Política de Privacidade A DRIZZLE LTDA respeita a sua privacidade, com o compromisso de proteger os seus dados pessoais. Para cumprir esse propósito precisamos tratar alguns dados pessoais de nossos clientes, o que fazemos de forma responsável e em total respeito à privacidade. OBJETIVO Esta Política estabelece as orientações gerais para a proteção de dados pessoais dentro do ambiente corporativo da DRIZZLE LTDA, uma vez que na execução de suas operações, a empresa coleta, manuseia e armazena informações que podem estar relacionadas a pessoas físicas identificadas e/ou identificáveis (“Dados Pessoais”), com vistas a: Estar em conformidade com as leis e regulamentações aplicáveis de proteção de Dados Pessoais e seguir as melhores práticas; Proteger os direitos dos Integrantes, clientes, fornecedores e parceiros contra os riscos de violações de Dados Pessoais; Ser transparente com relação aos procedimentos da DRIZZLE LTDA no Tratamento de Dados Pessoais; e Promover a conscientização em toda DRIZZLE LTDA em relação à proteção de Dados Pessoais e questões de privacidade. Em particular, esta política exige que a equipe garanta que o DPO (Data Protection Officer) ou (Encarregado de Proteção de Dados), seja consultado antes que qualquer nova atividade significativa de processamento de dados seja iniciada para garantir que as etapas de conformidade relevantes sejam tratadas. A DRIZZLE LTDA, está totalmente comprometida em garantir a implementação contínua e eficaz desta política e espera que todos os funcionários compartilhem esse compromisso. Qualquer violação desta política será apurada e poderá resultar em uma ação disciplinar ABRANGÊNCIA Esta Norma aplica-se a DRIZZLE LTDA e a todos os colaboradores, administradores, fornecedores, terceiros e a todos os parceiros, tanto no Brasil quanto no exterior, e a todos os integrantes que tenham acesso a quaisquer Dados Pessoais detidos pela DRIZZLE LTDA . DEFINIÇÕES • Administradores: Quando referidos no singular ou plural, são os Diretores Estatutários, os membros do Conselho de Administração e dos Comitês de Assessoramento a este último. • Anonimização: É o processo pelo qual as informações pessoais relativas aos indivíduos se tornam não identificáveis, considerando-se a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu processamento. Dado anonimizado não é considerado Dado Pessoal. • Clientes: São os usuários dos serviços prestados pela DRIZZLE LTDA. • Colaborador(es): Inclui: (i) os empregados contratados mediante contrato de trabalho e sob o regime da Consolidação das Leis do Trabalho, (ii) os estagiários, (iii) os menores aprendizes e (iv) os empregados temporários. • Confidencialidade: Propriedade da informação, em que a mesma não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. • Consentimento: Manifestação livre, informada e inequívoca pela qual o Titular concorda com o Tratamento de seus Dados Pessoais para uma finalidade determinada. • Controlador: Pessoa jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados Pessoais. • Dado(s) Pessoal(is): Qualquer informação relativa a uma pessoa singular identificada ou identificável, que pode ser identificada, direta ou indiretamente, por referência a um identificador como nome, número de identificação, dados de localização, identificador on-line ou a um ou mais fatores específicos a identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa natural. • Dado(s) Pessoal(is) Sensível(is): Todo Dado Pessoal que pode gerar qualquer tipo de discriminação, como por exemplo os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico; 2 • Data Protection Expert (DPE): Especialista no tema de Proteção de Dados local/regional, com as atribuições e responsabilidades de um DPO, porém, com reduzido ou nenhum poder decisório. • “Encarregado de Proteção de Dados” ou “Data Protection Officer (“DPO”)”: O indivíduo designado como encarregado formal/oficial de proteção de dados, conforme previsto nas leis de proteção de dados, tais como GDPR e LGPD, para um determinado território. O DPO pode ser um integrante ou uma pessoa terceirizada. • Informações pessoais: Qualquer informação relacionada direta ou indiretamente ao cliente ou a qualquer pessoa, que possa