Política de Privacidad y Protección de Datos Personales

1. Objetivo

La presente política establece los lineamientos y reglas para la realización de actividades que involucren el tratamiento y garantía de la privacidad y protección de Datos Personales, esto es, datos de las personas naturales (“Titular”) con las que BOURBON se relaciona para el desarrollo de sus actividades comerciales.

Todas las actividades relacionadas con el negocio de BOURBON que tratan Datos Personales se rigen por esta política, que tiene como objetivo proteger los derechos fundamentales de libertad e intimidad y el libre desarrollo de la personalidad de la persona física.

2. Cumplimiento de Leyes y Reglamentos

Esta Política fue elaborada con el fin de cumplir con los requisitos de la ley reformada por la ley (LGPD o "Ley"), conocida en Brasil como la "Ley General de Protección de Datos", especialmente en los términos de su Artículo 50, que trata de las buenas prácticas. y de la gobernanza de la seguridad de los Datos Personales, copiados a continuación:

Arte. 50. Los controladores y operadores, en el ámbito de su competencia, para el tratamiento de datos personales, individualmente o a través de asociaciones, podrán formular reglas de buenas prácticas y gobierno que establezcan las condiciones de organización, el régimen de funcionamiento, los procedimientos, incluidas las quejas y peticiones de los interesados, reglas de seguridad, normas técnicas, obligaciones específicas de los distintos intervinientes en el tratamiento, acciones educativas, mecanismos internos de supervisión y mitigación de riesgos y demás aspectos relacionados con el tratamiento de datos personales.

§ 1º Al establecer reglas de buenas prácticas, el controlador y el operador tendrán en cuenta, en relación con el tratamiento y los datos, la naturaleza, alcance, finalidad y probabilidad y gravedad de los riesgos y beneficios derivados del tratamiento de datos del titular.

§ 2º En la aplicación de los principios indicados en los incisos VII y VIII del caput del art. 6 de esta Ley, el responsable del tratamiento, observando la estructura, escala y volumen de sus operaciones, así como la sensibilidad de los datos tratados y la probabilidad y gravedad de los daños a los interesados, podrá:

I - implementar un programa de gobernanza de la privacidad que, como mínimo:

a) demostrar el compromiso del responsable del tratamiento con la adopción de procesos y políticas internas que aseguren el cumplimiento integral de las normas y buenas prácticas relacionadas con la protección de datos personales;

b) sea aplicable a todo el conjunto de datos personales bajo su control, independientemente de la forma en que hayan sido recabados;

c) adaptarse a la estructura, escala y volumen de sus operaciones, así como a la sensibilidad de los datos tratados;

d) establecer políticas y salvaguardas apropiadas basadas en un proceso de evaluación sistemática de los impactos y riesgos de la privacidad;

e) tenga por objeto establecer una relación de confianza con el titular, mediante una actuación transparente y asegurando mecanismos de participación del titular;

f) está integrado en su estructura general de gobierno y establece y hace cumplir los mecanismos de supervisión internos y externos;

g) tiene planes de respuesta y remediación de incidentes; y

h) se actualiza constantemente con base en la información obtenida del monitoreo continuo y las evaluaciones periódicas;

II - demostrar la eficacia de su programa de gobernanza de la privacidad cuando corresponda y, en particular, a solicitud de la autoridad nacional u otra entidad responsable de promover el cumplimiento de buenas prácticas o códigos de conducta, que de manera independiente promuevan el cumplimiento de esta Ley.

§ 3º Las reglas de buenas prácticas y de gobernanza deben ser publicadas y actualizadas periódicamente y pueden ser reconocidas y difundidas por la autoridad nacional.

3. Definiciones de Datos Personales y Protección de Datos Personales

Los datos personales son información relativa a una persona viva, identificada o identificable. Los datos personales son también el conjunto de información distinta que puede conducir a la identificación de una persona en particular.

De acuerdo con la LGPD (artículo 5) y otras referencias similares, se considera:

I – DATOS PERSONALES: información relativa a una persona física identificada o identificable.

