Política de privacidade

1. OBJETIVOS

Orientar quanto às Diretrizes de Proteção de Dados que devem ser seguidas por todas as empresas, quanto aos processos de tratamento dos dados dos titulares.

 

2. ABRANGÊNCIA

Esta Política abrange todas as empresas do grupo, seus colaboradores, terceiros,
estagiários, fornecedores e parceiros comerciais.

 

3. DEFINIÇÕES E SIGLAS

BACEN (Banco Centro do Brasil);
SAC (Serviço de Atendimento ao Cliente);
ANPD: Autoridade Nacional de Proteção de Dados;
LGPD: Lei Geral de Proteção de Dados no 13.709;
DPO: Data Protection Officer. Encarregado da Proteção de Dados da empresa;
Dados Pessoais: dados relacionados a pessoa natural identificada ou identificável;
Dados Sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Anonimização: Processo de tornar anônimo, impossibilitando a identificação de uma pessoa específica;
Consentimento: autorização dada pelo titular dos dados para tratamento de seus dados pessoais para uma finalidade específica;
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

 

4. REFERÊNCIAS

• Lei no 13.709 de 14 de agosto de 2018: Lei Geral de Proteção de Dados (LGPD), dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo
de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
• Circular no 3680: Dispõe sobre a conta de pagamento utilizada pelas instituições de pagamento para registros de transações de pagamento de usuários finais.
• Circular na 3978: Dispõe sobre a política, os procedimentos e os controles internos a serem adotados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil visando à prevenção da utilização do sistema financeiro para a prática dos crimes de “lavagem” ou ocultação de bens, direitos e valores, de que trata a Lei no 9.613, de 3 de março de 1998, e de financiamento do terrorismo, previsto na Lei no 13.260, de 16 de março de 2016.
• Política de Controle de Acesso Lógico;
• Política de Segurança da Informação;
• Código de Ética.

 

5. DESCRIÇÃO DA POLÍTICA

A presente Política, possui como principal guia norteador a Lei Geral de Proteção dos Dados (LGPD), no 13.709 de 14 de agosto de 2018, que se aplica em qualquer operação de tratamento realizada por pessoa natural ou jurídica nas seguintes circunstâncias:
I- a operação de tratamento seja realizada no território nacional;
II- a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
III- os dados pessoais, objeto do tratamento, tenham sido coletados no território
nacional.

A principal separação entre os agentes que realizam o tratamento de dados pessoais ou sensíveis, está entre Controlador, quem compete as decisões referentes ao tratamento dos dados pessoais e Operador que realiza o tratamento dos dados em
nome do controlador.
Essa Política pode sofrer alterações e atualizações conforme mudanças na legislação ou normas, portanto orientamos a consulta periódica a este documento.

5.1 Da Distinção entre Operador e Controlador

Para a Lei Geral de Proteção de Dados, existem dois tipos de agentes de tratamento. O Operador e o Controlador conforme citado nas definições e siglas deste documento.
O controlador é quem controla o dado, ou seja, o responsável por aquela informação. Logo, recai sobre o controlador a responsabilidade de coleta do consentimento de tratamento dos dados pessoais.
Exercemos a função de Controlador nas relações de trabalho dentro da empresa, nas relações de negócio direta com o titular de dados, onde não há intermediação de uma pessoa jurídica ou natural na coleta de dados.
Operador, é o agente que realiza o tratamento dos dados para uma finalidade específica, uma prestação de serviço por exemplo, pautados nos princípios possíveis conforme previsão legal.
Onde exista uma relação jurídica/comercial com pessoas jurídicas que intermediam a coleta de dados com seus funcionários ou prepostos, fica esclarecido que este atua sob os princípios de responsabilidades de Controlador. Neste sentido em que somos contratados, exercemos o papel e responsabilidade de Operador.

5.2 Do Consentimento dos Titulares

O Consentimento deve ser feito formalmente por forma expressa e inequívoca, seja de forma física, virtual, audível ou por fator biométrico, sendo de responsabilidade do Controlador a coleta dos dados e consequente consentimento para tratamento.
O consentimento deve afastar autorizações genéricas e deve trazer de forma clara à finalidade e tipo de tratamento para os quais os dados serão submetidos.
O titular dos dados, pode, a qualquer momento, solicitar informações a respeito do tratamento de seus dados pessoais, bem como revogar o consentimento fornecido anteriormente, desde que sejam observados aspectos legais e infralegais existentes e necessários na permanência de armazenamento e tratamento de dados.
Enquanto Operadores de tratamento de dados, deve-se seguir as indicações e orientações dadas pelo Controlador para tratamento de dados, salientando que em caso de negativa de consentimento para uso dos dados, pode interferir na capacidade de execução de determinado serviço e ou produto, bem como sua interrupção.
Qualquer alteração no tipo de tratamento dos dados dos titulares, os seus respectivos controladores devem ser comunicados imediatamente para caso necessário, providenciar a atualização do termo de consentimento de seus titulares.