ser usada para identificar ou contatar uma pessoa ou cliente. Consistirá, especialmente, em informações de caráter físico, psicológico, mental, econômico, cultural ou social do cliente ou pessoa. • Informações não pessoais: Dados analisados de forma independente e não permitem a associação direta a um cliente específico. Exemplos de informações não pessoais: ocupação, idioma, código postal, código de área, localização e fuso horário, atividades do cliente e usuários em nossos sites, produtos e serviços. • Integrante(s): Funcionários/empregados que trabalham na DRIZZLE LTDA em todos os níveis, incluindo executivos, conselheiros, diretores, estagiários e aprendizes (conforme aplicabilidade nas localidades geográficas). • Política de Segurança da Informação: Diretrizes corporativas globais da DRIZZLE LTDA sobre Segurança da Informação, que podem ser alteradas periodicamente. • Processador ou Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador. • Pseudoanonimização: É um processo pelo qual os Dados Pessoais não mais se relacionam diretamente com uma pessoa identificável (por exemplo, mencionando seu nome), mas não é anônimo, porque ainda é possível, com informações adicionais, que são mantidas separadamente, identificar uma pessoa. • Segurança da Informação: Área responsável por proteger a integridade, disponibilidade e confidencialidade dos sistemas de TI e deve implementar as medidas adequadas para alcançar este objetivo, sendo o apoio técnico do Líder de Privacidade Corporativo e responsável pelas questões relacionadas às medidas técnicas e administrativas. • Terceiros ou “Parceiro(s): Qualquer pessoa, física ou jurídica, que atue em nome, no interesse ou para o benefício da DRIZZLE LTDA , preste serviços ou forneça outros bens, assim como Parceiros comerciais que prestem serviços a DRIZZLE LTDA , diretamente relacionados à obtenção, retenção ou facilitação de negócios, ou para a condução de assuntos da DRIZZLE LTDA , incluindo, sem limitação, quaisquer distribuidores, agentes, corretores, despachantes, intermediários, Parceiros de cadeia de suprimentos, consultores, revendedores, contratados e outros prestadores de serviços profissionais. • Titular(es) de Dados: Pessoa natural singular identificada ou identificável a quem se refere um Dado Pessoal específico. • Tratamento de Dados Pessoais ou Tratamento: Qualquer operação ou conjunto de operações efetuadas sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, por meios automatizados ou não automatizados, tais como a coleta, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o pagamento ou a destruição do dado. • Encarregado de Proteção de Dados ou Data Protection Officer (“DPO”): O indivíduo designado como encarregado formal/oficial de proteção de dados, conforme previsto nas leis de proteção de dados, tais como GDPR e LGPD, para um determinado território. O DPO pode ser um integrante ou uma pessoa terceirizada. • GDPR: Regulamento (UE) 2016/679 do Parlamento Europeu de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao Tratamento de Dados Pessoais e à livre circulação desses dados e que revoga a Diretiva 95 / 46 / CE (Regulamento Geral de Proteção de Dados). • LGPD: Legislação brasileira nº 13.709/2018, comumente conhecida como Lei Geral de Proteção de Dados Pessoais, que regula as atividades de Tratamento de Dados Pessoais e que também altera os artigos 7º e 16 do Marco Civil da Internet. CONSIDERAÇÕES INICIAIS Para buscar a garantia de que as informações pessoais estão seguras, a DRIZZLE LTDA comunicará ativamente as diretrizes de privacidade e segurança aos: 3 (i) Colaboradores e administradores da DRIZZLE LTDA; (ii) Colaboradores e administradores das empresas contratadas da DRIZZLE LTDA ; e (iii) Representantes legais da DRIZZLE LTDA no Brasil e no exterior. Além disso, a DRIZZLE LTDA exige que os listados acima atuem ativamente na aplicação desta política, impondo-se-lhes estritamente as salvaguardas de privacidade. Ademais, deve considerar que o descumprimento desta Política deve significar grave insubordinação por parte do administrador e/ou colaborador, e deve sujeitar a aplicação de medidas disciplinares. Todas as diretrizes desta política são igualmente