Política de Privacidade

Art. 3º - Para melhor compreensão da lei e normas a serem aplicadas é necessário conceituar os termos e definições utilizadas na atividade de tratamento de dados pessoais. Para os fins desta política, considera-se:

I.        Agentes de tratamento: são pessoas físicas ou jurídicas, de direito público ou privado, que realizam o tratamento de dados pessoais, podendo ser classificado como controlador ou operador;

II.       Anonimização: meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

III.      Armazenamento: é a ação ou resultado de manter ou conservar em repositório um dado;

IV.      Agência Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) em todo o território nacional;

V.       Aviso de Privacidade: é o documento em que a organização comunica a um titular ou a um grupo de titulares, como seus dados pessoais são tratados, quais são os tipos utilizados, para qual(is) finalidade(s), com quem são compartilhados, quais medidas de segurança são adotadas, por qual período, dentre uma série de outras informações responsáveis por garantir transparência para os donos dos dados pessoais;

VI.     Coleta: é o recolhimento de dados com finalidade específica;

VII.    Controlador: é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VIII.   Consentimento: é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

IX.     Cookies: são pequenos arquivos que são salvos no computador dos usuários de internet a armazenar as preferências e outras informações usadas nas páginas da web que visitam;

X.      Crianças e adolescentes: considera-se criança a pessoa até 12 (doze) anos de idade incompletos, e adolescente aquela de 12 (doze) anos de idade completos até 18 (dezoito) anos de idade incompletos;

XI.     Dado anonimizado: dado relativo a um titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião do tratamento;

XII.    Dado pessoal: informação relacionada à pessoa natural identificada ou identificável;

XIII.   Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, bem como dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural;

XIV.   Due diligence: procedimento prévio de avaliação em privacidade aplicado aos terceiros com os quais se pretende contratar;

XV.    Eliminação: é a exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

XVI.   Encarregado de dados: trata-se da pessoa indicada pelo controlador ou pelo operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Agência Nacional de Proteção de Dados (ANPD);

XVII.  Violação de dados pessoais: qualquer evento adverso confirmado que viole a segurança de dados pessoais. Estes incidentes podem incluir acesso não autorizado, acidental ou ilícito, que resulte na destruição, perda, alteração, vazamento ou qualquer forma de tratamento de dados inadequada ou ilícita;

XVIII. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador — cujas instruções, limitações e finalidades impostas devem ser obedecidas, em conformidade com as disposições da LGPD;

XIX.   Política de Privacidade e Proteção de Dados Pessoais (PPPDP): normas e processos internos que assegurem o cumprimento abrangente da legislação de proteção de dados pessoais, estabelecidos e implementados pelo agente de tratamento;

XX.    Pseudonimização: tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro;

XXI.   Titular de dados pessoais: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

XXII.  Tratamento de dados pessoais: toda operação realizada com dados pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle, modificação, comunicação, transferência, difusão ou extração da informação.

CAPÍTULO III

PRINCÍCPIO DE PRIVACIDADE

Art. 4º - O tratamento de dados pessoais ocorrerá sempre em concordância com a boa-fé e os seguintes princípios:

I.        Finalidade: o tratamento de dados deverá ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II.       Adequação: o tratamento de dados pessoais deve ser compatível com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III.      Necessidade: o tratamento de dados pessoais deve ser limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV.      Livre acesso: é a garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V.       Qualidade dos dados: é também uma garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI.     Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII.    Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII.   Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX.     Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X.      Responsabilização e Prestação de Contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Art. 5º - Os princípios enumerados no art. 4º da política devem ser cumulativamente observados durante todo ciclo de tratamento de dados pessoais operacionalizado pela AGENERSA, norteando a atuação de todos seus servidores, terceirizados, prestadores de serviço e qualquer outra pessoa que possa tratar os dados pessoais no âmbito da AGENERSA.

CAPÍTULO IV

IDENTIFICAÇÃO DO CONTROLADOR

Art. 6º - Regulamentada pelos Decretos nº 38.618/2005 e nº 44.217/2013, a Agência Reguladora de Energia e Saneamento Básico do Estado do Rio de Janeiro (AGENERSA) é responsável pela regulação e fiscalização das concessões dos serviços públicos de distribuição de gás canalizado no estado do Rio de Janeiro, de abastecimento de água, coleta e tratamento de esgotos e pela regulação dos Consórcios Públicos para Gestão de Resíduos Sólidos.

I         - Denominação: Agência Reguladora de Energia e Saneamento Básico do Estado do Rio de Janeiro (AGENERSA);

II        – CPNJ: 07.694.194/0001-11;

III       - Site Institucional: https://www.rj.gov.br/agenersa/;

IV      - Endereço: Av. Pres. Wilson, nº 231, 10 ° e 11º andares - Centro - Rio de Janeiro - RJ - CEP 20030-905;

V - Telefone: (21) 2332-6469 / (21) 2332-6470

CAPÍTULO V

DO TRATAMENTO DE DADOS PESSOAIS

SEÇÃO I

DAS BASES LEGAIS

Art. 7º - O tratamento de dados pessoais deve ser realizado em observância às hipóteses legais previstas na LGPD e condicionada à persecução do interesse público, consoante dispõe o art. 23 da LGPD e o art. 7º do Decreto Estadual nº 48.891/2024.

