Política Interna de Privacidade e Governança de Dados Pessoais

ENTOURAGE

POLÍTICA INTERNA DE PRIVACIDADE E GOVERNANÇA DE DADOS PESSOAIS

Esta política define as diretrizes e padrões que orientam o tratamento de dados pessoais  na Entourage, visando garantir a conformidade com a legislação aplicável e aderência às  melhores práticas de proteção de dados.  

Seu  escopo  abrange  todos  os  colaboradores,  parceiros  e  fornecedores  envolvidos  em  operações de tratamento de dados pessoais nas atividades da empresa. 

Recomenda-se a  leitura  com  bastante  atenção  e  procure  sempre  o  ponto  focal  da  Entourage para sanar qualquer dúvida. 

Agradecemos por sua dedicação e colaboração!

Sumário

• RESPONSABILIDADE E GOVERNANÇA
• CONCEITOS IMPORTANTES
• MINIMIZAÇÃO DE DADOS PESSOAIS
• PRIVACIDADE BY DESIGN E BY DEFAULT
• BASE LEGAIS PARA O TRATAMENTO DE DADOS
• DIREITO DOS TITULARES DE DADOS
• PROCESSOS DE COLETA E TRATAMENTO DE DADOS PESSOAIS
• SEGURANÇA DA INFORMAÇÃO E GESTÃO DE RISCOS
• TREINAMENTO E CONSCIENTIZAÇÃO
• GERENCIAMENTO DE CONTRATOS
• ADOÇÃO DAS MELHORES PRÁTICAS
• AVALIAÇÕES E MONITORAMENTO 
• SANÇÕES E CONSEQUÊNCIAS EM CASO DE NÃO CONFORMIDADE 
• COMUNICAÇÃO E NOTIFICAÇÃO 
• CONCLUSÃO

RESPONSABILIDADE E GOVERNANÇA

Como diz o ditado, “uma corrente é tão forte quanto o seu elo mais fraco”. 

A segurança da informação é uma responsabilidade de proteger os dados da organização.  É, ainda, uma responsabilidade de  todos os colaboradores, independentemente de seu  cargo. Qualquer pessoa, por descuido ou intenção maliciosa, pode se tornar um vetor de  divulgação não autorizada de informações, dentre outras ações maliciosas. 

A Entourage se compromete a fornecer orientações e o devido suporte para garantir a  segurança das informações, conforme exigido pelas leis aplicáveis. Isso envolve a criação  de políticas claras, alinhadas com os objetivos da empresa, assim como a publicação e  manutenção de tais políticas.  

É importante garantir que os colaboradores, fornecedores e terceiros estejam cientes de  suas  obrigações  e  cumpram  seus  respectivos  papéis,  visando  minimizar  riscos relacionados às atividades, além de promover comportamentos em conformidade com os  padrões éticos da organização. Para alcançar esses objetivos, a Entourage implementará  iniciativas  para  garantir  que  todos  os  funcionários,  fornecedores  e terceiros tenham  acesso  às  informações  que  servirão  de  suporte  para  que  as  medidas  de  segurança  possíveis sejam observadas para o bem da segurança da informação. 

É dever dos colaboradores, funcionários e terceirizados:

(a) Respeitar integralmente as políticas, diretrizes e procedimentos de segurança da informação da Entourage;

(b) Procurar a gestão para esclarecer dúvidas relacionadas a esta e outras políticas; 

(c) Garantir a proteção das informações prevenindo acesso, divulgação, alteração ou  destruição não autorizada pela Entourage; 

(d) Assegurar  que  os  equipamentos  e  recursos  tecnológicas  à  disposição  sejam  utilizados exclusivamente para os propósitos aprovados pela Entourage; 

(e) Comunicar imediatamente à gestão qualquer violação às políticas, bem como de  suas normas e procedimentos; e 

(f) Participar de treinamentos e ações de aculturamentos indicadas pela Entourage. 

