POLÍTICA DE PRIVACIDADE

POLITICA DE PROTEÇÃO DE DADOS E PRIVACIDADE

ASSOCIAÇÃO BRASILEIRA DE ENERGIA SOLAR – CIÊNCIA E TECNOLOGIA CNPJ 08.817.857/0001-00

INTRODUÇÃO

A Associação Brasileira de Energia Solar – Ciência e Tecnologia, CNPJ 08.817.857/0001-00, doravante denominada simplesmente ABENS, assume compromisso perante seus associados e interessados para a Proteção de Dados Pessoais, zelando pela segurança e sigilo dos dados a que lhe forem submetidos, sempre em observância da ética e respeito aos seus associados e interessados, além de observar todas as boas práticas e ditames legais, conforme definido em sua Política de Privacidade e Proteção de Dados.

A Política se aplica a qualquer operação de tratamento de dados pessoais realizada pela ABENS, independentemente do meio ou do país onde estejam localizados os dados, desde que tenham sido coletados em território nacional.

Os diretores e membros do conselho fiscal, além de todos os colaboradores externos e quaisquer outras pessoas que realizam tratamento de dados pessoais para a ABENS se sujeitam às diretrizes, às normas e aos procedimentos previstos nesta Política e são responsáveis por garantir a proteção de dados pessoais a que tenham acesso.

Para fins desta Política, entende-se como:

Agentes de tratamento: o controlador e o operador;

Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

Boas Práticas: são as maneiras adequadas e eficazes para se atingir o resultado esperado, levando em consideração o estado da arte (avanço tecnológico), a finalidade, e a proporcionalidade;

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

Data Protection Officer (DPO) ou Encarregado: pessoa indicada pelo controlador e/ou operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD),

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Privacidade (Direito à): direito humano da personalidade, protegido pela Constituição Federal, que engloba a intimidade, a vida privada, a honra e a imagem. Reflete o domínio sobre as informações próprias, e o acesso consentido pelo titular do direito, ou autorizado por lei, a estas informações;

Segurança da Informação: proteção das informações, preservando sua integridade e sigilo, condizente com o seu valor para o controlador e para o titular dos dados;

Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

bpessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

PRINCÍPIOS

As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I - finalidade legítima, específica e explícita, que deverá ser informada ao titular, sendo vedado o tratamento posterior dos dados para outras finalidades e fins discriminatórios, ilícitos ou abusivos;

II - adequação do tratamento dos dados pessoais, compatível com as finalidades informadas ao titular;

III - necessidade do tratamento dos dados pessoais limitada aos objetivos para os quais serão processados, abrangendo somente os dados pertinentes, proporcionais e não excessivos, em relação à finalidade do tratamento dos dados para a qual foram coletados;

IV - garantia, ao titular, de livre acesso, de forma gratuita e facilitada, ao tratamento de seus dados pessoais;

V - garantia, ao titular, de exatidão, clareza, relevância e atualização de seus dados pessoais, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI - garantia, ao titular, de acesso facilitado a informações claras e precisas sobre a realização do tratamento de seus dados pessoais e os respectivos agentes de tratamento;

VII - utilização de medidas técnicas e administrativas de segurança e prevenção adequadas ao tratamento e à proteção de dados pessoais nos casos de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - proibição do tratamento de dados pessoais para fins discriminatórios, ilícitos ou abusivos; e

IX - responsabilização e prestação de contas dos agentes de tratamento quanto ao dever de cumprir as normas legais e regulatórias de proteção de dados pessoais.

OBJETIVOS

O objetivo geral desta Política é garantir a gestão sistemática e efetiva de todos os aspectos relacionados à proteção de dados pessoais e dos direitos de seus titulares

São objetivos específicos:

I - assegurar níveis adequados de proteção aos dados pessoais tratados pela ABENS;

II - orientar quanto à adoção de controles técnicos e administrativos para atendimento dos requisitos de proteção de dados pessoais;

III - garantir aos titulares de dados pessoais os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;

IV - prevenir possíveis causas de violações de dados pessoais e incidentes de segurança da informação relacionados ao tratamento de dados pessoais; e

V - minimizar os riscos de violação de dados pessoais tratados pela ABENS e qualquer impacto negativo que resulte dessa violação.

DIREITO DOS TITULARES DE DADOS

São direitos do titular de dados pessoais tratados pela ABENS:

I - confirmar a existência de tratamento;

II - acessar os dados;

III - corrigir dados incompletos, inexatos ou desatualizados;

IV - solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com as normas legais e regulatórias;

V - requisitar, de forma expressa e justificada, a portabilidade dos dados a outro órgão público;

VI - garantir a eliminação dos dados pessoais tratados com seu consentimento;

VII - receber informação sobre o compartilhamento de seus dados pessoais;

VIII - receber informação sobre as consequências da negativa de consentimento para o tratamento de seus dados pessoais;

IX - revogar o consentimento a qualquer momento mediante manifestação expressa, ratificados e preservados os tratamentos realizados anteriormente;

X - opor-se a tratamento de seus dados pessoais realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na legislação;

XI - solicitar cópia eletrônica integral de seus dados pessoais com relação ao tratamento realizado com seu consentimento; e

XII - solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses.