II - DATOS PERSONALES SENSIBLES: datos personales sobre origen racial o étnico, convicción religiosa, opinión política, afiliación sindical u organización de carácter religioso, filosófico o político, datos relativos a la salud o vida sexual, datos genéticos o biométricos, cuando se vinculen a una persona natural.

III - DATOS ANONIMIZADOS: datos relativos al titular de los datos que no pueden ser identificados, considerando el uso de medios técnicos razonables disponibles en el momento de su tratamiento.

Los Datos Personales son necesarios para diferentes actividades comerciales en BOURBON. Los Datos Personales pueden tener diversas formas de representación, almacenamiento y transporte, y su significado y valor dependen del contexto en el que se encuentren, que pueden ser, por ejemplo:

a) Papel: listas de asistencia, formularios de registro en papel, informes, memorandos, cartas, etc.

b) En medios digitales: archivos digitales grabados en discos, SSD, unidades flash, cintas, CD, etc.

c) En sonido: grabación de reuniones y otras actividades, contestador automático, etc.

d) En imagen: fotos de personas y sus documentos, videos que contengan personas, etc.

La protección de Datos Personales debe garantizar los derechos fundamentales y básicos de las personas, tales como el respeto a la intimidad, la dignidad y la autodeterminación; libertad de expresión, información, comunicación y opinión; la inviolabilidad de la intimidad, el honor y la imagen, la libre iniciativa y la libre competencia; protección al consumidor y otros derechos humanos relacionados con la personalidad y el ejercicio de la ciudadanía.

Para lograr los objetivos de protección de Datos Personales, los empleados y proveedores de servicios de BOURBON deben seguir las prácticas determinadas en esta Política de Privacidad y Protección de Datos Personales y en los procedimientos operativos relacionados con este documento, que establecen lineamientos y estándares para la seguridad de los datos personales. datos.

4. Derechos de los propietarios:

Los Interesados recogidos y tratados por BOURBON tienen los siguientes derechos en relación con sus Datos Personales tratados por el Grupo.

a) Confirmación de la existencia de tratamiento de sus Datos Personales.

b) Acceso gratuito para consultar sus Datos Personales.

c) Rectificación de sus Datos Personales, cuando los datos sean incompletos, inexactos o desactualizados.

d) Supresión de sus Datos Personales, cuando los datos sean innecesarios, excesivos o tratados en violación de la Ley, incluso cuando exista consentimiento por parte del titular, siempre que los datos personales no sean utilizados para cumplir con obligaciones legales y reglamentarias .

e) Portabilidad de sus Datos Personales a otro proveedor de servicios o productos, previa solicitud expresa del titular.

f) Información sobre las entidades públicas y privadas con las que el Grupo ha compartido sus Datos Personales.

g) Información sobre la posibilidad de no prestar su consentimiento para el tratamiento de sus Datos Personales.

h) Revocación del consentimiento para el tratamiento de sus Datos Personales.

5. Recolección, uso y procesamiento de datos personales

BOURBON recoge, utiliza y trata Datos Personales para atender los intereses legítimos del Grupo, comprometiéndose a cumplir con toda la legislación aplicable en relación con la protección de Datos Personales, asegurando que son recogidos, utilizados y tratados de conformidad con lo dispuesto en el RGPD y demás leyes y reglamentos aplicables, si los hubiere.

Los datos personales no se recopilan y procesan sin un propósito. El cobro podrá tener lugar, cuando sea necesario, para establecer la relación comercial entre BOURBON y sus empleados, clientes y socios comerciales, para la ejecución de un contrato o para el cumplimiento de una obligación legal a la que esté sujeta BOURBON.

Al recabar Datos Personales, BOURBON informará con carácter previo, transparente, claro e inequívoco, cuáles son las finalidades del tratamiento de esos datos personales y durante cuánto tiempo serán retenidos y tratados, cuando sea posible establecer este tiempo.

