POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS
Esta Política consolida os princípios e práticas de proteção e governança de dados pessoais adotados pela Sociedade de Previdência Complementar da CP Prev – Sociedade de Previdência Complementar (“CP Prev”), entidade fechada de previdência complementar, em observância aos preceitos da Lei nº 13.709, de 14 de agosto de 2018
-Lei Geral de Proteção de Dados Pessoais (“LGPD”) e às disposições contratuais e práticas relativas ao sigilo e à confidencialidade adotados, inclusive sobre:
●quais tipos de dados pessoais são tratados;
●como dados pessoais são tratados;
●com quem dados pessoais são compartilhados;
●quais os fundamentos que autorizam o tratamento de dados pessoais;
●que garantias são aplicáveis à segurança dos dados e informações tratados;
●os direitos dos titulares em relação à proteção de seus dados pessoais fornecidos e como exercê-los.
I - DADOS PESSOAIS
Para efeitos desta Política, dados pessoais são quaisquer informações, de qualquer natureza e independentemente do suporte (incluindo som e imagem), relativas à pessoa natural identificada ou identificável, inclusive dados pessoais de crianças e adolescentes.
Os dados pessoais sensíveis são as informações relativas à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico dos titulares dos dados.
Os dados pessoais tratados são sempre coletados diretamente do titular de dados e variam conforme o objeto do contrato ou relação mantido junto à CP Prev, inclusive, mas não se limitando a nome, CPF, data de nascimento, sexo, estado civil, nacionalidade, filiação, endereço, telefone, email para contato, vínculo empregatício, dados bancários, previdenciários e de saúde, sempre que for considerado como necessário para o cumprimento do contrato ou de obrigação legal ou regulatória.
II– PRINCÍPIOS APLICÁVEIS AO TRATAMENTO DE DADOS PESSOAIS E DADOS PESSOAIS SENSÍVEIS
Todo e qualquer tratamento de dados pessoais, nos quais se incluem os dados pessoais sensíveis, no âmbito da entidade ou mediante solicitação desta, é realizado de acordo com as regras e procedimentos estipulados em normas relativas à proteção de dados pessoais, pautadas na boa-fé, lealdade, respeito e transparência ao tratamento dos dados pessoais, e nos seguintes princípios:
1
(i)Finalidade: os dados pessoais coletados e processados são utilizados para realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, não sendo utilizados de forma incompatível com tais objetivos;
(ii)Adequação: os dados pessoais são tratados em compatibilidade com as finalidades informadas ao seu titular ou pertinentes ao contrato por ele firmado com a entidade, no contexto do tratamento realizado;
(iii)Necessidade: o tratamento deve se limitar ao mínimo possível de dados pessoais indispensáveis à realização das finalidades objetivadas, observada a sua pertinência e proporcionalidade;
(iv)Livre acesso: é assegurada aos titulares a realização de consulta facilitada e gratuita sobre os dados pessoais tratados, bem como sobre a forma e a duração do seu tratamento;
(v)Qualidade dos dados: os dados pessoais tratados devem ser exatos, claros, relevantes e atualizados, de acordo com a necessidade e para o cumprimento da finalidade do tratamento;
(vi)Transparência: é assegurado ao titular de dados pessoais o acesso a informações precisas e facilitadas sobre o tratamento de seus dados pessoais e os respectivos agentes de tratamento;
(vii)Segurança: são aplicáveis para tratamento de dados todas as medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
(viii)Prevenção: são aplicáveis para tratamento de dados pessoais todas as medidas técnicas, operacionais e contratuais adequadas para prevenir eventual ocorrência de danos ou riscos em virtude das atividades de tratamento de dados pessoais;
(ix)Não discriminação: é vedada a realização de tratamento de dados pessoais para qualquer forma de discriminação ilícita ou abusiva;
(x)Responsabilização e prestação de contas: está disponível ao titular de dados pessoais a demonstração da adoção de medidas eficazes e capazes de comprovar a observância, o cumprimento e a eficácia das normas de proteção de dados pessoais.
