoção de cláusulas contratuais específicas sobre Privacidade e Proteção de Dados de forma a garantir a segurança dos dados pessoais compartilhados.

13. RETENÇÃO E ELIMINAÇÃO DE DADOS PESSOAIS

13.1 Sujeito aos termos dos normativos internos da COMPANHIA, os Dados Pessoais não devem ser retidos por mais tempo do que o necessário para o seu respectivo Tratamento. Para isso, cada categoria de Dados Pessoais tratada pela COMPANHIA deve estar sujeita a um período de retenção que possa ser justificado por referência a esses motivos legais. Os períodos de retenção devem ser monitorados e, ao expirarem, os Dados Pessoais devem ser excluídos.

13.2 Os Dados Pessoais devem ser descartados de forma segura, de modo a proteger os direitos e a privacidade dos Titulares e garantir a eliminação permanente dos Dados Pessoais (por exemplo, destruição, descarte como resíduo confidencial ou exclusão eletrônica segura). O descarte de disco rígido deve ser feito mediante contato com o Departamento de TI ou o Encarregado/DPO, a fim de que seja feito de maneira segura.

14. SEGURANÇA DOS DADOS PESSOAIS

Visando a segurança dos dados pessoais em seu poder, a COMPANHIA dispõe de processos de segurança físicos, lógicos, técnicos e administrativos compatíveis com a sensibilidade das informações coletadas, cuja eficiência é periodicamente avaliada.

Todos os colaboradores da COMPANHIA são responsáveis por garantir que os Dados Pessoais que a COMPANHIA detém e é responsável, sejam mantidos de forma segura e não estejam sob quaisquer condições divulgadas a terceiros, a menos que esse terceiro tenha sido especificamente autorizado para receber essas informações mediante celebração de contrato ou de Acordo de Processamento de Dados.

Os Dados Pessoais devem ser acessíveis apenas para aqueles que precisam usá-los, e o acesso só pode ser concedido em conformidade com o procedimento relacionado com controle de acesso da COMPANHIA. Documentos físicos contendo dados pessoais não podem ser deixados em locais que podem ser acessados por pessoas não autorizadas e não podem ser removidos das dependências da COMPANHIA sem a autorização prévia do gestor imediato.

Os Dados Pessoais só podem ser excluídos ou descartados em consonância com a política aplicável sobre retenção de dados. Os documentos físicos que tenham atingido sua data de retenção devem ser picotados e descartados como ‘lixo confidencial’. As unidades de disco rígido dos PCs em desuso devem ser removidas e destruídas imediatamente observando os procedimentos eliminação segura de mídia de armazenamento. Não obstante às medidas de segurança adotadas, a COMPANHIA não se responsabiliza por prejuízos decorrentes da violação da confidencialidade das informações em virtude da ocorrência de qualquer fato ou situação que não lhe seja imputável.

No tratamento das informações coletadas a COMPANHIA utiliza de sistemas estruturados de forma a atender aos requisitos de segurança e transparência, aos padrões de boas práticas e de governança e aos princípios gerais estabelecidos na Lei nº 13.709/2018 Lei Geral de Proteção de Dados Pessoais (“LGPD”).

Todas as tecnologias utilizadas respeitarão sempre a legislação vigente e os termos desta Política.

15. DIREITOS DE TITULARES DE DADOS

Os Titulares dos Dados têm os seguintes direitos relativos aos seus Dados Pessoais que são processados pela COMPANHIA:

a. Acesso aos dados pessoais;

b. Confirmação da existência de tratamento;

c. Correção de dados incompletos, inexatos ou desatualizados;

d. Bloqueio ou eliminação de dados comprovadamente: desnecessários, excessivos ou em desconformidade com a LGPD;

e. Eliminação dos dados pessoais tratados com consentimento do titular;

f. Informação sobre as entidades com as quais o controlador realizou o uso compartilhado de dados;

g. Informação sobre a possibilidade de não fornecer consentimento;

h. Revogação do consentimento;

i. Direito de oposição ao tratamento, se comprovadamente irregular.

Os Titulares dos Dados podem apresentar pedidos de acesso de dados, a qualquer tempo, acessando www.cavan.com.br.

Uma vez recebida sua solicitação, a COMPANHIA envidará os melhores esforços para atender ao requerimento no prazo de até 15 (quinze) dias. Contudo, os casos de pedido de exclusão de dados, o prazo mínimo de armazenamento de cada informação será respeitado, em atenção à Política de Retenção de Dados e às leis brasileiras aplicáveis.

16. GERENCIAMENTO DE VIOLAÇÕES E INCIDENTES Violações ou incidentes que ponham em risco a segurança e/ou confidencialidade dos dados pessoais, incluindo violações ou incidentes que possam resultar em destruição, perda acidental ou ilegal, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos ou armazenados serão avaliados conforme Manual de Resposta a Incidentes de Segurança. Todos os reportes à ANPD (Autoridade Nacional de Proteção de Dados) ou ao titular de dados sobre violações e incidentes devem ser feitos pelo DPO.

