Privacidade e Proteção de Dados Pessoais
As informações abaixo, incluindo a nossa Política de Privacidade, são aplicáveis às atividades de tratamento de dados pessoais sob a legislação brasileira.
De acordo com a Lei 13709/2018 (Lei Geral de Proteção de Dados – “LGPD”), você tem o direito de acessar, corrigir, portar, eliminar seus dados, além de confirmar que tratamos seus dados. Em determinadas circunstâncias, você também tem o direito de se opor e restringir o tratamento de seus dados pessoais. Nossa Política de Privacidade, abaixo, fornece detalhes sobre como coletamos, tratamos e compartilhamos seus dados, entre outras informações. Para solicitar mais informações sobre nossas práticas de tratamento de dados, clique aqui.
A IB CAPITAL é a controladora dos seus dados pessoais para as finalidades relacionadas com os negócios realizados entre a Empresa e você. Para entrar em contato com o Encarregado de Proteção de Dados da IB CAPITAL, clique aqui. Você também tem o direito de enviar um requerimento à Autoridade Nacional de Proteção de Dados (“ANPD”) entrando em contato diretamente com tal órgão.
Estas informações valerão a partir da mesma data da entrada em vigor da LGPD.
Política de Privacidade e Proteção de Dados Pessoais
1. Objetivo
Essa política estabelece as diretrizes e normas para a condução das atividades envolvendo o tratamento e a garantia da privacidade e da proteção de Dados Pessoais, ou seja, dados de pessoas naturais (“Titulares”) com as quais a IB CAPITAL se relaciona para executar suas atividades de negócio.
Todas as atividades relacionadas aos negócios da IB CAPITAL que lidem com Dados Pessoais são orientadas por esta política, que tem o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
2. Compliance com Leis e Regulamentações
Esta Política foi elaborada de forma que a IB CAPITAL atenda aos requisitos da lei 13.709/2018, alterada pela lei 13.853/2019, conhecida no Brasil como “Lei Geral de Proteção de Dados” (“LGPD” ou “Lei”), especialmente nos termos do seu Artigo 50, que trata das boas práticas e da governança da segurança dos Dados Pessoais, copiado abaixo:
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
-
-
- 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
- 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:
-
I – implementar programa de governança em privacidade que, no mínimo:
-
-
- a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
- b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
- c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
- d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
- e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
- f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
- g) conte com planos de resposta a incidentes e remediação; e
- h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
-
II – demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei.
-
-
- 3º As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.
-
3. Definições de Dados Pessoais e da Proteção de Dados Pessoais
Dados pessoais são informações relativas a uma pessoa viva, identificada ou identificável. Também constituem dados pessoais o conjunto de informações distintas que podem levar à identificação de uma determinada pessoa.
Conforme a LGPD (Artigo 5º.) e outras referências similares, considera-se:
I – DADO PESSOAL: informação relacionada a pessoa natural identificada ou identificável.
II – DADO PESSOAL SENSÍVEL: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
III – DADO ANONIMIZADO: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Os Dados Pessoais são necessários em diferentes atividades de negócios na IB CAPITAL. Os Dados Pessoais podem ter várias formas de representação, armazenamento e transporte, sendo que o seu significado e valor dependem do contexto em que se encontram, podendo ser, por exemplo:
- Em papel: listas de presença, formulários de cadastro em papel, relatórios, memorandos, cartas, etc.
- Em mídia digital: arquivos digitais gravados em HDs, SDs, USB drives, CDs, etc.
- Em som: gravação de reuniões e outras atividades, secretária eletrônica, etc.
- Em imagem: fotos de pessoas e de seus documentos, vídeos contendo pessoas, etc.
A proteção dos Dados Pessoais deve garantir fundamentos e direitos básicos das pessoas, como o respeito à privacidade, à dignidade e à autodeterminação; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; a livre iniciativa e a livre concorrência; a defesa do consumidor e outros direitos humanos relacionados com a personalidade e o exercício da cidadania.
Para que os objetivos de proteção de Dados Pessoais sejam alcançados, os colaboradores e prestadores de serviços da IB CAPITAL devem seguir as práticas determinadas nesta Política de Privacidade e Proteção de Dados Pessoais e os procedimentos operacionais relacionados a este documento.
De forma geral, todas as pessoas (colaborador, consultor, temporário, terceiro e demais indivíduos) a serviço da IB CAPITAL são responsáveis pela adoção de boas práticas de segurança da informação no tratamento dos Dados Pessoais.
4. Direitos dos Titulares:
Os Titulares dos dados coletados e processados pela IB CAPITAL possuem os seguintes direitos em relação aos seus Dados Pessoais tratados pela Empresa.
- Confirmação da existência de tratamento de seus Dados Pessoais.
- Livre acesso de consulta aos seus Dados Pessoais.
- Correção de seus Dados Pessoais, quando os dados estiverem incompletos, inexatos ou desatualizados.
- Eliminação de seus Dados Pessoais, quando os dados forem desnecessários, excessivos ou tratados em desconformidade com a Lei, inclusive quando houver consentimento por parte do titular, desde que os dados pessoais não sejam utilizados para cumprir com obrigações legais e regulatórias.
