Prancheta 29 cópia 5@3x

Política de Privacidade e
Proteção de Dados

Nossas Políticas estão adequada a Lei Geral de Proteção de Dados

1 - OBJETIVO

Durante a execução de nossas atividades, coletamos, armazenamos e processamos dados pessoais. A Brasaf se preocupa em assegurar que esses dados estejam protegidos e sejam tratados com responsabilidade, ética e em linha com os nossos princípios, valores e legislação aplicável. Prezamos pela excelência de nossos serviços e, ao mesmo tempo, estamos comprometidos em proteger e resguardar a privacidade e a proteção de dados.

Elaborada com base nas disposições da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (“LGPD”).

2 - ABRANGÊNCIA

As regras e diretrizes dispostas nesta política visam o correto tratamento de dados pessoais pela Brasaf.

3 - DEFINIÇÕES GERAIS

Lei Geral de Proteção de Dados Pessoais (LGPD):  Lei nº 13.709/2018 que traz as disposições legais acerca do tratamento de dados pessoais, em meios físicos ou digitais, por pessoa natural ou jurídica, de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural. A lei brasileira foi inspirada pela regulamentação europeia GDPR.

Titular: pessoa física proprietária do dado pessoal. É a pessoa sobre a qual o dado se refere.

Agente de tratamento: o controlador e/ou o operador dos dados pessoais.

Controlador: pessoa física natural ou jurídica, de direito público ou privado, a quem competem as decisões do tratamento de dados pessoais. O controlador determina as finalidades, condições e meios do processamento de dados pessoais.

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador e de acordo com suas orientações. Conhecido como processor na regulamentação europeia GDPR.

Dado pessoal: qualquer informação que identifique diretamente uma pessoa natural, como, por exemplo, nome, CPF, RG, nº de registro interno dentro da organização, profissão, e endereço eletrônico. Também constituem dados pessoais o conjunto de informações distintas que indiretamente podem levar à identificação de uma determinada pessoa, como, por exemplo, a combinação de informações de cargo e local de trabalho. Não são considerados dados pessoais quaisquer dados relacionados a pessoas jurídicas como CNPJ, razão social, balanço financeiro.

Dado pessoal sensível: são dados pessoais que possuem maior proteção da lei e requerem maior cuidado no tratamento pelo fato de poderem gerar alguma discriminação ao titular. São considerados dados pessoais sensíveis: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Encarregado de proteção de dados: também conhecido como DPO (Data Protection Officer), refere-se à pessoa natural indicada pelo agente de tratamento, que atua como canal de comunicação entre o agente, os titulares e a Autoridade Nacional de Proteção de Dados. Os contatos do Encarregado de proteção de dados da Brasaf estão em nosso site e na intranet.

Tratamento: toda e qualquer operação realizada com dados pessoais, tais como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração.

Dado anonimizado: dados que não permitem a identificação direta ou indireta do titular, não sendo, portanto, considerados como dados pessoais. Dados pessoais podem sofrer processo de anonimização e passarem a ser anonimizados e, portanto, não pessoais. A anonimização de dados tem de ser irreversível, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

4 - DIRETRIZES

As atividades relacionados a tratamento de dados na Brasaf seguem as diretrizes impostas pela legislação vigente e as métricas trazidas por esta Política, a fim de conferir maior compliance de nossa Entidade à legislação vigente.

Desta maneira, a nossa atuação ao lidar com dados pessoais observa os princípios impostos pela LGPD estão presentes.

  • a) Finalidade:todo tratamento deve ser vinculado a uma finalidade específica, a qual tende a atender a propósitos legítimos, específicos, explícitos e informados ao titular, sendo vedado o tratamento incompatível com as finalidades previamente definidas;
  • b) Adequação:compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  • c) Necessidade:também conhecido como princípio da minimização dos dados, determina que o tratamento de dados pessoais se limita ao mínimo de dados pessoais necessários para realização de suas finalidades e não excessivos em relação às finalidades previstas;
  • d) Livre Acesso:os titulares dos dados pessoais têm acesso à consulta facilitada e gratuita sobre a forma e duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
  • e) Qualidade dos Dados:aos titulares dos dados pessoais são garantidas exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para cumprimento da finalidade de seu tratamento;
  • f) Transparência:os titulares dos dados têm acesso a informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e respectivos agentes de tratamento, observados segredos comerciais e industriais.
  • g) Segurança:são utilizadas medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
  • h) Prevenção:são adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
  • i) Não discriminação:os dados pessoais não são discriminatórios ilícitos ou abusivos;
  • j) Responsabilização e prestação de contas:estamos aptos a demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

