PARTE A: Geral

Aplicabilidade

Este documento é a versão operacional atual da política de conformidade com GDPR em vigor a partir de 25 de maio de 2018 e se aplica às atividades da TechVersions que consiste na seguinte entidade.

TechVersions, uma empresa de publicação de tecnologia, 8000 Towers Crescent Drive, 13th Floor Viena, VA 22182

Introdução

A atividade principal da TechVersions é fornecer suporte aos seus clientes na comercialização de produtos B2B, gerando leads eficazes nos mercados-alvo.

A geração de leads é feita por meio de pesquisas de mercado inteligentes, coletando dados relevantes para identificar a intenção de compra confiável das empresas por meio de diferentes canais, inclusive por meio de parceiros de negócios que usam tecnologia relevante em marketing de mídia social, marketing na web, marketing por e-mail e telemarketing.

No processo dessas atividades, a TechVersions atua como um intermediário que agrega valor à cadeia de marketing B2B. As informações da campanha são fornecidas pelos Clientes, que são ajustadas e convertidas em materiais de campanha para distribuição no mercado potencial.

A distribuição aos clientes-alvo finais através da colocação dos materiais da campanha em meios relevantes é feita através de editores externos que geram leads. Uma parte dos leads é gerada pela atividade editorial interna e pelo uso de ferramentas inovadoras de marketing de intenção corporativa desenvolvidas pela equipe de P&D da TechVersions.

Os leads gerados pelos editores são filtrados de forma inteligente para melhorar sua qualidade e convertidos em metas de marketing acionáveis ​​antes de serem repassados ​​aos clientes.

A TechVersions desenvolveu produtos, processos e sistemas de geração de informações proprietários que incluem o desenvolvimento de fornecedores confiáveis ​​e mão de obra treinada, que juntos refletem a proposta de valor que a TechVersions traz para o ecossistema de marketing B2B em todo o mundo. Manter e nutrir esse conhecimento e utilizá-lo para aproveitar oportunidades comerciais representa um interesse legítimo da TechVersions.

Este Código de Conformidade com o GDPR adotado pela TechVersions declara que a TechVersions está comprometida com o conceito de “Privacidade como um direito fundamental de um cidadão de uma sociedade democrática” em todo o mundo e de boa fé implementará todos os princípios de privacidade exigidos pelo GDPR onde for aplicável.

A TechVersions, no entanto, revela que é seu interesse legítimo realizar uma operação comercial legítima em todo o mundo como intermediário de mercado B2B e é direito democrático da TechVersions realizar seus negócios de boa fé, sem entrar em conflito com os direitos do pessoas físicas individuais cuja privacidade se pretende proteger sob o GDPR.

A TechVersions também divulga que seu modelo de negócios exige a coleta apenas de dados de entidades comerciais que estão fora do alcance do GDPR e dos dados de contato comercial, que não são dados pessoais, mas podem incluir informações de identificação pessoal em parte, mas não incluem dados pessoais de crianças e Dados pessoais classificados como “categorias especiais” no GDPR.

Exposição ao GDPR

TechVersionsGroup é basicamente um “intermediário de marketing B2B” que opera em todo o mundo, gerando leads de marketing e atendendo clientes em muitos países. A TechVersions não opera no mercado consumidor e, portanto, não coleta direta ou indiretamente informações pessoais de titulares de dados da UE. Os dados que a TechVersions coleta geralmente estão na categoria de Dados de contato comercial de funcionários corporativos que, entre outros, contém o nome, o e-mail comercial e o número de telefone comercial.

Uma parte dos leads de marketing B2B é gerada nos países da UE e no Reino Unido. Alguns dos Clientes localizados na UE/Reino Unido também podem usufruir dos serviços da TechVersions. Atualmente, a maioria das interações com clientes ocorre nos EUA e a maioria das interações com parceiros de negócios geradores de leads ocorre na Índia.