5.3 Da Coleta e Finalidade dos Dados

Os dados pessoais devem ser coletados observando o princípio do mínimo necessário para a realização de suas finalidades, obedecendo inclusive à outras normativas de órgãos reguladores tais qual o Banco Central quando aplicáveis, como por exemplo a Circular 3.680 que dá Diretrizes das informações mínimas de cadastro para contas de pagamento e a Circular 3978 que dá diretrizes para prevenção a lavagem de dinheiro e combate ao financiamento do terrorismo;
Os dados devem ser coletados e tratados mediante consentimento do titular, consentimento este que deve ser colhido pelo controlador dos dados (conforme item 5.2 deste documento);
O tratamento dos dados deverá ser realizado quando necessário para a execução da relação jurídica e comercial existente, ou de procedimentos preliminares relacionados a estas relações, do qual seja parte o controlador, em nome do titular dos dados, bem como para proteção do crédito e combate à fraude;
Os dados são coletados, para cadastro e demais fins previstas no objeto estabelecido pela relação jurídica e comercial existente, por intermédio do envio das informações pelo controlador (Cliente).
Dados relacionados à acessos às plataformas digitais, tais como: endereço de IP, telas acessadas, data e hora, tipos de dispositivos e modelos, localidade, perfil de utilização, entre outros, conforme Política de Cookies, devidamente consentida pelo usuário, na continuidade de utilização das plataformas digitais, pós alerta de utilização de cookies. Podendo ser impedida a navegação em determinados conteúdos, onde haja necessidade expressa de consentimento, dada a possibilidade de prevenção e lastro de qualquer tentativa de ilícito.
Para processos relacionados aos funcionários (Contratações, demissões, folha de pagamento dentre outros), poderão ser solicitados para fins de cumprimento legal (Leis trabalhistas, fiscais e tributárias) os seguintes dados pessoais e/ou sensíveis como por exemplo, mas não se limitando a:Nome, CPF, Matrícula, Número PIS/PASEP/INSS, CTPS, RG, Nome da mãe, Nome do Pai, data de nascimento, local de nascimento, Sexo, endereço, telefone fixo, celular, e-mail, tipo de deficiência, dependentes, nome dos dependentes, CPF dos dependentes conforme determinado e consentido em contrato de trabalho e/ou seus anexos.

5.4 Armazenamento e Exclusão dos Dados

O prazo de armazenamento deve obedecer às normativas em vigor, como por exemplo a Circular 3978 do Banco Central que diz:
§ 1o O contrato referido no inciso V do caput deve permanecer à disposição do Banco Central do Brasil pelo prazo mínimo de cinco anos após o encerramento da relação contratual.
§ 2o Os documentos e informações referidos nos incisos VIII a XIV do caput devem permanecer à disposição do Banco Central do Brasil pelo prazo mínimo de cinco anos.
Art. 67. As instituições referidas no art. 1o devem manter à disposição do Banco Central do Brasil e conservar pelo período mínimo de dez anos:
I – as informações coletadas nos procedimentos destinados a conhecer os clientes de que tratam os arts. 13, 16 e 18, contado o prazo referido no caput a partir do primeiro dia do ano seguinte ao término do relacionamento com o cliente;
II – as informações coletadas nos procedimentos destinados a conhecer os funcionários, parceiros e prestadores de serviços terceirizados de que trata o art. 56, contado o prazo referido no caput a partir da data de encerramento da relação contratual;
Desta forma qualquer processo de anonimização fica impedido, até término da determinação legal ou infralegal existente.

5.5 Do Compartilhamento de dados

Como forma de garantir a correta execução dos objetos e serviços contratados, bem como garantir os processos de PLD/FT e Prevenção a fraude, o compartilhamento de dados pode ocorrer entre todas as unidades de negócio, assessorias internas e
atividades que realizem tratamento dos dados, como também fornecedores e prestadores de serviços para garantir o cumprimento dos serviços contratados;

5.6 Da Segurança e Sigilo dos Dados

Somente terão acesso aos dados, os colaboradores devidamente autorizados por meio do controle de acessos e para a realização das atividades relacionadas ao contrato;
Devem ser registrados os Log’s de acesso, alteração e/ou exclusão aos sistemas que possuem informações sobre dados pessoais;
Deve-se manter processos periódicos de backup dos dados;
Deve haver processos e procedimentos para garantir a confidencialidade, integridade e disponibilidade das informações;
Deve haver fluxo de comunicação de incidentes relacionados a dados pessoais com as entidades envolvidas bem como com a autoridade nacional;

 

6. PAPÉIS E RESPONSABILIDADES

6.1 Todos os Colaboradores (Incluindo Prestadores de Serviços)

Responsabilizar-se pelo uso adequado dos Dados em suas atividades;
Cumprir as regras dessa política e de todas as documentações orientadoras relativas à Proteção de Dados Pessoais e Segurança da Informação;
Relatar para o superior imediato e ao DPO (Data Protetion Officer) a ocorrência de quaisquer incidentes de Dados Pessoais, bem como as deficiências identificadas no processo e possíveis riscos de privacidade;
Participar das atividades de treinamento em proteção de dados quando aplicados.