- Portabilidade de seus Dados Pessoais para outro fornecedor de serviço ou produto, mediante requisição expressa do titular.
- Informação das entidades públicas e privadas com as quais a Empresa compartilhou seus Dados Pessoais.
- Informação sobre a possibilidade de não fornecer consentimento para o tratamento de seus Dados Pessoais.
- Revogação do consentimento para o tratamento de seus Dados Pessoais.
5. Coleta, Uso e Tratamento de Dados Pessoais
A IB CAPITAL coleta, utiliza e faz o tratamento dos Dados Pessoais para atender aos interesses legítimos da Empresa, comprometendo-se a cumprir com toda a legislação aplicável em relação à proteção dos Dados Pessoais, assegurando que sejam coletados, utilizados e tratados de acordo com as disposições da LGPD e outras leis e regulações aplicáveis, se houver.
Dados Pessoais não devem ser coletados sem que exista uma finalidade. A coleta pode ocorrer quando necessário para estabelecer a relação comercial entre a IB CAPITAL e seus colaboradores e parceiros de negócios, para a execução de um contrato ou para o cumprimento de uma obrigação legal à qual a IB CAPITAL está sujeita.
Ao coletar Dados Pessoais, a IB CAPITAL deverá informar previamente, com transparência, de forma clara e inequívoca, quais são as finalidades para o tratamento daqueles dados pessoais e por quanto tempo serão retidos e tratados, podendo informar também que o tempo de retenção é indefinido.
Em todos os casos em que os dados pessoais coletados não forem anonimizados e a coleta não for para fins de (i) cumprimento de obrigação legal ou regulatória, (ii) execução de contrato ou procedimentos preliminares relacionados a contrato do qual seja parte o titular, (iii) exercício regular de direitos em processo judicial, administrativo ou arbitral, e (iv) proteção do crédito, a IB CAPITAL deverá requerer o consentimento expresso do titular dos dados, devendo ficar este consentimento registrado e arquivado em mídia digital ou impressa.
Sempre que houver mudanças na finalidade, a IB CAPITAL deverá informar previamente o titular sobre as mudanças e pedir novo consentimento, podendo o titular revogar o consentimento, caso discorde das alterações.
Quando o tratamento de dados pessoais for condição para a IB CAPITAL fornecer um produto ou serviço, ou para o exercício de seu direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos elencados na Lei.
5.1 Novos projetos e processos de mudanças em Dados Pessoais
Qualquer nova atividade de tratamento de Dados Pessoais deve ser devidamente comunicada pelos Proprietários ao Encarregado dos DP, inclusive envolvendo este último no planejamento de novos projetos que possam envolver a coleta e tratamento de Dados Pessoais, de forma que os riscos à proteção de Dados Pessoais sejam plenamente avaliados e tratados.
6. Descarte de Dados Pessoais
Encerrado o período de utilização ou quando terminar a finalidade para a qual determinados Dados Pessoais foram coletados e tratados, os Proprietários dos DP deverão excluir os Dados Pessoais relacionados, utilizando-se de métodos de descarte seguro, ou de forma anonimizada, para fins estatísticos. Sempre que possível, estes descartes deverão ser evidenciáveis.
Nos casos em que IB CAPITAL não puder excluir os Dados Pessoais para cumprir exigências legais ou por alguma outra necessidade legítima, os Dados Pessoais devem ser arquivados com segurança, isolados de qualquer tratamento posterior, até que a exclusão seja possível.
7. Processos de comunicação com titulares e com a ANPD
A IB CAPITAL estabeleceu um canal de comunicação para que a ANPD e os titulares possam entrar em contato com a Empresa sempre que desejarem exercer seus direitos. O responsável pela operação deste canal de comunicação é o Encarregado dos Dados Pessoais.
Este canal de comunicação está publicado na Internet e/ou em outros meios que facilitem a divulgação aos titulares e à ANPD.
Adicionalmente, sempre que requerido, o Encarregado dos DP atenderá também aos pedidos de informações, emissão de relatório de impacto para a ANPD e a ocorrência de incidentes, entre outras demandas legais regulamentadas pela ANPD.
8. Medidas de Proteção
8.1 Proteção de Dados Pessoais em Papel:
Para a correta proteção dos locais que contém Dados Pessoais em papel, os seguintes controles devem estar implementados:
- Estrutura física adequada contra impactos, alagamentos ou incêndios.
- Acesso físico restrito e controlado
- Movimentações físicas monitoradas.
Documentos em papel que contém Dados Pessoais e que estão sob a responsabilidade da IB CAPITAL não podem ser retirados da Empresa sem autorização expressa prévia do Proprietário dos DP daquele processo específico e do Encarregado dos DP.
8.2 Proteção em Dispositivos e Sistemas Pessoais:
O uso de dispositivos e sistemas pessoais (notebooks, tablets, smartphones, mídias portáteis de armazenamento de dados, sistemas de mensagens e de trabalho em grupo na nuvem, etc.) podem acarretar em riscos para a segurança dos Dados Pessoais.
