POLÍTICA GERAL DE PROTEÇÃO DE DADOS PESSOAIS E PRIVACIDADE - NOSSA SELEÇA
01introdução
A CONFEDERAÇÃO BRASILEIRA DE FUTEBOL, associação privada, inscrita no CNPJ sob n.º 33.655.721/0001-99, com sede na Avenida Luís Carlos Prestes, n.º 130, Barra da Tijuca, Rio de Janeiro, Estado do Rio de Janeiro, CEP 22775-055, (“CBF”), possui em sua essência a privacidade e proteção de dados pessoais, de modo que é fundamental explicar, de forma clara e transparente, como, quando e onde a CBF coleta, como trata, divulga, protege e armazena os dados de seus usuários (“titular de dados”, “titular”), durante e após o relacionamento com a CBF. Além disso, esta política tem como intuito informar os direitos do usuário e esclarecer quando e como poderá exercê-los. Sugerimos que leia a política e, caso restem dúvidas, sinta-se à vontade para esclarecê-las através do seguinte e-mail: [email protected].
A FIFA World Cup Qatar 2022™ (“Copa do Mundo”) é um dos maiores espetáculos esportivos do mundo. A cada quatro anos, torcedores de futebol de todo o mundo se alegram com um mês repleto de ação, culminando na final do evento, que é, sem dúvida, a partida mais assistida do planeta. A fim de propiciar maior interação com o público, a CBF, na qualidade de Controladora de dados pessoais, em conjunto com a ARARA PRODUÇÕES ARTÍSTICAS, CULTURAIS E EVENTOS LTDA., inscrita no CNPJ sob o n.º. 21.876.353/0001-20, com sede na Alameda Peru, n.º 796, Alphaville Residencial Dois, Barueri, Estado de São Paulo, CEP 06.470-050 (“ARARA”), na qualidade de operadora de dados pessoais, instituiram o concurso cultural Nossa Seleça (“Concurso”) de caráter exclusivamente cultural, sem qualquer modalidade de sorteio ou pagamento, nem vinculado à aquisição ou ao uso de qualquer bem, direito ou serviço, para selecionar os participantes (“Participantes” ou “Participante”) que, na qualidade de vencedores do Concurso cultural, comporão o timede influenciadores digitais Nossa Seleça, que acompanhará jogos do Brasil na Copa do Mundo.
1.1. A CBF e a ARARA entendem que a privacidade é um direito fundamental da pessoa natural.
1.2. Esta política aplica-se às operações de tratamento realizadas pela CBF em conjunto a ARARA, com relação ao conjunto de dados pessoais que estejam sob seu tratamento no escopo do Concurso.
1.3. Dessa forma, a CBF e a ARARA estabelecem sua POLÍTICA GERAL DE PROTEÇÃO DE DADOS PESSOAIS E PRIVACIDADE – Projeto Nossa Seleça (“PGPDPP - Nossa Seleça”), compatível com os requisitos da legislação brasileira, Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709, de 14 de agosto de 2018, (“LGPD”), além das legislações correlatadas e normas internacionalmente aceitas, com o objetivo de garantir níveis adequados de proteção para os dados pessoais tratados no Concurso.
02propósito
2.1. A PGPDPP - Nossa Seleça tem por propósito estabelecer diretrizes de Proteção de Dados e Privacidade que que permitam à CBF e à ARARA realizar o tratamento de dados pessoais, em conformidade com a legislação brasileira bem como:
a. orientar quanto à adoção de controles técnicos e administrativos para atendimento dos requisitos para Proteção de Dados Pessoais e Privacidade, conforme a legislação vigente;
b. resguardar os titulares dos dados pessoais participantes do Concurso, garantindo direitos fundamentais de liberdade e de privacidade;
c. prevenir possíveis causas de violações de dados pessoais e incidentes de segurança da informação relacionados ao tratamento de dados pessoais;
d. minimizar os riscos de perdas financeiras, de participação no mercado, da confiança de clientes ou de qualquer outro impacto negativo no negócio da CBF e/ou à ARARA como resultado de possíveis violações de dados.
03escopo
3.1. A PGPDPP - Nossa Seleça se aplica às operações de tratamento de dados pessoais realizadas pela CBF, na qualidade de controladora, e pela ARARA, na qualidade de operadora, no âmbito do Concurso, independentemente do meio ou do país onde estejam localizados os dados, desde que:
a) A operação de tratamento seja realizada em território nacional brasileiro;
b) A operação tenha por objetivo o tratamento de dados de indivíduos localizados no território nacional;
c) Os dados pessoais, objeto do tratamento, tenham sido coletados no território nacional.