aplicáveis aos Terceiros. Todos os Colaboradores e Administradores da DRIZZLE LTDA são responsáveis por garantir que esta política será divulgada e compreendida por terceiros, especialmente (i) pelas empresas contratadas da DRIZZLE LTDA, (ii) pelos Representantes legais da DRIZZLE LTDA, (iii) pelos parceiros da DRIZZLE LTDA, e (iv) pelos fornecedores da DRIZZLE LTDA . Todos os Colaboradores e Administradores da DRIZZLE LTDA deverão seguir os princípios e diretrizes desta Política. Para tanto, eles devem buscar e disseminar ativamente as premissas nela contidas, participando, inclusive, de todos os treinamentos promovidos pela DRIZZLE LTDA . Em hipótese alguma, nenhum dos abrangidos por esta Política tem ou terá autorização para descumprila, direta ou indiretamente. Esta política será aplicável e deverá ser cumprida ainda que, em determinados aspectos, a legislação aplicável seja menos rigorosa. É mandatório que todos dediquem um tempo para conhecer nossas práticas de privacidade. DIRETRIZES 5.1 Coletar e usar informações pessoais Princípios de proteção de dados pessoais Esta seção descreve os princípios que devem ser observados na coleta, manuseio, armazenamento, divulgação e Tratamento de “Dados Pessoais” pela DRIZZLE LTDA para atender aos padrões de proteção de dados no âmbito corporativo e estar em conformidade com a legislação e regulamentação aplicáveis nos respectivos países onde a DRIZZLE LTDA tiver operação ou atividade comercial. A DRIZZLE LTDA trata os Dados Pessoais de forma justa, transparente e em conformidade com legislação e regulamentação aplicáveis. A DRIZZLE LTDA somente trata Dados Pessoais quando o propósito/finalidade do Tratamento se enquadra em uma das hipóteses legais permitidas, abaixo elencadas, sendo certo que os Titulares de Dados devem ser informados sobre a razão e a forma pela qual seus Dados Pessoais estão sendo tratados antes ou durante a coleta: Necessidade para a execução de um contrato do qual o Titular dos Dados é parte; Exigência decorrente de lei ou regulamento ao qual a DRIZZLE LTDA está sujeita; Interesse legítimo pelo Tratamento, hipótese na qual tal interesse legítimo será comunicado previamente; e Necessidade de prover ao Titular dos Dados o exercício regular de direito em processo judicial, administrativo ou arbitral. Quando o Tratamento de Dados Pessoais não se enquadrar nas hipóteses acima, a DRIZZLE LTDA deve obter o Consentimento dos Titulares dos Dados, e assegurar que este Consentimento seja obtido de forma específica, livre, inequívoca e informada. A DRIZZLE LTDA deve coletar, armazenar e gerenciar todas as respostas de consentimento de maneira organizada e acessível, para que a comprovação de consentimento possa ser fornecida quando necessário. Da mesma forma, o Titular de Dados deve ter a possibilidade de retirar o seu Consentimento a qualquer momento com a mesma facilidade que foi fornecido. Em algumas circunstâncias a DRIZZLE LTDA também pode ser obrigado a tratar Dados Pessoais Sensíveis, envolvendo, mas não se limitando a: Dados relacionados à saúde ou à vida sexual; Dados genéticos ou biométricos vinculados a uma pessoa física; Dados sobre orientação sexual; Dados sobre condenações ou ofensas criminais; Dados que evidenciem a origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas; e Dados referentes à convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político. Do Tratamento de Dados Pessoais Sensíveis 4 O tratamento de dados pessoais sensíveis é proibido, exceto nos casos específicos descritos abaixo, nos quais deverão ser observados padrões de segurança mais robustos como: seguranças mais críticas e anonimização, do que os empregados aos demais Dados Pessoais: Quando for necessário para o cumprimento de obrigação legal ou regulatória; Quando for necessário para o exercício regular de direitos como, por exemplo, defesa ou proposição de ações judiciais ou administrativas ou arbitrais; Quando for necessário para o cumprimento de obrigações e o exercício de direitos em matéria de emprego, previdência social e proteção social; Para proteção à vida ou à incolumidade física do Titular do Dado, incluindo dados médicos com fins preventivos e ocupacionais; Para fins de promoção