DELIBERAÇÃO DE APROVAÇÃO DA POLÍTICA GERAL DE PRIVACIDADE & PROTEÇÃO DE DADOS PESSOAIS

A administração da GLLAD COMPANY LTDA, sociedade empresária de direito privado, inscrita no CNPJ sob o n.º 55.744.913/0001-04, com sede à Rua Calixto Machado nº 21 Sala Z-39, Bairro Pires Facanha, CEP: 61775-060, Eusebio/CE, vem, através do presente instrumento, aprovar a Primeira Versão da Política Geral de Privacidade & Proteção de Dados Pessoais da empresa, constituída pelos seguintes documentos:

a) Política de Proteção de Dados Pessoais;
b) Política de Resposta a Incidentes de Segurança;
c) Política de Resposta ao Exercício de Direitos dos Titulares;
d) Política de Segurança da Informação;

Outros Termos, Anexos, e/ou Políticas da GLLAD® que tratam expressamente da proteção de dados pessoais, independentemente de serem indicados como partes integrantes deste instrumento, integram, irrestritamente, a Política Geral de Privacidade & Proteção de Dados Pessoais da GLLAD®.

O presente instrumento, e todos os documentos que o constituem, são legítimos, válidos e aplicáveis em todos os âmbitos da operação da GLLAD® e suas empresas controladas e/ou controladoras.

Em caso de dúvida na aplicação das regras desta Política, deve ser consultado o Encarregado pelo Tratamento de Dados Pessoais da GLLAD®, através dos seguintes meios de contato:

GLLAD COMPANY LTDA
CNPJ n.º 55.744.913/0001-04
Rua Calixto Machado nº 21 Sala Z-39
Bairro Pires Facanha
Eusebio/CE
sac@gllad.com.br
(85) 99714-8303

Eusebio/CE, 16 de junho de 2026.

________________________________________
GLLAD COMPANY LTDA
CNPJ n.º 55.744.913/0001-04

SUMÁRIO

Glossário 3
Política De Proteção De Dados Pessoais 5
Política De Resposta Ao Exercício De Direito De Titulares 13
Política De Resposta A Incidentes De Segurança 17
Política De Segurança Da Informação 20

GLOSSÁRIO

Anonimização: Processo pelo qual são utilizados os meios técnicos razoáveis e disponíveis no tratamento para tornar um determinado dado incapaz de ser associado, direta ou indireta, a um ou mais indivíduos;

Autoridade Nacional de Proteção de Dados Pessoais: Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados Pessoais — Lei n.º 13.709/18 em todo território nacional;

Bases Legais de Tratamento: São as justificativas legais previstas em lei para tratamento de Dados Pessoais. A Lei 13.709/18 estabelece 10 (dez) bases para esse tratamento, que serão pormenorizadas em tópico específico;

Bloqueio: Suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou banco de dados;

Consentimento: Manifestação livre, expressa e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para determinada finalidade;

Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

Dado Anonimizado: Dado relativo ao titular que não possa ser identificado ou identificável, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

Dado Pessoal Sensível: Dado pessoal ou informação sobre origem racial, ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Dado Pessoal: Informação relacionada a pessoa natural identificada ou identificável;

Eliminação: Exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente da forma do banco de dados, seja em nuvem, local e/ou físico;

Incidente de Segurança: Qualquer anomalia, confirmada ou sob suspeita, relacionada à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequado ou ilícito, as quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais;

Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Segurança da informação: Preservação das propriedades de confidencialidade, integridade e disponibilidade das informações da Empresa;

Titular: Pessoa natural a quem se referem os dados pessoais e/ou informações que são objeto de tratamento;

Tratamento de Dados Pessoais: Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Usuário da informação: Colaboradores, com vínculo empregatício ou não, de qualquer área das empresas que compõem a Empresa ou terceiros alocados na prestação de serviços, independentemente do regime jurídico cujo qual estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizados a visualizar, utilizar e/ou manipular qualquer ativo de informação da empresa para o desempenho de suas atividades profissionais;

Violação de dados pessoais: Situação em que dados pessoais são processados violando um ou mais requisitos relevantes de proteção da privacidade.

POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS

I — Enquadramento

A presente Política de Proteção de Dados Pessoais é parte integrante da Política Geral de Privacidade & Proteção de Dados Pessoais da GLLAD®.

II — Alcance

Esta Política aplica-se a todos os administradores, empregados, colaboradores diretos e/ou indiretos e prepostos da GLLAD® e/ou de suas afiliadas. As diretrizes desta Política devem ser conhecidas, compreendidas e observadas por todos os integrantes da GLLAD®, independentemente de suas condições funcionais, posições hierárquicas, atribuições e/ou responsabilidades.

Esta Política aplica-se, ainda, a todos os parceiros, clientes, prestadores de serviço, fornecedores, clientes finais, e qualquer outra pessoa que tenha, em algum nível, acesso aos dados tratados pela GLLAD®.

III — Objetivo

Esta Política estabelece regras de boas práticas e de governança que devem orientar as relações internas e externas da GLLAD® relativamente às atividades de tratamento de dados pessoais.

Para efeitos da presente Política:

● É considerado tratamento toda a operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
● É considerado dado pessoal todo dado e informação capaz de identificar e/ou tornar identificável uma pessoa natural, incluindo dados que possam ser combinados com outras;
● Informações para identificar determinado indivíduo e/ou que se relacionem com identidade, característica, localização, meios de contato e/ou comportamento;
● É considerado dado pessoal todo dado e informação que seja objeto de tratamento pela GLLAD®; e
● É considerada titular toda pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

A GLLAD® pauta-se pelo absoluto cumprimento da legislação aplicável acerca da proteção de dados pessoais, incluindo, mas não se limitando, à Lei Federal n.º 13.709/18 — Lei Geral de Proteção de Dados Pessoais — LGPD.

IV — Princípios da Proteção de Dados Pessoais

A GLLAD® adota os seguintes princípios de proteção de dados pessoais:

● Princípio da Boa-Fé: Os agentes de tratamento da Empresa terão suas ações fundamentadas na ética e nas boas condutas, adotando e documentando todas as cautelas e medidas de segurança.
● Princípio da Finalidade: Todas as práticas de tratamento de dados pessoais pela Empresa serão realizadas com base no propósito legítimo, prezando-se para nenhum tratamento posterior ser realizado de forma incompatível com a finalidade para qual o dado foi coletado.
● Princípio da Adequação: Os serviços executados serão plenamente compatíveis com o princípio da adequação, que se refere à compatibilidade do tratamento com as finalidades e bases legais previamente informadas, e consoante o contexto do tratamento.
● Princípio da Necessidade: Desde o início da operação, a Empresa deverá se adequar ao tratamento, coletando e tratando somente os dados estritamente necessários para atender as finalidades do tratamento.
● Princípio do Livre Acesso: Os clientes da Empresa poderão solicitar e realizar consultas gratuitas sobre como seus dados pessoais estão sendo tratados.
● Princípio da Transparência: Um dos pilares da proteção de dados é a transparência nas ações, garantindo aos titulares informações claras, precisas e acessíveis sobre dados e informações pessoais, observando, ademais, sigilo e confidencialidade sobre dados e informações comerciais e industriais.
● Princípio da Segurança: Todas as ações dos agentes de tratamento serão realizadas mediante a utilização de medidas técnicas e administrativas aptas a protegerem os dados pessoais de acessos não autorizados, bem como de situações acidentais, visando à máxima proteção aos dados custodiados.
● Princípio da Prevenção: Durante o processamento de dados serão adotadas pela Empresa medidas para prevenção da ocorrência de danos relacionados aos dados pessoais dos clientes e usuários.
● Princípio da Não Discriminação: Os dados pessoais tratados pela Empresa não serão, em nenhuma circunstância, utilizados para fins discriminatórios, ilícitos ou abusivos.

