1. OBJETIVO
A CDL POA assegura que os dados pessoais tratados durante a execução das suas atividades estão protegidos e são tratados com responsabilidade, ética e alinhado aos princípios, valores da Entidade, bem como à legislação aplicável. A CDL POA preza pela excelência dos serviços e, está comprometida em proteger e resguardar a privacidade e a proteção dos dados pessoais.
2. ABRANGÊNCIA
As regras e diretrizes dispostas nesta Política visam o correto tratamento de dados pessoais pela CDL POA.
3. DEFINIÇÕES GERAIS
Agente de tratamento: o controlador e/ou o operador dos dados pessoais.
Controlador: pessoa física natural ou jurídica, de direito público ou privado, a quem competem as decisões do tratamento de dados pessoais. O Controlador determina as finalidades, condições e meios do processamento de dados pessoais.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador e de acordo com suas orientações.
Dado pessoal: qualquer informação que identifique diretamente uma pessoa natural, como, por exemplo, nome, CPF, RG, nº de registro interno dentro da organização, profissão, e endereço eletrônico. Também constituem dados pessoais o conjunto de informações distintas que indiretamente podem levar à identificação de uma determinada pessoa, como, por exemplo, a combinação de informações de cargo e local de trabalho. Não são considerados dados pessoais quaisquer dados relacionados a pessoas jurídicas como CNPJ, razão social, balanço financeiro.
Dado pessoal sensível: são dados pessoais que possuem maior proteção da lei e requerem maior cuidado no tratamento pelo fato de poderem gerar alguma discriminação ao titular. São considerados dados pessoais sensíveis: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Encarregado de Dados: também conhecido como DPO (Data Protection Officer), refere-se à pessoa indicada pelo agente de tratamento, que atua como canal de comunicação entre o agente, os titulares e a Autoridade Nacional de Proteção de Dados. O contato do Encarregado de Dados da CDL POA está disponível no final desta Política.
Dado anonimizado: dados que não permitem a identificação direta ou indireta do titular, não sendo, portanto, considerados como dados pessoais protegidos pela Lei. Dados pessoais podem sofrer processo de anonimização e passarem a ser anonimizados e, portanto, não pessoais. A anonimização de dados tem de ser irreversível, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Lei Geral de Proteção de Dados Pessoais (LGPD): Lei nº 13.709/2018 que traz as disposições legais acerca do tratamento de dados pessoais, em meios físicos ou digitais, por pessoa natural ou jurídica, de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Titular de Dados: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento
Opt-in: autorização dada por um usuário, por exemplo, para o recebimento de e-mails marketing, comunicados, newsletters e/ou promoções de determinada organização.
Opt-out: revogação da autorização, por exemplo, inicialmente concedida pelo titular quanto ao recebimento de e-mails marketing, comunicados, newsletters e/ou promoções de determinada organização. É a forma pela qual o titular pleiteia a retirada de seu e-mail da lista de destinatários.
Tratamento: toda e qualquer operação realizada com dados pessoais, tais como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração.
4. A CDL POA COMO AGENTE DE TRATAMENTO DE DADOS PESSOAIS
No desenvolvimento de suas atividades, enquanto associação civil, sem finalidade econômica, a CDL POA disponibiliza para as suas associadas diversos serviços tais como o Serviço Central de Proteção ao Crédito (SCPC). Para tanto, realiza o tratamento de dados de dados pessoais, podendo assumir a figura ora de Controladora, ora de Operadora, tratando dados pessoais como: nome, CPF, endereço, telefone e e-mail.
Quando a decisão sobre o tratamento do dado partir da CDL POA, estará na condição de Controladora. Por outro lado, quando a CDL POA realizar o tratamento de dados pessoais em nome do Controlador e de acordo com suas orientações ou instruções, estará atuando como Operadora.
5. DA RESPONSABILIDADE DO AGENTE DE TRATAMENTO DE DADOS PESSOAIS
A CDL POA na condição de Controladora, antes de realizar qualquer tratamento de dados pessoais, certifica-se de que este tratamento está amparado pela legislação vigente, conforme hipóteses legais autorizadoras.
Por outro lado, quando a CDL POA agir como Operadora, realizará o tratamento conforme instruções fornecidas pelo Controlador, sendo desse a responsabilidade de assegurar que há hipótese legal para o tratamento de dados pessoais, inclusive para autorizar o compartilhamento de dados pessoais com a CDL POA.
6. DA FINALIDADE DO TRATAMENTO DE DADOS PESSOAIS
O tratamento de dados pessoais realizado pela CDL POA se dará mediante enquadramento em uma das hipóteses legais previstas na LGPD, em especial: (i) execução de contrato; (ii) proteção ao crédito; (iii) cumprimento de obrigação legal ou regulatória; (iv) legítimo interesse; e, (v) consentimento, levando-se em conta a legítima expectativa do titular de dado.
