Política de Segurança

1. IDENTIFICAÇÃO DOS AGENTES DE TRATAMENTO E DO ENCARREGADO

CONTROLADOR: Amaro Aviation
OPERADOR: Amaro Aviation S/A
ENCARREGADO: Adriano Santos
Cargo: Head ESG
E-mail: contato@amaroaviation.com

2. NECESSIDADE DE ELABORAR O RELATÓRIO

A cultura da empresa sempre foi de assegurar que as nossas atividades sejam conduzidas em conformidade com as normas aplicáveis aos nossos Clientes.

Nesse sentido, de acordo com o art.38, caput, da Lei 13.709/18, ou Lei Geral de Proteção de Dados Pessoais (LGPD), a qualquer momento, a Autoridade de Proteção de Dados Pessoais (ANPD) pode determinar à AmaroAviation, que elabore um relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis.

A Amaro Aviation diariamente, realiza o tratamento de dados pessoais que se relacionam a pessoa natural identificada ou identificável (art.5º, I, LGPD).

Podem existir também, dependendo do Cliente e Contrato firmado, os dados pessoais sensíveis, que dizem respeito a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural (art.5º, II, LGPD).

Para os fundamentos da proteção de dados pessoais (art.2º e incisos, LGPD), a boa-fé e os demais princípios a serem observados nas atividades de tratamento de dados pessoais (art.6º e incisos, LGPD), a Amaro Aviation dispõe de controles internos, que podem variar, mas estão sempre em acordo com a natureza do dado pessoal, para mitigar eventuais riscos de falha na proteção de dados pessoais.

Apesar do alto grau de maturidade da gestão dos controles internos, a Amaro Aviation não pode garantir a eliminação total dos riscos que, em caso de materialização, causariam impacto à privacidade dos dados pessoais existentes na empresa.

3. DESCRIÇÃO DO TRATAMENTO

A Política de Segurança da Informação descreve como a Amaro Aviation mitiga os possíveis riscos aos quais estão sujeitos os ativos de informação, que possam comprometer as nossas atividades e o cumprimento da missão corporativa.
• Os ativos de informação abrangem os meios de armazenamento até o processamento da informação;
• Os equipamentos necessários a isso;
• Os sistemas utilizados para tal e os locais onde se encontram esses meios.

3.1. Natureza do Tratamento

Adotamos medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados, de situações acidentais ou ilícitas de destruição, perda ou alteração.

O acesso às bases de dados é controlado por grupos de rede e acesso limitado a determinados perfis de usuários, com logins e senhas pessoais.

Como medidas administrativas adotadas, informamos todos os envolvidos sobre a sua responsabilidade para acesso a sistemas, por requisição formal ou por e-mail, sobre os registros dos acessos concedidos, e sobre a criação de diretórios de acesso exclusivo para guarda de documentos digitais dos clientes.

3.2 Tratamento dos Dados

Existem algumas formas de tratamento dos dados pessoais na Amaro Aviation, em conformidade com a LGPD:
• Coletados/Tratados
• Os dados são coletados principalmente por meio de sistemas de informação e por captação de informações dos clientes, conforme acordos firmados. Os dados de captações são recebidos, em geral, por meio do Sistema de Transferência de Arquivos (STA).
• Retidos/Armazenados
• Os dados são mantidos das seguintes formas:
◦ Bancos de dados corporativos (utilizando os sistemas gerenciadores de banco de dados DB2, SQL Server, Oracle, AWS, Cloudez e Google);
◦ Arquivos (p. ex.: planilhas Excel).
• Eliminados
• Os dados podem ser eliminados por meio de ações em sistemas de informação, comandos SQL nos bancos de dados e exclusão de arquivos, ou por descarte, quando os dados são apagados.

