1. OBJETIVO

Esta política descreve as práticas adotadas em relação aos dados pessoais coletados por meio dos sistemas da Norte Energia S.A., ou mantidos por empresas contratadas, ou por elas diretamente transferidos, para operação e gerenciamento de ações e serviços.

E tem por objetivo garantir que dados pessoais e sensíveis de qualquer pessoa que tenha qualquer relacionamento, comercial ou não, com a Norte Energia S.A., sejam protegidos e que os direitos estabelecidos sejam respeitados, em linha com as legislações de proteção de dados vigentes.

2. ABRANGÊNCIA

Esta política se aplica quando dados pessoais e sensíveis são sujeitos a tratamentos para execução dos processos de negócio da Norte Energia S.A., incluindo: coleta, gravação, organização, estruturação, armazenamento, adaptação, alteração, recuperação, consulta, transmissão, divulgação ou disponibilização, alinhamento ou combinação, restrição, apagamento ou destruição.

3. RESPONSABILIDADES

3.1. DIRETORIA

  • Incentivar o estabelecimento da cultura da conformidade em privacidade de dados na Norte Energia;
  • Acompanhar de maneira tempestiva a evolução do programa de privacidade dentro da Norte Energia;
  • Discutir grandes problemas identificados relacionados ao tema de privacidade de dados na Norte Energia;
  • Garantir a relevância dos processos corporativos do programa de privacidade na Norte Energia.

3.2. SUPERINTENDÊNCIA DE RISCOS, CONTROLES INTERNOS E COMPLIANCE

  • Discutir e definir a estratégia e a supervisão geral do programa de privacidade, defensor da privacidade dos executivos e o principal ponto de contato da Alta Direção / Acionistas;
  • Gerenciar orçamentos relacionados a privacidade, iniciativas e investimentos;
  • Garantir o apoio à Comissão de Privacidade para a formalização / execução das iniciativas relacionadas a privacidade;
  • Garantir que a questão da Privacidade esteja em pauta da Alta Direção / Acionistas e seja relevante em Relatórios e Metas;
  • Ser o responsável pela validação dos Relatórios de Impactos à Privacidade de Dados (RIPDs) que forem elaborados;
  • Ser o ponto focal de contato com os titulares, órgãos reguladores e Agência Nacional de Proteção de Dados – ANPD;
  • Realizar reportes periódicos para a alta direção / acionistas;
  • Supervisionar / executar a implementação do Roadmap e Estratégias de Privacidade;
  • Atualizar o entendimento da Norte Energia sobre Privacidade por meio da elaboração e validação de políticas, documentos, regimentos internos, e-books, workshops e e-learning;
  • Criar uma matriz de riscos de privacidade e medidas de mitigação;
  • Formalizar o processo de Resposta a Incidentes dentro da Norte Energia, incluindo a definição em matriz RACI;
  • Estabelecer o procedimento para atender às solicitações de direitos dos Titulares (SARs);
  • Supervisionar as ações / plano de trabalho dos líderes de privacidade e Agente de Privacidade;
  • Apoiar pessoas, processos corporativos e tecnologia relacionados à Comissão de privacidade;
  • Gerir a Avaliação do Impacto na Privacidade ou um novo processo no nível corporativo;
  • Gerir o inventário de dados pessoais e atualizá-lo quando necessário;
  • Ser acionado à medida que novos fluxos de trabalho internos do Programa de Privacidade são adicionados, como avaliações de impacto de privacidade e supervisão de terceiros, a fim de garantir uma carga de trabalho razoável;
  • Coordenar as atividades pertinentes ao mapeamento de novos processos de tratamento de dados pessoais;
  • Gerir as ações pertinentes aos GAPs de privacidade identificados nos mapeamentos de processos.

