PT
Gerencie sua reserva no MuchoSur DelSur Rewards Contato Reserve agora
Reserve agora
PT
Contato
Gerencie sua reserva no MuchoSur DelSur Rewards
Reserve agora
“A ponta da América, doravante, estendendo-se, aponta insistentemente para o Sul, para o nosso norte.”
Joaquín Torres García
MuchoSur © 2026. Desenvolvido por GNAHS

Aviso legal da MuchoSur

Política de proteção de dados

A política de tratamento de informações é desenvolvida em conformidade com os artigos 15 e 20 da Constituição Política, bem como com os artigos 17, alínea k) e 18, alínea f) da Lei nº 1581 de 2012, que estabelece as disposições gerais para a Proteção de Dados Pessoais (LEPD). Além disso, em conformidade com o artigo 2.2.2.25.1.1, Seção 1, Capítulo 25 do Decreto nº 1074 de 2015, que regulamenta parcialmente a Lei nº 1581 de 2012.

Esta política será aplicada a todos os dados pessoais registrados em bancos de dados processados pelo controlador de dados.


1. OBJETIVO E ÂMBITO

Descreva as diretrizes para o tratamento de Dados Pessoais, levando em consideração o disposto na Lei 1581 de 2012, no Decreto 1377 de 2013, no Decreto 886 de 2014, incorporados ao Decreto Único 1074 de 2015, e demais normas que ampliem, modifiquem ou substituam as normas sobre a matéria.

Este documento se aplicará a todos os dados pessoais ou qualquer outro tipo de informação utilizada ou armazenada nos bancos de dados e arquivos da MuchoSur, respeitando os critérios de obtenção, coleta, utilização, processamento, compartilhamento, transferência e transmissão de dados pessoais, e estabelecendo as obrigações e diretrizes da MuchoSur para a administração e processamento dos dados pessoais armazenados em seus bancos de dados e arquivos. Este Manual se aplica aos processos da MuchoSur que devem processar dados (dados públicos, dados semiprivados, dados privados, dados sensíveis, dados de crianças e adolescentes), tanto na qualidade de controladora quanto de processadora.


2. DEFINIÇÕES

Para efeitos de aplicação das normas contidas nesta política, e de acordo com o disposto no artigo 3.º da Lei 1581 de 2012, entende-se por:

● Autorização: Consentimento prévio, expresso e informado do Titular dos Dados para a realização do tratamento de dados pessoais. A autorização será considerada como atendendo a esses requisitos quando expressa (i) por escrito, (ii) oralmente, ou (iii) por meio de conduta inequívoca do Titular dos Dados que nos permita razoavelmente concluir que a autorização foi concedida. Em nenhuma circunstância o silêncio poderá ser equiparado a conduta inequívoca.

● Aviso de Privacidade: Comunicação verbal ou escrita gerada pelo responsável pelo tratamento dirigida ao Titular dos Dados para o tratamento dos seus dados pessoais, através da qual este é informado da existência das políticas de tratamento de informação que lhe serão aplicáveis, das formas de acesso às mesmas e das finalidades do tratamento destinado aos seus dados pessoais.

● Base de Dados: Conjunto organizado de Dados Pessoais que são objeto de Tratamento, pertencentes ao mesmo contexto e armazenados sistematicamente para posterior utilização.

● Dados pessoais: Qualquer informação vinculada ou que possa ser associada a uma ou mais pessoas físicas específicas ou identificáveis. Esses dados são classificados como públicos, semiprivados, privados e sensíveis:

● Dados públicos: Dados que não são semiprivados, privados ou sensíveis. Dados públicos incluem, entre outros, dados relativos ao estado civil de uma pessoa, sua profissão e sua condição de comerciante ou servidor público. Por sua natureza, dados públicos podem estar contidos, entre outros, em registros públicos, documentos públicos, diários e boletins oficiais e decisões judiciais devidamente executáveis que não estejam sujeitas à confidencialidade.

● Dados semiprivados: São aqueles que não possuem caráter íntimo, reservado ou público e cujo conhecimento ou divulgação pode interessar não somente ao seu Titular, mas também a determinado setor ou grupo de pessoas ou à sociedade em geral, como por exemplo: Bases de dados que contenham informações financeiras, creditícias, comerciais, de serviços e informações de países terceiros.

● Dados privados: Dados que, por sua natureza íntima ou confidencial, interessam apenas ao seu titular e exigem autorização prévia, informada e expressa para seu tratamento. Isso inclui bancos de dados que contenham dados como números de telefone pessoais e endereços de e-mail; dados trabalhistas; dados sobre infrações administrativas ou criminais; geridos por autoridades fiscais, instituições financeiras e entidades gestoras e serviços comuns da Previdência Social; bancos de dados sobre solvência financeira ou crédito; bancos de dados com informações suficientes para avaliar a identidade do titular dos dados; bancos de dados dos gestores de operadoras que fornecem serviços de comunicação eletrônica. Dados sensíveis: Entende-se por dados sensíveis aqueles que afetam a privacidade do Titular dos Dados ou cujo uso indevido pode levar à discriminação, como dados que revelem origem racial ou étnica, orientação política, convicções religiosas ou filosóficas, filiação a sindicatos, organizações sociais, organizações de direitos humanos, ou que promovam interesses de qualquer partido político ou que garantam direitos e garantias de partidos políticos de oposição, bem como dados relacionados à saúde, vida sexual e dados biométricos.

● Responsável pelo Tratamento: Pessoa singular ou coletiva, pública ou privada, que, por si ou em associação com outrem, efetua o tratamento de dados pessoais por conta do responsável pelo tratamento.

● Responsável pelo tratamento: Pessoa física ou jurídica, pública ou privada, que, por si ou em associação com outrem, decide sobre a base de dados e/ou o tratamento dos dados.

●Gerente de Banco de Dados: Colaborador responsável por monitorar e coordenar a correta aplicação das políticas de tratamento de dados uma vez armazenados em um banco de dados específico, bem como implementar as diretrizes emitidas pelo controlador de dados e pelo Encarregado da Proteção de Dados.

● Encarregado da Proteção de Dados: É a pessoa física que assume a função de coordenar a implementação do regime jurídico de proteção de dados pessoais, que processará as solicitações dos Titulares dos Dados para o exercício dos direitos a que se refere a Lei 1581 de 2012.

● Transferência: A transferência de dados ocorre quando o controlador e/ou processador de dados pessoais, localizado na Colômbia, envia as informações ou Dados Pessoais a um destinatário, que por sua vez é o controlador do processamento e está localizado dentro ou fora do país.

