Política de privacidade para nossos clientes

Política de Privacidade e Proteção de Dados Pessoais

1. Objetivo

Estabelecer as atribuições e responsabilidades dos empregados e prestadores de serviços da Komatsu Forest Ltda., bem como as diretrizes e normas para a condução das atividades envolvendo o tratamento e a garantia da privacidade e da proteção de dados pessoais, ou seja, dados de pessoas naturais (titulares) com as quais a empresa se relaciona para executar suas atividades de negócio.
Todas as atividades relacionadas aos negócios da Komatsu Forest Ltda. que lidem com dados pessoais devem ser orientadas por esta política, a qual tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.

2. Compliance com Leis e Regulamentações

Esta política foi elaborada de forma a atender aos requisitos da Lei nº 13.709/2018, alterada pela Lei nº 13.853/2019 (LGPD ou “Lei”), conhecida no Brasil como “Lei Geral de Proteção de Dados”, especialmente nos termos do seu artigo 50, que trata “Das Boas Práticas e da Governança” da segurança dos dados pessoais, copiado abaixo:
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:
I - Implementar programa de governança em privacidade que, no mínimo:
a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e
h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
II - Demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei.
§ 3º As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.

3. Definições de Dados Pessoais e da Proteção de Dados Pessoais
Dados pessoais são informações relativas a uma pessoa viva, identificada ou identificável. Também constituem dados pessoais o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa.
Conforme a LGPD em seu artigo 5º e outras referências legais similares, considera-se:
I. dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
II. dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
III. dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Os dados pessoais são necessários em diferentes atividades de negócios na Komatsu Forest Ltda. e podem ter várias formas de representação, armazenamento e transporte, sendo que o seu significado e valor dependem do contexto em que se encontram, podendo ser, por exemplo:
• em papel: listas de presença, formulários de cadastro, relatórios, memorandos, cartas, etc.
• em mídia digital: arquivos digitais gravados em discos, SSDs, flash drives, fitas, CDs, etc.
• em som: gravação de reuniões e outras atividades, secretária eletrônica, etc.
• em imagem: fotos de pessoas e de seus documentos, vídeos contendo pessoas, etc.
A proteção dos dados pessoais deve garantir fundamentos e direitos básicos das pessoas, como o respeito à privacidade, à dignidade e à autodeterminação; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; a livre iniciativa e a livre concorrência; a defesa do consumidor e outros direitos humanos relacionados com a personalidade e o exercício da cidadania.
Para que os objetivos de proteção de dados pessoais sejam alcançados, os empregados e prestadores de serviços da Komatsu Forest Ltda. devem seguir as práticas determinadas nesta Política de Privacidade e Proteção de Dados Pessoais, os procedimentos operacionais relacionados a este documento e também à Política de Tecnologia e Segurança da Informação (PTSI), documento que estabelece diretrizes e normas gerais de segurança para todos os ativos de informação da empresa, incluindo dados pessoais e também outros tipos de dados sensíveis e de valor para os negócios.

4. Atribuições e Responsabilidades

De forma geral, todas as pessoas (empregado, consultor, temporário, terceiro e demais indivíduos) a serviço da Komatsu Forest Ltda. são responsáveis pela adoção de boas práticas de segurança da informação no tratamento dos dados pessoais.
A seguir, estão relacionadas as atribuições e responsabilidades específicos de cada função dentro da estrutura da Komatsu Forest Ltda.

4.1 Diretoria Superintendente
A atribuição da Diretoria Superintendente é assegurar que as políticas e procedimentos de proteção de dados pessoais são seguidos e executados, de forma que a empresa esteja em conformidade com a Lei.
São responsabilidades da Diretoria Superintendente:
a) assegurar que os princípios de proteção de dados pessoais, ou seja, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e a prestação de contas sejam aplicados na Komatsu Forest Ltda.
b) indicar o Encarregado dos Dados Pessoais e promover a sua capacitação.
c) autorizar a notificação quando houver violação à Lei Geral de Proteção de Dados Pessoais.

