A Política de Privacidade do Instituto Jogue Limpo visa atender ao tratamento de dados pessoais com segurança, privacidade e transparência, sempre com observância total e irrestrita à Lei nº 13.709/2018 (“Lei Geral de Proteção de Dados Pessoais”).

A seguir são descritos os dados pessoais que coletamos, como são utilizados, armazenados e os respetivos direitos em relação a esses dados.

Consta, ainda, da nossa Política de Privacidade a indicação de determinadas medidas de segurança e prevenção quanto ao tratamento de dados pessoais, bem como plano de contingenciamento para situações acidentais de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado de dados pessoais.

I) Quais dados pessoais o Instituto coleta?

Dados Cadastrais

Ao se cadastrar como gerador (coleta de embalagens plásticas de óleo lubrificantes usadas, do óleo residual e eventuais demais resíduos relacionados ao processo) ou prestador de serviços autônomos:

o Nome completo
o E-mail
o CPF
o Telefone/Celular
o Endereço completo
o Localização via GPS

Dados de Navegação O acesso ao nosso website permite a ciência de informações recebidas >automaticamente, tais como:

o Endereço IP - Internet Protocol
o Tipo de navegador, páginas visualizadas
o Informações específicas de dispositivos móveis que acessam o Site e localização geográfica
o As datas e horas das interações do Usuário com o Site são também armazenadas

Dados de recibo de pagamento Quando da prestação de serviços autônomos

o Nome completo
o CPF
o Informações que você adicionar voluntariamente

II) Como e para que utilizamos seus dados pessoais?

O Instituto Jogue Limpo possui ações voltadas à gestão de resíduos sólidos e implementação de ações de logística reversa, bem como outras ações de proteção ao meio ambiente e desenvolvimento sustentável, visando a melhorias na eficiência ambiental e operacional, integração com poderes públicos e cumprimento de metas de coletas fixadas em Acordo Setorial Federal e Termos de Compromissos Estaduais. Por esse motivo, em determinadas e específicas situações, alguns dados pessoais são tratados pelo Instituto Jogue Limpo com as seguintes finalidades:

Cumprimento das nossas obrigações legais

Em atendimento à legislação e regulamentos aplicáveis, o Instituto desenvolve suas atividades e obedece à Política Nacional de Resíduos Sólidos, congregando as empresas fabricantes e importadoras de óleo lubrificante, sempre no exercício de ações voltadas à gestão de resíduos sólidos e implementação de ações de logística reversa, bem como outras ações de proteção ao meio ambiente e desenvolvimento sustentável.

A fim de atender a esse propósito, o Instituto Jogue Limpo coleta dados pessoais de Geradores – pessoas físicas que destinam os resíduos de óleo lubrificante usado ou contaminado - OLUC e/ou embalagens usadas, a um ponto de coleta, que é atendido pelo sistema de logística reversa por ele gerenciado;

Desenvolvimento das nossas atividades administrativas

Prestadores de serviço autônomo – prestadores de serviços pontuais para o Instituto Jogue Limpo, que recebem mediante a entrega de Recibo de Pagamento Autônomo, contendo dados pessoais.

III) Com quem compartilhamos seus dados pessoais?

O Instituto Jogue Limpo poderá eventualmente atender ao compartilhamento de dados pessoais com determinadas Autoridades Públicas, com fundamento nos seguintes critérios:

o Ministro do Meio Ambiente: O Instituto integra o Acordo Setorial assinado junto ao Ministério do Meio Ambiente (MMA). Os dados fornecidos pelos coletores podem ser utilizados com a finalidade de prestar contas dos resíduos coletados.

o Secretarias de Meio Ambiente:

O Instituto possui 13 (treze) termos de compromisso assinados com Secretarias de Meio Ambiente Estaduais (SEMas) – PR, SP, RJ, MG, ES, BA, AL, PE, PB, CE, RN, MS e DF. Os dados fornecidos pelos coletores podem vir a ser utilizados com a finalidade de prestar contas dos resíduos coletados.

o Órgãos reguladores e autoridades judiciais ou administrativas:

O Instituto pode vir a compartilhar dados pessoais para prestar às autoridades competentes todas as informações eventualmente solicitadas a fim de observar as operações executadas, bem como prestar informações a entidades que se destinem a controlar ações que visam a proteção do meio ambiente.

