• Home
  • Política de Privacidade

Política de Proteção de Dados Pessoais

Em vigor a partir de 31 de janeiro de 2019

O Conselho de Administração da NEOENERGIA, S.A (a “Sociedade”) tem a responsabilidade atribuída de formular a estratégia e aprovar as Políticas corporativas da Sociedade, assim como de organizar os sistemas de controles internos. No exercício destas responsabilidades, e com o propósito de estabelecer os princípios gerais que devem reger o tratamento dos dados pessoais em todas as sociedades pertencentes ao grupo cuja sociedade controladora, no sentido estabelecido pela lei, é a Sociedade (o “Grupo”), o Conselho de Administração aprova esta Política de proteção de dados pessoais.

1. Finalidade

A Política de Proteção de Dados Pessoais estabelece os princípios e pautas comuns de atuação que devem reger o Grupo em matéria de proteção de dados pessoais, garantindo, em todo caso, o cumprimento da legislação aplicável. Em particular, a Política de Proteção de Dados Pessoais tem a finalidade de garantir o direito à proteção dos dados de todas as pessoas físicas que se relacionam com as sociedades pertencentes ao Grupo, garantindo o respeito do direito à honra e à intimidade no tratamento das diferentes tipologias de dados pessoais, procedentes de diferentes fontes e com fins diversos em função de sua atividade empresarial.

2. Âmbito de aplicação

A Política de Proteção de Dados Pessoais será de aplicação à Sociedade, às demais sociedades do Grupo, aos seus administradores, diretores e colaboradores, assim como a todas as pessoas que se relacionem com as sociedades pertencentes àquele.

Naquelas sociedades ou entidades participadas, direta ou indiretamente, que não sejam controladas pelo Grupo, seus representantes procurarão que se observem as previsões destaPolítica de Proteção de Dados Pessoais e promovam, na medida do possível, a aplicação de seus princípios.

3. Princípios do tratamento dos dados pessoais

Os princípios pelos quais se rege a Política de Proteção de Dados Pessoais são os seguintes:

a) Princípios gerais:
As sociedades do Grupo cumprirão criteriosamente a legislação aplicável de sua localidade em matéria de proteção de dados, a que resulte aplicável em função do tratamento de dados pessoais que se realize e a que se determine conforme normas ou acordos vinculantes adotados no âmbito do Grupo.

As sociedades do Grupo atuarão para que os princípios abrangidos nesta Política de Proteção de Dados Pessoais sejam levados em conta (i) no desenho e implementação de todos os procedimentos que impliquem o tratamento de dados pessoais, (ii) nos produtos e serviços oferecidos por tais sociedades, (iii) em todos os contratos e obrigações formalizados com pessoas físicas e (iv) na implantação dos sistemas e plataformas que permitam o acesso por parte de colaboradores ou de terceiros a dados pessoais e/ou o recolhimento ou tratamento desses dados.

b) Princípios relativos ao tratamento de dados pessoais:
(i) Princípios de legitimidade, licitude e lealdade no tratamento de dados pessoais.
O tratamento de dados pessoais será leal, legítimo e lícito conforme a legislação aplicável.
Neste sentido, os dados pessoais deverão ser recolhidos para um ou vários fins específicos e legítimos conforme a legislação aplicável.
Nos casos em que for obrigatório, conforme legislação aplicável, deverá obter o consentimento dos interessados antes de solicitar seus dados.
Do mesmo modo, quando o exigir a lei, os fins do tratamento de dados pessoais serão explícitos e determinados no momento de seu recolhimento.
Em particular, as sociedades do Grupo não solicitarão nem tratarão dados pessoais relativos à origem étnica ou racial, à ideologia política, às crenças, às convicções religiosas ou filosóficas, à vida ou orientação sexual, à filiação sindical, à saúde, nem dados genéticos ou biométricos dirigidos a identificar de maneira unívoca a uma pessoa, salvo que o recolhimento dos referidos dados seja necessário, legítimo e requerido ou permitido pela legislação aplicável, em cujo caso serão solicitados e tratados de acordo com o estabelecido naquela.

