PARTE A: Geral

Aplicabilidade

Este documento é a versão operacional atual da política de conformidade com o RGPD, em vigor desde 25 de maio de 2018, e aplica-se às atividades da TechVersions, que consiste na seguinte entidade.

TechVersions, uma empresa de publicações de tecnologia, 8000 Towers Crescent Drive, 13º andar, Vienna, VA 22182

Introdução

A atividade principal da TechVersions é fornecer suporte aos seus clientes na comercialização de produtos B2B, gerando leads eficazes nos mercados-alvo.

A geração de leads é feita por meio de pesquisa de mercado inteligente, coletando dados relevantes para identificar a intenção de compra confiável de empresas através de diferentes canais, incluindo parceiros de negócios, utilizando tecnologia relevante em marketing de mídia social, marketing digital, marketing por e-mail e telemarketing.

No decorrer dessas atividades, a TechVersions atua como intermediária, agregando valor à cadeia de marketing B2B. As informações da campanha são fornecidas pelos clientes, refinadas e transformadas em materiais de campanha para distribuição ao mercado potencial.

A distribuição aos clientes-alvo finais, por meio da veiculação dos materiais da campanha em mídias relevantes, é feita através de veículos de comunicação externos que geram leads. Parte desses leads é gerada por atividades de publicação internas e pelo uso de ferramentas inovadoras de marketing de intenção corporativa, desenvolvidas pela equipe de P&D da TechVersions.

Os leads gerados pelos editores são filtrados de forma inteligente para melhorar sua qualidade e convertidos em metas de marketing acionáveis ​​antes de serem repassados ​​aos clientes.

A TechVersions desenvolveu produtos, processos e sistemas de geração de informações proprietários, incluindo o desenvolvimento de fornecedores confiáveis ​​e mão de obra qualificada, que, em conjunto, refletem a proposta de valor que a TechVersions traz para o ecossistema de marketing B2B em todo o mundo. Sustentar e aprimorar essa expertise e utilizá-la para aproveitar oportunidades comerciais representa um interesse legítimo da TechVersions.

Este Código de Conformidade com o RGPD, adotado pela TechVersions, declara que a TechVersions está comprometida com o conceito de "Privacidade como um direito fundamental de um cidadão de uma sociedade democrática" em todo o mundo e, de boa-fé, implementará todos os princípios de privacidade exigidos pelo RGPD, onde for aplicável.

A TechVersions, no entanto, declara que é de seu legítimo interesse manter uma operação comercial legítima em todo o mundo como intermediária no mercado B2B e que é direito democrático da TechVersions conduzir seus negócios de boa-fé, sem entrar em conflito com os direitos das pessoas físicas cuja privacidade busca proteger de acordo com o GDPR.

A TechVersions também revela que seu modelo de negócios exige a coleta apenas de dados de entidades comerciais que estão fora do escopo do GDPR e dados de contato comercial, que não são dados pessoais, mas podem incluir informações de identificação pessoal em parte, porém não incluem dados pessoais de crianças, e dados pessoais classificados como "categorias especiais" sob o GDPR.

Exposição ao RGPD

A TechVersionsGroup é basicamente uma "intermediária de marketing B2B" que opera globalmente, gerando leads de marketing e atendendo clientes em diversos países. A TechVersions não atua no mercado consumidor e, portanto, não coleta, direta ou indiretamente, informações pessoais de indivíduos da UE. Os dados que a TechVersions coleta geralmente se enquadram na categoria de Dados de Contato Comercial de funcionários corporativos, que incluem, entre outras coisas, nome, e-mail profissional e número de telefone comercial.

Parte dos leads de marketing B2B é gerada nos países da UE e no Reino Unido. Alguns clientes localizados na UE/Reino Unido também podem utilizar os serviços da TechVersions. Atualmente, a maioria das interações com clientes ocorre nos EUA e a maioria das interações com parceiros de geração de leads ocorre na Índia.

A exposição da TechVersions ao RGPD é, portanto, reconhecida quando Dados de Contato Comercial são coletados de organizações empresariais que operam em regiões da UE/Reino Unido.

