A Política de Privacidade da MBRA é o documento essencial que garante o cumprimento da Lei Geral de Proteção de Dados (LGPD) e do Marco Civil da Internet, aplicando-se a todos os colaboradores, clientes, fornecedores e parceiros para informar como a empresa obtém, usa e armazena dados pessoais. A MBRA coleta dados de forma não automática (apenas por ação do usuário, como preenchimento de formulários) nos seus canais de comunicação, utilizando-os unicamente para retornar o contato, enviar materiais informativos e gerenciar processos seletivos. A política reforça o compromisso de não vender ou alugar dados para terceiros e exige que fornecedores contratados ofereçam garantias de segurança compatíveis. Além disso, a MBRA adota medidas técnicas e administrativas contidas em sua Política de Segurança da Informação para garantir a confidencialidade, disponibilidade e integridade dos dados, e alerta que o uso de seus canais ou o fornecimento de dados pessoais pressupõe a aceitação total da política, que pode ser alterada a qualquer momento, sendo o canal oficial para dúvidas e solicitações o e-mail privacidade@mbra.com.br.
Esta Política tem como objetivo estabelecer diretrizes internas para o tratamento adequado de dados pessoais pela MBRA, assegurando a privacidade, a proteção de dados pessoais, a segurança da informação e o cumprimento da legislação aplicável.
A presente Política orienta colaboradores, administradores, terceiros, prestadores de serviços e parceiros quanto às regras que devem ser observadas na coleta, utilização, armazenamento, compartilhamento, retenção e eliminação de dados pessoais tratados no contexto das atividades da MBRA.
Esta Política complementa o Código de Ética e Conduta, as normas internas de segurança da informação, os procedimentos de tecnologia, os instrumentos contratuais e demais documentos corporativos relacionados à governança, compliance, privacidade e proteção de dados.
Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais — LGPD;
Lei nº 12.965/2014 — Marco Civil da Internet;
Decreto nº 8.771/2016 — Regulamentação do Marco Civil da Internet;
Código de Ética e Conduta da MBRA;
Política de Segurança da Informação da MBRA;
Política de Controle de Acessos da MBRA;
Política de Gestão de Incidentes da MBRA;
Contratos, termos, avisos de privacidade e demais documentos aplicáveis;
Guias, orientações e regulamentos emitidos pela Autoridade Nacional de Proteção de Dados — ANPD.
Esta Política deve ser observada de forma integrada com todas as demais políticas, normas e procedimentos da MBRA, sendo aplicável a todos os colaboradores, administradores, conselheiros, estagiários, aprendizes, prestadores de serviços, fornecedores, parceiros comerciais e terceiros que realizem tratamento de dados pessoais em nome da empresa ou em razão de relação contratual, comercial, institucional ou operacional com a MBRA.
Esta Política se aplica ao tratamento de dados pessoais realizado em meio físico ou digital, incluindo sistemas internos, plataformas tecnológicas, ambientes em nuvem, documentos, planilhas, e-mails, aplicativos corporativos, bancos de dados, arquivos impressos e quaisquer outros meios utilizados pela organização.
Dado Pessoal — Informação relacionada a pessoa natural identificada ou identificável, como nome, CPF, endereço, e-mail, telefone, dados cadastrais, dados profissionais, identificadores digitais, entre outros.
Dado Pessoal Sensível — Dado pessoal relacionado à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Titular de Dados — Pessoa natural a quem se referem os dados pessoais objeto de tratamento.
Tratamento de Dados Pessoais — Toda operação realizada com dados pessoais, incluindo coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração.
Controlador — Pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais.
Operador — Pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.
Encarregado pelo Tratamento de Dados Pessoais — Pessoa indicada pela MBRA para atuar como canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.
ANPD — Autoridade Nacional de Proteção de Dados, órgão responsável por zelar, implementar e fiscalizar o cumprimento da LGPD no Brasil.
Base Legal — Fundamento previsto na LGPD que autoriza o tratamento de dados pessoais.
