POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS

1. OBJETIVO

Durante a execução de nossas atividades, coletamos, armazenamos e processamos dados pessoais. A CDL POA se preocupa em assegurar que esses dados estejam protegidos e sejam tratados com responsabilidade, ética e em linha com os nossos princípios, valores e legislação aplicável. Prezamos pela excelência de nossos serviços e, ao mesmo tempo, estamos comprometidos em proteger e resguardar a privacidade e a proteção de dados.

Elaborada com base nas disposições da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (“LGPD”).

2. ABRANGÊNCIA

As regras e diretrizes dispostas nesta política visam o correto tratamento de dados pessoais pela CDL POA.

3. DEFINIÇÕES GERAIS

Lei Geral de Proteção de Dados Pessoais (LGPD):  Lei nº 13.709/2018 que traz as disposições legais acerca do tratamento de dados pessoais, em meios físicos ou digitais, por pessoa natural ou jurídica, de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural. A lei brasileira foi inspirada pela regulamentação europeia GDPR.

Titular: pessoa física proprietária do dado pessoal. É a pessoa sobre a qual o dado se refere.

Agente de tratamento: o controlador e/ou o operador dos dados pessoais.

Controlador: pessoa física natural ou jurídica, de direito público ou privado, a quem competem as decisões do tratamento de dados pessoais. O controlador determina as finalidades, condições e meios do processamento de dados pessoais.

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador e de acordo com suas orientações. Conhecido como processor na regulamentação europeia GDPR.

Dado pessoal: qualquer informação que identifique diretamente uma pessoa natural, como, por exemplo, nome, CPF, RG, nº de registro interno dentro da organização, profissão, e endereço eletrônico. Também constituem dados pessoais o conjunto de informações distintas que indiretamente podem levar à identificação de uma determinada pessoa, como, por exemplo, a combinação de informações de cargo e local de trabalho. Não são considerados dados pessoais quaisquer dados relacionados a pessoas jurídicas como CNPJ, razão social, balanço financeiro.

Dado pessoal sensível: são dados pessoais que possuem maior proteção da lei e requerem maior cuidado no tratamento pelo fato de poderem gerar alguma discriminação ao titular. São considerados dados pessoais sensíveis: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Encarregado de proteção de dados: também conhecido como DPO (Data Protection Officer), refere-se à pessoa natural indicada pelo agente de tratamento, que atua como canal de comunicação entre o agente, os titulares e a Autoridade Nacional de Proteção de Dados. Os contatos do Encarregado de proteção de dados da CDL POA estão em nosso site e na intranet.

Tratamento: toda e qualquer operação realizada com dados pessoais, tais como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração.

Dado anonimizado: dados que não permitem a identificação direta ou indireta do titular, não sendo, portanto, considerados como dados pessoais. Dados pessoais podem sofrer processo de anonimização e passarem a ser anonimizados e, portanto, não pessoais. A anonimização de dados tem de ser irreversível, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

1. DIRETRIZES

As atividades relacionados a tratamento de dados na CDL POA seguem as diretrizes impostas pela legislação vigente e as métricas trazidas por esta Política, a fim de conferir maior compliance de nossa Entidade à legislação vigente.

Desta maneira, a nossa atuação ao lidar com dados pessoais observa os princípios impostos pela LGPD estão presentes.

a) Finalidade: todo tratamento deve ser vinculado a uma finalidade específica, a qual tende a atender a propósitos legítimos, específicos, explícitos e informados ao titular, sendo vedado o tratamento incompatível com as finalidades previamente definidas;

b) Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

c) Necessidade: também conhecido como princípio da minimização dos dados, determina que o tratamento de dados pessoais se limita ao mínimo de dados pessoais necessários para realização de suas finalidades e não excessivos em relação às finalidades previstas;

d) Livre Acesso: os titulares dos dados pessoais têm acesso à consulta facilitada e gratuita sobre a forma e duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

e) Qualidade dos Dados: aos titulares dos dados pessoais são garantidas exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para cumprimento da finalidade de seu tratamento;

f) Transparência: os titulares dos dados têm acesso a informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e respectivos agentes de tratamento, observados segredos comerciais e industriais.

