POLÍTICA DE PRIVACIDADE DE DADOS
Sumário
Objetivo ……………………………………………………………………………………………………………………….. 4
Abrangência …………………………………………………………………………………………………………………. 4
Definições …………………………………………………………………………………………………………………….. 4
Tratamento de dados pessoais ……………………………………………………………………………………….. 5
Dados Pessoais Coletados e Finalidades …………………………………………………………………………… 5
Bases Legais para o Tratamento de Dados ……………………………………………………………………….. 7
Direitos do Titular dos Dados Pessoais …………………………………………………………………………….. 7
Deveres para o Uso Adequado dos Dados Pessoais …………………………………………………………… 8
Compartilhamento de Dados Pessoais …………………………………………………………………………….. 8
Retenção dos Dados Pessoais …………………………………………………………………………………………. 9
Conformidade com a Lei Geral de Proteção de Dados ……………………………………………………….. 9
Confidencialidade dos dados pessoais tratados ………………………………………………………………… 9
Comunicações …………………………………………………………………………………………………………….. 10
Segurança da Informação……………………………………………………………………………………………… 11
Encarregado de Dados …………………………………………………………………………………………………. 11
Objetivo Esta política tem como propósito evidenciar o comprometimento da organização com o tratamento responsável de dados pessoais, em total conformidade com a LGPD e os princípios de Segurança da Informação. Nosso objetivo é reafirmar a responsabilidade com os titulares, assegurando a proteção da privacidade, a transparência nas práticas adotadas e a clareza quanto às medidas de segurança aplicadas. A Lei Geral de Proteção de Dados (LGPD) determina parâmetros essenciais para a garantia dos direitos fundamentais de liberdade, privacidade e proteção dos dados pessoais. Em consonância com essa legislação, reafirmamos nosso dever de zelar pela segurança e confidencialidade das informações, estabelecendo normas internas que definem padrões elevados para o tratamento adequado e seguro dos dados no âmbito de nossas operações. Abrangência Esta política abrange todas as operações de tratamento de dados pessoais, independentemente do meio utilizado, físico ou digital. Definições Os principais termos mencionados nesta política incluem:
- Dados pessoais: Informações relacionadas a uma pessoa natural identificada ou identificável;
- Titular de dados pessoais: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
- Encarregado de dados (DPO): Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
- Agentes de tratamento: O controlador e o operador;
- Tratamento dos dados pessoais: Toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
- Parceiros: Lojistas e substabelecidos;
- IFs: Instituições financeiras.
- Empresas Coligadas do Grupo 3RN: Para os fins desta Política, o termo “empresas coligadas do Grupo 3RN” abrange todas as sociedades que compõem o mesmo grupo econômico, incluindo controladoras, controladas, subsidiárias, afiliadas e demais empresas sob direção, controle ou administração comum.
Tratamento de dados pessoais O Grupo 3RN efetua o tratamento de dados pessoais de acordo com os princípios estabelecidos pela LGPD
- Finalidade: O tratamento de dados deve ocorrer apenas para objetivos legítimos, determinados, claros e devidamente comunicados ao titular, sendo vedada qualquer utilização posterior que seja incompatível com as finalidades inicialmente informadas.
- Adequação: O tratamento de dados deve ser compatível com as finalidades previamente informadas ao titular, sempre respeitando o contexto em que ocorre.
- Necessidade: O tratamento deve se restringir ao mínimo indispensável para atingir os objetivos definidos, abrangendo apenas dados pertinentes, proporcionais e não excessivos.
- Livre acesso: Aos titulares deve ser assegurado acesso simples e gratuito para consultar a forma e a duração do tratamento, bem como a integralidade de seus dados pessoais.
- Qualidade dos dados: Deve ser garantida ao titular a exatidão, clareza, relevância e atualização das informações, conforme a necessidade e a finalidade do tratamento.
- Transparência: O titular deve ter acesso a informações claras, objetivas e acessíveis sobre o tratamento realizado e sobre os agentes envolvidos, preservados segredos comercial e industrial.