2
III - FINALIDADE DO TRATAMENTO DOS DADOS PESSOAIS
Os dados pessoais de participantes, assistidos, beneficiários, colaboradores, dirigentes, prepostos e fornecedores, são tratados com o objetivo de efetivar as obrigações da entidade, possibilitar o cumprimento do regulamento dos planos de benefícios, bem como para o cumprimento de normas legais e regulatórias.
Neste sentido, para o desenvolvimento de suas atividades, a entidade realiza o tratamento de dados pessoais e dados pessoais sensíveis necessários para a satisfação das finalidades abaixo descritas:
●Gestão de pessoas e administração geral: contratação e relação com colaboradores (inclusive autônomos, temporários e estagiários), recrutamento e seleção, cadastro de pessoal e viagens de representação institucional e treinamentos;
●Gestão de planos previdenciários: adesão, alteração cadastral, pagamento de benefícios, resgate e portabilidade, educação financeira e previdenciária, bem como relacionamento e atendimento de demandas de participantes e assistidos;
●Gestão financeira e de investimentos: administração de carteira, contas a pagar e a receber e execução de contratos com fornecedores;
●Jurídico: demandas consultivas, elaboração de procurações e revisões contratuais;
●Comunicação: ações de marketing, por meio de site, cartazes, vídeos e e-mail marketing aos participantes e assistidos;
●Representação institucional: suporte em nomeação, eleição, certificação, habilitação e representação de dirigentes.
IV - FUNDAMENTOS LEGAIS DO TRATAMENTO DE DADOS PESSOAIS
Para cumprimento das finalidades descritas no tópico acima, a entidade realiza tratamento de dados pessoais de participantes, assistidos, beneficiários, colaboradores, fornecedores, dirigentes, conselheiros, entre outros, nas seguintes hipóteses:
●cumprimento do regulamento dos planos de benefícios previdenciários (execução de contrato previdenciário);
●atendimento de exigências legais e/ou regulatórias;
●defesa em processos judiciais, administrativos ou arbitrais;
●atendimento aos legítimos interesses da entidade, respeitadas as expectativas, direitos e liberdades fundamentais dos titulares de dados, bem como observados estritamente os requisitos e as disposições prescritas na legislação aplicável ou;
●finalidades autorizadas expressamente autorizadas pelos titulares de dados.
3
Adicionalmente, dados pessoais sensíveis poderão ser tratados para cumprimento de obrigações legais ou regulatórias.
Para o tratamento de dados pessoais de crianças e adolescentes, a entidade adota os cuidados específicos prescritos pela LGPD, de modo que seja preservado o melhor interesse do menor, e que o consentimento, contratação e autorização sejam realizados diretamente pelos pais ou responsáveis legais.
Informações acerca das finalidades específicas utilizadas no tratamento de seus dados pessoais e as suas respectivas bases legais podem ser solicitadas a partir do e-mail: LGPD_Cpprev@colpal.com
V – DO TRATAMENTO DE DADOS PESSOAIS SENSÍVEIS
Para além dos casos em que há consentimento expresso, específico e destacado pelo titular de dados, o tratamento de dados sensíveis ocorre apenas quando se tornar indispensável para cumprimento de obrigação legal, regulatória ou contratual, defesa em processo judicial e em estrita observância às disposições da LGPD, de modo impedir tratamentos discriminatórios ou restritivos.
VI - ACESSO AOS DADOS PESSOAIS
Os dados pessoais dos participantes, assistidos, beneficiários, funcionários e representantes legais são acessíveis pelos colaboradores da entidade que deles necessitem para a realização de suas atividades na gestão dos planos previdenciários operados pela entidade, bem como pelos colaboradores das patrocinadoras, que atuem diretamente em suporte ou interface com a entidade para atividades relativas à inscrição no plano, efetivação de contribuições, pagamento de benefícios e institutos ou atividades relacionadas à realização do contrato de trabalho e representação institucional.