Art. 8º - É de suma importância que os titulares, por meio de canal acessível e facilitado, exerçam seus direitos (art. 18 da LGPD) e obtenham as informações relativas aos seus dados pessoais tratados no âmbito da AGENERSA ou em razão de suas atividades, bem como as finalidades específicas, operações realizadas e duração do tratamento, salvo em casos em que haja disposição legal em sentido oposto.

Parágrafo único. Nos casos em que haja tratamento de dados pessoais para fins exclusivos de Segurança Pública, segurança do estado ou em atividades de investigação e repressão de infrações penais, as regras presentes neste caput não se aplicarão, conforme o art. 4º, III da LGPD.

Art. 9º - A AGENERSA, em relação aos tratamentos de dados pessoais realizados e os supervenientes, deverá adotar as diretrizes abaixo:

§ 1º Os tratamentos serão sempre enquadrados em uma das hipóteses legais de dados pessoais e dados pessoais sensíveis, enumeradas, respectivamente, no art. 7º e art. 11 da LGPD, considerando em qualquer hipótese a persecução do interesse público previsto no art. 23 da LGPD.

§ 2º A AGENERSA deverá avaliar de forma prévia ao tratamento de dados pessoais que pretenda iniciar qual hipótese a autorizativa aplicável para ele. Caso haja possível risco ou dúvida quanto à legitimidade do tratamento, o encarregado poderá realizar, de maneira prévia, a Análise de Impacto à Privacidade (PIA). No caso de processos já em andamento, deverá proceder com a identificação, registro e respectivo enquadramento.

§ 3º Deverá ser especificada a necessidade e a finalidade específica do tratamento de dados pessoais, garantindo a aderência aos princípios da adequação e da transparência.

§ 4º A finalidade específica deve ser indicada e pautada em fundamentações claras e legítimas, a partir de situações concretas, e somente serão tratados os dados estritamente necessários para essa finalidade.

§ 5º A AGENERSA deverá assegurar que os tratamentos de dados pessoais estejam em conformidade com a legislação aplicável e contenham uma base legal adequada.

§ 6º O titular dos dados pessoais deverá ser comunicado sobre a nova finalidade de tratamento, antes do momento em que a informação for tratada ou usada pela primeira vez para um novo objetivo.

§ 7º Nos comunicados direcionados a qualquer tipo de titular de dados, internos ou externos, a AGENERSA deverá utilizar uma linguagem clara e apropriada, que seja de fácil entendimento do titular.

§ 8º A AGENERSA deverá seguir as diretrizes expostas no art. 14 da LGPD, para o tratamento de dados pessoais de crianças e adolescente. Assim, deve-se avaliar, de forma prévia, qual é a hipótese autorizativa aplicável ao tratamento de dados pessoais de menores de idade e as condições para que isso ocorra, sempre zelando pela proteção desse grupo de titulares.

SEÇÃO II

DOS DIREITOS DOS TITULARES

Art. 10 - O titular do dado pessoal tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva, desde que precedido de requisição formal. As requisições dos titulares de dados deverão ser cumpridas pela AGENERSA, garantindo a estes, o pleno exercício dos direitos abaixo elencados:

I.        acesso: a AGENERSA deverá garantir o acesso ao titular dos dados pessoais sempre que solicitado, informando qual meio necessário para solicitação, como será a validação da sua identificação para requisição e definindo um prazo para atendimento;

II.       confirmação de tratamento de Dados: a AGENERSA, sempre que solicitado, deverá confirmar, caso ocorra, a existência de tratamento de dados pessoais ao seu titular;

III.      correção de dados: a AGENERSA, sempre que solicitado, deverá realizar a correção de dados incompletos, inexatos ou desatualizados;

IV.      anonimização, bloqueio ou eliminação: a AGENERSA, independente de provocação, mas sempre que solicitado, deverá anonimizar, bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade com a lei;

V.       portabilidade de dados: a AGENERSA precisará realizar a portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

VI.     eliminação de dados: sempre que solicitado pelo titular e não havendo disposição legal contrária que exija a sua manutenção, a AGENERSA deverá realizar a eliminação dos dados tratados que tiveram o consentimento como hipótese legal de tratamento;

VII.    informações sobre compartilhamento: o titular obterá informações sobre os terceiros com as quais a AGENERSA compartilhar os seus dados;

VIII.   não fornecimento do consentimento: o titular deverá ser informado sobre a possibilidade de não fornecer o consentimento, bem como sobre as consequências em caso de negativa;

IX.     revogação: nos casos de tratamentos embasados no consentimento, o titular poderá, sempre que desejar, revogar o consentimento.

SEÇÃO III

DO TRATAMENTO DE DADOS PESSOAIS

Art. 11 - Considera-se Tratamento “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Art. 12 - Para realizar o tratamento de dados pessoais, a AGENERSA deverá verificar se há alguma hipótese legal que os autorize, devendo também avaliar previamente cada novo caso de tratamento que pretenda realizar, identificando as hipóteses legais autorizativas aplicáveis, documentando aquelas que forem aplicadas.

Art. 13 - O consentimento será considerado nulo, caso as informações fornecidas ao titular sejam genéricas, tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.

Art. 14 - Se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o titular deverá ser informado previamente sobre as mudanças de finalidade, podendo revogar o consentimento, caso discorde com as alterações.