● Transmissão: Tratamento de Dados Pessoais que envolva a comunicação desses dados dentro ou fora do território da República da Colômbia quando a finalidade do tratamento for realizada pelo Controlador de Dados em nome do Controlador.

● Titular: Pessoa física cujos Dados Pessoais são objeto de Tratamento.

●Tratamento: Qualquer operação ou conjunto de operações sobre Dados Pessoais, tais como a recolha, armazenamento, utilização, circulação ou eliminação destes


3. PRINCÍPIOS

O Artigo 4 da Lei de Proteção de Dados Pessoais (LEPD) estabelece princípios para o tratamento de dados pessoais que devem ser aplicados de forma harmoniosa e abrangente no desenvolvimento, interpretação e aplicação da Lei. Os princípios estabelecidos abaixo constituem os parâmetros gerais que a MuchoSur seguirá e são os seguintes:

● Princípio da Legalidade: O tratamento de dados é uma atividade regulamentada que deve estar em conformidade com as disposições do LEPD, Decreto 1377 de 2013 Compilado no Capítulo 25 do Decreto 1074 de 2015 e outras disposições que o desenvolvem.

● Princípio da finalidade: O tratamento de Dados Pessoais deverá obedecer a uma finalidade legítima, nos termos da Constituição e da Lei, que deverá ser informada ao Titular;

● Princípio da liberdade: O tratamento só pode ser realizado com o consentimento prévio, expresso e informado do titular dos dados. Os Dados Pessoais não podem ser obtidos ou divulgados sem autorização prévia ou na ausência de ordem legal ou judicial que dispense o consentimento. O tratamento de dados requer a autorização prévia e informada do titular dos dados por qualquer meio que permita o acesso posterior.

● Princípio da veracidade ou qualidade: As informações objeto de tratamento devem ser verdadeiras, completas, precisas, atualizadas, verificáveis e compreensíveis. É proibido o tratamento de dados parciais, incompletos, fragmentados ou enganosos;

● Princípio da transparência: O tratamento de dados deve garantir ao Titular dos Dados o direito de obter do Controlador de Dados ou do Subcontratante, a qualquer momento e sem restrições, informações sobre a existência de dados que lhe digam respeito. Ao solicitar autorização ao Titular dos Dados, o Controlador de Dados deverá informá-lo de forma clara e expressa, conservando o comprovante do cumprimento desta obrigação:

O tratamento ao qual os seus dados serão submetidos e a sua finalidade.

A resposta do Titular dos Dados a perguntas sobre dados sensíveis ou dados referentes a crianças ou adolescentes é opcional.

Os direitos que você tem como Proprietário.

A identificação, endereço físico, endereço de e-mail e número de telefone do controlador de dados.

● Princípio da restrição de acesso e circulação: O tratamento está sujeito aos limites decorrentes da natureza dos dados pessoais, às disposições da Lei de Proteção de Dados Pessoais (LEPD) e à Constituição. Nesse sentido, o tratamento somente poderá ser realizado por pessoas autorizadas pelo Titular dos Dados e/ou pelas pessoas previstas na Lei. Dados pessoais, exceto informações públicas, não poderão ser disponibilizados na internet ou em outros meios de divulgação ou comunicação de massa, a menos que o acesso seja tecnicamente controlável para fornecer conhecimento restrito apenas aos Titulares dos Dados ou a terceiros autorizados.

● Princípio de segurança: As informações processadas pela MuchoSur devem ser protegidas por meio da utilização de medidas técnicas, humanas e administrativas necessárias para garantir a segurança dos registros, evitando adulteração, perda, acesso ou consulta não autorizados ou fraudulentos. O Controlador de Dados é responsável por implementar as medidas de segurança correspondentes e informar todo o pessoal com acesso direto ou indireto aos dados. Os usuários que acessam os sistemas de informação do Controlador de Dados devem estar cientes e cumprir as regras e medidas de segurança relevantes para suas funções. Essas regras e medidas de segurança estão estabelecidas nas Políticas de Segurança Interna PL-02, que são obrigatórias para todos os usuários e funcionários da empresa. Qualquer modificação nas regras e medidas relativas à segurança de dados pessoais pelo Controlador de Dados deve ser comunicada aos usuários.

● Princípio da confidencialidade: Todas as pessoas envolvidas no tratamento de Dados Pessoais são obrigadas a garantir a confidencialidade das informações, mesmo após o término de sua relação com qualquer uma das tarefas envolvidas no tratamento. Elas somente poderão fornecer ou comunicar dados pessoais quando isso corresponder ao desenvolvimento das atividades autorizadas na LEPD e nos termos desta.


4. TRATAMENTO DE DADOS DE MENORES

MuchoSur, em conformidade com o artigo 7 da Lei 1581 de 2012, processa os dados pessoais de crianças e adolescentes no âmbito dos critérios estabelecidos no artigo 2.2.2.25.2.9 Seção 2 do Capítulo 25 do Decreto 1074 de 2015 (artigo 12 do Decreto 1377 de 2013), em conformidade com os seguintes parâmetros e requisitos:

● Que a utilização dos dados atenda e respeite os melhores interesses das crianças e adolescentes.

● Que a utilização dos dados garanta o respeito pelos direitos fundamentais do menor.

Uma vez cumpridos os requisitos acima, a MuchoSur solicitará autorização ao representante legal da criança ou adolescente antes de exercer o direito de ser ouvido. Essa opinião será avaliada levando em consideração a maturidade, a autonomia e a capacidade de compreensão da criança. Como Controladora e/ou Operadora de Dados, a MuchoSur zelará pelo uso adequado dos dados de crianças e adolescentes, aplicando os princípios e obrigações estabelecidos na Lei 1581 de 2012 e nas normas regulatórias. Também identificará os dados sensíveis coletados ou armazenados para aumentar a segurança e o processamento dessas informações.


5. FINALIDADES DO TRATAMENTO DE DADOS PESSOAIS

A MuchoSur, no exercício de suas atividades comerciais, processa dados pessoais relativos a pessoas físicas contidos e processados em bancos de dados destinados a finalidades legítimas, em conformidade com a Constituição e a Lei. O processamento de dados pessoais inclui a coleta, o armazenamento, a utilização, a circulação ou a eliminação. O processamento de dados estará sujeito às finalidades autorizadas pelo Controlador de Dados, às obrigações contratuais entre as partes e a quaisquer casos em que existam obrigações legais que devam ser cumpridas.

O Anexo 1 PL-01, intitulado Organização do Banco de Dados, contém informações relativas aos diversos bancos de dados sob responsabilidade da empresa e as finalidades atribuídas a cada um deles para processamento.