4.2 Proprietário dos dados pessoais (data owner)
Os proprietários dos dados pessoais (data owners) são os gestores responsáveis pelos processos ou atividades de negócio relacionados com a coleta, uso e/ou tratamento de cada uma das bases de dados pessoais presentes na Komatsu Forest Ltda.
São responsabilidades do proprietário dos dados pessoais:
a) garantir o cumprimento das regulamentações, políticas e procedimentos de proteção de dados pessoais.
b) definir quem pode ter acesso aos dados pessoais sob a sua responsabilidade.
c) definir os controles que devem ser aplicados para garantir a qualidade, gerenciar os riscos e proteger os dados pessoais sob sua responsabilidade.
d) assegurar que qualquer nova atividade de tratamento de dados pessoais seja devidamente comunicada ao Encarregado dos Dados Pessoais, inclusive o envolvendo, de forma que os riscos de proteção dos dados pessoais sejam plenamente avaliados e tratados.
e) assegurar que todos os novos dados coletados, bem como todos os eventos de alterações nas estruturas das bases de dados pessoais sob a sua gestão, além dos eventos de alteração, correção ou eliminação de registros de dados pessoais, sejam sempre devidamente comunicados ao Encarregado dos Dados Pessoais, para que o mesmo possa manter o inventário de dados pessoais atualizado.

4.3 Operador
Operadores são os prestadores de serviços externos, terceirizados, que de alguma forma realizam coleta, uso ou tratamento de dados pessoais dos quais a empresa é a controladora.
Cada operador tem a responsabilidade de garantir, manter o registro e evidenciar sempre que requerido, que adota todos os processos e aplica todos os recursos necessários de proteção de dados pessoais, de acordo com a Lei e conforme definido nesta política, nos mesmos moldes exigidos das áreas de negócios da Komatsu Forest Ltda.

4.4 Encarregado dos dados pessoais
Na Komatsu Forest Ltda. o Encarregado dos Dados Pessoais (DPO – Data Protection Officer) é uma função exercida por um grupo de pessoas, coordenada pela área de “Processos”, de acordo com definição da Diretoria Superintendente.
A principal atribuição do Encarregado dos Dados Pessoais é garantir que a Komatsu Forest Ltda. realize o tratamento de dados pessoais em conformidade com a legislação e regulações, bem como atuar como canal de comunicação entre a empresa, os operadores, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD).
São responsabilidades do Encarregado dos Dados Pessoais:
a) implementar medidas organizacionais adequadas para garantir e demonstrar que o tratamento de dados pessoais é realizado de acordo com a Lei.
b) implementar políticas e procedimentos adequados à proteção de dados pessoais.
c) informar e instruir as pessoas (empregado, consultor, temporário, terceiro e demais indivíduos) a serviço da Komatsu Forest Ltda. sobre os requisitos da Lei e a importância de conformidade com a mesma.
d) abordar potenciais riscos à proteção dos dados pessoais de forma proativa e contínua.
e) manter o registro de todas as atividades e processos que compreendem o uso e tratamento de dados pessoais realizados pela empresa, incluindo as finalidades destas atividades e processos, quais dados pessoais estão envolvidos, quem é o proprietário dos dados pessoais dentro da Komatsu Forest Ltda. e o período para manter estes dados.
f) monitorar o desempenho das ações realizadas para a proteção de dados pessoais e fornecer recomendações sobre o impacto das mesmas.
g) coordenar as comunicações internas relacionadas à gestão da proteção dos dados pessoais, identificando os responsáveis para cada atividade e monitorando sua execução.
h) atuar como ponto de contato entre a Komatsu Forest Ltda. e os titulares dos dados para informá-los sobre como seus dados pessoais estão sendo usados, o direito de apagar os dados e sobre as medidas que a empresa adota para proteger seus dados pessoais, facilitando o exercício dos direitos dos titulares dos dados.
i) disponibilizar os dados pessoais ao titular dos dados mediante solicitação expressa.
j) atuar como o ponto de contato entre a Komatsu Forest Ltda. e a ANPD.
k) elaborar, quando requisitado pela ANPD, relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de uso e tratamento de dados pessoais e que contenha, no mínimo:
• a descrição dos tipos de dados pessoais.
• a metodologia utilizada para a coleta e para a garantia da segurança dos dados pessoais.
• a análise da Komatsu Forest Ltda. com relação às medidas, salvaguardas e mecanismos de mitigação de risco adotados.
l) com a devida autorização da Diretoria Superintendente, comunicar à ANPD e aos titulares dos dados, a ocorrência de incidentes de segurança que possam acarretar riscos ou danos relevantes aos titulares, cumprindo com os deveres da empresa de notificar quando houver violação da Lei.