Abordagem para a conformidade com o RGPD

Para permitir a aplicação de uma norma o mais rigorosa possível ao processamento de dados expostos a riscos de conformidade com o RGPD, a TechVersions adota uma política para tratar os Dados Sensíveis ao RGPD (GSD) como "Dados Sensíveis" que trafegam pelos recursos da TechVersions, marcando os dados recebidos com uma etiqueta adequada para classificá-los como GSD, quando aplicável.

A proteção da privacidade dos titulares dos dados e a segurança da informação relacionada à proteção da privacidade em relação aos dados com a etiqueta GSD são levadas em consideração no projeto da estrutura de suporte.

Embora os dados sejam processados ​​em locais específicos e a infraestrutura técnica para o processamento de GSD esteja localizada nesses locais específicos, foi criada uma conscientização sobre o GDPR em nível corporativo, que continuará sendo buscada para que os princípios deste Código de Conduta do GDPR se disseminem por toda a organização, além do processamento de GSD, incluindo as funções de Marketing, Financeiras e Gerenciais, que podem estar localizadas em locais diferentes com sua própria infraestrutura técnica e administrativa.

Para implementar eficazmente a segurança de toda a infraestrutura de processamento de dados, a Empresa adotou uma política abrangente de segurança da informação que inclui diversas subpolíticas relativas ao acesso, processamento, armazenamento, transmissão de dados, etc.

Compromisso com a Privacidade

A TechVersions reconhece que a “Privacidade” é um importante direito democrático na sociedade civil. Como uma entidade corporativa responsável, a TechVersions está comprometida com a proteção da privacidade de todas as pessoas físicas cujos dados pessoais são inseridos no repositório de dados corporativo para processamento.

Tendo em vista a presença de clientes na UE/Reino Unido e o monitoramento das atividades de funcionários corporativos residentes na UE/Reino Unido, a TechVersions optou por adotar os padrões de conformidade com o GDPR para a proteção da privacidade de todas as pessoas físicas que possam interagir com o grupo, mesmo que essa interação ocorra apenas na qualidade de funcionários de diferentes entidades comerciais, buscando os objetivos de negócios de suas respectivas organizações.

Interesse legítimo

A atividade principal da TechVersions envolve o processamento de dados relacionados à compra de diferentes produtos para uso corporativo. O espectro de atividades inclui coleta, agregação, análise, segmentação e monitoramento de intenção. Nesse processo, a TechVersions agrega valor aos dados brutos coletados do ambiente de negócios e os converte em informações de apoio à tomada de decisões empresariais.

Os dados brutos coletados são reconhecidos como dados pertencentes ao titular dos dados e aos quais se aplicam os direitos do titular dos dados previstos no RGPD. O valor agregado aos dados que ocorre durante o processo decorre das capacidades proprietárias de processamento de dados da TechVersions, sobre as quais a TechVersions detém um certo nível de direitos de propriedade intelectual.

Caso algum dado tenha sido pseudonimizado, os dados pseudonimizados que agregam valor serão considerados como dados nos quais a TechVersions tem legítimo interesse em utilizá-los para pesquisas futuras. Os dados não pseudonimizados, mesmo que agreguem valor, estão sujeitos ao exercício dos direitos do titular dos dados, tais como acesso, retificação, restrição, portabilidade e eliminação. Os dados pseudonimizados, se houver, não serão classificados como sensíveis ao RGPD.

A TechVersions possui um interesse comercial legítimo, conforme reconhecido pelo Artigo 6(1)(f) do Regulamento Geral de Proteção de Dados (RGPD) da UE, na coleta e no processamento de dados comerciais, como dados firmográficos e dados de contato comercial de responsáveis ​​pela tomada de decisões nas entidades comerciais.

Além disso, a atividade da TechVersions envolve operações dentro e fora dos países da UE e, portanto, está sujeita às obrigações legais de diferentes países relacionadas ao processamento de dados, bem como a outras leis aplicáveis ​​aos negócios em geral e às atividades relacionadas à TI em particular, conforme previsto no Artigo 6(1)(c) do Regulamento Geral sobre a Proteção de Dados (RGPD) da UE.

