A GREEN ALTERNATIVE INVESTMENTS DISTRIBUIDORA DE TÍTULOS E VALORES MOBILIÁRIOS (“GREEN” e/ou “DTVM”) elaborou essa política tendo como princípio básico garantir a privacidade de seus funcionários, clientes e fornecedores por meio da Lei de Proteção de Dados que visa garantir a transparência das atividades desenvolvidas pela GREEN.
Considerando como base, a Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), com vigência a partir de 18.9.2020, estabelece condições e limites para tratamento de dados pessoais, protegendo a liberdade, a privacidade e o livre desenvolvimento do indivíduo.
Fundamentado no artigo 5° da Lei Geral de Proteção de Dados (“LGPD”), de 14/08/2018, e outros conceitos relacionados, a Diretoria de Compliance da GREEN elaborou as seguintes definições para melhor entendimento dos elementos envolvidos na política aqui apresentada:
– Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
– Dado pessoal sensível: trata sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
– Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
– Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
– Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
– Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
– Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
– Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
– Agentes de tratamento: o controlador e o operador.
– Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração
– Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
– Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
– Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
– Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
– Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
– Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
– Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
– Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
– Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
A GREEN estabelece com base no artigo 6° da LGPD, os princípios que devem ser observados e seguidos no tratamento de dados pessoais, visando a privacidade e proteção dos dados, conforme listado a seguir:
3.1. Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
3.2. Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
3.3. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
3.4. Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
3.5. Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
3.6. Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
3.7. Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
3.8. Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
3.9. Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
3.10. Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
O Diretor de Compliance da GREEN alicerçado pelo artigo 7° da LGPD, estabelece como deve ser feito o tratamento de dados pessoais seguindo toda a transparência e privacidade que a política exige, podendo ser realizado seguindo somente as hipóteses dispostas a seguir:
– Consentimento pelo titular;
– Cumprimento de obrigação legal ou regulatória pelo controlador;
– Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
– Realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
– Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
– Exercício regular de direitos em processo judicial, administrativo ou arbitral;
– Proteção da vida ou da incolumidade física do titular ou de terceiros;
– Tutela da saúde, exclusivamente, em procedimentos realizados por profissionais de saúde, serviços de saúde ou autoridade sanitária;
– Interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
– Proteção do crédito.
Seguindo a adequação à LGPD, os agentes de tratamento (controlador e operador) devem manter o registro das operações de tratamento de dados pessoais que realizarem, conforme estabelecido pela Área de Compliance com suporte do artigo 37° da LGPD.
A GREEN definiu que o registro deve ser com o objetivo de documentar e mapear todos do fluxo de negócios que estejam tratando dos dados pessoais, incluindo também os dados sensíveis, com a obtenção de informações relacionadas, como: dados que são coletados, titulares envolvidos, finalidade do tratamento, local do armazenamento de dados, prazo de descarte, com quem os dados deverão ser compartilhados, dentre outros.
Foi prescrito na GREEN, a fim de atender os princípios anteriormente mencionados da LGPD, evidenciando a transparência, a importância em manter avisos ou comunicados de privacidade, sendo um documento que contém informações sobre a coleta, uso e armazenamento, ou qualquer outra forma de tratamento de seus dados pessoais, com especificação da sua finalidade e eventual compartilhamento com terceiros autorizados pela GREEN, para atingir determinada finalidade.
Esse documento deve ser disponibilizado ao titular dos dados, sem nenhum custo e com fácil acesso.
A GREEN assegura o exercício gratuito do titular dos dados nos tópicos a seguir:
– Acesso aos dados: acessar todas as informações que a associação possui a respeito do titular e solicitar informações adicionais sobre os propósitos do tratamento de dados, período de duração do tratamento, categoria de dados pessoais, compartilhamento de dados e apontamento de organizações que eventualmente tiveram acesso aos seus dados.
– Confirmação de existência: confirmar se a associação está tratando dados pessoais ou não, do titular.
– Correção de dados incompletos, inexatos ou desatualizados: poderá o titular entrar em contato, caso seus dados pessoais estejam incompletos ou incorretos e deseje fazer sua devida atualização.
– Portabilidade: direito do titular de ter seus dados pessoais enviados a outros fornecedores de serviço ou produto mediante requisição.