04diretrizes
4.1. O objetivo da da PGPDPP - Nossa Seleça é garantir a gestão sistemática e efetiva dos aspectos relacionados à proteção de dados pessoais/privacidade e dos direitos dos seus titulares no âmbito do Concurso, provendo suporte às operações do Concurso e minimizando riscos identificados e seus eventuais impactos à CBF e/ou à ARARA.
4.2. A CBF e a ARARA estão comprometidas com uma gestão efetiva da proteção de dados pessoais. Desta forma, adotam as medidas cabíveis para garantir que a PGPDPP - Nossa Seleça seja adequadamente comunicada, entendida e seguida em todos os níveis das organizações. Revisões periódicas serão realizadas para garantir sua contínua pertinência e adequação às necessidades da CBF e da ARARA.
4.3. É política da CBF:
4.3.1. garantir ao titular a escolha de permitir ou não o tratamento de seus dados pessoais, excetuando-se casos nos quais a lei aplicável permitir especificamente o processamento de dados pessoais sem o consentimento do titular;
4.3.2. garantir que o objetivo do tratamento de dados pessoais esteja em conformidade com a legislação vigente e de acordo com uma base legal permitida;
4.3.3. comunicar, de forma clara e adequadamente adaptada às circunstâncias, o tratamento de dados pessoais ao titular, antes do momento em que os dados são coletados ou usados pela primeira vez para um novo propósito;
4.3.4. sempre que necessário, fornecer ao titular explicações suficientes sobre o tratamento de seus dados pessoais, conforme previsto na legislação vigente;
4.3.5. limitar a coleta de dados pessoais estritamente ao que é permitido de acordo com a legislação vigente, e os objetivos especificados na coleta do consentimento do titular dos dados pessoais, minimizando, quando possível, a coleta dos referidos dados pessoais.
4.3.6. limitar o uso, retenção, divulgação e transferência de dados pessoais ao necessário para cumprir com objetivos específicos, explícitos e legítimos;
4.3.7. reter dados pessoais apenas pelo tempo necessário para cumprir os propósitos declarados e, posteriormente, destruí-los, bloqueá-los ou anonimizá-los com segurança;
4.3.8. bloquear o acesso a dados pessoais e não realizar mais nenhum tratamento quando os propósitos declarados expirarem, mas a retenção dos dados pessoais for exigida pela legislação vigente.
4.3.9. garantir a precisão e qualidade dos dados pessoais tratados, excetuando-se casos nos quais exista uma base legal para manter o tratamento dos dados.
4.3.10. fornecer aos titulares dos dados pessoais tratados, informações claras e facilmente acessíveis sobre as políticas, procedimentos e práticas com relação ao tratamento de dados pessoais realizado pela organização, incluindo quais dados são efetivamente tratados, a finalidade desse tratamento e informações sobre como entrar em contato para obter maiores detalhes.
4.3.11. notificar titulares quando ocorrerem alterações significativas no tratamento dos seus dados pessoais.
4.3.12. garantir que titulares tenham a possibilidade de acessar e revisar seus dados pessoais, desde que sua identidade seja autenticada com um nível apropriado de garantia, e que não exista nenhuma restrição legal a esse acesso ou a revisão dos dados pessoais.
4.3.13. garantir a rastreabilidade e prestação de contas durante todo o tratamento de dados pessoais, incluindo quando dados pessoais forem compartilhados com terceiros.
4.3.14. tratar integralmente violações de dados, garantindo que sejam adequadamente registradas, classificadas, investigadas, corrigidas e documentadas.
4.3.15. garantir que, na ocorrência de uma violação de dados, todas as partes interessadas serão notificadas, conforme requisitos e prazos previstos na legislação vigente.
4.3.16. documentar e comunicar, conforme apropriado, todas as políticas, procedimentos e práticas relacionadas à privacidade e proteção de dados.
4.3.17. garantir a existência de um responsável por documentar, implementar e comunicar políticas, procedimentos e práticas relacionadas à privacidade e proteção de dados;
4.3.18. adotar controles de segurança da informação, tanto técnicos quanto administrativos, suficientes para garantir níveis de proteção adequados para Dados Pessoais.
4.3.19. disponibilizar políticas, normas e procedimentos para proteção de dados pessoais a todas as partes interessadas e autorizadas, tais como: empregados, terceiros contratados e, quando pertinente, clientes.
4.3.20. garantir a educação e conscientização de empregados, terceiros contratados e, quando pertinente, parceiros e clientes, sobre as práticas de proteção de dados pessoais adotadas pela CBF.
4.3.21. melhorar continuamente a Gestão de Proteção de Dados Pessoais e Privacidade através da definição e revisão sistemática de objetivos de privacidade e proteção de dados pessoais em todos os níveis da organização.