Além disso, a TechVersions adotou práticas comerciais para o processamento lícito de dados, incorporando os princípios do RGPD da UE, conforme enunciados no Artigo 6.º, incluindo a obtenção do consentimento explícito e informado, quando necessário, e o cumprimento das obrigações contratuais com os titulares dos dados, se houver.

As políticas da TechVersions sobre Privacidade e Proteção de Dados são, portanto, estruturadas com controles específicos de Privacidade e Segurança da Informação que abordam a questão da identificação de dados sensíveis ao RGPD na fase de sua origem e entrada no sistema da TechVersions, bem como sua marcação ao longo de todo o seu ciclo de processamento.

Ampliar o escopo da conformidade para o ecossistema de processamento de dados.

Além disso, mantendo-se em consonância com a intenção legislativa de proteger o direito fundamental à privacidade dos indivíduos, enunciado no RGPD da UE, são mantidos controles técnicos e organizacionais/administrativos adequados para garantir que todos os parceiros comerciais subsequentes que possam ter acesso a dados sensíveis ao RGPD para processamento em nome da TechVersions também estejam em conformidade com o RGPD.

A TechVersions reconhece que, na maior parte de suas operações, não é uma "Controladora de Dados", mas sim uma "Operadora de Dados" para os fins do GDPR. Ela pode assumir o papel de "Controladora Conjunta" quando utiliza os serviços de subcontratados para qualquer parte do seu processamento.

Tendo em vista essas funções, as políticas e os controles da TechVersions são estruturados para garantir a conformidade com o GDPR, incluindo a manutenção de controles técnicos e organizacionais/administrativos adequados para se manter devidamente informada sobre as atividades de conformidade com o GDPR de seus parceiros comerciais e também compartilhar com eles as próprias medidas de conformidade com o GDPR da TechVersions, conforme necessário.

Limitações deste documento

Os parágrafos seguintes apresentam a política geral da TechVersions para conformidade com o RGPD (Regulamento Geral sobre a Proteção de Dados) a nível corporativo, destacando a abordagem da TechVersions para alcançar um nível satisfatório de conformidade com os princípios do RGPD nas suas operações.

Este documento de política destina-se ao compartilhamento limitado com as partes interessadas, incluindo entidades comerciais externas à TechVersions, e, portanto, exclui informações proprietárias sobre o processamento, quando estas forem essenciais para proteger a propriedade intelectual da organização.

Qualquer solicitação de divulgação de informações além do que está aqui declarado será tratada de acordo com a Política de Divulgação de Dados da TechVersions e tais solicitações podem ser encaminhadas ao Gerente de Privacidade por meio de um e-mail autenticado não confiável.

Parte B: Diretrizes Políticas Específicas

1. Responsabilidade atribuída

A TechVersions designou um Gerente de Privacidade que será o ponto de contato para lidar com todas as solicitações e reclamações de titulares de dados. Considerando o nível atual de exposição ao risco de dados sensíveis ao GDPR na TechVersions, entende-se que a atividade principal da empresa não envolve o monitoramento sistemático e em larga escala de titulares de dados da UE, nem a oferta de quaisquer serviços a indivíduos na UE e, portanto, não há necessidade de designar um "Encarregado da Proteção de Dados" conforme previsto no GDPR.

Um Comitê de Governança de Segurança da Informação (ISGC) será o responsável geral pela Segurança da Informação, incluindo a conformidade com o GDPR. Será o órgão máximo de formulação de políticas da TechVersions, responsável por definir todas as políticas de segurança da informação, incluindo a política de GDPR, e monitorará a necessidade de designar qualquer pessoa ou consultor como Encarregado de Proteção de Dados (DPO) oportunamente.

