• Relações com Investidores
  • Constellation
  • POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

    1. CAMPO DE APLICAÇÃO

    A presente Política de Privacidade e Proteção de Dados Pessoais se aplica a (i) colaboradores da Constellation; (ii) todos os terceiros, pessoas físicas ou jurídicas, que atuam para ou em nome da Constellation em atividades que envolvam tratamento de dados pessoais; e (iii) titulares de dados pessoais, cujos dados são tratados pela Constellation. Todos os destinatários acima são referidos conjuntamente nesta política como “destinatários”.

    Todas as operações de tratamento de dados pessoais estão sujeitas à presente Política de Privacidade e Proteção de Dados Pessoais, LGPD, GDPR e demais leis aplicáveis relativas à privacidade e proteção de dados pessoais. A adesão a estes normativos por parte de todos os destinatários referidos acima é obrigatória.

    2. TERMOS, DEFINIÇÕES E SIGLAS

    CONSTELLATION: Constellation Oil Services Holding S.A. e suas companhias controladas, direta ou indiretamente.

    DADOS PESSOAIS: Informação relacionada à pessoa natural identificada ou identificável, que permita sua individualização. Também são considerados dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural.

    DADOS PESSOAIS SENSÍVEIS: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado à pessoa natural.

    DESTINATÁRIOS: definido conforme item 1 da Política de Privacidade e Proteção de Dados Pessoais.

    AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS ou ANPD: órgão da administração pública da República Federativa do Brasil responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo território nacional.

    LEI GERAL DE PROTEÇÃO DE DADOS (“LGPD” - Lei nº 13.709, de 14 de agosto de 2018): dispõe sobre o tratamento de dados pessoais em meios digitais ou físicos realizados por pessoa natural ou por pessoa jurídica, de direito público ou privado, tendo como objetivo defender os titulares de dados pessoais e, ao mesmo tempo, permitir o uso dos dados para finalidades diversas, equilibrando interesses e harmonizando a proteção da pessoa humana com o desenvolvimento tecnológico e econômico.

    GENERAL DATA PROTECTION REGULATION (REGULATION EU 2016/679 – “GDPR”): lei europeia relativa à proteção de dados.

    AGENTES DE TRATAMENTO DE DADOS PESSOAIS: O controlador e o operador de dados pessoais.

    CONTROLADOR DE DADOS PESSOAIS: Pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

    OPERADOR DE DADOS PESSOAIS: Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.

    TRATAMENTO DE DADOS PESSOAIS (“TRATAMENTO”): Toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, impressão, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, modificação, comunicação, transferência, difusão ou extração.

    ANONIMIZAÇÃO: Utilização de meios técnicos, razoáveis e disponíveis no momento do tratamento de dados pessoais, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. O dado anonimizado não é considerado dado pessoal para os fins da LGPD.

    TITULAR DE DADOS PESSOAIS (“TITULAR”): Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

    ENCARREGADO DE DADOS OU DATA PROTECTION OFFICER (“DPO”): Profissional designado como encarregado formal da privacidade e proteção de dados, conforme previsto na LGPD, GDPR e demais leis aplicáveis, podendo ser um colaborador da Constellation ou uma pessoa terceirizada.

    FORNECEDORES: No contexto da Constellation são considerados fornecedores os outros terceiros contratados e subcontratados, pessoa física ou jurídica, não enquadrados como parceiros comerciais.

    TERCEIRO: É toda pessoa física ou jurídica que mantém relação com a Constellation para desenvolver ou auxiliar no desenvolvimento de suas atividades, tanto na qualidade de fornecedores de bens ou serviços, como de parceiros comerciais.

    PARCEIROS COMERCIAIS: são considerados parceiros comerciais os terceiros contratados, sejam eles pessoa física ou jurídica, que atuam em seu nome como consultores, conveniados, despachantes e agentes comerciais / clientes (aqueles que indicam atividades em que a Constellation pode atuar como contratada).

    3. DESCRIÇÃO

    3.1. OBJETIVO

    Para a realização das atividades relativas aos seus negócios, a Constellation realiza operações de tratamento de dados pessoais, no melhor interesse dos titulares dos dados pessoais. Esta Política de Privacidade e Proteção de Dados Pessoais foi preparada especificamente para regular as atividades de tratamento de dados pessoais pela Constellation, devendo ser lida e interpretada no contexto legislativo aplicável às suas atividades, como a LGPD e a GDPR.