IV) Política de Cookies

O “website” do Instituto Jogue Limpo não coleta dados provenientes do sistema de cookies.

V) Direitos do Titular

A partir da entrada em vigor da Lei Geral de Proteção de Dados, o titular de dados pessoais pode exercer seus direitos frente aos controladores dos seus dados pessoais.

Assim, o Instituto disponibiliza os mecanismos detalhados abaixo para que você entenda de forma clara e transparente como exercer seus direitos, se colocando à disposição para atender eventuais solicitações.

(1) Confirmação da existência de tratamento de dados pessoais:

Você pode solicitar ao Instituto que confirme se porventura realiza o tratamento dos seus dados pessoais.

(2) Acesso aos dados pessoais:

Você pode solicitar que o Instituto informe e forneça os dados pessoais que possui em relação a você.

(3) Correção de dados pessoais incompletos, inexatos ou desatualizados:

Em caso de verificação de dados incompletos, inexatos ou desatualizados, é possível solicitar a correção ou complementação ao Instituto. É importante comprovar a forma correta e atual do dado pessoal.

(4) Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD:

Caso Você entenda que o tratamento de dados pessoais ocorra de forma desnecessária, em excesso para a finalidade a que se destina ou em desconformidade com a Lei Geral de Proteção de Dados Pessoais, é possível solicitar ao Instituto que proceda à anonimização, bloqueio ou eliminação desses dados, desde que fique efetivamente constatado o excesso, a falta de necessidade ou a desconformidade com a lei.

(5) Eliminação dos dados pessoais tratados com o consentimento:

Em caso de consentimento para tratamento dos seus dados pessoais para finalidades específicas (e não necessárias para a prestação dos nossos serviços), você poderá solicitar a eliminação desses dados pessoais. Fica ressalvada a possibilidade de manutenção no histórico de coletas de informações que sejam necessárias para fins regulatórios, conforme leciona o artigo 16 da Lei nº 13.709/2018)

(6) Revogação do consentimento:

É possível requerer a revogação de consentimento, anteriormente concedido, para tratamento dos seus dados pessoais. A revogação do consentimento não impede o uso de dados anonimizados, bem como dados pessoais, cujo tratamento esteja fundamentado em outra hipótese legal prevista na LGPD.

Para exercício de quaisquer desses direitos, entre em contato conosco por meio do endereço de e-mail criado para tratar deste tema: LGPD@joguelimpo.org.br .

Para esse contato, destaca-se a necessidade de comprovação da sua identidade, como medida de segurança e prevenção à fraude.

VI) Medidas de segurança e prevenção e plano de contingência

Nosso trabalho em conformidade com Lei Geral de Proteção de Dados observa critérios de segurança e prevenção e atualiza-os rotineiramente a fim de conduzir a política de proteção e privacidade com excelência.

O Instituto possui um encarregado que cuida, dentre outras atividades, da atualização do protocolo de segurança e da gestão de crise em caso de vazamento de dados. Essa constante preocupação do Instituto se revela a partir, mas sem se limitar a, das seguintes premissas.

(1) Prevenção e Cultura de dados

O Instituto se preparou internamente para corresponder ao atual estágio de atenção aos dados pessoais, e respectiva proteção deles, bem como para divulgar esse processo a todos os seus colaboradores.

O Instituto compreende que é plenamente viável criar sistemas inteligentes, úteis e relevantes e, ao mesmo tempo, manter o cuidado com a privacidade e os direitos dos titulares de dados.