O titular de dados pessoais poderá obter informações sobre o tratamento de seus dados e exercer os direitos previstos neste artigo a qualquer tempo, de forma facilitada e gratuita, em requisição expressa e específica por meio do endereço eletrônico dpo@abens.org.br.

Para Associados da ABENS, o tratamento de dados é realizado com fundamento na execução de contrato do titular de dados pessoais, que deseja ser um Associado ABENS. Caso o Associado ABENS exerça seu direito de eliminação dos dados pessoais, a ABENS ficará impossibilitada de manter as relações básicas estatutárias entre a ABENS e os Associados.

Dessa forma, se o titular de dados pessoais for associado da ABENS, o exercício do referido direito será automaticamente e necessariamente interpretado como um pedido de demissão, de acordo com o inciso I do artigo 9º do Estatuto da ABENS.

DAS RESPONSABILIDADES

A ABENS é o controlador de dados pessoais e deverá:

I - manter registro das operações de tratamento de dados pessoais;

II - elaborar relatório de impacto na proteção de dados pessoais, inclusive de dados sensíveis, relativo ao tratamento de dados; e

III - orientar os operadores quanto aos tratamentos de dados pessoais segundo instruções internas, a legislação e as regulamentações da ANPD.

A ABENS atuará como controlador quando, por força de lei, convênio ou contrato, determinar as finalidades e os meios de tratamento de dados pessoais em conjunto com outra pessoa natural ou jurídica, de direito público ou privado.

O encarregado é responsável por:

I - receber as reclamações e comunicações dos titulares, respondê-las e adotar providências;

II - receber as comunicações da ANPD e adotar as providências necessárias;

III - orientar todos os membros da diretoria, conselho fiscal, colaboradores e terceiros sobre as práticas a serem adotadas em relação à proteção de dados pessoais; e

IV - executar outras atribuições determinadas pelo controlador ou estabelecidas em normas complementares da ANPD.

Para a ABENS, foi nomeado um encarregado pelo tratamento de dados pessoais (DPO) que poderá ser contatado pelo e-mail: dpo@abens.org.br.

Os operadores são responsáveis por tratar os dados pessoais de acordo com as instruções estabelecidas pelo controlador, além de manter o devido registro das ações realizadas para o tratamento desses dados.

Os diretores e membros de conselho fiscal e demais colaboradores vinculados à ABENS são responsáveis por:

I - ler e cumprir integralmente os termos desta resolução e as demais normas e procedimentos de proteção da privacidade e de dados pessoais aplicáveis;

II - comunicar ao encarregado qualquer evento que viole esta resolução ou coloque em risco os dados pessoais tratados; e

III - responder perante a ABENS pela inobservância da política instituída nesta Política e das demais normas e procedimentos legais ou regulatórios relacionados ao tratamento de dados pessoais.

DAS PENALIDADES

O descumprimento das normas e dos procedimentos referentes à proteção de dados pessoais, poderá acarretar, isolada ou cumulativamente, a aplicação de sanções administrativas, civis e penais, assegurados o contraditório, a ampla defesa e o devido processo legal.

DO TRATAMENTO DE DADOS PESSOAIS

O tratamento de dados pessoais somente poderá ser realizado, em conjunto ou isoladamente, nas seguintes hipóteses:

I - mediante o consentimento do titular;

II - para o cumprimento de obrigação legal ou regulatória;

III - para a realização de estudos por órgão de pesquisa, assegurada a anonimização dos dados pessoais sempre que possível;

IV - para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular;

V - quando necessário para atender a legítimo interesse do controlador ou de terceiro; e

VI - para o atendimento de sua finalidade ou cumprir suas atribuições legais.

O consentimento para a coleta de dados pessoais deverá ser obtido de forma livre, expressa, individual, clara, específica e legítima e poderá ser revogado a qualquer momento pelo titular.

O consentimento é dispensado para o tratamento de dados pessoais tornados manifestamente públicos pelo titular, desde que o tratamento seja realizado de acordo com a finalidade, a boa-fé e o interesse público, resguardados os direitos do titular.

O tratamento de dados sensíveis será realizado com o consentimento do titular ou de seu responsável legal de forma específica e destinado a finalidades específicas.

É vedada a comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores com o objetivo de obter vantagem econômica, exceto se houver

regulamentação por parte da ANPD ou nas hipóteses relativas a prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde, nos termos de legislação específica.