    São, portanto, objetivos desta Política de Privacidade e Proteção de Dados Pessoais:

    • Definir diretrizes e responsabilidades da Constellation que assegurem e reforcem o compromisso com o cumprimento das legislações de privacidade e proteção de dados pessoais aplicáveis;
    • Determinar as regras a serem seguidas na condução das atividades e operações de tratamento de dados pessoais realizadas pelos destinatários, que garantam a sua conformidade com as legislações de privacidade e proteção de dados pessoais aplicáveis e, em especial, com a LGPD e GDPR.

    3.2. GOVERNANÇA

    São responsabilidades e atribuições dos órgãos de governança da Constellation:

    3.2.1. CEO

    a) revisar e aprovar esta Política e suas alterações posteriores;

    b) definir e aprovar a estrutura de governança relativa à privacidade e proteção de dados pessoais;

    c) aprovar o orçamento anual do DPO onde constarão recursos destinados às atividades de privacidade e proteção de dados pessoais. Quaisquer restrições relacionadas a questões de pessoal, orçamento e recursos estruturais devem seguir o disposto no Regimento do Departamento de Compliance (DOC-082-CORP).

    3.2.2. Head de Compliance

    a) revisar e recomendar a aprovação desta Política ao CEO;

    b) dar ciência ao Conselho de Administração a respeito de quaisquer alterações significativas desta Política;

    c) realizar o monitoramento das atividades do DPO;

    d) decidir / recomendar resolução de matérias relacionadas à privacidade e proteção de dados pessoais classificadas como de alto risco;

    e) reportar ao Conselho de Administração, decisões tomadas pelo Comitê de Conduta e demais questões relevantes relacionadas à privacidade e proteção de dados.

    3.2.3. DPO

    a) realizar o monitoramento da implementação dos procedimentos relacionados aos temas abordados pela Política de Privacidade e Proteção de Dados Pessoais e a manutenção de KPIs (Key Performance Indicators);

    b) orientar os destinatários desta política quanto ao regime de privacidade e proteção de dados pessoais da Constellation;

    c) assegurar que as regras e orientações relativas à privacidade e proteção de dados sejam informadas e incorporadas nas rotinas e práticas da Constellation;

    d) organizar treinamentos sobre privacidade e proteção de dados pessoais aos destinatários desta política;

    e) prestar esclarecimentos, oferecer informações e apresentar relatórios sobre as operações de tratamento de dados pessoais e seus impactos para as autoridades competentes;

    f) responder às solicitações e reclamações de titulares de dados pessoais;

    g) auxiliar em auditorias ou qualquer outra medida de avaliação e monitoramento envolvendo privacidade e proteção de dados pessoais;

    h) elaborar os relatórios de impacto à privacidade e proteção de dados pessoais, pareceres técnicos e revisão de documentos no que se refere à privacidade e proteção de dados pessoais.

    i) manter o Canal de Privacidade e Proteção de Dados Pessoais da Constellation disponível para o recebimento de solicitações dos destinatários e/ou titulares dos dados pessoais;

    3.2.4. TI

    a) implementar as medidas de segurança designadas por esta política, conforme orientações do DPO, Comitê de Conduta, CEO e/ou Conselho de Administração;

    b) revisar, implementar e responsabilizar-se pela Política de Segurança da Informação de TI;

    c) em conjunto com o DPO, prestar suporte técnico e analisar novas ferramentas e sistemas com foco na privacidade e proteção de dados pessoais.

    3.2.5. DEPARTAMENTO JURÍDICO

    a) preparar modelos e cláusulas padrão necessários ao adequado tratamento dos dados pessoais pela Constellation, conforme legislação aplicável;

    b) prestar assessoria jurídica na negociação de contratos com terceiros relativos à privacidade, proteção e tratamento de dados pessoais;

    c) prestar assessoria jurídica na interpretação da legislação aplicável e regulamentação em vigor relativa a dados pessoais, bem como na ocorrência de vazamento de dados pessoais.