Art. 15 - Independente do enquadramento em uma ou mais hipóteses legais, o tratamento deverá seguir os princípios expostos na LGPD, sob pena de ser considerado irregular.

Art. 16 - As medidas técnicas e administrativas que serão adotadas para proteger os dados pessoais também deverão ser registradas.

Art. 17 - As medidas que serão adotadas para prevenir a ocorrência de danos ao titular ou a terceiros em virtude do tratamento de dados pessoais (princípio da prevenção) deverão ser identificadas e registradas.

SEÇÃO IV

DO TRATAMENTO DE DADOS PESSOAIS SENSÍVEIS

Art. 18 - O tratamento de dados sensíveis deverá observar as seguintes hipóteses:

I.        consentimento fornecido pelo titular através da manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

II.       cumprimento de obrigação legal ou regulatória pelo controlador;

III.      tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

IV.      realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

V.       exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;

VI.     proteção da vida ou da incolumidade física do titular ou de terceiros;

VII.    tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

VIII.   garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 10 desta lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

SEÇÃO V

MINIMIZAÇÃO DE DADOS COLETADOS

Art. 19 - A AGENERSA realizará os tratamentos de dados pessoais respeitando o princípio da minimização de dados, sempre restringindo o tratamento dos dados pessoais à finalidade específica.

Art. 20 - É imprescindível conceber e implementar procedimentos necessários, minimizando os dados tratados e o número de partes interessadas e ainda, as pessoas a quem são divulgados os dados pessoais ou quem tem permissão para tratá-los.

Art. 21 - A AGENERSA deverá usar ou oferecer como opções-padrão, sempre que possível, interações e transações que não envolvam a identificação de titulares de dados pessoais, reduzam seus comportamentos e limitem a vinculação de dados pessoais coletados.

Art. 22 - De modo seguro, o descarte dos dados pessoais será realizado, sempre que for possível fazê-lo, em particular quando o objetivo para tratamento dos dados pessoais tiver expirado, não havendo requisitos legais para mantê-los.

SEÇÃO VI

ANONIMIZAÇÃO E PSEUDONIMIZAÇÃO

Art. 23 - Segundo a LGPD, dado anonimizado é o dado que, considerados os meios técnicos razoáveis no momento do tratamento, perde a possibilidade de associação, direta ou indireta, a um indivíduo.

Art. 24 - Para reduzir a possibilidade de identificação direta do titular dos dados pessoais, as informações de identidade poderão ser substituídas por pseudônimos antes da transmissão dos dados. Esse processo, denominado pseudonimização, visa proteger a privacidade dos titulares de dados pessoais e será executado pelo controlador ou operador responsável pela anonimização dos dados, conforme necessário e permitido pela legislação.

SEÇÃO VII

TRATAMENTO DE DADOS DE CRIANÇAS E ADOLESCENTES

 Art. 25 - A LGPD determina, em seu art. 14º, que o tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse. Requerendo para tanto, um consentimento específico e em destaque, dado por ao menos um dos pais ou pelo responsável legal. As hipóteses que dispensam o consentimento mencionado acima ocorrem quando:

I.        a coleta for necessária para contatar os pais, ou o responsável legal, ou, ainda, para a própria proteção da criança ou adolescente – nesses casos, os dados deverão ser utilizados uma única vez, vedados o armazenamento e o seu repasse a terceiros;

II.       o tratamento de dados for imprescindível para o exercício de direitos da criança ou adolescente ou para lavratura de registros públicos.

SEÇÃO VIII 

DA COLETA

Art. 26 - A AGENERSA deverá fornecer informações que permitam que os titulares de dados pessoais entendam quais elementos de dados pessoais estão sendo coletados, aderindo ao princípio da necessidade, limitando a coleta dentro do limite da lei aplicável e estritamente necessário e para os objetivos especificados.

Art. 27 - Os dados não deverão ser coletados indiscriminadamente. A quantidade e os tipos de dados coletados devem ser limitados ao necessário para cumprir os objetivos especificados pelo controlador.

Art. 28 - A AGENERSA documentará todo dado pessoal coletado, bem como sua justificativa para fazê-lo e práticas de manuseio de informações.

Art. 29 - Os dados pessoais serão coletados por meios éticos e legais e armazenados em ambiente seguro e controlado, pelo prazo exigido pela lei ou regulamentação vigente.

Art. 30 - A AGENERSA fornecerá as informações que permitam que os titulares entendam quais elementos de dados pessoais estão sendo coletados, mesmo quando a coleta de elementos particulares de dados pessoais.

SEÇÃO IX

DO AVISO DE PRIVACIDADE

Art. 31 - O Aviso de Privacidade é o documento de comunicação que direciona informações quanto ao tratamento de dados pessoais aos titulares de uma categoria específica. Exemplos: servidores, cidadãos atendidos, representantes de parceiros comerciais ou institucionais, prestadores de serviço, dentre outros.

Art. 32 - Os Avisos de Privacidade deverão ser ofertados à ciência dos titulares nos canais de comunicação, locais físicos e sistemas da AGENERSA em que ocorram coleta de dados pessoais. No caso de dados pessoais recebidos por compartilhamento vindo de outros órgãos, instituições ou empresas, a AGENERSA deverá se certificar de que a comunicação ao titular quanto a esse compartilhamento foi feita de maneira efetiva.