6. VALIDADE DO BANCO DE DADOS

Os dados pessoais incorporados nas bases de dados serão válidos pelo prazo necessário para o cumprimento das finalidades para as quais o seu tratamento foi autorizado e serão tidas em conta as normas especiais que regulam a matéria, sendo também tidas em conta as normas vigentes relativas ao prazo de conservação.


7. AUTORIZAÇÃO

De acordo com o Artigo 9 da Lei de Proteção de Dados Pessoais (LEPD), a autorização do Titular dos Dados é necessária para o tratamento de dados pessoais, exceto nos casos expressamente indicados na regulamentação que rege a proteção de dados pessoais. Antes e/ou no momento da coleta de dados pessoais, a MuchoSur solicitará a autorização do Titular dos Dados para a coleta e o tratamento dos dados, indicando a finalidade para a qual os dados são solicitados. Para esses fins, serão utilizados meios técnicos automatizados, escritos ou orais, para preservar a prova da autorização e/ou da conduta inequívoca descrita no Artigo 2.2.2.25.2.2, Seção 2, Capítulo 25 do Decreto 1074 de 2015. A autorização do Titular dos Dados não será necessária nos seguintes casos:

● Os Dados Pessoais forem requeridos por uma entidade pública ou administrativa no exercício de suas funções legais ou por ordem judicial

● Se os dados são de natureza pública

● Em caso de emergência médica ou de saúde

● O tratamento de Dados Pessoais é autorizado por lei para fins históricos, estatísticos ou científicos

● Trata-se de dados relativos ao registo civil de pessoas


8. FORMA E MECANISMOS DE CONCESSÃO DE AUTORIZAÇÃO

A autorização do titular dos dados consta de cada um dos canais e mecanismos de recolha de dados do v, que garantem a sua consulta posterior e a manifestação da vontade do titular através dos seguintes meios:

● Por escrito.

● Oralmente.

● Através de canais automatizados.

● Por conduta inequívoca do proprietário que nos permita concluir razoavelmente que ele ou ela concedeu a autorização.

E, previamente e/ou no momento da coleta de dados pessoais, o Titular dos Dados será informado de forma clara e expressa do seguinte:

● O tratamento a que os seus dados pessoais serão sujeitos e a sua finalidade;

● A natureza opcional da resposta às perguntas formuladas quando estas se referem a dados sensíveis ou a dados de meninas, meninos e adolescentes;

● Os direitos que você tem como Proprietário;

● A identificação, endereço físico ou eletrônico e número de telefone da MuchoSur.


9. DIREITOS DOS TITULARES DAS INFORMAÇÕES

De acordo com as disposições do artigo 8º da Lei 1581 de 2012, artigo 2.2.2.25.4.1, seção 4, capítulo 25 do Decreto 1074 de 2015 (artigos 21 e 22 do Decreto 1377 de 2013), os Titulares dos Dados podem exercer uma série de direitos em relação ao tratamento dos seus dados pessoais. O Titular dos Dados Pessoais tem os seguintes direitos:

● Conhecer, atualizar e retificar seus Dados Pessoais perante os Controladores ou Processadores de Dados. Este direito poderá ser exercido, entre outros, contra dados parciais, inexatos, incompletos, fragmentados, enganosos ou cujo tratamento seja expressamente proibido ou não tenha sido autorizado.

● Solicitar comprovação da Autorização concedida ao Controlador de Dados, exceto quando expressamente dispensada como requisito para o tratamento, nos termos do disposto no artigo 10 da Lei 1581 de 2012.

● Ser informado pelo Controlador de Dados ou pelo Processador de Dados, mediante solicitação, sobre o uso que foi dado aos seus dados pessoais

● Apresentar reclamações à Superintendência da Indústria e Comércio por violações às disposições da Lei 1581 de 2012 e demais regulamentos que a modifiquem, complementem ou complementem.

● Revogar a Autorização e/ou solicitar a eliminação dos dados quando o tratamento não respeitar os princípios, direitos e garantias constitucionais e legais. A revogação e/ou eliminação ocorrerá quando a Superintendência da Indústria e Comércio determinar que, no tratamento, o Controlador adotou conduta contrária à lei ou à Constituição.

● Acessar seus Dados Pessoais processados gratuitamente. Política de Processamento de Dados Pessoais. Esses direitos podem ser exercidos pelas seguintes pessoas:

Pelo Titular dos Dados, que deverá comprovar suficientemente a sua identidade através dos diversos meios que lhe são disponibilizados pelo Responsável pelo Tratamento.

Por seus sucessores no título, que devem provar tal status.

Pelo representante e/ou procurador do Proprietário, mediante prévia credenciação da representação ou procuração.

Por estipulação em favor de outrem e para outrem.

Os direitos da criança ou do adolescente serão exercidos pelas pessoas autorizadas a representá-los.

Direito de acesso ou consulta

Este é o direito do Titular dos Dados de ser informado pelo controlador de dados, mediante solicitação, sobre a origem, uso e finalidade de seus dados pessoais.

● Direitos a reclamações e reivindicações

A Lei distingue quatro tipos de reivindicações:

Solicitação de correção: o direito do Titular dos Dados de ter seus dados parciais, inexatos, incompletos, fragmentados, enganosos atualizados, corrigidos ou modificados, ou de ter seus dados cujo tratamento seja expressamente proibido ou não autorizado.

Pedido de eliminação: direito do Titular dos Dados de ter os seus dados eliminados caso estes sejam inadequados, excessivos ou não respeitem os princípios, direitos e garantias constitucionais e legais.

Pedido de revogação: direito do Titular dos Dados de revogar a autorização anteriormente concedida para o tratamento dos seus dados pessoais.

Reivindicação de violação: o direito do titular dos dados de solicitar que uma violação dos regulamentos de proteção de dados seja corrigida.

● Direito de solicitar comprovativo da autorização concedida ao Responsável pelo Tratamento

Exceto quando expressamente isento como requisito para processamento de acordo com as disposições do Artigo 10 da LEPD.

● Direito de apresentar queixas por violações à Superintendência da Indústria e Comércio

O Titular dos Dados ou sucessor legal somente poderá apresentar solicitação (reclamação) à SIC – Superintendência da Indústria e Comércio após a conclusão do processo de consulta ou reclamação junto ao Controlador ou ao Subcontratante.


10. DEVERES DA MUCHOSUR EM RELAÇÃO AO TRATAMENTO DE DADOS PESSOAIS

A MuchoSur sempre terá em mente que os Dados Pessoais pertencem aos indivíduos a quem se referem e que somente eles têm o poder de tomar decisões sobre eles. Portanto, os utilizará apenas para os fins para os quais estiver devidamente autorizada e em conformidade com a Lei 1581 de 2012 sobre a proteção de dados pessoais.

