POLÍTICA DE
PRIVACIDADE E PROTEÇÃO
DE DADOS PESSOAIS

1. OBJETIVO

Esta Política tem o objetivo de assegurar que os Colaboradores e Terceiros (conforme abaixo definidos), da BrasilCard [“BrasilCard”], empresa integrante do Grupo Adriano Cobuccio, observem e cumpram os requisitos da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, conforme alterada, a “LGPD” ou “Lei de Proteção de Dados”), para que durante a condução dos negócios em nome da BrasilCard seja garantida a conformidade com a legislação de proteção de dados pessoais. 

 

2. ABRANGÊNCIA
Esta Política é aplicável a empresa BrasilCard, para os fins da legislação de privacidade e de proteção de dados em vigor, em especial, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, conforme alterada, doravante denominada “LGPD”), demonstrando que a BrasilCard preza pelo cuidado com os seus dados pessoais e está comprometido a tratá-los de forma segura e responsável, no exercício de suas atividades. 

 

3. DEFINIÇÕES E TERMINOLOGIAS

Sem prejuízo das definições atribuídas no âmbito da LGPD, para os fins desta Política os termos definidos terão os seguintes significados:

COMUNICADO DE PRIVACIDADE documento voltado a transparecer aos Titulares informações relativas ao tratamento de seus Dados Pessoais

CONSENTIMENTO manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada

CONTROLADOR pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais

DADO PESSOAL informação relacionada a pessoa natural identificada ou identificável

DADO PESSOAL SENSÍVEL dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

ENCARREGADO pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)

LGPD Lei Geral de Proteção de Dados Pessoal (Lei 13.709/2018)

OPERADOR pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador


 TERCEIROS refere–se a todo e qualquer prestador de serviços, fornecedor, consultor, parceiro de negócio, terceiro contratado ou subcontratado, seja pessoa física ou jurídica, independentemente de contrato formal ou não, que atua por conta e ordem do BrasilCard ou que presta serviços ou fornece materiais com tratamento de dados pessoais

TITULAR DE DADOS pessoa natural a quem se referem os dados pessoais que são objeto de tratamento

TRATAMENTO toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração 

4. DESCRIÇÃO

4.1. Diretrizes Gerais

 
O conteúdo desta Política é de propriedade da BrasilCard, sendo destinado para uso interno e está disponível na intranet da empresa. Para garantir que seja considerada a versão mais atualizada, não é recomendado que este documento seja reproduzido, armazenado ou transmitido, em qualquer formato ou por quaisquer meios, sejam eletrônicos ou físicos.

A BrasilCard define, através desta Política, como os Dados Pessoais devem ser coletados, manipulados, armazenados, divulgados e, de qualquer outra forma, tratados para atender aos padrões de proteção de dados pessoais e cumprir a legislação aplicável. 

 

4.2. Princípios de Proteção de Dados Pessoais

É responsabilidade de todo e qualquer Colaborador e/ou Terceiro da BrasilCard a observância dos princípios abaixo:


 a) Boa-Fé. Os Dados Pessoais devem ser objeto de Tratamento de maneira justa, transparente e legal. O Empregado e/ou Terceiro não deve tratar os Dados Pessoais de um Titular, a menos que tenha um motivo legítimo para fazê-lo.

 
b) Finalidade e Adequação. O Tratamento de Dados Pessoais deve ser conduzido para propósitos legítimos, específicos, explícitos e informados ao Titular. Os Dados Pessoais não devem ser objeto de Tratamento de maneira incompatível com as finalidades informadas ao Titular.

c) Livre acesso. Os Titulares terão direito à consulta facilitada e gratuita sobre a forma e duração do Tratamento, bem como sobre a integridade de seus Dados Pessoais. 


d) Não discriminação. Os Dados Pessoais não poderão ser utilizados para quaisquer finalidades discriminatórias, ilícitas ou abusivas. 