2. Classificação de dados

A TechVersions não realiza marketing direcionado a pessoas físicas e, portanto, normalmente não coleta dados pessoais identificáveis ​​abrangidos pelas disposições do GDPR. No entanto, todos os dados pessoais potencialmente identificáveis, como endereço de e-mail e número de telefone de um funcionário de uma organização, são classificados como "Sensíveis ao GDPR" se a unidade de negócios ou o funcionário estiver localizado na UE/Reino Unido.

Assim sendo, todo o conjunto de dados de contato comercial associado a um endereço físico na UE/Reino Unido é identificado como Dados Sensíveis ao RGPD (GSD) e etiquetado durante o processamento subsequente dentro da organização.

Na ausência de informações sobre a localização física do titular dos dados, a localização física da organização empresarial associada seria considerada relevante.

3. Auditoria de Dados

Uma vez antes de 25 de maio de 2018 e, posteriormente, em intervalos mensais ou conforme determinado pelo ISGC, os conjuntos de dados armazenados serão verificados para localizar qualquer GSD e verificar os requisitos de conformidade associados a ele, como se os dados precisam ser arquivados, excluídos ou protegidos de alguma outra forma.

Qualquer conjunto de dados GSD que não seja acompanhado por um “Consentimento” ou “Nota de Interesse Legítimo” apropriado será recomendado para exclusão.
Após a confirmação, esses dados serão apagados por meio de análise forense.

4. Avaliação do impacto do RGPD

Foi realizada uma avaliação de lacunas em relação ao RGPD e as medidas corretivas necessárias foram implementadas antes de 25 de maio de 2018. Após 25 de maio de 2018, será realizada uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) sempre que um novo projeto significativo for iniciado, conforme a necessidade identificada pelo ISGC.

5. Política de Aceitação de Novos Negócios

A partir de 25 de maio de 2018, todos os novos compromissos comerciais que envolvam o processamento de dados estarão sujeitos à aprovação do ISGC, mediante a apresentação de uma Avaliação de Impacto específica sobre o RGPD, elaborada pelo DPO em consulta com a equipe técnica responsável pelo processamento.

6. Política de armazenamento de dados GSD

Os dados pessoais geriátricos (GSD) devem ser armazenados em sistemas acessíveis apenas a pessoas designadas, estritamente com base na necessidade de conhecimento.

Cada conjunto de dados GSD deverá ser identificado com o Controlador de Dados de quem foi obtido e que é responsável pela coleta dos dados mediante consentimento ou contrato.

Quaisquer restrições específicas associadas a esse conjunto de dados também devem ser indicadas juntamente com o conjunto de dados.

O armazenamento de dados deverá permitir a localização e o processamento de conjuntos de dados individuais para o exercício de quaisquer direitos do titular dos dados, tais como o pedido de retificação de dados, portabilidade de dados, eliminação de dados ou acesso a dados a qualquer momento durante o seu ciclo de vida.

7. Política de Acesso a Dados do GSD

O acesso ao GSD será feito de acordo com a política de Controle de Acesso, que garante que cada conjunto de dados do GSD tenha parâmetros de acesso específicos. Isso define quem pode acessar os dados e como. Somente aqueles designados como funcionários do GSD terão permissão para acessar o conjunto de dados do GSD.

A utilização de parâmetros de acesso, como senhas, deve ser definida com o grau de complexidade e exclusividade necessário e complementada com criptografia e etiquetas de identificação de máquina, de forma que os dados do GSD só possam ser acessados ​​a partir de hardware específico atribuído à equipe autorizada do GSD.

Quando o armazenamento de dados for feito na nuvem, somente serviços de nuvem compatíveis com o GDPR deverão ser utilizados, juntamente com controles adicionais que se façam necessários para garantir que os dados armazenados e em trânsito estejam protegidos contra acesso não autorizado.

Os dados de segurança de dados (GSD) específicos de cada projeto devem ser armazenados de forma que apenas os funcionários associados a um determinado projeto tenham acesso a eles. O acesso entre projetos será regulamentado conforme a necessidade.

