1. Objetivo e escopo
Esta Política estabelece diretrizes, responsabilidades e controles aplicáveis ao tratamento de dados pessoais no âmbito das atividades da DNA Compliance Consultoria Ltda., incluindo aqueles coletados por meio do site institucional da plataforma DNA Parcerias, em qualquer fase do ciclo de vida do dado.
Aplica-se a colaboradores, consultores, operadores contratados e parceiros com acesso a dados pessoais sob a responsabilidade da controladora.
2. Princípios norteadores
Observam-se, integralmente, os princípios do art. 6º da LGPD, com destaque para:
- Finalidade: tratamento para propósitos legítimos, específicos, explícitos e informados ao titular.
- Adequação: compatibilidade do tratamento com as finalidades informadas.
- Necessidade: limitação ao mínimo necessário para a finalidade declarada.
- Transparência: informações claras, precisas e facilmente acessíveis sobre o tratamento.
- Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados.
- Prevenção: adoção de medidas para prevenir danos a titulares.
- Não discriminação: impossibilidade de tratamento para fins discriminatórios ilícitos ou abusivos.
- Responsabilização e prestação de contas (accountability): demonstração, pela controladora, da adoção de medidas eficazes de cumprimento das normas.
3. Estrutura de governança
A DNA Compliance mantém estrutura interna de governança de dados pessoais sob responsabilidade da Diretoria e do Encarregado (DPO) designado, compreendendo:
- Inventário de dados e fluxos de tratamento atualizado periodicamente.
- Matriz de bases legais por finalidade.
- Registro técnico de consentimento (com versão, data, identificador da Política aceita).
- Rotina de revisão contratual com operadores.
- Canal institucional para requerimentos de titulares e comunicação com a ANPD.
4. Ciclo de vida dos dados
| Etapa | Controles aplicados |
|---|---|
| Coleta | Minimização, consentimento específico quando aplicável, aviso de privacidade visível. |
| Armazenamento | Criptografia em trânsito, controle de acesso, segregação lógica. |
| Uso interno | Acesso por menor privilégio, vínculo com finalidade declarada. |
| Compartilhamento | Apenas com operadores sob contrato e nos limites da LGPD; registro do compartilhamento. |
| Retenção | Prazos definidos e revisados periodicamente; descarte ou anonimização ao fim do prazo. |
| Descarte | Eliminação irreversível ou anonimização documentada. |
5. Bases legais adotadas
As bases legais utilizadas, conforme art. 7º e art. 11 da LGPD, incluem consentimento, execução de contrato, cumprimento de obrigação legal, exercício regular de direitos e legítimo interesse, este último precedido de teste de balanceamento documentado.
6. Atendimento aos titulares
Os direitos do titular (art. 18, LGPD) são atendidos pelo canal contato@dnacompliance.com.br, com assunto "LGPD — Direito do Titular". O fluxo interno prevê:
- Recebimento e registro do requerimento.
- Verificação de identidade do titular.
- Triagem técnica e jurídica.
- Resposta fundamentada no prazo legal.
- Registro do atendimento para fins de auditoria.
7. Medidas de segurança
A DNA Compliance adota controles técnicos e administrativos proporcionais aos riscos identificados, incluindo, mas não se limitando a:
- Autenticação com credenciais individualizadas e, quando aplicável, segundo fator de autenticação.
- Políticas internas de senha e de acesso.
- Backup com retenção controlada.
- Monitoramento de logs e acessos críticos.
- Cláusulas contratuais de confidencialidade com colaboradores e operadores.
- Atualização contínua de softwares e patches de segurança.
8. Incidentes de segurança
Na hipótese de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a DNA Compliance:
- Adotará medidas imediatas de contenção e mitigação.
- Registrará o incidente em relatório técnico interno.
- Comunicará à ANPD e aos titulares afetados, no prazo e nos termos da Resolução CD/ANPD nº 15/2024 e demais normativas aplicáveis.
- Revisará controles e políticas para evitar recorrência.
9. Operadores e suboperadores
A contratação de operadores observa dever de diligência prévia, incluindo avaliação da aderência às exigências da LGPD, com formalização de cláusulas específicas sobre:
- Finalidade restrita do tratamento.
- Vedação de compartilhamento não autorizado.
- Obrigações de segurança, confidencialidade e notificação de incidentes.
- Direito de auditoria pela controladora.
- Condições de devolução ou eliminação de dados ao término da relação.
10. Relatório de Impacto à Proteção de Dados (RIPD)
Será elaborado Relatório de Impacto à Proteção de Dados Pessoais sempre que o tratamento apresentar alto risco a direitos e liberdades do titular, nos termos do art. 38 da LGPD e diretrizes da ANPD. O documento é mantido atualizado e disponibilizado à autoridade quando requerido.
11. Capacitação e cultura
A DNA Compliance promove, de forma contínua, capacitação técnica e jurídica sobre proteção de dados para sua equipe própria e rede de consultores, alinhada ao código de conduta da organização e ao programa de integridade corporativa.
12. Contato do Encarregado (DPO)
Av. Dr. Hélio Ribeiro, nº 525, Salas 2007/2008, Cuiabá/MT.
Canal oficial: contato@dnacompliance.com.br · assunto "LGPD — Encarregado".