Parágrafo Único - Os Avisos de Privacidade deverão abordar os seguintes tópicos:

I.        introdução e propósito: breve explanação sobre o propósito do aviso e a importância da proteção de dados pessoais;

II.       informações de contato: detalhes de contato do órgão responsável pela coleta e processamento dos dados pessoais;

III.      dados coletados: lista dos tipos de dados coletados, incluindo exemplos específicos, como nome, endereço, e-mail, dentre outros;

IV.      finalidades da coleta: apresentação das razões pelas quais os dados são coletados e como serão utilizados;

V.       bases legais: descrição das bases legais nas quais a empresa se baseia para processar os dados pessoais;

VI.     compartilhamento de dados: informações sobre como e com quem os dados pessoais são compartilhados;

VII.    transferências internacionais: informações sobre o envio ou recebimento de dados pessoais de agentes de tratamento fora do Brasil;

VIII.   segurança de dados: descrição das medidas de segurança implementadas para proteger os dados pessoais contra acesso não autorizado, uso indevido, perda ou alteração etc.

IX.     retenção de dados: informações sobre quanto tempo os dados pessoais serão mantidos e os critérios usados para determinar o período de retenção;

X.      direitos do titular dos dados: lista com os direitos que os titulares dos dados têm em relação aos seus dados pessoais tratados;

XI.     contatos e canais de comunicação: apresentação dos contatos do encarregado de dados e dos canais para requisições dos titulares de dados pessoais;

XII.    alterações no Aviso de Privacidade: informação aos titulares quanto à possibilidade de alteração do Aviso de Privacidade e como eles serão informados quanto a essas modificações.

SEÇÃO X

DA TRANSFERÊNCIA, DO USO COMPARTILHADO E DO COMPARTILHAMENTO DE DADOS PESSOAIS

Art. 33 - Devido à natureza da atividade exercida pela AGENERSA é possível o compartilhamento de dados pessoais. Na distribuição ou divulgação dos dados pessoais para dentro e para fora da fase de compartilhamento é preciso mapear os ativos envolvidos da AGENERSA.

Art. 34 - O compartilhamento de dados da AGENERSA deverá atender as finalidades específicas e base legais que justificam o tratamento.

Art. 35 - A AGENERSA deverá observar o princípio da segurança, previsto no art. 6º, VII da LGPD, sendo certo, que, as ferramentas a serem contratadas e/ou desenvolvidas deverão assegurar a adoção de medidas técnicas aptas a garantir a proteção dos dados pessoais, bem como a privacidade dos titulares.

Art. 36 - A AGENERSA somente poderá transferir ou receber dados pessoais em que haja a celebração de um contrato ou outro instrumento formal vinculante com o terceiro participante do tratamento conforme disposto no art. 26, inciso IV da LGPD.

Art. 37 - A transferência, o uso compartilhado e o compartilhamento de dados pessoais com outros entes públicos atenderão a finalidades específicas de execução de políticas públicas e de exercício das suas atribuições legais. Portanto, deverão respeitar os princípios de proteção de dados pessoais e os direitos dos titulares previstos na LGPD.

SEÇÃO XI

DA GESTÃO DE TERCEIROS

Art. 38 - Ao trabalhar com um terceiro (fornecedor ou parceiro), a respectiva área da AGENERSA deverá celebrar um instrumento formal que regule a relação entre as partes, incluindo as boas práticas e adequação a LGPD. Ao selecionar terceiros, a AGENERSA deverá atentar as seguintes boas práticas:

I.        avaliação quanto ao fornecimento, pelo terceiro, de medidas de segurança técnica e organizacional necessárias para realizar um tratamento em conformidade com todas as leis de proteção de dados aplicáveis;

II.       elaboração de contrato escrito ou documentado de outra forma que defina inequivocamente os direitos e obrigações do Controlador e do Operador que estejam em conformidade com as leis aplicáveis de proteção de dados;

III.      exigência da AGENERSA para que os terceiros tratem os dados pessoais com o mesmo nível de seriedade que o órgão executa as suas atividades de tratamento.

Art. 39 - Dentro dos processos de Gestão de Terceiros, a AGENERSA poderá aplicar questionários de due diligence para avaliação de seus parceiros comerciais. Além disso, a AGENERSA deverá programar auditorias recorrentes para serem aplicadas aos terceiros contratantes com o órgão. O objetivo é manter um acompanhamento constante quanto a implementação e execução de boas práticas de segurança e privacidade por estes órgãos, instituições ou empresas.

Art. 40 - Todos os terceiros, parceiros e fornecedores que, direta ou indiretamente, realizarem tratamento de dados pessoais sob a responsabilidade da AGENERSA deverão assinar o Termo de Conhecimento e Compromisso de Observância das Políticas, conforme disposto no Anexo II desta Política, para assegurar o cumprimento das diretrizes de proteção e confidencialidade de dados pessoais.

Parágrafo Único - A assinatura do termo de conhecimento das políticas é condição indispensável para a gestão de terceiros no contexto das operações de tratamento de dados, conforme previsto nesta Seção, e tem como objetivo mitigar riscos de vazamento, uso indevido e acesso não autorizado aos dados pessoais.