4.1 - Brasaf como agente de tratamento de dados pessoais

A Brasaf realiza o tratamento de dados de dados pessoais, podendo assumir a figura ora de Controlador, ora de Operador. Quando a decisão sobre o tratamento do dado partir da Brasaf, estará na condição de Controlador. Por outro lado, quando a Brasaf realizar o tratamento de dados pessoais em nome do controlador e de acordo com suas orientações ou instruções, estará atuando como Operador.

4.2 - Da Responsabilidade do Agente de Tratamento de Dados Pessoais

Na condição de Controlador, a Brasaf, antes de realizar qualquer tratamento de dados pessoais, certifica-se de que este tratamento está amparado pela legislação vigente, conforme hipóteses autorizadoras descritas no item 4.4.

Por outro lado, quando a Brasaf agir como Operador, realizará o tratamento conforme instruções fornecidas pelo Controlador, sendo desse a responsabilidade de assegurar que há base legal para o tratamento de dados pessoais, inclusive para autorizar o compartilhamento de dados com a Brasaf.

4.3 - Da Finalidade do Tratamento de Dados Pessoais

A Brasaf trata dados pessoais quando:

  • Comunica-se com o titular de dados a respeito da empresa e notícias sobre pesquisas, varejo, serviços, da Brasaf e/ou de seus clientes e parceiros;
  • Responde às dúvidas e solicitações dos titulares de dados;
  • Envia e-mail marketing para seus clientes e titulares de dados;
  • Presta serviços da Brasaf voltados para subsidiar o ciclo de crédito, proteção e análise de crédito, recuperação de crédito, prevenção à fraude, e outros correlatos;
  • Identifica consumidores para fornecimento de consulta aos mesmos à base de dados do SPC.

4.3 - Da Finalidade do Tratamento de Dados Pessoais

A Brasafl trata dados pessoais quando:

  • Comunica-se com o titular de dados a respeito da empresa e notícias sobre pesquisas, varejo, serviços, da Brasaf e/ou de seus clientes e parceiros;
  • Responde às dúvidas e solicitações dos titulares de dados;
  • Envia e-mail marketing para seus clientes e titulares de dados;
  • Presta serviços da Brasaf voltados para subsidiar o ciclo de crédito, proteção e análise de crédito, recuperação de crédito, prevenção à fraude, e outros correlatos;
  • Identifica consumidores para fornecimento de consulta aos mesmos à base de dados do SPC.

4.4 - BASES LEGAIS DO TRATAMENTO

A Brasaf, ao tratar dado pessoal, o faz mediante uma das bases legais, lembrando que a LGPD prevê como hipóteses:

I – mediante o fornecimento de consentimento pelo titular;

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

4.4.2 Tratamento de Dados Pessoais Sensíveis

A Brasaf, em algumas de suas atividades, coleta biometria de titulares exclusivamente para: identificação do titular.

4.4.2.1 Hipóteses de Tratamento do Dado Sensível

A Brasaf, ao tratar dado sensível, o faz mediante uma das hipóteses legais, lembrando que a LGPD prevê como hipóteses:

I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d)exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

4.5 - DO USO COMPARTILHADO DE DADOS PESSOAIS

A Brasaf compartilha dados na execução do Serviço de Proteção ao Crédito embasado nas hipóteses legais de tratamento previstas na LGPD.

4.6 - DA DURAÇÃO DO TRATAMENTO

A duração do tratamento dos dados pessoais, inclusive os sensíveis, observa os prazos fixados por lei e/ou cláusulas contratuais específicas, bem como considera a finalidade pela qual foram coletados, em conformidade com a legislação aplicável (nacional).

Após o término do prazo de tratamento, os dados são eliminados ou anonimizados, ressalvada a hipótese para cumprimento de dever legal.