4.5 Tecnologia da Informação (TI)
No que tange a Privacidade e Proteção de Dados Pessoais, a atribuição do Departamento de Tecnologia da Informação (TI) é garantir que a Komatsu Forest Ltda. realize o tratamento dos dados pessoais com os controles e recursos tecnológicos de proteção adequados, garantindo a confidencialidade, integridade e disponibilidade de tais dados.
São responsabilidades da TI:
a) implementar os controles, recursos e processos tecnológicos para atendimento da Política de Tecnologia e Segurança da Informação (PTSI), de forma a garantir e demonstrar que a coleta, o tratamento e o armazenamento de dados pessoais são realizados com segurança, de acordo com os requisitos da Lei.
b) garantir a proteção e a segurança dos dados pessoais nos ambientes de armazenamento e processamento de dados, bem como nos canais digitais de comunicação (e-mail, intranet, redes sociais internas e externas; sistemas de mensagens instantâneas, sistemas de trocas de arquivos, serviços web, etc.); adotando, provendo e implementando medidas, processos e recursos técnicos suficientes para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

4.6 Segurança da Informação (SI)
A função de Segurança da Informação (SI) que, na Komatsu Forest Ltda., é exercida dentro do Departamento de TI, tem a atribuição de definir diretrizes e normas, apoiar na implementação, controlar e monitorar as demais áreas de negócios e de suporte, em todas as questões relacionadas com a confidencialidade, integridade e disponibilidade das informações da empresa, incluindo os dados pessoais.
São responsabilidades da Segurança da Informação em relação à Privacidade e Proteção aos Dados Pessoais:
a) definir, elaborar, divulgar e apoiar na implementação de uma adequada Política de Tecnologia e Segurança da Informação (PTSI), alinhada também com esta Política de Privacidade e Proteção de Dados Pessoais. A PTSI é o documento que contém as diretrizes e normas para garantir que a coleta, o tratamento e o armazenamento de dados pessoais são realizados com segurança, de acordo com os requisitos da Lei.
b) em conjunto com Tecnologia da Informação, apoiar o Encarregado e os proprietários dos dados pessoais, provendo informações e diretrizes sobre segurança, para que possam exercer suas funções, por exemplo: detalhes sobre as normas e os controles de proteção dos dados pessoais, que são um subconjunto das informações tratadas na empresa.

4.7 Auditoria Interna
A Auditoria Interna é responsável por testar os processos e controles relacionados com a proteção de dados pessoais e com a adequada atuação do Encarregado dos Dados Pessoais, para garantir a conformidade com a Lei.
Assim, a Auditoria Interna deve incluir tais testes no seu Cronograma Anual alinhado com a Diretoria Superintendente da Komatsu Forest Ltda.
Ao avaliar os processos e controles relacionados à proteção de dados pessoais, a Auditoria Interna deve também reportar seus apontamentos ao Encarregado dos Dados Pessoais, para apoiar na adequação dos controles às políticas e procedimentos.

5. Direito dos Titulares

Os titulares dos dados coletados e processados pela Komatsu Forest Ltda. possuem os seguintes direitos em relação aos seus dados pessoais tratados pela empresa:
a) confirmação da existência de tratamento de seus dados pessoais.
b) livre acesso de consulta aos seus dados pessoais.
c) correção de seus dados pessoais, quando os dados estiverem incompletos, inexatos ou desatualizados.
d) eliminação de seus dados pessoais, quando os dados forem desnecessários, excessivos ou tratados em desconformidade com a Lei, inclusive quando houver consentimento por parte do titular, desde que os dados pessoais não sejam utilizados para cumprir com obrigações legais e regulatórias.
e) portabilidade de seus dados pessoais para outro fornecedor de serviço ou produto, mediante requisição expressa do titular.
f) informação das entidades públicas e privadas com as quais a empresa compartilhou seus dados pessoais.
g) informação sobre a possibilidade de não fornecer consentimento para o tratamento de seus dados pessoais.
h) revogação do consentimento para o tratamento de seus dados pessoais.