3.3. SUPERINTENDENCIA JURÍDICA

  • Providenciar orientações legais e estratégicas para os processos de negócio e para a Comissão de Privacidade;
  • Identificar e comunicar os requisitos existentes, de novas leis e regulamentos aplicáveis para a Norte Energia e possíveis adequações com base nas mudanças legislativas de forma contínua;
  • Coordenar junto com a Comissão de Privacidade a revisão e implementação de conformidades com a privacidade, incluindo políticas, procedimentos, ferramentas dentre outros;
  • Suportar a elaboração de Relatórios de Impacto para tratamentos de dados pessoais configurados como alto risco, principalmente os enquadrados como Legítimo Interesse;
  • Indicar e validar bases legais para o tratamento de dados pessoais;
  • Enquadrar novos projetos com base na Lei;
  • Definir salvaguardas jurídicas para o tratamento de dados pessoais;
  • Elaborar, analisar e revisar contratos.

3.4. GERÊNCIA DE RECURSOS TECNOLÓGICOS

  • Definir a Política de Segurança da Informação e padrões que suportem o Programa de Privacidade e o mapeamento de novos riscos relacionados a privacidade;
  • Coordenar junto com a Comissão de Privacidade os controles e processos utilizados para garantir o gerenciamento, armazenamento, transferência e a disposição dos dados pessoais de forma segura;
  • Estabelecer o alinhamento com os modos operantes da Norte Energia referente às políticas e padrões de segurança da informação no que tange a privacidade de dados;
  • Desenhar o plano de melhorias para controles já existentes;
  • Implementar ações de anonimização de dados;
  • Gerir o processo de gestão de cookies;
  • Avaliar empresas de TI terceiras sobre as questões de privacidade e proteção de dados;
  • Elaborar e realizar manutenção de TAGs de proteção e privacidade de dados;
  • Criar e realizar manutenção de rotulagem de dados (Data Classification);
  • Tratar incidentes sobre violação de dados pessoais;
  • Auxiliar na gestão de crises durante violação de dados pessoais.

4.  METODOLOGIA

4.1. TERMOS E DEFINIÇÕES

Base legal: São as 10 hipóteses da LGPD que autorizam o tratamento de dados pessoais;

Colaboradores: Todos os diretores, conselheiros e pessoas da equipe que tenham contrato de trabalho e que estejam incluídos na folha de pagamentos de qualquer sociedade que mantenha

relações jurídicas com a Norte Energia S.A. Isso inclui aqueles que trabalham em regime de tempo integral, em regime de tempo parcial, trabalhadores temporários e estagiários;
Consentimento: Manifestação livre fornecida pelo titular de dados, para autorizar o tratamento dos dados pessoais para uma finalidade específica definida;

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

Criptografia: É um processo que busca eliminar as chances de terceiros obterem acesso a dados não autorizados. Quando os dados são criptografados, é aplicado um algoritmo para codificá-los de modo que eles não tenham mais o formato original e, portanto, não possam ser lidos. Os dados só podem ser decodificados ao formato original com o uso de uma chave de decriptografia específica;

Dado Pessoal Sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião pública, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a uma pessoa natural;

Dado Pessoal: Qualquer informação que identifique ou possa identificar uma pessoa, tais como nomes, números de telefone, códigos de identificação, números de documento, endereços, e-mail etc.;

Encarregado (DPO): Pessoa natural ou jurídica indicada pela Norte Energia S.A. para monitorar a conformidade da proteção de dados e atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Privacidade por Desenho: Qualquer ação empreendida que envolva o tratamento de dados pessoais, deve ser realizada com a proteção e a privacidade dos dados em mente a cada passo. O início do desenvolvimento de processos, sistemas e produtos deve buscar mitigar preocupações acerca da privacidade e obtenção de dados, garantindo a conformidade e sua proteção, tendo como resultado desejado a incorporação da privacidade ao desenho de novos produtos, serviços ou processos;

Programa de Privacidade: conjunto de políticas, normas e práticas que fazem parte de todo o arcabouço legal e técnico em relação ao tratamento de dados pessoais;

Titular de Dados: Pessoa natural a quem se referem os dados pessoais que são objeto do tratamento;

Tratamento: Toda a operação realizada em relação ao dado pessoal. Por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, comunicação, transferência, difusão ou extração;
Violação de dados: Qualquer incidente de segurança envolvendo a integridade de dados, em ambiente interno ou externo, independentemente da natureza ou causa, que de alguma provoque a destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou tratados de outro modo por sociedade que mantenha relações jurídicas com a Norte Energia S.A. ou por qualquer terceiro contratado em nome da Norte Energia S.A.