De acordo com o disposto no artigo 17 da Lei 1581 de 2012, a MuchoSur compromete-se a cumprir permanentemente as seguintes obrigações:

● Garantir ao Titular, a todo o tempo, o pleno e efetivo exercício do habeas data

● Manter as informações nas condições de segurança necessárias para evitar sua adulteração, perda, consulta, utilização ou acesso não autorizado ou fraudulento.

● Solicitar e conservar, nas condições previstas em lei, cópia da respectiva Autorização concedida pelo titular

● Processar as consultas e reclamações formuladas pelos Proprietários nos termos indicados no artigo 14 da Lei 1581 de 2012

● Informar o Titular dos Dados, quando solicitado, sobre a utilização dos seus dados; Em relação ao Controlador de Dados:

Garantir que as informações fornecidas ao Processador de Dados sejam verdadeiras, completas, precisas, atualizadas, verificáveis e compreensíveis;

Atualizar as informações, comunicando prontamente ao Encarregado do Tratamento todas as novidades relativas aos dados anteriormente fornecidos e adotando as demais medidas necessárias para garantir que as informações fornecidas ao Encarregado do Tratamento permaneçam atualizadas;

Retificar informações quando estiverem incorretas e comunicar as informações relevantes ao Processador de Dados;

Informar o Encarregado do Tratamento quando determinada informação estiver a ser contestada pelo Titular dos Dados, uma vez apresentada a reclamação e não concluído o respetivo processo;

Fornecer ao Responsável pelo Tratamento, conforme o caso, apenas os dados cujo tratamento tenha sido previamente autorizado nos termos do disposto na presente lei;

Exigir que o Encarregado do Tratamento respeite, em qualquer momento, as condições de segurança e privacidade das informações do Titular dos Dados;

Em relação aos princípios e outras obrigações:

Observar os princípios de legalidade, finalidade, liberdade, qualidade, veracidade, transparência, acesso e circulação restritos, segurança e confidencialidade.

Adotar um manual interno de políticas e procedimentos para garantir o cumprimento adequado desta lei e, em particular, para o tratamento de consultas e reclamações;

Informar a autoridade de proteção de dados quando ocorrerem violações do código de segurança e quando houver riscos na gestão das informações dos Titulares dos Dados.

Cumprir as instruções e exigências emitidas pela Superintendência da Indústria e Comércio.

Manter as informações nas condições de segurança necessárias para evitar sua adulteração, perda, consulta, utilização ou acesso não autorizado ou fraudulento.


10.1 DEVERES COMO CONTROLADOR DE DADOS

A MuchoSur, como Responsável pelo Tratamento, cumprirá os seguintes deveres, sem prejuízo das demais disposições previstas nesta lei e nas demais leis que regem a sua atividade:

● Garantir ao Titular, a todo o tempo, o exercício pleno e efetivo do direito de habeas data;

● Manter as informações nas condições de segurança necessárias para evitar sua adulteração, perda, consulta, utilização ou acesso não autorizado ou fraudulento;

● Atualizar, retificar ou excluir dados prontamente de acordo com esta lei;

● Atualizar as informações reportadas pelos Responsáveis pelo Tratamento no prazo de cinco (5) dias úteis contados do recebimento;

● Processar as consultas e reclamações formuladas pelos Proprietários nos termos indicados na presente lei;

● Adotar um manual interno de políticas e procedimentos para garantir o devido cumprimento desta lei e, em particular, para atender a dúvidas e reclamações dos Proprietários;

● Cadastrar a legenda “reclamação em andamento” no banco de dados na forma regulamentada por esta lei;

● Inserir a legenda “informação em discussão judicial” na base de dados após notificação pela autoridade competente sobre processos judiciais relacionados à qualidade de dados pessoais;

● Abster-se de divulgar informações que estejam sendo contestadas pelo Titular e cujo bloqueio tenha sido determinado pela Superintendência da Indústria e Comércio;

● Permitir acesso à informação somente às pessoas que podem acessá-la;

● Informar a Superintendência da Indústria e Comércio quando ocorrerem violações de códigos de segurança e houver riscos na gestão das informações dos Titulares;

● Cumprir as instruções e exigências emitidas pela Superintendência da Indústria e Comércio.


10.2 ATENÇÃO AOS TITULARES DOS DADOS

Para atender a solicitações, consultas e reclamações relacionadas à proteção de dados pessoais, a MuchoSur nomeou um Encarregado da Proteção de Dados. Os titulares dos dados podem enviar suas solicitações ou consultas por meio dos seguintes canais:

E-mail: notificaciones.judiciales@sht.com.co Endereço: CR 13 26 30, BOGOTÁ DC - BOGOTÁ DC Telefones: 3820300 - 3160235242


10.3 PROCEDIMENTOS PARA O EXERCÍCIO DOS DIREITOS DO TITULAR DO DIREITO DE ACESSO

A MuchoSur garantirá ao Titular a livre consulta dos seus dados pessoais nos seguintes casos (artigo 2.2.2.25.4.2. secção 4 capítulo 25 do Decreto 1074 de 2015):

Pelo menos uma vez por mês.

Sempre que houver modificações substanciais nas políticas de processamento de informações que motivem novas consultas.

Para consultas com frequência superior a uma vez por mês civil, a MuchoSur poderá cobrar do Proprietário o envio, a reprodução e, quando aplicável, a certificação dos documentos. Os custos de reprodução não poderão exceder os custos de recuperação do material correspondente. Para tanto, a MuchoSur fornecerá comprovante de tais despesas à Superintendência da Indústria e Comércio, mediante solicitação.

O Titular dos Dados poderá exercer o direito de acesso ou consulta dos seus dados mediante solicitação por escrito dirigida à MuchoSur, enviada por e-mail para: notificaciones.judiciales@sht.com.co, indicando no assunto “Exercício do direito de acesso ou consulta”, ou por correio postal enviado para CR 13 26 30, BOGOTÁ DC - BOGOTÁ DC. A solicitação deverá conter as seguintes informações:

Nome e sobrenome do Titular.

Fotocópia do Cartão de Cidadão do Titular e, quando aplicável, de quem o representa, bem como do documento comprovativo dessa representação.

Petição na qual se especifica o pedido de acesso ou consulta.

Endereço para notificações, data e assinatura do requerente.

Documentos que comprovem a solicitação, quando aplicável. O Titular dos Dados poderá optar por um dos seguintes métodos para acessar o banco de dados e receber as informações solicitadas:

Exibição na tela.