En todos los casos en que los datos personales recabados no sean anonimizados y la recogida no tenga por objeto (i) el cumplimiento de una obligación legal o reglamentaria, (ii) la ejecución de un contrato o trámites previos relacionados con un contrato del que sea titular una parte, (iii) el ejercicio regular de los derechos en procedimientos judiciales, administrativos o arbitrales, y (iv) la protección del crédito, BOURBON deberá solicitar el consentimiento expreso del titular de los datos, y dicho consentimiento deberá ser registrado y archivado en medios digitales o impresos.

Siempre que existan cambios en la finalidad, BOURBON deberá informar previamente al titular sobre los cambios y solicitar un nuevo consentimiento, pudiendo el titular revocar el consentimiento si no está de acuerdo con los cambios.

Cuando el tratamiento de datos personales sea una condición para que BOURBON le proporcione un producto o servicio, o para el ejercicio de su derecho, el titular será informado sobre este hecho y sobre los medios a través de los cuales puede ejercer los derechos enumerados en la Ley.

5.1. Nuevos proyectos y procesos de cambios de Datos Personales

Cualquier nueva actividad de tratamiento de Datos Personales deberá ser debidamente comunicada por los Titulares al Encargado del PD, incluso involucrando a este último en la planificación de nuevos proyectos que puedan implicar la recolección y tratamiento de Datos Personales, a fin de que los riesgos para el protección de Datos Personales son evaluados y tratados en su totalidad.

En los procesos normales de operación del negocio, todos y cada uno de los cambios en los Datos Personales deben ser comunicados al Encargado del PD, ya sea de forma manual o automática (integración sistémica), para que actualice los registros en su herramienta ( s) (s) de control. Este proceso de comunicación/integración incluye tanto cambios en la estructura de datos como en los registros, por ejemplo:

• Nuevos Datos Personales recopilados en los sistemas/procesos actuales. Cambios, corrección o eliminación de registros de Datos Personales en los sistemas/procesos actuales. Cambios en la estructura de las bases de Datos Personales de los sistemas/procesos existentes.

6. Eliminación de datos personales

Cuando finalice el período de uso o cuando finalice el propósito para el cual se recopilaron y procesaron ciertos Datos personales, los Titulares de PD deben eliminar los Datos personales relacionados, utilizando métodos de eliminación seguros, o en forma anónima, para fines estadísticos. Siempre que sea posible, estos descartes deben ser evidentes.

En los casos en que BOURBON no pueda eliminar los Datos personales para cumplir con los requisitos legales o por alguna otra necesidad legítima, los Datos personales deben archivarse de forma segura, aislados de cualquier procesamiento posterior, hasta que sea posible eliminarlos.

7. Procesos de comunicación con los titulares y con la ANPD

BOURBON deberá establecer un canal de comunicación para que la ANPD y los titulares puedan contactar con el Grupo siempre que deseen ejercer sus derechos.

El responsable de operar este canal de comunicación es el Encargado de Datos Personales.

Este canal de comunicación deberá ser publicado en Internet y/o en otros medios que faciliten la divulgación a los titulares ya la ANPD.

Adicionalmente, cuando sea requerido, el Encargado de la DP también deberá atender las solicitudes de información, emitir un informe de impacto a la ANPD y la ocurrencia de incidentes, entre otras exigencias legales que puedan ser reguladas por la ANPD en el futuro.

8. Medidas de Protección

8.1. Protección de Datos Personales en Papel:

Para la correcta protección de los sitios que contienen Datos Personales en papel, se deben implementar los siguientes controles:

a) Estructura física adecuada contra impactos, inundaciones o incendios.

b) Acceso físico restringido y monitoreado.

c) Se debe controlar el ingreso al sitio y el uso de equipos fotográficos y otros que permitan la copia no autorizada de documentos.

Los documentos en papel que contengan Datos Personales y que se encuentren bajo la responsabilidad de BOURBON no podrán ser retirados de las instalaciones del Grupo sin la previa autorización expresa del Titular del DP de ese proceso específico y del Encargado.