e) Necessidade. O Tratamento de Dados Pessoais deve ser adequado, relevante e limitado aos dados necessários para suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às suas finalidades no seu Tratamento. 


f) Qualidade dos dados. Aos Titulares devem ser garantidas a exatidão, clareza, relevância e atualização dos seus Dados Pessoais em Tratamento pela Empresa, seus Empregados e/ou Terceiros, de acordo com a sua necessidade e para o cumprimento da finalidade de seu Tratamento. Quaisquer Dados Pessoais incorretos identificados durante o processo de Tratamento devem ser retificados o mais rápido possível. 


g) Responsabilização e prestação de contas. A Empresa, seus Empregados e quaisquer Terceiros são responsáveis por demonstrar sua conformidade com esta Política. A Empresa deve assegurar a adoção de medidas eficazes para fins de observância e cumprimento da LGPD. 


h) Retenção de dados. Os Dados Pessoais não devem ser mantidos por mais tempo do que o necessário, à luz do propósito (ou propósitos) legal para o qual são processados e de acordo com os períodos e princípios internos de retenção aplicáveis. 


i) Segurança e prevenção. Os Dados Pessoais devem ser protegidos contra o Tratamento não autorizado ou ilegal e de situações acidentais a fim de prevenir a ocorrência de incidentes de segurança envolvendo Dados Pessoais.


 j) Transferências internacionais de dados. Quaisquer eventuais transferências internacionais de Dados Pessoais deverão observar os limites e procedimentos estabelecidos na LGPD, nesta Política e demais normativos internos aplicáveis. 


k) Transparência. Os Titulares terão assegurado o direito de obter informações claras, precisas e acessíveis sobre o Tratamento de seus Dados Pessoais e os respectivos agentes de Tratamento, observados os segredos comercial e industrial.

4.3. Bases Legais

 

De acordo com a LGPD, as bases legais que utilizamos para o tratamento dos dados pessoais são: 


a) Cumprimento de obrigação legal ou regulatória – Existência de lei, norma, decisão judicial ou regulação vigente, pelo qual o Tratamento se torna necessário.

Exemplos: fechamento e validação da folha de pagamento; administração de ponto eletrônico; atendimento de eventuais solicitações de órgãos reguladores e/ou autoridades administrativas, bloqueio judicial de contas bancárias determinado por ordem judicial; envio de dados ao E-Social; tratamento de indícios de lavagem de dinheiro, atendimento de solicitações de informação relacionada a operações ilícitas (lavagem de dinheiro, corrupção, etc.).

b) Execução de contrato ou procedimentos preliminares ao contrato – Quando necessário o Tratamento para a execução de contrato ou de procedimentos preliminares relacionados a um contrato, do qual o Titular de Dados seja parte.

Exemplos: contratação de novos funcionários; gestão financeira de pagamentos; gestão dos benefícios aos Colaboradores, contratação de fornecedores, contratação de consultoria jurídica, configuração de regras de permissões de acesso entre os sistemas internos da BrasilCard.

c) Exercício regular de direito, inclusive em contratos, em processo judicial, administrativo ou arbitral, em trâmite ou futuro. 


Exemplos: gestão jurídica de processos judiciais, extrajudiciais e consultorias; documentos de comprovação para obtenção de benefícios fiscais; análise de perfil de riscos à lavagem de dinheiro (processo conheça seu colaborador).

d) Legítimo interesse – Para garantir a continuidade das atividades econômicas e operações da BrasilCard, desde que o Titular tenha expectativa quanto à atividade de Tratamento dos seus Dados Pessoais.

Exemplos: gestão de treinamentos corporativos; avaliação de performance dos funcionários.

e) Consentimento – Sem prejuízo das hipóteses acima, o Tratamento de Dados Pessoais poderá ainda ocorrer caso o Titular de Dados dê o seu consentimento livre e inequívoco a BrasilCard e/ou Terceiros contratados para realização de Tratamento de seus Dados Pessoais (parágrafo a seguir para maiores detalhes).