– Anonimização, bloqueio e/ou eliminação de dados desnecessários ou excessivos: direito de solicitar, se necessário, a verificação da base de dados para garantir a eliminação de dados desnecessários, ou até mesmo bloqueio e/ou anonimização dele.
– Informações e esclarecimentos em decorrência das consequências da negativa do consentimento: é imprescindível que o titular saiba que não é obrigado a fornecer o seu consentimento e quais são as decorrências da sua negativa para a prestação do serviço desejado.
– Eliminação dos dados pessoais tratados com o consentimento do titular e revogação: caso o titular deseje revogar seu consentimento, todos os seus dados pessoais tratados exclusivamente com apoio nessa base legal serão excluídos, exceto em casos que haja uma base para conservação dos dados pessoas, como exemplo, o cumprimento de obrigação legal ou regulatória.
A fim de que seja atendida a solicitação de qualquer um dos itens listados anteriormente, o prazo máximo de resposta que a LGPD determina, para solicitações dos direitos de acesso e de confirmação são: imediatamente em formato simplificado; ou em até 15 dias da solicitação em formato completo. Para o correto cumprimento da solicitação, se faz necessário, adotar alguns procedimentos de validação de identidade do titular ou daquele que solicite em nome do titular.
É determinado pela GREEN, conforme os artigos 23°, inciso III e o 40° da LGPD que, o encarregado é o ponto focal para aceitar reclamações e comunicações dos titulares e da Autoridade Nacional da Proteção de Dados (ANPD), bem como orientar os funcionários contratados a respeito das praticas a serem tomadas em relação à proteção de dados pessoais.
A ANPD poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados.
É determinado pelo artigo 42º da LGPD que a GREEN estabeleça a responsabilidade entre todos os agentes que integram a cadeia de tratamento de dados, exceto seus representantes, pela reparação de eventuais danos causados, ressalvado o direito de regresso.
Desta forma, a gestão dos terceiros é necessária para permitir o controle e verificação de cumprimento dos requisitos regulatórios por parte deles. A fim de identificar o tipo de contratação existente e avaliar quais adequações serão necessárias para atender aos princípios estabelecidos internamente e, com base na LGPD, deve-se fazer um mapeamento e avaliação dos terceiros.
A Área de Compliance da GREEN estabelece que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, comunicação, alteração ou qualquer outra forma de tratamento indevido ou ilícito, como determina o artigo 46° da LGPD.
É de conhecimento da GREEN que a ANPD poderá estabelecer certos padrões técnicos mínimos de proteção dos dados e de segurança, sendo levado em consideração a natureza das informações tratadas, as características especificas de tratamento, o estado atual da tecnologia e os princípios nela previstos. Tais medidas deverão ser consideradas desde a fase de concepção do produto e/ou serviço até a sua execução.
Apoiado pelo artigo 48° da LGPD, a GREEN determina que o controlador deverá reportar à autoridade nacional (ANPD) e ao titular, a ocorrência de incidente de segurança que possa causar riscos ou danos aos titulares.
Conforme estabelece a ANPD, a comunicação deverá mencionar:
– A descrição da natureza dos dados pessoais afetados;
– As informações sobre os titulares envolvidos;
– A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
– Os riscos relacionados ao incidente;
– Os motivos da demora, no caso de a comunicação não ter sido imediata; e
– As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Deste modo caberá a ANPD verificar a gravidade, e caso julgue necessário, irá determinar ao controlador, determinado pela GREEN, a adoção de providencias, tais como: ampla divulgação do fato em meios de comunicação; e medidas para reverter ou mitigar os efeitos do incidente. Caso haja comprovação de fato o vazamento, divulgação ou acesso não autorizados, irá ser considerado violação de dados.
Adotando a Política aqui descrita com o apoio do artigo 50° da LGPD, a GREEN se compromete em manter as boas práticas de proteção de dados pessoais de seus funcionários, clientes e fornecedores.
Tais medidas visam a adequação a LGPD, dando a Área de Compliance o direito de considerar falta grave de sanções, se comprovada a inobservância desta Política e de seus procedimentos internos, com foco no tratamento seguro e adequado dos dados pessoais, mantendo a transparência, privacidade e direitos do titular.