8.2. Protección en Dispositivos y Sistemas Personales:

El uso de dispositivos y sistemas personales (computadoras portátiles, tabletas, teléfonos inteligentes, medios portátiles de almacenamiento de datos, mensajería en la nube y sistemas de trabajo en grupo, etc.) puede presentar riesgos para la seguridad de los Datos personales.

Los empleados que necesiten utilizar algún recurso no proporcionado por el Grupo para el tratamiento de Datos Personales, deberán solicitar autorización previa al área de TI y al Encargado quien, a su vez, si entiende que efectivamente se requiere el uso, evaluará el contexto. y debe implementar las medidas de protección necesarias.

El proceso de revisión y autorización debe considerar:

a) La necesidad de utilizar el recurso.

b) Los riesgos para la protección de Datos Personales derivados del uso de este recurso.

c) Realizar las actividades sólo después de asegurar la adopción de las protecciones necesarias.

8.3. Protección de Datos Personales en medios electrónicos

8.3.1 Controles de acceso

El acceso a los sistemas y redes de BOURBON que contengan Datos Personales deberá otorgarse mediante procesos de identificación, autenticación y certificación de usuario y contraseña, debiendo acreditarse la necesidad de acceso para realizar las actividades.

Corresponde al Titular de cada base de Datos Personales determinar los controles adecuados para el derecho de acceso, otorgamiento de privilegios y gestión del acceso otorgado a los Datos Personales bajo su manejo.

8.3.2 Uso de software

La instalación de software no aprobado por BOURBON o el cambio de configuración de los equipos de tecnología de la información (computadoras, notebooks, impresoras, etc.) debe estar prohibido a los usuarios que no tengan esta atribución.

8.3.3 Acceso externo

El acceso externo a los sistemas y equipos sólo deberá otorgarse al personal que efectivamente requiera de este recurso, en casos de necesidad real para la realización de actividades empresariales y que no conlleven riesgos elevados para la protección de Datos Personales.

El acceso externo debe considerar que:

a) La persona al servicio de BOURBON (empleado, consultor, prestador de servicios, personal eventual y otros terceros) deberá obtener autorización específica para el uso remoto de equipos con acceso a datos personales.

b) Los equipos con datos personales no pueden dejarse desprotegidos en áreas públicas, y siempre deben ser transportados por sus usuarios.

c) Los dispositivos y computadoras portátiles deben ser transportados como equipaje de mano y oportunamente descaracterizados para no llamar la atención no deseada, siempre que sea posible.

d) Se debe reforzar el cuidado de la seguridad de los Datos Personales siempre que se manipulen en áreas con menor seguridad física (por ejemplo, fuera de las oficinas administrativas).

e) Cualquier problema relacionado con la protección de Datos Personales deberá ser informado de inmediato al Responsable (DPO) y al respectivo Titular del DP (Propietario del Dato).

8.4. Protección en las transferencias de Datos Personales

Dado que los riesgos de fuga de información son mayores en los procesos que involucran transferencias entre diferentes equipos y/o sistemas, buscando la seguridad y protección de los Datos Personales, los siguientes lineamientos deben ser seguidos por todos los empleados y proveedores de servicios:

a) Se permite el uso de conexiones a la Red Interna y sistemas de Internet para todos los efectos y propósitos del negocio, soporte, servicios y fines específicos de BOURBON. Está prohibido el uso de estas funciones para otros fines.

b) Todo ordenador propiedad de BOURBON o de los prestadores de servicios al servicio de BOURBON, que se encuentre conectado a la Red Interna oa Internet, deberá estar debidamente configurado con sistemas de protección contra la infestación de virus o software malicioso.

c) Todas las computadoras, redes, sistemas y software deben estar sujetos a monitoreo y, por lo tanto, BOURBON podrá, a su discreción, mantener el historial de accesos y transacciones realizadas a través de las conexiones de la Red Corporativa (interna) o Internet (externa). ).