Exemplo: recrutamento e seleção de candidatos; para fins de marketing e comunicação com clientes.

O Consentimento pode ser utilizado para fundamentar qualquer atividade de Tratamento, desde que seja livre, informado e inequívoco. Para que um Consentimento seja válido nos termos da LGPD, ele deve atender a cada um dos seguintes critérios: 


a) deve ser específico para uma finalidade pretendida pelo; 


b) ao prestar o seu consentimento, o Titular de Dados deve ter sido devidamente informado sobre as atividades de tratamento com detalhes suficientes para entender com o que está consentindo; 


c) deve ser prestado livremente pelo Titular de Dados; 


d) não pode ser vinculado à ocorrência de quaisquer outras condicionantes (por exemplo: a celebração de um contrato não pode estar condicionada ao consentimento do Titular de Dados); 


e) deve ser dado por meio de uma declaração inequívoca, clara, expressa e ativa do Titular de Dados. 


Os registros de consentimentos são retidos pela BrasilCard para comprovar a respectiva autorização. Além disso, o Titular de Dados tem o direito de retirar seu consentimento a qualquer momento e essa revogação deve ser de fácil acesso. 


Sem prejuízo dos exemplos acima listados para as bases legais, em caso de quaisquer dúvidas para identificação das finalidades específicas, o Empregado e/ou Terceiro deverá entrar em contato com o Encarregado ou com o Comitê para obter orientação sobre a realização das atividades de Tratamento propostas. 

 

4.4. Sobre Dados Coletados


 Poderão ser coletados dados dos clientes, incluindo informações pessoais, quando o Titular se submete ou interage com a BrasilCard Cobuccio através de meios de comunicação e serviços, incluindo aplicativos e outras soluções tecnológicas, o que abrange:

 a) Dados cadastrais: nome completo, documentos de identificação, nacionalidade, endereço, data de nascimento, filiação, gênero;

b) Dados de contato, como telefone e e-mail;

c) Ocupação profissional; 


d) Renda declarada e comprovante;

e) Cópias de documentos de identificação como RG, CNH, CPF;

f) Dados biométricos, tais como a fotografia do seu rosto, sua impressão digital e/ou biometria facial para desbloqueio do app via dispositivo, e reconhecimento facial para fins de autenticação.

g) Endereço IP do dispositivo móvel utilizado para acessar os serviços ou produtos;

h) Atributos do dispositivo, tais como ID, sistema operacional, navegador, modelo e informações vinculadas à interação de aplicativo

Os dados pessoais coletados poderão ser utilizados para atender as seguintes finalidades:

a) Identificar, autenticar e verificar requisitos para contratação dos serviços e produtos da BrasilCard;

b) Autenticação de transações financeiras;

c) Atendimento de solicitações e dúvidas;

d) Contato por telefone, e-mail, SMS, WhatsApp, ou outros meios de comunicação;

e) Proteção ao crédito, incluindo concessão de crédito e aumento de limite;

f) Prevenção e resolução de problemas técnicos ou de segurança;

g) Prevenção e resolução de fraudes, tentadas ou consumadas, invasões, ataques cibernéticos e falhas técnicas;

h) Investigações e medidas de PLD/FT para garantia da segurança dos clientes da BrasilCard;

i) Garantir meios de acessibilidade para assegurar atendimento justo e equitativo aos nossos clientes e outros titulares de dados que necessitem;

j) Cumprimento de obrigação legal ou regulatória, para manutenção do seu cadastro atualizado ou cumprimento de obrigações legais e/ou regulatórias, incluindo normas de Conheça seu Cliente (KYC), Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo (PLD/FT). 


4.5. Atividades de Tratamento de Dados Pessoais de Alto Risco

Caso o Tratamento de Dados Pessoais represente um “alto risco” para o Titular de Dados, a BrasilCard providenciará um relatório de avaliação do impacto potencial à proteção de Dados Pessoais. Assim, caso se depare com um caso que pode representar alto risco, busque orientações com o Encarregado.