Por escrito, com cópia ou fotocópia enviada por correio registado ou não.

E-mail ou outros meios eletrônicos.

Outro sistema adequado à configuração da base de dados ou à natureza do tratamento, oferecido pela MuchoSur

Uma vez recebida a solicitação, a MuchoSur resolverá a solicitação de consulta no prazo máximo de dez (10) dias úteis a partir da data de recebimento. Caso não seja possível atender à consulta dentro desse prazo, o interessado será informado, indicando os motivos do atraso e a data em que sua consulta será atendida, a qual, em nenhum caso, poderá exceder cinco (5) dias úteis após o término do primeiro prazo. Esses prazos estão estabelecidos no artigo 14 da LEPD.

Após a conclusão do processo de consulta, o Proprietário ou beneficiário poderá apresentar reclamação à Superintendência da Indústria e Comércio.


11. RECLAMAÇÕES

Os titulares dos dados podem exercer o seu direito de apresentar uma reclamação relativa aos seus dados escrevendo à MuchoSur, seja por e-mail para notificaciones.judiciales@sht.com.co, indicando "Exercício do direito de acesso ou consulta" no assunto, ou por correio para CR 13 26 30, BOGOTÁ DC - BOGOTÁ DC. A solicitação deve conter as seguintes informações:

Nome e sobrenome do Titular.

Fotocópia do Cartão de Cidadão do Titular e, quando aplicável, de quem o representa, bem como do documento comprovativo dessa representação.

Descrição dos fatos e solicitação especificando o pedido de correção, exclusão, revogação ou inflação.

Endereço para notificações, data e assinatura do requerente.

Documentos que comprovem a solicitação que você deseja fazer valer, quando aplicável.

Caso a solicitação esteja incompleta, o interessado deverá, no prazo de cinco (5) dias a contar do recebimento, corrigir as deficiências. Decorridos dois (2) meses da data da solicitação, caso o requerente não apresente as informações exigidas, entender-se-á que a solicitação foi retirada.

Após o recebimento da reclamação completa, uma legenda informando "reclamação em andamento" e o motivo da reclamação será adicionada ao banco de dados em um prazo máximo de dois (2) dias úteis. Essa legenda deverá permanecer em vigor até que a reclamação seja decidida.

A MuchoSur resolverá a reclamação no prazo máximo de quinze (15) dias úteis a contar da data de recebimento. Caso não seja possível atender à reclamação dentro deste prazo, o interessado será informado dos motivos do atraso e da data em que a sua reclamação será atendida, a qual em nenhum caso poderá exceder oito (8) dias úteis após o término do primeiro prazo.

Esgotado o processo de reclamação, o Titular ou beneficiário poderá apresentar reclamação à Superintendência da Indústria e Comércio.


11.1 AUTORIZADO A RECEBER INFORMAÇÕES

A MuchoSur fornecerá as informações dos titulares de suas bases de dados às seguintes pessoas autorizadas ou habilitadas para recebê-las, de acordo com o artigo 13 da Lei 1581 de 2012:

Aos Titulares, seus sucessores em título ou seus representantes legais;

A entidades públicas ou administrativas no exercício de suas funções legais ou por ordem judicial;

A terceiros autorizados pelo Proprietário ou por lei.


11.2 VERIFICAÇÃO DA AUTORIDADE PARA SOLICITAR OU RECEBER INFORMAÇÕES

Para processar uma solicitação de consulta ou reclamação, o requerente deverá fornecer os seguintes documentos que comprovem a titularidade ou a autorização para receber as informações solicitadas, de acordo com os seguintes casos:

Titular: Cópia do documento de identidade.

Sucessor legal: Documento de identidade, registro civil de óbito do Titular, documento comprobatório da qualidade em que atua e cópia do documento de identidade do Titular.

Representante legal e/ou procurador: Documento de identidade válido, documento que comprove a qualidade em que atua (Procuração) e cópia do documento de identidade do Proprietário.


12. PROCESSAMENTO DE DADOS EM SISTEMAS DE VIDEOVIGILÂNCIA

A MuchoSur informará as pessoas sobre a existência de mecanismos de videovigilância, afixando avisos visíveis ao alcance de todos os titulares dos dados e instalando-os em áreas de videovigilância, principalmente nas entradas e no interior das instalações monitoradas e supervisionadas. Esses avisos incluirão informações sobre o Controlador de Dados, as finalidades do tratamento, os direitos do Titular dos Dados, os canais disponíveis para o exercício dos direitos do Titular dos Dados e o local da Política de Tratamento de Dados.

Por outro lado, conservará as imagens apenas pelo tempo estritamente necessário ao cumprimento da finalidade do tratamento e inscreverá a base de dados que armazena as imagens no Cadastro Nacional de Bases de Dados, salvo se o Tratamento consistir unicamente na reprodução ou difusão de imagens em tempo real.

O acesso e a divulgação das imagens serão restritos a pessoas autorizadas pelo Controlador de Dados e/ou mediante solicitação de autoridade no exercício de suas funções. Consequentemente, a divulgação das informações coletadas será controlada e consistente com a finalidade estabelecida pelo Controlador de Dados.


13. MEDIDAS DE SEGURANÇA

Para cumprir com o princípio de segurança consagrado no artigo 4, alínea g) da LEPD (Lei de Proteção Jurídica), a MuchoSur implementou as medidas técnicas, humanas e administrativas necessárias para garantir a segurança dos registros, impedindo sua alteração, perda, acesso, uso ou consulta não autorizados ou fraudulentos.

Além disso, a MuchoSur, ao assinar os correspondentes contratos de transferência de dados, exigiu que os responsáveis pelo tratamento com os quais trabalha implementem as medidas de segurança necessárias para garantir a segurança e a confidencialidade das informações no tratamento de dados pessoais.

Abaixo estão as medidas de segurança implementadas pela MuchoSur, que são coletadas e desenvolvidas em suas Políticas de Segurança Interna PL-02 (Tabelas I, II, III e IV).

TABELA I: Medidas de segurança comuns para todos os tipos de dados (públicos, privados, confidenciais, reservados) e bases de dados (automatizadas, não automatizadas)

Gestão de documentos e mídia

1. Medidas para impedir o acesso não autorizado ou a recuperação de dados que foram descartados, excluídos ou destruídos.

2. Acesso restrito ao local onde os dados estão armazenados.

3. Autorização do responsável pela gestão das bases de dados para saída de documentos ou suportes por meios físicos ou eletrônicos.