- Segurança: Devem ser aplicadas medidas técnicas e administrativas capazes de proteger os dados contra acessos indevidos, além de incidentes acidentais ou ilícitos de destruição, perda, alteração, divulgação ou difusão.
- Prevenção: Adoção de medidas voltadas a evitar danos decorrentes do tratamento de dados pessoais.
- Não discriminação: É vedada a utilização de dados pessoais para fins discriminatórios, ilícitos ou abusivos.
- Responsabilização e prestação de contas: O agente de tratamento deve demonstrar a adoção de medidas eficazes que comprovem a conformidade com a legislação de proteção de dados e a efetividade dessas práticas.
Dados Pessoais Coletados e Finalidades O Grupo 3RN realiza a coleta e o tratamento de dados pessoais com o propósito de garantir maior eficiência em suas operações, aprimorar a experiência de clientes e parceiros e elevar continuamente a qualidade dos serviços prestados. Nós utilizamos CRMS de gestão de clientes Hyperflow e Ipluc que por meio de anúncios em sites, aplicativo e redes sociais recebem as solicitações dos clientes e direcionam para o atendimento.
Bases Legais para o Tratamento de Dados
Todas as atividades de tratamento de dados pessoais realizadas pelo Grupo 3RN estarão fundamentadas em uma base legal que legitime sua execução. Entre as bases legais aplicáveis, destacam-se:
- Consentimento do titular dos dados;
- Cumprimento de obrigação legal ou regulatória;
- Execução de políticas públicas;
- Realização de estudos por órgãos de pesquisa;
- Exercício regular de direitos em processos judiciais, administrativos ou arbitrais;
- Proteção da vida ou integridade física do titular dos dados ou de terceiros;
- Tutela da saúde, exclusivamente em procedimentos realizados por profissionais ou autoridades de saúde;
- Atendimento ao legítimo interesse do CLIENTE;
- Proteção de crédito.
O Grupo 3RN se compromete a registrar e revisar todas as operações de tratamento de dados pessoais, especificando suas finalidades e bases legais, considerando o contexto em que cada operação é realizada.
Direitos do Titular dos Dados Pessoais
O Grupo 3RN, no exercício de suas atividades de tratamento de dados pessoais, reafirma seu compromisso com a proteção e o respeito aos direitos dos titulares, assegurando:
- Confirmação da existência do tratamento: Direito do titular de solicitar informações sobre a existência de operações envolvendo seus dados pessoais.
- Acesso aos dados pessoais: Direito de obter uma cópia dos dados pessoais tratados.
- Correção dos dados pessoais: Possibilidade de solicitar ajustes em informações incompletas, inexatas ou desatualizadas.
- Anonimização, Bloqueio ou Eliminação dos Dados Pessoais: Direito de solicitar a suspensão ou exclusão de dados considerados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
- Direito à Portabilidade dos Dados: Possibilidade de requerer a transferência de seus dados para outro fornecedor de serviço ou produto, conforme regulamentação aplicável.
- Compartilhamento de Dados: Direito de ser informado sobre as entidades públicas ou privadas com as quais seus dados tenham sido compartilhados.
- Eliminação dos dados tratados com consentimento: Direito de solicitar a exclusão de dados pessoais coletados com base no consentimento, salvo nas hipóteses legais de retenção.
- Revogação de Consentimento: direito de retirar, a qualquer momento e de forma simplificada, o consentimento previamente fornecido, sem prejuízo da legalidade do tratamento já realizado.
- Oposição ao Tratamento de Dados Pessoais: Direito de se opor ao tratamento de dados pessoais quando este ocorrer em desconformidade com a LGPD.