6. Coleta, Uso e Tratamento de Dados Pessoais

A Komatsu Forest Ltda. coleta, utiliza e faz o tratamento dos dados pessoais para atender aos interesses legítimos da empresa, comprometendo-se a cumprir com toda a legislação aplicável em relação à proteção dos dados pessoais, assegurando que sejam coletados, utilizados e tratados de acordo com as disposições da LGPD e outras leis e regulações aplicáveis, se houver.
Dados pessoais não devem ser coletados sem que exista uma finalidade. A coleta pode ocorrer quando necessário para estabelecer a relação comercial entre a Komatsu Forest Ltda. e seus empregados e parceiros de negócios, para a execução de um contrato ou para o cumprimento de uma obrigação legal à qual a empresa está sujeita.
Ao coletar dados pessoais, a Komatsu Forest Ltda. deve informar previamente, com transparência, de forma clara e inequívoca, quais são as finalidades para o tratamento daqueles dados pessoais e por quanto tempo devem ser retidos e tratados, podendo informar também que o tempo de retenção é indefinido.
Em todos os casos em que os dados pessoais coletados não forem anonimizados e a coleta não for para fins de (I) cumprimento de obrigação legal ou regulatória, (II) execução de contrato ou procedimentos preliminares relacionados a contrato do qual seja parte o titular, (III) exercício regular de direitos em processo judicial, administrativo ou arbitral, e (IV) proteção do crédito, a Komatsu Forest Ltda. deve requerer o consentimento expresso do titular dos dados, devendo ficar este consentimento registrado e arquivado em mídia digital ou impressa.
Sempre que houver mudanças na finalidade, a Komatsu Forest Ltda. deve informar previamente o titular sobre as mudanças e pedir novo consentimento, podendo o titular revogar o consentimento, caso discorde das alterações.
Quando o tratamento de dados pessoais for condição para a Komatsu Forest Ltda. fornecer um produto ou serviço, ou para o exercício de seu direito, o titular deve ser informado com destaque sobre esse fato e sobre os meios pelos quais pode exercer os direitos elencados na referida Lei.

6.1 Novos projetos e processos de mudanças em dados pessoais
Qualquer nova atividade de tratamento de dados pessoais deve ser devidamente comunicada pelos proprietários ao Encarregado dos Dados Pessoais, inclusive envolvendo este último no planejamento de novos projetos que possam envolver a coleta e tratamento de dados pessoais, de forma que os riscos à proteção destes dados sejam plenamente avaliados e tratados.
Nos processos normais de operação dos negócios, toda e qualquer mudança em dados pessoais deve ser comunicada ao Encarregado dos Dados Pessoais, de forma manual ou automática (integração sistêmica), para que o mesmo possa atualizar os registros na(s) sua(s) ferramenta(s) de controle. Incluem-se neste processo de comunicação/integração tanto as mudanças na estrutura de dados como nos registros, por exemplo:
• novos dados pessoais coletados nos sistemas/processos atuais.
• alteração, correção ou eliminação de dados pessoais nos sistemas/processos atuais.
• mudanças na estrutura das bases de dados pessoais de sistemas/processos já existentes.

6.2 Tratamento de dados pessoais coletados por unidades fora do Brasil
As unidades da Komatsu Forest Ltda. fora do Brasil também realizam coleta de dados pessoais para permitir suas operações e negócios. Em alguns destes casos, pode ocorrer que parte do tratamento e da proteção desses dados ocorra na unidade localizada no Brasil.
É política da Komatsu Forest Ltda. tratar e proteger tais dados com os mesmos níveis de proteção e seguindo os mesmos procedimentos e controles adotados para os dados coletados no Brasil.

7. Descarte de Dados Pessoais

Encerrado o período de utilização ou quando terminar a finalidade para a qual determinados dados pessoais foram coletados e tratados, seus proprietários devem excluir os dados pessoais relacionados, utilizando-se de métodos de descarte seguro, ou de forma anonimizada, para fins estatísticos. Sempre que possível, estes descartes devem ser evidenciáveis.
Nos casos em que Komatsu Forest Ltda. não puder excluir os dados pessoais para cumprir exigências legais ou por alguma outra necessidade legítima, estes dados devem ser arquivados com segurança, isolados de qualquer tratamento posterior, até que a exclusão seja possível.