    3.2.6. DESTINATÁRIOS

    a) responsabilizar-se pelo uso adequado dos dados pessoais em suas atividades;

    b) cumprir esta política e legislação aplicável em vigor;

    c) relatar quaisquer incidentes de dados pessoais através do e-mail dpo@theconstellation.com ou através do Canal de Privacidade e Proteção de Dados Pessoais da Constellation;

    d) participar de quaisquer treinamentos e orientações relativas aos dados pessoais.

    3.3. DIRETRIZES E REGRAS SOBRE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

    Todos os destinatários possuem o dever de cuidado, atenção e uso adequado de dados pessoais, comprometendo-se a auxiliar a cumprir suas obrigações na implementação de sua estratégia de privacidade e proteção de dados pessoais.

    Sem prejuízo das regras e diretrizes estabelecidas em outras políticas e procedimentos da Constellation, incluindo, mas não se limitando à Política de Segurança da Informação (SP-009-CORP) e ao Código de Ética e Conduta (DOC-070-CORP), as seguintes diretrizes e regras deverão ser observadas pelos destinatários relativamente à privacidade e proteção de dados pessoais.

    3.3.1. Princípios de Proteção de Dados Pessoais

    Os destinatários deverão observar os seguintes princípios na coleta, manuseio, armazenamento e tratamento de dados pessoais:

    • Finalidade e Adequação: realizar o tratamento de dados pessoais de maneira compatível com a finalidade para a qual foram coletados, sendo vedado coletar para um determinado propósito e utilizar para um propósito distinto.
    • Necessidade: utilizar os dados pessoais na medida do que seja necessário para atingir o propósito original.
    • Livre Acesso: garantir aos titulares de dados pessoais a consulta sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados.
    • Transparência: garantir aos titulares de dados pessoais, informações claras, precisas e facilmente acessíveis sobre a realização do tratamento.
    • Qualidade dos Dados: manter os dados pessoais de forma precisa e atualizada em relação à finalidade de seu tratamento.
    • Segurança: aplicar medidas técnicas e administrativas apropriadas para a proteção dos dados pessoais de tratamentos não autorizados ou ilegais.
    • Prevenção: adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
    • Não Discriminação: não tratar os dados pessoais para fins discriminatórios, ilícitos ou abusivos.
    • Responsabilização e Prestação de Contas: demonstrar a adoção de medidas eficazes e em cumprimento às normas de privacidade e proteção de dados pessoais, bem como a eficácia dessas medidas.

    3.3.2 Regras para Tratamento de Dados Pessoais

    3.3.2.1. As operações de tratamento de dados pessoais somente poderão ser realizadas:

    a) Mediante o fornecimento de consentimento pelo titular dos dados pessoais.

    b) Para o cumprimento de obrigação legal ou regulatória.

    c) Para a realização de estudos por órgão de pesquisa.

    d) Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular dos dados pessoais.

    e) Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

    f) Para a proteção da vida ou da incolumidade física do titular dos dados pessoais ou de terceiros.

    g) Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.

    f) Quando necessário para atender aos interesses legítimos da Constellation.

    3.3.2.2. A Constellation deverá manter registros de todas as operações de tratamento de dados pessoais, os quais poderão ser consultados pelo titular dos dados pessoais bem como por autoridades públicas competentes, dentro dos limites legais.

    3.4. REGRAS PARA TRATAMENTO DE DADOS PESSOAIS SENSÍVEIS

    3.4.1. As operações de tratamento de DADOS PESSOAIS SENSÍVEIS somente poderão ser realizadas:

    • Quando o titular dos dados pessoais ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas.
    • Sem fornecimento de consentimento do titular dos dados pessoais, nos casos em que o tratamento for indispensável para:
      • cumprimento de obrigação legal ou regulatória imposta à Constellation;
      • realização de estudos quando a Constellation estiver na posição de órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
      • exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
      • proteção da vida ou da incolumidade física do titular dos dados pessoais ou de terceiros;
      • tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
      • garantia da prevenção à fraude e à segurança do titular dos dados pessoais, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

    3.4.2. Os dados pessoais sensíveis enumerados no art. 5º, inciso II da LGPD, assim como os dados financeiros terão o mesmo status que os dados pessoais sensíveis.

    3.4.3. Os dados pessoais de crianças e adolescentes serão tratados com o mesmo padrão de cuidado oferecido aos dados pessoais sensíveis e, também, estarão sujeitos às disposições próprias estabelecidas no Capítulo II, Seção III, da LGPD, além de outras normas específicas aplicáveis.