Para garantir o cumprimento e efetividade destes princípios, a gestão da Entourage está comprometida a: 

(a) Dar aprovação a esta e outras políticas e suas futuras atualizações; 

(b) Adotar um comportamento exemplar em relação à segurança da informação,  para  servir  como  um  modelo  de  conduta  para  os  colaboradores  sob  sua  supervisão; 

(c) Informar,  durante  a  fase  de  contratação  e  formalização  dos  contratos  individuais  de  trabalho  e/ou  serviços  para  terceirizados,  sobre  a  responsabilidade de cumprir as políticas da Entourage; 

(d) Solicitar  que  parceiros,  fornecedores  de  serviços  e  outras  organizações  externas  concordem  com  a  assinatura  de  um  termo  de  confidencialidade  relacionado às informações a que terão acesso; 

(e) Desenvolver, com suporte das áreas internas competentes, os procedimentos  de  segurança  da  informação  relacionados  às  suas  áreas,  fornecendo  as  informações necessárias e garantindo sua manutenção atualizada; 

(f) Comunicar, quando preciso, as atualizações relativas a processos e/ou registros  de colaboradores, a fim de possibilitar a concessão ou retirada de permissões  conforme a exigência; e 

(g) Desenvolver o programa de governança em proteção de dados da empresa, nos  termos das leis aplicáveis.

CONCEITOS IMPORTANTES:

Sem prejuízo de outras definições constantes das leis aplicáveis: 

(a) Agentes de Tratamento: o Controlador e o Operador; 

(b) ANPD:  Autoridade  Nacional  de  Proteção  de  Dados,  órgão  responsável  pela  fiscalização e aplicação da LGPD; 

(c) Controlador:  pessoa  natural  ou  jurídica,  de  direito  público  ou  privado,  a  quem  competem à tomada de decisões referentes ao tratamento de dados pessoais; 

(d) Dados Pessoais: toda e qualquer informação que torne uma pessoa identificada ou  identificável.  Essas  informações  podem  incluir  dados  cadastrais  em  geral,  o  nome,  o endereço, o número de telefone, o endereço de e-mail, a data de nascimento, a profissão,  dados financeiros e até mesmo coisas como a cor dos olhos ou a altura; 

(e) Dados Pessoais Sensíveis: dado pessoal sobre origem racial ou étnica, convicção  religiosa,  opinião  política,  filiação  a  sindicato  ou  a  organização  de  caráter  religioso,  filosófico  ou  político,  dado  referente  à  saúde  ou  à  vida  sexual,  dado  genético  ou  biométrico,  quando  vinculado a  uma  pessoa. São exemplos  de alguns  deles: biometria  facial, impressão digital, identidade de gênero, etc.; 

(f) LGPD: Lei Geral de Proteção de Dados Pessoais (Lei Federal 13.709/2018); 

(g) Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o  tratamento de dados pessoais em nome e sob comando do controlador; 

(h) Segurança  da  Informação:  conjunto  de  ações  que  visam  à  preservação  da  confidencialidade, integridade e disponibilidade da informação; 

(i) Titular de Dados: pessoa a quem se referem os dados pessoais; e 

(j) Tratamento de Dados: toda operação realizada com dados pessoais, como as que  se  referem  à  coleta,  produção,  recepção,  classificação,  utilização,  acesso,  reprodução,  transmissão,  distribuição,  processamento,  arquivamento,  armazenamento,  eliminação,  avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou  extração.

MINIMIZAÇÃO DE DADOS PESSOAIS

Considerando  os  tratamentos  de  dados  pessoais  realizados  pela  Entourage e  suas  respectivas  finalidades e  bases legais,  se  o dado não  for necessário para  o  tratamento  proposto, ele não deve ser utilizado e muito menos mantido. 

Tratar dados pessoais sem uma utilidade concreta, apenas porque um dia poderão ser  úteis (sem se saber exatamente para quê) não é uma prática adequada. 