São exemplos de Tratamento de “alto risco”, (i) o monitoramento ou criação de perfil dos Titulares de Dados; ou (ii) o Tratamento de Dados Pessoais Sensíveis em larga escala. 

 

4.6. Tratamento de Dados Pessoais de Titulares Menores


 A LGPD estabelece excepcionalidades para os casos de tratamento de Dados Pessoais cujos Titulares de Dados sejam menores de idade, em decorrência da vulnerabilidade dos mesmos. Nesses casos, o Tratamento deverá ser conduzido:


 a) visando o melhor interesse de tais indivíduos, ou seja, com a finalidade de beneficiá-los, ainda que de forma indireta; e


b) de forma transparente, de modo que informações destinadas a este público deverão ser prestadas de maneira simples, clara e acessível, consideradas as condições físico-motoras, perceptivas, sensoriais, intelectuais e mentais dos destinatários, com o uso de recursos audiovisuais, quando adequado, de forma a proporcionar a informação necessária aos pais ou ao responsável legal e adequada ao entendimento do menor de idade. 


Não obstante o cumprimento dos requisitos acima, o tratamento de Dados Pessoais cujos Titulares de Dados sejam menores de idade, necessitará da prévia coleta do consentimento específico e em destaque, de pelo menos um dos pais ou responsável legal. 

 

4.7. Informação de Processamento Justo

 Nos termos da LGPD, quaisquer formulários (impressos ou virtuais) que coletem dados sobre um indivíduo devem conter um Comunicado de Privacidade informando como os dados serão utilizados, incluindo: (i) a finalidade do Tratamento, (ii) o tempo de retenção, e (iii) o compartilhamento terceiros.

É importante que o Titular de Dados receba informações sobre o Tratamento de seus Dados Pessoais pela BrasilCard, preferencialmente no momento em que ocorrer a coleta.

As informações fornecidas ao Titular de Dados devem incluir, ao menos, os seguintes itens:

 a) a identificação e detalhes de contato da BrasilCard, enquanto Controlador ou Operador (se aplicável);

b) a finalidade para o qual os Dados Pessoais serão tratados;

c) o período durante o qual os Dados Pessoais serão retidos, caso seja possível fornecer um período específico;

d) uma descrição geral das medidas adotadas pela BrasilCard com relação à proteção da confidencialidade e segurança dos Dados Pessoais. 


4.8. Tratamento de Dados Pessoais por Terceiros

 A BrasilCard deverá celebrar contrato contendo cláusulas de privacidade e proteção de dados sempre que um terceiro realizar Tratamento de Dados Pessoais em seu nome (Operador de Dados). 


O contrato celebrado com o referido Operador de Dados deverá ser aprovado pelo Departamento Jurídico e assinado por ambas as partes antes que qualquer Dado Pessoal seja compartilhado com ou tratado pelo terceiro.

 Além disso, ao contratar um terceiro, a BrasilCard deverá realizar a devida diligência de privacidade do fornecedor, tanto no início do relacionamento, quanto ao longo do vínculo do relacionamento contratual.

 Dados pessoais que podem ser coletados de terceiros:

 a) Dados cadastrais: nome completo, filiação, data de nascimento, CPF, número de telefone, endereço;

b) Dados sobre restrições financeiras: negativações, valores devidos, datas de vencimento, quantidades de consultas;

c) Informações sobre histórico de crédito; d) Score gerado por bureaux de crédito; e

e) Se é Pessoa Politicamente Exposta (PPE) ou se faz parte de alguma lista de restrição (OFAC, CSNU).

