1. Meta

La presente política establece los lineamientos y normas para la realización de actividades que involucren el tratamiento y garantía de la privacidad y protección de Datos Personales, es decir, datos de las personas naturales (“Titular”) con los que ALLURE MOEMA se relaciona para el desarrollo de sus actividades comerciales.

Todas las actividades relacionadas con los negocios de ALLURE MOEMA que tratan Datos Personales se guían por esta política, que tiene como objetivo proteger los derechos fundamentales de libertad e intimidad y el libre desarrollo de la personalidad de la persona física.

2. Cumplimiento de leyes y reglamentos

Esta Política fue elaborada para cumplir con los requisitos de la ley modificada por la ley (LGPD o “Ley”), conocida en Brasil como la “Ley General de Protección de Datos”, especialmente en los términos de su Artículo 50, que trata sobre las buenas prácticas. y de la gobernanza de la seguridad de los Datos Personales, copiados a continuación:

Arte. 50. Los controladores y operadores, en el ámbito de sus competencias, para el tratamiento de datos personales, individualmente o a través de asociaciones, podrán formular reglas de buenas prácticas y gobierno que establezcan las condiciones organizativas, el régimen de funcionamiento, los procedimientos, incluidas las quejas y peticiones de los titulares, reglas de seguridad, normas técnicas, obligaciones específicas de los distintos intervinientes en el tratamiento, acciones educativas, mecanismos internos de supervisión y mitigación de riesgos y demás aspectos relacionados con el tratamiento de datos personales.

• 1 Al establecer reglas de buenas prácticas, el responsable del tratamiento y el operador tendrán en cuenta, en relación con el tratamiento y los datos, la naturaleza, el alcance, la finalidad y la probabilidad y gravedad de los riesgos y beneficios derivados del tratamiento de los datos del titular .

• 2.º En aplicación de los principios señalados en los incisos VII y VIII del caput del art. 6 de esta Ley, el responsable del tratamiento, sujeto a la estructura, escala y volumen de sus operaciones, así como a la sensibilidad de los datos tratados y a la probabilidad y gravedad de los daños a los interesados, podrá:

I – Implementar un programa de gobernanza de la privacidad que, como mínimo:

a) demuestra el compromiso del controlador de adoptar procesos y políticas internas que aseguren el cumplimiento integral de las normas y buenas prácticas relacionadas con la protección de datos personales;

b) es aplicable a todo el conjunto de datos personales bajo su control, independientemente de cómo hayan sido recopilados;

c) adaptarse a la estructura, escala y volumen de sus operaciones, así como a la sensibilidad de los datos tratados;

d) establecer políticas y salvaguardas adecuadas basadas en un proceso sistemático de evaluación de impactos y riesgos para la privacidad;

e) tenga por objeto establecer una relación de confianza con el titular, mediante una actuación transparente y que asegure mecanismos de participación del titular;

f) está integrado en su estructura general de gobierno y establece y aplica mecanismos de supervisión interna y externa;

g) contar con planes de respuesta y remediación de incidentes; Es

h) se actualiza constantemente con base en la información obtenida del monitoreo continuo y las evaluaciones periódicas;

II – Demostrar la eficacia de su programa de gobernanza de la privacidad cuando corresponda y, en particular, a solicitud de la autoridad nacional u otra entidad responsable de promover el cumplimiento de las buenas prácticas o códigos de conducta, que, de manera independiente, promuevan el cumplimiento de esta Ley.

3º Las normas de buenas prácticas y de gobierno deberán ser publicadas y actualizadas periódicamente y podrán ser reconocidas y divulgadas por la autoridad nacional.

3. Definiciones de datos personales y protección de datos personales

Los datos personales son información relativa a una persona viva, identificada o identificable. También constituyen datos personales el conjunto de informaciones distintas que pueden conducir a la identificación de una persona en particular.

De acuerdo con la LGPD (Artículo 5.) y otras referencias similares, se considera:

I – DATOS PERSONALES: información relativa a una persona física identificada o identificable.

II – DATOS PERSONALES SENSIBLES: datos personales sobre origen racial o étnico, convicción religiosa, opinión política, afiliación sindical u organización religiosa, filosófica o política, datos referentes a la salud o vida sexual, datos genéticos o biométricos, cuando se vinculen a una persona física.

