Atualizada em 27/04/2023
1. INTRODUÇÃO
O escritório Medina Guimarães Advogados oferece serviços advocatícios no âmbito consultivo e contencioso, nas áreas de direito civil, direito empresarial, direito tributário, saúde, recuperação judicial, recuperação de crédito, bancário, direito digital, proteção de dados, dentre outras. Especializado, ainda, em atuação nos Tribunais Superiores.
É de entendimento do Escritório que a informação corporativa consiste em bem essencial para as atividades necessárias ao seu regular desempenho e para resguardar a qualidade e garantia dos serviços ofertados aos clientes, bem como para a relação com prestadores de serviço, terceirizados, fornecedores, e todos aqueles que mantêm relação comercial com esta organização.
Em busca de resultados concretos para clientes, parceiros e terceiros de maneira segura e moderna, constantemente investe no aprimoramento jurídico. Assim, compreendendo todo o caminho percorrido pela informação dentro do microssistema organizacional, o Escritório Medina Guimarães Advogados estabelece sua Política de Privacidade como parte integrante e indispensável do processo de gestão corporativa, sempre preservando as boas práticas, no intuito de garantir níveis adequados de proteção de informações sob sua responsabilidade.
2. OBJETIVO
Garantir transparência quanto aos procedimentos e regras de segurança que envolvem a manipulação de dados pessoais e demais informações, desde a sua coleta até o seu descarte, bem como definir as regras de uso de equipamentos de trabalho disponibilizados pelo escritório os funcionários, assegurando boas práticas e privacidade durante todo o ciclo de tratamento.
Tem como propósito final prevenir possíveis incidentes de segurança da informação, minimizando riscos e adotando controles e processos para atendimentos dos requisitos da Segurança da Informação.
3. APLICAÇÃO
Esta política aplica-se indistintamente a todos os colaboradores do escritório Medina Guimarães Advogados, em todos os níveis hierárquicos, envolvendo inclusive, mas não se limitando, a terceirizados e fornecedores.
Aplica-se, também, a todos aqueles que já possuíram algum vínculo com o escritório que detinham acesso às informações e/ou fizeram uso de recursos computacionais dentro de sua infraestrutura, naquilo que lhe competir.
É aplicável, ainda, aos usuários que acessam o site do escritório e tem seus dados pessoais coletados, nas hipóteses permissivas da Lei Geral de Proteção de Dados Pessoais.
4. PRINCÍPIOS
Visando proteger os dados e informações tratados sob nossa guarda, pautamos nossa política em três princípios basilares, além dos demais princípios relacionados à proteção de dados pessoais: confidencialidade, integridade e disponibilidade.
O princípio da confidencialidade garante que o acesso à informação seja feito exclusivamente por pessoa autorizada e desde que absolutamente necessário para a finalidade contratada, decorrente de lei ou do expresso consentimento do titular.
O princípio da integridade garante que a informação não seja modificada e se mantenha hígida durante o seu processamento, exceto nas hipóteses de necessidade legal ou conforme solicitação do titular dos dados.
Por fim, o princípio da disponibilidade possibilita aos colaboradores, clientes, terceiros e usuários do site o acesso aos dados pessoais dos quais são titulares de maneira acessível, segura e eficiente, com a possibilidade de revogação do consentimento para o tratamento a qualquer momento, desde que assim requeiram.
5. DAS REGRAS E DIRETRIZES
Os membros do Comitê Gestor de Proteção de Dados estão comprometidos e constantemente atualizados sobre os procedimentos necessários para que a gestão sistemática e efetiva de tudo que envolva a segurança da informação aconteça, provendo suporte operacional a fim de minimizar os riscos identificados e seus eventuais impactos para esta instituição, seus colaboradores, clientes, terceiros e usuários do site.
Todos os controles e mecanismos de segurança implantados visam atender aos requisitos de confiabilidade, ou seja, confidencialidade, integridade e disponibilidade, medindo todos os riscos, ameaças e vulnerabilidades que possam existir na organização.
As informações da organização dos funcionários, clientes, terceirizados, fornecedores, terceiros e usuários do site devem ser tratadas de forma ética e sigilosa, sempre pautada nas regras e legislações existentes, preservando a sua integridade e coibindo uso indevido.
Cada colaborador tem identificação única e intransferível, assim como acesso limitado às áreas necessárias para desempenho exclusivo de suas atividades.
Periodicamente são realizados treinamentos de atualização e conscientização relacionados à segurança da informação com todos os colaboradores, indistintamente.
Além da gestão de risco, tem-se estabelecida a gestão e resposta a incidentes de segurança, com planos de ação definidos para garantir a recuperação imediata do sistema de informações. Igualmente, tem-se implementada a gestão de processos de continuidade de negócios para que, se necessário, em caso de incidentes, haja a retomada rápida das atividades do escritório, tudo com a intenção de garantir que a política de proteção da informação se dê de forma sistemática e efetiva, evitando que ocorram incidentes e minimizando os riscos para o próprio escritório e para os titulares dos dados pessoais tratados.