Há acesso a dados de crianças e adolescentes, na qualidade de beneficiários dos participantes, que são tratados para possibilitar a concessão de benefícios e para fins de cumprimento de obrigações legais e contratuais.
São também acessíveis dados pessoais sensíveis dos participantes, assistidos, beneficiários e colaboradores para cumprimento de obrigações legais, regulatórias ou contratuais que demandem informações desta natureza, e, em casos tais, serão tratadas para as finalidades e nos limites objetivos da norma ou contrato aplicável.
Terceiros poderão ser contratados para a prestação de determinados serviços especializados, que eventualmente poderão implicar no acesso a dados pessoais de participantes, assistidos, beneficiários e colaboradores. Nestes casos, a entidade adota todas as medidas contratuais e operacionais para que os fornecedores e parceiros recepcionem apenas os dados pessoais indispensáveis ao serviço ou atividade a ser realizada e que mantenham alto nível de governança e proteção de dados, além de sigilo e confidencialidade.
4
VII - COMPARTILHAMENTO DE DADOS PESSOAIS
Poderá haver compartilhamento de dados pessoais com terceiros (patrocinadora, fornecedores e parceiros), nos casos em que sejam necessárias ou adequadas à luz da legislação aplicável, para assegurar interesses dos participantes e assistidos e beneficiários, cumprimento de obrigações legais ou ordens judiciais ou para atender solicitações e demandas de autoridades públicas.
Havendo o compartilhamento de dados pessoais, são adotadas todas as providências razoáveis para a proteção dos dados pessoais, observadas as instruções impostas contratualmente, os preceitos da LGPD e a normativos internos de proteção de dados pessoais e segurança da informação, a fim de que haja garantias suficientes de execução de medidas técnicas e operacionais adequadas para a segurança e proteção dos direitos dos titulares dos dados.
Especificamente para o compartilhamento de dados pessoais sensíveis, não há o compartilhamento ou uso compartilhado destes dados com o objetivo de obtenção de vantagem econômica. Tais dados são compartilhados para permitir a adequada execução do contrato previdenciário, defesa em processo judicial ou quando consentido pelo titular de forma específica e destacada.
VIII - COMPARTILHAMENTO DE DADOS PESSOAIS COM A
PATROCINADORA
Adicionalmente ao compartilhamento de dados com a patrocinadora dos planos de benefícios previdenciários operados pela entidade, nesta condição, para fins de cumprimento nas disposições legais, regulatórias e contratuais, há transmissão de dados pessoais para as áreas técnicas da patrocinadora para suporte especializado às operações da entidade.
IX - CONSERVAÇÃO E ELIMINAÇÃO DE DADOS PESSOAIS
Os dados pessoais e dados pessoais sensíveis tratados são armazenados e conservados durante o período necessário à realização das finalidades que motivaram a coleta e tratamento de tais dados, bem como para cumprimento às obrigações contratuais, legais e em observância aos prazos prescricionais aplicáveis.
X - DIREITOS DOS TITULARES
O titular dos dados pessoais tem o direito de solicitar à entidade, mediante requerimento direcionado ao encarregado ou ao responsável pelo tratamento:
(i)a confirmação sobre a existência de tratamento e o acesso, nos termos e condições legalmente previstos, aos dados pessoais que lhes digam respeito e que sejam objeto de tratamento;
(ii)a correção ou atualização dos dados pessoais inexatos ou desatualizados;
5
(iii)a anonimização, bloqueio ou eliminação de dados, salvo quanto aos dados que sejam indispensáveis à execução das atividades pela entidade ou ao cumprimento de obrigações legais a que o responsável pelo tratamento esteja sujeito;
(iv)a oposição à utilização dos dados pessoais para fins que não sejam indispensáveis à gestão da entidade ou dos planos de benefícios administrados;
(v)a revogação do consentimento nos casos em que o tratamento estiver fundado apenas no consentimento e o tratamento dos dados não for indispensável ao cumprimento de obrigações contratuais, legais e regulatórias pela entidade;
(vi)a informação sobre as entidades públicas e privadas com a qual houve o compartilhamento de dados pessoais;
(vii)a portabilidade dos seus dados pessoais; e
(viii)a informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
Para o exercício de algum destes direitos, envie uma mensagem para o e-mail: LGPD_Cpprev@colpal.com, para solicitar os direitos relativos a dados pessoais.