17. PAPÉIS E RESPONSABILIDADES

A Superintendência Administrativa da COMPANHIA se incumbe de implementar a Política de Proteção de Dados, além das demais relacionadas a privacidade e a proteção de dados pessoais.

17.1 Encarregado de Dados – DPO O Encarregado de Dados – DPO está incumbido de:

a. Realizar interface de comunicação com à ANPD (Autoridade Nacional de Proteção de Dados) e titulares de dados, quando necessário;

b. Manter o relacionamento com auditores independentes e outros comitês diretivos da COMPANHIA;

c. Reportar atividades, resultados, indicadores e decisões acerca do Programa de Privacidade ao Comitê de Privacidade e Proteção de Dados da COMPANHIA;

d. Supervisionar o processo de divulgação de informações sobre privacidade e proteção de dados pessoais, bem como a entrega de relatórios à ANPD (Autoridade Nacional de Proteção de Dados);

e. Sugerir adequação em tecnologia, processos e treinamentos aos colaboradores da COMPANHIA;

f. Avaliar as atividades de tratamento quanto à necessidade de elaboração do DPIA/RIPD – Relatório de Impacto de Proteção de Dados;

g. Desenvolver e atualizar periodicamente, normativos relativos à privacidade, tais como: Política de Proteção de Dados, Avisos de Privacidade, entre outros;

h. Monitorar o cumprimento dos princípios de Privacy by Design no desenvolvimento de projetos, produtos e serviços desenvolvidos em relação a proteção de dados pessoais.

i. Monitorar os riscos relacionados à privacidade de dados pessoais, com suporte do TI e respaldo do Comitê de Privacidade e Proteção da Dados, definindo o apetite de risco da Companhia e prioridade de tratamento dos riscos identificados;

j. Estabelecer, revisar periodicamente e gerir, processos relativos à avaliação de terceiros (Due Diligence).

17.2 Pontos Focais ou Multiplicadores Rede de apoio ao DPO na disseminação da cultura de proteção de dados na COMPANHIA está incumbida de:

a. Dar suporte ao DPO no acompanhamento das mudanças nos negócios e na Companhia de modo a identificar novos riscos relacionados ao tratamento de dados pessoais;

b. Auxiliar o DPO na execução de atividades, como: identificação e atualização das atividades de tratamento de dados, elaboração do DPIA/RIPD – Relatório de Impacto de Proteção de Dados, tratamento da solicitação de direito dos titulares de dados, entre outras.

17.3 Comitê de Privacidade e Proteção de Dados a. Apoiar o representante legal em assuntos relacionados a privacidade e proteção de

Dados Pessoais, visando o atendimento à legislação vigente sobre privacidade e proteção de dados pessoais, às políticas e procedimentos internos e ao melhor interesse da COMPANHIA;

b. Avaliar, periodicamente, os resultados do Programa de Privacidade e Proteção de Dados da COMPANHIA;

c. Avaliar os projetos que envolvam o tratamento de dados pessoais cujos riscos foram mensurados como elevados, recomendar medidas mitigadoras de riscos e decidir pela continuidade ou não destes projetos;

d. Garantir a responsabilização dos colaboradores e terceiros que não observarem as políticas e procedimentos internos da COMPANHIA, relativos à privacidade e proteção de dados pessoais;

e. Supervisionar a realização do treinamento dos colaboradores da COMPANHIA em relação às políticas e procedimentos internos que tratem sobre o tema de privacidade e proteção de dados pessoais;

f. Sugerir a adoção de melhores práticas e a contratação de mecanismos e sistemas automatizados capazes de mitigar riscos relacionados ao tratamento de dados pessoais e prevenir eventuais incidentes, assim como otimizar a eficiência do programa de privacidade;

g. Propor a criação e/ou alteração de políticas internas que se mostrem necessárias, sempre que relacionadas ao tema de privacidade e proteção de dados pessoais;

h. Discutir e propor a tomada de decisão ao representante legal sobre o nível de risco relacionado à proteção de dados pessoais que a COMPANHIA pode aceitar nas atividades que envolvam o tratamento de dados;

i. Elaborar, quando provocado, os relatórios de impacto à proteção de dados pessoais e sugerir alterações que sejam necessárias para a adequação do risco considerado aceitável;

j. Recepcionar, diagnosticar e determinar medidas de urgência, mitigação e interrupção de incidentes envolvendo dados pessoais detidos pela COMPANHIA;

k. Discutir e opinar, quando provocado ou quando entender pertinente, sobre a contratação de terceiros que terão acesso a dados pessoais detidos pela COMPANHIA, com base em relatórios de due diligence;

l. Discutir e endereçar situações relacionadas ao atendimento de direitos de titulares de dados pessoais; e

m. Aprovar a nomeação de membros não permanentes pelo Presidente do Comitê.