8. Processos de Comunicação com Titulares e com a ANPD

A Komatsu Forest Ltda. deve estabelecer um canal de comunicação para que a ANPD e os titulares possam entrar em contato com a empresa sempre que desejarem exercer seus direitos. O responsável pela operação deste canal de comunicação é o Encarregado dos Dados Pessoais.
Este canal de comunicação deve ser publicado na internet e/ou em outros meios que facilitem a divulgação aos titulares e à ANPD.
Adicionalmente, sempre que requerido, o Encarregado dos Dados Pessoais deve atender aos pedidos de informações, emissão de relatório de impacto para a ANPD e a ocorrência de incidentes, entre outras demandas legais que podem ser futuramente regulamentadas pela ANPD.

9. Medidas de Proteção

9.1 Proteção de dados pessoais em papel
Para a correta proteção dos locais que contém dados pessoais em papel, os seguintes controles devem estar implementados:
a) estrutura física adequada contra impactos, alagamentos ou incêndios.
b) acesso físico controlado e monitorado.
c) deve ser vedada a utilização de equipamentos fotográficos e outros que permitam cópia não autorizada dos documentos.
Documentos em papel que contém dados pessoais e que estão sob a responsabilidade da Komatsu Forest Ltda. não podem ser retirados da empresa sem autorização expressa prévia do Encarregado dos Dados Pessoais e do proprietário destes dados.

9.2 Proteção em dispositivos e sistemas pessoais
O uso de dispositivos e sistemas pessoais (notebooks, tablets, smartphones, mídias portáteis de armazenamento de dados, sistemas de mensagens e de trabalho em grupo na nuvem, etc.) podem acarretar riscos para a segurança dos dados pessoais.
Os empregados que necessitarem utilizar qualquer recurso não fornecido pela empresa para o tratamento de dados pessoais devem pedir autorização prévia ao Departamento de Tecnologia da Informação (TI) e ao Encarregado dos Dados Pessoais que, por sua vez, caso entendam que o uso é de fato requerido, devem avaliar o contexto e implementar as medidas necessárias de proteção.
O processo de análise e autorização deve considerar:
a) a necessidade do uso do recurso.
b) os riscos à proteção de dados pessoais provenientes do uso deste recurso.
c) a realização das atividades somente após a garantia da adoção das proteções necessárias.

9.3 Proteção de dados pessoais em meio eletrônico
9.3.1 Controles de acesso
O acesso aos sistemas e redes da Komatsu Forest Ltda. que contém dados pessoais deve ser concedido por processos de identificação, autenticação e certificação de login e senha de acesso, devendo ser comprovada a necessidade do acesso para desempenho das atividades.
Cabe ao proprietário de cada base dos dados pessoais determinar os controles apropriados para direito de acesso, concessão de privilégios e gerenciamento dos acessos concedidos aos dados pessoais sob a sua gestão.

9.3.2 Uso de softwares
A instalação de softwares não homologados pela Komatsu Forest Ltda. ou a mudança da configuração de equipamentos (computadores, notebooks, impressoras, etc.) de tecnologia da informação deve ser proibida aos usuários que não possuam esta atribuição.

9.3.3 Acesso externo
O acesso externo a sistemas e equipamentos deve ser concedido somente a pessoal que de fato demande este recurso, naqueles casos de real necessidade para execução das atividades de negócios e que não acarretem riscos elevados para a proteção dos dados pessoais.
O acesso externo deve considerar: 
a) a pessoa (empregado, consultor, temporário, terceiro e demais indivíduos) a serviço da Komatsu Forest Ltda. deve obter autorização específica para o uso remoto de equipamentos.
b) equipamentos não podem ser deixados desprotegidos em áreas públicas, devendo sempre ser transportados pelos seus usuários.
c) convém que dispositivos e computadores portáteis sejam carregados como bagagem de mão e oportunamente descaracterizados para não chamar atenção indesejada, sempre que possível.
d) equipamentos não devem ser utilizados em área de circulação de pessoas, tal como aeroportos, saguão de hotéis, restaurantes e bares.
e) devem ser reforçados os cuidados sobre a segurança de dados pessoais.
f) qualquer problema relativo à proteção de dados pessoais deve ser reportado imediatamente ao Encarregado dos Dados Pessoais e ao respectivo proprietário destes dados.