ou manutenção de igualdade de oportunidades entre pessoas de origem racial ou étnica diferente, Quando o Titular dos Dados tiver dado o seu Consentimento explícito, de acordo com a legislação e regulamentação aplicáveis; e Quando o Tratamento for relativo a condenações penais e infrações ou a medidas de proteção correlacionadas, o Tratamento será efetuado sob o controle da autoridade pública ou quando o Tratamento for autorizado pela legislação da União ou de um Estado-Membro que preveja as salvaguardas adequadas para os direitos e liberdades dos Titulares de Dados Pessoais. Limitação e Adequação da Finalidade O Tratamento de Dados Pessoais deve ser realizado de maneira compatível com a finalidade original para a qual os Dados Pessoais foram coletados, não podendo ser coletados com um propósito e utilizados para outro. Quaisquer outras finalidades devem ser compatíveis com a razão original pela qual os Dados Pessoais foram coletados. Princípio da Necessidade (Minimização dos Dados) A DRIZZLE LTDA somente pode tratar Dados Pessoais na medida em que seja necessário para atingir um propósito específico, este é o princípio da minimização de dados. O compartilhamento de Dados Pessoais com outra área ou outra empresa deve considerar este princípio, só podendo ser compartilhados quando tenham um amparo legal adequado. Exatidão (Qualidade dos Dados) A DRIZZLE LTDA deve adotar medidas razoáveis para assegurar que quaisquer Dados Pessoais em sua posse sejam mantidos precisos, atualizados em relação às finalidades para as quais foram coletados, sendo certo que deve ser possibilitado ao Titular do Dado Pessoal a possibilidade de se requerer a exclusão ou correção de dados imprecisos ou desatualizados. Retenção e Limitação do Armazenamento de Dados Com referência aos dados inseridos no site da DRIZZLE LTDA, o período de retenção dos dados informados para realização de compras, ficará armazenado pelo período de 5 anos, conforme prevê esta Política. Integridade e Confidencialidade (Livre Acesso, Prevenção e Segurança) A DRIZZLE LTDA deve assegurar que medidas técnicas e administrativas apropriadas sejam aplicadas aos Dados Pessoais para protegê-los contra o Tratamento não autorizado ou ilegal, bem como contra a perda acidental, destruição ou danos. O Tratamento de Dados Pessoais também deve garantir a devida confidencialidade. Dentre as medidas técnicas mais comuns, temos a Anonimização e a Pseudoanonimização. Responsabilização e Prestação de Contas A DRIZZLE LTDA é responsável e deve demonstrar o cumprimento desta Política, assegurando a implementação de diversas medidas que incluem, mas não se limitam a: Garantia de que os Titulares dos Dados Pessoais possam exercer os seus direitos, conforme descritos na Seção 6.2.7 deste documento Registro de Dados Pessoais, incluindo: Registros de atividades de Tratamento de Dados Pessoais, com a descrição dos propósitos/finalidades desse Tratamento, dos destinatários do compartilhamento dos Dados Pessoais e dos prazos pelos quais a DRIZZLE LTDA deve retê-los; e Registro de incidentes de Dados Pessoais e violações de Dados Pessoais; Garantia de que os Terceiros que sejam Processadores de Dados Pessoais também estejam agindo de acordo com esta Política e com a legislação e regulamentação aplicáveis; Garantia de que a DRIZZLE LTDA, quando requerido, registre junto à Autoridade Supervisora aplicável um Encarregado de Dados ou DPO; e 5 Garantia de que a DRIZZLE LTDA esteja cumprindo todas as exigências e solicitações de qualquer Autoridade de Supervisão à qual esteja sujeita. Direitos dos Titulares de Dados Pessoais A DRIZZLE LTDA está comprometida com os direitos dos Titulares de Dados Pessoais, os quais incluem: A informação, no momento em que os Dados Pessoais são fornecidos, sobre como estes Dados serão tratados; A informação sobre o Tratamento de seus Dados Pessoais e o acesso aos Dados que a DRIZZLE LTDA detenha sobre eles; A correção de seus Dados Pessoais se estiverem imprecisos, incorretos ou incompletos; A exclusão, bloqueio e/ou anonimização de seus Dados Pessoais em determinadas circunstâncias (“direito de ser esquecido”). Isso pode incluir, mas não se limita a circunstâncias em que não é mais necessário