A exposição da TechVersions ao GDPR é, portanto, reconhecida quando os Dados de Contato Comercial são coletados de organizações empresariais que operam nas regiões da UE/Reino Unido.

Abordagem à conformidade com o GDPR

A fim de permitir a aplicação de uma norma tão rigorosa quanto possível ao processamento de dados que estão expostos ao risco de conformidade do GDPR, a TechVersions adota uma política para tratar os Dados Sensíveis do GDPR (GSD) como “Dados Sensíveis” que fluem através dos recursos da TechVersions, marcando o dados recebidos com uma etiqueta adequada para classificá-los como GSD, quando aplicável.

A proteção da privacidade dos titulares dos dados e a segurança das informações relacionadas à proteção da privacidade em relação aos dados marcados com GSD são levadas em consideração na concepção da estrutura de suporte.

Embora os dados sejam processados ​​em locais específicos e a infraestrutura técnica para processamento de GSD esteja localizada nesses locais específicos, uma conscientização do GDPR em nível empresarial foi criada e continuará a ser buscada para que os princípios deste Código de Conduta do GDPR se infiltrem em todo o mundo. organização além do processamento de GSD para incluir as funções de Marketing, Financeira e Gerencial que podem estar localizadas em locais diferentes com sua própria infra-estrutura técnica e administrativa.

A fim de implementar efetivamente a segurança de toda a infraestrutura de processamento de dados, a Empresa adotou uma política abrangente de segurança da informação que inclui múltiplas subpolíticas relativas ao acesso de dados, processamento, armazenamento, transmissão, etc.

Compromisso de privacidade

A TechVersions reconhece que “Privacidade” é um importante direito democrático na sociedade civil. Como uma entidade corporativa responsável, a TechVersions está comprometida com a proteção da privacidade de todas as pessoas físicas cujos dados pessoais entram no repositório de dados corporativos para processamento.

Tendo em vista a presença de Clientes na UE/Reino Unido e o monitoramento das atividades de funcionários corporativos residentes na UE/Reino Unido, a TechVersions optou por adotar padrões de conformidade com o GDPR para a proteção da privacidade de pessoas físicas que possam interagir com o grupo mesmo quando essa interação ocorre apenas na qualidade de funcionários de diferentes entidades empresariais que perseguem os objetivos comerciais de suas respectivas organizações empresariais.

Interesse legítimo

A atividade Core da TechVersions envolve o tratamento de dados relativos à aquisição de diversos produtos para uso corporativo. O espectro de atividades inclui coleta, agregação, análise, segmentação e monitoramento de intenções. No processo desse processamento, a TechVersions agrega valor aos dados brutos coletados do ambiente de negócios e os converte em informações de valor agregado para auxílio à decisão de negócios.

Os Dados Brutos recolhidos são reconhecidos como dados pertencentes ao titular dos dados e aos quais se aplicam os direitos do Titular dos Dados ao abrigo do RGPD. O valor agregado aos dados que ocorre durante o processo surge dos recursos proprietários de processamento de dados da TechVersions sobre os quais a TechVersions possui um certo nível de reivindicação de direitos de propriedade intelectual.

Se algum dado tiver sido pseudonimizado, os dados pseudonimizados de valor agregado serão considerados como dados nos quais a TechVersions tem interesse legítimo em usar para pesquisas futuras. Os dados não Pseudonimizados, mesmo no estado de valor acrescentado, estão sujeitos ao exercício de direitos do Titular dos Dados, tais como Acesso, Retificação, Restrição, Portabilidade e Apagamento. Dados pseudonimizados, se houver, não serão classificados como sensíveis ao GDPR.

A TechVersions possui um interesse comercial legítimo, conforme reconhecido no Artigo 6(1)(f) dos regulamentos GDPR da UE, na coleta e processamento de dados relacionados aos negócios, como dados firmográficos e dados de contato comercial de funcionários tomadores de decisão nas entidades empresariais

Além disso, os negócios da TechVersions envolvem operações dentro e fora dos países da UE e, portanto, estão expostos a obrigações legais de diferentes países relacionadas ao processamento de dados, bem como a outras leis aplicáveis ​​aos negócios em geral e às atividades relacionadas às TI em particular, conforme previsto no Artigo 6. (1)(c) dos regulamentos GDPR da UE.