6. POLÍTICAS EFETIVAS DE SEGURANÇA DA INFORMAÇÃO
6.1 Elaborar, implantar, acompanhar e atualizar as normas e procedimentos de segurança da informação, garantindo que os princípios que regem esta política sejam observados e atingidos por meio dos controles de eventuais ameaças internas e externas.
6.2 Disponibilizar as políticas, normas e todos os processos de segurança de informação para os interessados e autorizados, envolvendo empregados, terceiros, fornecedores, clientes e usuários do site, nas normas que lhe competirem.
6.3 Garantir treinamento e conscientização constantes sobre as práticas de segurança da informação adotadas pela organização.
6.4 Atender e aplicar os requisitos da segurança da informação exigidos por lei, regulamentação ou cláusula contratual.
6.5 Tratar os incidentes de segurança da informação, garantindo seu registro, investigação, classificação, correção e documentação e, quando necessário, havendo qualquer ameaça ou indício de risco, comunicar a autoridade necessária e os titulares que puderem sofrer algum tipo de dano.
6.6 Ter um Plano de Continuidade de Negócio que garanta o retorno breve dos serviços em caso de incidentes.
6.7 Buscar sempre a melhoria da gestão de segurança da informação, revisando seus objetivos e diretrizes periodicamente.
7. RESPONSABILIDADES
7.1 Comitê Gestor de Proteção de Dados Pessoais
O escritório possui um Comitê Gestor de Proteção de Dados Pessoais, integrado por um Representante do Conselho Diretivo; dois Representantes do Conselho Consultivo; um Representante da Área de Recursos Humanos; um Responsável pela área de Tecnologia e Segurança da Informação e um Encarregado de Proteção de Dados (DPO).
É de responsabilidade do comitê:
a) Analisar, revisar e propor a aprovação de políticas e normas relacionadas à segurança da informação.
b) Garantir a disponibilidade dos recursos necessários para realização de efetiva gestão de segurança da informação.
c) Garantir que as atividades de segurança da informação sejam executadas, pautadas nesta política geral.
d) Promover a divulgação e agir para que a cultura de segurança da informação seja espalhada constantemente dentro da organização.
6.2 Encarregado de Proteção de Dados Pessoais
Além das funções previstas na Lei Geral de Proteção de Dados, o Encarregado será responsável por:
a) Supervisionar e conduzir a operação da segurança da informação, tendo sempre como base esta política e demais documentos regulatórios.
b) Elaborar e propor ao Comitê as normas e procedimentos de segurança da informação necessárias para cumprimento do Plano de Adequação à LGPD.
c) Identificar e avaliar as ameaças à segurança da informação existentes, bem como propor e, se aprovadas, implementar, medidas para inibir ou minimizar o risco.
d) Agir para que esta política seja cumprida por todos os colaboradores e terceiros envolvidos com a manipulação de dados pessoais.
e) Realizar a gestão dos incidentes de segurança da informação de maneira adequada.
6.3 Dos gestores de pessoas e/ou processos
Os gestores deverão adotar postura exemplar pertinente à segurança da informação, servindo de modelo e inspiração para seus liderados.
Deverão, ainda:
a) Gerenciar a informação em seu setor durante todo o seu ciclo de vida, incluindo, mas não se limitando, a coleta, processamento, armazenamento e descarte seguro, conforme normas estabelecidas nesta política.
b) Identificar e classificar as informações geradas ou sob sua responsabilidade conforme normas, critérios, diretrizes e procedimentos adotados por esta Política de Privacidade.
c) Revisar periodicamente as informações tratadas, ajustando sua classificação se necessário.
d) Autorizar, proibir e revisar os acessos à informação e sistemas sob sua responsabilidade.
e) Solicitar a concessão ou revogação de acesso à informação ou sistemas de informação de acordo com os procedimentos adotados neste instrumento.
6.4 Dos colaboradores e demais usuários da informação
É considerado colaborador toda e qualquer pessoa física, independente do regime de contratação, que exerça alguma atividade subordinada dentro ou fora desta instituição.
É considerado usuário toda e qualquer pessoa física ou jurídica que mantenha relação com esta organização, inclusive via sítio eletrônico, que não seja nas modalidades de contrato de trabalho, associação ou estágio, mas que mantenha algum tipo de relação contratual, preste algum tipo de serviço, forneça produtos, tenha acesso a informações ou consinta com o tratamento de seus próprios dados.