4.3.22. garantir a não discriminação no tratamento de dados pessoais, impossibilitando que estes sejam usados para fins discriminatórios, ilícitos ou abusivos.
4.3.23. garantir a conformidade integral com leis e regulamentações de proteção de Dados Pessoais.
05agentes de tratamento
5.1. CONTROLADORA DOS DADOS PESSOAIS
5.1.1. A CBF é a controladora dos seus dados pessoais, ou seja, compete à CBF as decisões referentes ao tratamento dos seus dados pessoais.
5.2. OPERADORA DOS DADOS PESSOAIS
5.2.1. A ARARA é a operadora dos seus dados pessoais, ou seja, compete à ARARA realizar o tratamento dos seus dados pessoais em nome da CBF.
5.3. ENCARREGADOS PELO TRATAMENTO DE DADOS PESSOAIS
5.3.1. É responsabilidade dos Encarregados pelo Tratamento de Dados Pessoais:
5.3.1.1. aceitar reclamações e comunicações dos titulares de dados pessoais, prestar esclarecimentos e adotar as providências necessárias;
5.3.1.2. receber comunicações da autoridade nacional de proteção de dados e adotar as providências necessárias;
5.3.1.3. orientar os empregados, terceiros contratados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
5.3.1.4. atender as demais atribuições, conforme orientação da Autoridade Nacional de Proteção de Dados, definidas em normas complementares publicadas pelo referido órgão;
5.3.1.5. atuar junto ao time de Segurança da Informação no ajuste das normas e procedimentos de segurança da informação, necessários para se fazer cumprir a PGPDPP - Nossa Seleça;
5.3.1.6. identificar e avaliar as principais ameaças à proteção de dados, bem como propor e, quando aprovado, apoiar a implantação de medidas corretivas para reduzir o risco;
5.3.1.7. tomar as ações cabíveis para se fazer cumprir os termos da PGPDPP - Nossa Seleça;
5.3.1.8. apoiar a gestão das violações de dados pessoais, garantindo tratamento adequado e comunicando, em prazo razoável, a autoridade nacional e titulares afetados pela violação sempre que esta representar risco ou dano relevante aos titulares.
5.3.2. A CBF indica Pedro Machado Pereira Junior, DPO - Data Protection Officer da Confederação Brasileira de Futebol, com o endereço eletrônico [email protected] para exercer a função de Encarregado pelo Tratamento de Dados Pessoais, cujas atribuições consistem em: (i) aceitar reclamações e comunicações dos titulares e adotar providências; (ii) receber comunicações da Autoridade Nacional e adotar providências; (iii) orientar os funcionários e os contratados da CBF a respeito das práticas a serem tomadas em relação à pro-teção de dados pessoais; e (iv) executar as demais atribuições determinadas pela CBF ou estabelecidas em normas complementares.
5.4. TITULAR DE DADOS PESSOAIS
5.5. Você tem direito de obter da CBF, em relação aos seus dados por nós tratados, a qualquer momento, gratuitamente, por meio do e-mail do Encarregado da CBF no endereço indicado e mediante requisição, o seguinte:
a. Confirmação da existência de tratamento.
b. Acesso aos dados.
c. Correção de dados incompletos, inexatos ou desatualizados.
d. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta lei.
e. Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial e desde os dados não tenham sido anonimizados pelo controlador.
f. Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da LGPD incisos I, II, III e IV.
g. Informação das entidades públicas e privadas com as quais a CBF, quando na qualidade de controladora, realizou uso compartilhado de dados.
h. Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
i. Revogação do consentimento, nos termos do § 5º do art. 8º da LGPD.
5.6. Você tem o direito de peticionar em relação aos seus dados (i) contra a CBF, quando na qualidade de controladora; (ii) perante a Autoridade Nacional de Proteção de Dados; e (iii) perante os organismos de defesa do consumidor.
5.7. Você poderá opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD.
5.8. Em caso de impossibilidade de adoção imediata de requerimento feito pelo titular com relação aos direitos elencados acima, a CBF, quando na qualidade de controlador, enviará ao titular resposta em que poderá: (i) comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou (ii) indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
5.9. Em caso de solicitação, de correção, eliminação, anonimização ou o bloqueio dos dados, a CBF irá informar aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja impossível ou implique esforço desproporcional.
06natureza dos dados pessoais tratados
6.1. A CBF poderá tratar, incluindo, mas sem limitação, os seguintes dados pessoais dos titulares de dados pessoais que utilizarão o site Nossa Seleça (“Site”) para participar do Concurso:
a. Nome completo.
b. Endereço de e-mail.
c. Número de Cadastro de Pessoa Fìsica junto ao Ministério da Economia.
d. Número de telefone.
e. Time pelo qual torce.