d) La prospección, escaneo o cualquier otra forma de tentativa de invasión a través de mecanismos de prueba no podrá realizarse sin la debida y expresa autorización, configurando así una amenaza y tentativa de apropiación indebida de Datos Personales.

e) Todas las conexiones entre las Redes Internas de BOURBON y otras Redes Externas, incluida Internet, deben estar franquiciadas por un sistema de firewall específico, configurado y aprobado.

f) Los puestos de trabajo deberán estar habilitados con programas específicos, homologados y configurados para el acceso a la Red Interna e Internet, pudiendo inhibirse tal o cual acceso en atención a la solicitud formal del responsable del departamento interesado, del Titular o del Responsable del DP, o para mantener los niveles de seguridad de los Datos Personales.

g) Los servicios de correo electrónico, conexión remota y transferencia de archivos deben estar deshabilitados preferentemente para los usuarios que tengan funciones que no requieran estos servicios.

h) La conexión de los usuarios a las redes (Internas y Externas) debe ocurrir, única y exclusivamente, a través de procesos de identificación, autenticación y certificación de la clave de acceso y contraseña.

i) Deberán implementarse dispositivos de control y seguridad (Servidor Proxy, Firewall y similares) para garantizar la confidencialidad e integridad de los Datos Personales en tránsito a través de estas redes.

j) No descargar software no aprobado, ya que pueden contener código malicioso y generar amenazas a la seguridad de los Datos Personales.

k) Mantener desactivadas las opciones para compartir archivos, conexión automática en redes Wi-Fi y Bluetooth.

l) En cualquier situación, independientemente de lo mencionado anteriormente, todos y cada uno de los archivos provenientes de redes externas o de los usuarios deben, obligatoriamente, ser escaneados por sistemas de protección contra virus y software malicioso.

Todas y cada una de las transferencias de Datos Personales a sistemas y personas ajenas a BOURBON, a través de cualquier medio de comunicación, deben realizarse de manera segura considerando los siguientes controles:

a) Evitar el envío de Datos Personales a través de mensajes de correo electrónico u otros servicios de mensajería. Idealmente, los Datos Personales deben ser accedidos y transferidos únicamente utilizando los propios sistemas y aplicaciones de gestión del Grupo.

b) Si no es posible transferir Datos personales a través de los sistemas que los almacenan, las transferencias de Datos personales a través de mensajes (como archivos adjuntos en correos electrónicos, por ejemplo) solo pueden ocurrir si estos archivos están encriptados o anonimizados.

c) No utilice redes públicas (por ejemplo, wi-fi público) para intercambiar o enviar Datos personales, a menos que esté adoptando funciones de seguridad y encriptación en esta comunicación (por ejemplo, SSL y VPN).

9. Uso de datos y perfiles personales para la toma de decisiones

BOURBON no emplea técnicas para la toma de decisiones automatizadas basadas en el tratamiento electrónico de Datos Personales, que produzcan efectos jurídicos o afecten significativamente a los titulares.

10. Comunicaciones en caso de incidencias

Un incidente de seguridad puede ser cualquier evento que vulnere la protección de Datos Personales y Datos Personales Sensibles.

De acuerdo con la Ley, BOURBON debe notificar a la ANPD y al titular la ocurrencia de un incidente de seguridad que pueda causar un riesgo o daño significativo a los titulares.

El DPO debe realizar el seguimiento, alerta, rendición de cuentas, respuesta, comunicación entre los implicados, documentación y registro de incidencias, abarcando las siguientes actividades:

a) El seguimiento y gestión de incidentes de seguridad relacionados con Datos Personales, esto es, abarcando las bases de datos de los sistemas, archivos y ubicaciones de red que contengan Datos Personales.

b) El tratamiento y registro de las respuestas a las incidencias y las respectivas correcciones aplicadas.

c) Comunicación a los responsables de la protección de Datos Personales, al Responsable y a los respectivos Titulares de los PD, de todos y cada uno de los hechos relacionados con la pérdida o sustracción de Datos Personales.