8. Política de retenção de dados da GSD

Os dados de segurança geográfica (GSD) serão mantidos em um ambiente de processamento ativo apenas pelo período mínimo necessário para o seu processamento. Posteriormente, os dados serão arquivados de forma segura, conforme os requisitos identificados no âmbito do interesse legítimo, por exemplo, até a conclusão do ciclo de faturamento do projeto.

Posteriormente, os dados serão mantidos em arquivo seguro ou destruídos, conforme os requisitos de legítimo interesse identificados pela Empresa.

Deverá ser realizada uma revisão mensal dos dados arquivados para identificar os dados que já não são necessários, os quais deverão ser encaminhados ao ISGC para instruções de descarte.

As obrigações legais relativas à retenção de dados que possam surgir devido a eventuais sobreposições de legislação devem ser consideradas na avaliação do interesse legítimo.

9. Política de Divulgação de Dados da GSD

Qualquer solicitação de divulgação de GSD deverá ser recebida, em regra, apenas do Controlador de Dados de origem.

Reconhece-se que os pedidos recebidos diretamente dos titulares dos dados estão sujeitos a riscos de phishing e, se existirem, esses pedidos serão encaminhados ao Controlador de Dados correspondente que coletou os dados do titular dos dados com base no consentimento ou contrato que possa existir entre eles.

Os dados a serem divulgados serão enviados somente ao Controlador de Dados para posterior transmissão ao titular dos dados, após a devida autenticação da identidade do representante do Controlador de Dados que fizer a solicitação.

Em circunstâncias excepcionais em que os dados precisem ser divulgados diretamente ao titular dos dados, ao seu representante autorizado ou a uma autoridade policial, deverá ser garantida a autenticação adequada da identidade da pessoa que faz a solicitação.

Todos os pedidos de divulgação de dados devem ser aprovados pelo ISGC antes da liberação dos dados, e tanto o pedido quanto os documentos de avaliação serão considerados como documentação obrigatória para fins de conformidade com o GDPR.

10. Política de Gestão de Incidentes de Dados da GSD

Um "incidente", de acordo com este código, será qualquer observação que possa indicar que o código de conformidade da GSD ou quaisquer políticas ou procedimentos relacionados foram violados, independentemente de haver ou não suspeita de comprometimento de dados.

Uma política de denúncia pode ser usada para garantir que os incidentes sejam relatados prontamente por qualquer observador, seja dentro ou fora da empresa.

Qualquer incidente dessa natureza que chegue ao conhecimento da TechVersions será registrado em um Registro de Gerenciamento de Incidentes do GSD e encaminhado ao DPO para ação imediata.

O DPO deverá analisar o relatório de incidente e tomar medidas imediatas para resolver o incidente, bem como reportá-lo ao ISGC.

O ISGC convocará uma reunião com urgência e avaliará o incidente para identificar se há suspeita de violação de dados. Caso necessário, o ISGC poderá solicitar uma auditoria técnico-legal imediata para avaliação de risco do incidente. Com base na avaliação de risco, o ISGC decidirá sobre a necessidade de outras medidas, incluindo o envio de uma notificação de violação de dados ao Controlador de Dados associado aos dados.

Um incidente em que o GSD foi acessado por outro funcionário da organização é considerado um Incidente de Segurança e não necessariamente uma "Violação". No entanto, tais incidentes devem ser investigados para determinar a causa do acesso não autorizado e, se for um acesso acidental não intencional, poderá ser resolvido com uma ação disciplinar interna adequada, conforme a política de RH. Se os dados não foram transferidos ou acessados ​​por terceiros, o incidente pode ser classificado como um acidente de dados interno, não configurando uma violação.

Caso se saiba que o acesso ou os dados transferidos estavam criptografados e em um estado indecifrável para o destinatário, mediante investigação interna adequada sobre a segurança da chave de descriptografia associada, o acesso poderá ser classificado como um acidente interno de dados que não configura uma violação de segurança.

