GREEN ALTERNATIVE INVESTMENTS DISTRIBUIDORA DE TÍTULOS E VALORES MOBILIÁRIOS (“GREEN” y/o “DTVM”) ha desarrollado esta política con el principio básico de garantizar la privacidad de sus empleados, clientes y proveedores a través de la Ley de Protección de Datos, que tiene como objetivo asegurar la transparencia de las actividades realizadas por GREEN.
Con base en la Ley nº 13.709, de 14 de agosto de 2018 (Ley General de Protección de Datos Personales – LGPD), que entró en vigor el 18 de septiembre de 2020, que establece condiciones y límites para el tratamiento de datos personales, protegiendo la libertad, privacidad y libre desarrollo del individuo.
Con base en el artículo 5 de la Ley General de Protección de Datos (“LGPD”), de 14 de agosto de 2018, y otros conceptos relacionados, el Departamento de Cumplimiento de GREEN ha desarrollado las siguientes definiciones para una mejor comprensión de los elementos que intervienen en la política aquí presentada:
– Datos personales: información relativa a una persona física identificada o identificable;
– Datos personales sensibles: se refiere al origen racial o étnico, las creencias religiosas, las opiniones políticas, la pertenencia a un sindicato o a una organización religiosa, filosófica o política, los datos relativos a la salud o a la vida sexual, los datos genéticos o biométricos, cuando estén vinculados a una persona física;
– Datos anonimizados: datos relativos a un interesado cuya identificación no puede realizarse, considerando el uso de medios técnicos razonables y disponibles en el momento de su tratamiento.
– Base de datos: conjunto estructurado de datos personales, establecido en uno o varios lugares, en formato electrónico o físico;
– Interesado: la persona física a la que se refieren los datos personales que son objeto de tratamiento.
– Responsable del tratamiento: persona física o jurídica, de derecho público o privado, responsable de la toma de decisiones relativas al tratamiento de datos personales.
– Encargado del tratamiento: persona física o jurídica, de derecho público o privado, que trata datos personales por cuenta del responsable del tratamiento.
– Delegado de Protección de Datos: persona designada por el responsable y el encargado del tratamiento para actuar como canal de comunicación entre el responsable, los interesados y la Autoridad Nacional de Protección de Datos (ANPD);
– Agentes de tratamiento: el responsable del tratamiento y el operador.
– Tratamiento: cualquier operación realizada sobre datos personales, como la recogida, producción, recepción, clasificación, utilización, acceso, reproducción, transmisión, distribución, elaboración, archivo, almacenamiento, eliminación, evaluación o control de la información, modificación, comunicación, transferencia, difusión o extracción.
– Anonimización: el uso de medios técnicos razonables y disponibles en el momento del tratamiento, mediante el cual los datos pierden la posibilidad de asociación directa o indirecta con un individuo;
– Consentimiento: manifestación libre, informada e inequívoca mediante la cual el titular de los datos consiente el tratamiento de sus datos personales para una finalidad específica;
– Bloqueo: suspensión temporal de cualquier operación de tratamiento, mediante la salvaguardia de los datos personales o de la base de datos.
– Supresión: eliminación de datos o de un conjunto de datos almacenados en una base de datos, independientemente del procedimiento utilizado;
– Transferencia internacional de datos: transferencia de datos personales a un país extranjero o a una organización internacional de la que el país sea miembro;
– Uso compartido de datos: comunicación, difusión, transferencia internacional, interconexión de datos personales o tratamiento compartido de bases de datos personales por parte de organismos y entidades públicas en el ejercicio de sus funciones legales, o entre estos y entidades privadas, recíprocamente, con autorización específica, para una o más modalidades de tratamiento permitidas por estas entidades públicas, o entre entidades privadas;
– Informe de Evaluación de Impacto de la Protección de Datos: documentación del responsable del tratamiento que contiene una descripción de las actividades de tratamiento de datos personales que puedan generar riesgos para las libertades públicas y los derechos fundamentales, así como las medidas, garantías y mecanismos de mitigación de riesgos;
– Institución de investigación: órgano o entidad de la administración pública directa o indirecta o persona jurídica privada sin fines de lucro, debidamente constituida según la legislación brasileña, con sede y jurisdicción en el país, que incluya en su misión institucional o en su objetivo social o estatutario la investigación básica o aplicada de naturaleza histórica, científica, tecnológica o estadística;
– Autoridad nacional: el órgano de la administración pública encargado de garantizar, ejecutar y supervisar el cumplimiento de la presente Ley en todo el territorio nacional.