III – DATOS ANONIMIZADOS: datos relativos al titular que no puede ser identificado, considerando el uso de medios técnicos razonables disponibles en el momento del tratamiento.

Los datos personales son necesarios en diferentes actividades comerciales en ALLURE MOEMA. Los Datos Personales pueden tener diversas formas de representación, almacenamiento y transporte, y su significado y valor dependen del contexto en el que se encuentren, pudiendo ser, por ejemplo:

a) En papel: listas de asistencia, formularios de registro en papel, informes, memorandos, cartas, etc.

b) En medios digitales: archivos digitales grabados en discos, SSD, unidades flash, cintas, CD, etc.

c) En sonido: grabación de reuniones y otras actividades, contestador automático, etc.

d) En imagen: fotos de personas y sus documentos, videos que contengan personas, etc.

La protección de Datos Personales debe garantizar derechos fundamentales y básicos de las personas, tales como el respeto a la intimidad, la dignidad y la autodeterminación; libertad de expresión, información, comunicación y opinión; la inviolabilidad de la intimidad, el honor y la imagen; libre empresa y libre competencia; protección al consumidor y otros derechos humanos relacionados con la personalidad y el ejercicio de la ciudadanía.

Para lograr los objetivos de protección de Datos Personales, los empleados y proveedores de servicios de ALLURE MOEMA deben seguir las prácticas determinadas en esta Política de Privacidad y Protección de Datos Personales y en los procedimientos operativos relacionados con este documento, que establecen lineamientos y estándares para la seguridad de los datos personales. datos.

4. Derechos de los titulares:

Los Titulares de los datos recabados y tratados por ALLURE MOEMA tienen los siguientes derechos en relación con sus Datos Personales tratados por el Grupo.

a) Confirmación de la existencia de tratamiento de sus Datos Personales.

b) Consulta gratuita de acceso a sus Datos Personales.

c) Rectificación de sus Datos Personales, cuando los datos sean incompletos, inexactos o desactualizados.

d) Eliminación de sus Datos Personales, cuando los datos sean innecesarios, excesivos o tratados en violación de la Ley, incluso cuando exista consentimiento del titular, siempre que los datos personales no sean utilizados para cumplir con obligaciones legales y reglamentarias.

e) Portabilidad de sus Datos Personales a otro proveedor de servicios o productos, previa solicitud expresa del titular.

f) Información de entidades públicas y privadas con las que el Grupo haya compartido sus Datos Personales.

g) Información sobre la posibilidad de no prestar su consentimiento para el tratamiento de sus Datos Personales.

h) Revocación del consentimiento para el tratamiento de sus Datos Personales.

5. Recopilación, uso y procesamiento de datos personales

ALLURE MOEMA recaba, utiliza y trata Datos Personales para atender los intereses legítimos del Grupo, comprometiéndose a cumplir con toda la legislación aplicable en materia de protección de Datos Personales, asegurando que sean recabados, utilizados y tratados de conformidad con lo dispuesto en la LGPD y otras leyes y reglamentos aplicables, si los hubiere.

Los datos personales no se recopilan y procesan sin un propósito. La recolección podrá ocurrir, cuando sea necesario, para establecer la relación comercial entre ALLURE MOEMA y sus empleados, clientes y socios comerciales, para la ejecución de un contrato o para el cumplimiento de una obligación legal a la que ALLURE MOEMA esté sujeta.

Al recabar Datos Personales, ALLURE MOEMA informará previamente, de forma transparente, clara e inequívoca, cuáles son las finalidades del tratamiento de esos datos personales y durante cuánto tiempo serán retenidos y tratados, cuando sea posible establecer este tiempo.

En todos los casos en que los datos personales recabados no sean anonimizados y la recogida no tenga por objeto (i) el cumplimiento de una obligación legal o reglamentaria, (ii) la ejecución de un contrato o trámites previos relacionados con un contrato del que sea titular una parte, (iii) el ejercicio regular de los derechos en procedimientos judiciales, administrativos o arbitrales, y (iv) la protección del crédito, ALLURE MOEMA deberá solicitar el consentimiento expreso del titular de los datos, y dicho consentimiento deberá ser registrado y archivado en medios digitales o impresos. .