9.4 Proteção nas transferências de dados pessoais
Como os riscos de vazamento de informações são maiores nos processos que envolvem transferências entre diferentes equipamentos e/ou sistemas, visando a segurança e proteção de dados pessoais, as seguintes orientações devem ser seguidas por todos os empregados e prestadores de serviços:
a) o uso de conexões aos sistemas da rede interna e da internet é permitido para todos os efeitos e propósitos de negócios, suporte, serviços e objetivos específicos da Komatsu Forest Ltda. O uso destes recursos para outras finalidades é terminantemente proibido.
b) qualquer computador de propriedade da Komatsu Forest Ltda. ou de propriedade de prestadores de serviços a serviço da empresa, que estiver conectado à rede interna ou à internet, deve estar devidamente configurado com sistemas de proteção contra a infestação de vírus ou de software malicioso.
c) todos os computadores, redes, sistemas e softwares devem estar sujeitos ao monitoramento e, portanto, a Komatsu Forest Ltda. pode, a seu critério, manter o histórico de acessos e transações realizadas através das conexões da rede corporativa (interna) ou da internet (externa).
d) prospecções, varreduras ou outra forma qualquer de tentativa de invasão através de mecanismos de testes não podem ser realizadas sem a devida e expressa autorização, configurando assim, ameaça e tentativa de apropriação indevida de dados pessoais.
e) todas as conexões entre as redes internas da Komatsu Forest Ltda. e outras redes externas, inclusive a internet, devem obrigatoriamente, ser franqueadas por um sistema específico, configurado e homologado, de firewall.
f) as estações de trabalho devem estar habilitadas com programas específicos, homologados e configuradas para acesso à rede interna e à internet, podendo este ou aquele acesso ser inibido em atenção à solicitação formal do gestor do departamento interessado, do proprietário ou do Encarregado dos Dados Pessoais, ou para a manutenção dos níveis de segurança de dados pessoais.
g) os serviços de correio eletrônico, conexão remota e transferência de arquivos devem ser preferencialmente, desabilitados para os usuários que tenham funções que não requeiram estes serviços.
h) a conexão de usuários às redes (internas e externas) deve ocorrer, única e exclusivamente, através de processos de identificação, autenticação e certificação de chave e senha de acesso.
i) dispositivos de controle e segurança (servidor proxy, firewall e similares) devem ser implementados para garantir a confidencialidade e a integridade de dados pessoais em tráfego por estas redes.
j) não realizar downloads de softwares não homologados, pois podem conter código malicioso e gerar ameaças à segurança dos dados pessoais.
k) manter as opções de compartilhamento de arquivos, a conexão automática em redes wi-fi e bluetooth desabilitadas.
l) em quaisquer situações, independentemente do que foi anteriormente apontado, todo e qualquer arquivo proveniente de redes ou usuários externos devem, obrigatoriamente, ser verificados por sistemas de proteção contra vírus e software malicioso.
m) Toda e qualquer transferência de dados pessoais para sistemas e pessoas externas à Komatsu Forest Ltda., por meio de quaisquer recursos de comunicação, deve ocorrer de maneira segura considerando os seguintes controles:
1) evitar o envio de dados pessoais através de mensagens de e-mail ou por outros serviços de mensagens. Idealmente, os dados pessoais devem ser acessados e transferidos usando somente os recursos próprios dos sistemas de gestão e aplicativos da empresa.
2) se não for possível transferir dados pessoais por meio dos próprios sistemas que os armazenam, as transferências de dados pessoais por meio de mensagens (como anexos em e-mails, por exemplo) somente podem ocorrer se estes arquivos estiverem criptografados ou anonimizados.
3) se o envio de dados pessoais por e-mail/mensagens eletrônicas em geral for inevitável, o remetente deve se certificar que está encaminhando os dados apenas para as pessoas que realmente necessitam receber aquela informação, devendo ainda se atentar para encaminhar o mínimo de informações possíveis e apenas pelos meios autorizados pela empresa.
4) não utilizar redes públicas (por exemplo, wi-fi público) para troca ou envio de dados pessoais, exceto se estiver adotando recursos de segurança e criptografia nesta comunicação (como SSL e VPN).

