Sumário
Objetivo ……………………………………………………………………………………………………………………….. 4
Abrangência …………………………………………………………………………………………………………………. 4
Definições …………………………………………………………………………………………………………………….. 4
Tratamento de dados pessoais ……………………………………………………………………………………….. 5
Dados Pessoais Coletados e Finalidades …………………………………………………………………………… 5
Bases Legais para o Tratamento de Dados ……………………………………………………………………….. 7
Direitos do Titular dos Dados Pessoais …………………………………………………………………………….. 7
Deveres para o Uso Adequado dos Dados Pessoais …………………………………………………………… 8
Compartilhamento de Dados Pessoais …………………………………………………………………………….. 8
Retenção dos Dados Pessoais …………………………………………………………………………………………. 9
Conformidade com a Lei Geral de Proteção de Dados ……………………………………………………….. 9
Confidencialidade dos dados pessoais tratados ………………………………………………………………… 9
Comunicações …………………………………………………………………………………………………………….. 10
Segurança da Informação……………………………………………………………………………………………… 11
Encarregado de Dados …………………………………………………………………………………………………. 11
Esta política tem como propósito evidenciar o comprometimento da organização com o tratamento responsável de dados pessoais, em total conformidade com a LGPD e os princípios de Segurança da Informação.
Nosso objetivo é reafirmar a responsabilidade com os titulares, assegurando a proteção da privacidade, a transparência nas práticas adotadas e a clareza quanto às medidas de segurança aplicadas.
A Lei Geral de Proteção de Dados (LGPD) determina parâmetros essenciais para a garantia dos direitos fundamentais de liberdade, privacidade e proteção dos dados pessoais. Em consonância com essa legislação, reafirmamos nosso dever de zelar pela segurança e confidencialidade das informações, estabelecendo normas internas que definem padrões elevados para o tratamento adequado e seguro dos dados no âmbito de nossas operações.
Esta política abrange todas as operações de tratamento de dados pessoais, independentemente do meio utilizado, físico ou digital.
Os principais termos mencionados nesta política incluem:
identificável;
objeto de tratamento;
como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade
Nacional de Proteção de Dados (ANPD);
coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou
controle da informação, modificação, comunicação, transferência, difusão ou extração;
coligadas do Grupo 3RN” abrange todas as sociedades que compõem o mesmo grupo
econômico, incluindo controladoras, controladas, subsidiárias, afiliadas e demais
empresas sob direção, controle ou administração comum.
inscrito no CNPJ sob o nº 14.182.006/0001-31, com sede na rua Rua 21, Qd 35, Lt 03,
Jardim Cabral, Itaberaí – Go, Cep: 76.630-000, é a controladora dos dados pessoais
tratados em relação às operações descritas nesta política de privacidade.
Caso tenha dúvidas, solicitações, ou deseje exercer seus direitos previstos na Lei Geral
de Proteção de Dados, você poderá entrar em contato com nosso Encarregado de Dados
por meio dos canais informados no campo Deveres para o uso adequado dos dados
pessoais, ou através do nosso e-mail: compliance@grupo3rn.com.br .
O Grupo 3RN efetua o tratamento de dados pessoais de acordo com os princípios
estabelecidos pela LGPD.
determinados, claros e devidamente comunicados ao titular, sendo vedada qualquer
utilização posterior que seja incompatível com as finalidades inicialmente informadas.
previamente informadas ao titular, sempre respeitando o contexto em que ocorre.
objetivos definidos, abrangendo apenas dados pertinentes, proporcionais e não
excessivos.
a forma e a duração do tratamento, bem como a integralidade de seus dados pessoais.
atualização das informações, conforme a necessidade e a finalidade do tratamento.
sobre o tratamento realizado e sobre os agentes envolvidos, preservados segredos
comercial e industrial.
os dados contra acessos indevidos, além de incidentes acidentais ou ilícitos de
destruição, perda, alteração, divulgação ou difusão.
dados pessoais.
ilícitos ou abusivos.
adoção de medidas eficazes que comprovem a conformidade com a legislação de
proteção de dados e a efetividade dessas práticas.
O Grupo 3RN realiza a coleta e o tratamento de dados pessoais com o propósito de garantir
maior eficiência em suas operações, aprimorar a experiência de clientes e parceiros e elevar
continuamente a qualidade dos serviços prestados. Nós utilizamos CRMS de gestão de clientes
Hyperflow e Ipluc que por meio de anúncios em sites, aplicativo e redes sociais recebem as
solicitações dos clientes e direcionam para o atendimento.
Os dados coletados serão tratados somente enquanto houver finalidade legítima e base legal
que ampare sua utilização.
Formas de coleta e tratamento de dados:
O Grupo 3RN também poderá realizar o tratamento de dados pessoais em situações
específicas, como para proteção de crédito, prevenção a fraudes, prevenção à lavagem de
dinheiro, análise de risco de fraude, bem como para atender a exigências legais ou
regulatórias.
