Política de Tratamento de Dados Pessoais

Art. 1.

São objetivos da Política de Proteção de Dados Pessoais:

• Estabelecer medidas eficazes para o cumprimento das normas de proteção de dados pessoais e demonstrar a eficácia das mesmas;
• Estabelecer revisões de processos com o objetivo de aferir a diminuição ou aumento de riscos que envolvem o tratamento de dados pessoais;
• Promover a administração dos dados pessoais coletados e tratados, em qualquer meio, físico ou digital, custodiados ou sob orientação direta ou indireta do ITEGAM, de acordo com as diretrizes especificadas;
• Estabelecer a necessidade de criar e manter um registro de todas as operações de tratamento de dados pessoais realizados;
• Promover a adequada gestão do tratamento dos dados pessoais;
• Promover a criação de programas de treinamento e conscientização para que os colaboradores entendam suas responsabilidades e procedimentos na proteção de dados pessoais;
• Promover a formulação de regras de segurança, de boas práticas e de governança com objetivo de definir procedimentos e outras ações referentes a privacidade e proteção de dados pessoais.

Art. 2.

O ITEGAM registrará e gravará as preferências e navegações realizadas nas respectivas páginas para fins estatísticos e de melhoria dos serviços ofertados, através de arquivos (cookies), respeitando o consentimento do titular.

Art. 3.

São responsabilidades do ITEGAM:

• Atender ao disposto nos normativos e publicações da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) que disciplinam o tratamento e a governança dos dados pessoais;
• Elaborar, quando couber, o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) relacionados às operações de tratamento, e atualizá-lo quando necessário;
• Realizar o desenvolvimento e a atualização das políticas/avisos de privacidade, que tem por finalidade o fornecimento de informações sobre o tratamento de dados pessoais em cada ambiente físico ou virtual, bem como especificar as medidas de proteção de dados adotadas para salvaguardar esses dados pessoais;
• Promover a conscientização e o treinamento de seus colaboradores, corpo docente e discente sobre a importância da proteção de dados pessoais, incluindo os princípios da LGPD, as melhores práticas para o tratamento de dados e as políticas internas do ITEGAM;
• Assegurar que os dados pessoais coletados, utilizados e armazenados em projetos de P&D sejam tratados de forma segura e ética, em conformidade com a LGPD e com os princípios de privacidade e proteção de dados.

Art. 4.

O tratamento de dados pessoais no ITEGAM deve ser sempre realizado em conformidade com a Lei Geral de Proteção de Dados (LGPD), com observância aos princípios da finalidade, necessidade, adequação, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização.

Art. 5.

O ITEGAM garante aos titulares de dados pessoais o exercício dos direitos previstos na LGPD, tais como: confirmação da existência de tratamento, acesso aos dados, correção de dados incompletos, inexatos ou desatualizados, anonimização, bloqueio ou eliminação de dados desnecessários, portabilidade dos dados, informação sobre uso compartilhado de dados, revogação do consentimento e eliminação dos dados pessoais tratados com base no consentimento.

Os titulares de dados pessoais podem exercer seus direitos pelos canais de atendimento:

• Presencialmente: Av. Joaquim Nabuco, 1950, Térreo, Bairro Centro, CEP 69020-030, Manaus-AM;
• Por e-mail: suporte@itegam.org.br;
• Por telefone: (92) 3584-6145;
• Por correspondência: Av. Joaquim Nabuco, 1950 — Centro, Manaus-AM, 69020-030.

Art. 6.

O tratamento de dados pessoais sensíveis no ITEGAM (dados de saúde, biométricos ou genéticos) será realizado somente quando estritamente necessário para o cumprimento de suas finalidades estatutárias e com base em hipóteses legais previstas na LGPD, adotando medidas de segurança reforçadas, incluindo criptografia, pseudonimização e controle rigoroso de acesso.

Art. 7.

O tratamento de dados pessoais de crianças e adolescentes no ITEGAM será realizado com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, observando os princípios da LGPD e com prioridade ao melhor interesse da criança ou adolescente.

Art. 8.

O uso compartilhado de dados pessoais pelo ITEGAM será realizado somente quando necessário para o cumprimento de suas finalidades estatutárias e com base em uma das hipóteses legais previstas na LGPD.

Art. 9.

A transferência internacional de dados pessoais pelo ITEGAM será realizada somente quando estritamente necessário e com base em hipóteses legais previstas na LGPD.

Diretrizes a serem seguidas nas operações de tratamento:

• Minimização dos dados: coletar apenas os dados pessoais estritamente necessários para as finalidades do ITEGAM;
• Limitação da finalidade: utilizar os dados pessoais apenas para as finalidades informadas ao titular;
• Exatidão: manter os dados pessoais atualizados e garantir a sua precisão;
• Segurança: adotar medidas de segurança para proteger os dados pessoais contra acesso não autorizado, alteração, destruição ou perda;
• Transparência: fornecer aos titulares informações claras e acessíveis sobre o tratamento de seus dados pessoais;
• Responsabilização: demonstrar a adoção de medidas eficazes para a proteção de dados pessoais.

Art. 10.