3.3 Compartilhamento dos Dados

O compartilhamento de dados pessoais ocorre quando o cliente expressa sua intenção por escrito, é executado somente com autorização expressa. Pode ocorrer o compartilhamento dos dados com órgãos dos Poderes Judiciário, Executivo e Legislativo, e do Ministério Público, para fins de instrução de processo de apuração de irregularidades em que o titular das informações estiver envolvido, bem como com autorização judicial.

3.4 Medidas de Segurança

As medidas de segurança adotadas pela Amaro Aviation, têm validade para qualquer tipo de informação, (definidas na Política de Segurança da Informação) a qual contém os procedimentos de Segurança em Tecnologia da Informação.

As mídias removíveis (pendrive, CD, DVD ou HD externo) podem ser utilizadas para a transferência de arquivos, mediante justificativa e com a anuência da área de TI.
• Impressão de documentos
• Não deverão ser impressos arquivos eletrônicos corporativos com informação sensível de clientes fora das dependências da Amaro Aviation.
• Descarte de informações
• O descarte de informações corporativas gravadas em qualquer mídia deverá ser feito de maneira a impedir a sua recuperação.
• Monitoramento
• A área de TI poderá monitorar, para fins de trilhas de auditoria, os acessos, as gravações de arquivos, as transferências e impressões de arquivos eletrônicos corporativos.
• É de responsabilidade de cada área assegurar o uso correto e eficiente do armazenamento de dados, verificando periodicamente se apenas arquivos necessários aos processos de trabalho estão armazenados, se não existem arquivos que apresentem outros riscos jurídicos, como músicas, filmes e livros que não tenham sido adquiridos pela Amaro Aviation.
• A segurança da informação é constantemente revista e aprimorada com novas medidas de segurança. Uma das abordagens em discussão atualmente é garantir que os dados estejam protegidos durante todo o seu tratamento (desde a coleta até o descarte). Nesse processo, são utilizadas diversas ferramentas para permitir a criptografia e o controle de acesso de forma integrada.

3.5 Dados Físicos

Os documentos físicos são mantidos em dossiês nos arquivos da Amaro Aviation até que cumpram seu prazo de guarda e possam ser eliminados ou enviados para guarda permanente.

Os documentos físicos são arquivados pelo tempo definido internamente e somente pessoas lotadas nas áreas que cuidam de determinado assunto podem pedir para consultar um documento físico arquivado. Há casos excepcionais, como documentos da área de Recursos Humanos, que podem ser consultados também pelo titular dos dados, por exemplo.

As cópias dos documentos físicos são classificadas como restritas, cabendo ao destinatário reclassificá-las, se for o caso. Documentos restritos somente podem ser visualizados por seu possuidor.

3.6 Contexto do Tratamento

A Amaro Aviation trata os dados pessoais de acordo com os propósitos legítimos e específicos de modo compatível com a sua finalidade, cujo caráter é de atender as especificações dos clientes, tratados formalmente nos contratos firmados entre as partes.

4. PARTES CONSULTADAS

Para confecção deste Relatório, todas as áreas da  Amaro Aviation foram consultadas, a partir de dezembro de 2020, foram realizadas reuniões virtuais para avaliação da conformidade à LGPD, segundo metodologia da Consultoria contratada para implantação do projeto, baseado nas melhores práticas de gerenciamento de Compliance.

5. CONSIDERAÇÕES FINAIS

O documento atual mostra, em linhas gerais, como os dados pessoais são coletados, tratados, usados, compartilhados, bem como as medidas adotadas para o tratamento dos riscos que possam afetar as liberdades civis e os direitos fundamentais dos titulares desses dados. Além disso, foram apresentadas informações que denotam o estágio atual de conformidade da Amaro Aviation à LGPD.

Este relatório será revisto e atualizado anualmente ou sempre que a Amaro Aviation achar que deve mostrar qualquer tipo de mudança que afete o tratamento dos dados pessoais.

A Amaro Aviation preocupa-se em avaliar continuamente os riscos de tratamento de dados pessoais que surgem em consequência do dinamismo das transformações nos cenários tecnológico, normativo e do nosso negócio.