LGPD - POLÍTICA RESUMIDA DE PROTEÇÃO DE DADOS E PRIVACIDADE
POLÍTICA RESUMIDA DE PROTEÇÃO DE DADOS E PRIVACIDADE

Âmbito de Aplicação: ZEN TOYS INDÚSTRIA E COMÉRCIO DE BRINQUEDOS LTDA
Válido desde: 01 de setembro de 2020.
Data de emissão/Versão: 01 de setembro de 2020.
Depto Responsável: Departamento de Informática e Proteção de Dados
Contato: dpo@distuniao.com.br
Tel.: (43) 3176-3050

1. GERAL
1.1 Contexto
Como parte do nosso trabalho diário, inevitavelmente nos deparamos com dados pessoais
(doravante referidos como “dados”) de sócios, funcionários, fornecedores, clientes e terceiros.
Geralmente, esses dados pessoais devem ser armazenados para cumprir nossas tarefas,
analisados ou transferidos para terceiros. Esse manuseio de dados pessoais está sujeito a Lei
Geral de Proteção de Dados Pessoais Brasileira nº. 13.709/2018 (LGPD) que deve ser
observada no tratamento de dados pessoais de toda pessoa física identificada ou identificável.

1.2. Objetivos
O objetivo desta Política de Proteção de Dados é fornecer a todos os sócios, funcionários,
fornecedores e clientes as informações necessárias para garantir o tratamento legítimo e
adequado dos dados pessoais, e garantir que todos saibam com quem entrar em contrato em
caso de dúvidas, incertezas ou solicitação de outras informações.

1.3. Escopo
A Política de Proteção de Dados se aplica a todos os sócios e funcionários e parceiros da ZEN
TOYS INDÚSTRIA E COMÉRCIO DE BRINQUEDOS LTDA ("DISTUNIAO").

1.4. Definições
Titular:
Qualquer pessoa natural cujos dados pessoais estão sendo tratados. Isso inclui, por exemplo,
fornecedores, clientes, visitantes ou pessoas de outras empresas. Também são considerados
titulares os funcionários, abrangendo também os candidatos às vagas na DISTUNIAO,
aposentados, funcionários temporários, estagiários, etc.

Dados Pessoais:
Todas as informações individuais sobre uma pessoa natural identificada ou identificável (“titular
dos dados pessoais”). Dados pessoais de indivíduos identificados são aquelas informações que
imediatamente podem identificar uma pessoa, tais como: nome, sobrenome, documentos

pessoais (CPF, RG, CNH, Carteira de Trabalho, passaporte e título de eleitor), endereço,
telefone, e-mail, etc. Uma pessoa é identificável se a conexão de dados puder levar a uma
dedução de quem é essa pessoa e, assim, torná-la identificável, como por exemplo,
predileções, interesses e hábitos de consumo, dados de endereço IP e geolocalização. Os
dados pessoais podem estar relacionados a circunstâncias pessoais (por exemplo, nome,
endereço, estado civil, filhos, hobbies, certificados, status profissional) ou a circunstâncias
materiais (por exemplo, renda, bens, propriedades, seguro, e-mails, número da conta
bancária).

Dados Pessoais Sensíveis:
Todos os dados pessoais, incluindo informações sobre saúde (como diagnósticos ou
observações médicas), vida sexual e orientação sexual, origem racial e origem étnica (como
nacionalidade ou cor da pele), filiação a sindicato ou a organização de caráter religioso,
filosófico ou político, dados biométricos (como por ex. impressões digitais), dados genéticos,
quando vinculado a uma pessoa física.

Tratamento:
Toda operação realizada com dados pessoais, com ou sem o auxílio de procedimentos
automatizados, como coleta, produção, recepção, classificação, utilização, acesso, reprodução,
transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação,
avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou
extração. No processamento diário de dados, é necessário levar em consideração que, para
cada um dos assuntos ora mencionados, deve ser verificado separadamente se o respectivo
tratamento é permitido.

Controlador:
A pessoa física ou jurídica, de direito público ou privado, a quem compete, sozinha ou em
conexão com outras pessoas, as decisões sobre os objetivos e meios de tratamento de dados
pessoais.

Operador:
Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados
pessoais em nome do controlador. O Operador realiza o tratamento de dados pessoais
conforme as instruções do Controlador, que permanece como proprietário dos dados.

Agentes de tratamento:
O Controlador e o Operador.