4. Sistema de rotulagem ou identificação do tipo de informação.

5. Inventário de suportes.

6. O acesso dos usuários é limitado aos dados necessários ao desempenho de suas funções.

Controle de acesso

1. Lista atualizada de usuários e acessos autorizados.

2. Mecanismos para impedir o acesso aos dados com direitos diferentes dos autorizados.

3. Concessão, alteração ou cancelamento de autorizações por pessoal autorizado

TABELA I: Medidas de segurança comuns para todos os tipos de dados (públicos, privados, confidenciais, reservados) e bases de dados (automatizadas, não automatizadas)

Incidentes

1. Registro de incidentes: tipo de incidente, hora da ocorrência, emissor da notificação, destinatário da notificação, efeitos e medidas corretivas.

2. Procedimento para reportar e gerenciar incidentes.

Funcionários

1. Definição das funções e obrigações dos usuários com acesso aos dados.

2. Definição das funções de controle e autorizações delegadas pelo controlador de dados.

3. Divulgação entre os funcionários das regras e das consequências do seu descumprimento.

Manual de Segurança Interna

1. Elaboração e implementação do manual obrigatório para o pessoal.

2. Conteúdo mínimo: âmbito de aplicação, medidas e procedimentos de segurança, funções e obrigações do pessoal, descrição das bases de dados, procedimento de incidentes, identificação dos responsáveis pelo tratamento dos dados.

Bancos de dados não automatizados

Arquivo

1. Arquivamento da documentação seguindo procedimentos que garantam a correta conservação, localização e consulta, que permitam o exercício dos direitos dos Titulares.

Armazenamento de documentos

2. Dispositivos de armazenamento com mecanismos que impeçam o acesso de pessoas não autorizadas.

Custódia de documentos

3. Dever de diligência e guarda do responsável pelos documentos durante a sua análise ou tramitação.

Bancos de dados automatizados

Identificação e autenticação

1. Identificação personalizada do usuário para acesso aos sistemas de informação e verificação de sua autorização.

2. Mecanismos de identificação e autenticação; Senhas: atribuição e expiração.

Telecomunicações

1. Acesso a dados através de redes seguras.

TABELA III: Medidas de segurança para dados privados de acordo com o tipo de base de dados

Bancos de dados não automatizados

Auditoria

1. Auditoria ordinária (interna ou externa) a cada dois meses.

2. Auditoria extraordinária devido a modificações substanciais nos sistemas de informação.

3. Relatório sobre a detecção de deficiências e proposta de correções.

4. Análise e conclusões do responsável pela segurança e do responsável pelo tratamento de dados.

Oficial de Segurança

1. Nomeação de um ou mais Administradores de Banco de Dados.

2. Designação de uma ou mais pessoas responsáveis pelo controle e coordenação das medidas do Manual de Segurança Interna.

3. Proibição de delegação da responsabilidade do Controlador de Dados aos Administradores de Banco de Dados.

Manual de Segurança Interna

1. Controles periódicos de conformidade.

Bancos de dados automatizados Gerenciamento de documentos e mídia

1. Registro de documentos e mídias recebidos e enviados: data, remetente e destinatário, número, tipo de informação, método de entrega, responsável pelo recebimento ou entrega. Controle de acesso

2. Controle de acesso ao local ou locais onde os sistemas de informação estão localizados.

Identificação e autenticação

1. Mecanismo que limita o número de tentativas repetidas de acesso não autorizado.

2. Mecanismos de criptografia de dados para transmissão.

Incidentes

1. Registro de procedimentos de recuperação de dados, pessoa que os executa, dados restaurados e dados registrados manualmente.

2. Autorização do responsável pelo tratamento para a execução de procedimentos de recuperação.

TABELA IV: Medidas de segurança para dados sensíveis de acordo com o tipo de base de dados

Bancos de dados não automatizados

Controle de acesso

1. Acesso somente para pessoal autorizado.

2. Mecanismo de identificação de acesso.

3. Registro de acesso de usuários não autorizados.

4. Destruição que impeça o acesso ou a recuperação de dados.

Armazenamento de documentos

1. Armários de arquivo, armários ou outros itens localizados em áreas de acesso protegidas com chaves ou outras medidas.

2. Medidas que impeçam o acesso ou a manipulação de documentos armazenados fisicamente.

Bancos de dados automatizados

Controle de acesso

1. Sistema de rotulagem confidencial.

Identificação e autenticação

1. Mecanismos de criptografia de dados para transmissão e armazenamento.

Armazenamento de documentos

1. Registro de acesso: usuário, hora, banco de dados acessado, tipo de acesso, registro acessado

2. Controle de log de acesso pelo agente de segurança. Relatório mensal.

Telecomunicações

1. Acesso e transmissão de dados através de redes eletrônicas seguras.

2. Transmissão de dados através de redes criptografadas (VPN).


14. COOKIES OU BUGS DA WEB

A MuchoSur pode coletar informações pessoais de seus Usuários enquanto estes utilizam o Site, Aplicativo ou Páginas Vinculadas (Landing Pages). Os Usuários podem optar por ter essas informações pessoais armazenadas no Site, Aplicativo ou Portal Vinculado (Landing Page) para facilitar as transações e os serviços fornecidos pela MuchoSur e/ou seus Portais Vinculados (Landing Pages). Portanto, a MuchoSur utiliza diversas tecnologias de rastreamento e coleta de dados, como cookies próprios e de terceiros. Esta é uma ferramenta de análise que ajuda os proprietários de sites e aplicativos a entender como os visitantes interagem com suas propriedades. Esta ferramenta pode utilizar um conjunto de cookies para coletar informações e fornecer estatísticas de uso do site sem identificar pessoalmente os visitantes ao Google. Essas informações nos permitem entender seus padrões de navegação e oferecer serviços personalizados. A MuchoSur pode usar essas tecnologias para autenticá-lo, lembrar suas preferências de uso do site, aplicativo e páginas vinculadas (landing pages), apresentar ofertas que podem ser do seu interesse e facilitar transações, analisar o uso do site, aplicativo ou páginas vinculadas e seus serviços, usá-las de forma agregada ou combiná-las com informações pessoais que temos e compartilhá-las com entidades autorizadas.

Caso o usuário não deseje que suas informações pessoais sejam coletadas por meio de cookies, ele pode alterar as configurações do seu navegador. No entanto, é importante observar que, se um navegador não aceitar cookies, alguns sites, aplicativos e/ou páginas vinculadas (landing pages) podem não estar disponíveis ou funcionar corretamente. Você pode permitir, bloquear ou excluir os cookies instalados no seu dispositivo configurando as opções do navegador instalado no seu dispositivo, da seguinte forma:

Chrome

Microsoft Edge

Firefox

Safari


15. PROCEDIMENTO DE NOTIFICAÇÃO, GESTÃO E RESPOSTA A INCIDENTES

A MuchoSur estabelece um procedimento de reporte, gestão e resposta a incidentes para garantir a confidencialidade, disponibilidade e integridade das informações contidas nas bases de dados sob sua responsabilidade.