Além disso, a TechVersions adotou práticas comerciais para processamento legal, incorporando os princípios do GDPR da UE, conforme enunciado no Artigo 6, incluindo a obtenção de consentimento explícito e informado quando necessário e o cumprimento dos requisitos das obrigações contratuais com os titulares dos dados, se houver.

As políticas da TechVersions sobre Privacidade e Proteção de Dados são, portanto, estruturadas com controles específicos de Privacidade e Segurança da Informação que abordam a questão da identificação de dados sensíveis do GDPR na fase de sua origem e entrada no sistema da TechVersions e marcá-los ao longo de seu ciclo de vida de processamento.

Expandindo o escopo de conformidade para o ecossistema de processamento de dados

Além disso, mantendo a intenção legislativa de proteger o direito fundamental à privacidade dos indivíduos, enunciado no RGPD da UE, são mantidos controlos técnicos e organizacionais/administrativos adequados para garantir que todos os associados comerciais a jusante que possam ter acesso a dados sensíveis do RGPD para processamento em nome de TechVersions também são compatíveis com GDPR.

A TechVersions reconhece que, na maior parte de suas operações, não é um “Controlador de Dados”, mas um “Processador de Dados” para fins do GDPR. Pode assumir o papel de “Controlador Conjunto” quando utiliza os serviços de subcontratantes para qualquer parte do seu processamento.

Mantendo essas funções em vista, as políticas e controles da TechVersions são estruturados para garantir a conformidade com o GDPR, incluindo a manutenção de controles técnicos e organizacionais/administrativos apropriados para se manter devidamente informado sobre as atividades de conformidade com o GDPR de seus parceiros de negócios e também compartilhar com eles a própria conformidade com o GDPR da TechVersions. medidas que possam ser necessárias.

Limitações deste documento

Os parágrafos a seguir fornecem a política abrangente da TechVersions para conformidade com o GDPR no nível corporativo, destacando a abordagem da TechVersions para alcançar um nível satisfatório de conformidade com os princípios do GDPR em suas operações.

Este documento de política destina-se ao compartilhamento limitado com as partes interessadas, incluindo entidades empresariais fora da TechVersions e, portanto, exclui informações proprietárias sobre o processamento onde for essencial para proteger a Propriedade Intelectual da organização.

Qualquer solicitação de divulgação de informações além do aqui declarado será tratada de acordo com a Política de Divulgação de Dados da TechVersions e tais solicitações poderão ser direcionadas ao Gerente de Privacidade por meio de um e-mail autenticado e não confiável.

Parte B: Esboços de políticas específicas

1. Responsabilidade Atribuída

A TechVersions designou um Gerente de Privacidade que será a pessoa de contato para lidar com todas as solicitações e reclamações dos titulares dos dados. Considerando o nível atual de exposição ao risco aos dados sensíveis do GDPR nas TechVersions, considera-se que a atividade principal da TechVersions não envolve um monitoramento sistemático e em grande escala dos titulares de dados da UE, nem a oferta de quaisquer serviços a indivíduos na UE e, portanto, há não há necessidade de designar um “Responsável pela Proteção de Dados”, conforme previsto no GDPR.

Um Comitê de Governança de Segurança da Informação (ISGC) será responsável pela segurança da informação, incluindo a conformidade com o GDPR. Será o órgão máximo de formulação de políticas da TechVersions responsável por estabelecer todas as políticas de segurança da informação, incluindo a política GDPR, e monitorará a necessidade de designar qualquer pessoa ou consultor como Diretor de Proteção de Dados no devido tempo.