Todas as atividades de tratamento de dados pessoais realizadas pelo Grupo 3RN estarão
fundamentadas em uma base legal que legitime sua execução. Entre as bases legais aplicáveis,
destacam-se:
autoridades de saúde;
O Grupo 3RN se compromete a registrar e revisar todas as operações de tratamento de dados
pessoais, especificando suas finalidades e bases legais, considerando o contexto em que cada
operação é realizada.
O Grupo 3RN, no exercício de suas atividades de tratamento de dados pessoais, reafirma seu compromisso com a proteção e o respeito aos direitos dos titulares, assegurando:
Confirmação da existência do tratamento: Direito do titular de solicitar informações sobre a existência de operações envolvendo seus dados pessoais.
Acesso aos dados pessoais: Direito de obter uma cópia dos dados pessoais tratados.
Correção dos dados pessoais: Possibilidade de solicitar ajustes em informações incompletas, inexatas ou desatualizadas.
Anonimização, Bloqueio ou Eliminação dos Dados Pessoais: Direito de solicitar a suspensão ou exclusão de dados considerados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
Direito à Portabilidade dos Dados: Possibilidade de requerer a transferência de seus dados para outro fornecedor de serviço ou produto, conforme regulamentação aplicável.
Compartilhamento de Dados: Direito de ser informado sobre as entidades públicas ou privadas com as quais seus dados tenham sido compartilhados.
Eliminação dos dados tratados com consentimento: Direito de solicitar a exclusão de dados pessoais coletados com base no consentimento, salvo nas hipóteses legais de retenção.
Revogação de Consentimento: direito de retirar, a qualquer momento e de forma simplificada, o consentimento previamente fornecido, sem prejuízo da legalidade do tratamento já realizado.
Oposição ao Tratamento de Dados Pessoais: Direito de se opor ao tratamento de dados pessoais quando este ocorrer em desconformidade com a LGPD.
O uso correto e responsável dos dados pessoais constitui dever de todos os destinatários desta política, devendo ser observado no desempenho de suas funções e atividades realizadas em nome do Grupo 3RN.
Deveres do Titular de Dados Pessoais:
Os titulares de dados pessoais podem entrar em contato com o Grupo 3RN para
exercer seus direitos, seguindo preferencialmente esta ordem:
a) Acessando os sites oficiais em FALE CONOSCO | Crédito Popular preenchendo o
formulário de Requisição do Titular de Dados Pessoais na seção na seção Fale Com o
Encarregado de Dados no rodapé.
b) Enviando um e-mail diretamente ao DPO (Encarregado de Dados) no endereço –
compliance@grupo3rn.com.br.
Deveres Específicos dos Colaboradores e Parceiros do CLIENTE:
Todos os colaboradores e parceiros têm o dever de informar o Encarregado de Dados (DPO) sobre qualquer suspeita ou ocorrência das seguintes ações:
a) Realização de tratamento de dados pessoais sem fundamentação legal adequada;
b) Processamento de dados pessoais sem o consentimento do Grupo 3RN;
c) Exclusão de dados pessoais sem autorização do Grupo 3RN;
d) Execução de qualquer atividade relacionada ao tratamento de dados pessoais em desacordo com esta política;
e) Outras ações que não estejam em conformidade com esta política ou com os princípios relacionados ao tratamento de dados pessoais
O compartilhamento de dados pessoais é realizado estritamente quando necessário, para fins estabelecidos nos contratos firmados com os clientes e conforme esta política de privacidade, sempre observando elevados padrões de segurança, confidencialidade, integridade e disponibilidade das informações. Tal compartilhamento pode abranger órgãos reguladores, entidades públicas, instituições financeiras e terceiros, sempre que requerido para o cumprimento de obrigações legais, regulatórias ou contratuais, bem como para assegurar o exercício regular de direitos. Os dados também poderão ser fornecidos em atendimento a solicitações, exigências ou determinações provenientes de autoridades judiciais, administrativas ou arbitrais.
Adicionalmente, esse compartilhamento poderá ocorrer para fins de identificação, prevenção e apuração de eventuais infrações ou atividades ilícitas, incluindo fraude, lavagem de dinheiro e financiamento ao terrorismo. Nos casos em que o compartilhamento de dados depender de consentimento, asseguramos que tal autorização será solicitada de maneira apropriada e transparente.
O período de retenção dos dados pessoais tratados varia conforme o objetivo e a natureza do
tratamento. O Grupo 3RN mantém os dados pelo tempo necessário para atender obrigações
legais, regulatórias e contratuais, fornecer e aprimorar produtos e serviços, realizar o
gerenciamento de riscos, exercer direitos em processos administrativos, judiciais e arbitrais,
além de outras finalidades estabelecidas nesta política.