V — Bases de Tratamento

São princípios basilares da Proteção de Dados estabelecida pela GLLAD®:

Garantir ao titular a escolha de permitir ou não o tratamento de seus dados pessoais, excetuando-se casos onde a lei aplicável determinar que o processamento de dados pessoais poderá ocorrer sem o consentimento do titular.

Garantir que o objetivo do tratamento dos dados pessoais esteja conforme as 10 (dez) bases de tratamento previstas na Lei Geral de Proteção de Dados Pessoais, quais sejam:

● Consentimento do Titular dos Dados — inciso I do art. 7º da Lei Geral de Proteção de Dados Pessoais: O tratamento de dados pessoais será realizado mediante consentimento livre, informado e inequívoco do titular. O consentimento poderá ser revogado a qualquer momento pelo titular.
● Cumprimento de Obrigação Legal ou Regulatória — inciso II do art. 7º da Lei Geral de Proteção de Dados Pessoais: A organização poderá tratar dados pessoais para cumprir obrigações estabelecidas por lei ou por normas regulatórias, independentemente do consentimento do titular.
● Execução de Contrato ou Procedimentos Preliminares — inciso V do art. 7º da Lei Geral de Proteção de Dados Pessoais: Os dados pessoais poderão ser tratados quando forem necessários para a formalização, execução ou rescisão de contratos, bem como para procedimentos preliminares solicitados pelo titular.
● Legítimo Interesse do Controlador ou de Terceiros — inciso IX do art. 7º da Lei Geral de Proteção de Dados Pessoais: O tratamento poderá ocorrer quando houver interesse legítimo da Empresa ou de terceiros, desde que respeitados os direitos e garantias fundamentais dos titulares. A aplicação dessa base legal será precedida de uma avaliação de impacto e proporcionalidade.
● Exercício Regular de Direitos em Processos Judiciais, Administrativos ou Arbitrais — inciso VI do art. 7º da Lei Geral de Proteção de Dados Pessoais: A organização poderá tratar dados pessoais quando necessário para o exercício regular de direitos, incluindo sua utilização em processos judiciais, administrativos ou arbitrais.
● Proteção do Crédito — inciso X do art. 7º da Lei Geral de Proteção de Dados Pessoais: O tratamento de dados poderá ser realizado para fins de proteção ao crédito, incluindo análise de risco e consultas a bases cadastrais de crédito.
● Proteção da Vida ou da Incolumidade Física — inciso VII do art. 7º da Lei Geral de Proteção de Dados Pessoais: A Empresa poderá tratar dados pessoais em situações em que for necessário para a proteção da vida ou da integridade física do titular ou de terceiros.
● Tutela da Saúde — inciso V|II do art. 7º da Lei Geral de Proteção de Dados Pessoais: O tratamento de dados poderá ocorrer quando necessário para a prestação de serviços de saúde, exclusivamente por profissionais da área da saúde, instituições médicas ou autoridades sanitárias.
● Estudos ou Pesquisas — inciso IV do art. 7º e alínea “c” do inciso II do art. 11 da Lei Geral de Proteção de Dados Pessoais: Os dados pessoais poderão ser tratados para fins de pesquisa científica, histórica ou estatística, desde que, sempre que possível, sejam anonimizados.
● Implementação de Políticas Públicas — inciso |II do art. 7º da Lei Geral de Proteção de Dados Pessoais: O tratamento de dados poderá ocorrer quando necessário para a execução de políticas públicas previstas em leis, regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres com órgãos públicos.

Além dos princípios basilares apresentados anteriormente, são deveres da GLLAD®:

● Comunicar, de forma clara e adequadamente adaptada às circunstâncias, o tratamento de dados pessoais ao titular, antes do momento em que os dados são coletados ou usados pela primeira vez para um novo propósito;
● Sempre que necessário, fornecer ao titular, explicações e esclarecimentos suficientes acerca do tratamento de seus dados pessoais, conforme previsto na legislação vigente;
● Limitar a coleta de dados pessoais estritamente ao que é permitido, conforme a legislação vigente, e os objetivos especificados na coleta do consentimento do titular dos dados pessoais, minimizando, ao máximo possível, a coleta dos referidos dados pessoais;
● Limitar o uso, retenção, divulgação e transferência de dados pessoais ao necessário para cumprir com objetivos específicos, explícitos e legítimos;
● Reter dados pessoais apenas pelo tempo necessário para cumprir os propósitos declarados e, posteriormente, descartá-los, bloqueá-los ou anonimizá-los conforme os protocolos aplicáveis ao caso concreto;
● Bloquear o acesso a dados pessoais e não realizar nenhum outro tratamento quando os propósitos declarados expirarem, mas tão somente quando a retenção dos dados pessoais for exigida pela legislação vigente;
● Garantir a precisão e qualidade dos dados pessoais tratados, excetuando-se os casos onde exista uma base legal para manter os dados incompletos e/ou desatualizados;
● Fornecer aos titulares dos dados pessoais tratados, informações claras, precisas e de fácil acesso sobre políticas, procedimentos e práticas com relação ao tratamento de dados realizados pela organização, incluindo quais os dados são efetivamente tratados, a finalidade desse tratamento, as informações necessárias e meios de contato;
● Notificar titulares quando ocorrerem anomalias significativas no tratamento de seus dados pessoais;
● Garantir que titulares tenham acesso e possam revisar seus dados pessoais, desde que sua identidade seja autenticada com um nível apropriado de segurança, e que não exista nenhuma restrição legal a esse acesso e/ou a revisão dos dados pessoais;
● Garantir a rastreabilidade e prestação de contas durante todo o tratamento de dados pessoais, incluindo quando dados pessoais forem compartilhados com terceiros;
● Tratar integralmente incidentes de segurança e violações de dados, garantindo que sejam adequadamente registradas, classificadas, investigadas, corrigidas e documentadas;
● Garantir que, na ocorrência de uma violação de dados, todas as partes interessadas sejam notificadas, conforme requisitos e prazos previstos na legislação vigente;
● Documentar e comunicar aos titulares todas as políticas, procedimentos e práticas relacionadas à privacidade e proteção de dados;
● Garantir a existência de um indivíduo responsável por documentar, implementar e comunicar políticas, procedimentos e práticas relacionadas à privacidade e proteção de dados;
● Adotar controles de segurança da informação, tanto técnicos quanto administrativos, suficientes para garantir níveis de proteção adequados para Dados Pessoais;
● Disponibilizar políticas, normas e procedimentos para proteção de dados pessoais a todas as partes interessadas e autorizadas, tais como: colaboradores, diretos e indiretos, terceiros contratados e, onde pertinente, clientes;
● Garantir a educação e conscientização de colaboradores, diretos e indiretos, terceiros, contratados e, onde pertinente, parceiros e clientes, sobre as práticas de proteção de dados pessoais adotadas pela GLLAD®;
● Melhorar continuamente a Gestão de Proteção de Dados Pessoais através da definição e revisão sistemática de objetivos de privacidade e proteção de dados pessoais em todos os níveis da organização;
● Garantir a não discriminação no tratamento de dados pessoais, impossibilitando que estes sejam usados para fins discriminatórios, ilícitos ou abusivos;
● Garantir a observância integral e contínua às leis e regulamentações atinentes à proteção de Dados Pessoais.