(ii) Princípio de minimização.
Somente serão objeto de tratamento aqueles dados pessoais que resultem estritamente necessários para a finalidade para os quais se recolham ou tratem e adequados a tal finalidade.

(iii) Princípio de exatidão.
Os dados pessoais deverão ser exatos e estar atualizados. Em caso contrário, deverão suprimir-se ou retificar-se.

(iv) Princípio de limitação do prazo de conservação.
Os dados pessoais não serão conservados além do prazo necessário para atingir o fim para o qual se destinam, salvo nas hipóteses previstas legalmente.

(v) Princípios de integridade e confidencialidade.
No tratamento dos dados pessoais, será necessário garantir, mediante medidas técnicas ou organizacionais, segurança adequada que os proteja do tratamento não autorizado ou ilícito e que evite sua perda, sua destruição e que sofram danos acidentais.
Os dados pessoais solicitados e tratados pelas sociedades do Grupo deverão ser conservados com a máxima confidencialidade e sigilo, não podendo ser utilizados para outros fins distintos dos quais justificaram e permitiram seu recolhimento e sem que possam ser comunicados ou cedidos a terceiros fora dos casos permitidos pela legislação aplicável.

(vi) Princípio de responsabilidade proativa (prestação de contas).
As sociedades do Grupo serão responsáveis por cumprir com os princípios estipulados nesta Política de proteção de dados pessoais e os exigidos na legislação aplicável e deverão ser capazes de demonstrá-lo, quando assim o exigir a legislação aplicável.
As sociedades do Grupo deverão fazer uma avaliação do risco dos tratamentos que realizem, com o fim de determinar as medidas a serem aplicadas para garantir que os dados pessoais sejam tratados conforme exigências legais. Nos casos nos quais a lei assim o exigir, serão avaliados de forma prévia os riscos que novos produtos, serviços ou sistemas de informação possam comportar para a proteção de dados pessoais e serão adotadas as medidas necessárias para eliminá-los ou mitigá-los. As sociedades do Grupodeverão manter registro das atividades que descrevam os tratamentos de dados pessoais que realizem no âmbito de suas atividades.
Caso se produza um incidente que ocasione a destruição, perda ou alteração acidental ou ilícita de dados pessoais, ou a comunicação ou acesso não autorizado a esses dados, deverão ser observados os protocolos internos estabelecidos pela área de Segurança Corporativa e a legislação aplicável. Esses incidentes deverão ser documentados e serão adotadas medidas para resolver e minimizar os possíveis efeitos negativos para os/span interessados. Nos casos previstos na lei, serão designados delegados de proteção de dados, com o fim de garantir o cumprimento das normas de proteção de dados nas sociedades do Grupo.

(vii) Princípios de transparência e informação.
O tratamento de dados pessoais será transparente em relação ao interessado, facilitando a informação sobre o tratamento de seus dados de forma compreensível e acessível, quando assim o exigir a legislação aplicável.
A fim de garantir um tratamento leal e transparente, a sociedade do Grupo responsável pelo tratamento deverá informar aos afetados ou interessados, cujos dados se pretendesolicitar, as circunstâncias relativas ao tratamento, conforme legislação aplicável.

(viii) Aquisição ou obtenção de dados pessoais.
Fica proibida a aquisição ou obtenção de dados pessoais de fontes ilegítimas, de fontes que não garantam suficientemente sua legítima procedência ou de fontes cujos dados tenham sido solicitados ou cedidos transgredindo a lei.

(ix) Contratação de encarregados do tratamento dos dados.
Previamente à contratação de qualquer prestador de serviços que acesse dados pessoais que sejam responsabilidade das sociedades do Grupo, assim como durante a vigência da relação contratual, estas deverão adotar as medidas necessárias para garantir e, quando for legalmente exigível, demonstrar, que o tratamento de dados por parte do encarregado se realize conforme legislação aplicável.