A coleta de dados de terceiros se procederá para atender as seguintes finalidades:

a) Prestação e oferecimento dos serviços e produtos da BrasilCard;

b) Melhoria de nossos produtos e serviços;

c) Proteção ao crédito, incluindo concessão de crédito e aumento de limite; 


d) Prevenção e resolução de problemas técnicos ou de segurança;

e) Investigações e medidas de PLD/FT para garantia da segurança dos clientes da BrasilCard;

f) Garantir meios de acessibilidade para assegurar atendimento justo e equitativo aos nossos clientes e outros titulares de dados que necessitem; e

g) Cumprimento de obrigação legal ou regulatória, para manutenção do seu cadastro atualizado ou cumprimento de obrigações legais e/ou regulatórias, incluindo normas de Conheça seu Cliente (KYC), Prevenção à Lavagem de Dinheiro e Financiamento ao Terrorismo (PLD/FT).
 

4.9. Divulgação de Dados Pessoais 


A BrasilCard deve garantir que os Dados Pessoais não sejam divulgados a terceiros não autorizados, de modo que todos os Colaboradores deverão sempre avaliar, de acordo com os princípios mencionados nesta Política, a necessidade de compartilhamento de informações quando houver solicitação nesse sentido.

4.10. Direitos do Titular dos Dados Pessoais


A LGPD dispõe que o Titular possui direitos em relação aos seus respectivos Dados Pessoais em tratamento pela BrasilCard, assim, caso um colaborador receba solicitação de exercício de algum dos direitos elencados abaixo, tal solicitação deve ser imediatamente enviada para o Encarregado ou deverá ser comunicado ao Titular de Dados Pessoais ou seu representante legal que faça a solicitação no canal adequado, passando-se as devidas orientações sobre como fazê-lo. 


São direitos do Titular: 


a) Confirmação da existência de tratamento – todo e qualquer Titular de Dados, sem justificativa, possui o direito de confirmar a existência de tratamento de seus dados pessoais. 


b) Acesso aos dados – o Titular de Dados tem o direito de acessar e obter informações a seu respeito. 


c) Correção de dados incompletos, inexatos ou desatualizados – o Titular de Dados tem o direito de manter os seus dados atualizados e de forma correta. 


d) Anonimização, bloqueio ou eliminação – o Titular de Dados tem o direito de solicitar uma destas ações quando houver dados desnecessários, excessivos ou tratados em desconformidade com a LGPD. 


e) Portabilidade de dados pessoais – o Titular de Dados tem o direito de obter seus dados pessoais de forma estruturada a fim de serem transmitidos a outro fornecedor de serviço ou produto (outro controlador de dados).


f) Eliminação – o Titular de Dados tem o direito de eliminar os seus dados pessoais tratados com base no consentimento, exceto quando houver obrigação legal ou regulatória que permita o tratamento, transferência a terceiro ou os dados estiverem anonimizados para uso exclusivo do controlador. 


g) Informação sobre compartilhamento – o Titular de Dados tem o direito de saber com quais entidades públicas e privadas foi realizado o compartilhamento de dados pessoais. 


h) Não fornecer consentimento – o Titular de Dados tem o direito de não fornecer o consentimento solicitado e ser informado sobre eventuais consequências do não fornecimento. 


i) Revogação do consentimento – o Titular de Dados tem o direito de revogar o consentimento fornecido a qualquer tempo. 

 

4.11. Eliminação, Prazo de retenção e Descarte de Dados Pessoais

 

É direito do Titular solicitar a eliminação, oposição, bloqueio ou anonimização dos seus Dados Pessoais tratados com base no consentimento, exceto quando houver obrigação legal ou regulatória que permita o tratamento, transferência a terceiro ou os dados estiverem anonimizados para uso exclusivo do controlador, necessários para prestação de serviços ou entrega de produtos.

A eliminação, oposição, bloqueio ou anonimização poderá ser solicitada por um dos canais de atendimento disponibilizados pela Brasil Card por meio de aplicativo, telefone, sítio eletrônico, e-mail ou através de redes sociais oficiais.