VI — Regras de Tratamento de Dados Pessoais

Os dados pessoais deverão ser usados apenas para a(s) finalidade(s) especificada(s) que permitem seu tratamento, dentre elas:

● O acesso aos dados pessoais é limitado apenas aos indivíduos autorizados a realizar o tratamento para cumprir a finalidade específica desse tratamento. Os integrantes da GLLAD® e demais obrigados, em sua ausência, não devem deixar materiais que contenham dados pessoais em lugar visível e/ou que promovam algum risco de acesso não autorizado a esses dados.
● As transferências internas de dados pessoais, entendidas como quaisquer transferências/compartilhamentos no âmbito dos departamentos e/ou entre os integrantes da GLLAD®, somente serão realizadas para cumprir a mesma finalidade específica de tratamento. Salienta-se que o receptor dos dados pessoais deverá assegurar que utiliza os mesmos padrões de segurança e práticas de proteção do emissor. Qualquer transferência interna de dados pessoais para diferente finalidade específica deverá ser previamente autorizada pelo Encarregado de Dados Pessoais.
● As transferências de dados pessoais a terceiros, entendidas como quaisquer transferências/compartilhamentos para/com não integrantes da GLLAD®, somente poderão ser realizadas quando tal transferência seja necessária para o fornecimento de bens e serviços à GLLAD® e seus clientes ou necessária para conduzir as operações da GLLAD®, e desde que em cumprimento desta Política. Transmissões externas de dados pessoais, seja pelo meio físico ou digital, devem ser realizadas mantendo a segurança dos dados pessoais e prevenindo acessos não autorizados.
● As transferências internacionais de Dados pessoais somente são permitidas quando o receptor proporcionar grau de proteção de dados adequado e cumprimento dos princípios previstos na legislação brasileira.

Armazenamento dos dados pessoais:

● Armazenamento físico: documentos físicos que contenham dados pessoais serão armazenados em cofres, arquivos ou áreas controladas em momentos de ausência de supervisão.
● Armazenamento digital: dados pessoais armazenados eletronicamente em computadores e dispositivos portáteis serão protegidos em conformidade nas Políticas de Segurança da Informação da GLLAD®.

Divulgação de dados pessoais através dos meios de comunicação interna:

● Os integrantes da GLLAD® deverão abster-se de divulgar dados pessoais relativos a outros integrantes e/ou a terceiros através dos meios de comunicação interna que não se enquadrem nas atividades de tratamento de dados pessoais previstos no presente instrumento.

VII — Encarregado de Proteção de Dados Pessoais

A GLLAD® indica como Encarregado de Proteção de Dados (DPO): LUAN LEAL SOCIEDADE INDIVIDUAL DE ADVOCACIA, inscrita na OAB/MG sob o n.º 011599/21, e CNPJ n.º 43.367.071/0001-30, que exercerá a função através de seu corpo técnico especializado, representado pelo advogado LUAN LEAL PEREIRA SOUSA, brasileiro, advogado, inscrito na OAB/MG sob o n.º 201.392, com endereço profissional na Rua Neném Belo, n.º 88, bairro Vila Ferreira, em Formiga–MG, e endereço eletrônico: contato@lealsousaadvogados.com.br.

É responsabilidade do Encarregado pelo Tratamento de Dados Pessoais:

● Receber reclamações e comunicações dos titulares de dados pessoais, prestar esclarecimentos e adotar as providências necessárias;
● Receber comunicações da autoridade nacional de proteção de dados e adotar as providências necessárias;
● Orientar os colaboradores, terceiros contratados e demais partes a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
● Atender as demais atribuições, conforme orientação da Autoridade Nacional de Proteção de Dados — ANPD, definidas em normas e/ou regulamentos complementares publicadas pelo referido órgão;
● Apoiar a Administração em suas deliberações;
● Atuar junto ao time de Segurança da Informação no ajuste das normas e procedimentos de segurança da informação;
● Identificar e avaliar as principais ameaças à proteção de dados, bem como propor e, quando aprovado, apoiar a implantação de medidas corretivas para reduzir o risco;
● Tomar as ações cabíveis para se fazer cumprir os termos desta política;
● Apoiar a gestão das violações de dados pessoais, garantindo tratamento adequado e comunicando, em prazo razoável, a autoridade nacional e titulares afetados pela violação sempre que esta representar risco ou dano relevante aos titulares.

VIII — Comitê de Proteção de Dados Pessoais

A GLLAD® criará um Comitê de Proteção de Dados Pessoais, constituído por seu Administrador, pelo Encarregado, pelo responsável pela área de Tecnologia da Informação, e demais membros, conforme a necessidade.

O Comitê de Proteção de Dados Pessoais terá as seguintes funções:

● Caso convocado pelo Encarregado, avaliar o requerimento do titular dos dados pessoais e decidir quais as medidas serão aplicadas, conforme previsto no instrumento de Política de Resposta ao Exercício de Direitos de Titulares;
● Avaliar e decidir quais medidas deverão ser aplicadas em caso de incidentes de segurança, conforme previsto na Política de Resposta a Incidentes de Segurança.

IX — Treinamentos e Monitoramento

A GLLAD® realizará, periodicamente, treinamentos para conscientização dos integrantes da Empresa e demais obrigados sobre a importância da proteção dos dados pessoais, e as Políticas relacionadas a proteção de dados pessoais.

A GLLAD® reforçará ativamente e monitorará periodicamente o cumprimento desta Política. É dever das pessoas abrangidas por essa Política o cumprimento estrito de todas as disposições apresentadas.

POLÍTICA DE RESPOSTA AO EXERCÍCIO DE DIREITO DE TITULARES

I — Enquadramento

A presente Política de Resposta ao Exercício de Direito de Titulares é parte integrante da Política Geral de Privacidade & Proteção de Dados Pessoais da GLLAD®.

II — Alcance

III — Objetivo

Esta Política descreve o procedimento que a GLLAD® deverá seguir em relação ao requerimento de exercício de direitos, pelo titular ou por seu representante legal devidamente constituído. Para efeitos desta Política:

● É considerado tratamento toda e qualquer operação realizada pela GLLAD® com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
● É considerado dado pessoal todo dado e informação capaz de identificar ou tornar identificável um indivíduo, incluindo dados que possam ser combinados com outras informações para identificar, e/ou que se relacionem com a aparência, identidade, característica, localização, contato e/ou comportamento de um indivíduo;
● É considerado titular todo o indivíduo a quem se referem os dados pessoais que são objeto de tratamento; e
● É considerada anonimização o procedimento por meio do qual um dado pessoal perde a possibilidade de associação a determinado indivíduo.

IV — Direitos do titular

O titular, nos termos previstos na lei e conforme os limites nela estabelecidos, tem direito de obter, a qualquer momento e mediante requerimento:

● Confirmação de existência do tratamento de seus dados pessoais pela GLLAD®;
● Acesso aos seus dados pessoais;
● Correção de dados pessoais incompletos, inexatos ou desatualizados;
● Anonimização, bloqueio ou eliminação de dados pessoais desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei Geral de Proteção de Dados Pessoais — LGPD;
● Portabilidade dos dados pessoais para outro fornecedor de serviço e/ou produto;
● Eliminação dos dados pessoais tratados com o consentimento do titular;
● Informação das entidades públicas e privadas com as quais a GLLAD® realizou uso compartilhado de dados pessoais;
● Informação sobre a possibilidade de não fornecer consentimento para o tratamento de dados pessoais dos usuários e sobre as consequências da negativa;
● Revogação do consentimento; e
● Cópia eletrônica integral de seus dados pessoais, quando o tratamento tiver origem no consentimento do titular ou em contrato.

O titular pode, ainda, se opor, a qualquer momento e mediante requerimento, ao tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento previstas na Lei Geral de Proteção de Dados Pessoais — LGPD, em caso de descumprimento da referida norma.

V — Critérios de Avaliação do Requerimento do Titular

O pedido do titular será avaliado pelo Encarregado conforme a Lei Geral de Proteção de Dados Pessoais — LGPD e demais legislação aplicável, incluindo as leis e regulamentos a que estão submetidas as atividades da GLLAD®.