Con base en el artículo 6 de la LGPD (Ley General de Protección de Datos de Brasil), GREEN establece los principios que deben ser observados y seguidos en el tratamiento de datos personales, visando la privacidad y protección de datos, conforme a continuación:
3.1. Objetivo: tratamiento de datos con fines legítimos, específicos, explícitos e informados al interesado, sin que sea posible un tratamiento ulterior de manera incompatible con dichos fines;
3.2. Adecuación: compatibilidad del tratamiento con los fines informados al interesado, según el contexto del tratamiento;
3.3. Necesidad: Limitar el tratamiento al mínimo necesario para alcanzar sus fines, abarcando datos pertinentes, proporcionados y no excesivos en relación con los fines del tratamiento de datos;
3.4. Acceso gratuito: garantizar a los interesados un acceso fácil y gratuito a la información sobre la forma y la duración del tratamiento, así como sobre la integridad de sus datos personales;
3.5. Calidad de los datos: garantizar a los titulares de los datos la exactitud, claridad, pertinencia y actualización de sus datos, según sus necesidades y para el cumplimiento de la finalidad de su tratamiento;
3.6. Transparencia: garantizar a los interesados información clara, precisa y de fácil acceso sobre el tratamiento y los respectivos responsables del tratamiento de datos, respetando los secretos comerciales e industriales;
3.7. Seguridad: Utilización de medidas técnicas y administrativas capaces de proteger los datos personales de accesos no autorizados y de situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o difusión;
3.8. Prevención: Adopción de medidas para prevenir que se produzcan daños como consecuencia del tratamiento de datos personales;
3.9. No discriminación: La imposibilidad de realizar el tratamiento con fines discriminatorios ilícitos o abusivos;
3.10. Rendición de cuentas y transparencia: El agente deberá demostrar la adopción de medidas efectivas capaces de acreditar el cumplimiento de la normativa de protección de datos personales, incluida la eficacia de dichas medidas.
El Director de Cumplimiento de GREEN, con base en el artículo 7 de la LGPD (Ley General de Protección de Datos de Brasil), establece cómo deben ser tratados los datos personales, manteniendo toda la transparencia y privacidad exigida por la política, pudiendo sólo realizarse en las siguientes circunstancias:
– Consentimiento del interesado;
– El cumplimiento de una obligación legal o reglamentaria del responsable del tratamiento;
– Por la administración pública, para el tratamiento y uso compartido de datos necesarios para la ejecución de políticas públicas previstas en leyes y reglamentos o sustentadas en contratos, convenios o instrumentos similares;
– Realizar estudios por organismos de investigación, garantizando, siempre que sea posible, la anonimización de los datos personales;
– Ejecución de un contrato o de gestiones preliminares relacionadas con un contrato en el que el interesado sea parte, a petición de éste;
– Ejercicio regular de derechos en procedimientos judiciales, administrativos o arbitrales;
– Protección de la vida o integridad física del titular o de terceros;
– Protección de la salud, exclusivamente, en procedimientos realizados por profesionales sanitarios, servicios de salud o autoridades sanitarias;
– Intereses legítimos del responsable del tratamiento o de terceros, excepto cuando sobre dichos intereses prevalezcan los derechos y libertades fundamentales del interesado que requieran la protección de datos personales;
Protección de crédito.
Para cumplir con la LGPD (Ley General de Protección de Datos de Brasil), los agentes de tratamiento de datos (responsable y encargado) deben mantener un registro de las operaciones de tratamiento de datos personales que realizan, conforme a lo establecido por el Área de Cumplimiento y respaldado por el artículo 37 de la LGPD.
GREEN ha definido que el registro debe tener como objetivo documentar y mapear todos los flujos de negocios que involucran el manejo de datos personales, incluyendo datos sensibles, mediante la obtención de información relacionada como: datos recolectados, titulares de los datos involucrados, finalidad del tratamiento, lugar de almacenamiento de los datos, plazo de eliminación, con quién serán compartidos los datos, entre otros.
Para cumplir con los principios mencionados de la LGPD (Ley General de Protección de Datos de Brasil), GREEN ha recomendado la transparencia y el mantenimiento de avisos o comunicaciones de privacidad. Este aviso es un documento que contiene información sobre la recopilación, el uso, el almacenamiento o cualquier otra forma de procesamiento de sus datos personales, especificando su finalidad y cualquier divulgación a terceros autorizados por GREEN para lograr un fin específico.
Este documento deberá ponerse a disposición del interesado, de forma gratuita y de fácil acceso.
GREEN garantiza el libre ejercicio de los derechos del interesado en los siguientes ámbitos:
– Acceso a los datos: acceder a toda la información que la asociación posee sobre el interesado y solicitar información adicional sobre los fines del tratamiento de datos, la duración del tratamiento, la categoría de datos personales, la compartición de datos y la identificación de las organizaciones que pueden haber tenido acceso a sus datos.
– Confirmación de existencia: confirmar si la asociación está tratando o no datos personales del interesado.
– Corrección de datos incompletos, inexactos o desactualizados: el interesado podrá dirigirse a nosotros si sus datos personales están incompletos o son incorrectos y desea actualizarlos.
– Portabilidad: el derecho del interesado a que sus datos personales sean transmitidos a otros proveedores de servicios o productos que lo soliciten.
– Anonimización, bloqueo y/o eliminación de datos innecesarios o excesivos: derecho a solicitar, si es necesario, la verificación de la base de datos para garantizar la eliminación de los datos innecesarios, o incluso su bloqueo y/o anonimización.