SEÇÃO XII

PRAZO DE RETENÇÃO DOS DADOS PESSOAIS

Art. 41 - A AGENERSA deverá manter os dados pessoais armazenados em concordância com os prazos legais e em consonância com os Princípios da Necessidade e da Finalidade elencados no art. 6° da LGPD. Para isto, deverá atentar-se as seguintes orientações:

I.        se o armazenamento não for necessário para a finalidade e não houver obrigação legal de mantê-los, os dados deverão ser excluídos de acordo com a finalidade relacionado ao processo de tratamento;

II.       o armazenamento pela AGENERSA será definido por períodos estabelecidos por leis e regulações aplicáveis às atividades exercidas;

III.      pelo tempo necessário para o exercício regular de direitos em processos judiciais e administrativos;

IV.      a AGENERSA também pode manter dados pessoais de forma anonimizada, ou seja, sem que estejam ou possam ser relacionados a um titular de dados, por períodos maiores, para análise estatística e pesquisa.

Art. 42 - Para tanto, a AGENERSA implementará uma Política de Retenção de Dados Pessoais e dará publicidade para os responsáveis pela gestão e armazenamento deles. A Política de Retenção de Dados Pessoais deverá, dentre outros, abordar os seguintes tópicos:

I.        finalidade da retenção;

II.       legislação e regulamentações;

III.      categoria dos dados retidos;

IV.      métodos de armazenamento;

V.       período de retenção;

VI.     processos de exclusão;

VII.    transparência e consentimento;

VIII.   responsabilidade e prestação de contas.

SEÇÃO XIII

DAS TRANSFERÊNCIAS INTERNACIONAIS

Art. 43 - A transferência internacional de dados consiste no envio ou recebimento de dados pessoais para empresas, órgãos ou instituições localizadas fora do território brasileiro.

Art. 44 - Para que as transferências ocorram, a AGENERSA comunicar de forma prévia e clara ao titular quais dados pessoais serão transferidos e para quais finalidades. Ainda, informará quais países estarão envolvidos e o grau de proteção que eles oferecem ao mesmo.

Art. 45 - Ademais, a AGENERSA deverá comprovar a garantia dos princípios e direitos do titular durante todo este tratamento, tendo, como análise importante, a avaliação quanto à legislação que deverá ser igual ou superior aos apresentados pela LGPD.

Art. 46 - O controlador poderá oferecer e comprovar garantias de cumprimento dos princípios, por meio do uso de cláusulas contratuais especificas para transferência, cláusulas padrão contratuais, normas corporativas globais, selos e certificados de conduta emitidos.

Art. 47 - A transferência internacional de dados pessoais será realizada em observância às diretrizes da Lei nº 13.709, de 14 de agosto de 2018 e Regulamento de Transferência Internacional de Dados, aprovado pela Resolução CD/ANPD nº 19, de 23 de agosto de 2024.

Parágrafo único - É permitida a transferência internacional de dados pessoais:

I.        Para países ou organismos internacionais que ofereçam um nível de proteção de dados pessoais equivalente ou adequado ao previsto pela Lei nº 13.709, de 14 de agosto de 2018;

II.       Quando for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, investigação e persecução, conforme os instrumentos de direito internacional vigentes;

III.      Quando necessária para a proteção da vida ou da incolumidade física do titular ou de terceiros;

IV.      Quando houver autorização expressa da Agência Nacional de Proteção de Dados (ANPD);

V.       Em razão de compromissos assumidos em acordos de cooperação internacional;

VI.     Quando necessária para a execução de políticas públicas ou para o cumprimento de atribuições legais pela AGENERSA, observando-se a devida publicidade conforme o art. 23, I, da Lei nº 13.709, de 14 de agosto de 2018;

VII.    Para o cumprimento de obrigação legal ou regulatória, para execução de contrato ou procedimento preliminar relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados e para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

VIII.   Mediante o consentimento livre, específico e destacado do titular, com prévia informação sobre o caráter internacional da operação.

SEÇÃO XIV

DA VIOLAÇÃO DE DADOS PESSOAIS

Art. 48 - Em caso de suspeita ou confirmação de tratamento irregular ou incidente de segurança envolvendo dados pessoais, o Encarregado Setorial deverá ser comunicado imediatamente para prestação de assistência e orientações cabíveis.

Art. 49 - O Encarregado Setorial, ao receber a comunicação sobre o possível incidente de segurança, deverá comunicá-lo ao Encarregado Central para que este acompanhe as providências adotadas.

Parágrafo único - O Encarregado Setorial da AGENERSA deverá efetuar tal informativo através de meio de comunicação administrativo considerando sempre a eficácia, celeridade e os prazos estabelecidos na Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD).

CAPÍTULO VI

DA GESTÃO DOS DADOS PESSOAIS SEÇÃO I

MEDIDAS DE SEGURANÇA

Art. 50 - A AGENERSA deverá adotar as medidas de segurança técnicas e administrativas necessárias para realizar o tratamento de dados pessoais, oferecendo segurança ao titular, protegendo os dados pessoais, sob sua autoridade, com controles apropriados nos níveis operacionais, funcional e estratégico, a fim de assegurar a integridade, confidencialidade e disponibilidade dos dados pessoais. Para além destas medidas, deverá proteger contra riscos de acesso não autorizado, destruição, uso, modificação, ou divulgação não autorizados por todo o seu ciclo de vida.