11. Política de Notificação de Violação de Dados da GSD

Um incidente de "Violação de Dados" ocorre quando a TechVersions, após a devida investigação, toma conhecimento de que o acesso a qualquer conjunto de dados específico no GSD foi comprometido e que uma entidade externa teve acesso ou enviou um conjunto de dados do GSD.

Tal incidente de violação de dados deve ser imediatamente comunicado ao ISGC, que, por sua vez, notificará sem demora o Controlador de Dados associado ao conjunto de dados, juntamente com os detalhes relevantes do incidente.

Tal relatório deverá especificar a natureza e a extensão da violação, a hora e a data da violação, os dados dos titulares dos dados afetados, as medidas tomadas após a constatação da violação, etc. Quando necessário, a violação de dados também poderá ser comunicada a uma autoridade supervisora.

12. Política de Gestão dos Direitos do Titular dos Dados da GSD

O sistema de processamento de dados da TechVersions incorporou o conceito de "Privacidade e Segurança desde a concepção" para permitir a conformidade com os requisitos do RGPD, particularmente no que diz respeito aos Direitos do Titular dos Dados previstos no RGPD.

Para atender a esses direitos do titular dos dados, como "Acesso", "Retificação", "Apagamento", "Portabilidade" e Direito de impor "Restrições", a TechVersions habilitou seus sistemas de armazenamento e acesso GSD de forma que um conjunto de dados pertencente a um titular de dados específico possa ser extraído e processado separadamente.

O sistema foi, portanto, projetado para estar em conformidade com os requisitos mais rigorosos do RGPD (Regulamento Geral de Proteção de Dados).

Sempre que um pedido para o exercício de tais direitos for recebido de um Titular dos Dados, conforme a política de divulgação de dados, o pedido será primeiramente validado e, em seguida, caso os dados tenham sido recebidos de um Controlador de Dados, este será solicitado a confirmar a divulgação dos dados.

Normalmente, a solicitação é processada em comunicação com o controlador de dados e, se for para ser encaminhada, é devolvida ao controlador de dados.

Em circunstâncias excepcionais em que a TechVersions tenha que lidar com a solicitação de um titular de dados sem a cooperação do controlador de dados, serão tomadas as precauções adequadas para evitar uma divulgação indevida, visto que seria do legítimo interesse da TechVersions ser indenizada por qualquer possível divulgação indevida.

13. Política de Transmissão de Dados GSD

Os dados de GSD (Global Social Disability) podem normalmente fluir para o sistema através de uma interface de aplicação (API). O acesso à interface é feito por meio de um sistema seguro de senha, complementado por uma autenticação de dois fatores adequada, quando um risco significativo de GSD for identificado.

A transmissão de dados é feita com base em criptografia, sujeita à gestão da segurança da transmissão, que abrange vulnerabilidades conhecidas.

O próprio aplicativo, juntamente com seus elementos inerentes de armazenamento e processamento, e a API, são protegidos contra acesso não autorizado e ataques maliciosos por um sistema apropriado de gerenciamento de malware e acesso seguro.

Quando o conjunto GSD é transmitido ao Cliente ou Subcontratado, a transmissão é gerenciada por meio de canais de comunicação criptografados, seja por meio de uma API ou de um e-mail criptografado.

14. Política de Uso de Marketing da GSD

Quando a TechVersions utiliza o GSD para qualquer finalidade de marketing, seja por e-mail, telemarketing ou qualquer outro meio, são tomadas as devidas precauções para garantir que haja um consentimento ou contrato apropriado que permita tal comunicação.

A TechVersions também insiste que seus parceiros — sejam eles geradores de leads, processadores terceirizados ou clientes — não utilizem o GSD, exceto conforme as permissões disponíveis.

Na ausência de um consentimento inequívoco, nenhum dado de contato comercial é coletado dos geradores de leads, repassado aos clientes ou processado por meio de subcontratados.

Esses dados são eliminados assim que entram no sistema da TechVersions e são identificados como um "GSD sem o devido consentimento para o processamento".