2. Classificação de dados

A TechVersions não está envolvida em marketing para nenhuma pessoa física e, portanto, normalmente não coleta dados de identificação pessoal sob as disposições regulamentares do GDPR. No entanto, todos os dados pessoais potencialmente identificáveis, como endereço de e-mail e número de telefone de um funcionário de uma organização, são classificados como “Sensíveis ao GDPR” se a unidade de negócios ou o funcionário estiverem localizados na UE/Reino Unido.

Assim, todo o conjunto de dados de contato comercial associado a um endereço de localização física na UE/Reino Unido é identificado como dados confidenciais do GDPR (GSD) e marcado durante o processamento posterior dentro da organização.

Na ausência de informações sobre a localização física do titular dos dados, a localização física da organização empresarial associada seria considerada relevante.

3. Auditoria de dados

Uma vez antes de 25 de maio de 2018 e posteriormente em intervalos mensais ou conforme determinado de outra forma pelo ISGC, os conjuntos de dados armazenados serão verificados para localizar qualquer GSD e verificar os requisitos de conformidade associados a ele, como se os dados precisam ser arquivados, excluídos ou de outra forma especialmente garantido.

Qualquer conjunto de dados GSD não acompanhado de um “Consentimento” ou “Nota de Interesse Legítimo” apropriado será recomendado para exclusão.
Após a confirmação, tais dados serão excluídos de forma forense.

4. Avaliação de impacto do GDPR

Uma avaliação de lacunas do GDPR foi realizada e ações corretivas foram implementadas conforme necessário antes de 25 de maio de 2018. Após 25 de maio de 2018, uma Avaliação de Impacto na Proteção de Dados (DPIA) será realizada sempre que um novo projeto significativo for realizado, conforme e quando o ISGC identificar o necessidade.

5. Política de aceitação de novos negócios

A partir de 25 de maio de 2018, todos os novos compromissos comerciais que envolvam o processamento de dados estarão sujeitos à aprovação do ISGC com uma nota específica de avaliação de impacto do GDPR enviada pelo DPO em consulta com a equipe técnica responsável pelo processamento.

6. Política de Armazenamento de Dados GSD

O GSD será armazenado em sistemas que sejam acessados ​​apenas por pessoas designadas com base estrita na “Need To Know”.

Cada conjunto GSD deve ser marcado com o Controlador de Dados de quem foi obtido e que é responsável pela coleta dos dados mediante consentimento ou contrato.

Quaisquer restrições específicas associadas a esse conjunto de dados também serão marcadas com o conjunto de dados.

O armazenamento de dados permitirá que conjuntos individuais de dados sejam localizados e processados ​​para a execução de quaisquer direitos do titular dos dados, como solicitação de retificação de dados, portabilidade de dados, exclusão de dados ou acesso a dados a qualquer momento durante seu ciclo de vida.

7. Política de Acesso a Dados GSD

O GSD será acessado de acordo com a política de controle de acesso, que garante que cada conjunto de dados GSD terá parâmetros de acesso específicos, que definem quem pode acessar os dados e como eles acessam os dados. Apenas aqueles designados como trabalhadores do GSD terão acesso ao conjunto de dados do GSD.

O uso de parâmetros de acesso, como senhas, deve ser definido com um grau de complexidade e exclusividade conforme necessário e complementado com tags de criptografia e identificação de máquina para que os dados GSD possam ser acessados ​​apenas a partir de hardware específico atribuído à força de trabalho autorizada do GSD.

Quando o armazenamento de dados estiver na nuvem, apenas serviços em nuvem compatíveis com o GDPR serão usados, juntamente com controles adicionais, conforme necessário, para garantir que os dados armazenados e em trânsito sejam protegidos contra acesso não autorizado.

O GSD específico do projeto deve ser armazenado de forma que apenas os funcionários associados a um determinado projeto tenham acesso aos dados. O acesso entre projetos será regulamentado de acordo com a necessidade.