XI - MEDIDAS TÉCNICAS, OPERACIONAIS E DE SEGURANÇA DE
PROTEÇÃO DOS DADOS PESSOAIS
A entidade adota medidas técnicas, operacionais e contratuais necessárias para assegurar que o tratamento de dados pessoais seja efetuado em estrita conformidade com a legislação de proteção de dados aplicável, e medidas de segurança que buscam garantir a proteção aos dados pessoais que lhes são disponibilizados contra a difusão, perda, uso indevido, alteração, tratamento ou acesso não autorizado, bem como qualquer outra forma de tratamento irregular ou em desconformidade com a LGPD.
Na eventualidade de um incidente de segurança, a CP Prev possui medidas para assegurar, inclusive contratualmente, a maior diligência de seus colaboradores e fornecedores para mitigar os riscos que dele advir, contando inclusive, com planos para notificação à Autoridade Nacional de Proteção de Dados, quando aplicável.
XII – COOKIES
Para melhor funcionalidade do site e suas aplicações, na área restrita, são coletados os seguintes cookies obrigatórios, utilizados para atividades como autenticação do usuário e segurança, e de sessão, que são armazenados durante o tempo que o navegador está aberto.
•WebrunSelectedSystem – Código do Sistema (cookie obrigatório);
•JSESSIONID – Identificador da sessão do usuário (cookie de sessão);
•GLog – Log, uso interno do sistema (cookie obrigatório);
•WFRLOCLAREPORT – Uso interno para emissão de relatórios (cookie obrigatório).
6
XIII - TRANSFERÊNCIA INTERNACIONAL
Atividades realizadas para cumprimento de obrigações legais, regulatórias ou contratuais poderão ensejar transferência internacional de dados pessoais, hipótese em que serão implementadas as medidas necessárias e adequadas à luz da legislação aplicável para proteção dos dados pessoais objeto de transferência internacional, em observância ao fiel cumprimento da LGPD.
XIV - DEFINIÇÃO DE PERFIS
A entidade não trata dados pessoais de forma automatizada com a finalidade de criação e/ou definição de perfil comercial ou comportamental.
A classificação do perfil de investimento do participante, de sua livre escolha, tem por finalidade adequar a alocação dos recursos financeiros do plano de benefícios, nos estritos termos da regulamentação aplicável.
Eventualmente, a entidade define perfis de acesso aos sistemas da entidade e auditoria para controle das informações acessadas e transmitidas pelos colaboradores.
XV – ENCARREGADO (DATA PROTECTION OFFICER - DPO)
O DPO indicado pela entidade como responsável pelo canal de comunicação entre a entidade, os titulares de dados pessoais (participantes, assistidos, beneficiários, dependentes, colaboradores, fornecedores, dirigentes e prepostos), partes interessadas e a autoridade nacional de proteção de dados - ANPD, poderá prestar os esclarecimentos necessários sobre esta Política e sua aplicação, casos excepcionais e boas práticas a serem adotadas permanentemente por colaboradores, dirigentes, fornecedores e parceiros da entidade, que pode ser contatado pelo seguinte endereço eletrônico: LGPD_Cpprev@colpal.com
XVI – APROVAÇÃO E ALTERAÇÕES
A presente versão desta Política foi aprovada pelo Conselho Deliberativo da CP Prev em 13/04/2021.
Alterações poderão ser realizadas nesta Política periodicamente. É recomendável que se verifique de maneira frequente este documento para que se possa atualizar a respeito dos padrões de privacidade e proteção de dados pessoais que vem sendo adotados pela CP Prev.
Atualizada pela última vez em 13/04/2021.
7