Consentimento — Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para finalidade determinada.
Relatório de Impacto à Proteção de Dados Pessoais — Documento que descreve processos de tratamento de dados pessoais que possam gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Incidente de Segurança da Informação — Evento adverso confirmado ou suspeito relacionado à violação de segurança, perda, alteração, destruição, acesso não autorizado, vazamento, comunicação indevida ou qualquer forma de tratamento inadequado de dados pessoais.
Terceiro — Toda pessoa física ou jurídica que mantenha relação com a MBRA, incluindo fornecedores, prestadores de serviços, consultores, parceiros comerciais, operadores de dados, subcontratados e demais partes externas.
A MBRA compromete-se a tratar dados pessoais de forma ética, segura, transparente e em conformidade com a legislação aplicável, observando os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.
a) Todo tratamento de dados pessoais realizado pela MBRA deve possuir finalidade legítima, específica, explícita e informada ao titular, quando aplicável.
b) Os dados pessoais devem ser tratados somente na medida necessária para o cumprimento das finalidades previamente definidas.
c) É vedado o tratamento de dados pessoais para finalidades incompatíveis com aquelas originalmente informadas ou autorizadas, salvo quando houver base legal aplicável.
d) O tratamento de dados pessoais deve observar, sempre que aplicável, uma das bases legais previstas na LGPD, tais como consentimento, cumprimento de obrigação legal ou regulatória, execução de contrato, exercício regular de direitos, legítimo interesse, proteção da vida, tutela da saúde, proteção do crédito ou demais hipóteses previstas em lei.
e) A coleta excessiva, desnecessária ou não autorizada de dados pessoais é proibida.
a) O tratamento de dados pessoais sensíveis deverá ocorrer apenas quando estritamente necessário e mediante base legal adequada.
b) Dados pessoais sensíveis devem receber proteção reforçada, com controles adicionais de acesso, armazenamento, compartilhamento e retenção.
c) É proibida a utilização de dados pessoais sensíveis para fins discriminatórios, abusivos, ilícitos ou incompatíveis com a finalidade informada.
d) Sempre que possível, a MBRA deverá adotar medidas de minimização, anonimização, pseudonimização ou restrição de acesso a dados pessoais sensíveis.
a) O tratamento de dados pessoais de crianças e adolescentes deverá observar o melhor interesse do menor e os requisitos legais aplicáveis.
b) A coleta e o tratamento desses dados somente poderão ocorrer quando houver finalidade legítima, necessidade comprovada e base legal adequada.
c) Quando exigido pela legislação, deverá ser obtido consentimento específico e em destaque de pelo menos um dos pais ou responsável legal.
d) A MBRA deverá adotar medidas razoáveis para proteger dados de crianças e adolescentes contra acesso indevido, exposição, uso inadequado ou tratamento incompatível.
a) Antes de iniciar novo tratamento de dados pessoais, a área responsável deverá identificar a finalidade, a categoria dos dados tratados, os titulares envolvidos, a base legal aplicável, o prazo de retenção, os sistemas utilizados, os terceiros envolvidos e os riscos associados.
b) A área responsável pelo tratamento deverá consultar o Encarregado ou a área de Compliance/Privacidade sempre que houver dúvida quanto à base legal aplicável.
c) O tratamento baseado em consentimento deverá permitir a comprovação da manifestação do titular, bem como sua revogação quando cabível.
d) O tratamento baseado em legítimo interesse deverá ser avaliado de forma proporcional, considerando os direitos e expectativas dos titulares.
a) A MBRA deverá assegurar mecanismos adequados para atendimento aos direitos dos titulares de dados pessoais, nos termos da legislação aplicável.
b) Os titulares poderão solicitar, conforme aplicável:
confirmação da existência de tratamento;
acesso aos dados pessoais;
correção de dados incompletos, inexatos ou desatualizados;
anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
portabilidade dos dados, quando aplicável;
informação sobre compartilhamento de dados;
informação sobre a possibilidade de não fornecer consentimento e suas consequências;
revogação do consentimento;
revisão de decisões tomadas unicamente com base em tratamento automatizado, quando aplicável.
