Política de Privacidade, Governança e Proteção de Dados Pessoais

Esta Política especifica, em atenção às normas da Lei nº 13.709/2018, as boas práticas na gestão de dados pessoais, gestão essa que envolve o desenvolvimento de ações preventivas, educacionais e medidas organizacionais estruturadas pela COMPROCARD, voltadas à difusão e ao aprimoramento da cultura de privacidade e proteção de dados pessoais pelos colaboradores e/ou profissionais que atuam em seu nome.

O termo de consentimento, assinado por empregados, e o termo de compromisso, assinado por clientes e empresas parceiras da COMPROCARD, complementam esta Política de Governança.

Informações da Política de Privacidade

A COMPROCARD contratou assessoria especializada para auxiliá-la em sua adequação à Lei nº 13.709/2018, o que resultou no mapeamento do fluxo de dados pessoais na empresa, na elaboração de termo de consentimento e de termo de compromisso, na confecção desta Política de Governança e na realização de treinamento presencial inicial para os colaboradores, além da adequação do sistema de armazenamento e tratamento de dados, para o alcance da segurança da informação, por meio de agente especializado.

Diretrizes

Esta Política busca garantir a proteção dos dados pessoais envolvidos nas operações da COMPROCARD, assegurando que sejam sempre tratados observando os princípios da boa-fé, da finalidade, da adequação, da necessidade, do livre acesso e da segurança, de modo a mitigar riscos de vazamento e a garantir, ao titular, a transparência no tratamento de seus dados pessoais.

Esta Política incentiva a automação – ou digitalização – de todos os procedimentos relacionados ao tratamento de dados pessoais realizado pela COMPROCARD, evitando-se a coleta e o armazenamento de dados em documentos físicos. Ademais, desincentiva o tratamento de dados pessoais sensíveis.

Conceitos Centrais da Política de Privacidade

• Dado pessoal: informação que, isolada ou associada a outras, identifique ou que possa identificar uma pessoa física.
• Dado pessoal sensível: informação sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física.
• Dado pseudonimizado: informação sobre um titular de dados que somente o identifica quando associada a uma informação adicional relativa ao titular, mantida separadamente pelo controlador em ambiente seguro.
• Titular dos dados pessoais: pessoa física a quem se referem os dados pessoais que são objeto de tratamento, inclusive colaboradores, conselheiros, diretores, fornecedores – quando pessoas físicas – e demais prepostos da COMPROCARD.
• Tratamento de dados pessoais: operação realizada com dados pessoais, que abarca a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais.
• Agentes de tratamento de dados: controlador, pessoa natural ou jurídica, a quem compete a tomada de decisões referentes ao tratamento de dados pessoais; e o operador, pessoa natural ou jurídica, que realiza o tratamento de dados pessoais em nome ou a pedido do controlador.

Princípios que Guiam a Política

• Finalidade: os dados pessoais coletados e processados são utilizados para propósitos legítimos, específicos, explícitos e informados ao titular, não sendo utilizados de forma incompatível com tais objetivos.
• Adequação: os dados pessoais são tratados em compatibilidade com as finalidades informadas ao seu titular ou pertinentes ao contrato por ele firmado com a COMPROCARD, no contexto do tratamento realizado.
• Necessidade: o tratamento deve se limitar ao mínimo possível de dados pessoais indispensáveis à realização das finalidades objetivadas, observada a sua pertinência.
• Livre acesso: é assegurada aos titulares a realização de consulta facilitada e gratuita sobre os seus dados pessoais tratados, bem como sobre a forma e a duração do seu tratamento.
• Transparência: é assegurado ao titular de dados pessoais o acesso a informações precisas e facilitadas sobre o tratamento de seus dados pessoais e os respectivos agentes de tratamento.
• Segurança: são aplicáveis para tratamento de dados todas as medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de perda, alteração, comunicação ou difusão.
• Prevenção: são aplicáveis para o tratamento de dados pessoais todas as medidas técnicas, operacionais e contratuais adequadas para prevenir eventual ocorrência de danos ou riscos no contexto do tratamento de dados pessoais.