Controlador de Dados Pessoais
Deveres para o Uso Adequado dos Dados Pessoais
Compartilhamento de Dados Pessoais:
O compartilhamento de dados pessoais é realizado estritamente quando necessário, para fins estabelecidos nos contratos firmados com os clientes e conforme esta política de privacidade, sempre observando elevados padrões de segurança, confidencialidade, integridade e disponibilidade das informações. Tal compartilhamento pode abranger órgãos reguladores, entidades públicas, instituições financeiras e terceiros, sempre que requerido para o cumprimento de obrigações legais, regulatórias ou contratuais, bem como para assegurar o exercício regular de direitos. Os dados também poderão ser fornecidos em atendimento a solicitações, exigências ou determinações provenientes de autoridades judiciais, administrativas ou arbitrais. Adicionalmente, esse compartilhamento poderá ocorrer para fins de identificação, prevenção e apuração de eventuais infrações ou atividades ilícitas, incluindo fraude, lavagem de dinheiro e financiamento ao terrorismo. Nos casos em que o compartilhamento de dados depender de consentimento, asseguramos que tal autorização será solicitada de maneira apropriada e transparente.
Retenção dos Dados Pessoais:
O período de retenção dos dados pessoais tratados varia conforme o objetivo e a natureza do tratamento. O Grupo 3RN mantém os dados pelo tempo necessário para atender obrigações legais, regulatórias e contratuais, fornecer e aprimorar produtos e serviços, realizar o gerenciamento de riscos, exercer direitos em processos administrativos, judiciais e arbitrais, além de outras finalidades estabelecidas nesta política.
Conformidade com a Lei Geral de Proteção de Dados:
Para garantir a conformidade com a Lei Geral de Proteção de Dados (LGPD) e todas as diretrizes
citadas nesta política, são realizadas orientações de boas práticas tanto por parte do Grupo 3RN
como controladora, quanto para suas coligadas, colaboradores, parceiros e substabelecidos:
a) Fornecimento de treinamentos, orientações, manuais e aconselhamentos sobre a Lei
Geral de Proteção de Dados e o tratamento de informações pessoais, incluindo reuniões
internas, workshops, cursos online, palestras e outras iniciativas de capacitação;
b) Promoção de treinamentos e orientações sobre boas práticas de Segurança da
Informação, abrangendo acessos físicos e lógicos a dados e informações;
c) Elaboração e divulgação de materiais informativos que descrevam as responsabilidades
individuais no âmbito da privacidade e da proteção de dados pessoais;
d) Realização de auditorias e monitoramentos periódicos das atividades de tratamento de
dados pessoais, com atualização de políticas e manuais, elaboração do inventário de
dados e auditoria dos fluxos de tratamento;
e) Implementação de processos internos para gestão de incidentes de segurança, incluindo
a criação e manutenção da Política de Gestão de Incidentes;
f) Designação formal do Encarregado de Dados (DPO) e disponibilização pública e acessível
de seus contatos, a fim de garantir o atendimento célere e adequado às solicitações dos
titulares de dados pessoais.
Confidencialidade dos dados pessoais tratados:
Para garantir a conformidade com a Lei Geral de Proteção de Dados (LGPD) e todas as diretrizes citadas nesta política, são realizadas orientações de boas práticas tanto por parte do Grupo 3RN como controladora, quanto para suas coligadas, colaboradores, parceiros e substabelecidos:
a) Fornecimento de treinamentos, orientações, manuais e aconselhamentos sobre a Lei Geral de Proteção de Dados e o tratamento de informações pessoais, incluindo reuniões
b) Promoção de treinamentos e orientações sobre boas práticas de Segurança da Informação, abrangendo acessos físicos e lógicos a dados e informações;
c) Elaboração e divulgação de materiais informativos que descrevam as responsabilidades individuais no âmbito da privacidade e da proteção de dados pessoais;
d) Realização de auditorias e monitoramentos periódicos das atividades de tratamento de dados pessoais, com atualização de políticas e manuais, elaboração do inventário de dados e auditoria dos fluxos de tratamento;
e) Implementação de processos internos para gestão de incidentes de segurança, incluindo a criação e manutenção da Política de Gestão de Incidentes;
f) Designação formal do Encarregado de Dados (DPO) e disponibilização pública e acessível de seus contatos, a fim de garantir o atendimento célere e adequado às solicitações dos titulares de dados pessoais.