    3.5. ACESSO E AUTORIZAÇÕES PARA TRATAMENTO DE DADOS PESSOAIS

    3.5.1. O DPO poderá definir, juntamente com a gerência de cada área, a restrição de acesso e tratamento de dados pessoais para determinados destinatários, observada a Política de Segurança da Informação e, para tanto, deverá ser demonstrada a competência do Destinatário para a realização da operação de tratamento de dados lícita.

    3.5.2. Fica autorizado o processamento de dados pessoais por uma sociedade pertencente ao Grupo Constellation em nome de outra sociedade do Grupo Constellation, devendo a processadora seguir a orientação da controladora dos dados conforme eventual contrato a ser firmado, observadas as normas de transferência internacional de dados pessoais sempre que aplicável.

    3.6. TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS

    A Constellation poderá transferir dados pessoais para outros países desde que, alternativamente:

    • O País seja classificado como tendo um nível adequado de privacidade e proteção de dados atribuído pela ANPD ou Comissão Europeia; ou
    • O agente de tratamento de dados pessoais internacional ofereça à Constellation pelo menos uma das salvaguardas abaixo:
      • Procedimentos e políticas emitidos no mesmo nível das da Constellation ou aprovados pela ANPD ou Comissão Europeia;
      • Cláusulas contratuais aceitáveis pela Constellation, ANPD ou Comissão Europeia;
      • Selos e certificados de conformidade ou adequação à privacidade e proteção de dados pessoais concedidos por entidades reconhecidas pela ANPD ou pela Comissão Europeia; ou
    • Obtenha consentimento explícito e destacado dos titulares de dados pessoais para a realização de operações de transferência internacional de dados pessoais.

    3.7. RELAÇÕES COM TERCEIROS

    Todos os contratos e pedidos de compras deverão conter cláusulas referentes à privacidade e proteção de dados pessoais, estabelecendo deveres e obrigações sobre o assunto, e atestando o compromisso dos terceiros com as legislações de privacidade e proteção de dados pessoais aplicáveis, conforme política de contratos (SP-004-LEG).

    3.8. DIREITOS E DEVERES DOS TITULARES DE DADOS PESSOAIS

    3.8.1 Direitos dos Titulares de Dados Pessoais

    São direitos dos titulares de dados pessoais:

    • Confirmação da existência do tratamento: o titular dos dados pessoais pode buscar junto à Constellation a confirmação de existência de operações de tratamento relativas a seus dados pessoais.
    • Acesso: o titular dos dados pessoais pode solicitar e receber uma cópia de todos os seus dados pessoais coletados e armazenados.
    • Correção: o titular dos dados pessoais pode requisitar a correção de dados pessoais que estejam incompletos, inexatos ou desatualizados.
    • Eliminação: o titular dos dados pessoais pode requisitar a exclusão de seus dados pessoais de bancos de dados geridos pela Constellation, salvo se houver um motivo legítimo para a sua manutenção. Na hipótese de eliminação, a Constellation poderá escolher o procedimento de eliminação empregado, comprometendo-se a utilizar meio que garanta a segurança e evite a recuperação dos dados.
    • Suspensão de tratamento ilícito de dados pessoais: o titular dos dados pessoais poderá requisitar da Constellation a anonimização, bloqueio ou eliminação de seus dados pessoais que tenham sido reconhecidos por autoridade competente como desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD / GDPR.
    • Oposição a tratamento de dados pessoais: nas hipóteses de tratamento de dados pessoais não baseadas na obtenção do consentimento, o titular dos dados pessoais poderá apresentar à Constellation uma negativa, que será analisada a partir dos critérios presentes na LGPD / GDPR.
    • Portabilidade de Dados: o titular dos dados pessoais poderá requisitar à Constellation que seus dados pessoais sejam disponibilizados a outro fornecedor de serviço ou produto, respeitados os critérios de segurança de sua atividade.
    • Revogação do Consentimento: o titular dos dados pessoais tem direito a revogar o seu consentimento, porém não afetará a legalidade de qualquer tratamento realizado antes da retirada. Caso ocorra a impossibilidade de atendimento total ou parcial da revogação do consentimento, a Constellation deverá informar ao titular dos dados pessoais.