– Informações e esclarecimentos em decorrência das consequências da negativa do consentimento: é imprescindível que o titular saiba que não é obrigado a fornecer o seu consentimento e quais são as decorrências da sua negativa para a prestação do serviço desejado.
– Eliminación de datos personales tratados con el consentimiento y revocación del interesado: si el interesado desea revocar su consentimiento, se eliminarán todos sus datos personales tratados exclusivamente sobre la base de esta base legal, excepto en los casos en que exista una base para la conservación de los datos personales, como el cumplimiento de una obligación legal o reglamentaria.
Para atender cualquiera de las solicitudes mencionadas anteriormente, el plazo máximo de respuesta estipulado por la LGPD (Ley General de Protección de Datos de Brasil) para las solicitudes de acceso y confirmación es: inmediatamente en formato simplificado; o en un plazo de 15 días a partir de la solicitud en formato completo. Para el correcto cumplimiento de la solicitud, es necesario adoptar ciertos procedimientos de validación de identidad para el titular de los datos o la persona que realiza la solicitud en su nombre.
GREEN estipula, de conformidad con los artículos 23, inciso III y 40 de la LGPD (Ley General de Protección de Datos de Brasil), que el responsable de protección de datos es el punto focal para recibir reclamaciones y comunicaciones de los titulares de los datos y de la Autoridad Nacional de Protección de Datos (ANPD), así como orientar a los empleados contratados sobre las prácticas a adoptar en relación a la protección de datos personales.
La ANPD (Autoridad Nacional de Protección de Datos) podrá establecer normas complementarias relativas a la definición y responsabilidades del delegado de protección de datos, incluidos los casos en los que no sea necesario su nombramiento, en función de la naturaleza y el tamaño de la entidad o del volumen de operaciones de tratamiento de datos.
El artículo 42 de la LGPD (Ley General de Protección de Datos de Brasil) establece que GREEN debe establecer la responsabilidad entre todos los agentes involucrados en la cadena de tratamiento de datos, con excepción de sus representantes, por la reparación de los daños causados, sin perjuicio del derecho de recurso.
Por lo tanto, la gestión de terceros es necesaria para controlar y verificar su cumplimiento de los requisitos regulatorios. Para identificar el tipo de contratos existentes y evaluar los ajustes necesarios para cumplir con los principios establecidos internamente, y con base en la LGPD (Ley General de Protección de Datos de Brasil), se debe realizar un mapeo y evaluación de terceros.
El Área de Cumplimiento de GREEN establece que los agentes de tratamiento de datos deben adoptar medidas técnicas y administrativas de seguridad capaces de proteger los datos personales de accesos no autorizados y de situaciones accidentales o ilícitas de destrucción, pérdida, comunicación, alteración o cualquier otra forma de tratamiento indebido o ilícito, conforme determina el artículo 46 de la LGPD.
GREEN es consciente de que la ANPD (Autoridad Nacional de Protección de Datos) puede establecer ciertas normas técnicas mínimas de protección y seguridad de datos, teniendo en cuenta la naturaleza de la información procesada, las características específicas del tratamiento, el estado actual de la tecnología y los principios establecidos en ella. Dichas medidas deben considerarse desde la fase de diseño del producto o servicio hasta su ejecución.
Con apoyo en el artículo 48 de la LGPD (Ley General de Protección de Datos de Brasil), GREEN establece que el responsable del tratamiento debe informar a la autoridad nacional (ANPD) y al titular de los datos cualquier incidente de seguridad que pueda causar riesgos o daños a los titulares de los datos.
Según lo establecido por la ANPD (Autoridad Nacional de Protección de Datos), la comunicación deberá mencionar:
– Una descripción de la naturaleza de los datos personales afectados;
– Información sobre los interesados involucrados;
– Una indicación de las medidas técnicas y de seguridad utilizadas para proteger los datos, respetando los secretos comerciales e industriales;
Los riesgos asociados al incidente;
– Los motivos de la demora, en caso de que la comunicación no haya sido inmediata; y
Las medidas que se han adoptado o se adoptarán para revertir o mitigar los efectos del daño.
Por lo tanto, corresponderá a la ANPD (Autoridad Nacional de Protección de Datos) verificar la gravedad de la situación y, de considerarlo necesario, exigir al responsable del tratamiento, designado por GREEN, que tome medidas como la amplia difusión del hecho en los medios de comunicación y medidas para revertir o mitigar los efectos del incidente. Si se prueba la filtración, divulgación o acceso no autorizado, se considerará una violación de datos.
Al adoptar la Política aquí descrita, con el apoyo del Artículo 50 de la LGPD (Ley General de Protección de Datos de Brasil), GREEN se compromete a mantener las mejores prácticas para la protección de datos personales de sus empleados, clientes y proveedores.
Estas medidas tienen como objetivo garantizar el cumplimiento de la LGPD (Ley General de Protección de Datos de Brasil), otorgando al Área de Cumplimiento el derecho de considerar una falta grave punible con sanciones si se comprueba el incumplimiento de esta Política y sus procedimientos internos, enfocándose en el procesamiento seguro y adecuado de los datos personales, manteniendo la transparencia, la privacidad y los derechos del titular de los datos.