8. Política de retenção de dados GSD

O GSD será retido num ambiente de processo ativo apenas durante o período mínimo durante o qual é necessário para processamento. Posteriormente, os dados serão arquivados de forma segura de acordo com o requisito identificado no âmbito do interesse legítimo, por exemplo, até que o ciclo de faturação do projeto seja concluído.

Posteriormente, os dados continuarão em arquivo seguro ou serão destruídos de acordo com os requisitos de interesse legítimo identificados da Empresa.

Uma revisão mensal dos dados arquivados deve ser realizada para identificar os dados que não são mais necessários, os quais devem ser encaminhados ao ISGC para instruções de descarte.

As obrigações legais sobre a retenção de dados que possam surgir devido a quaisquer legislações sobrepostas serão tidas em conta na avaliação do interesse legítimo.

9. Política de Divulgação de Dados GSD

Qualquer solicitação de divulgação de GSD normalmente será recebida apenas do Controlador de Dados de origem.

Reconhece-se que as solicitações recebidas diretamente dos titulares dos dados estão sujeitas ao risco de phishing e tais solicitações, se houver, serão encaminhadas ao Controlador de Dados correspondente que coletou os dados do titular dos dados sob consentimento ou contrato que possa existir entre eles.

Os dados a serem divulgados serão enviados somente ao Controlador de Dados para posterior transmissão ao Titular dos Dados após autenticar adequadamente a identidade do representante do Controlador de Dados que faz a solicitação.

Em circunstâncias excecionais em que os dados devam ser divulgados diretamente a um titular de dados, ao seu representante autorizado ou a uma autoridade responsável pela aplicação da lei, será assegurada a autenticação adequada da identidade da pessoa que faz o pedido.

Todos os pedidos de divulgação de dados devem ser aprovados pelo ISGC antes da divulgação dos dados e o pedido, bem como os documentos de avaliação, devem ser considerados como documentação necessária de conformidade com o GDPR.

10. Política de Gestão de Incidentes de Dados GSD

Um “Incidente” sob este código será qualquer observação que tenha o potencial de indicar que o código de conformidade GSD ou quaisquer políticas ou procedimentos nele contidos foram violados, independentemente de haver ou não suspeita de que quaisquer dados tenham sido comprometidos.

A política de denunciantes pode ser usada para garantir que os incidentes sejam relatados prontamente por qualquer observador, dentro ou fora da Empresa.

Qualquer incidente desse tipo que chegue ao conhecimento da TechVersions será registrado em um Registro de Gerenciamento de Incidentes GSD e encaminhado ao DPO para ação imediata.

O DPO deverá rever o relatório do incidente e tomar medidas imediatas para resolver o incidente e também para reportar o incidente ao ISGC.

O ISGC convocará uma reunião rapidamente e avaliará o incidente para identificar se envolve alguma suspeita de violação de dados. Sempre que necessário, o ISGC poderá ordenar uma auditoria técnico-jurídica imediata para uma avaliação do risco do incidente. Com base na avaliação de risco, o ISGC decidirá a necessidade de ações adicionais, incluindo o envio de uma notificação de violação de dados ao Controlador de Dados associado aos Dados.

Um incidente em que o GSD tenha sido acessado por outro funcionário da organização é considerado um Incidente de Segurança e não necessariamente uma “Violação”. No entanto, tais incidentes serão investigados quanto à causa do acesso não autorizado e, se for um acesso acidental não intencional, poderá ser resolvido com uma ação disciplinar interna adequada, de acordo com a política de RH. Se os dados não tiverem sido transferidos ou acessados ​​por terceiros, o incidente poderá ser classificado como um acidente interno de dados, não constituindo uma violação.

Caso se saiba que o acesso ou os dados transferidos estão em formato criptografado e em estado indecifrável pelo destinatário, sujeito a investigação interna adequada quanto à segurança da chave de descriptografia associada, o acesso poderá ser classificado como um acidente interno de dados que não constitui uma violação.