Desta forma, a CDL POA trata dados pessoais quando:
- Comunica-se com o titular de dados a respeito da Entidade e notícias sobre pesquisas, sobre o varejo, serviços da CDL POA e/ou de suas Associadas e Parceiros;
- Responde às dúvidas e solicitações dos titulares de dados;
- Envia e-mail marketing para suas Associadas e titulares de dados;
- Presta serviços da CDL POA voltados para subsidiar o ciclo de crédito, proteção e análise de crédito, recuperação de crédito, prevenção à fraude, e outros correlatos;
- Identifica consumidores, em seu atendimento ao público, e fornece mediante solicitação do titular do dado, à base de dados do SCPC.
7. BASES LEGAIS DE TRATAMENTO
A CDL POA, ao tratar dado pessoal, o faz mediante uma das hipóteses legais, que autoriza o tratamento de dados pessoais. São elas:
(i) consentimento dado pelo titular;
(ii) cumprimento de obrigação legal ou regulatória pelo controlador;
(iii) pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
(iv) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
(v) execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
(vi) exercício regular de direitos em processo judicial, administrativo ou arbitral;
(vii) proteção da vida ou da incolumidade física do titular ou de terceiros;
(viii) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
(ix) atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
(x) proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
8. TRATAMENTO DE DADOS PESSOAIS SENSÍVEIS
A CDL POA poderá coletar impressão digital (biometria) de titulares de dados, exclusivamente, para identificação do usuário para fins de segurança e prevenção à fraude.
8.1 HIPÓTESES DE TRATAMENTO DE DADO PESSOAL SENSÍVEL
A CDL POA ao tratar dado pessoal sensível, o faz mediante uma das hipóteses legais, lembrando que a LGPD prevê como hipóteses:
- Consentimento dado pelo titular de dados ou seu responsável legal de forma específica e destacada, para finalidades específicas.
Ou, sem o fornecimento do consentimento do titular, nas hipóteses em que for indispensável para:
- Cumprimento de obrigação legal ou regulatória pelo controlador;
- Tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
- Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
- Exercício regular de direitos, inclusive em contrato e processo judicial, administrativo e arbitral;
- Proteção da vida e da integridade física do titular ou de terceiros;
- Tutela da saúde em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias; e
- Garantia de prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
9. DO USO COMPARTILHADO DE DADOS PESSOAIS
A CDL POA trata dados pessoais na execução do Serviço Central de Proteção ao Crédito (SCPC) com base nas hipóteses legais de tratamento previstas na LGPD.
10. DA DURAÇÃO DO TRATAMENTO
A duração do tratamento dos dados pessoais, inclusive os dados pessoais sensíveis, observa os prazos fixados por lei, órgãos reguladores e/ou cláusulas contratuais específicas, bem como considera a finalidade pela qual foram coletados, em conformidade com a legislação aplicável.
Após o término do prazo de tratamento, os dados pessoais são eliminados ou anonimizados, ressalvada hipótese legal de tratamento, tais como: cumprimento de obrigação legal ou regulatória pelo controlador; estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou, uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
11. DIREITOS DO TITULAR
11.1 Os titulares de dados podem, a qualquer momento, solicitar as seguintes informações sobre seus dados pessoais:
(i) confirmação da existência de tratamento;
(ii) acesso aos dados;
(iii) correção de dados incompletos, inexatos ou desatualizados;
(iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei;
(v) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da ANPD, observados os segredos comercial e industrial;
(vi) eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art.16 da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais);
(vii) informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
(viii) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
(ix) revogação do consentimento.
11.2
A CDL POA se reserva no direito de manter o tratamento de dados caso possua outra hipótese legal de tratamento aplicável ao caso concreto, tais como, mas sem limite, cumprimento de obrigação legal, execução de contrato, proteção ao crédito, legítimo interesse, entre outras, bem como se reserva a liberalidade que, após, a correta identificação do titular e eventual solicitação de exclusão de dados, efetuar o bloqueio das informações de consulta no sistema, podendo a qualquer tempo rever tal procedimento.
11.3
A CDL POA poderá enviar comunicados e mensagens publicitárias aos cadastrados no seu site, desde que estes tenham demostrado interesse em receber as comunicações (mediante opt-in) ou dado o consentimento. Tais comunicados e mensagens poderão ser transmitidas por e-mail, SMS e outros meios de comunicação que venham a ser implementados. Caso o titular de dados não tenha interesse no recebimento das mensagens mencionadas, poderá, a qualquer momento, optar por não as receber mais as comunicações, bastando para isso utilizar o link disponível na própria mensagem e realizar o seu descadastramento (mediante opt-out).
12. DA SEGURANÇA DOS DADOS PESSOAIS
A CDL POA adota as melhores práticas em tecnologia e segurança da informação de modo a impedir vazamento de dados, bem como adota os conceitos de Confidencialidade, Integridade e a Disponibilidade do dado pessoal, a seguir definidos:
- Confidencialidade: significa que apenas as pessoas que são autorizadas podem acessar o dado;
- Integridade: significa que o dado pessoal deve ser atualizado e adequado às finalidades para o qual é tratado;
- Disponibilidade: significa que usuários autorizados devem estar aptos para acessar o dado caso seja necessário pelas finalidades autorizadas.