4.2. CONTEXTO E CONCEITUAÇÃO

A Norte Energia S.A., pessoa jurídica de direito privado, concessionária de uso de bem público para geração de energia elétrica, com sede no SEPS EQ 702/902, Conjunto B, Bloco B, 3º Andar, Edifício General Alencastro, Brasília, DF, CEP 70.390-025, inscrita no CNPJ sob o nº 12.300.288/0001-07 (“Norte Energia”) reconhece a importância da privacidade e da segurança dos dados pessoais dos empregados, fornecedores, prestadores de serviço, comunidades, povos indígenas e demais parceiros, obtidos em decorrência do relacionamento empresarial e socioeconômico. Por isso, apresenta os procedimentos adotados na utilização dos dados pessoais do público de interesse, interno e externo, incluindo usuários e visitantes dos sites sob domínio da Norte Energia S.A.

Em um contexto geral, a Lei Geral de Proteção de Dados (“LGPD”) visa garantir a proteção e a privacidade dos dados pessoais e sensíveis, bem como preservar os titulares dos dados que residem no Brasil, além de criar diretrizes para a coleta, armazenamento e compartilhamento dessas informações.

De acordo com a Legislação, o tratamento de dados pessoais e sensíveis só poderá ser realizado nas seguintes hipóteses:
I.    Mediante consentimento expresso e inequívoco do titular das informações;
II.    Para o cumprimento de obrigação legal ou regulatória pelo controlador;
III.   Pela administração pública, para o tratamento de dados necessários à execução de políticas públicas;
IV.   Para a realização de estudos por órgão de pesquisa;
V.    Para a execução de contratos ou itens a ele relacionados;
VI.   Exercício de direitos em processos;
VII.  Proteção à vida e integridade física;
VIII. Para tutela da saúde;
IX.   Para atender interesses legítimos do controlador;
X.    Para proteção ao crédito.

Vale ressaltar que a LGPD engloba todas as informações relacionadas aos dados pessoais e sensíveis que são tratados no Brasil, além de todos os dados em trânsito pelo País. Desta forma, só será possível a transferência de dados pessoais para outros países quando estes possuírem leis nacionais ou regionais equivalentes às regras para proteção de dados definidas para o Brasil.

A LGPD, dentre outros requisitos, garante aos titulares de dados uma série de novos direitos relacionados ao controle e à proteção de suas informações pessoais, sendo detalhados no item 4.7 Direitos do Titular.

A LGPD cria também a Autoridade Nacional de Proteção de Dados Pessoais (ANPD), órgão governamental voltado à regulamentação e fiscalização da aplicação da lei.

A Norte Energia S.A. entende como um de seus valores fundamentais a proteção do exercício regular de direitos, por parte do titular de dados pessoais, e a prestação de serviços que o beneficiem, respeitadas as suas legítimas expectativas e os direitos e liberdades fundamentais, nos termos da legislação vigente.

Informamos que os dados pessoais coletados somente poderão ser tratados para o objetivo específico informado e apenas pelo período necessário ao alcance da finalidade que tenha justificado sua coleta e/ou tratamento, sendo mantidos para o cumprimento de obrigação legal ou outras hipóteses previstas em lei.

A Norte Energia S.A. esclarece que adota padrões técnicos e procedimentos organizacionais e de governança específicos para proteger a integridade, a confidencialidade e a disponibilidade dos dados pessoais, sempre buscando prevenir incidentes durante a utilização, bem como acessos indevidos.