07finalidade do tratamento
7.1. Tratamos os dados pessoais dos usuários que utilizarão o site Nossa Seleça http://www.nossaseleca.com.br para participar do Concurso somente para a finalidade de possibilitar (i) a participação no concurso Nossa Seleça; e (ii) a votação no concurso Nossa Seleça. Em caso de eventual tratamento do seu nome, e-mail ou telefone para fins de envio de materiais publicitários, será solicitado consentimento específico e prévio ao participante do concurso.
08bases legais
8.1. A CBF somente trata os seus dados pessoais nos casos em que haja uma base legal para isso, tais como:
a. Consentimento, fornecido por escrito, em cláusula destaca das demais, ou por outro meio que demonstre a manifestação de vontade do titular.
b. Cumprimento de obrigação legal ou regulatória pela CBF, na qualidade de controladora.
c. Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual você seja parte ou a pedido seu.
d. Exercício regular de direitos em processo judicial, administrativo ou arbitral.
e. Proteção da vida ou da incolumidade física do titular ou de terceiro.
f. Atendimento dos interesses legítimos da CBF, na qualidade de controladora, ou de terceiro, nos termos da legislação aplicável.
09compartilhamento dos dados pessoais
9.1. A CBF poderá compartilhar os dados pessoais dos participantes do Concurso, mediante garantia de proteção dos seus dados pessoais, conforme as bases legais contidas na LGPD – Lei Geral de Proteção de Dados e legislações correlatadas, para as finalidades descritas nesta Política, junto aos prestadores de serviços da CBF, tais como:
a. Bases de dados na “nuvem”.
b. Provedores de softwares e outras tecnologias da informação.
c. Empresa de hospedagem do site ou aplicativo.
d. A operadora ARARA, para que esta possa realizar o tratamento dos seus dados pessoais em nome da CBF.
9.2. A CBF poderá transferir os dados pessoais para outros países, incluindo prestadores de serviço e servidores localizados no exterior. Caso ocorra esse tipo de transferência, a CBF garantirá o cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na legislação aplicável, na forma de: (i) cláusulas contratuais destacadas e específicas para determinada transferência; (ii) cláusulas-padrão contratuais; (iii) normas corporativas globais; (iv) selos, certificados e códigos de conduta regularmente emitidos.
10gerenciamento de cookies
10.1. Cookies são arquivos criados automaticamente pelos websites que você visita e armazenados nos seus dispositivos (computadores, dispositivos móveis etc.) a fim de tornar a experiência on-line mais otimizada, lembrando de suas preferências do site e fornecendo conteúdo relevante localmente.
10.2. Os cookies são utilizados geralmente para:
a. Realizar pesquisas e diagnósticos para melhorar o conteúdo, produtos e serviços.
b. Impedir atividades fraudulentas.
c. Melhorar a segurança.
10.3. Caso deseje, você poderá bloquear ou rejeitar os cookies do site do Concurso Nossa Seleça. Nas configurações do seu navegador, clique em 'Ajuda' para: (i) saber como impedir o navegador de aceitar cookies, (ii) ser notificado quando receber novos, (iii) ver quando eles expiram e (iv) desativá-los.
11casos omissos
11.1. As diretrizes estabelecidas na PGPDPP - Nossa Seleça e nas demais normas e procedimentos de proteção de dados pessoais, não se esgotam em razão da contínua evolução tecnológica, da legislação vigente e constante surgimento de novas ameaças e requisitos. Desta forma, não se constitui rol enumerativo, razão pela qual a CBF e a ARARA poderão adotar, sempre que possível, outras medidas de segurança além das aqui previstas, com o objetivo de garantir proteção de dados pessoais tratados pela CBF.
12glossário
12.1. Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
12.2. Autoridade Nacional de Proteção de Dados Pessoais: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo território nacional brasileiro.
12.3. Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
12.4. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
12.5. Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
12.6. Dado Anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
12.7. Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
12.8. Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável.
12.9. Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
12.10. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
12.11. Segurança da informação: a preservação das propriedades de confidencialidade, integridade e disponibilidade das informações da CBF.
12.12. Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
12.13. Tratamento de dados pessoais: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
12.14. Violação de dados pessoais: situação em que dados pessoais são processados violando um ou mais requisitos relevantes de proteção da privacidade.
12.15. Revisões: A PGPDPP - Nossa Seleça poderá ser revisada com periodicidade anual ou conforme o entendimento do Comitê Gestor de Proteção de Dados Pessoais e Privacidade.
13gestão da política
13.1. A PGPDPP - Nossa Seleça é aprovada pelos Encarregados da CBF e da ARARA e pelo Comitê Gestor de Proteção de Dados Pessoais e Privacidade (citato no item 12.15).
13.2. A presente política foi aprovada no dia 13/09/2022.