Anonimização:
Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos
quais um dado perde a possibilidade de associação, direta ou indireta, a um determinado
indivíduo;

2. PRINCÍPIOS BÁSICOS DA LEI DE PROTEÇÃO DE DADOS

2.1. Finalidade
Realização do tratamento de dados pessoais para propósitos legítimos, específicos, explícitos
e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com
essas finalidades. Os dados pessoais podem ser processados apenas para os fins para os
quais foram coletados. Os fins devem ser especificados e documentados no momento da
coleta dos dados.

As alterações posteriores de finalidade dos dados coletados são permitidas apenas dentro de
um limite mínimo, por exemplo, se houverem interesses legítimos da DISTUNIAO, desde que
observados os propósitos legítimos e específicos para o novo tratamento e a preservação dos
direitos do titular dos dados pessoais, assim como os fundamentos e os princípios
estabelecidos neste instrumento.

2.2. Adequação:
Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o
contexto do tratamento.

2.3. Necessidade
Limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com
abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades
do tratamento de dados.
Portanto, é necessário garantir que, a cada coleta de dados, apenas os dados realmente
necessários para as finalidades informadas serão coletados. Se o objetivo do tratamento for
cumprido, os dados serão excluídos, a menos que incorra em uma das hipóteses legais.

2.4. Livre Acesso
Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do
tratamento, bem como sobre a integralidade de seus dados pessoais;

2.5. Qualidade dos Dados
Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo
com a necessidade e para o cumprimento da finalidade de seu tratamento.

2.6. Transparência
Garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a
realização do tratamento e os respectivos agentes de tratamento, observados os segredos
comercial e industrial.

2.7. Segurança

Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de
acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração,
comunicação ou difusão.

2.8. Prevenção
Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados
pessoais.

2.9. Não discriminação
Impossibilidade de realização do tratamento para fins discriminatórios, ilícitos ou abusivos.

2.10. Responsabilização e prestação de contas
Demonstração, pelo agente de tratamento, da adoção de medidas eficazes e capazes de
comprovar a observância e o cumprimento das normas de proteção de dados pessoais e,
inclusive, da eficácia dessas medidas.

03. BASES LEGAIS PARA O TRATAMENTO DE DADOS

O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses,
previstas na LGPD:

 Mediante o fornecimento de consentimento pelo titular para um propósito determinado;
 Para o cumprimento de obrigação legal ou regulatória pelo Controlador;
 Pela administração pública, para o tratamento e uso compartilhado de dados
necessários à execução de políticas públicas previstas em leis e regulamentos ou
respaldadas em contratos, convênios ou instrumentos congêneres;
 Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a
anonimização dos dados pessoais;
 Quando necessário para a execução de um contrato do qual o titular dos dados é parte
ou para execução de qualquer ação pré-contratual tomada a pedido do titular dos
dados;
 Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
 Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
 Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de
saúde, serviços de saúde ou autoridade sanitária;
 Quando necessário para atender aos interesses legítimos do Controlador ou de
terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular
que exijam a proteção dos dados pessoais;
 Para proteção do crédito;

A DISTUNIAO garante que uma das justificativas acima esteja presente durante todo o
tratamento de dados. Se eventualmente este não for mais o caso porque, por exemplo, um
consentimento foi revogado, o tratamento posterior desses dados será evitado e os registros
apagados.

4. PROTEÇÃO DE DADOS ORGANIZACIONAIS

4.1. Obrigação do funcionário em termos de confidencialidade
Os responsáveis legais, funcionários e parceiros da DISTUNIAO devem estar sujeitos à
confidencialidade e prestação de contas relacionadas a isto, mediante assinatura de uma
declaração de confidencialidade. Sendo terminantemente proibido de coletar, processar ou
utilizar dados pessoais sem autorização. A obrigação de confidencialidade continua mesmo
após o término de suas funções.

4.2. Comunicação de incidentes relacionados à proteção de dados

4.2.1. Contexto legal

Todo funcionário e parceiro comercial está obrigado a informar imediatamente o seu supervisor
e/ou departamento ao qual se vincula, se, intencionalmente ou não, violar a LGPD, no decorrer
de seu trabalho e/ou atividades desempenhadas.

No caso de uma violação de dados pessoais, a DISTUNIAO, conforme o artigo 48 da LGPD,
tem a obrigação de informar a Autoridade Nacional de Proteção de Dados em prazo razoável
de até 72 (setenta e duas) horas. Além disso, a DISTUNIAO pode ser obrigada, nos termos do
artigo 48 da LGPD, a adotar providências, tais como a ampla divulgação do fato em meios de
comunicação.