15. Política de Consentimento para Pastores Alemães

Todas as informações classificadas como GSD (Global Data Security Standard - Padrão Global para Dados) em virtude do titular dos dados estar localizado na UE/Reino Unido ou de seu empregador estar localizado na UE/Reino Unido serão aceitas somente se o titular dos dados tiver fornecido consentimento explícito com base no formato exigido pelo GDPR (Regulamento Geral de Proteção de Dados).

No cenário anterior ao RGPD, esses consentimentos eram geralmente obtidos segundo os princípios do tratamento de dados pessoais, que incluíam um Aviso de Privacidade. Esse Aviso de Privacidade indicava quais informações estavam sendo coletadas, a finalidade da coleta, o período de retenção, como seriam protegidas, se as informações eram precisas, se seriam transferidas para fora da UE para processamento, etc. Alguns consentimentos eram baseados no princípio de "adesão" (opt-in) como configuração padrão.

Nos termos do RGPD, é essencial que os dados pessoais sejam recolhidos apenas com base no Consentimento Explícito, sendo a opção "Opt-Out" a predefinição, e apenas mediante uma ação afirmativa que indique a aceitação, o consentimento será considerado válido.

Além disso, o aviso de privacidade também deve indicar que o titular dos dados tem certos direitos, como "Direito de ser informado sobre a identidade dos processadores subsequentes", "Direito de acesso e retificação" e "Direito à portabilidade e ao apagamento".

Tendo em vista os novos requisitos, todos os consentimentos obtidos no formato pré-RGPD serão considerados inválidos e esses dados serão descartados pela TechVersions.

Os editores externos que geram leads para a TechVersions devem confirmar, por meio de seus contratos, que fornecerão apenas leads gerados com a nova forma de consentimento, caso o titular dos dados esteja localizado na UE/Reino Unido.

16. Política de Comunicação com as Partes Interessadas da GSD

A TechVersions opera por meio de diversas organizações externas que são partes interessadas no programa de conformidade com o GDPR da TechVersions. Essas organizações incluem seus clientes, geradores de leads, subcontratados, etc.

Para garantir a conformidade efetiva, nenhum dado GSD deve ser trocado em qualquer comunicação com as partes interessadas, exceto por meio de transmissão segura e somente com representantes autorizados.

Embora a comunicação via API seja controlada pela política de acesso, qualquer outra comunicação por e-mail deve ser controlada por uma política de comunicação por e-mail.

Essencialmente, uma política de comunicação por e-mail deve definir que o compartilhamento de qualquer informação de conformidade com o GSD ou GDPR com uma parte interessada deve ser feito apenas por meio de um endereço de e-mail de contato previamente informado, que na maioria dos casos será o DPO da outra organização. Quando necessário, a comunicação por e-mail poderá ser criptografada e autenticada com uma assinatura digital.

17. Política de Identificação de Interesse Legítimo da GSD

A TechVersions reconhece que certos direitos dos titulares dos dados, como o apagamento ou a retificação de dados, podem entrar em conflito com os requisitos de interesse legítimo da TechVersions ou com as leis de retenção de dados que possam ser aplicáveis ​​aos dados em virtude de outras obrigações legislativas.

Em todos os casos em que os Direitos do Titular dos Dados forem implementados, a TechVersions avaliará a solicitação antes de tomar qualquer outra providência. Caso a TechVersions identifique a necessidade de recusar a solicitação ou de modificá-la para aceitá-la, os motivos serão documentados e uma Nota de Interesse Legítimo do Titular dos Dados será elaborada pelo ISGC.

Nos casos em que os dados não precisem estar ativos, eles poderão ser arquivados com segurança até que o interesse legítimo expire.

Os motivos que justificam o exercício do argumento de interesse legítimo para o processamento da solicitação do titular dos dados devem ser comunicados ao Controlador de Dados responsável pelo titular dos dados, para posterior transmissão a este.

18. Política de Gestão de Pessoas da GSD

O GSD será considerado um conjunto de dados que requer atenção exclusiva e especial em termos de segurança da informação enquanto estiver sob a custódia da TechVersions.