Siempre que existan cambios en la finalidad, ALLURE MOEMA deberá informar previamente al titular sobre los cambios y solicitar un nuevo consentimiento, pudiendo el titular revocar el consentimiento, en caso de que no esté de acuerdo con los cambios.

Cuando el tratamiento de datos personales sea una condición para que ALLURE MOEMA le proporcione un producto o servicio, o para el ejercicio de su derecho, se informará al titular con énfasis sobre este hecho y sobre los medios a través de los cuales puede ejercer los derechos enumerados en la Ley.

5 .1. Nuevos proyectos y procesos para cambios de Datos Personales

Cualquier nueva actividad de Tratamiento de Datos Personales deberá ser debidamente comunicada por los Titulares al Encargado del DP, incluso involucrando a este último en la planificación de nuevos proyectos que puedan implicar la recolección y tratamiento de Datos Personales, a fin de que los riesgos para la protección de datos personales se evalúen y aborden en su totalidad.

En los procesos normales de operación del negocio, toda modificación de los Datos Personales deberá ser comunicada al Responsable del DP, de forma manual o automática (integración sistémica), para que actualice los registros en su(s) herramienta(s). ) de mando. Este proceso de comunicación/integración incluye tanto cambios en la estructura de datos como en los registros, por ejemplo:

Nuevos Datos Personales recopilados en los sistemas/procesos actuales.

Alteración, corrección o eliminación de registros de Datos Personales en los sistemas/procesos actuales.

Cambios en la estructura de las bases de Datos Personales de los sistemas/procesos existentes.

6. Eliminación de datos personales

Al final del período de uso o cuando finalice el propósito para el cual se recopilaron y procesaron ciertos Datos Personales, los Titulares de DP deben eliminar los Datos Personales relacionados, utilizando métodos seguros de eliminación, o en forma anónima, para fines estadísticos. Siempre que sea posible, estos descartes deben ser evidentes.

En los casos en que ALLURE MOEMA no pueda eliminar los Datos personales para cumplir con los requisitos legales o por alguna otra necesidad legítima, los Datos personales deben archivarse de forma segura, aislados de cualquier procesamiento posterior, hasta que sea posible eliminarlos.

7. Procesos de comunicación con los titulares y la ANPD

ALLURE MOEMA deberá establecer un canal de comunicación para que la ANPD y los titulares puedan contactar con el Grupo siempre que deseen ejercer sus derechos.

El encargado de operar este canal de comunicación es el Encargado de Datos Personales.

Este canal de comunicación deberá ser publicado en Internet y/o en otros medios que faciliten la divulgación a los titulares ya la ANPD.

Adicionalmente, cuando sea requerido, el Encargado de DP también deberá atender las solicitudes de información, emitiendo un informe de impacto a la ANPD y la ocurrencia de incidentes, entre otras exigencias legales que puedan ser reguladas en el futuro por la ANPD.

8. Medidas de Protección

8.1. Protección de Datos Personales en Papel:

Para la correcta protección de los lugares que contienen Datos Personales en papel, se deben implementar los siguientes controles:

a) Estructura física adecuada contra impactos, inundaciones o incendios.

b) Acceso físico restringido y monitoreado.

c) Deberá controlarse el ingreso al recinto y el uso de equipos fotográficos y otros que permitan la copia no autorizada de documentos.

Los documentos en papel que contengan Datos Personales y que se encuentren bajo la responsabilidad de ALLURE MOEMA no podrán ser retirados de las instalaciones del Grupo sin previa autorización expresa del Titular del DP de ese proceso específico y del Encargado.

8.2. Protección en Dispositivos y Sistemas Personales:

El uso de dispositivos y sistemas personales (portátiles, tabletas, teléfonos inteligentes, medios portátiles de almacenamiento de datos, mensajería en la nube y sistemas de trabajo en grupo, etc.) puede suponer riesgos para la seguridad de los Datos Personales.

Los colaboradores que necesiten utilizar algún recurso no proporcionado por el Grupo para el tratamiento de Datos Personales, deberán solicitar autorización previa al área de TI y al Encargado del DP quien, a su vez, si entiende que efectivamente se requiere el uso, evaluará el contexto y aplicará las medidas de protección necesarias.