4.2.2. Pré-requisitos para ocorrência de violação na proteção de dados

Uma violação de privacidade ocorre sempre que uma violação da segurança de dados resulta
na destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais que
foram transmitidos, armazenados ou processados. Poderá ser caracterizado como uma
divulgação ilegal, por exemplo, se as pessoas envolvidas não tiverem consentido e a
divulgação não for permitida por lei ou por qualquer outra disposição legal. Para fins de
caracterização de violação, basta que haja apenas uma suposição, com certa probabilidade,
para que exista uma falha na proteção de dados.

4.2.3. Código de conduta para uma política de proteção de dados

Para poder reagir de forma adequada a uma falha na proteção de dados, por favor siga as
instruções abaixo e reporte nos canais especificados:

4.2.3.1. Mensagem

Assim que restar caracterizado ou eventualmente você acredite que uma violação de
privacidade tenha ocorrido, notifique imediatamente seu gerente. Juntos, vocês enviarão uma
notificação do incidente ao encarregado de dados que consta ao final desta Política de
Proteção de Dados e também para o seguinte endereço de e-mail:

comitelgpd@distuniao.com.br

Obs.: Não hesite em relatar situações nas quais você não tem certeza se elas atendem as
condições de uma falha proteção de dados. Considerando que a análise pode ser difícil,
funcionários e especialistas treinados, como o Encarregado pela proteção de dados,
determinarão e decidirão finalmente se realmente existe um caso de falha.

4.2.3.2. Informações a serem relatadas

No caso de uma violação de privacidade, verifique se todas as informações necessárias foram
coletadas. Cada etapa da quebra de proteção de dados deve ser documentada com precisão e
remetido imediatamente ao encarregado de dados pelo e-mail: dpo@distuniao.com.br

4.2.3.3. Notificação de obrigações em caso de incidentes no processamento de pedidos

Se a DISTUNIAO atua como operador, os deveres de fornecer informações decorrem do
processamento do pedido. O cliente deve ser informado imediatamente que houve uma
violação da proteção de seus dados pessoais pela DISTUNIAO ou por seus funcionários,
acerca de possível ocorrência de uma falha na proteção de dados.

Esta obrigação de relatar é válida para cada violação de proteção de dados se os dados
pessoais processados são/foram afetados.

A notificação deve ser feita diretamente ao titular, se possível no mesmo dia que a violação se
tornou conhecida. As regras de conduta desta seção deverão ser aplicadas.

4.2.3.4. Procedimento para uma mensagem

Os seguintes passos deverão ser seguidos:

 A pessoa responsável internamente deverá informar imediatamente a gerência do
setor, o Encarregado pela proteção de dados e o responsável do RH/TI sobre a
notificação.
 O Encarregado pela proteção de dados examinará o assunto juntamente com o
responsável do RH/TI e fornecerá à gerência uma avaliação e recomendações.
 O responsável pela proteção de dados também irá, juntamente com o responsável do
RH/TI e com a participação da pessoa relatora, preencher ou finalizar o registro de
falha na Proteção de Dados e disponibiliza-lo à diretoria.
 A decisão sobre se e o que fazer no caso concreto será tomada pela diretoria após
consulta com o Encarregado pela proteção de dados e do RH/TI.

4.2.3.5. O que mais deve ser considerado?

Se você tomar conhecimento de alguma violação de privacidade, observe as seguintes regras:
 Não comunique a falha de proteção de dados para terceiros ou para seus colegas;
 Não tenha medo de divulgar erros de seus colegas. Lembre-se que uma violação da
LGPD pode resultar em multas substanciais e a empresa pode sofrer danos severos
em sua reputação! Portanto, é tarefa da gerência decidir como proceder no caso
concreto e se e como o incidente será comunicado externamente.
 A sensibilidade do tópico requer um processo de relatório interno.
 Registre os eventos da maneira mais concreta possível ao encarregado de dados.

4.3. Verificação pelas autoridades
Será permitido aos funcionários da Administração Pública e do Judiciário, que precisarem
acessar os dados, em especial dados pessoais, no exercício de suas funções. Todas as
medidas necessárias serão coordenadas e supervisionadas pelo Diretor Executivo ou por seu
representante nomeado.
Se isto acontecer, a pessoa responsável internamente deve ser informada imediatamente. A
notificação da pessoa responsável, bem como o recebimento desta notificação deverá ser
documentada.