4.7 - DIREITOS DO TITULAR

Os titulares de dados podem, a qualquer momento, solicitarem as seguintes informações sobre seus dados pessoais:

a) confirmação da existência de tratamento;

b) acesso aos dados;

c) correção de dados incompletos, inexatos ou desatualizados;

d) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;

e) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

f) eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art.16 da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais);

g)informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

h) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

i) revogação do consentimento.

Caso queira tomar conhecimento sobre os direitos dos titulares de dados, para que possa ter o esclarecimento sobre dúvidas relacionadas ao tema, contate o Encarregado/DPO através do canal mencionado nessa Política.

4.8 - ENCARREGADO DPO

O Encarregado pelo tratamento de dados pessoais ou Data Protection Officer (DPO) é a pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares dos dados pessoais, zelando para que o acesso a ele seja facilitado, de forma gratuita, clara e pública nos meios de comunicação do agente de tratamento, e a Autoridade Nacional de Proteção de Dados (ANPD). No caso da Brasaf é representado por Virgínia Neves de Menezes, onde atende as demandas pelo e-mail encarregado@brasaf.com.br.

As atividades do encarregado consistem em:

  • Receber reclamações e comunicações dos titulares bem identificados, prestar esclarecimentos e adotar providências;
  • Receber comunicações da ANPD e adotar providências;
  • Orientar os colaboradores e os contratados da Brasaf a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • Coordenar a elaboração do relatório de impacto à proteção de dados pessoais, documento que poderá ser exigido pela ANPD nos casos que envolverem, por exemplo, utilização de legítimo interesse como base legal;
  • Assegurar o cumprimento das políticas de privacidade e proteção de dados pelos colaboradores da Brasaf;

O Encarregado trabalha em conjunto com as demais áreas da Brasaf, para o correto monitoramento das atividades relacionadas à privacidade.

4.9 - PRIVACIDADE DESDE A CONCEPÇÃO

O conceito de Privacidade desde a Concepção significa que na Brasaf a privacidade e a proteção de dados são consideradas desde a concepção e durante todo o ciclo de vida do projeto, sistema, serviço ou processo.

  • Proativo, e não reativo; preventivo, e não corretivo;
  • Privacidade é o padrão dos sistemas de TI ou práticas de negócio;
  • Privacidade incorporada ao projeto (Design);
  • Funcionalidade Total;
  • Segurança e proteção de ponta a ponta;
  • Visibilidade e transparência;
  • Respeito pela privacidade do titular.

A Brasaf adota medidas adequadas para garantir que, por padrão, apenas serão são processados os dados pessoais necessários para cumprimento da(s) finalidade(s) específica(s) definida(s).

4.10 - COMITÊ DE PRIVACIDADE

Com o objetivo de tratar todas as questões relacionadas ao cumprimento dessa política, a Brasaf tem em sua estrutura o Comitê de Privacidade que é formado pelo seguinte grupo: (informação ocultada pelo desenvolvedor).

4.11 - AUDITORIA INTERNA

Os controles relacionados à privacidade de proteção de dados serão monitorados anualmente pela equipe de auditoria interna da Brasaf.

  • A abordagem de riscos e controles se guiará a partir de uma matriz de riscos;
  • As adequações das áreas frente ao determinado pela lei serão incluídas como planos de ação no ICG;
  • Os processos verificados estarão previstos no cronograma da auditoria interna onde serão realizados testes específicos sobre os riscos e controles anualmente.

5 - DÚVIDAS

Reclamações e preocupações dos titulares dos dados e dos funcionários da Brasaf devem ser endereçadas ao DPO através do e-mail encarregado@brasaf.com.br

6 - REFERÊNCIAS

Esta Política é propriedade da Brasaf e baseia-se nas disposições da Lei Geral de Proteção de Dados (LGPD).

O Encarregado/DPO da Brasaf é responsável por revisar essa política anualmente, devendo ser atualizada anualmente e ser comunicada aos interlocutores apropriados. O Comitê de Privacidade é responsável por garantir que os profissionais da companhia, os sistemas e operadores cumpram com esta política.

7 -- VIGÊNCIA

Esta política encontra-se em vigor.