 

Ou seja, poderá ser solicitada a exclusão da conta/dados através do mesmo canal de contratação/solicitação dos serviços, a ser realizada diretamente pelo Titular. 

 

Alguns dados podem ser mantidos para continuar a realizar o Tratamento, mesmo no caso de solicitação de eliminação, oposição, bloqueio ou anonimização, em algumas circunstâncias, como para cumprimento de obrigações legais, contratuais e regulatórias, para resguardar e exercer direitos da Brasil Card, do Titular e clientes, para prevenção de atos ilícitos e em processos judiciais, administrativos e arbitrais, inclusive por questionamento de terceiros sobre suas atividades e em outras hipóteses previstas em lei.

 

Os Dados Pessoais tratados pela Brasil Card não devem ser retidos por mais tempo do que o necessário para o cumprimento de suas respectivas finalidades. Para isso, cada categoria de Dados Pessoais tratada pela Brasil Card deve estar em consonância com o fluxo e a finalidade do Tratamento, sujeito a um período de retenção que possa ser justificado por referência a esses motivos legais.

 

Os prazos de retenção dos Dados Pessoais são variáveis de acordo com a necessidade de tratamento. Desse modo, consulte a Política de Retenção de Dados do Grupo Adriano para maiores detalhes.

 

4.12. Proteção e Segurança dos Dados Pessoais


Durante todo o Tratamento de Dados Pessoais deverão ser utilizadas medidas técnicas e administrativas para mantê-los em segurança e evitar quaisquer acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. 


A BrasilCard deve garantir que todos os seus Colaboradores e/ou Terceiros que prestam serviços em seu nome cumpram as seguintes diretrizes:


 a) os Dados Pessoais, armazenados de forma eletrônica ou física, devem ser mantidos em segurança, de acordo com a Política de Segurança da Informação da BrasilCard; 


b) os Colaboradores e/ou Terceiros devem garantir e seguir que todos os procedimentos e tecnologias que a BrasilCard implementou para manter a segurança dos Dados Pessoais, desde o ponto de coleta até o ponto de destruição; e 


c) é essencial que, se os Dados Pessoais forem perdidos, danificados, comprometidos, extraviados ou roubados, ou processados de maneira não autorizada, isso seja relatado como um incidente de segurança da informação, e que as medidas corretivas cabíveis sejam adotadas. Qualquer suspeita ou violação de dados deve ser imediatamente relatada ao Encarregado. 

 

 

4.13. Resposta a um incidente de segurança 


Um incidente de segurança de Dados Pessoais pode ser compreendido como quaisquer acessos não autorizados a tais informações, situações acidentais ou ilícitas que resultem na destruição, perda, alteração, comunicação dessas, ou, ainda, qualquer forma de Tratamento desses mesmos Dados Pessoais de forma inadequada ou ilícita. 


A ausência ou o atraso na resposta a um incidente de segurança não só implicam a desconformidade com a legislação, como também o tempo e a qualidade da resposta a um incidente em segurança em Dados Pessoais são critérios legais a serem considerados quando da aplicação da sanção pela autoridade competente. 


Neste sentido, caso um colaborador tenha conhecimento ou suspeita de algum incidente de segurança de Dados Pessoais, inclusive em relação a terceiros, deverá, prontamente, contatar o Encarregado, conforme disposto na Política de Resposta à Violação e Incidentes. 

 

4.14. Esclarecimentos de dúvidas

 

Em caso de dúvidas sobre o uso e o tratamento de dados pessoais realizados pela BrasilCard, o interessado poderá enviar uma solicitação para [lgpd@grupoadrianocobuccio.com.br].

 

4.15. Informações do Encarregado de Dados para contato

 

Nome: Raphael Antônio de Morais Ruela

E-mail: lgpd@grupoadrianocobuccio.com.br

 

 

 5. REFERÊNCIAS

 

- Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018).

 

 

6. HISTÓRICO DE REVISÕES