6.2 Segurança da Informação

Revisar e Manter as diretrizes dessa Política atualizada;
Assegurar e prezar pelo cumprimento da presente Política;
Definir e manter atualizadas as regras para gestão de acessos;
Instruir os colaboradores quanto ao uso adequado de dados pessoais em suas atividades;
Realizar treinamentos, programas de conscientização e comunicação do tema de privacidade de dados pessoais para todos os colaboradores;
Analisar violações e Vazamento de Dados bem como efetuar coleta de evidências;
Propor controles e medidas de segurança para garantir a confidencialidade, integridade e disponibilidade das informações, assim como o cumprimento da legislação;
Atuar ativamente e em conjunto com o time de TI em ações de correção de vulnerabilidades encontradas e/ou incidentes ocorridos;
Auxiliar na análise de novas ferramentas e sistemas com foco na prevenção da exposição de dados e garantia de segurança da informação;
Apoiar o encarregado de dados (DPO) para materialização das ações relacionadas a proteção dos dados;
Reportar imediatamente ao DPO incidentes relacionados a proteção de dados;

6.3 Encarregado de dados (DPO – Data Protection Officer)

Responder dentro do prazo estipulado as solicitações dos titulares de dados, ANPD, Ministério Público e demais autarquias competentes sobre o assunto; Identificar vulnerabilidades;
Propor ações de melhorias e adequações no que se refere a proteção de dados, bem como contribuir sempre que possível para maturidade dos processos em relação às iniciativas de privacidade;
Apoiar na Atualização dessa Política sempre que necessário;
Dar instruções quanto ao monitoramento dos dados e correto tratamento;
Auxiliar no monitoramento do cumprimento das regras internas relativos à proteção de dados;
Apoiar na implementação dos planos de ação para correção de GAPS das iniciativas de privacidade.
Definir, Revisar e Atualizar Avisos de Privacidade;
Cooperar e se relacionar com a Autoridade Nacional de Proteção de Dados Pessoais.

6.4 Tecnologia da Informação, Sustentação e Infra

Garantir a execução dos processos conforme os procedimentos definidos;
Garantir a Confidencialidade, Integridade e Disponibilidade das informações;
Revisar de forma periódica as concessões de acesso aos bancos de dados, servidores e acessos lógicos;
Garantir o bloqueio dos acessos não autorizados;
Monitorar tentativas de ataques de invasões nos bancos de dados, sistemas internos e sites;
Garantir mecanismos e ferramentas adequadas à proteção e criptografia dos dados dos titulares em especial para os dados sensíveis Buscar melhoria contínua do processo de segurança do ambiente físico e
tecnológico;
Atender imediatamente demandas de investigação, tratamento e solução de incidentes;

6.5 Jurídico

Promover as devidas adequações dos contratos às questões voltadas a proteção dos dados;
Apoiar quando solicitado em questões relativas à Lei Geral de Proteção de dados;
Atuar no monitoramento das relações comerciais e jurídicas existentes, pautadas na proteção de dados pessoais.

6.6 Auditoria interna

Incluir avaliação de aderência à documentação orientadora que versa sobre proteção de dados e reportar ao Superintendente de GRC e ao DPO o resultado
das avaliações.

6.7 Alta Administração

Responsável pelo Sistema de Proteção de dados e, consequentemente, pelos riscos relacionados;
Aprovar e dar suporte à Política de Proteção de Dados;
Nomear o Encarregado de Dados;
Garantir que os recursos necessários, estejam disponíveis para controlar os riscos de Proteção de Dados;
Patrocinar os eventos, mecanismos e ferramentas para proteção dos dados dos titulares.

6.8 Gerentes, Coordenadores e Supervisores

Responsabilizar-se pelo correto uso de Dados Pessoais nas atividades de suas respectivas áreas;
Revisar e manter atualizado o mapeamento de Dados Pessoais periodicamente ou sempre em caso de mudanças substanciais, junto com a Área de Conformidade responsável;
Garantir que o consentimento de uso de dados coletado receba o tratamento respeitando a opção indicada pelo titular do dado e gerando evidências necessárias para apresentação às autoridades ou ao próprio titular quando
necessário;
Garantir que sua respectiva área esteja aderente às diretrizes dessa Política;
Liderar, coordenar e supervisionar as ações dos colaboradores e orientar na implementação de medidas requeridas para estar em conformidade com os requisitos desse documento e demais documentos norteadores relativos à
proteção de dados;
Participar e orientar sob a ótica de privacidade os projetos corporativos, envolver a equipe de Segurança de Informação e DPO para validação e aderência aos requisitos da legislação e correta adequação caso este tenha envolvimento com iniciativas de privacidade.
Apoiar na correção dos GAPS identificados relativos a não conformidade com a LGPD.

 

7. VIGÊNCIA E REVISÃO

Esta política estará vigente a partir de sua data de publicação com revisão anual ou sempre que houver necessidade.