Procedimento:

● Recebimento: qualquer administrador, empregado ou preposto da GLLAD® que receber algum requerimento de titular de dados pessoais e/ou por procurador devidamente constituído, deverá encaminhá-lo de imediato ao Encarregado de Proteção de Dados Pessoais, pessoa indicada para iniciar o procedimento de resposta.
● Avaliação Preliminar: o Encarregado realizará avaliação preliminar para verificar o preenchimento dos seguintes requisitos: (i) requerimento expresso do titular ou do representante legal constituído, contendo os fundamentos e requerimento da demanda; (ii) documento que comprove a identidade do titular; (iii) documentos que comprovem a identidade do representante legal constituído e os respectivos poderes de representação, se houver. O Encarregado deverá ainda verificar se, relativamente aos dados pessoais que são objeto do requerimento do titular, existe: (i) outra entidade (agente de tratamento) que seja controladora ou controladora conjunta; e/ou (ii) alguma obrigação relativa ao objeto do requerimento prevista em contrato celebrado pela GLLAD®.
● Medidas para verificação de identidade: para comprovar a identidade do titular, o Encarregado verificará se o requerimento foi efetuado e assinado por meio que, conforme os critérios legais, comprove que a autoria da declaração é do titular e a integridade do documento ou se foi enviado por endereço de e-mail já conhecido pela GLLAD® e que possua vínculo inequívoco com o titular de dados pessoais. Caso nenhuma das hipóteses se verifique, o Encarregado solicitará ao requerente, cópia de documento de identificação oficial com foto e a GLLAD® tentará comprovar a identidade utilizando uma tecnologia de reconhecimento facial (podendo, a exclusivo critério da GLLAD® realizar também uma chamada por vídeo para confirmar a identidade). Na hipótese de subsistirem dúvidas relativamente à identidade (e considerando os dados pessoais envolvidos), o Encarregado solicitará o envio de requerimento assinado por meio que, conforme os critérios legais, comprove que a autoria do pedido é do titular e a integridade do respectivo documento.
● Não preenchimento dos requisitos: caso algum dos requisitos elencados no item acima não esteja preenchido, deverá o Encarregado instruir o titular (ou representante legal) para corrigir os vícios e/ou fornecer os documentos faltantes.
● Comunicação entre Agentes de Tratamento: independentemente do preenchimento dos requisitos, o Encarregado deverá encaminhar o requerimento a outra entidade (Controladora ou controladora conjunta), quando existir um contrato celebrado entre a GLLAD® e essa entidade que preveja essa obrigação.
● Avaliação: confirmado o preenchimento integral dos requisitos elencados no item acima, o Encarregado (i) avaliará o requerimento para aferir o direito invocado pelo titular dos dados pessoais; (ii) decidirá quais medidas serão aplicadas em relação ao pedido do titular e (iii) promoverá a adoção dessas medidas pela GLLAD®.
● Caso o Encarregado entenda como necessário e/ou conveniente, poderá convocar o Comitê de Proteção de Dados Pessoais da GLLAD® para efetuar a avaliação e/ou tomar a decisão relativa às medidas a serem aplicadas.
● Adoção das Medidas: o Encarregado providenciará para a GLLAD® adotar as medidas que foram objeto de decisão, no prazo de até 15 (quinze) dias desde o recebimento do requerimento ou comprovação da identidade, o que for feito por último.
● A confirmação de existência ou o acesso a dados pessoais serão providenciados, por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial. Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso. As informações e os dados poderão ser fornecidos, a critério do titular: (i) por meio eletrônico, seguro e idôneo para esse fim; ou (ii) sob forma impressa.
● Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.

Caso, em decorrência de previsão contratual, a resposta ao titular deva ser efetuada por terceiro e não pela GLLAD®, o Encarregado deverá averiguar junto desse terceiro se a resposta foi efetivamente enviada.

As regras previstas neste capítulo também se aplicam na hipótese de o titular peticionar seus direitos através da Autoridade Nacional de Proteção de Dados.

POLÍTICA DE RESPOSTA A INCIDENTES DE SEGURANÇA

I — Enquadramento

A presente Política de Resposta a Incidentes de Segurança é parte integrante da Política Geral de Privacidade & Proteção de Dados Pessoais da GLLAD®.

II — Alcance

III — Objetivo

Esta Política descreve o procedimento que a GLLAD® deve seguir em relação à detecção de e resposta a qualquer incidente de segurança, incluindo a notificação à autoridade nacional de proteção de dados Autoridade Nacional de Proteção de Dados — ANPD e a comunicação aos titulares afetados.

São considerados incidentes de segurança os acessos não autorizados a dados pessoais e as situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado, ou ilícito de dados pessoais da GLLAD®.

Para efeitos da presente Política:

● É considerado tratamento toda a operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
● É considerado dado pessoal todo dado e informação capaz de identificar ou tornar identificáveis pessoas físicas, incluindo dados que possam ser combinados com outras informações para identificar um indivíduo, e/ou que se relacionem com a identidade, características ou comportamento; e
● É considerado dado pessoal da GLLAD® todo o dado pessoal que seja objeto de tratamento pela GLLAD®.

IV — Procedimento

● Comunicação: qualquer administrador, empregado, preposto, parceiro, prestador, fornecedor ou pessoa ligada a GLLAD® que notar a ocorrência ou a mera suspeita de ocorrência de um incidente de segurança deverá comunicar o fato imediatamente ao responsável de Tecnologia de Informação; e comunicar o fato imediatamente por escrito ao coordenador do departamento ou da área em que atuar (se for o caso).
● O coordenador do departamento ou área que notar ou receber a comunicação da ocorrência ou a mera suspeita de ocorrência de um incidente de segurança deverá comunicar imediatamente o fato ao responsável de Tecnologia de Informação (ou confirmar que o responsável de TI também recebeu a comunicação do fato); e comunicar o fato imediatamente por escrito ao Comitê de Proteção de Dados Pessoais da GLLAD®, na pessoa do Encarregado.
● Tecnologia de Informação: o responsável de TI da GLLAD® deverá contatar imediatamente o Comitê de Proteção de Dados Pessoais da GLLAD®; e adotar imediatamente as medidas técnicas urgentes para conter e/ou eliminar o incidente de segurança de Tecnologia de Informação da GLLAD® cuja urgência não pode aguardar pela avaliação do Comitê de Proteção de Dados Pessoais da GLLAD®.
● Avaliação: O Comitê de Proteção de Dados Pessoais da GLLAD® avaliará a comunicação do incidente de segurança, incluindo a mera suspeita, para (i) decidir quais as medidas que deverão ser aplicadas para conter e eliminar o incidente; e (ii) determinar se o incidente tem potencial de acarretar risco ou dano relevante aos titulares. Caso for determinado que o incidente pode produzir danos ao titular, a GLLAD® prosseguirá com os procedimentos de notificação da ANPD e dos titulares afetados.
● O Comitê de Proteção de Dados Pessoais da GLLAD® deverá verificar se, relativamente aos Dados Pessoais afetados, existe ou não alguma obrigação contratual em caso de incidente de segurança, notadamente o dever de notificar outra entidade (controladora ou controladora conjunta). Em caso de resposta positiva, o Comitê de Proteção de Dados Pessoais da GLLAD® deverá providenciar para serem cumpridas as obrigações contratuais.
● Notificação à Autoridade Nacional de Proteção de Dados — ANPD e Titulares: caso fique determinada a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a GLLAD® notificará, imediatamente e consoante o estabelecido na Lei Geral de Proteção de Dados Pessoais — LGPD, a Autoridade Nacional de Proteção de Dados — ANPD e os titulares afetados. A notificação aos titulares afetados deverá ser feita em linguagem simples e clara.
● Registro de Incidente de Segurança: Para cada Incidente de Segurança a GLLAD® elaborará e manterá um relatório, no qual serão descritos: (i) a natureza dos Dados Pessoais afetados; (ii) o número aproximado de titulares afetados; (iii) o nome e contato dos titulares afetados; (iv) possíveis consequências do incidente; (v) as medidas adotadas para reverter ou mitigar os efeitos; (vi) os motivos da decisão tomada em resposta a violação; e (vii) os motivos da demora, no caso de a comunicação à ANPD e aos titulares ter sido necessária, mas não ter sido imediata.