É dever dos setores do Instituto que lidam com dados pessoais reforçar as barreiras de segurança, cuidar dos backups, da atualização dos softwares e integração de informações. O suporte deve ser inteligente e proativo, com a garantia de que as máquinas estejam seguras e consistentes.

Também é dever do Instituto a manutenção dos dados limpos, claros e disponíveis. A identificação do fluxo dos dados e estruturação de processos de segurança, políticas e afins nesse meio. (Ex.: colocar “XXX” em dados de pessoa identificável, que não seja qualquer um que precisa ter acesso).

(2) Proteção eficaz

A proteção eficaz é baseada em controles de segurança pragmáticos, baseados em riscos, e básicos, envolvendo tecnologia, pessoas, processos e outros ativos.

Há controle restrito sobre as pessoas e os sistemas que lidam com dados pessoais no Instituto.

O Instituto pratica (i) sistemas de autenticação de acesso aos registros, com dupla autenticação (ii) inventario detalhado de quem acessou os dados pessoais, por quanto tempo, e para que finalidade; (iii) mecanismos como criptografia;

(3) Detecção bem sucedida

A detecção bem-sucedida requer visibilidade aprimorada em toda a empresa, rede, terminais, dispositivos móveis, nuvem, software como serviço etc., caracterizada por recurso de monitoramento 24 horas e sinalização de ameaças, permitindo a aceleração e aprimoração de resposta, identificando exatamente quais sistemas estão comprometidos e como repará-los e restaurá-los.

(4) Resposta a incidentes

Processo que descreve como o Instituto lida com um incidente de segurança de TI, seja ele um ataque cibernético, uma violação de dados, a presença de um aplicativo malicioso (como um vírus), uma violação das políticas e padrões de segurança da empresa, dentre outros exemplos. Há efetivo objetivo de minimizar os danos que poderiam ser causados por qualquer incidente, reduzindo o tempo de ação e os custos de recuperação:

o A definição de incidente para a empresa

o Descrição dos procedimentos a serem executados quando um incidente ocorrer

o As ferramentas, tecnologias e recursos a serem utilizados em caso de incidentes

o Descrição dos colaboradores que fazem parte do processo e quais são suas responsabilidades e ações.

(5) Notificação da ANPD e o titular dos dados

Em caso de acidente, o Instituto se compromete, nos termos da lei, a notificar imediatamente a ANPD, bem como o titular dos dados, conforme previsto no artigo 48 da Lei Geral de Proteção de Dados, informando :

o A descrição da natureza dos dados pessoais afetados;

o As informações sobre os titulares envolvidos;

o A indicação das medidas técnicas e de segurança utilizadas para a proteção;

o Os riscos relacionados ao incidente;

o Os motivos da demora, no caso de a comunicação não ter sido imediata:

o As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Política de Privacidade

Processo de Resposta a Incidentes

Incidentes

São considerados Incidentes:

Qualquer ocorrência que realmente ou potencialmente comprometa a confidencialidade, integridade ou disponibilidade do portal ou de uma informação que o sistema processe, armazene e transmita.

São considerados incidentes, mas não se limitando a esses:

I. Acesso indevido a contas;

II. Acessos não autorizados a bases de Dados ou a Informações de uso interno ou confidencial;

III. Alteração ou perda de Dados ou Informações, ou de acesso a sistemas ou ambientes lógicos, bem como da integridade destes;

IV. Possíveis vulnerabilidades não identificadas nos sistemas, bem como situações de indisponibilidade dos sistemas e/ou das informações ou;

V. Demais falhas de segurança que acarretem acessos não autorizados ao portal, por meio de técnicas e ferramentas para detectar e explorar fragilidades específicas em um ambiente tecnológico.