Os usuários e responsáveis pelos procedimentos, bem como qualquer pessoa envolvida no armazenamento, processamento ou consulta dos bancos de dados incluídos neste documento, devem estar familiarizados com o procedimento de resposta a um incidente.

O procedimento para relatar, gerenciar e responder a incidentes é o seguinte:

● Quando uma pessoa toma conhecimento de um incidente (perda, roubo e/ou acesso não autorizado) que afeta ou pode afetar a confidencialidade, disponibilidade e integridade das informações protegidas da empresa ou de qualquer um dos Gerentes, deve notificar imediatamente o Encarregado da Proteção de Dados, E-mail: notificaciones.judiciales@sht.com.co, descrevendo detalhadamente o tipo de incidente ocorrido e indicando as pessoas que podem ter estado relacionadas com o incidente, a data e hora em que ocorreu, a pessoa que notificou o incidente, a pessoa a quem foi comunicado e os efeitos que produziu.

● Após a comunicação do incidente, você deverá solicitar ao Encarregado da Proteção de Dados um aviso de recebimento, que inclua a notificação do incidente com todos os requisitos acima listados.

● A MuchoSur cria um registro de incidentes que deve conter: o tipo de incidente (fraude interna ou externa, danos a ativos físicos, falhas tecnológicas, execução e administração de processos), data e hora do incidente, a pessoa que o reportou, a pessoa a quem foi reportado, os efeitos do incidente e as medidas corretivas, quando aplicável. Este registro é gerenciado pelo Encarregado da Proteção de Dados; consulte o FR-08 Registro de Incidentes de Segurança.

● Da mesma forma, você deve implementar procedimentos para recuperação de dados quando aplicável, indicando quem executou o processo, os dados restaurados e, quando aplicável, os dados que exigiram registro manual durante o processo de recuperação.

● Adicionalmente, o Encarregado da Proteção de Dados deverá informar a Superintendência da Indústria e Comércio, através do RNBD, no prazo de 15 dias úteis após a sua deteção.

● Por fim, a MuchoSur notificará os Titulares do incidente quando for identificado que eles podem ser significativamente afetados.


16. GESTÃO DE RISCOS ASSOCIADOS AO TRATAMENTO DE DADOS

A MuchoSur identificou riscos relacionados ao tratamento de dados pessoais e estabeleceu controles para mitigar suas causas por meio da implementação das Políticas de Segurança Interna PL-02. Para tanto, estabelecerá um sistema de gestão de riscos, juntamente com as ferramentas, indicadores e recursos necessários à sua administração, quando a estrutura organizacional, os processos e procedimentos internos, a quantidade de bancos de dados e os tipos de dados pessoais tratados pela organização forem considerados expostos a eventos ou situações frequentes ou de alto impacto que afetem a prestação adequada dos serviços ou ameacem as informações dos titulares dos dados.

O sistema de gestão de riscos determinará as fontes, como tecnologia, recursos humanos, infraestrutura e processos, que requerem proteção, suas vulnerabilidades e ameaças, a fim de avaliar seu nível de risco. Portanto, para garantir a proteção dos dados pessoais, serão considerados o tipo ou grupo de indivíduos internos e externos e os diferentes níveis de autorização de acesso. Da mesma forma, será monitorada a possibilidade de qualquer tipo de evento ou ação que possa causar danos (materiais ou imateriais), como:

● Criminalidade: Entendida como ações, causadas pela intervenção humana, que violam a lei e são por ela penalizadas.

● Eventos de origem física: Entendidos como eventos naturais e técnicos, bem como eventos causados indiretamente pela intervenção humana.

● Negligência e decisões institucionais: são entendidas como as ações, decisões ou omissões de pessoas com poder e influência sobre o sistema. Ao mesmo tempo, são as ameaças menos previsíveis, pois estão diretamente relacionadas ao comportamento humano.

● A MuchoSur implementará medidas de proteção em seu programa de gerenciamento de riscos para prevenir ou minimizar danos caso uma ameaça se materialize.


17. FORNECIMENTO DE DADOS PESSOAIS ÀS AUTORIDADES

Quando uma entidade pública ou administrativa, no exercício de suas funções legais ou por ordem judicial, solicitar à MuchoSur o acesso e/ou o fornecimento de dados pessoais contidos em qualquer uma de suas bases de dados, será verificada a legalidade da solicitação e a pertinência dos dados solicitados para a finalidade declarada pela autoridade. Para o fornecimento, será assinado um documento indicando os dados da entidade solicitante e as características dos dados pessoais solicitados, especificando a obrigação de garantir os direitos do Titular dos Dados, tanto perante o responsável pela solicitação, quanto perante a pessoa que a recebe e perante a entidade solicitante.


18. TRANSFERÊNCIA E TRANSMISSÃO INTERNACIONAL DE DADOS PESSOAIS

A MuchoSur transferirá dados pessoais para países que ofereçam níveis adequados de proteção de dados. Considera-se que um país oferece um nível adequado de proteção de dados quando atende aos padrões estabelecidos pela Superintendência da Indústria e Comércio (Superintendência de Comércio e Indústria) sobre a matéria, os quais, em nenhum caso, poderão ser inferiores aos exigidos pela Lei 1581 de 2012 para seus destinatários. Esta proibição não se aplicará nos seguintes casos:

● Informações para as quais o Titular dos Dados deu sua autorização expressa e inequívoca para transferência.

● Troca de dados médicos quando exigido pelo tratamento do Titular dos Dados por razões de saúde ou higiene pública.

● Transferências bancárias ou de ações, de acordo com a legislação aplicável.

● Transferências acordadas no âmbito de tratados internacionais dos quais a República da Colômbia é parte, com base no princípio da reciprocidade.

● Transferências necessárias para a execução de um contrato entre o Controlador de Dados e o controlador de dados, ou para a execução de medidas pré-contratuais, desde que seja obtida a autorização do Controlador de Dados.

● Transferências legalmente exigidas para salvaguardar o interesse público, ou para o reconhecimento, exercício ou defesa de um direito em um processo judicial.

Nos casos em que seja necessária a transferência de dados e o país de destino não conste na lista de países considerados portos seguros designada pela Superintendência da Indústria e Comércio, deverá ser processada pela mesma entidade uma declaração de conformidade referente à aprovação da transferência internacional de dados pessoais.