(x) Transferências internacionais de dados.
Todo tratamento de dados pessoais sujeito à normativa da União Europeia que implique uma transferência de dados fora do Espaço Econômico Europeu deverá realizar-se com estrito cumprimento dos requisitos estabelecidos na lei aplicável na jurisdição de origem. As sociedades do Grupo se localizadas fora da União Europeia deverão cumprir com os requisitos estabelecidos para as transferências internacionais de dados pessoais que sejam, conforme o caso, de aplicação em sua localidade.

(xi) Direitos dos interessados.
As sociedades do Grupo deverão permitir que os interessados possam exercer os direitos de acesso, retificação, supressão, limitação do tratamento, portabilidade e oposição que sejam de aplicação em cada localidade, estabelecendo, para este fim, os procedimentos internos que resultem necessários para satisfazer, ao menos, os requisitos legais aplicáveis em cada caso.

4. Implementação

Conforme o disposto nesta Política de Proteção de Dados Pessoais, a área de Segurança Corporativa, conjuntamente com os Serviços Jurídicos da Sociedade, desenvolverá e manteráatualizadas as normas internas do Grupo relativas à gestão global de proteção de dados, que será implementada pela Direção de Segurança Corporativa e será de cumprimento obrigatório para todos os diretores e colaboradores da Sociedade.

A área de Serviços Jurídicos será responsável por reportar à área de Segurança Corporativa os desenvolvimentos e atualizações normativas que se produzam neste âmbito.

A área de Sistemas, ou a área que assuma suas funções, será a encarregada de implementar, nos sistemas de informação das sociedades do Grupo, os controles e desenvolvimentos tecnológicos que sejam adequados para garantir o cumprimento das normas internas de gestão global de proteção de dados e garantirá que esses desenvolvimentos estejam atualizados em cada momento.

Adicionalmente, os negócios e diretorias corporativas deverão (i) designar, sujeito ao que estabeleça a legislação aplicável em cada caso, as pessoas responsáveis pelos dados, que atuarão coordenadamente e sob a supervisão da área de Segurança Corporativa e (ii) coordenar com a área de Segurança Corporativa qualquer atividade que implique ou suporte a gestão de dados pessoais, considerando as particularidades das sociedades coligadas de capital fechado.

Por fim o Comitê de Cibersegurança, constituído, conforme o disposto na Política de Riscos de Cibersegurança, dará prosseguimento ao acompanhamento geral da proteção de dados pessoais nas sociedades do Grupo e velará pela adequada coordenação, no âmbito do Grupo, das práticas e gestão dos riscos de proteção dos dados pessoais, assessorando a Diretoria de Segurança Corporativa na aprovação da norma interna para esta finalidade.

5. Controle e avaliação

a) Controle Compete à área de Segurança Corporativa, ou à área que assuma suas funções, fiscalizar o cumprimento do disposto nesta Política de Proteção de Dados Pessoais por parte da Sociedade e as demais sociedades do Grupo, sem prejuízo das responsabilidades que correspondam a outros órgãos e áreas da Sociedade e, conforme o caso, aos órgãos de
administração das demais sociedades do Grupo. Para verificar o cumprimento desta Política de Proteção de Dados Pessoais , serão realizadas auditorias periódicas com auditores internos ou externos.

b) Avaliação A área de Segurança Corporativa avaliará, ao menos uma vez ao ano, o cumprimento e a eficácia desta Política de proteção de dados pessoais e informará o resultado às Diretorias Financeiras e de Recursos, ou à área que assuma tais funções em cada momento.

Esta Política de proteção de dados pessoais foi aprovada inicialmente pelo Conselho de Administração em 28 de junho de 2018 e atualizada na Reunião do Conselho de Administração realizado em 31 de janeiro de 2019.