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

I — Enquadramento

A presente Política de Segurança da Informação é parte integrante da Política Geral de Privacidade & Proteção de Dados Pessoais da GLLAD®.

II — Alcance

III — Objetivo

Esta Política visa estabelecer os conceitos e diretrizes de segurança da informação da GLLAD®, protegendo as informações de seus diretores, empregados, colaboradores, clientes e demais titulares, fornecedores, prestadores de serviço, parceiros e demais pessoas cujos dados são objeto de tratamento pela GLLAD®, bem como sua propriedade intelectual de roubo, fraude, espionagem, perda não-intencional e outras ameaças; orientando os(as) usuários(as) quanto a procedimentos adequados às necessidades de negócio e de proteção legal da GLLAD® e das pessoas acima mencionadas.

A segurança da informação se baseia em 03 (três) pilares: confiabilidade, integridade e disponibilidade:

● Confiabilidade: é a garantia que a informação estará disponível apenas a quem de direito;
● Integridade: é a garantia que a informação não tenha sido modificada ou destruída de modo não autorizado, ou acidental.
● Disponibilidade: é a garantia que a informação estará disponível quando necessário; e

Para efeitos da presente Política:

● É considerada informação o ativo resultante do processamento, manipulação e/ou organização de dados de modo que seja passível de uso e interpretação por pessoas e/ou sistemas de tecnologia;
● É considerado responsável de Tecnologia da Informação — TI, a pessoa ou as pessoas da GLLAD® que estiver(em) exercendo funções de responsável pelo TI da GLLAD®;
● É considerada engenharia social a manipulação de pessoas por meio de persuasão, dissimulação ou oferta de vantagem para a obtenção de acesso a sistemas e/ou informações não-autorizadas;
● São consideradas internet corporativa tanto a internet (conjunto de computadores interligados em uma rede de abrangência mundial, que se comunicam utilizando um protocolo único) acessada através da GLLAD®, como a rede corporativa ou intranet (conjunto de computadores e outros equipamentos que formam uma rede utilizando um protocolo único) da GLLAD®;
● São consideradas estações de trabalho os computadores (notebooks e desktops) os quais são fornecidos e/ou disponibilizados aos(às) usuários(as) para o exercício de suas atividades;
● São considerados equipamentos de trabalho as estações de trabalho e demais hardwares, tais como os componentes internos dos computadores — processadores, memórias, unidades de disco fixo, leitores/gravadores de CD/DVD — e os periféricos — monitores, teclado, mouse, impressoras, scanners, nobreaks, estabilizadores e outros — os quais são fornecidos e/ou disponibilizados aos usuários para o desempenho de suas atividades. Também se incluem nesta definição equipamentos de rede e servidores de discos;
● É considerado ambiente tecnológico todo e qualquer meio físico e lógico que compõe a tecnologia da informação na GLLAD®, incluindo a internet corporativa, rede corporativa, e-mails corporativos, equipamentos de trabalho e softwares de propriedade ou licenciados à GLLAD®.

IV — Propriedade e Monitoramento

Toda informação, em ambiente físico ou lógico, gerada, trabalhada ou transformada pelos usuários através dos equipamentos de trabalhos é considerada propriedade da GLLAD®.

Os ambientes tecnológicos utilizados pelos administradores, empregados e prepostos da GLLAD® e demais usuários são de exclusiva propriedade da GLLAD®, não podendo ser interpretados como de uso pessoal, devendo cada usuário observar também as leis e normas que regulamentam a propriedade intelectual. Todo serviço, produto ou técnica resultante do trabalho do usuário junto à organização, também deve ser considerado de propriedade da GLLAD®.

O uso de informações e ambientes tecnológicos da GLLAD® poderá ser monitorado, gravado e os registros auditados para detecção de conformidade com as políticas e contratos que regulam o relacionamento do usuário e a GLLAD®, podendo ser utilizados como evidência para adoção de medidas administrativas e/ou judiciais pela GLLAD®.

V — Classificação dos dados e informações e sua utilização

Todas as informações da GLLAD® são consideradas, confidenciais, salvo orientação distinta e específica da Administração da GLLAD®, devendo o(a) usuário(a) zelar pela sua segurança e, em caso de identificação de descumprimento, vazamento ou brecha voluntária ou involuntária, comunicar imediatamente sobre a situação ao responsável de TI e ao coordenador do departamento (ou da área) em que atuar, conforme previsto na Política de Resposta a Incidentes de Segurança.

Toda informação deverá ter seu uso única e exclusivamente para a finalidade para qual foi coletada, sendo vedado, por definição, o seu uso para quaisquer naturezas distintas.

VI — Acesso ao ambiente tecnológico e responsabilidades

É atribuição do responsável de TI identificar, classificar e liberar o acesso dos(as) usuários(as) nos ambientes tecnológicos da GLLAD® a partir de perfil indicado formalmente pela gestão de cada usuário(a) ou área de RH da GLLAD® Além disso, é atribuição do responsável de TI avaliar recorrentemente as condições de segurança da informação dos sistemas e equipamentos de trabalho da GLLAD®, executando ações e implementando práticas que visem a contínua proteção das informações da GLLAD® e dos titulares de dados pessoais.

É atribuição do responsável de TI, também, bloquear todo acesso de usuário(a) que se torne desnecessário, a partir da identificação ou comunicação da situação pelo(a) usuário(a), pelo coordenador do departamento (ou da área) ou área de RH.

É responsabilidade do(a) usuário(a) não apenas conhecer e cumprir as políticas da GLLAD®, em especial esta, mas zelar pelo seu cumprimento junto a outrem, notificando o responsável de TI e o coordenador do departamento em que atuar (ou da área em que atuar, se for o caso), conforme previsto na Política de Resposta a Incidentes de Segurança, quando do conhecimento de qualquer descumprimento, violação ou risco, além de tomar providências dentro do seu alcance para proteger as informações contra qualquer acesso, modificação, destruição ou divulgação não-autorizados pela GLLAD®. É responsabilidade do(a) usuário(a), ainda, utilizar os recursos físicos e lógicos da GLLAD® apenas para as finalidades e atividades autorizadas.

É responsabilidade do(a) usuário(a) não discutir assuntos confidenciais de trabalho em ambientes públicos ou áreas expostas, incluindo a emissão de comentários e opiniões em meios virtuais.

É responsabilidade de cada coordenador do departamento (ou de área) se certificar que os(as) usuários(as) sob sua gestão estejam cientes e tenham assinado esta política, assim como comunicar ao responsável de TI quando um ou mais acessos de usuário(a) sob sua gestão não forem mais necessários e se o bloqueio do acesso deve ser imediato ou se há data definida para tal.

VII — Níveis de acesso às informações

O responsável de TI deverá definir, conjuntamente com o coordenador do departamento (ou de área), quais serão os níveis e modo de acesso às informações que cada perfil de usuário terá no ambiente tecnológico da GLLAD®.