11. Política de Notificação de Violação de Dados GSD

Um incidente de “violação de dados” é um incidente no qual a TechVersions, após investigação necessária, chegou ao conhecimento de que o acesso a qualquer conjunto de dados específico sob GSD foi comprometido e uma entidade externa acessou ou enviou um conjunto de GSD.

Tal incidente de violação de dados será imediatamente comunicado ao ISGC, que notificará sem demora o Controlador de Dados associado ao conjunto de dados, juntamente com os detalhes relevantes do incidente.

Esse relatório especificará a natureza e a extensão da violação, a hora e a data da violação, os dados dos titulares dos dados afetados, as medidas tomadas após a notificação da violação, etc. autoridade supervisora.

12. Política de gestão de direitos do titular dos dados GSD

O sistema de processamento de dados da TechVersions incorporou “Privacidade e Segurança desde a concepção” para permitir a conformidade com os requisitos do GDPR, particularmente no que diz respeito aos Direitos do Titular dos Dados fornecidos pelo GDPR.

Para cumprir estes direitos do titular dos dados, tais como “Acesso”, “Retificação”, “Apagamento”, “Portabilidade” e Direito de impor “Restrições”, a TechVersions habilitou os seus sistemas de armazenamento e acesso GSD de tal maneira que um conjunto de dados pertencente a um titular de dados específico pode ser extraído separadamente e processado.

O sistema foi, portanto, projetado para estar em conformidade com os requisitos mais rigorosos do GDPR.

Sempre que um pedido de exercício de tais direitos é recebido de um Titular dos Dados, de acordo com a política de divulgação de dados, o pedido é primeiro validado e, em seguida, caso os dados tenham sido recebidos de um Controlador de Dados, o controlador de dados será solicitado a confirmar o divulgação de dados.

Normalmente, o pedido é processado em comunicação com o controlador de dados e, se for transferido, é devolvido ao controlador de dados.

Em circunstâncias excepcionais em que a TechVersions tenha que lidar com a solicitação de um titular de dados sem a cooperação do controlador de dados, serão tomadas precauções apropriadas para evitar uma divulgação indevida, uma vez que seria do interesse legítimo da TechVersions ser indenizada contra qualquer possível divulgação indevida. .

13. Política de Transmissão de Dados GSD

Os dados GSD normalmente podem fluir para o sistema através de uma interface de aplicação (API). O acesso à interface é feito através de um sistema seguro de acesso por senha, complementado com uma autenticação de segundo fator adequada, onde é identificado um risco significativo de GSD.

A transmissão de dados é efectuada numa base de encriptação sujeita à gestão da segurança da transmissão que cobre vulnerabilidades conhecidas.

O próprio aplicativo, juntamente com seus elementos inerentes de armazenamento e processamento e a API, são protegidos contra acesso não autorizado e ataques maliciosos por um malware apropriado e um sistema de gerenciamento de acesso seguro

Quando o conjunto GSD também é transmitido ao Cliente ou Subcontratado, a transmissão é gerenciada através de canais de comunicação criptografados, seja por meio de uma API ou de um e-mail criptografado.

14. Política de Uso de Marketing GSD

Quando a TechVersions usa o GSD para qualquer finalidade de marketing, seja por e-mail ou telechamada ou de outra forma, é tomado cuidado para garantir que haja um consentimento ou contrato apropriado para permitir tal comunicação.

A TechVersions também insiste que seus parceiros, tanto os geradores de leads quanto os processadores subcontratados e os clientes, não usem o GSD, exceto conforme as permissões disponíveis.

Quando um consentimento inequívoco não estiver disponível, nenhum dado de contato comercial será coletado dos geradores de leads ou repassado aos clientes ou processado por meio de subcontratados.

Esses dados são eliminados em primeira instância quando entram no sistema da TechVersions e são identificados como “GSD sem o devido consentimento de processamento”.