El proceso de análisis y autorización debe considerar:

a) La necesidad de utilizar el recurso.

b) Riesgos para la protección de Datos Personales derivados del uso de este recurso.

c) Realizar las actividades sólo después de garantizar la adopción de las protecciones necesarias.

8.3. Protección de Datos Personales en medios electrónicos

8.3.1 Controles de acceso

El acceso a los sistemas y redes de ALLURE MOEMA que contengan Datos Personales deberá otorgarse mediante procesos de identificación, autenticación y certificación de usuario y contraseña de acceso, y deberá acreditarse la necesidad del acceso para realizar actividades.

Corresponde al Titular de cada base de Datos Personales determinar los controles adecuados para los derechos de acceso, otorgar privilegios y gestionar el acceso otorgado a los Datos Personales bajo su gestión.

8.3.2 Uso de software

La instalación de software no aprobado por ALLURE MOEMA o el cambio de configuración de los equipos de tecnología de la información (computadoras, notebooks, impresoras, etc.) debe estar prohibido a los usuarios que no tengan esta atribución.

8.3.3 Acceso externo

El acceso externo a los sistemas y equipos sólo deberá otorgarse al personal que efectivamente requiera de este recurso, en aquellos casos de real necesidad para la realización de actividades empresariales y que no conlleven altos riesgos para la protección de Datos Personales.

El acceso externo debe considerar que:

a) La persona que trabaja para ALLURE MOEMA (empleado, consultor, proveedor de servicios, trabajadores temporales y otros terceros) debe obtener autorización específica para el uso remoto de equipos con acceso a datos personales.

b) Los equipos con datos personales no pueden dejarse desprotegidos en áreas públicas, y siempre deben ser transportados por sus usuarios.

c) Los dispositivos portátiles y las computadoras deben transportarse como equipaje de mano y desmarcarse oportunamente para no llamar la atención no deseada, siempre que sea posible.

d) Se debe tener cuidado para garantizar la seguridad de los Datos Personales siempre que se manipulen en áreas con menor seguridad física (por ejemplo, fuera de las oficinas administrativas).

e) Cualquier problema relacionado con la protección de Datos Personales deberá ser informado de inmediato al Responsable (DPO) y al respectivo Titular del DP (Propietario del Dato).

8.4. Protección de Transferencias de Datos Personales

Dado que los riesgos de fuga de información son mayores en los procesos que involucran transferencias entre diferentes equipos y/o sistemas, con miras a la seguridad y protección de los Datos Personales, todos los empleados y proveedores de servicios deben seguir las siguientes pautas:

a) Se permite el uso de conexiones a la Red Interna ya los sistemas de Internet para todos los efectos y propósitos del negocio, soporte, servicios y objetivos específicos de ALLURE MOEMA. Queda prohibido el uso de estos recursos para otros fines.

b) Cualquier computadora propiedad de ALLURE MOEMA o propiedad de los proveedores de servicios que atienden a ALLURE MOEMA, que se encuentre conectada a la Red Interna oa Internet, deberá estar debidamente configurada con sistemas de protección contra la infestación de virus o software malicioso.

c) Todas las computadoras, redes, sistemas y software deben estar sujetos a monitoreo y, por lo tanto, ALLURE MOEMA podrá, a su discreción, mantener el historial de accesos y transacciones realizadas a través de las conexiones de la Red Corporativa (internas) o Internet ( externo).

d) Sin la debida y expresa autorización, no podrán realizarse prospecciones, barridos o cualquier otra forma de tentativa de invasión a través de mecanismos de prueba, configurando así una amenaza y tentativa de apropiación indebida de Datos Personales.

e) Todas las conexiones entre las Redes Internas de ALLURE MOEMA y otras Redes Externas, incluida Internet, deben realizarse obligatoriamente a través de un sistema de firewall específico, configurado y aprobado.

f) Los puestos de trabajo deberán estar habilitados con programas específicos, homologados y configurados para el acceso a la Red Interna e Internet, pudiendo inhibirse tal o cual acceso en cumplimiento de solicitud formal del responsable del departamento de que se trate, del Titular o del Responsable del DP, o para mantener los niveles de seguridad de los Datos Personales.