A minimização é uma das boas práticas que decorrem das disposições da LGPD. Logo, a conduta mais adequada no tratamento de dados é coletar, utilizar e armazenar apenas o  que  for  necessário,  de  acordo  com  a  finalidade  das  atividades.  A  prática  reduz  o  tratamento excessivo e desnecessário de dados pessoais. 

Por isso, minimize a quantidade de dados pessoais sob o domínio da Entourage, sempre  que  for  possível.  Ao  se  encontrar  em  uma  situação  que  houver  dúvidas  sobre  o  tratamento de algum dado específico, questione: o dado é necessário (necessário para o  propósito), relevante (possui conexão lógica com o propósito), ou adequado (suficientes  para atender  completamente  o  propósito  determinado)?  Caso a  resposta  para alguma  dessas perguntas seja não, significa que você não deve coletar ou manter este dado. 

Além disso, a minimização de dados pessoais é eficaz para o gerenciamento de riscos, pois  quanto menos dados pessoais uma organização coleta e armazena, menos dados estarão  vulneráveis a incidentes de segurança.

PRIVACIDADE BY DESIGN E BY DEFAULT

A Entourage aplica os princípios de Privacidade desde a Concepção (Privacy by Design) e  Privacidade por Padrão (Privacy by Default) em todos os seus processos.  

Avaliações de Impacto à Proteção de Dados (RIPD) são realizadas para projetos de alto  risco, garantindo que a privacidade seja considerada desde o início. 

Sistemas  e  aplicativos  são  configurados  para  coletar  e  processar  apenas  os  dados  estritamente  necessários,  com  controles  de  acesso  baseados  no  princípio  do  menor  privilégio.

BASES LEGAIS PARA O TRATAMENTO DE DADOS 

A  Entourage  fundamenta  suas  operações  de  tratamento  de  dados  em  bases  legais  adequadas, conforme previsto na LGPD. As principais bases legais incluem: 

(a) Consentimento: Obtido de forma clara e inequívoca, por exemplo, para envio de  newsletters ou participação em promoções; 

(b) Execução  de  contrato:  Tratamento  necessário  para  a  venda  de  ingressos  e  prestação de serviços relacionados a eventos;

(c) Obrigação legal: Utilizado para fins fiscais, trabalhistas e outras exigências legais. 

(d) Legítimo  interesse:  Aplicado  após  avaliação  de  proporcionalidade,  para  atividades como prevenção de fraudes e segurança em eventos; e 

(e) Proteção da vida ou incolumidade física: Invocada em situações de emergência  durante eventos.

DIREITOS DOS TITULARES DE DADOS 

Sem prejuízo dos demais direitos dos titulares garantidos pela LGPD, a Entourage garante  aos titulares de dados os seguintes direitos: 

(a) Confirmação de tratamento e acesso aos dados; 

(b) Correção de dados incompletos, inexatos ou desatualizados; (c) Anonimização, bloqueio ou eliminação de dados desnecessários; (d) Portabilidade dos dados, mediante solicitação; e 

(e) Revogação do consentimento e oposição ao tratamento de dados pessoais. 

Os  titulares  podem  exercer  esses  direitos  por  meio  de  um  canal  de  comunicação  específico.  As  solicitações  deverão  ser  processadas  e  atendidas  dentro  dos  prazos  previstos na LGPD e na regulação da ANPD. 

PROCESSOS DE COLETA E TRATAMENTO DE DADOS PESSOAIS

Os processos de coleta e tratamento de dados pessoais são desenhados para garantir o  cumprimento dos princípios de proteção de dados. A coleta é limitada ao estritamente  necessário  e  os  titulares  são  informados  de  maneira  clara  sobre  a  finalidade  do  tratamento. 

Os dados são armazenados em sistemas seguros, com acesso controlado e períodos de  retenção previamente definidos. O processamento é realizado em conformidade com as  finalidades informadas e apenas pessoas autorizadas têm acesso aos dados. 