Art. 51 - Para tanto, a AGENERSA deverá elaborar e manter atualizada à sua realidade a sua Política de Segurança da Informação (POSIC), formulada de acordo com as boas práticas internacionais sobre o tema, em especial a ABNT NBR ISO 27001 e 27701, baseando ainda, os seus controles em requisitos legais aplicáveis, normas de segurança, resultados de análises de riscos sistêmicos, como descrito na ABNT NBR ISO 31000.

Art. 52 - A AGENERSA deverá formular um procedimento de avaliação de terceiros, para que a escolha dos operadores de dados pessoais seja pautada em evidências que atestem a aplicação de controles organizacionais e adequação à LGPD no mesmo nível da AGENERSA.

Art. 53 - O acesso aos dados pessoais deverá ser feito apenas por aqueles que necessitam deles para o cumprimento de suas obrigações, a fim de executar as funções que desempenham.

Art. 54 - A AGENERSA deverá elaborar um plano para aplicação de auditorias recorrentes, a fim de identificar e solucionar os riscos e vulnerabilidades descobertos pelas avaliações de riscos de privacidade e proteção de dados pessoais.

Art. 55 - A AGENERSA deverá elaborar e implementar planos e procedimentos para gestão e tratamento de violação de dados pessoais, bem como criar um canal para receber notificações de possíveis incidentes de segurança e/ou privacidade.

SEÇÃO II

AVALIAÇÃO DE RISCOS DE PRIVACIDADE

Art. 56 - A avaliação de risco de privacidade é um processo realizado para identificar e avaliar riscos específicos de privacidade e proteção de dados pessoais.

Art. 57 - A AGENERSA deverá definir a metodologia de risco que irá empregar em suas operações, pautando-a em frameworks consolidados no mercado, como a ISO 27001, 27002 e 27701, bem como o NIST Privacy Framework, dentre outros.

Art. 58 - A metodologia deverá ser aplicada para avaliar os riscos nas operações de tratamento de dados pessoais, para que as possíveis vulnerabilidades sejam identificadas e respectivos controles sejam implementados.

SEÇÃO III

POLÍTICAS DE COOKIES

Art. 59 - A AGENERSA deverá adotar como boa prática a Política de Cookies. Trata-se de uma ferramenta importante para fornecer informações sobre atividade on-line dos titulares.

Art. 60 - Desta forma, a AGENERSA deverá sinalizar na Política de Cookies quais cookies são utilizados (cookies proprietários e terceiros); quais dados são coletados pelos cookies; qual finalidade do uso dos cookies; e como o usuário pode obter mais informações sobre os cookies de terceiros utilizados no serviço.

Art. 61 - Recomenda-se que a referida política seja informada para o titular de dados pessoais, por meio de uma janela pop-up, ao acessar o serviço/site. A política deverá disponibilizar a opção de desabilitar a coleta de cookies conforme sua preferência, salvo aqueles estritamente necessários. Além disso, a política deverá identificar as bases legais utilizadas, de acordo com cada finalidade/categoria de cookie, utilizando o consentimento como principal base legal, exceção feita aos cookies estritamente necessários, que podem ter como base as outras hipóteses legais.

Art. 62 - A política também deverá fornecer informações precisas e específicas sobre os dados que cada cookie rastreia, bem como sobre sua finalidade, em linguagem simples e, quando for o caso, antes que o consentimento seja recebido.

Art. 63 - Nos casos em que o consentimento for a base legal utilizada para a coleta de cookies e posterior tratamento dos respectivos dados, a AGENERSA deverá documentar e armazenar o consentimento recebido dos usuários. A revogação do consentimento deverá ser tão fácil quanto sua concessão.

Art. 64 - Os usuários deverão poder acessar os serviços, mesmo quando recusarem a coleta de cookies não considerados como estritamente necessários.

SEÇÃO IV

RELATÓRIO DE AVALIAÇÃO DE IMPACTO (RIPD)

Art. 65 - Em conformidade com o artigo 38 da LGPD, o Relatório de Impacto à Proteção de Dados será conduzido de acordo com as seguintes diretrizes:

I         - Será aplicado a todos os processos de trabalho em que forem identificados elevados níveis de risco;

II        - Será revisitado quando houver mudanças de alto impacto nos processos de trabalho ou quando o responsável pela privacidade e proteção de dados identificar necessidade;

III       - Caberá à área envolvida fornecer informações sobre todos os dados tratados, em conjunto com o respectivo clico de vida, de forma a propiciar uma adequada análise de riscos, bem como a elaboração de um Plano de Ação mitigatório eficiente.

SEÇÃO V

CONSCIENTIZAÇÃO E CAPACITAÇÃO

Art. 66 - A AGENERSA deverá dispor de um Plano de Conscientização e capacitação dos seus colaboradores e terceiros da organização na temática de proteção de dados pessoais e privacidade nos moldes previstos na LGPD, a fim de ampliar cada vez mais a cultura do respeito à privacidade e à proteção de dados pessoais.

Art. 67 - Os colaboradores que possuírem acesso aos dados pessoais tratados pela AGENERSA deverão participar continuamente de programas de conscientização, cujos eventos deverão possuir listas de chamada para conferência.