VIII — Uso de estações de trabalho e demais equipamentos de trabalho

Aos(às) usuários(as) são cedidas estações de trabalho da GLLAD® para uso, as quais são automaticamente identificadas enquanto estiverem conectadas à rede corporativa. Isso significa que tudo que seja executado nestas estações de trabalho poderá ser atribuído aos(às) usuários(as). Deste modo, sempre que sair da frente de sua estação de trabalho, o(a) usuário(a) deverá realizar o bloqueio da estação de trabalho, efetuar o logoff ou mesmo desligar o equipamento. Cabe ao usuário zelar pelos equipamentos de trabalho que utiliza, não sendo permitido qualquer remoção, desconexão de partes, substituição ou qualquer alteração nas características físicas, ou técnicas desses equipamentos, salvo as executadas pelo responsável de TI.

Não é autorizada a instalação, remoção, alteração ou atualização de qualquer tipo de software pelo(a) usuário(a), incluindo extensões em navegadores de internet. Havendo a necessidade da instalação de qualquer software (incluindo aplicativos e extensões de navegador ou alteração na configuração na estação de trabalho, o(a) usuário(a) deverá contatar o responsável de TI, quel avaliará tal instalação ou alteração e poderá, conforme o caso, requerer autorização do coordenador do departamento (ou da área) em que atua o usuário(a).

Não é autorizada a execução de softwares que não tenham sido instalados ou formalmente autorizados pelo responsável de TI.

Não é autorizada a gravação de arquivos pessoais nas estações de trabalho. O responsável de TI possui autorização para apagar de modo automatizado ou manual, sem aviso, todo e qualquer arquivo que estiver gravado nas estações de trabalho. Materiais de conteúdo impróprio não podem ser expostos, armazenados, distribuídos, editados ou gravados através do uso das estações de trabalho. Nos casos em que se verificar a instalação ou acesso a software não autorizado, o responsável de TI realizará a remoção imediata do software.

Todos os arquivos e dados relativos à GLLAD® devem ser mantidos no servidor, onde existe um sistema de backup diário e confiável. O espaço em disco é controlado e limitado, por isso cada usuário(a) deve administrar seus arquivos gravados, excluindo os desnecessários.

Não é autorizada a alteração nas configurações da estação de trabalho.

É proibido todo procedimento de manutenção, física ou lógica, nos equipamentos de trabalho que não seja realizado por meio do responsável de TI.

O consumo de alimentos e bebidas próximo à estação de trabalho é desestimulado pelo risco de acidentes ou mesmo da entrada de migalhas em componentes.

A GLLAD®, como proprietária das estações de trabalho e demais equipamentos de trabalho, se reserva ao direito de, sem aviso, solicitar a inspeção dos mesmos ao(à) usuário(a).

É responsabilidade do usuário(a) zelar pelos equipamentos que utiliza, não sendo permitida qualquer remoção, desconexão de partes, substituição ou qualquer alteração nas características físicas, ou técnicas dos equipamentos integrantes da rede

IX — Senhas

Visando assegurar acesso de usuário(a) autorizado(a) e prevenir acesso não autorizado aos sistemas de informação, o responsável de TI usa diversas senhas no ambiente tecnológico.

As senhas são meios pessoais e intransferíveis de autenticação de cada usuário(a), sendo tudo o que for executado sob a autenticação desta senha será considerado de responsabilidade do(a) usuário(a) detentor(a) da senha. Deste modo, é proibido o compartilhamento ou negociação da senha com terceiros, inclusive demais usuários(as) da organização, e digitar as senhas em equipamentos que não sejam os da GLLAD® ou que não tenham seu uso autorizado pelo responsável de TI. O uso de senhas de outra pessoa pode ser considerado falsa identidade.

O usuário é responsável pelo sigilo de sua senha pessoal e poderá, dependendo do ambiente tecnológico, criar ou receber uma senha individual e personalizada pelo responsável de TI. Caso tenha sido criada uma senha provisória pelo responsável de TI, no primeiro login no sistema, haverá a obrigatoriedade de cadastramento de senha pessoal pelo(a) usuário(a). As senhas criadas pelo(a) usuário(a) deverão seguir as regras de cada ambiente, a serem estabelecidas e desenvolvidas (e revisadas) pelo responsável de TI, incluindo, mas não se limitando, às seguintes regras:

Conter um número mínimo de caracteres, sendo recomendada e eventualmente estabelecida como obrigatória responsável de TI a utilização de letras maiúsculas e minúsculas, números e caracteres especiais;
As senhas deverão ser alteradas periodicamente, sendo o(a) usuário(a) notificado com antecedência que a senha será expirada e que há necessidade de realizar a troca;
A não realização da troca da senha antes da data de vencimento poderá acarretar perda de acesso ao ambiente tecnológico da GLLAD®; e
Não poderão ser utilizadas as últimas senhas usadas anteriormente.

A troca de senhas é liberada aos usuários através da opção “Esqueci minha senha”. Deverá ser estabelecido bloqueio automático e por tempo determinado de senha de acesso após um número determinado de tentativas seguidas de login frustradas.

Caso o(a) usuário(a) tenha ciência ou mesmo desconfiança que sua senha foi comprometida, deverá trocá-la imediatamente ou, se for o caso, acionar o responsável de TI para tal procedimento.

Semelhantemente, havendo esquecimento ou bloqueio da senha, o(a) usuário(a) deve acionar o responsável de TI para a geração de nova senha. Não é permitido ao(à) usuário(a) deixar senhas anotadas em locais de fácil acesso e/ou visualização.

X — Uso de internet corporativa

A internet corporativa da GLLAD® deve ser utilizada de modo ético e profissional para fins corporativos, enriquecimento intelectual ou como ferramenta de busca de informações, tudo que possa contribuir para o desenvolvimento de atividades relacionadas à GLLAD®.

Por liberalidade exclusiva da GLLAD®, pode ser permitido o uso da internet corporativa para assuntos pessoais, porém este deve ser restrito, sem comprometer as atividades do(a) usuário(a) nem o tráfego da rede, sendo o acesso a páginas da internet de responsabilidade de cada usuário(a), ficando vedado o acesso a sites com conteúdos impróprios como pornografia, preconceito, jogos, apostas, etc.

Caso seja necessária a geração de um link para envio de informação a pessoas externas à GLLAD®, o(a) usuário(a) poderá utilizar a ferramenta Google Drive.

É proibido o uso de softwares de compartilhamento de arquivos P2P, incluindo os que funcionam com arquivos .torrent.

Os acessos à internet são monitorados, gravados e auditados, podendo o(a) usuário(a) prestar contas de seu uso.

Não serão aceitos atos de hostilidade ou pirataria eletrônica que venham ou não a alterar, destruir ou violar informações e recursos da Internet/Intranet.

Sem prejuízo das outras vedações previstas na presente Política, é considerado uso indevido da internet corporativa o acesso a:

● Sites que contenham material pornográfico e assemelhados;
● Sites de jogos, de azar ou não;
● Sites de busca e download de músicas, vídeos e softwares;
● Sites de relacionamento virtual;
● Sites de conteúdo ilegal ou não ético;
● Sites com conteúdo que sejam ofensivos ou causem molestamento, ou tormento;
● Sites com conteúdo racista, xenófobo ou preconceituoso; e
● Sites de entretenimento e os que contenham outras atividades que possam afetar negativamente a GLLAD® ou seus clientes, empregados, colaboradores, fornecedores e parceiros.

A GLLAD® se reserva o direito de preservar as informações que trafegam em sua rede corporativa, a fim de manter a integridade dessas informações, identificar situações de falha, tentativas de invasão, auditar o uso e adotar padrões, mantendo o sigilo e evitando violações de privacidade.

Informações sigilosas, corporativas ou que possam causar prejuízo a clientes, empregados, fornecedores, parceiros ou a GLLAD® não serão disponibilizadas ou enviadas via internet sem a utilização de medidas de segurança adequadas e validadas.