c) As solicitações de titulares deverão ser encaminhadas ao Encarregado pelo Tratamento de Dados Pessoais ou ao canal oficial definido pela MBRA.
d) Nenhum colaborador deve responder isoladamente a solicitações de titulares sem observar o procedimento interno aplicável.
a) A MBRA deverá adotar medidas técnicas e administrativas aptas a proteger dados pessoais contra acessos não autorizados, perda, destruição, alteração, comunicação indevida ou qualquer forma de tratamento inadequado ou ilícito.
b) O acesso a dados pessoais deve ser concedido apenas a pessoas autorizadas, de acordo com a necessidade de execução de suas atividades profissionais.
c) Credenciais de acesso são pessoais, intransferíveis e não devem ser compartilhadas.
d) Documentos físicos ou digitais que contenham dados pessoais devem ser armazenados em locais seguros e acessados somente por pessoas autorizadas.
e) O envio de dados pessoais por e-mail, aplicativos, links, planilhas ou outros meios deve observar os controles internos de segurança da informação.
f) Sempre que possível, devem ser utilizados mecanismos de proteção como controle de acesso, criptografia, autenticação, registro de logs, backup, segregação de funções e gestão de permissões.
a) O compartilhamento de dados pessoais com terceiros somente poderá ocorrer quando houver finalidade legítima, base legal adequada e necessidade comprovada.
b) Terceiros que tratem dados pessoais em nome da MBRA deverão assumir obrigações contratuais de confidencialidade, segurança da informação, proteção de dados e atendimento à legislação aplicável.
c) É proibido compartilhar dados pessoais com terceiros não autorizados ou para finalidades não relacionadas às atividades da MBRA.
d) O compartilhamento internacional de dados pessoais, quando aplicável, deverá observar as hipóteses legais previstas na LGPD e as orientações das áreas responsáveis.
a) A contratação de terceiros que realizem tratamento de dados pessoais em nome da MBRA deverá considerar critérios de segurança, reputação, capacidade técnica e conformidade com a legislação de proteção de dados.
b) Sempre que necessário, deverá ser realizada avaliação prévia de privacidade e segurança da informação do terceiro.
c) Os contratos com terceiros deverão conter cláusulas relacionadas à proteção de dados pessoais, confidencialidade, segurança da informação, subcontratação, incidentes, auditoria, retenção e eliminação de dados.
d) O gestor responsável pela contratação deverá acompanhar a execução dos serviços prestados pelo terceiro e comunicar qualquer suspeita de irregularidade, incidente ou descumprimento desta Política.
a) Dados pessoais deverão ser mantidos apenas pelo tempo necessário para cumprimento das finalidades que justificaram seu tratamento, observados os prazos legais, regulatórios, contratuais e de exercício regular de direitos.
b) Ao final do prazo de retenção ou quando encerrada a finalidade do tratamento, os dados pessoais deverão ser eliminados, anonimizados ou arquivados conforme a legislação aplicável e os procedimentos internos.
c) É proibido manter cópias desnecessárias, desatualizadas ou não autorizadas de bases de dados pessoais.
d) A eliminação de dados pessoais deve ser realizada de forma segura, considerando o meio em que os dados estão armazenados.
a) Todo colaborador, terceiro ou prestador de serviço que identificar ou suspeitar de incidente envolvendo dados pessoais deverá comunicar imediatamente o fato à área de Segurança da Informação, Compliance, Jurídico ou ao Encarregado pelo Tratamento de Dados Pessoais.
b) São exemplos de incidentes: envio de dados para destinatário incorreto, perda de equipamento contendo dados pessoais, acesso indevido a sistema, vazamento de planilha, exposição de documentos, uso indevido de credenciais, ataque cibernético ou compartilhamento não autorizado.