4.3. DIRETRIZES

4.3.1. Tratamento de dados pessoais e sensíveis

A Norte Energia S.A. busca garantir que os dados em seu poder sejam:

a) Tratados e processados legalmente, de forma justa e transparente;
b) Coletados para fins específicos, explícitos e legítimos e não sejam processados posteriormente de maneira incompatível com esses propósitos;
c) Adequados, relevantes e limitados ao necessário, de acordo com os objetivos para os quais eles são tratados, dentro do conceito de minimização da coleta;
d) Precisos e, quando aplicável, atualizados;
e) Mantidos de forma a permitir a identificação dos titulares de dados por um período de tempo definido para tratamento, sendo excluído ou tornado anônimo quando o período for finalizado;
f) Mantidos em segurança e protegidos contra o acesso e / ou tratamento não autorizados ou ilegais, e contra a perda, destruição ou danos acidentais, utilizando técnicas adequadas e medidas para garantir a sua integridade e confidencialidade.

4.3.2. Segurança de Dados Pessoais e Sensíveis

Seguindo os conceitos desta Política e da Privacidade por Desenho, a Norte Energia S.A. adota medidas técnicas e organizacionais que suportam a segurança e a confidencialidade dos Dados Pessoais e Dados Pessoais Sensíveis tratados.
São adotados medidas e protocolos de segurança para evitar a perda, dano ou manipulação indevida de
Dados Pessoais, quer sejam realizadas de maneira deliberada ou acidentalmente.
Os dados serão acessados somente por profissionais devidamente autorizados, respeitando os princípios de proporcionalidade, necessidade, finalidade, segurança e adequação para os objetivos, além do compromisso de confidencialidade e preservação da privacidade nos termos desta política.

A segurança dos Dados Pessoais está incorporada por padrão em sistemas, contratos e serviços fornecidos pela Norte Energia S.A., ao longo das operações de coleta, tratamento e armazenamento de dados pessoais e sensíveis.

A Norte Energia S.A. está atenta à legislação pertinente e busca adotar as melhores práticas para suportar a segurança das informações pessoais que utiliza e, assim, assegurar a privacidade do público, inclusive junto aos seus parceiros, stakeholders e demais partes interessadas.

4.3.3. Violação e Vazamento de Dados Pessoais

A Norte Energia S.A. possui procedimentos de gestão e resposta a incidentes de violação e vazamento de Dados Pessoais que contemplam:
a)    A notificação à Autoridade Nacional de Proteção de Dados (ANPD) de qualquer violação de dados pessoais entre 24 e 72 horas depois da ciência do incidente pelo Encarregado;
b)    A notificação à Norte Energia S.A. de qualquer violação ou vazamento de dados pessoais em até 24 horas após a ciência do incidente a partir de parceiros e fornecedores (Operadores);
c)    A informação, quando necessário, ao titular de dados quando a violação de dados pessoais provavelmente resultar em um elevado risco para os direitos e liberdades dos titulares de dados.

4.4. QUAIS DADOS SÃO OBTIDOS DO TITULAR

Devido ao fato de a Norte Energia S.A. ser responsável pela construção e gestão do complexo hidrelétrico Belo Monte, que abrange as Usinas Hidrelétricas Belo Monte e Pimental, são coletados os dados pessoais do Titular de Dados quando fornecido por este nos canais de atendimento, sendo nome completo, documentos pessoais, telefone, endereço eletrônico (e-mail), gênero, data de nascimento, cidade, estado, entre outros. Ressalta-se que independentemente de quais dados o Titular de Dados forneça, a Norte Energia S.A. realiza o tratamento dos dados relevantes e necessários para o atingimento das finalidades, ao Titular de Dados, declaradas. Também se realiza a coleta dos dados dos titulares afetados durante a realização do Plano Básico Ambiental, Proteção a Aldeias Indígenas, Colaboradores e Terceiros prestadores de serviço quando em atividades na UHEBM e para garantia do PAE (Plano de Segurança de Barragens).