As transferências internacionais de dados pessoais entre a MuchoSur e um processador de dados, para permitir que o processador processe os dados em nome do controlador, não exigem a notificação ou o consentimento do titular dos dados, desde que exista um contrato de transferência de dados pessoais. Este contrato de transferência de dados pessoais deve ser assinado entre o controlador e o processador de dados para definir o escopo do processamento de dados pessoais sob seu controle e responsabilidade, bem como as atividades que o processador realizará em nome do controlador e as obrigações do processador de dados para com o titular dos dados. Além disso, o processador de dados deve cumprir as seguintes obrigações e aplicar as normas de proteção de dados em vigor na Colômbia.

● Tratar, em nome do Controlador, dados pessoais de acordo com os princípios que os protegem.

● Salvaguardar a segurança das bases de dados que contêm dados pessoais.

● Manter a confidencialidade quanto ao tratamento de dados pessoais. As condições acima estabelecidas para transmissões internacionais de dados também se aplicam às transmissões nacionais de dados.


19. PROCESSAMENTO DE DADOS BIOMÉTRICOS

Dados biométricos armazenados em bancos de dados são coletados e processados estritamente para fins de segurança, para verificar a identidade pessoal e controlar o acesso de funcionários, clientes e visitantes. Mecanismos de identificação biométrica capturam, processam e armazenam informações relacionadas, entre outras coisas, às características físicas de uma pessoa (impressões digitais, reconhecimento de voz e características faciais) para estabelecer ou "autenticar" a identidade de cada indivíduo.

A administração de bases de dados biométricas é realizada com medidas técnicas de segurança que garantem o cumprimento dos princípios e obrigações decorrentes da Lei Orgânica de Proteção de Dados, assegurando também a confidencialidade e a confidencialidade das informações dos titulares dos dados.


20. REGISTRO NACIONAL DE BASES DE DADOS – RNBD

O prazo para registro de bancos de dados no RNBD será o estabelecido em lei. Além disso, de acordo com o Artigo 12 do Decreto 886 de 2014, os Controladores de Dados devem registrar seus bancos de dados no Registro Nacional de Bancos de Dados na data em que a Superintendência da Indústria e Comércio habilitar o referido registro, de acordo com as instruções emitidas por essa entidade para esse fim. Os bancos de dados criados após esse prazo devem ser registrados em até dois (2) meses a partir de sua criação.


21. SEGURANÇA DA INFORMAÇÃO

O cumprimento do marco regulatório de Proteção de Dados Pessoais, bem como a segurança, confidencialidade e/ou confidencialidade das informações armazenadas em bancos de dados, é de vital importância para a MuchoSur. Por isso, estabelecemos políticas, diretrizes, procedimentos e padrões de segurança da informação, que podem ser alterados a qualquer momento para se adaptar a novas regulamentações e às necessidades da MuchoSur. O objetivo é proteger e preservar a integridade, a confidencialidade e a disponibilidade das informações e dos dados pessoais.

Também garantimos que na coleta, armazenamento, utilização e/ou processamento, destruição ou exclusão das informações fornecidas, contamos com ferramentas tecnológicas de segurança e implementamos práticas de segurança que incluem: transmissão e armazenamento de informações sensíveis por meio de mecanismos seguros, utilização de protocolos seguros, proteção de componentes tecnológicos, restrição de acesso às informações somente a pessoal autorizado, backup das informações e práticas seguras de desenvolvimento de software, entre outras.

Caso seja necessário fornecer informações a terceiros em razão da existência de uma relação contratual, celebramos um contrato de transmissão para garantir a confidencialidade e a reserva das informações, bem como o cumprimento desta Política de Tratamento de Dados, das políticas e manuais de segurança da informação e dos protocolos de atendimento aos titulares dos dados estabelecidos na MuchoSur. Em qualquer caso, assumimos compromissos para a proteção, o cuidado, a segurança e a preservação da confidencialidade, integridade e privacidade dos dados armazenados.


22. GESTÃO DE DOCUMENTOS

Documentos que contêm dados pessoais devem ser facilmente recuperáveis, razão pela qual a localização de cada documento, tanto física quanto digital, deve ser documentada. Essas rotas de armazenamento devem ser inspecionadas com frequência. Sua preservação deve ser garantida definindo o meio em que serão armazenados e em que condições serão preservados, levando em consideração as condições ambientais, os locais de armazenamento, os riscos aos quais estão expostos, entre outros. O tempo de retenção dos documentos é determinado com base nos requisitos legais, se aplicável. Caso contrário, cada organização o define de acordo com suas necessidades. Da mesma forma, sua disposição final deve ser clara, identificando se são reciclados, reutilizados, preservados, digitalizados, entre outros. Documentos relacionados à proteção de dados pessoais devem ser preparados por pessoal competente ou por uma entidade. Da mesma forma, a organização deve ser a única a revisar e aprovar todos os documentos e registrá-los na caixa de aprovação de documentos.

Para garantir a fácil rastreabilidade, os documentos devem ser codificados, atualizados e modificados pela equipe responsável. Essa modificação será realizada sempre que necessário. A exclusão de documentos deve ser justificada no histórico, localizado na parte inferior de todos os documentos.

Tanto os documentos físicos quanto os digitais que contenham dados pessoais devem ser protegidos de agentes externos ou internos que possam alterar seu conteúdo, seguindo as diretrizes descritas no Manual de Políticas de Segurança Interna PL-02.

A distribuição de documentos que contenham dados pessoais será realizada pelo responsável pelo tratamento, que documentará a prova dessa distribuição, especificando, entre outros, o tipo de documento e a identificação da pessoa a quem a informação foi entregue.

Deve ser designada uma pessoa responsável por garantir a confidencialidade dos dados pessoais dos titulares dos dados. Essa pessoa deverá resguardar os documentos, garantir sua proteção física e digital, impedir alterações nas informações e garantir que os documentos que saem de sua custódia sejam identificados e facilmente rastreáveis.

A MuchoSur reserva-se o direito de fazer modificações ou atualizações nesta Política a qualquer momento para atender a desenvolvimentos legislativos, políticas internas ou novos requisitos para o fornecimento ou oferta de seus serviços ou produtos.


23. VALIDADE

Esta atualização da Política entrará em vigor em 01/09/2023. Os bancos de dados da MuchoSur serão processados pelo tempo que for razoável e necessário para a finalidade para a qual os dados são coletados e de acordo com a autorização concedida pelos titulares dos dados pessoais.