Os dados anonimizados não serão considerados dados pessoais para os fins das diretrizes previstas nesta resolução, salvo quando for revertido o processo de anonimização ao qual foram submetidos.

Para os efeitos deste artigo, a pseudonimização é o tratamento que impossibilita que um dado seja associado, direta ou indiretamente, a um indivíduo, exceto pelo uso de informação adicional.

O tratamento de dados pessoais de crianças e de adolescentes tem a finalidade de atender a seu melhor interesse e deverá ser realizado com o consentimento expresso e em destaque de um dos pais ou responsável legal, bem como ser específico quanto à finalidade do tratamento.

O tratamento de dados pessoais deverá ser finalizado quando:

I - for alcançada a finalidade para a qual os dados foram coletados ou quando esses dados deixarem de ser necessários ou pertinentes para essa finalidade;

II - o período de tratamento chegar ao fim;

III - houver pedido de revogação do consentimento feito pelo titular, resguardado o interesse público; ou

IV - por determinação da ANPD, houver violação à Lei n. 13.709, de 14 de agosto de 2018.

Os dados pessoais serão eliminados após o término de seu tratamento, exceto nas seguintes hipóteses:

I - cumprimento de obrigação legal ou regulatória;

II - estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; ou

III - transferência a terceiro, desde que respeitados os requisitos legais de tratamento de dados pessoais;

São atividades que deverão ser realizadas no tratamento de dados pessoais:

I - garantir ao titular a opção de permitir ou não o tratamento de seus dados pessoais, excetuando-se os casos de tratamento sem a necessidade de seu consentimento;

II - assegurar que o objetivo do tratamento de dados pessoais esteja em conformidade com esta resolução e com a legislação vigente;

III - comunicar de forma clara o tratamento de dados pessoais ao titular antes do momento em que forem coletados ou usados pela primeira vez para nova finalidade;

IV - quando forem requisitadas, fornecer ao titular explicações sobre o tratamento de seus dados pessoais;

V - limitar a coleta, o uso, a divulgação e a transferência de dados pessoais ao necessário para o cumprimento da finalidade consentida pelo titular ou da base legal específica para o tratamento sem o consentimento;

VI - reter dados pessoais apenas pelo tempo necessário para cumprir sua finalidade e posteriormente destruí-los, bloqueá-los ou anonimizá-los com segurança;

VII - bloquear o acesso a dados pessoais quando, expirado o período de seu tratamento e sua manutenção, for exigido pela legislação;

VIII - fornecer informações claras sobre as políticas, os procedimentos e as práticas de tratamento de dados pessoais a seus titulares;

IX - cientificar os titulares quando ocorrerem alterações significativas no tratamento de seus dados pessoais;

X - garantir aos titulares o acesso e a revisão de seus dados pessoais por meio da técnica de autenticação de identidade, desde que não haja restrição legal ao acesso ou à revisão;

XI - assegurar a rastreabilidade e a prestação de contas durante todo o tratamento de dados pessoais, inclusive daqueles compartilhados com terceiros;

XII - gerenciar eventual violação aos dados tratados, mantendo o registro de incidentes e da resposta efetuada; e

XIII - adotar controles técnicos e administrativos de segurança da informação suficientes para garantir níveis de proteção adequados.

DO COMPARTILHAMENTO DE DADOS

O uso compartilhado de dados pela ABENS deverá ocorrer no cumprimento de suas obrigações legais ou regulatórias, com organizações públicas ou privadas, de acordo com a finalidade admitida na legislação pertinente, resguardados os princípios de proteção de dados pessoais.

Na prestação dos serviços de sua competência, a ABENS compartilhará dados pessoais de acordo com a interoperabilidade de seus sistemas e serviços de tecnologia da informação, observada a norma administrativa pertinente.

Poderá haver a transferência internacional de dados e essa somente será permitida nos casos em que os países ou organismos internacionais de destino, proporcionem grau de proteção de dados pessoais adequados ao previsto pela Lei Geral de Proteção de Dados do Brasil (Lei nº 13.709/2018).

A ABENS garante o cumprimento dos princípios de tratamento, dos direitos do titular e do regime de proteção de dados previsto na Lei, demonstrando por meio de certificações internacionais que comprovem que o Operador de dados do titular oferece níveis adequado de proteção aos dados armazenados.

DISPOSIÇÕES FINAIS

A ABENS definirá normas específicas de Proteção de Dados e disponibilizará Avisos de Privacidades em todos os seus canais seguindo todos as diretrizes definidas nesta Política.

As diretrizes estabelecidas nesta resolução não se esgotam em razão da contínua evolução tecnológica, da alteração legislativa e do constante surgimento de novas ameaças e requisitos e poderão ser complementadas por outras medidas de segurança.

Revisão: 01 de novembro de 2022.