SEÇÃO VI

DEVERES DO COMITÊ DE IMPLANTAÇÃO DO PROGRAMA DE GOVERNANÇA EM PRIVACIDADE

Art. 68 - Caberá a competência para a prática dos seguintes atos:

I         - Formular e conduzir princípios, diretrizes e estratégias para gerir tanto a segurança da informação quanto a proteção e privacidade de dados pessoais (em conformidade com a Política de Privacidade, com a Política de Segurança da Informação e com as disposições da LGPD), bem como para gerir os riscos associados, promovendo a implementação, pelos gestores, de processos de trabalho, métodos, técnicas, ferramentas, arquitetura e padrões adequados;

II        - Analisar periodicamente e garantir a efetividade dos princípios, diretrizes e estratégias estabelecidas;

III       - Propor os ajustes necessários em políticas, subsidiados pelo monitoramento e avaliação periódicos das práticas de segurança da informação e de proteção de dados pessoais;

IV      - Propor a elaboração e a revisão de normas, procedimentos, planos e/ou processos, visando à operacionalização e ao monitoramento da LGPD, no âmbito da AGENERSA;

V       - Promover a divulgação do documento pertinente à legislação, bem como ações para disseminar a cultura em segurança da informação e em proteção de dados pessoais;

VI      - Identificar, no âmbito da AGENERSA, os agentes de tratamento de dados pessoais referidos na Lei nº 13.709/2018, bem como definir suas atribuições e responsabilidades;

VII     - Propor ações visando à fiscalização da aplicação das políticas, da LGPD e das normas afins;

VIII    - Propor os recursos necessários à implementação das ações de segurança da informação e proteção de dados pessoais;

IX      - Prospectar, analisar e implementar ações, metodologias, processos, responsabilidades, mecanismos e ferramentas que visem à melhoria da gestão da segurança das informações digitais e da proteção de dados pessoais em cadastros, em bases de dados e em sistemas informatizados, de acordo com padrões nacionais e internacionais, em adição a zelar pela efetiva aplicabilidade dos recursos destinados às ações estabelecidas;

X       - Deliberar, com periodicidade semestral ou quando necessário, sobre os relatórios de identificação, avaliação, tratamento e monitoramento de riscos, bem como sobre o mapeamento de vulnerabilidades;

XI      - Deliberar, com periodicidade anual ou quando necessário, sobre o Relatório de Impacto à Proteção de Dados Pessoais, o qual deve descrever processos de tratamento de dados capazes de gerar riscos às liberdades civis e aos direitos fundamentais dos titulares, em adição a conter medidas, salvaguardas e mecanismos de mitigação desses riscos;

XII     - Propor a abertura de sindicância para investigar e avaliar os danos decorrentes de quebra de segurança da informação e de tratamento inadequado ou desprotegido de dados pessoais; XIII - Propor o modelo de implementação da Equipe de Tratamento e Resposta a Incidentes, de acordo com a norma vigente;

XIV    - Propor a constituição de comissões e grupos de trabalho, para tratar temas sobre segurança         da      informação e          proteção     de      dados         pessoais;

XV     - Analisar padrões de integração, qualidade e segurança dos sistemas de informação;

XVI    - Auxiliar a Presidência na gestão da segurança da informação e da proteção de dados pessoais, submetendo-lhe as deliberações;

XVII   - Deliberar sobre matérias que lhe sejam submetidas, relativas à segurança da informação e à proteção de dados pessoais; e

XVIII  - Acompanhar a regulamentação no âmbito da AGENERSA e monitorar o cumprimento de determinações provenientes da ANPD com relação ao tratamento e à proteção de dados pessoais.

SEÇÃO VII

DEVERES DO ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS

Art. 69 – Caberá, ao Encarregado pelo Tratamento de Dados Pessoais da AGENERSA, a competência para a prática dos seguintes atos:

I         - Avaliar, autorizar e, quando aplicável, negar solicitações para acessar e/ou compartilhar dados pessoais tratados pela AGENERSA, assegurando que tais pedidos estejam em conformidade com as bases legais e com os princípios da Lei Geral de Proteção de Dados Pessoais (LGPD), sendo que todas as decisões de acesso deverão considerar a finalidade específica da solicitação, os direitos dos titulares e as diretrizes internas da AGENERSA, a fim de garantir o cumprimento dos preceitos de privacidade e proteção de dados pessoais estabelecidos pela legislação vigente;

II        - Informar e orientar a Alta Gestão sobre o cumprimento das obrigações, nos termos da LGPD;

III       - Realizar as atividades do Comitê de Implantação do Programa de Governança em Privacidade (COMPGP), incluindo a elaboração de cronogramas, definição das metas e divulgação dos resultados alcançados;

IV      - Zelar pelo cumprimento dos cronogramas, reportando, ao Comitê e à Alta Gestão, situações que possam representar risco à execução e à qualidade das entregas;

V       - Convocar reuniões do COMPGP;

VI      - Promover as boas práticas para a proteção de dados, instruindo os envolvidos quanto à conduta a ser seguida para assegurar a conformidade com a LGPD;

VII     - Conduzir o mapeamento das atividades de tratamento de dados pessoais, bem como a construção da matriz de riscos e do RIPD;

VIII    - Promover as abordagens de Privacy by Design e Privacy by Default, adotando a preocupação com a proteção de dados pessoais desde a concepção dos projetos;

IX      - Promover auditorias internas para avaliação de exposição a riscos de violações de privacidade, além de propor ações mitigatórias; e

X       - Representar o ponto de contato com as autoridades de controle e com os titulares de dados, no que diz respeito às questões relacionadas ao tratamento de dados, prestando esclarecimentos e adotando providências, quando necessário.