Cuidados no Uso de Dados Pessoais

• Análise periódica de riscos: identificação, avaliação e monitoramento das vulnerabilidades e dos riscos de ocorrência de incidentes de proteção de dados pessoais no âmbito da COMPROCARD, bem como suas medidas de tratamento e solução.
• Treinamento: realização de treinamentos pontuais e cursos de capacitação para funcionários e colaboradores, buscando aprimorar a cultura de tratamento adequado de dados.
• Termo de consentimento: toda pessoa física que desenvolver relação comercial com a COMPROCARD, assinará um termo de consentimento para tratamento de seus dados, que poderá ser revogado a critério. O termo indicará que as finalidades para a coleta dos dados são o cumprimento, pela COMPROCARD, de obrigações impostas por órgãos de fiscalização; a confecção e a execução de um eventual contrato do qual seja parte o titular dos dados; o exercício regular de direitos, por parte da COMPROCARD, em processo judicial, administrativo ou arbitral; o envio, ao titular, de promoções, informes e quaisquer comunicados que a COMPROCARD julgue pertinentes; o controle interno do serviço de test-drive da COMPROCARD; a prestação de assistência técnica; e realização de estatísticas internas da COMPROCARD, e de suas empresas parceiras. O titular dos dados deve ficar ciente de que a COMPROCARD permanecerá com os dados até o exaurimento das finalidades previstas, estando a seu critério o procedimento de descarte.
• Termo de compromisso: as empresas parceiras da COMPROCARD, que com ela compartilhem dados de pessoas físicas, devem assinar um termo de compromisso declarando tal compartilhamento e declarando que são integralmente responsáveis pelos dados pessoais coletados, incluindo a obtenção de consentimento dos titulares, conforme artigo 5º, inciso XII, da Lei nº 13.709/2018.

Tanto o termo de consentimento quanto o termo de compromisso devem passar por atualizações periódicas, buscando-se o seu contínuo aperfeiçoamento.

No website para acesso público da COMPROCARD, constam alertas sobre o uso de cookies e a possibilidade de sua desativação, caso seja de interesse do usuário.

Para garantir a segurança do usuário, ao realizar compras, o titular do cartão deve portar o cartão ComproCard e um documento de identificação com foto. Esses documentos poderão ser solicitados pelo operador do estabelecimento para verificação.

Procedimento no Caso de Incidentes

Incidente de segurança com dados pessoais é qualquer evento adverso relacionado à violação na segurança de dados pessoais, como um acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração ou vazamento dos dados. Caso ocorra um incidente, os funcionários e colaboradores da COMPROCARD seguirão um protocolo de atuação, a fim de minorar os danos aos titulares e de cumprir os deveres impostos pela Lei nº 13.709/2018.

O protocolo será gerenciado pessoalmente pelo DPO (Data Protection Officer), encarregado do tratamento de dados na COMPROCARD poderá ser contatado no e-mail dpo@corp.comprocard.com.br; e ocorrerá da seguinte forma:

1. O primeiro passo do protocolo é notificar os titulares dos dados sobre o incidente, esclarecendo-os a respeito de possíveis danos relevantes e comunicando-os o início de uma investigação interna para a identificação de causas e de responsáveis.
2. Em seguida, a empresa comunicará a ocorrência do incidente à Autoridade Nacional de Proteção de Dados (ANPD). Essa comunicação se dará com o preenchimento do formulário disponível no site da ANPD e com o seu protocolo na aba "Peticionamento Eletrônico - Usuário Externo". As instruções para utilização do "Peticionamento Eletrônico" são encontradas aqui: https://www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico.
3. Terminada a investigação interna, a empresa elaborará um relatório final, a ser encaminhado aos titulares dos dados envolvidos no incidente e à ANPD, contendo as seguintes informações: (i) descrição do incidente; (ii) quais foram os danos efetiva e/ou possivelmente causados aos titulares dos dados pessoais; (iii) quais foram as providências de investigação adotadas; (iv) respostas a eventuais questionamentos recebidos da imprensa e dos titulares dos dados; e (v) quais medidas de correção no tratamento de dados serão adotadas.