XI — Uso de e-mail corporativo

O e-mail ou correio eletrônico corporativo é uma ferramenta para comunicação interna e externa em nome do(a) usuário(a) e com um vínculo intrínseco a GLLAD®, de modo que toda informação contida em mensagens de e-mail corporativo deve ser tratada como referente ao negócio da GLLAD®, não devendo ser considerada pessoal, particular ou confidencial entre o(a) usuário(a) e a GLLAD®.

As caixas postais dos usuários disponibilizadas pelos sistemas de gestão e/ou armazenados no servidor são de propriedade da GLLAD® e não devem ser utilizadas para finalidades alheias às de interesse da GLLAD®.

É proibido o uso do e-mail corporativo para envio de mensagens que comprometam a imagem da empresa perante seus clientes, usuários(as) e a comunidade em geral que possam causar prejuízo moral e financeiro a GLLAD®, incluindo mensagens que possam ser interpretadas como caluniosas, difamatórias, degradantes, infames, ofensivas, violentas, ameaçadoras, pornográficas, preconceituosas ou com fins político e que contenham material protegido por direitos autorais sem a permissão do detentor dos direitos.

É solicitado ao(à) usuário(a) que restrinja ao máximo o uso do e-mail da GLLAD® para assuntos pessoais, sendo permitido desde que feito com bom senso, não prejudicando a GLLAD® e também não causando impacto no tráfego da rede corporativa e capacidade de armazenamento do e-mail corporativo.

Dado que o e-mail pode ser um canal de ataque por meio de engenharia social, é demandado ao(à) usuário que:

Em caso de envio de arquivos para fora do ambiente tecnológico da GLLAD®, a mensagem poderá ser retida para liberação pelo responsável de TI pelo prazo considerado conveniente pela GLLAD®, podendo ser convocado(a) o(a) usuário(a) e/ou o(a) coordenador do departamento (ou da área) em que esse atua, para entendimento e decisão;

Nenhum anexo a mensagem de correio eletrônico recebida deverá ser aberto caso a origem dessa mensagem seja desconhecida, o mesmo ocorrendo com os links apresentados nas mensagens, a fim de preservar a integridade da rede de computadores.

A utilização do e-mail/webmail da empresa fora do horário de trabalho para posições que possuam controle/reporte de jornada deve ser aprovada pelo(a) diretor(a) da área.

A GLLAD® respeitará a privacidade e os direitos dos empregados na utilização do correio eletrônico, porém se reserva o direito de preservar o uso adequado do sistema a fim de resguardar a integridade das informações e manter o seu gerenciamento, podendo exercer fiscalização com fins de auditoria, inclusive para efeito de apuração de eventual uso indevido.

Configuram uso indevido do correio eletrônico:

a tentativa de acesso não autorizado às caixas postais de terceiros;
o envio de informações sensíveis, confidenciais ou exclusivas, inclusive senhas, para pessoas ou organizações não autorizadas;
o envio de mensagens que comprometam a imagem da GLLAD® perante seus clientes, empregados, colaboradores, fornecedores e parceiros e a comunidade em geral;
o envio ou armazenamento de material obsceno, pornográfico e de pedofilia, ilegal ou não ético;
o envio ou armazenamento de material ofensivo ou que cause molestamento ou tormento;
o Envio ou armazenamento de material, comercial, pessoal, de propaganda, mensagens do tipo corrente e de entretenimento;
Outras atividades que possam afetar negativamente a GLLAD® ou seus clientes, empregados, colaboradores, fornecedores e parceiros.

Após o eventual fim do vínculo do(a) usuário(a), a conta de e-mail corporativo do(a) usuário(a) poderá permanecer ativa pelo período de 1 (um) mês (que, em caso de necessidade, poderá ser estendido, por decisão da GLLAD® para recebimento e encaminhamento de mensagens na organização, não sendo enviadas mensagens salvo resposta automática de desligamento do(a) usuário(a).

As mensagens enviadas e recebidas pelo e-mail corporativo, mesmo de usuários(as) desligados(as), poderão ser mantidas pela GLLAD® por tempo indeterminado em backup e sua recuperação se dará por solicitação do coordenador do departamento (ou da área) em que atuou o usuário.

XII — E-mails pessoais

O uso de sistemas webmail externo nas estações de trabalho (“e-mails pessoais”) é uma liberalidade que a GLLAD® pode conceder aos(às) usuários(as), porém tal concessão, a acontecer, não implica permissão para compartilhamento ou envio de informações, incluindo documentos da organização, sendo estas atividades proibidas.

É dever do(a) usuário(a), ao acessar seus e-mails pessoais em estações de trabalho e/ou celulares / smartphones / tablets que tenham acesso ao ambiente tecnológico da GLLAD®, tomar as mesmas precauções listadas no item sobre e-mails corporativos.

Ao acessar webmails externos na internet corporativa da GLLAD® ou mesmo nas estações de trabalho, o(a) usuário(a) aceita que sejam monitorados os conteúdos das mensagens e realizados eventuais bloqueios, como o de upload e download de arquivos.

XIII — Uso de celulares/smartphones/tablets

O uso de celulares/smartphones/tablets conectados à internet corporativa da GLLAD® torna tais equipamentos sujeitos às mesmas regras de bloqueio, monitoramento, registro e auditoria de acesso aplicadas às estações de trabalho.

Caso haja o cadastramento do e-mail corporativo da GLLAD® no celular/smartphone do(a) usuário(a), este(a) já autoriza, em caso de perda de vínculo, o responsável de TI a remover a conta corporativa do seu equipamento e a apagar todos os e-mails corporativos. Os dados de conexão utilizados pelo(a) usuário(a) para comunicação no ambiente tecnológico são de exclusiva responsabilidade do(a) usuário(a), caso não seja utilizada a internet corporativa da GLLAD®.

A utilização do e-mail/webmail da empresa, mesmo no celular/smartphone do usuário fora do horário de trabalho para posições que possuam controle/reporte de jornada, deve ser aprovado pelo(a) coordenador do departamento em que atuar.

XIV — Uso de mídias removíveis

As mídias removíveis, tais como pendrives, cartões de memória, HD externos, CDs e DVDs, são um dos principais pontos de vulnerabilidade de segurança, pois tal vulnerabilidade não pode ser contida com firewalls, de modo que seu uso é proibido nas estações de trabalho e demais equipamentos de trabalho, exceto nas seguintes áreas: TI (Tecnologia da Informação) e SUP (Suporte). Caso seja estritamente necessário obter ou gravar informações em alguma destas mídias, os(as) demais usuários(as) devem se dirigir ao responsável de TI para a realização do procedimento, podendo ser requerida autorização do coordenador do departamento (ou da área) para tal.

XV — Impressões

Visando não apenas a confidencialidade, mas também evitar o desperdício, o(a) usuário(a) deve imprimir somente o que for realmente necessário e no número de cópias suficientes para a realização da atividade, sendo o(a) usuário(a) responsável por evitar que suas impressões fiquem disponíveis a terceiros após a impressão, seja na impressora ou em outros locais. No caso de uso de impressora coletiva, é dever do(a) usuário(a) recolher imediatamente o documento impresso.

O uso das impressoras na GLLAD® é monitorado, registrado e auditado.

XVI — Redes sociais, aplicativos de mensagens e outros meios de manifestação pessoal

O acesso às redes sociais, tais como Facebook e Instagram, e a aplicativos de mensagens, tais como WhatsApp, Messenger e Telegram, nas estações de trabalho não é permitido. O acesso às redes sociais e aplicativos de mensagens pode, a exclusivo critério da GLLAD®, ser liberado, com limitações.

O uso de redes sociais e aplicativos de mensagens nas instalações da GLLAD® é admitido, desde que de modo responsável, que não interfira na execução das atividades do(a) usuário(a) e não seja através das estações de trabalho (a menos que liberado pela GLLAD®, conforme acima exposto).