Compete às partes acima referidas:
a) Ler, compreender e cumprir integralmente as diretrizes da Política de Privacidade, bem como as demais normas que procedimentos de segurança que a integram.
b) Encaminhar dúvidas ou pedidos de esclarecimentos sobre a política geral, suas normas e procedimentos ao responsável ou ao Comitê Gestor de Proteção de Dados Pessoais, por meio do endereço eletrônico dpo@medina.adv.br.
c) Comunicar ao Gestor do Comitê de Segurança da Informação qualquer violação à Política ou que possa vir a gerar riscos à segurança das informações ou ameaçar a rede de computadores e/ou as tecnologias empregadas por esta organização, o que poderá ser feito por meio do endereço eletrônico dpo@medina.adv.br.
d) Quando solicitado, assinar os Termos relacionados à segurança da informação, formalizando a leitura, ciência, consentimento e aceite integral da disposição da Política de Privacidade e das normas que a integram.
e) Será de inteira responsabilidade do colaborador/usuário os prejuízos que o escritório vier a sofrer em decorrência da não observação das diretrizes e regras definidas nesta Política de Privacidade.
7. SANÇÕES E PUNIÇÕES
7.1 As violações, ainda que por omissão ou tentativa, desta Política, bem como das normas e procedimentos de segurança da informação, estarão sujeitas a penalidades que incluem advertência oral, advertência escrita, suspensão não remunerada e demissão por justa causa.
7.2 A aplicação da sanção/punição será feita de acordo com a análise do Comitê Gestor de Proteção de Dados Pessoais e levará em consideração a gravidade da infração, o efeito alcançado, eventual recorrência, observando, ainda, o disposto no art. 482, da CLT, para os contratos de trabalho regidos pela referida legislação.
7.3 Para os demais usuários, terceiros, contratados, prestadores de serviço e usuários do site, o Comitê Gestor de Proteção de Dados Pessoais analisará a ocorrência e deliberará sobre aplicação de sanções/punições de acordo com previsto no contrato entre as partes, com base na legislação aplicável e com a devida comunicação à autoridade competente.
7.4 Em caso de violação decorrente de atividade ilegal ou que gerem danos ao escritório, o infrator será responsável pelos prejuízos, com a conseguinte aplicação das medidas judiciais cabíveis, resguardado, ainda, o direito de regresso do Medina Guimarães Advogados, além do descrito nos itens supra.
8. CASOS OMISSOS
Os casos omissos, que não tenham sido abrangidos expressamente por esta Política de Privacidade, serão avaliados e deliberados pelo Comitê Gestor de Proteção de Dados Pessoais.
As diretrizes estabelecidas nesta Política, bem como nas demais normas e procedimentos que a integram, não se esgotam em razão da rápida e contínua evolução tecnológica e de novas ameaças.
Portanto, colaboradores e usuários da informação em geral, de alguma forma relacionados a esta organização, devem, sempre que possível, adotar outras medidas de segurança além das aqui previstas, no intuito de garantir a devida proteção e manutenção dos dados tratados.
9. CONCEITOS RELEVANTES
a) Ameaça
Causa potencial de incidentes que podem resultar em danos à organização, aos seus colaboradores, membros, clientes e terceiros.
b) Ativo
Tudo aqui que possui valor para o Escritório Medina Guimarães Advogados, desde os tangíveis (documentos, sistemas, banco de dados, contratos, manuais, equipamentos em geral), até os não tangíveis, como imagem e reputação da organização.
c) Ativo de Informação
Patrimônio do Medina Guimarães Advogados constituído por informações de qualquer natureza, seja de caráter estratégico, técnico, administrativo, financeiro, recursos humanos, conhecimento e habilidades da equipe, assim como as informações criadas ou adquiridas por meio de parceria, aquisição, compra, ou confiadas por parceiros, clientes, empregados e terceiros.
d) Comitê Gestor de Proteção de Dados Pessoais (CGPDP)
Grupo de trabalho interno e multidisciplinar que tem por objetivo tratar, ininterruptamente, questões ligadas à segurança da informação.
e) Confidencialidade
Vedação de disponibilização dos ativos da informação a pessoas, processos ou entidades não autorizadas e cuja finalidade não se encontra prescrita na legislação aplicável – Lei n. 13.709/2018.
f) Controle
Medida de segurança adotada para tratamento de um risco específico.
g) Disponibilidade
É o grau em que a informação está disponível para o usuário e para o sistema de informação no momento em que a organização exige.
h) Encarregado de Proteção de Dados Pessoais (Data Protection Officer – DPO)
Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Além disso, é responsável por supervisionar ativos da informação processado pela organização. Para contato com o encarregado, disponibiliza-se o seguinte canal: dpo@medina.adv.br.
i) Incidente de Segurança da Informação
Evento adverso, confirmado ou suspeito, relacionado à segurança da informação, que posa gerar a perda de um ou mais princípios básicos da segurança da informação (confidencialidade, integridade e disponibilidade).