SEÇÃO VIII

DEVERES DOS SERVIDORES E TERCEIROS

Art. 70 - Caberá a todos os servidores, prestadores de serviços e terceiros que atuem direta ou indiretamente nas atividades da AGENERSA, assegurando a observância às normas de privacidade e proteção de dados pessoais no âmbito organizacional, a competência para a prática dos seguintes atos:

I         - Respeitar as normas dispostas na Política de Privacidade e Proteção de Dados Pessoais, assegurando o tratamento adequado, seguro e responsável dos dados pessoais;

II        - Manter a confidencialidade dos dados pessoais aos quais tenham acesso, evitando o compartilhamento, acesso ou exposição não autorizados, bem como adotar as medidas de segurança previstas nas políticas internas;

III       - Garantir que os dados pessoais sob sua responsabilidade estejam corretos, atualizados e alinhados às finalidades institucionais, respeitando os princípios da necessidade e da minimização de dados;

IV      – Notificar, imediatamente, em caso de suspeita ou confirmação de violação de dados pessoais, o Gestor de Segurança da Informação e/ou o Encarregado pelo Tratamento de Dados Pessoais, para a adoção de medidas mitigatórias.

SEÇÃO IX CONTATO

Art. 71 - Permanecerá disponível, a todos os titulares de dados/responsáveis legais, o canal de atendimento, por meio do endereço eletrônico “encarregado.lgpd@agenersa.rj.gov.br”, para esclarecimento de dúvidas e/ou para realizar solicitações relacionadas ao tratamento de seus dados pessoais.

CAPÍTULO VII VIGÊNCIA

Art. 72 - Esta política deverá ser revisada e atualizada sempre que necessário ou, obrigatoriamente, no prazo de um ano, a contar da data da sua última publicação, a fim de garantir a contínua evolução do documento.

ANEXO II

TERMO DE CONHECIMENTO E COMPROMISSO DE OBSERVÂNCIA DAS POLÍTICAS (POSIC E PPPDP)

Por este Termo, tomei conhecimento do teor da INSTRUÇÃO NORMATIVA nº 118 de 14 de março de 2024, que instituiu a Política de Segurança da Informação e Comunicação (POSIC) e da INSTRUÇÃO NORMATIVA nº 143 de 2026, que instituiu a Política de Privacidade e Proteção de Dados Pessoais (PPPDP) da Agência Reguladora de Energia e Saneamento Básico do Estado do Rio de Janeiro (AGENERSA), bem como o estabelecido em eventuais alterações das referidas normas, que deverão ser publicadas no Diário Oficial do Estado do Rio de Janeiro ou no sítio da internet https://www.rj.gov.br/agenersa, devendo observar estritamente seus termos.

Declaro que me comprometo a cumprir integralmente a Política de Segurança da Informação e Comunicação (POSIC) e a Política de Privacidade e Proteção de Dados Pessoais (PPPDP) da AGENERSA, bem como àquelas relativas à segurança da informação, privacidade e proteção de dados, adotadas ou editadas pela AGENERSA, as quais serão informadas no sítio eletrônico https://www.rj.gov.br/agenersa. Além disso, reconheço e assumo o compromisso de cumprir os princípios inerentes à privacidade e à proteção de dados pessoais, conforme previstos na PPPDP, na Lei Geral de Proteção de Dados (LGPD - Lei Nº. 13.709/2018) e na Lei de Acesso à Informação (LAI - Lei Nº. 12.527/2011), garantindo sua aplicação e observância em todas as atividades sob minha responsabilidade.

Declaro estar ciente de que devo comunicar imediatamente e por escrito, ao Gestor de Segurança da Informação e/ou ao Encarregado pelo Tratamento de Dados Pessoais, qualquer fato relevante ou violação de segurança que possa comprometer a integridade, confidencialidade ou disponibilidade dos dados pessoais sob minha guarda ou de terceiros, os quais tenha tomado ciência, ainda que não tenha sido responsável pela ocorrência.

Comprometo-me, em especial, a guardar sigilo acerca de todas e quaisquer Informações Confidenciais relativas a dados pessoais, e/ou processos aos quais eu tenha acesso em razão da prestação de serviços a AGENERSA, sendo expressamente vedada a utilização de Informações Confidenciais para qualquer outra finalidade diversa do objetivo específico da prestação do serviço a AGENERSA, assim como a usar adequadamente os recursos tecnológicos que estiverem à minha disposição, sob pena do pagamento de multa, indenização material e/ou moral, e/ou ressarcimento de todas as perdas, danos causados, lucros cessantes, danos diretos e indiretos, direitos autorais, e quaisquer outros prejuízos patrimoniais ou morais que surjam em decorrência de minha ação ou omissão, além da instauração de apuração de responsabilidade disciplinar, civil e criminal, sem prejuízo das sanções previstas na LGPD e na LAI.

Estou ciente que este termo não possui data de validade e permanecerá válido enquanto vigentes as diretrizes dos instrumentos jurídicos que menciona, podendo ser revisto e atualizado em caso de alterações normativas.

Nome Completo:

CPF:

Rio de Janeiro,   de     de  20    .

ASSINATURA DO DECLARANTE

AGENERSA - RECURSO HUMANOS

AGENERSA - CORREGEDORIA