4.4. Controle pelas autoridades de supervisão de proteção de dados
Se uma inspeção for realizada por uma autoridade supervisora de proteção de dados, a pessoa
responsável internamente e o responsável pela proteção de dados deverão ser informados
imediatamente.
De acordo com a LGPD, a Autoridade Nacional de Proteção de Dados é obrigada a monitorar e
supervisionar a execução da LGPD e outros regulamentos de proteção de dados. Nesse caso,
a autoridade supervisora de proteção de dados tem o direito de entrar, sob supervisão, durante
o horário comercial nas instalações da empresa, a fim de realizar inspeções e, assim, visualizar
documentos comerciais, dados pessoais armazenados e os programas de processamento de
dados da empresa. Não é necessário um anúncio por parte da autoridade competente sobre a
inspeção no local.
A DISTUNIAO deve tolerar essas medidas pela Autoridade Nacional de Proteção de Dados e
garantir que as instalações nas quais ocorra o processamento de dados (como escritórios de
funcionários, salas de computadores, arquivos) sejam disponibilizadas aos representantes da
autoridade supervisora de proteção de dados, bem como haja a disponibilização das senhas

necessárias e dos documentos relevantes. Além disso, mediante requerimento, a autoridade de
supervisão também deve receber todas as informações necessárias para desempenhar suas
funções.

4.5. Treinamento
A DISTUNIAO treina os funcionários em relação às disposições relevantes sobre proteção de
dados. O treinamento dos funcionários será documentado, indicando o conteúdo, a data e o
responsável pelo treinamento, bem como sua qualificação.

4.6. Registro de atividades de tratamento de dados

4.6.1.Geral

A Lei Geral de Proteção de Dados Pessoais exige que a DISTUNIAO compile e mantenha uma
lista de atividades de tratamento. Isso deve ser feito, por um lado pelos controladores e, por
outro pelos operadores.

O registro de atividades de tratamento de dados geralmente é fornecido às autoridades de
supervisão de proteção de dados durante a inspeção para proporcionar uma visão geral do
processamento atual de dados.

4.6.2. Criação ou modificação do Registro de atividades de tratamento de dados

Os departamentos técnicos criam o Registro de atividades de tratamento de dados para todas
as atividades de processamento que eles usam no local de trabalho e para as quais os dados
pessoais são armazenados, processados e utilizados. No caso de novos procedimentos, a
preparação deve ser realizada antes da sua introdução e entregue à pessoa responsável
internamente.

O Registro de atividades de tratamento de dados é complementada por referência às análises
de proteção de dados relacionadas à admissibilidade do processamento de dados, à
necessidade de realizar uma avaliação de impacto e à respectiva declaração do responsável
pela proteção de dados.

4.7. Avaliação de impacto na privacidade

Em certos casos, a DISTUNIAO deve realizar um Relatório de Impacto à Privacidade dos
Dados, por exemplo, se o processamento puder representar altos riscos para os titulares dos
dados. Podem surgir altos riscos quando são realizadas vigilância por vídeo ou desempenho
automatizado de funções dos funcionários e quando são realizados testes comportamentais.

A necessidade de realizar ou não uma avaliação de impacto será determinada pela diretoria e
pelo Encarregado pela proteção de dados. Em casos específicos, eles também determinam
quem será envolvido no processo ou quem irá implementar a avaliação de impacto.

4.8. Cumprimento das medidas técnico-organizacionais/segurança dos dados

Para garantir a segurança dos dados pessoais armazenados na DISTUNIAO, foram
implementadas medidas técnicas e organizacionais apropriadas que também garantem a
proteção dos dados contra acesso, processamento ou divulgação não autorizados, bem como
perda acidental, alteração ou destruição. Em particular, a DISTUNIAO tomou medidas para
garantir um nível de proteção adequado ao risco de processamento em termos de
confidencialidade, integridade, disponibilidade e resiliência dos sistemas de TI, banco de
dados, etc. A proteção da confidencialidade é implementada através do controle de acesso e
desconexão. A integridade é implementada através do controle de transferência, controle de
entrada e controle de pedidos. A disponibilidade e a resiliência são garantidas por meio de
medidas de disponibilidade e monitoramento regular.

Essas medidas técnicas e organizacionais estão descritas no Sistema de Gerenciamento de
Segurança da Informação da DISTUNIAO. Elas são adaptadas continuamente para refletirem
desenvolvimentos técnicos e mudanças organizacionais.

5. DIREITOS DOS TITULARES

Por lei, o titular dos dados tem vários direitos em relação ao processamento de seus dados
pessoais. A DISTUNIAO estabeleceu um ponto de contato central, sendo a única responsável
por responder questões relativas a relacionamento externo.