Cabe ao titular de dados o dever de prestar informações corretas e atualizadas. A Norte Energia S.A. não é responsável pela precisão ou veracidade das informações prestadas pelo titular de dados durante a coleta.

4.5 PARA QUAIS FINALIDADES SÃO UTILIZADOS OS DADOS PESSOAIS DO TITULAR DE DADOS

A Norte Energia S.A. realiza o tratamento dos Dados Pessoais para a prestação dos seus serviços, bem como para contratação de serviços e fornecimentos de terceiros e ainda para o processamento das rotinas trabalhistas, previdenciárias e fiscais de seus empregados e o faz para atender obrigações legais e regulatórias vigentes, cumprimento dos contratos celebrados entre as partes e ao legítimo interesse da Companhia ou outro objetivo previsto em lei. Os dados pessoais tratados em sua maioria apresentam a finalidade de cumprimento de obrigação legal ou regulatória e o estabelecimento de vínculo contratual com o Titular de Dados, o que inclui a gestão, administração, prestação, ampliação e melhoria dos serviços prestados pela Norte Energia S.A.

A Norte Energia S.A. também poderá tratar dados pessoais com base em seu legitimo interesse ou mediante o consentimento do Titular de Dados para finalidades específicas.

4.6. COOKIES

Cookies são pedaços de informações armazenadas diretamente nos dispositivos no momento em que ocorre o acesso aos websites, blogs ou aplicativos. Quando é realizado o acesso a algum dos sites ou aplicativos, é solicitado que o Titular de Dados aceite quais informações serão utilizadas.
Os cookies ajudam a Norte Energia S.A. a entender melhor o comportamento e preferências dos usuários dos seus websites ou aplicativo para disponibilizar uma melhor experiência durante a utilização.
Assim a Norte Energia S.A. utiliza em seus sites duas categorias de cookies, sendo elas:

Cookies Essenciais: os cookies essenciais são para o funcionamento do site, não sendo possível desativá-los. São divididos em cookies de autenticação, que auxiliam os sistemas a conhecer quem é o usuário, e cookies técnicos, necessários para que as funcionalidades do site estejam disponíveis. Alguns cookies são essenciais para acessar áreas específicas do site. Permitem a navegação no site e a utilização das suas aplicações. Sem estes cookies, os serviços que o exijam não podem ser prestados.
Cookies Analíticos: os cookies analíticos são utilizados para entender melhor o comportamento dos usuários durante a usabilidade e analisar os dados sobre as ações tomadas no site, com o objetivo de verificar a performance dos sistemas, não realizando coleta de dados pessoais.
Cabe ressaltar que a Norte Energia S.A. utiliza cookies de terceiros para também avaliar a navegabilidade nos websites, não realizando coleta de dados para oferta de produtos e serviços.

4.7. ARMAZENAMENTO DOS DADOS E REGISTROS

Os dados serão armazenados em bases de dados, quando em formato lógico e em local específico quando físico, pelo período necessário para o alcance das finalidades pretendidas, em ambiente seguro e controlado, observados os requisitos de proteção de dados, dispostos na legislação brasileira;

O término do tratamento dos Dados Pessoais do titular, bem quando, da sua eliminação ocorrerá quando:
a) Alcançada a finalidade para a qual o consentimento tenha sido obtido ou quando os dados pessoais coletados deixarem de ser necessários ou pertinentes ao alcance da finalidade específica almejada;
b) Decorrer o fim do período de tratamento legal;
c) O titular de dados realizar solicitação de revogação de consentimento, por meio do privacidade@norteenergiasa.com.br; e
d) Houver uma determinação legal.

No entanto, por motivo de lei, regulamentação ou determinação judicial, os dados do titular poderão ser mantidos por período superior, findo o qual, serão excluídos com uso de métodos de descarte seguro, sendo eles:
a) Deleção direta da base de dados;
b) Anonimização da informação;
c) Mascaramento dos dados; e
d) Destruição em caso de informações físicas.