g) Los servicios de correo electrónico, conexión remota y transferencia de archivos deben estar deshabilitados preferentemente para los usuarios que tengan funciones que no requieran estos servicios.

h) La conexión de los usuarios a las redes (Internas y Externas) debe ocurrir, única y exclusivamente, a través de procesos de identificación, autenticación y certificación de la clave de acceso y contraseña.

i) Deberán implementarse dispositivos de control y seguridad (Servidor Proxy, Firewall y similares) para garantizar la confidencialidad e integridad de los Datos Personales en tránsito a través de estas redes.

j) No descargue software no aprobado, ya que puede contener código malicioso y representar una amenaza para la seguridad de los Datos personales.

k) Mantener desactivadas las opciones para compartir archivos, la conexión automática a redes Wi-Fi y Bluetooth.

l) En cualquier caso, con independencia de lo anteriormente mencionado, todos y cada uno de los archivos provenientes de redes o de usuarios externos deberán, obligatoriamente, ser revisados ​​por sistemas de protección contra virus y software malicioso.

Cualquier y toda transferencia de Datos Personales a sistemas y personas externas a ALLURE MOEMA, a través de cualquier medio de comunicación, debe ocurrir de manera segura, considerando los siguientes controles:

a) Evitar el envío de Datos Personales a través de mensajes de correo electrónico u otros servicios de mensajería. Idealmente, los Datos Personales deben ser accedidos y transferidos utilizando únicamente los recursos de los sistemas y aplicaciones de gestión del Grupo.

b) Si no es posible transferir Datos personales a través de los sistemas que los almacenan, las transferencias de Datos personales a través de mensajes (como archivos adjuntos en correos electrónicos, por ejemplo) solo pueden ocurrir si estos archivos están encriptados o anonimizados.

c) No utilice redes públicas (por ejemplo, wi-fi públicas) para intercambiar o enviar Datos Personales, excepto si está adoptando recursos de seguridad y encriptación en esta comunicación (por ejemplo, SSL y VPN).

8.5. Cookies

Cookies estrictamente necesarias:

a) Algunas cookies son necesarias para garantizar una mejor navegación o usabilidad del sitio web. Es posible configurar su navegador para que bloquee o le avise sobre estas cookies, pero esto puede impedir que algunas partes del sitio web funcionen. Estas cookies no almacenarán ningún tipo de dato de identificación personal.

b) Cookies de rendimiento:

La función de estas cookies es medir y mejorar los servicios prestados por el sitio web en su conjunto. Nos dice a qué páginas se accede más o menos y el tiempo que los visitantes pasan en cada una.

c) Cookies publicitarias:

Podemos usar cookies para dirigir anuncios y anuncios que sean más relevantes para el usuario del sitio web. Estas cookies pueden ser establecidas a través de nuestro sitio web por nuestros socios publicitarios.

9. Uso de datos y perfiles personales para la toma de decisiones

ALLURE MOEMA no emplea técnicas de toma de decisiones automatizadas basadas en el tratamiento electrónico de Datos Personales, que produzcan efectos jurídicos o afecten significativamente a los interesados.

10. Comunicaciones en caso de incidencias

Un incidente de seguridad puede ser cualquier evento que vulnere la protección de Datos Personales y Datos Personales Sensibles.

De acuerdo con la Ley, ALLURE MOEMA debe informar a la ANPD y al titular de la ocurrencia de un incidente de seguridad que pueda causar un riesgo o daño significativo a los titulares.

El DPO debe realizar actividades de seguimiento, alerta, rendición de cuentas, respuesta, comunicación entre los implicados, documentación y registro de incidencias, entre las que se incluyen las siguientes:

a) El seguimiento y la gestión de incidentes de seguridad relacionados con los Datos personales, es decir, que cubren las bases de datos del sistema, los archivos y las ubicaciones de la red que contienen Datos personales.

b) El tratamiento y registro de las respuestas a las incidencias y las correspondientes correcciones aplicadas.

c) Notificación a los responsables de la protección de Datos Personales, al Responsable ya los respectivos Titulares del DP, de todos y cada uno de los hechos relacionados con la pérdida o apropiación indebida de Datos Personales.