que a DRIZZLE LTDA retenha seus Dados Pessoais para os propósitos para os quais foram coletados; A restrição do Tratamento de seus Dados Pessoais em determinadas circunstâncias; Opor-se ao Tratamento, se o Tratamento for baseado em legítimo interesse A retirar o Consentimento a qualquer momento, se o Tratamento dos Dados Pessoais se basear no Consentimento do indivíduo para um propósito específico; A portabilidade dos Dados Pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa em determinadas circunstâncias; A revisão das decisões tomadas unicamente com base em Tratamento automatizado de Dados Pessoais; e A apresentação de queixa à DRIZZLE LTDA ou à Autoridade de Proteção de Dados aplicável, se o Titular dos Dados Pessoais tiver motivos para supor que qualquer um de seus direitos de proteção de Dados Pessoais tenha sido violado. Garantir a segurança e proteção dos dados pessoais Importância da Proteção de Dados Pessoais A DRIZZLE LTDA está comprometida com a implementação dos padrões de Segurança da Informação e com a proteção de Dados Pessoais com vistas a garantir o direito fundamental do indivíduo à autodeterminação da informação. Garantir a Segurança dos Dados Pessoais A confidencialidade, integridade e disponibilidade, bem como autenticidade, responsabilidade e nãorepúdio são objetivos a serem perseguidos para a segurança dos Dados Pessoais. Obrigação do Sigilo de Dados Pessoais Todos os Integrantes com acesso a Dados Pessoais estão obrigados aos deveres de confidencialidade dos Dados Pessoais mediante a anuência do Código de Ética da DRIZZLE LTDA, quando do ingresso na Empresa e periodicamente quando necessário. Privacidade de Dados Pessoais por Concepção e por Padrão Ao implementar novos processos, procedimentos ou sistemas que envolvam o Tratamento de Dados Pessoais, a DRIZZLE LTDA deve adotar medidas para garantir que as regras de Privacidade e Proteção de Dados sejam adotadas desde a fase de concepção até o lançamento/implantação destes projetos que devem ser condicionados à aprovação do DPO. Relação Controlador-Processador de Dados Pessoais Cada Parceiro da DRIZZLE LTDA é o Controlador dos Dados Pessoais em sua respectiva região ou empresa, sendo necessária a nomeação de um responsável por garantir que os Dados Pessoais estejam sendo tratados de forma correta e de acordo com a legislação e regulamentação aplicáveis naquela região. Em determinadas circunstâncias, um Parceiro Controlador da DRIZZLE LTDA pode atuar como Processador de outra. Nestes casos, a Processadora é obrigada a seguir a orientação de quem está atuando como Controladora. Política de Transferência Internacional de Dados Pessoais Quando os Dados Pessoais forem tratados em países diferentes de onde foram coletados, a legislação e regulamentação aplicáveis à transferência internacional de dados de cada país devem ser observadas. A DRIZZLE LTDA deve garantir a existência e atualização de contratos de transferência internacional de Dados Pessoais. Os dados pessoais podem ser consultados pelo site. Prestadores de Serviços Terceirizados Os prestadores de serviços terceirizados que tratem Dados Pessoais sob as instruções da DRIZZLE LTDA estão sujeitos às obrigações impostas aos processadores de acordo com a legislação e regulamentação de proteção de Dados Pessoais aplicáveis. A DRIZZLE LTDA deve assegurar que no 6 contrato de prestação de serviço sejam contempladas as cláusulas de privacidade que exijam que o Processador de Dados terceirizado implemente medidas de segurança, bem como controles técnicos e administrativos apropriados para garantir a confidencialidade e segurança dos Dados Pessoais e especifiquem que o Processador está autorizado a tratar Dados Pessoais apenas quando seja formalmente solicitado pela DRIZZLE LTDA. Nos casos em que o prestador de serviços estiver localizado fora do país em que o Dado Pessoal foi coletado, as cláusulas contratuais padrão devem ser incluídas no contrato de proteção de Dados Pessoais, como um anexo para garantir que as devidas salvaguardas exigidas pela legislação e regulamentação aplicáveis de proteção de Dados Pessoais sejam implementadas. Informar sobre qualquer Violação de Dados Todos os incidentes e potenciais