g) Segurança: são utilizadas medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

h) Prevenção: são adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

i) Não discriminação: os dados pessoais não são discriminatórios ilícitos ou abusivos;

j) Responsabilização e prestação de contas: estamos aptos a demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

1. CDL POA COMO AGENTE DE TRATAMENTO DE DADOS PESSOAIS

A CÂMARA DE DIRIGENTES LOJISTAS DE PORTO ALEGRE, abreviadamente CDL POA, como entidade associativa, presta vários serviços para suas associadas, sendo mantenedora do Serviço Central de Proteção ao Crédito de Porto Alegre – SCPC-POA, que é um banco de dados de proteção ao crédito, conforme disposto no artigo 43 e 44 do Código de Defesa do Consumidor.

A CDL POA realiza o tratamento de dados de dados pessoais, podendo assumir a figura ora de Controlador, ora de Operador. Quando a decisão sobre o tratamento do dado partir da CDL POA, estará na condição de Controlador. Por outro lado, quando a CDL POA realizar o tratamento de dados pessoais em nome do controlador e de acordo com suas orientações ou instruções, estará atuando como Operador.

4.2 Da Responsabilidade do Agente de tratamento de dados pessoais

Na condição de Controlador, a CDL POA, antes de realizar qualquer tratamento de dados pessoais, certifica-se de que este tratamento está amparado pela legislação vigente, conforme hipóteses autorizadoras descritas no item 4.4.

Por outro lado, quando a CDL POA agir como Operador, realizará o tratamento conforme instruções fornecidas pelo Controlador, sendo desse a responsabilidade de assegurar que há base legal para o tratamento de dados pessoais, inclusive para autorizar o compartilhamento de dados com a CDL POA.

4.3 Da Finalidade do Tratamento de Dados Pessoais

A CDL POA trata dados pessoais quando:

Comunica-se com o titular de dados a respeito da entidade e notícias sobre pesquisas, varejo, serviços, da CDLPOA e/ou de seus associados e parceiros;
Responde às dúvidas e solicitações dos titulares de dados;
Envia e-mail marketing para seus associados e titulares de dados;
Presta serviços da CDLPOA voltados para subsidiar o ciclo de crédito, proteção e análise de crédito, recuperação de crédito, prevenção à fraude, e outros correlatos;
Identifica consumidores para fornecimento de consulta aos mesmos à base de dados do SCPC.

4.4 Bases Legais de Tratamento

4.4.1 Tratamento de Dados Pessoais

A CDL POA, ao tratar dado pessoal, o faz mediante uma das bases legais, lembrando que a LGPD prevê como hipóteses:

I – mediante o fornecimento de consentimento pelo titular;

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

4.2.2 Tratamento de Dados Pessoais Sensíveis

A CDL POA, em algumas de suas atividades, coleta biometria de titulares exclusivamente para: identificação do titular.

4.4.2.1 Hipóteses de Tratamento do Dado Sensível

A CDL POA, ao tratar dado sensível, o faz mediante uma das hipóteses legais, lembrando que a LGPD prevê como hipóteses:

I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

a) cumprimento de obrigação legal ou regulatória pelo controlador;

b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;

d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;

e) proteção da vida ou da incolumidade física do titular ou de terceiro;

f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

4.5 Do uso compartilhado de Dados Pessoais

A CDL POA compartilha dados na execução do Serviço Central de Proteção ao Crédito embasado nas hipóteses legais de tratamento previstas na LGPD.

4.6 Da Duração do Tratamento

A duração do tratamento dos dados pessoais, inclusive os sensíveis, observa os prazos fixados por lei e/ou cláusulas contratuais específicas, bem como considera a finalidade pela qual foram coletados, em conformidade com a legislação aplicável (nacional).

Após o término do prazo de tratamento, os dados são eliminados ou anonimizados, ressalvada a hipótese para cumprimento de dever legal.

4.7 Direitos do Titular

Os titulares de dados podem, a qualquer momento, solicitarem as seguintes informações sobre seus dados pessoais:

a) confirmação da existência de tratamento;]
b) acesso aos dados;
c) correção de dados incompletos, inexatos ou desatualizados;
d) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
e) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo
com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
f) eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art.16 da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais);
g) informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de
dados;
h) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
i) revogação do consentimento.