Corresponderá al Responsable de Datos Personales (DPO) analizar la gravedad de los incidentes, con el apoyo de los respectivos Titulares y de la Junta Directiva. En caso de que se entienda algún incidente que cause daño a los titulares e impacte en su privacidad, el Responsable de Datos Personales deberá preparar y realizar la comunicación correspondiente a la ANPD y a los titulares, siguiendo el respectivo proceso operativo implementado en ALLURE MOEMA.

Conforme a lo previsto en la Ley, la comunicación deberá contener, como mínimo, los siguientes datos sobre lo ocurrido:

a) Una descripción de la naturaleza de los datos personales afectados.

b) Información sobre los titulares afectados.

c) Indicación de las medidas técnicas y de seguridad empleadas para proteger los datos, observando secretos comerciales e industriales.

d) Riesgos relacionados con el incidente.

e) Los motivos de la demora, en caso de que la comunicación no fuera inmediata.

f) Las medidas que se hayan adoptado o se adoptarán para revertir o mitigar los efectos del siniestro.

11. Actualización de la política

ALLURE MOEMA podrá, en cualquier momento, promover revisiones o actualizaciones oportunas de esta política. Las actualizaciones de esta política entrarán en vigencia tan pronto como se publiquen en el sitio web institucional del Grupo.

12. Glosario

Anonimización: uso de medios técnicos razonables disponibles en el momento del tratamiento, a través del cual los datos pierden la posibilidad de asociación directa o indirecta con un individuo.

ANPD: Autoridad Nacional de Protección de Datos – organismo indirecto de la administración pública encargado de velar, implementar y supervisar el cumplimiento de la LGPD.

Base de datos: conjunto estructurado de datos, que puede contener datos personales, de forma electrónica o física.

Bloqueo: suspensión temporal de cualquier operación de tratamiento, por la conservación de los datos personales o de la base de datos.

Consentimiento: declaración libre, informada e inequívoca mediante la cual el titular está de acuerdo con el tratamiento de sus datos personales para una finalidad específica.

Responsable del tratamiento: persona física o jurídica responsable de determinar la finalidad y los medios del tratamiento de los Datos Personales realizados por el propio Grupo o por el Operador.

Datos anonimizados: datos relativos al titular que no puede ser identificado, considerando el uso de medios técnicos razonables disponibles en el momento del tratamiento.

Datos Personales: información relativa a una persona física identificada o identificable.

Datos Personales Sensibles: datos personales sobre origen racial o étnico, convicción religiosa, opinión política, afiliación sindical u organización religiosa, filosófica o política, datos referentes a la salud o vida sexual, datos genéticos o biométricos, cuando se vincule a una persona natural.

Eliminación: eliminación de datos o de un conjunto de datos almacenados en una base de datos, independientemente del procedimiento utilizado.

Responsable de Datos Personales: función de ALLURE MOEMA indicada para actuar como canal de comunicación entre el Grupo, los interesados ​​y la ANPD.

Ley: Igual que la LGPD.

LGPD: Ley General de Protección de Datos Personales, Ley 13.709/2018

Operador: proveedor de servicios externo subcontratado que recopila y/o usa y/o procesa Datos personales para los cuales ALLURE MOEMA es el controlador.

Portabilidad de los Datos Personales: transferencia del tratamiento de los PD a otro proveedor de servicios o productos, previa solicitud expresa del interesado.

Titular de los Datos Personales: persona o grupo de personas responsables de la recolección y tratamiento de los datos personales.

Titular de los datos: persona física a quien se refieren los datos personales que son objeto de tratamiento.

Tratamiento: todas las operaciones que se realicen con datos personales, tales como las referidas a la recolección, producción, recepción, clasificación, uso, acceso, reproducción, transmisión, distribución, procesamiento, archivo, almacenamiento, eliminación, evaluación o control de la información, modificación, comunicación, transferencia, difusión o extracción.

Para solicitar más información sobre nuestras prácticas de procesamiento de datos o para comunicarse con el responsable de protección de datos de Allure Moema, haga clic aquí .

ALLURE MOEMA es una marca registrada de UNACORP SPE 002 DESENVOLVIMENTO IMOBILIARIO LTDA – CNPJ 30.616.727/0001-69.