Para garantir a conformidade com a Lei Geral de Proteção de Dados (LGPD) e todas as diretrizes
citadas nesta política, são realizadas orientações de boas práticas tanto por parte do Grupo 3RN
como controladora, quanto para suas coligadas, colaboradores, parceiros e substabelecidos:
a) Fornecimento de treinamentos, orientações, manuais e aconselhamentos sobre a Lei
Geral de Proteção de Dados e o tratamento de informações pessoais, incluindo reuniões
internas, workshops, cursos online, palestras e outras iniciativas de capacitação;
b) Promoção de treinamentos e orientações sobre boas práticas de Segurança da
Informação, abrangendo acessos físicos e lógicos a dados e informações;
c) Elaboração e divulgação de materiais informativos que descrevam as responsabilidades
individuais no âmbito da privacidade e da proteção de dados pessoais;
d) Realização de auditorias e monitoramentos periódicos das atividades de tratamento de
dados pessoais, com atualização de políticas e manuais, elaboração do inventário de
dados e auditoria dos fluxos de tratamento;
e) Implementação de processos internos para gestão de incidentes de segurança, incluindo
a criação e manutenção da Política de Gestão de Incidentes;
f) Designação formal do Encarregado de Dados (DPO) e disponibilização pública e acessível
de seus contatos, a fim de garantir o atendimento célere e adequado às solicitações dos
titulares de dados pessoais.
O Grupo 3RN entende a importância e atenção quanto ao acesso dos dados pessoais, assegurando os acessos, físicos e lógicos, aos dados pessoais tratados de cunho confidencial e sigiloso.
E para cumprir este objetivo de manter a confidencialidade do acesso aos dados pessoais,
são adotadas medidas como boas práticas por parte do Grupo 3RN de suas coligadas,
colaboradores, substabelecidos e parceiros:
a) Elaboração da Política de Gestão de acessos, onde descreve medidas de segurança ao
acesso aos dados físicos e aos acessos lógicos, estabelecendo critérios para a concessão,
alteração e revogação de acessos, além da gestão de acessos privilegiados, genéricos e
senhas de acessos;
b) Elaboração do Termo de Responsabilidade de Acessos, onde determina deveres dos
colaboradores para cuidado com qualquer ferramenta de trabalho onde contenha
dados de pessoa física;
c) Auditoria e monitoramento periódico dos acessos físicos e lógicos, onde contenha
dados pessoais.
Assim que possível, no caso de incidente com vazamento de dados pessoais, o
Encarregado de Tratamento de Dados (DPO) deverá avaliar e fazer as comunicações obrigatórias
por Lei, às Instituições Financeiras que o Grupo 3RN trabalha, bem como a Agência Nacional de
Proteção de dados (ANPD) e informar e subsidiar os Encarregados de Tratamento de Dados dos
controladores do sistema.
A Comunicação deve ser feita no prazo até 3 dias úteis a partir do conhecimento de que
o incidente afetou dados pessoais; informações complementares podem ser enviadas em até
20 dias úteis no mesmo processo, e deverá mencionar, no mínimo:
A descrição da natureza dos dados pessoais afetados;
As informações sobre os titulares envolvidos;
A indicação das medidas técnicas e de segurança utilizadas para a proteção dos
dados, observados os segredos comercial e industrial;
Os riscos relacionados ao incidente;
Os motivos da demora, no caso de a comunicação não ter sido imediata; e
As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos
do prejuízo.
Caso não seja possível fornecer todas as informações no momento da comunicação
preliminar, informações adicionais poderão ser fornecidas posteriormente.
Para notificar as Instituições Financeiras deverá ser enviado através do e-mail do
Encarregado de Dados (DPO) uma Carta de Notificação de Violação de Dados para o
e-mail do Encarregado de Dados (DPO) de cada IF.
Para notificar a ANPD, deve-se: “A comunicação deve ser protocolada via
Peticionamento Eletrônico (SEI) da ANPD, usando o tipo de processo “ANPD –
Comunicados de Incidentes…” e preenchendo o formulário (preliminar ou
completo).
Aos titulares: pode ser e-mail, SMS, carta ou outro canal direto e individual (quando
possível), com os itens mínimos exigidos (natureza/categorias de dados, medidas de
segurança, riscos, motivo de eventual demora, medidas adotadas, data do
conhecimento e contato do encarregado).
Essas comunicações podem incluir agradecimentos ao notificador, informações para os
titulares de dados, relatórios formais para a ANPD entre outros que julgar necessário.
As diretrizes de Segurança e Privacidade aplicáveis à prevenção e resposta a incidentes ou
violações de dados pessoais estão formalizadas na Política de Segurança da Informação (PSI),
bem como em normas internas, documentos de apoio e materiais de treinamento
disponibilizados a todos os colaboradores e parceiros.
O Grupo 3RN reafirma seu compromisso de adotar medidas técnicas e administrativas
adequadas para assegurar que o tratamento de dados pessoais ocorra de forma segura,
prevenindo acessos não autorizados, perdas, roubos, destruição, alterações indevidas ou
compartilhamentos não autorizados, entre outras situações de risco.
O encarregado pelo tratamento de dados pessoais do Grupo 3RN, possui a função de atuar
como canal de comunicação entre a instituição, os titulares dos dados e a Autoridade Nacional
de Proteção de Dados (ANPD).
Caso você tenha alguma solicitação ou reclamação, pedimos que nos envie uma mensagem
através do e-mail ou mediante os canais de atendimento oficiais do Grupo 3RN.
Nome do Encarregado: Rodrigo Ferreira de Aguiar Castro
E-mail: compliance@grupo3rn.com.br