O uso das redes sociais e aplicativos de mensagens, dentro e fora do expediente, não deve contemplar a divulgação, até mesmo em comentários e manifestação de opiniões, de informações da GLLAD® e deve ser tal que não provoque constrangimentos ou mesmo danos (físicos, morais e financeiros) à organização, podendo o(a) usuário(a) responder por situações resultantes de suas ações.

O(a) usuário(a) deverá ter em outros meios de manifestação pessoal como fóruns, seção de comentários de sites, listas de discussão, comunidades de relacionamento, chat e demais tecnologias, existentes ou a existir, desta natureza, os mesmos cuidados referidos acima.

XVII — Cotas de armazenamento

Para cada sistema ou armazenamento físico, ou lógico utilizado nas atividades da GLLAD® existe uma cota geral de espaço, sendo que poderá ser alocada determinada cota de armazenamento por usuário(a).

Havendo proximidade ao atingimento da cota, o(a) usuário(a) poderá solicitar ao Setor de TI a liberação de mais espaço.

Havendo expressa necessidade de se aumentar a cota geral, é necessária aprovação do(a) diretor(a) da área, sendo válido o meio eletrônico, dado que o aumento da cota dos(as) usuários(as) podem incorrer em custos adicionais à GLLAD®.

XVIII — Acesso remoto

Pode, a exclusivo critério da GLLAD®, ser permitido aos(às) usuários(as) administradores e operadores dos sistemas computacionais o acesso aos arquivos e dados de outros(as) usuários(as), porém apenas quando for necessário avaliar em loco algum erro, bug, acesso a banco de dados, além de testes no computador do próprio cliente ou parceiro.

Na hipótese da realização de trabalho remoto por qualquer usuário(a), deverão ser observadas as seguintes condições:

No uso de estação de trabalho da GLLAD®, devem ser observadas as mesmas regras desta e de outras políticas no tocante à segurança da informação e do equipamento, em especial o cuidado para utilizar somente conexões de internet conhecidas e seguras;

No caso do(a) usuário(a) utilizar equipamento próprio para acessar o ambiente tecnológico da GLLAD®, deve ser assegurado que os níveis de segurança do equipamento e de acesso à internet corporativa são, no mínimo, equivalentes aos da GLLAD® e seguir as mesmas regras desta e de outras políticas no tocante à segurança da informação, em especial o cuidado para utilizar somente conexões de internet conhecidas e seguras. O uso de equipamento próprio não exime o(a) usuário(a) das consequências por falhas voluntárias ou involuntárias no tocante à segurança da informação da GLLAD® e nem elimina o direito da organização em monitorar, registrar e auditar os acessos e atividades no seu ambiente tecnológico.

XIX — Armazenamentos em nuvem

A GLLAD® utilizará, como regra, serviços em nuvem para armazenamento dos dados, informações e documentos, com backups diários conforme previsões especificas.

É disponibilizada pela GLLAD® uma cota de armazenamento geral junto ao sistema de armazenamento Google Drive para viabilizar a operação de seus colaboradores.

XX — Servidores/Data Centers

Os servidores/data centers devem ficar seguros em salas fechadas e, idealmente, com condições de combater ou mitigar ameaças como fogo, vazamento de água, poeira, fumaça, vibrações, desastres naturais e manifestações. O local escolhido para a permanência dos equipamentos deve estar em boas condições de uso, com boas instalações elétricas, saídas de emergência, alarme contra incêndio, extintores de incêndio e/ou sprinklers.

O acesso físico aos servidores/data centers da GLLAD® é permitido somente ao responsável de TI e pessoas autorizadas por ele, devendo ser o responsável de TI o único detentor das chaves (física e/ou lógica). Na hipótese de acesso de outras pessoas que não o responsável de TI, este deverá ter um representante para acompanhar as atividades no local, exceto em casos de acessos emergenciais como incêndio, inundação ou abalo estrutural do local onde se encontram os servidores/data centers.

O acesso remoto aos servidores/data centers da GLLAD® é permitido somente ao responsável de TI e usuários(as) autorizados(as) por ele, devendo todo e qualquer acesso ser monitorado, registrado e auditado. É dever do responsável de TI, diretamente ou por meio de prestadores de serviços, auditar semanalmente os acessos aos servidores/data centers.

XXI — Backup

É efetuado um backup diário em nuvem via AWS da GLLAD®. A execução desse backup realiza-se preferencialmente fora do horário comercial, em horário noturno, nas chamadas “janelas de backup” – períodos sem nenhum ou pouco acesso de usuários, ou processos automatizados aos sistemas de informática.

Deve ser realizada, pelo responsável de TI ou prestadores de serviço, a auditoria diária da execução dos backups. O responsável de TI, como gestor dos sistemas de informação, deve garantir a execução mínima de backups conforme acima e, em caso de atrasos, falhas ou erros, providenciar direta ou indiretamente a correção o mais imediatamente possível.

É facultada ao responsável de TI a confecção de política de backup própria, descrevendo procedimentos, caso sejam tão ou mais rígidos que os constantes desta Política.

XXII — Antivírus, firewall e outros softwares contra ataques e malware

Os softwares e aplicações que a GLLAD® utiliza para segurança da informação têm sua seleção, instalação e configuração em cada estação de trabalho realizadas pelo responsável de TI, não havendo necessidade ou permissão para o(a) usuário(a) instalar novas ferramentas, remover as instaladas ou mesmo alterar suas configurações.

São realizadas varreduras periódicas nos servidores e estações de trabalho, porém caso o(a) usuário(a) note algum comportamento diferente ou desconfiar de alguma situação envolvendo estes equipamentos, deve acionar imediatamente o responsável de TI para avaliação e eventuais providências.

É responsabilidade do usuário a verificação da atualização de programas antivírus no computador que utiliza, reportando ao responsável de TI a ocorrência de irregularidade na atualização.

Em caso de parceiros e clientes finais, será de responsabilidade deles a instalação de softwares de segurança ou firewall para fins de adequação ao cumprimento das regras de segurança da informação.

Plano de Recuperação de Desastres e Plano de Continuidade do Negócio

Um Plano de Recuperação de Desastres e um Plano de Continuidade do Negócio assegurando a continuidade dos serviços críticos ao negócio, e visando, dentre outros, reduzir riscos de perda de confiabilidade, integridade e disponibilidade dos ativos de informação.

XXIII — Realização de testes de intrusão

Testes de intrusão são ações realizadas para avaliar a vulnerabilidade quanto a ataques que exploram falhas de segurança da informação. Deste modo, poderão ser realizados testes de intrusão, externos e internos, visando avaliar de modo recorrente e atualizado a vulnerabilidade da GLLAD® e riscos que podem resultar em perda de confidencialidade, integridade ou disponibilidade das informações.

Os resultados deverão ser analisados pelo responsável de TI e tomadas as providências para eventuais correções.

XXIV — Prestadores de serviços

Os prestadores de serviços da GLLAD® deverão ter o mesmo grau de segurança da informação que a GLLAD®, além de celebrarem um Termo de Confidencialidade caso não possua cláusula de confidencialidade específica no contrato de prestação de serviços.

Atribuição de funções e responsabilidades a outro(s) departamento(s) ou a entidades terceira(s)

A Administração da GLLAD® poderá conferir a outro(s) departamento(s) ou a entidades terceiras funções e responsabilidades atribuídas ao responsável de TI na presente Política.

GLLAD COMPANY LTDA®
Endereço: Rua Calixto Machado nº 21, Sala Z-39
Bairro Pires Facanha
CEP: 61.775-060
Eusebio/CE
sac@gllad.com.br
(85) 99714-8303

Política Geral de Proteção de Dados Pessoais.
Última Atualização em 16 de junho de 2026.