15. Política de Consentimento GSD

Todas as informações classificadas como GSD em virtude do titular dos dados estar localizado na UE/Reino Unido ou de seu empregador estar localizado na UE/Reino Unido serão aceitas somente se o titular dos dados tiver fornecido um consentimento explícito com base no formato exigido pelo GDPR.

No cenário pré-GDPR, esses consentimentos eram geralmente recolhidos de acordo com os princípios do processamento de dados pessoais, que incluíam um Aviso de Privacidade. Esse Aviso de Privacidade indicava quais informações estavam sendo coletadas, a finalidade da coleta, o período durante o qual seriam retidas, como seriam protegidas, se as informações eram precisas, se seriam transferidas para fora da UE para processamento, etc., Alguns dos consentimentos basearam-se no princípio “Opt-in” como configuração padrão.

Ao abrigo do RGPD, é essencial que os dados pessoais sejam recolhidos apenas com base num consentimento explícito, onde “Opt-Out” é a opção padrão e apenas com base numa ação afirmativa indicando aceitação, o consentimento será aceite.

Além disso, o aviso de privacidade também deve indicar que o titular dos dados tem certos direitos, tais como “Direito a ser informado da identidade dos processadores a jusante”, “Direito de acesso e retificação”, “Direito à portabilidade e apagamento”.

Tendo em vista os novos requisitos, todos os consentimentos obtidos no formato pré-GDPR serão considerados inválidos e tais dados seriam descartados pela TechVersions.

Os Editores Externos que geram Leads para TechVersions deverão confirmar através de seus contratos que forneceriam apenas leads gerados com a nova forma de consentimento caso o titular dos dados esteja localizado na UE/Reino Unido.

16. Política de Comunicação com as Partes Interessadas da GSD

A TechVersions opera por meio de muitas organizações externas que são partes interessadas no programa de conformidade GDPR da TechVersions. Essas organizações incluem seus clientes, geradores de leads, subcontratados, etc.

Para uma conformidade eficaz, nenhum dado GSD deve ser trocado em qualquer comunicação com as partes interessadas, exceto através de transmissão segura e apenas para representantes autorizados.

Embora a comunicação por meio de API seja controlada pela política de acesso, qualquer outra comunicação por e-mail deve ser controlada por uma política de comunicação por e-mail.

Essencialmente, uma política de comunicação por e-mail definirá que o compartilhamento de qualquer informação de conformidade com GSD ou GDPR com uma parte interessada será somente através de um endereço de e-mail de contato notificado que será, na maioria dos casos, o DPO da outra organização, quando necessário, a comunicação por e-mail poderá ser criptografada e autenticada com assinatura digital.

17. Política de Identificação de Interesses Legítimos da GSD

A TechVersions reconhece que certos direitos dos titulares dos dados, como eliminação de dados ou retificação de dados, podem estar em conflito com os requisitos de interesse legítimo da TechVersions ou podem estar em conflito com as leis de retenção de dados que podem ser aplicáveis ​​aos dados em vista de outras obrigações legislativas. .

Em todos os casos de implementação dos Direitos do Titular dos Dados, a TechVersions avaliaria a solicitação antes de tomar outras medidas. Caso a TechVersions reconheça a necessidade de recusar a solicitação ou modificá-la para aceitação, os motivos serão documentados e uma nota de interesse legítimo da GSD será desenvolvida pelo ISGC.

Quando não for necessário que os dados estejam ativos, eles poderão ser arquivados de forma segura até que o interesse legítimo expire.

As razões para exercer o argumento de interesse legítimo para processar a solicitação do titular dos dados serão comunicadas ao Controlador de Dados, que é responsável pelo Titular dos Dados, para posterior transmissão ao titular dos dados.

18. Política de Gestão de Pessoas GSD

O GSD será considerado como um conjunto de dados que requer atenção exclusiva e especial em termos de segurança da informação enquanto estiver sob custódia da TechVersions.