Todos os colaboradores, professores e alunos do ITEGAM que tenham acesso a dados pessoais deverão participar de programas de conscientização, capacitação e sensibilização sobre privacidade e proteção de dados pessoais, com o objetivo de:

• Compreender a importância da proteção de dados pessoais e os princípios da LGPD;
• Conhecer as políticas e procedimentos do ITEGAM para o tratamento de dados pessoais;
• Identificar os riscos relacionados ao tratamento de dados pessoais e as medidas de segurança para mitigá-los;
• Aplicar as melhores práticas para o tratamento de dados pessoais em suas atividades no ITEGAM;
• Desenvolver uma cultura de proteção de dados no ambiente do ITEGAM.

Art. 11.

Para mitigar incidentes com dados pessoais, o ITEGAM adota as seguintes medidas técnicas e organizacionais:

• O acesso aos dados pessoais é restrito aos colaboradores, professores e pesquisadores que necessitam deles para o cumprimento de suas funções, mediante autenticação e autorização prévia;
• As funções e responsabilidades de cada colaborador em relação ao tratamento de dados pessoais são claramente definidas em seus contratos e instrumentos jurídicos;
• O ITEGAM estabelece acordos de confidencialidade com todos os seus colaboradores, professores, pesquisadores e parceiros que tenham acesso a dados pessoais;
• Todos os dados pessoais, físicos ou digitais, são armazenados em local seguro com controle de acesso físico, criptografia e sistemas de detecção e prevenção de intrusão;
• O ITEGAM implementa firewalls, softwares antivírus e sistemas de backup para proteger os dados pessoais;
• O ITEGAM realiza avaliações periódicas de segurança e testes de vulnerabilidade para identificar e corrigir falhas em seus sistemas e processos.

Art. 12.

Qualquer incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados pessoais será prontamente comunicado à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados, quando couber.

Art. 13.

O ITEGAM mantém uma base de conhecimento com documentos, normas, procedimentos e diretrizes internas que orientam as ações de seus colaboradores em relação à proteção de dados pessoais.

Art. 14.

O cumprimento desta Política será avaliado periodicamente por meio de auditorias internas e externas, com o objetivo de verificar a conformidade com a LGPD, identificar e corrigir eventuais falhas nos processos de tratamento de dados pessoais e assegurar a efetividade das medidas de segurança.

Art. 15.

Todas as atividades, produtos e serviços desenvolvidos no ITEGAM devem observar os requisitos de privacidade e proteção de dados pessoais estabelecidos pela LGPD, por esta Política e pelas demais normas aplicáveis.

Art. 16.

Os resultados de cada auditoria serão documentados em relatórios de avaliação de conformidade contendo: escopo da auditoria, metodologia utilizada, constatações e achados, recomendações para melhoria e planos de ação para a correção de eventuais não conformidades.

Art. 17.

Todas as pessoas físicas ou jurídicas — colaboradores, professores, pesquisadores, alunos e parceiros — que interagem em qualquer fase do tratamento de dados pessoais no ITEGAM devem assegurar a privacidade e a proteção dos dados, em conformidade com a LGPD, mesmo após o término do tratamento.

Art. 18.

O ITEGAM poderá instituir um Comitê de Proteção de Dados Pessoais (CPDP) com atribuições de: promover a proteção de dados pessoais, constituir grupos de trabalho, participar da elaboração e revisão desta Política, gerenciar a implementação da LGPD e incentivar a conscientização de todos os envolvidos.

Art. 21.

A responsabilidade pelas decisões relacionadas ao tratamento de dados pessoais no ITEGAM é da Diretoria, que define as medidas necessárias para executar a Política de Proteção de Dados Pessoais e garantir a conformidade com a LGPD.

Art. 25.

Compete ao Encarregado pelo Tratamento de Dados Pessoais (DPO) do ITEGAM: orientar e supervisionar a aplicação da LGPD, atender às solicitações dos titulares de dados pessoais, receber e analisar reclamações e denúncias, cooperar com a ANPD, manter-se atualizado sobre a legislação e promover a conscientização e o treinamento.

Art. 28.

Os contratos e instrumentos similares firmados pelo ITEGAM que envolvam o tratamento de dados pessoais devem conter cláusulas específicas que garantam a proteção dos dados e a conformidade com a LGPD, incluindo requisitos mínimos de segurança, a proibição de tratamento para finalidades distintas e a obrigação de notificação imediata em caso de incidente de segurança.

Art. 30.

As ações que violarem esta Política poderão acarretar, isolada ou cumulativamente, as seguintes sanções:

• Sanções administrativas: advertência, multa simples ou diária, publicização da infração, bloqueio ou eliminação dos dados pessoais, suspensão parcial do banco de dados e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados;
• Sanções civis: obrigação de indenizar os titulares de dados pelos danos patrimoniais e morais sofridos em razão da violação;
• Sanções penais: nos casos de condutas que se enquadrem como crimes previstos no Código Penal Brasileiro ou em legislações específicas.

Art. 33.

Os integrantes do Comitê de Proteção de Dados Pessoais (CPDP) poderão expedir instruções complementares, no âmbito de suas competências, que detalharão suas particularidades e procedimentos relativos à Proteção de Dados Pessoais.

Art. 35.

Esta política será revisada a cada dois anos a partir da sua publicação.

Art. 37.

Esta política entra em vigor na data de sua publicação.