13. TRANSFERÊNCIA INTERNACIONAL
A CDL POA realizará a transferência internacional dos dados dos titulares para outros países ou organismos internacionais somente quando estritamente necessário para atingir a finalidade que ensejou o tratamento dos dados pessoais, priorizando, sempre que possível, o armazenamento em servidores localizados no Brasil.
Em algumas situações a CDL POA poderá transferir dado pessoal para local fora do território brasileiro, nesse caso, são adotadas medidas apropriadas para garantir a proteção adequada dos dados pessoais em conformidade com os requisitos das legislações aplicáveis de proteção de dados, incluindo por meio da celebração de contratos, quando necessário.
14. PRIVACIDADE DESDE A CONCEPÇÃO
O conceito de Privacidade desde a Concepção significa que na CDL POA a privacidade e a proteção de dados são consideradas desde a concepção e durante todo o ciclo de vida do tratamento de dados pessoais.
Na CDL POA adota-se medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Tais critérios são adotados desde a concepção de novos serviços, produtos ou sistemas desenvolvidos pela CDL POA.
A CDL POA adota medidas adequadas para garantir que, por padrão, apenas são processados os dados pessoais necessários para cumprimento da(s) finalidade(s) específica(s) definida(s).
15. COOKIES E ENDEREÇO DE IP
Os cookies são pequenos arquivos criados por sites visitados e que são salvos no computador do usuário, por meio do navegador. São informações que servem para identificar o visitante, para melhorar o desempenho da página e personalizar a navegação conforme o perfil do visitante. A captura das informações será realizada por todo e qualquer meio técnico não vedado pela legislação vigente. Os cookies não capturam informações pessoais identificáveis e, caso deseje, o usuário poderá apagá-los de seu computador utilizando as ferramentas do seu navegador (browser).
O endereço Internet Protocol – IP é um tipo de registro com números, que identifica e localiza conexões na internet e dispositivos para fins de rastreabilidade dos acessos que dentre as finalidades serve para de prevenção à fraude.
16. COMITÊ DE PRIVACIDADE
Com o objetivo de tratar todas as questões relacionadas ao cumprimento desta Política, a CDL POA tem em sua estrutura o Comitê de Privacidade, o qual atende as diretrizes da legislação vigente, bem como desenvolve regras de boas práticas e de governança envolvendo o tratamento de dados pessoais no contexto da CDL POA.
17. TÉRMINO DO TRATAMENTO DE DADOS
O término do tratamento de dados pessoais ocorrerá: (i) quando a finalidade pela qual os dados pessoais do titular foram coletados for alcançada; (ii) dados pessoais coletados deixarem de ser necessários ao alcance de tal finalidade; (iii) quando o titular retirar o seu consentimento ou estiver em seu direito de solicitar o término do tratamento e a exclusão de seus dados pessoais e o fizer; e (iii) quando houver uma determinação legal nesse sentido.
18. TEMPO DE RETENÇÃO DE DADOS
Observadas as disposições relativas ao término do tratamento de dados, conforme item 17, estes podem ser retidos pelo prazo previsto em lei: (i) pelo tempo exigido para cumprimento de obrigação legal ou regulatória; (ii) pelo tempo necessário a preservar o legitimo interesse da CDL POA, conforme o caso; (iii) pelo tempo necessário para o exercício regular de direitos da CDL POA em processo judicial, administrativo ou arbitral.
19. DÚVIDAS E CONTATO COM O ENCARREGADO DE DADOS
A CDL POA tem o compromisso de preservar a privacidade e a proteção dos dados pessoais, sendo que, disponibiliza canal de atendimento para que o titular possa exercer os direitos dispostos no item 11, desta Política e com base na legislação aplicável.
Dúvidas, sugestões e solicitações dos titulares devem ser endereçadas ao Encarregado de Dados da CDL POA: Virgínia Neves de Menezes, e-mail encarregadodedados@cdlpoa.com.br . Ainda, a CDL POA, disponibiliza canal de atendimento exclusivo para esta finalidade contatoseguro.com.br/pt/privacidadecdlpoa, o qual após a devida identificação, o titular poderá exercer os direitos previstos na Lei Geral de Proteção de Dados, sendo retida estas informações nos termos legais, em especial para fins de identificação e contato com o titular.
20. REFERÊNCIAS
Esta Política é propriedade da CDL POA e baseia-se nas disposições da Lei Geral de Proteção de Dados -LGPD, Lei nº 13.709/18, Constituição Federal; Código de Defesa do Consumidor; Lei do Cadastro Positivo – Lei nº 12.414/2011; Marco Civil da Internet – Lei nº 12.965/2014 e Decreto nº 8.771/2016.
21. VIGÊNCIA
Esta política encontra-se em vigor.