violações de dados devem ser reportadas ao Líder de Privacidade Corporativo e/ou DPE de cada região. Todos os Integrantes devem estar cientes de sua responsabilidade pessoal de encaminhar e escalonar possíveis problemas, bem como de denunciar violações ou suspeitas de violações de Dados Pessoais assim que as identificarem. No momento em que um incidente ou violação real for descoberto, é essencial que os incidentes sejam informados e formalizados de forma tempestiva. As Violações de Dados incluem, mas não se limitam, qualquer perda, exclusão, roubo ou acesso não autorizado de Dados Pessoais controlados ou tratados pela DRIZZLE LTDA . Auditar o Processo de Proteção de Dados A DRIZZLE LTDA deve garantir que existam revisões periódicas a fim de confirmar que as iniciativas de Privacidade, seu sistema, medidas, processos, precauções e outras atividades incluindo o gerenciamento de proteção de Dados Pessoais são efetivamente implementados e mantidos e estão em conformidade com a legislação e regulamentação aplicáveis. Adicionalmente, o tema deve ser avaliado com a devida periodicidade e de acordo com os riscos existentes. Caso os riscos sejam relevantes, a Auditoria Interna deverá incluir revisão independente específica no plano anual de auditoria interna. Compartilhar Informações Pessoais dentro da DRIZZLE LTDA A DRIZZLE LTDA compromete-se a manter um nível consistente e adequado de proteção para as informações pessoais que são processadas e/ou transferidas entre as diversas pessoas jurídicas que fazem parte da DRIZZLE LTDA. Uma transferência de dados para uma outra pessoa jurídica da DRIZZLE LTDA é considerada uma transmissão de dados interna. Implementar diariamente esta política Como nosso oficial de Proteção de Dados, o DPO, tem a responsabilidade geral pela implementação diária desta política. Deve-se entrar em contato com o DPO para obter mais informações sobre esta política, se necessário, através do e-mail: contato@drizzle.com.br DISPOSIÇÕES GERAIS Os integrantes da DRIZZLE LTDA são responsáveis por conhecer e compreender todos os Documentos Orientadores que lhes forem aplicáveis. De forma similar, os Líderes são responsáveis por garantir que todos os Integrantes de sua equipe compreendam e sigam os Documentos Orientadores aplicáveis à DRIZZLE LTDA. Os Integrantes que tiverem perguntas ou dúvidas a respeito desta Política, incluindo seu escopo, termos ou obrigações, devem procurar seus respectivos Líderes e, se necessário, a área de Auditoria e Compliance da DRIZZLE LTDA. A violação de qualquer Documentação Orientadora da DRIZZLE LTDA pode resultar em consequências graves à DRIZZLE LTDA e aos Integrantes envolvidos. Portanto, a falha em cumprir esta Política ou relatar o conhecimento de violação desta Política poderá resultar em ação disciplinar para qualquer integrante envolvido. Caso qualquer Integrante e/ou Terceiro tenha conhecimento de uma potencial conduta ilegal ou antiética, incluindo potenciais violações às Leis Anticorrupção aplicáveis e/ou as Documentações Orientadoras da DRIZZLE LTDA, incluindo este Documento, devem imediatamente reportar a potencial violação ao Fale com a Auditoria ou a área de Compliance da DRIZZLE LTDA. Todos os Líderes devem continuamente encorajar seus liderados a reportar violações ao canal Fale com a Auditoria. Nenhuma regra prevista nas Documentações Orientadoras da DRIZZLE LTDA, incluindo esse Documento, proibirá que Integrantes ou Terceiros possam reportar preocupações ou atividades ilegais para as autoridades reguladoras correspondentes. Procedimentos adicionais podem ser criados de acordo com exigência da legislação local. Qualquer legislação aplicável nas diferentes regiões nas quais a DRIZZLE LTDA atua devem prevalecer caso estejam ou venham estar em conflito com esta Política. 7 DOCUMENTOS DE REFERÊNCIA Lei 12.965/2014 - Marco Civil da Internet. Lei 13.709/2018 - Lei Geral de Proteção de Dados. Política Global do Sistema de Conformidade. Política de Segurança da Informação. Procedimentos de Auditoria Interna. General Data Protection Regulation (“GDPR”) na Europa. APROVAÇÕES Este documento foi aprovado pelo respectivo executivo indicado a seguir e entra em vigor na data de sua publicação.