4.8. DIREITOS DO TITULAR

A Norte Energia S.A. reconhece e respeita os direitos do titular de dados, conforme previstos, especificamente, nos artigos 18 e 19 da LGPD. A Norte Energia S.A. possui os meios necessários para que o titular dos Dados Pessoais, possa exercer seus direitos mencionados a seguir, de maneira gratuita, clara e de fácil acesso, considerando a legislação e os regulamentos aplicáveis e vigentes. Quando a Norte Energia S.A. for o Controlador dos dados, o titular dos dados poderá solicitar:

Direito aos critérios das decisões baseadas nos dados pessoais, realizadas de maneira automatizada: a Norte Energia S.A. possibilita ao titular dos dados solicitar informações do tratamento de dados realizado de modo automatizado com base em dados pessoais e sensíveis;
Direito de acesso: o titular poderá ter acesso aos dados pessoais tratados de forma simples e gratuita, por meio de formato físico ou digital, bem como informações sobre a forma, duração do tratamento e integralidade dos dados pessoais tratados;
Direito de correção: o titular poderá solicitar a retificação, atualização e/ou complementação dos dados pessoais armazenados pela Norte Energia S.A.;
Direito de eliminação: o titular poderá solicitar a exclusão dos dados pessoais, salvo se aplicável outra hipótese legal para a continuidade do tratamento, ou leis que suportem o tratamento;
Direito de portabilidade: o titular poderá solicitar os dados pessoais de forma estruturada de modo a que possam ser transmitidos a outro fornecedor de serviço, mediante requisição expressa.
O titular de dados poderá exercer seus direitos acima citados por meio do canal privacidade@norteenergiasa.com.br ou por meio do site https://www.norteenergiasa.com.br/pt-br/.

4.9. TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS

Os dados coletados e armazenados pela Norte Energia S.A. são mantidos em servidores no Brasil, em formato que favoreça o exercício do direito. Em casos específicos os dados poderão ser tratados por provedor que contenha infraestrutura fora do território geográfico brasileiro, sempre respeitando a legislação brasileira.

Para o melhor fornecimento dos seus serviços, a Norte Energia S.A. pode, em algumas circunstâncias e quando necessário, transmitir os dados pessoais com parceiros e fornecedores com sede em outros países, sempre em conformidade com a legislação aplicável e de acordo com as cláusulas contratuais pertinentes.

4.10. COMPARTILHAMENTO DOS DADOS PESSOAIS COM TERCEIROS

Os dados pessoais poderão ser eventualmente tratados por terceiros legítimos, desde que autorizado pela Norte Energia S.A., e exclusivamente para consecução da finalidade almejada.

A Norte Energia S.A., como responsável pelo tratamento dos dados pessoais, exige contratualmente que nossos fornecedores e parceiros, criteriosamente escolhidos, atuem de forma segura e adotem todas as medidas de segurança técnicas para o cumprimento da legislação aplicável quanto à proteção e privacidade de Dados Pessoais e, adicionalmente, desta Política.

Os dados poderão ser compartilhados com autoridades judiciais, administrativas ou governamentais competentes, sempre que houver requerimento, requisição ou ordem judicial.

4.11. DISPOSIÇÕES GERAIS

O teor desta política poderá ser alterado a qualquer momento, conforme a finalidade ou necessidade, tal qual para adequação e conformidade legal de disposição de lei ou norma que tenha força jurídica equivalente, sem necessidade de comunicação prévia ou posterior pela Norte Energia S.A., cabendo ao titular dos dados verificar sempre que efetuar o acesso aos nossos sites e serviços.

Caso haja alguma dúvida sobre as condições estabelecidas nesta política, favor entrar em contato por meio do canal de atendimento privacidade@norteenergiasa.com.br e pelo site institucional https://www.norteenergiasa.com.br/pt-br/contato.