SEGURANÇA DA INFORMAÇÃO E GESTÃO DE RISCOS 

A Entourage adota rigorosas medidas de segurança da informação, incluindo: (a) Controles de acesso físico e lógico; 

(b) Criptografia de dados sensíveis; e 

(c) Backups regulares e sistemas de detecção de intrusão. 

TREINAMENTO E CONSCIENTIZAÇÃO 

A  Entourage  mantém  um  programa  contínuo  de  treinamento  e  conscientização  sobre  privacidade  e  proteção  de  dados.  Todos  os  novos  colaboradores  participam  de  treinamentos obrigatórios e, anualmente, são realizados treinamentos de atualização.  

Colaboradores  que  lidam  diretamente  com  dados  pessoais  recebem  treinamentos  especializados. 

Campanhas  regulares  de  conscientização  reforçam  a  importância  da  privacidade,  promovendo uma cultura organizacional voltada à proteção de dados.

GERENCIAMENTO DE CONTRATOS

Visando assegurar a  privacidade e a  proteção  de  dados,  também é  necessário  revisar,  adequar  e  formular  instrumentos  contratuais  que,  de  alguma  forma,  contemplem  tratamento de dados pessoais. 

Algumas  cláusulas  importantes  que  merecem  atenção  são:  delimitação  de  responsabilidade entre os agentes de tratamento; regras de compartilhamento de dados;  orientações  sobre  o  tratamento  a  ser  realizado;  vedação  a  tratamentos  incompatíveis  com as orientações do controlador.

Caso a Entourage terceirize algum serviço interno, como gestão de pessoas, benefícios,  folhas de pagamento, dentre outros, é recomendável que se estabeleçam contratos com  os  fornecedores  que  incluam,  além  das  cláusulas  mencionadas  no  parágrafo  anterior,  obrigações relacionadas à segurança da informação. 

E, de forma a proteger não somente dados pessoais, mas também qualquer informação  confidencial,  é  recomendável  a  formalização  de  termos  de  confidencialidade  (non disclosure agreement – NDA), para que os envolvidos se comprometam a não divulgar  informações confidenciais da Entourage. 

Recomenda-se,  ainda,  a  realização  de rigorosa  due  diligence  antes  de  contratar  fornecedores que tratam dados pessoais em seu nome, assim como auditorias periódicas,  especialmente em  fornecedores críticos. Relatórios de conformidade são exigidos para  garantir que os padrões de proteção de dados sejam mantidos. 

Todas as recomendações aplicáveis aos fornecedores também são válidas às relações com  os parceiros de negócio da Entourage.

ADOÇÃO DAS MELHORES PRÁTICAS

As medidas de segurança e as políticas internas só serão efetivas se postas em prática.  Por isso é necessário que todos na Entourage sejam informados e atualizados sobre as  obrigações legais existentes na LGPD e em normas correlatas. É essencial a realização de  treinamentos  pela  Entourage,  criando  um  ambiente  organizacional  que  incentive  a  segurança da informação. 

Um exemplo disso é utilizar os controles de segurança dos sistemas de TI relacionados às  atividades  diárias.  Isso  inclui,  por  exemplo,  utilizar  senhas  fortes  e  atualizadas  regularmente,  além  de  garantir  que  os  sistemas  estejam  atualizados  com  as  devidas  correções de segurança. É altamente recomendado não compartilhar logins e senhas de  acesso às estações de trabalho. 

Cada funcionário deve ter sua própria identificação e senha, garantindo a individualidade  e a responsabilidade pelo acesso aos sistemas. Ao se afastar das estações de trabalho, é  importante  bloquear  os  computadores  para  impedir  o  acesso  não  autorizado  por  terceiros.  Essa  simples  prática  ajuda  a  manter  a  segurança  dos  dados  e  preserva  a  privacidade dos titulares de dados pessoais.  