17.4 Tecnologia da Informação (TI)

A Área de TI, responsável pela gestão da Segurança da Informação em apoio à atuação do DPO, encarrega-se de:

a. Ser a guardiã dos ativos da organização, devendo atuar na infraestrutura e aplicação, tanto na implantação quanto na manutenção do Programa de Proteção de Dados. Atuação conectada ao DPO, Jurídico e demais áreas da Cia, deve criar um plano para atuar nas demandas pertinentes aos sistemas;

b. Tomar decisões para adequação de tecnologia aos processos relacionados a tratamento de dados pessoais da Cia;

c. Apoiar o DPO na implementação de mecanismos para garantir os direitos dos titulares de dados;

d. Monitorar e implementar medidas de Segurança da Informação proporcionais ao risco gerado pelo tratamento de dados pessoais e em linha com à expectativa de proteção dos titulares de dados pessoais, garantindo à integridade, disponibilidade e confidencialidade destas informações;

e. Realizar avaliação de proteção de dados pessoais nos sistemas da Cia em caso de alterações nas práticas de gerenciamento e proteção de dados pessoais;

f. Analisar violações e vazamentos de dados pessoais bem como efetuar a coleta de evidências técnicas para demonstração dos incidentes;

g. Avaliar a proteção de dados nos sistemas da Cia no caso de alterações nas práticas de gerenciamento e proteção de dados da COMPANHIA;

h. Facilitar a execução dos seguintes processos:
1. Privacy by Default: Avaliar as práticas de coleta e retenção de dados inibindo o

processamento de dados excessivo;
2. Privacy by Design: Considerar controles de privacidade e proteção de dados na

implementação de novas tecnologias;
3. Data Security: Avaliar práticas de proteção de dados com base em

classificações de dados estabelecidas.

i. Realizar reportes e interações constantes ao DPO sobre questões relacionadas à Segurança da Informação.

j. Uso adequado de dados pessoais em suas atividades.

17.5 JURÍDICO

O Jurídico em sua atuação:
a. Auxilia o DPO no entendimento das legislações de privacidade aplicáveis aos

negócios da COMPANHIA;
b. Garante que os contratos da Cia celebrados com fornecedores, prestadores de

serviço, parceiros ou qualquer parte que realize tratamento de dados pessoais estejam adequados e resguardem a COMPANHIA em relação ao cumprimento das obrigações presentes na legislação e regulamentação aplicáveis;

c. Elabora e revisa cláusulas contratuais relativas ao tratamento de dados pessoais de acordo com a LGP;

d. Presta apoio jurídico na ocorrência de vazamentos de dados pessoais;
e. Apoia o DPO na interface com à ANPD (Autoridade Nacional de Proteção de Dados) e titulares;

f. Gerencia a atribuição de bases legais das atividades de tratamento e solicitar ajustes

sempre que necessário;
g. Garante e monitora o cumprimento das obrigações contratuais relativas à privacidade

pelas áreas da COMPANHIA.

17.6 RECURSOS HUMANOS

A Área de Recursos Humanos em sua atuação:
a. Monitora para que todos os colaboradores recebam tempestivamente a Política de

Proteção de Dados Pessoais;
b. Garante que todos os colaboradores recebam treinamento adequado sobre o tema;
c. Garante o uso adequado de dados pessoais em suas atividades.

17.7 Todas as Áreas da COMPANHIA

Todas as demais Áreas da COMPANHIA estão incumbidas de: a. Cumprir e implementar os requisitos de privacidade e proteção de dados presentes

nesta Política e demais normativos corporativos acerca deste tema;
b. Elaborar, revisar e manter atualizados os fluxos de dados, sempre que necessário ou

em caso de mudanças substanciais ou nova atividade de tratamento, e comunicar tempestivamente essas alterações ao DPO, para providências;

c. Garantir que os processos de privacidade que estão sob sua responsabilidade sejam implementados e executados de forma correta e responsável;

d. Viabilizar que equipes sejam treinadas com base na Política de Privacidade e Proteção de Dados e demais normativos relacionados ao tema;

e. Esclarecer ou direcionar dúvidas de colaboradores de suas equipes sobre privacidade e proteção de dados.

f. Garantir o uso adequado de dados pessoais em suas atividades.

17.8 Usuários da Informação

Os Usuários da Informação estão incumbidos de: a. Ler, compreender e cumprir integralmente os termos desta Política; b. Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre esta Política,

suas normas e procedimentos pelo tratamento de dados pessoais ao DPO; c. Comunicar ao DPO qualquer evento ou incidente que viole esta Política, coloque ou

possa vir a colocar em risco dados pessoais tratados pela Cia, por meio da caixa corporativa dpo@cavan.com.br ;

d. Participar das atividades de treinamento e conscientização em proteção de dados pessoais;

e. Garantir o uso adequado de dados pessoais em suas atividades.

18. DISPOSIÇÕES FINAIS

Esta Política entrará em vigor na data de sua divulgação.