Corresponderá al Responsable de Datos Personales (DPO) analizar la gravedad de los incidentes, con el apoyo de los respectivos Titulares y de la Junta Directiva. En caso de que se entienda un incidente que cause daño a los interesados e impacte en su privacidad, el Responsable de Datos Personales deberá preparar y realizar la debida comunicación a la ANPD y a los interesados, siguiendo el respectivo proceso operativo implementado en BOURBON.

Conforme a lo previsto en la Ley, la comunicación deberá contener, como mínimo, los siguientes datos sobre lo ocurrido:

a) Una descripción de la naturaleza de los datos personales afectados.

b) Información sobre los titulares afectados.

c) Indicación de las medidas técnicas y de seguridad utilizadas para la protección de datos, observando secretos comerciales e industriales.

d) Los riesgos relacionados con el incidente.

e) Los motivos de la demora, en caso de que la comunicación no fuera inmediata.

f) Las medidas que se hayan adoptado o se adoptarán para revertir o mitigar los efectos del daño.

11. Actualización de la política

BOURBON puede, en cualquier momento, hacer revisiones o actualizaciones oportunas a esta política. Las actualizaciones de esta política entrarán en vigencia tan pronto como se publiquen en el sitio web institucional del Grupo.

12. Glosario

• Anonimización: uso de medios técnicos razonables disponibles en el momento del tratamiento, a través del cual los datos pierden la posibilidad de asociación, directa o indirecta, con un individuo.ANPD: Autoridad Nacional de Protección de Datos - organismo indirecto de la administración pública responsable de garantizar, implementar y monitorear cumplimiento de la LGPD. Base de datos: conjunto estructurado de datos, que puede contener datos de carácter personal, en soporte electrónico o físico. Bloqueo: suspensión temporal de cualquier operación de tratamiento, en el momento del almacenamiento de los datos personales o de la base de datos. Consentimiento: expresión libre, informada e inequívoca mediante el cual el interesado consiente el tratamiento de sus datos personales para una finalidad determinada. Responsable: persona natural o jurídica responsable de determinar la finalidad y los medios del tratamiento de los Datos Personales llevado a cabo por el propio Grupo o por el Operador. Datos Anonimizados: datos relativos al titular que no pueda ser identificado, considerando el uso medios técnicos razonables disponibles en el momento del tratamiento. Datos Personales: información relativa a una persona física identificada o identificable. Datos Personales Sensibles: datos personales sobre origen racial o étnico, convicción religiosa, opinión política, afiliación sindical u organización de carácter religioso, filosófico o carácter político, datos relativos a la salud o la vida sexual, datos genéticos o biométricos, cuando estén vinculados a una persona física.Eliminación: supresión de datos o de un conjunto de datos almacenados en una base de datos, independientemente del procedimiento empleado.Datos Personales: Función BOURBON indicada actuar como canal de comunicación entre el Grupo, los interesados y la ANPD. Ley: la misma que la LGPD. LGPD: Ley General de Protección de Datos Personales, Ley 13.709/2018 proveedor de servicios externo, subcontratado, que realiza la recolección, y/o uso, y/o tratamiento de Datos Personales de los cuales BOURBON es responsable del tratamiento Portabilidad de Datos Personales es: transferencia del tratamiento de DP a otro proveedor de servicios o productos, previa solicitud expresa del titular de los datos Titular de los Datos Personales: persona o grupo de personas responsables de la recolección y tratamiento de los datos personales Titular de los Datos: persona física a quien se refieren los datos personales que sean objeto de tratamiento Tratamiento: toda operación que se realice con datos personales, tales como las referidas a la recolección, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación o control de la información, modificación, comunicación, transferencia, difusión o extracción.

Para solicitar más información sobre nuestras prácticas de procesamiento de datos, o para comunicarse con el Oficial de Protección de Datos de Bourbon, haga clic aquí.