c) A MBRA deverá avaliar a natureza, a gravidade, os titulares afetados, os riscos envolvidos e as medidas de contenção e mitigação necessárias.
d) Quando exigido pela legislação, a MBRA realizará as comunicações cabíveis à ANPD e aos titulares afetados.
e) Nenhum colaborador ou terceiro está autorizado a comunicar incidentes externamente sem prévia orientação das áreas responsáveis.
a) A MBRA deverá promover ações periódicas de conscientização e treinamento sobre privacidade, proteção de dados pessoais e segurança da informação.
b) Colaboradores que tratem dados pessoais em suas atividades devem conhecer suas responsabilidades e observar as regras previstas nesta Política e nos procedimentos internos aplicáveis.
c) A participação em treinamentos obrigatórios poderá ser exigida como condição para manutenção de determinados acessos, funções ou atividades.
a) Novos projetos, sistemas, produtos, processos, campanhas, contratações ou iniciativas que envolvam tratamento de dados pessoais deverão considerar requisitos de privacidade e proteção de dados desde sua concepção.
b) Sempre que houver risco relevante aos titulares, alteração significativa no tratamento de dados ou uso de novas tecnologias, a área responsável deverá consultar o Encarregado, Compliance, Jurídico ou Segurança da Informação.
c) Medidas de minimização, limitação de acesso, transparência, segurança e retenção adequada devem ser avaliadas desde o início do projeto.
a) A MBRA poderá realizar avaliações, auditorias e monitoramentos periódicos para verificar o cumprimento desta Política, dos procedimentos internos e da legislação aplicável.
b) Não conformidades identificadas deverão ser tratadas por meio de planos de ação, medidas corretivas, melhoria de controles ou treinamentos adicionais.
c) As áreas responsáveis deverão cooperar com auditorias internas, externas, fiscalizações, solicitações da ANPD ou demais autoridades competentes.
a) Aprovar esta Política e suas atualizações;
b) Garantir a implementação e o cumprimento das diretrizes de privacidade e proteção de dados pessoais;
c) Disponibilizar recursos adequados para manutenção do programa de privacidade e proteção de dados;
d) Apoiar a atuação independente do Encarregado pelo Tratamento de Dados Pessoais;
e) Adotar medidas corretivas em caso de não conformidades, incidentes ou violações.
a) Atuar como canal de comunicação entre a MBRA, os titulares de dados e a ANPD;
b) Receber, analisar e encaminhar solicitações dos titulares de dados;
c) Orientar colaboradores e terceiros quanto às práticas de proteção de dados pessoais;
d) Apoiar a avaliação de riscos, incidentes e novos tratamentos de dados pessoais;
e) Recomendar melhorias nos controles de privacidade e proteção de dados.
a) Apoiar a implementação desta Política e dos procedimentos relacionados;
b) Avaliar, em conjunto com as áreas competentes, riscos de privacidade e proteção de dados;
c) Conduzir ou apoiar apurações relacionadas a violações desta Política;
d) Promover, em conjunto com Recursos Humanos e Segurança da Informação, treinamentos periódicos;
e) Monitorar o cumprimento das diretrizes de privacidade e proteção de dados.
a) Apoiar a interpretação da legislação aplicável;
b) Revisar contratos, cláusulas, termos, avisos de privacidade e documentos relacionados à proteção de dados;
c) Apoiar a análise de incidentes, solicitações de titulares, fiscalizações e comunicações à ANPD, quando aplicável;
d) Orientar a empresa em situações que envolvam risco legal ou regulatório.
a) Implementar controles técnicos e administrativos de segurança da informação;
b) Gerenciar acessos, permissões, logs, backups e controles de proteção dos sistemas;
c) Apoiar a prevenção, detecção, contenção e resposta a incidentes de segurança;
d) Avaliar riscos tecnológicos relacionados ao tratamento de dados pessoais;
e) Apoiar a eliminação segura de dados armazenados em ambientes tecnológicos.