Assim, os dados do GSD seriam devidamente etiquetados e processados ​​conforme a necessidade, por uma equipe de funcionários especialmente treinada.

Esses funcionários e os sistemas nos quais o GSD seria armazenado, acessado e processado seriam gerenciados com segurança, levando em consideração o nível de risco associado ao GSD.

A designação de pessoas para este processamento GSD e a sua remoção serão geridas com as medidas de segurança adequadas, incluindo um nível mais elevado de verificação de antecedentes, formação, identificação de acesso físico, políticas de sanções, etc.

As políticas de RH precisam ser atualizadas adequadamente para os funcionários da GSD, conforme necessário.

19. Política de Pseudonimização do GSD

Reconhece-se que a pseudonimização é uma estratégia para reduzir os riscos no processamento de dados de dados de origem genética.

Dados pessoais pseudonimizados não são considerados "Dados Pessoais" para efeitos do Regulamento Geral de Proteção de Dados (RGPD), desde que o processo de pseudonimização esteja adequadamente estruturado.

Tendo em vista o nível atual de exposição de suas operações aos riscos do GDPR, a TechVersions não considerou necessário, no momento, utilizar a pseudonimização como estratégia de mitigação de riscos.

20. Política GSD DRP-BCP

A TechVersions reconhece a importância de um plano eficaz de Recuperação de Desastres e Continuidade de Negócios para suas operações, incluindo as operações que envolvem o processamento de GSD.

A TechVersions manterá backups adequados dos dados do GSD e capacidade razoável para manter a continuidade dos negócios em caso de qualquer eventualidade.

21. Política de Documentação de Conformidade GSD

As medidas de conformidade com o RGPD devem ser documentadas de forma a estarem disponíveis para consulta. A documentação de conformidade deve ser conservada por um período mínimo de 6 anos a partir da sua criação.

Caso algum documento seja considerado prova potencial para fins de aplicação da lei ou para a defesa dos interesses legítimos da TechVersions, tal documento será mantido enquanto a exigência persistir.

22. Política de Auditoria da GSD

Uma equipe interna de auditoria de segurança da TechVersions deverá auditar os ativos de informação da TechVersions pelo menos uma vez por ano para avaliar o nível de segurança e a conformidade com o GDPR e outros requisitos regulamentares.

Auditorias externas podem ser consideradas com base em uma avaliação do ISGC sempre que ocorrer uma mudança substancial no perfil da empresa.

A TechVersions reserva-se o direito de realizar uma auditoria nas instalações de qualquer um de seus subcontratados para garantir a conformidade com as obrigações contratuais.

A TechVersions reconhece, contudo, que a autorização para auditar as instalações de um subcontratado é uma capacitação e deve ser utilizada apenas em circunstâncias excepcionais. Isso não exime o subcontratado da responsabilidade de cumprir os requisitos de conformidade previstos em contrato.

23. Política de Resolução de Queixas da GSD

A TechVersions implementará uma política de resolução de reclamações em vários níveis para solucionar eventuais disputas com qualquer titular de dados. Essas reclamações serão tratadas pelo DPO (Encarregado da Proteção de Dados) no primeiro nível, pelo ISGC (Comitê de Garantia de Privacidade e Segurança da Informação) no segundo nível e por um Comitê de Resolução de Disputas Online, criado para esse fim pelo Conselho de Administração, no terceiro nível.

Quaisquer dúvidas de uma autoridade supervisora ​​do RGPD serão tratadas pelo DPO e encaminhadas ao ISGC quando necessário.

Quaisquer disputas com Clientes, Editores ou Subcontratados serão tratadas conforme os respectivos contratos.

24. Política de segurança de rede

Para garantir a segurança da infraestrutura de TI utilizada pela empresa, a TechVersions adotará uma política robusta de segurança da informação, incluindo firewalls, sistemas de detecção de intrusão, sistemas de prevenção de malware e aplicação de patches de sistema, etc., conforme necessário.

Um Gerente de Segurança da Informação designado será responsável pela manutenção da segurança da rede.

PS: Este código está sujeito a revisões periódicas.