Assim, o GSD seria devidamente etiquetado e processado com base na necessidade de conhecimento por um conjunto de funcionários especialmente treinados.

Esses funcionários e os sistemas nos quais o GSD seria armazenado, acessado e processado seriam gerenciados de forma segura, considerando o nível de risco associado ao GSD.

A atribuição de pessoas para este processamento de GSD e a sua remoção serão geridas com medidas de segurança adequadas, incluindo um nível mais elevado de verificação de antecedentes, formação, identidades de acesso físico, políticas de sanções, etc.

As políticas de RH precisam ser adequadamente atualizadas para a força de trabalho do GSD, conforme necessário.

19. Política de Pseudonimização GSD

Reconhece-se que a Pseudonimização é uma estratégia para reduzir os riscos no processamento de GSD.

Os dados pessoais pseudonimizados não são considerados “Dados Pessoais” para efeitos da regulamentação do GDPR, desde que o processo de pseudonimização seja adequadamente estruturado.

Face ao atual nível de exposição das suas operações aos Riscos do RGPD; A TechVersions não considerou necessário no momento usar a pseudonimização como estratégia para mitigação de riscos.

20. Política GSD DRP-BCP

A TechVersions reconhece a importância de um plano eficaz de recuperação de desastres e continuidade de negócios para suas operações, incluindo as operações que envolvem processamento de GSD.

A TechVersions manterá backup adequado dos dados GSD e capacidade razoável de manter a continuidade dos negócios em caso de qualquer contingência.

21. Política de Documentação de Conformidade GSD

As medidas de conformidade com o GDPR devem ser documentadas para que estejam disponíveis para revisão. A documentação de Compliance deverá ser mantida por um período mínimo de 6 anos desde a sua criação.

Caso qualquer documento seja uma prova potencial para requisitos de aplicação da lei ou para defesa do interesse legítimo da TechVersions, tal documento será retido enquanto o requisito persistir.

22. Política de Auditoria GSD

Uma equipe de auditoria de segurança interna da TechVersions deverá auditar os ativos de informação da TechVersions pelo menos uma vez por ano para avaliar o nível de segurança e conformidade com o GDPR e outros requisitos regulatórios.

As auditorias externas podem ser consideradas com base numa avaliação do ISGC sempre que ocorra uma alteração substancial no perfil do negócio.

A TechVersions reserva-se o direito de realizar uma auditoria nas instalações de qualquer um dos seus subcontratados para garantir o cumprimento das obrigações contratuais.

No entanto, a TechVersions reconhece que a autorização para auditar as instalações de um subcontratado é uma capacitação e deve ser usada apenas em circunstâncias excepcionais. Isto não reduz a responsabilidade do subcontratado de cumprir os requisitos de conformidade no seu final, de acordo com as garantias contratuais fornecidas.

23. Política de Reparação de Reclamações GSD

A TechVersions fornecerá uma política de reparação de reclamações em vários níveis para resolver disputas, se houver, com qualquer titular de dados. Tais reclamações serão tratadas pelo DPO no primeiro nível, pelo ISGC no segundo nível e por um Comité de Resolução de Litígios Online criado para o efeito pelo Conselho no terceiro nível.

Quaisquer dúvidas de uma autoridade supervisora ​​do GDPR serão tratadas pelo DPO e encaminhadas ao ISGC quando necessário.

Quaisquer disputas com os Clientes, Editores ou Subcontratados serão tratadas de acordo com os respectivos acordos contratuais.

24. Política de segurança de rede

A fim de garantir que a infraestrutura de TI utilizada pela Empresa seja segura, a TechVersions adotará uma política robusta de segurança da informação, incluindo Firewalls, Sistemas de Detecção de Intrusão, sistemas de Prevenção de Malware e Patching de Sistema, etc., conforme necessário.

Um Gerente de Segurança da Informação designado será responsável pela manutenção da segurança da Rede.

PS: Este Código está sujeito a revisões de tempos em tempos.