Identificação de Incidentes

Incidentes podem ser identificados por Clientes ou Consumidores, Prestadores de Serviço, Colaboradores do Instituto Jogue Limpo e devem ser notificados, diretamente ao setor encarregado pela política de privacidade do Instituto, através do e-mail LGPD@joguelimpo.org.br que notificará ao TI (prestadores de Infraestrutura de Serviço de Tecnologia de Informação) para as devidas correções e identificações de comprometimento ou não de informações sigilosas dos Clientes.

Ferramentas e ações preventivas à Incidentes

I. Pentest e Análise de vulnerabilidade anual do portal e sistemas de informação do Instituto, realizadas por contratado externo ao Instituto.

II. Backup diário realizado de todos os dados dos sistemas de informação do Instituto, realizada pelo TI (prestadores de Infraestrutura de Serviço de Tecnologia de Informação).

III. Contratação de provedor de serviços de infraestrutura auxiliar para ser utilizado em caso de problemas mais graves no provedor de infraestrutura principal. Rotina de sincronização periódica de dados entre o provedor principal e o provedor auxiliar implementadas pelo TI (prestadores de Infraestrutura de Serviço de Tecnologia de Informação).

IV. Atualização diária com as correções de segurança dos softwares utilizados para a prestação de serviços no portal. Atualizações aplicadas no provedor principal e no provedor auxiliar devem ser realizadas pelo TI (prestadores de Infraestrutura de Serviço de Tecnologia de Informação).

V. Monitoramento constante do ambiente pelo TI (prestadores de Infraestrutura de Serviço de Tecnologia de Informação) para identificar indisponibilidade e recuperar o ambiente o mais rápido possível visando a continuidade do negócio.

Procedimentos em casos de Incidentes

I. Acesso indevido a contas

Internamente o setor encarregado da Política de Privacidade do Instituto Jogue Limpo deverá reportar ao TI (prestadores em Infraestrutura de Serviço de Tecnologia de Informação) para efetuar o bloqueio da conta suspeita para identificar possíveis acessos indevidos à informação para notificação às autoridades competentes para investigação.

II. Acessos não autorizados a bases de Dados ou a Informações de uso interno ou confidencial

Internamente o setor encarregado da Política de Privacidade do Instituto Jogue Limpo deverá notificar ao TI (prestadores de Infraestrutura de Serviço de Tecnologia de Informação) para identificar possíveis acessos indevidos à informação para notificação às autoridades competentes para investigação.

III. Alteração ou perda de Dados ou Informações, ou de acesso a sistemas ou ambientes lógicos, bem como da integridade destes

Quando identificado, internamente o setor encarregado da Política de Privacidade do Instituto Jogue Limpo deverá notificar ao TI (prestadores de Infraestrutura de Serviço de Tecnologia de Informação) para iniciar o “restore” do backup mais recente dos dados.

IV. Possíveis vulnerabilidades não identificadas nos sistemas, bem como situações de indisponibilidade dos sistemas e/ou das informações ou

V. Demais falhas de segurança que acarretem acessos não autorizados ao portal, por meio de técnicas, conhecimentos e ferramentas para detectar e explorar fragilidades específicas em um ambiente tecnológico.

Em casos de indisponibilidade de acesso, TI (prestadores de Infraestrutura de Serviço de Tecnologia de Informação) devem ser notificados para avaliar possível alteração do sistema para provedor de serviço de infraestrutura auxiliar com a intenção de minimizar o tempo de indisponibilidade caso o tempo de recuperação exceda 10 minutos.

Todas as falhas devem ser auditadas por TI (prestadores de Infraestrutura de Serviço de Tecnologia de Informação) para identificar se houve possível acesso indevido aos dados. Se houver falhas que envolvam algoritmos ou implementações nos sistemas elas devem ser implementadas pelo prestador, responsável pelo desenvolvimento do portal.

TI (prestadores de serviços de Tecnologia da Informação), fornecerão sempre informações mais detalhadas possíveis sobre os incidentes ao Instituto, e se comprometem em auxiliar as autoridades competentes em casos que seja necessária investigação externa.