j) Integridade
Manutenção das condições iniciais das informações de acordo com a forma que foram produzidas e armazenadas, sem alteração da forma original, ressalvadas as hipóteses de expresso requerimento do titular ou determinações legais.
k) Risco de segurança da informação
Diz respeito à probabilidade de que um agente de ameaça obtenha vantagem de eventual vulnerabilidade e cause impacto aos ativos de negócios.
l) Segurança da informação
É a proteção da informação contra as mais diversas espécies de ameaça, a fim de garantir a continuidade do negócio, preservando os princípios da confidencialidade, integridade e disponibilidade da informação.
m) Tecnologia da informação (TI)
É o conjunto de atividades e soluções providas por recursos de computação que visa a produção, o armazenamento, a transmissão, o acesso, a segurança e o uso das informações. O analista de TI, integrante do Comitê Gestor de Proteção de Dados Pessoais, é o responsável por implementar, manter e gerenciar essas atividades dentro da organização.
n) Vulnerabilidades
É o grau no qual um ativo, grupo de ativos ou controle(s) podem ser explorados por uma ameaça ou mais. É a ausência ou ponto fraco de uma medida preventiva que pode ser explorada. Causa potencial de incidente de segurança da informação.
10. REVISÕES
Esta política é revisada, no mínimo, semestralmente, ou conforme entendimento do Comitê Gestor de Proteção de Dados Pessoais.
11. GESTÃO E DISPONIBILIZAÇÃO DA POLÍTICA
A Política de Privacidade é aprovada pelo Comitê Gestor de Proteção de Dados Pessoais e está disponível a todos os colaboradores, usuários e terceiros, inclusive no site do Escritório – medina.adv.br.
12. COMO UTILIZAMOS OS COOKIES NO SITE
Cookies são pequenos arquivos digitais em formato de texto que são armazenados no dispositivo eletrônico utilizado quando o usuário acessa o site medina.adv.br. Os cookies podem guardar informações relacionadas às preferências do usuário, recorrência das sessões e outras variáveis que os desenvolvedores do site consideram relevantes para tornar a experiência do usuário muito mais eficiente.
No caso do site medina.adv.br, são armazenados apenas os “Cookies necessários”, os quais são absolutamente essenciais ao funcionamento do site, pois garantem funcionalidades básicas e recursos de segurança para o site, de forma anônima.
Quanto ao tempo de vida, são utilizados “Cookies de sessão ou temporários”, que são cookies que expiram assim que o usuário fecha o seu navegador, encerrando a sessão.
13. DO TRATAMENTO DE DADOS PESSOAIS
O escritório realiza o tratamento de dados pessoais nas seguintes hipóteses:
1) No site medina.adv.br:
a) Dados como nome e e-mail quando fornecidos diretamente pelo usuário no contato ou para nossa newsletter, os quais serão utilizados exclusivamente para responder o contato e enviar nossa newsletter;
Caso não queira mais receber informações, é só enviar um e-mail para dpo@medina.adv.br.
b) Por meio de cookies enviados ao seu navegador, os quais são estritamente necessários para o funcionamento do site.
Não será possível identificar o usuário a partir dos cookies armazenados.
2) Dos colaboradores:
São coletados apenas os dados pessoais para a celebração do contrato, como nome, RG, CPF, endereço, dados bancários, e-mail.
3) Para cumprimento dos serviços contratados:
a) Em contratos celebrados diretamente com o Titular, serão coletados apenas dados pessoais essenciais para a prestação de serviços, como nome, RG, CPF, endereço, e-mail.
b) Em contratos celebrados que envolvem dados pessoais já coletados pelo contratante, serão armazenados e processados apenas dados pessoais essenciais para a prestação dos serviços contratados, os quais são declarados pelo controlador de que foram coletados nos parâmetros da LGPD.
13.1 DOS DIREITOS DO TITULAR DE DADOS PESSOAIS
O titular dos dados pessoais tem direito a obter do controlador, qual seja, o escritório Medina Guimarães Advogados, em relação aos dados tratados relacionados a ele, a qualquer momento e mediante requisição:
- confirmação da existência de tratamento;
- acesso aos dados;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
- portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
- eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD;
- informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
- informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- revogação do consentimento, nos termos do § 5º do art. 8º da LGPD.
13.2 DO EXERCÍCIO DOS DIREITOS DO TITULAR
O Encarregado é o responsável pela condução e orientação do escritório em relação à proteção de dados pessoais. Assim, caso sejam necessárias mais informações ou queira exercer algum dos direitos acima, entre em contato com o nosso Encarregado pelo e-mail dpo@medina.adv.br.
Medina Guimarães Advogados
Comitê Gestor de Proteção de Dados Pessoais