É  fundamental  também  evitar  a  exposição  da  Entourage  a  incidentes  de  segurança  comuns, como contaminação por vírus ou ataques cibernéticos. Para isso, é necessário  ter  cuidado  ao  clicar  em links  desconhecidos  ou  em  pop-ups  de  ofertas  promocionais  recebidas. Verificar a procedência dos links e evitar abrir anexos suspeitos em e-mails  são práticas importantes para se proteger contra possíveis ameaças. 

Outra medida de segurança é manter documentos físicos que contenham dados pessoais  armazenados  dentro  de  gavetas  com  trancas,  em  vez  de  deixá-los  expostos  sobre  as  mesas.  Isso  evita  o  acesso  indevido  a  informações  confidenciais  e  reduz  os  riscos  de  violação de dados.  

Por  fim, é  fundamental seguir as orientações estabelecidas na política de segurança da  informação da organização. Essas diretrizes têm o objetivo de orientar os colaboradores  sobre as melhores práticas de segurança, garantindo a proteção dos dados e a integridade  dos sistemas.  

Ao adotar essas medidas, é possível fortalecer a segurança dos sistemas de TI e reduzir  os riscos de incidentes de segurança. A conscientização e a adoção de práticas seguras  por  parte  de  todos  os  funcionários  são  essenciais  para  proteger  a  organização  e  seus  dados contra ameaças cibernéticas.

AVALIAÇÕES E MONITORAMENTO 

A conformidade com esta política é avaliada por meio de auditorias internas anuais. Não  conformidades  identificadas  são  tratadas  por  meio  de  planos  de  ação  corretiva.  Um  sistema  de  monitoramento  contínuo,  baseado  em  indicadores-chave  de  desempenho  (KPIs), permite o acompanhamento constante do estado de conformidade. 

Esta  política  deve  ser revisada  anualmente  ou  sempre  que  houver  mudanças  significativas nas leis aplicáveis ou nas operações da empresa.

SANÇÕES E CONSEQUÊNCIAS EM CASO DE NÃO CONFORMIDADE 

O  descumprimento  desta  política  pode  resultar  em  sanções  internas,  que  variam  de  advertências a rescisão contratual, dependendo da gravidade da violação. A Entourage  reconhece  que  infrações  podem  levar  a  consequências  legais,  como  multas  e  outras  penalidades previstas na LGPD e demais legislações aplicáveis.

COMUNICAÇÃO E NOTIFICAÇÃO 

Esta  política  é  comunicada  amplamente  aos  colaboradores  por  meio  da  intranet e  atualizações  importantes  são  divulgadas  por  e-mail  e  em  reuniões  específicas.  A  Entourage dispõe de um canal confidencial para denúncias de violações de privacidade,  assegurando a não retaliação aos denunciantes de boa-fé.

A política entra em  vigor na data de sua publicação e deve ser cumprida por  todos os  colaboradores, parceiros e fornecedores. A Entourage reafirma seu compromisso com a  proteção da privacidade e dos dados pessoais, reconhecendo sua importância no cenário  digital contemporâneo.

CONCLUSÃO

Essa Política tem caráter introdutório ao programa de governança que a Entourage tem  constantemente desenvolvido com relação à privacidade e à proteção de dados pessoais,  enfatizando a  importância  da implementação  prática  de  medidas  de segurança  e  privacidade dos dados. 

Ao  mesmo  tempo, promove  uma  cultura  de  conscientização  e  responsabilidade na  organização. 

Minimizar  a  coleta  de  dados,  adotar  as  melhores  práticas  do  mercado, promover  a  conscientização,  gerenciar  contratos  e  obrigações  de  forma  específica  e  manter  a  confidencialidade são fundamentais para garantir as obrigações previstas na LGPD. 

A Entourage está empenhada em construir um ambiente seguro e ético para o tratamento  de  dados  pessoais  com  melhoria  contínua,  acompanhando  os  padrões  regulatórios  e  tecnológicos. Juntos, mantemos a conformidade legal esperada e fortalecemos a confiança  de nossos colaboradores, parceiros e clientes. 

Versão: v.1 

Data de publicação: 01/01/2025