10. Criação de Perfis para Tomada de Decisão

A Komatsu Forest Ltda. não emprega técnicas para a tomada de decisão automatizada a partir de dados pessoais, incluindo a definição dos perfis individuais, que tenham efeitos legais ou que afetem os titulares de maneira significativa.

11. Comunicação em Caso de Incidentes

Um incidente de segurança pode ser qualquer evento que viole a proteção dos dados pessoais e dos dados pessoais sensíveis.
De acordo com a Lei, a Komatsu Forest Ltda. deve comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
O responsável pela Segurança da Informação (SI) deve executar atividades de monitoramento, alerta, responsabilização, resposta, comunicação entre os envolvidos, documentação e registro dos incidentes, contemplando as seguintes atividades:
a) o monitoramento e gerenciamento de incidentes de segurança relacionados aos dados pessoais, ou seja, que abranjam os bancos de dados dos sistemas, arquivos e locais da rede contendo dados pessoais.
b) o tratamento e o registro das respostas aos incidentes e das respectivas correções aplicadas.
c) a comunicação aos devidos responsáveis pela proteção dos dados pessoais, ao Encarregado e ao respectivo proprietário deste dados, de toda e qualquer ocorrência relacionada à perda ou apropriação indevida de dados pessoais.
Cabe ao Encarregado dos Dados Pessoais analisar a severidade dos incidentes, junto do Departamento Jurídico e da Diretoria Superintendente. Caso um incidente seja entendido como acarretando risco ou dano relevante aos titulares, o Encarregado dos Dados Pessoais deve elaborar e realizar a devida comunicação à ANPD e aos titulares.
Conforme previsto na Lei, a comunicação deve conter, no mínimo, os seguintes dados sobre o ocorrido:
a) a descrição da natureza dos dados pessoais afetados;
b) as informações sobre os titulares envolvidos;
c) a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
d) os riscos relacionados ao incidente;
e) os motivos da demora, no caso de a comunicação não ter sido imediata;
f) as medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do prejuízo.

12. Atualização da Política

A Komatsu Forest Ltda. pode, a qualquer momento, promover revisões ou atualizações oportunas para esta política. Atualizações desta política entrarão em vigor assim que forem publicadas na página de internet www.komatsuforest.com.br.

13. Glossário

• Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
• ANPD: Autoridade Nacional de Proteção de Dados - órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.
• Banco de Dados: conjunto estruturado de dados, podendo ter dados pessoais, em meio eletrônico ou físico.
• Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
• Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
• Controlador: pessoa natural ou jurídica a quem compete determinar a finalidade e o meio de tratamento dos dados pessoais executadas pela própria empresa ou pelo operador.
• Dado Anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
• Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável.
• Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
• Eliminação: exclusão de um dado ou de um conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
• Encarregado dos Dados Pessoais: função da Komatsu Forest Ltda. indicada para atuar como canal de comunicação entre a empresa, os titulares dos dados e a ANPD.
• Lei: o mesmo que LGPD.
• LGPD: Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018.
• Operador: prestador de serviço externo, terceirizado, que realiza a coleta, e/ou uso, e/ou o tratamento de dados pessoais dos quais a Komatsu Forest Ltda. é a controladora.
• Portabilidade de Dados Pessoais: transferência do tratamento de dados pessoais para outro fornecedor de serviço ou produto, mediante requisição expressa do titular dos dados.
• Proprietário dos Dados Pessoais: pessoa ou grupo de pessoas responsável pela coleta e tratamento dos dados pessoais.
• PTSI: Política de Tecnologia e Segurança da Informação, documento que estabelece diretrizes e normas gerais de segurança para todos os ativos de informação da Komatsu Forest Ltda., incluindo dados pessoais e outros tipos de dados sensíveis e de valor para os negócios.
• Titular dos Dados: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
• Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

14. Vigência e Aprovação

Esta política entra em vigor nesta data e tem vigência por tempo indeterminado, até a próxima revisão ou sua revogação.