    3.8.2. Deveres dos Titulares de Dados Pessoais

    Cabe aos titulares de dados pessoais comunicar à Constellation sobre quaisquer modificações em seus dados pessoais na sua relação com a Constellation, notificando-a preferencialmente na seguinte ordem:

    • Por meio do Canal de Privacidade e Proteção de Dados Pessoais da Constellation com a qual o titular dos dados pessoais se relaciona;
    • Por e-mail endereçado ao DPO (Encarregado de Dados) da Constellation (dpo@theconstellation.com) com o qual o titular se relaciona;

    3.9. SUSPEITA DE VIOLAÇÕES A ESTA POLÍTICA

    3.9.1. Quaisquer suspeitas de infração à presente Política ou à LGPD ou GDPR deverão ser comunicadas ao DPO incluindo, mas não se limitando a:

    • Ausência de base legal que justifique a operação de tratamento de dados pessoais;
    • Tratamento de dados pessoais sem a autorização por parte da Constellation no escopo das atividades que desenvolve;
    • Operação de tratamento de dados pessoais que seja realizada em desconformidade com a Política de Segurança da Informação da Constellation;
    • Eliminação ou destruição não autorizada pela Constellation de dados pessoais de plataformas digitais ou acervos físicos em todas as instalações da Constellation ou por ela utilizadas;
    • Qualquer outra violação desta política ou de qualquer um dos princípios de privacidade e proteção de dados dispostos nesta política.

    3.9.2.  Relatos de possíveis infrações a esta Política serão analisadas conforme Código de Ética e Conduta e poderão sujeitar o infrator às consequências definidas neste documento

    3.10. TREINAMENTO, COMUNICAÇÃO E CERTIFICAÇÃO

    3.10.1. Os destinatários desta Política deverão ser submetidos a treinamentos no formato e periodicidade a serem definidos pelo DPO.

    3.10.2. Os destinatários deverão firmar compromisso por escrito com a adoção das diretrizes e regras estabelecidas nesta Política e na legislação aplicável, mediante assinatura de termo específico, na forma do Anexo I desta política, quando do ingresso na Constellation, bem como sempre que definido pelo DPO.

    3.10.3. O DPO deverá se responsabilizar junto à área de Comunicação da Constellation pela produção de materiais destinados à disseminação desta Política.

    3.11. AVALIAÇÃO DE RISCOS E REVISÃO

    3.11.1. O DPO deverá conduzir procedimento para identificar e aprofundar os riscos relacionados à privacidade e proteção de dados pessoais, devendo definir, desenvolver e implementar planos de ação, políticas e procedimentos adicionais para mitigar os riscos identificados

    3.11.2. A presente Política deverá ser revisada a cada 12 meses ou em periodicidade menor conforme vier a ser necessário.

    4. REQUISITOS DE SMS

    Não aplicável.

    5. REGISTROS

    Não aplicável.

    6. REFERÊNCIA COMPLEMENTAR

    Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - “LGPD”)

    Regulation EU 2016/679 (General Data Protection Regulation – “GDPR”)

    Compliance Department Charter (DOC-082-CORP)

    Código de Ética e Conduta (DOC-070-CORP)

    Política de Segurança da Informação (SP-009-CORP)

    7. ANEXOS

    Anexo I – Modelo de Certificação dos Destinatários

    Anexo I – Modelo de Certificação dos Destinatários

    “Eu,_____________________ declaro, pela presente, que recebi uma cópia, li e que estou familiarizado com a Política Anticorrupção, o Código de Ética e Conduta, a Política de Brindes, Presentes e Entretenimento e a Política de Privacidade e Proteção de Dados Pessoais (“Políticas”) da Constellation e sociedades sob seu controle direto ou indireto (“Constellation”), disponibilizados na intranet da Companhia. Concordo em cumprir com as exigências das Políticas durante a realização do meu trabalho enquanto Colaborador da Constellation. Compreendo que é proibida a realização de qualquer atividade que viole quaisquer das leis aplicáveis, assim como compreendo as possíveis consequências de uma violação. Declaro cumprir as Políticas em sua totalidade. Reconheço que o descumprimento de qualquer Política pode ser a base para o término do meu vínculo empregatício ou da minha relação de trabalho junto à Constellation.”