Caso queira tomar conhecimento sobre os direitos dos titulares de dados, para que possa ter o esclarecimento sobre dúvidas relacionadas ao tema, contate o Encarregado/DPO através do canal mencionad o nessa Política.

4.4 Encarregado/DPO

O Encarregado pelo tratamento de dados pessoais ou Data Protection Officer (DPO) é a pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares dos dados pessoais, zelando para que o acesso a ele seja facilitado, de forma gratuita, clara e pública nos meios de comunicação do agente de tratamento, e a Autoridade Nacional de Proteção de Dados (ANPD). No caso da CDL POA é representado pelo Ricardo Val Ribeiro, onde atende as demandas pelo e-mail encarregadodedados@cdlpoa.com.br.

As atividades do encarregado consistem em:

• Receber reclamações e comunicações dos titulares bem identificados, prestar esclarecimentos e adotar providências;
• Receber comunicações da ANPD e adotar providências;
• Orientar os colaboradores e os contratados da firma a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
• Coordenar a elaboração do relatório de impacto à proteção de dados pessoais, documento que poderá ser exigido pela ANPD nos casos que envolverem, por exemplo, utilização de legítimo interesse como base legal;
• Assegurar o cumprimento das políticas de privacidade e proteção de dados pelos colaboradores da firma;

O Encarregado trabalha em conjunto com as demais áreas da CDL POA, para o correto monitoramento das atividades relacionadas à privacidade.

4.9 Privacidade desde a Concepção

O conceito de Privacidade desde a Concepção significa que na CDLPOA a privacidade e a proteção de dados são consideradas desde a concepção e durante todo o ciclo de vida do projeto, sistema, serviço ou processo.

• Proativo, e não reativo; preventivo, e não corretivo;
• Privacidade é o padrão dos sistemas de TI ou práticas de negócio;
• Privacidade incorporada ao projeto (Design);
• Funcionalidade Total;
• Segurança e proteção de ponta a ponta;
• Visibilidade e transparência;
• Respeito pela privacidade do titular.

A CDL POA adota medidas adequadas para garantir que, por padrão, apenas serão são processados os dados pessoais necessários para cumprimento da(s) finalidade(s) específica(s) definida(s).

4.10 Comitê de Privacidade

Com o objetivo de tratar todas as questões relacionadas ao cumprimento dessa política, a CDL POA tem em sua estrutura o Comitê de Privacidade que é formado pelos seguintes funcionários: Ricardo do Val Ribeiro (DPO e Especialista da Qualidade), Virgínia Neves de Menezes (Gestora Jurídica) e Celso Pelliccioli (Gestor de TI). Com a supervisão do Maico Renner (Superintendente).

4.11 Auditoria Interna

Os controles relacionados à privacidade de proteção de dados serão monitorados anualmente pela equipe de auditoria interna da CDL POA.

• A abordagem de riscos e controles se guiará a partir de uma matriz de riscos.
• As adequações das áreas frente ao determinado pela lei serão incluídas como planos de ação no ICG;
• Os processos verificados estarão previstos no cronograma da auditoria interna onde serão realizados testes específicos sobre os riscos e controles anualmente.

5. DÚVIDAS

Reclamações e preocupações dos titulares dos dados e dos funcionários da CDL POA devem ser endereçadas ao Ricardo do Val Ribeiro – DPO através do e-mail encarregadodedados@cdlpoa.com.br

6. REFERÊNCIAS

Esta Política é propriedade da CDL POA e baseia-se nas disposições da Lei Geral de Proteção de Dados (LGPD).

O Encarregado/DPO da CDL POA é responsável por revisar essa política anualmente, devendo ser atualizada anualmente e ser comunicada aos interlocutores apropriados. O Comitê de Privacidade é responsável por garantir que os profissionais da companhia, os sistemas e operadores cumpram com esta política.

7. VIGÊNCIA 

Esta política estará vigente pelo próximo 1 (um) ano.