No entanto, entre em contato com o responsável pela proteção de dados ou com o responsável
interno se tiver alguma dúvida ou se um titular de dados entrar em contato diretamente com
você.

Existem os seguintes direitos das pessoas em questão:

5.1. Direito à informação

O titular dos dados pode exigir, a qualquer momento, informações gratuitas sobre quais dados
a DISTUNIAO processa sobre ele, os objetivos do processamento, a duração do
armazenamento ou os critérios para determinar a duração do armazenamento e os
destinatários dos dados. O titular também deve ser informado de seus direitos à retificação,
exclusão, limitação de processamento ou de seus direitos de objeção.

Ademais, a DISTUNIAO sempre que lhe for solicitada, irá fornecer ao titular uma cópia dos
dados que mantém sobre o mesmo.

Deste modo, todo titular de dados tem o direito de entrar em contato com o departamento
responsável a qualquer momento para realizar perguntas ou reclamações. As informações
devem ser fornecidas prontamente e de maneira apropriada e oportuna para as os titulares dos
dados. Será priorizada a reposta devendo ocorrer por escrito ou de forma eletrônica.

Em relação aos pedidos de informações a DISTUNIAO garante que as informações sejam
enviadas apenas às pessoas autorizadas. Portanto, confirmações poderão ser solicitadas
quando necessário para identificar de forma clara o solicitante (por exemplo, por endereço de
e-mail, número de transação, etc.) antes de divulgar informações pessoais.

5.2. Direito de corrigir, excluir e reestruturar o processamento
Além disso, os titulares dos dados têm direitos de correção em relação aos dados pessoais
armazenados pela DISTUNIAO, assim titular de dados tem, por exemplo, o direito de corrigir
dados pessoais incorretos ou incompletos armazenados pela DISTUNIAO.

Ademais, a DISTUNIAO deve excluir as informações pessoais armazenadas se o fundamento
legal para seu processamento for revogado. Se houver o direito de excluir os dados pessoais,
mas a exclusão não for possível ou for imotivada os dados pessoais deverão ser bloqueados
para usos inadmissíveis.

O titular dos dados poderá solicitar uma limitação do processamento se considerar que seus
dados estão incorretos; em princípio os dados deverão ser excluídos, porém, os dados ainda
serão necessários pela DISTUNIAO para processar ações judiciais ou pela pessoa em causa
contra o processamento de dados da DISTUNIAO , devido a interesses legítimos que eles
negam devido à sua situação específica.

Se a DISTUNIAO divulgou os dados, os destinatários devem ser informados sobre a correção,
exclusão ou restrição – a menos que isso seja impossível ou exija um esforço desproporcional.

5.3. Direito à portabilidade de dados
Se o titular dos dados fornecer à DISTUNIAO seus dados com base em seu consentimento ou
em razão de uma relação contratual com a DISTUNIAO, esta é obrigada a fornecer esses
dados em um formato padrão mediante solicitação do titular, ou se for possível, a um terceiro
por ele designado.

5.4. Direito de objeção
Se a DISTUNIAO processa dados com base em um interesse legal, o titular dos dados pode se
opor a esse processamento por razões que decorrem de situação específica. O direito de
objeção não existe se a DISTUNIAO reter os dados para, por exemplo, o exercício de
reivindicações legais ou se os interesses da DISTUNIAO impedirem o término do
processamento.

5.5. Direito de retirada

Se a pessoa em questão tiver dado o seu consentimento em relação ao tratamento de seus
dados pessoais, poderá, a princípio, revoga-lo em qualquer momento com efeitos a partir de
uma data específica. Por exemplo, o titular dos dados pode se opor ao processamento de seus
dados pessoais para fins de publicidade a qualquer momento. Se os dados forem necessários
em outros contextos (por exemplo, obrigações de arquivamento), eles poderão ser utilizados
apenas para esse fim específico e, caso contrário, deverão ser bloqueados.

5.6. Direito de reclamação
A pessoa em questão tem o direito de entrar em contato com o responsável pela proteção de
dados a qualquer momento. Ela também tem o direito de registrar uma reclamação junto à
Autoridade de Proteção de Dados responsável, ou seja, na Autoridade Estadual responsável
pela proteção de dados da Federação, na qual a pessoa responsável estiver situada.

6. CONTATO COM O ENCARREGADO DE DADOS

A DISTUNIAO nomeou um responsável interno para a proteção de dados. Para contactá-lo envie email para:

E-mail: dpo@distuniao.com.br
E-mail para reportar questões sobre privacidade: dpo@distuniao.com.br / comitelgpd@distuniao.com.br