a) Garantir que colaboradores sejam informados sobre esta Política;
b) Obter, quando aplicável, o aceite ou termo de ciência dos colaboradores;
c) Apoiar ações de treinamento e conscientização;
d) Tratar dados pessoais de colaboradores, candidatos, aprendizes, estagiários e terceiros conforme a legislação e procedimentos internos;
e) Comunicar ao Encarregado, Compliance ou Segurança da Informação qualquer suspeita de tratamento inadequado ou incidente envolvendo dados pessoais.
a) Garantir que suas equipes observem esta Política;
b) Identificar tratamentos de dados pessoais realizados em suas áreas;
c) Comunicar novos projetos, mudanças de processo ou contratações que envolvam dados pessoais;
d) Zelar pela correta utilização, armazenamento e compartilhamento de dados pessoais;
e) Reportar incidentes, riscos ou não conformidades às áreas responsáveis.
a) Cumprir esta Política e demais documentos internos relacionados;
b) Utilizar dados pessoais apenas para finalidades profissionais legítimas e autorizadas;
c) Não compartilhar dados pessoais com pessoas não autorizadas;
d) Proteger documentos, sistemas, senhas, equipamentos e informações sob sua responsabilidade;
e) Comunicar imediatamente suspeitas de incidente, vazamento, acesso indevido ou tratamento inadequado de dados pessoais.
a) O descumprimento desta Política poderá resultar em medidas disciplinares, contratuais, administrativas, civis e/ou criminais, conforme a gravidade do caso e a legislação aplicável.
b) São exemplos de violações:
acesso indevido a dados pessoais;
compartilhamento não autorizado de informações;
coleta excessiva ou sem finalidade legítima;
uso de dados pessoais para fins particulares;
manutenção de bases desatualizadas ou desnecessárias;
omissão na comunicação de incidentes;
descarte inadequado de documentos;
descumprimento de orientações do Encarregado, Compliance, Jurídico ou Segurança da Informação.
c) A MBRA não tolera retaliação contra qualquer pessoa que comunique, de boa-fé, suspeitas de violação desta Política ou da legislação aplicável.
d) Terceiros que descumprirem esta Política poderão estar sujeitos à rescisão contratual, bloqueio de acesso, aplicação de penalidades contratuais e responsabilização pelos danos causados.
a) A área responsável poderá solicitar aos colaboradores, terceiros e prestadores de serviços a assinatura física ou eletrônica do Termo de Comprometimento com esta Política.
b) A assinatura do termo representa ciência e compromisso com as diretrizes de privacidade, proteção de dados pessoais e segurança da informação estabelecidas pela MBRA.
c) Sempre que houver atualizações relevantes nesta Política, poderá ser exigida nova ciência ou assinatura do termo.
d) A área responsável deverá manter arquivados os termos preenchidos, conforme o prazo de retenção aplicável.
Declaração de Novos Colaboradores
a) Sempre que um novo colaborador for admitido, a área de Recursos Humanos deverá disponibilizar esta Política para ciência.
b) A assinatura do Termo de Comprometimento com a Política Interna de Privacidade e Proteção de Dados Pessoais poderá ser condição para início ou continuidade do vínculo com a MBRA.
c) A área de Recursos Humanos deverá manter evidência da ciência ou aceite do colaborador.
Todos os colaboradores, administradores, terceiros, fornecedores, prestadores de serviços e parceiros que realizem tratamento de dados pessoais em nome da MBRA devem observar as disposições desta Política.
Casos omissos, dúvidas de interpretação ou situações não previstas deverão ser encaminhados ao Encarregado pelo Tratamento de Dados Pessoais, Compliance, Jurídico ou área responsável definida internamente.
Esta Política deverá ser divulgada internamente e permanecer disponível aos públicos abrangidos, conforme os meios oficiais de comunicação da MBRA.
Esta Política entra em vigor a partir de sua aprovação pela Diretoria e será revisada periodicamente ou sempre que houver alterações legais, regulatórias, organizacionais, tecnológicas ou operacionais que justifiquem sua atualização.