Confidencialidade dos dados pessoais tratados
O Grupo 3RN entende a importância e atenção quanto ao acesso dos dados pessoais, assegurando os acessos, físicos e lógicos, aos dados pessoais tratados de cunho confidencial e sigiloso. E para cumprir este objetivo de manter a confidencialidade do acesso aos dados pessoais, são adotadas medidas como boas práticas por parte do Grupo 3RN de suas coligadas, colaboradores, substabelecidos e parceiros:
a) Elaboração da Política de Gestão de acessos, onde descreve medidas de segurança ao acesso aos dados físicos e aos acessos lógicos, estabelecendo critérios para a concessão, alteração e revogação de acessos, além da gestão de acessos privilegiados, genéricos e senhas de acessos;
b) Elaboração do Termo de Responsabilidade de Acessos, onde determina deveres dos colaboradores para cuidado com qualquer ferramenta de trabalho onde contenha dados de pessoa física;
c) Auditoria e monitoramento periódico dos acessos físicos e lógicos, onde contenha dados pessoais.
Comunicações:
Assim que possível, no caso de incidente com vazamento de dados pessoais, o Encarregado de Tratamento de Dados (DPO) deverá avaliar e fazer as comunicações obrigatórias por Lei, às Instituições Financeiras que o Grupo 3RN trabalha, bem como a Agência Nacional de Proteção de dados (ANPD) e informar e subsidiar os Encarregados de Tratamento de Dados dos controladores do sistema. A Comunicação deve ser feita no prazo até 3 dias úteis a partir do conhecimento de que o incidente afetou dados pessoais; informações complementares podem ser enviadas em até 20 dias úteis no mesmo processo, e deverá mencionar, no mínimo:
- A descrição da natureza dos dados pessoais afetados;
- As informações sobre os titulares envolvidos;
- A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
- Os riscos relacionados ao incidente;
- Os motivos da demora, no caso de a comunicação não ter sido imediata; e
- As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Caso não seja possível fornecer todas as informações no momento da comunicação preliminar, informações adicionais poderão ser fornecidas posteriormente. Para notificar as Instituições Financeiras deverá ser enviado através do e-mail do Encarregado de Dados (DPO) uma Carta de Notificação de Violação de Dados para o e-mail do Encarregado de Dados (DPO) de cada IF. Para notificar a ANPD, deve-se: “A comunicação deve ser protocolada via Peticionamento Eletrônico (SEI) da ANPD, usando o tipo de processo “ANPD – Comunicados de Incidentes…” e preenchendo o formulário (preliminar ou completo).
Aos titulares: pode ser e-mail, SMS, carta ou outro canal direto e individual (quando possível), com os itens mínimos exigidos (natureza/categorias de dados, medidas de segurança, riscos, motivo de eventual demora, medidas adotadas, data do conhecimento e contato do encarregado). Essas comunicações podem incluir agradecimentos ao notificador, informações para os titulares de dados, relatórios formais para a ANPD entre outros que julgar necessário.
Segurança da Informação:
As diretrizes de Segurança e Privacidade aplicáveis à prevenção e resposta a incidentes ou violações de dados pessoais estão formalizadas na Política de Segurança da Informação (PSI), bem como em normas internas, documentos de apoio e materiais de treinamento disponibilizados a todos os colaboradores e parceiros. O Grupo 3RN reafirma seu compromisso de adotar medidas técnicas e administrativas adequadas para assegurar que o tratamento de dados pessoais ocorra de forma segura, prevenindo acessos não autorizados, perdas, roubos, destruição, alterações indevidas ou compartilhamentos não autorizados, entre outras situações de risco.
Encarregado de Dados
O encarregado pelo tratamento de dados pessoais do Grupo 3RN, possui a função de atuar como canal de comunicação entre a instituição, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Caso você tenha alguma solicitação ou reclamação, pedimos que nos envie uma mensagem através do e-mail ou mediante os canais de atendimento oficiais do Grupo 3RN. Nome do Encarregado: Rodrigo Ferreira de Aguiar Castro E-mail: compliance@grupo3rn.com.br