Os colaboradores que necessitarem utilizar qualquer recurso não fornecido pela Empresa para o tratamento de Dados Pessoais devem pedir autorização prévia à área de Segurança da Informação e ao Encarregado dos DP que, por sua vez, caso entendam que o uso é de fato requerido, avaliarão o contexto e deverão implementar as medidas necessárias de proteção.
O processo de análise e autorização deverá considerar:
- A necessidade do uso do recurso.
- Os riscos à proteção de Dados Pessoais provenientes do uso deste recurso.
- A realização das atividades somente após a garantia da adoção das proteções necessárias.
8.3 Proteção de Dados Pessoais em meio eletrônico
8.3.1 Controles de Acesso
O acesso aos sistemas e redes da IB CAPITAL que contém Dados Pessoais deve ser concedido por processos de identificação, autenticação e certificação de login e senha de acesso, devendo ser comprovada a necessidade do acesso para desempenho das atividades.
Cabe ao Proprietário de cada base dos Dados Pessoais determinar os controles apropriados para direito de acesso, concessão de privilégios e gerenciamento dos acessos concedidos aos Dados Pessoais sob a sua gestão.
8.3.2 Uso de softwares
A instalação de softwares não homologados pela IB CAPITAL ou a mudança da configuração de equipamentos (computadores, notebooks, impressoras, etc.) de tecnologia da informação deve ser proibida aos usuários que não possuam esta atribuição.
8.3.3 Acesso externo
O acesso externo a sistemas e equipamentos deve ser concedido somente a pessoal que de fato demande este recurso, naqueles casos de real necessidade para execução das atividades de negócios e que não acarretem riscos elevados para a proteção dos Dados Pessoais.
O acesso externo deverá considerar:
- A pessoa (colaborador, consultor, temporário, terceiro e demais indivíduos) a serviço da IB CAPITAL deve obter autorização específica para o uso remoto de equipamentos.
- Equipamentos não podem ser deixados desprotegidos em áreas públicas, devendo sempre ser transportados pelos seus usuários.
- Convém que dispositivos e computadores portáteis sejam carregados como bagagem de mão e oportunamente descaracterizados para não chamar atenção indesejada, sempre que possível.
- Equipamentos não devem ser utilizados em área de circulação de pessoas, tal como aeroportos, saguão de hotéis, restaurantes e bares.
- Devem ser reforçados os cuidados sobre a segurança de Dados Pessoais.
- Qualquer problema relativo à proteção de Dados Pessoais deve ser reportado imediatamente ao Encarregado e ao respectivo Proprietário dos DP.
8.4 Proteção nas transferências de Dados Pessoais
Como os riscos de vazamento de informações são maiores nos processos que envolvem transferências entre diferentes equipamentos e/ou sistemas, visando a segurança e proteção de Dados Pessoais, a IB CAPITAL adota recursos e políticas que protegem os dados não somente no seu local de armazenamento, mas também nos processos de transferência.
Toda e qualquer transferência de Dados Pessoais para sistemas e pessoas externas à IB CAPITAL, por meio de quaisquer recursos de comunicação, deve ocorrer de maneira segura.
9. Automatização de Tomadas de Decisão
A IB CAPITAL não emprega técnicas para a tomada de decisão automatizada a partir de Dados Pessoais, incluindo a definição dos perfis individuais, que tenham efeitos legais ou que afetem os titulares dos dados pessoais de maneira significativa.
10. Comunicações em caso de incidentes
Um incidente de segurança pode ser qualquer evento que viole a proteção dos Dados Pessoais e dos Dados Pessoais Sensíveis.
De acordo com a Lei, a IB CAPITAL deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
A IB CAPITAL executará atividades de monitoramento, alerta, responsabilização, resposta, comunicação entre os envolvidos, documentação e registro dos incidentes, contemplando as seguintes atividades:
- O monitoramento e gerenciamento de incidentes de segurança relacionados aos Dados Pessoais, ou seja, que abranjam os bancos de dados dos sistemas, arquivos e locais da rede contendo Dados Pessoais.
- O tratamento e o registro das respostas aos incidentes e das respectivas correções aplicadas.
- A comunicação aos devidos responsáveis pela proteção dos Dados Pessoais, ao Encarregado e ao respectivo Proprietários dos DP, de toda e qualquer ocorrência relacionada à perda ou apropriação indevida de Dados Pessoais.
Caso um incidente seja entendido como acarretando risco ou dano aos titulares, o Encarregado dos Dados Pessoais deverá elaborar e realizar a devida comunicação à ANPD e aos respectivos titulares.
Conforme previsto na Lei, a comunicação deverá conter, no mínimo, os seguintes dados sobre o ocorrido:
- A descrição da natureza dos dados pessoais afetados.
- As informações sobre os titulares envolvidos.
- A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial.
- Os riscos relacionados ao incidente.
- Os motivos da demora, no caso de a comunicação não ter sido imediata.
- As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
11. Atualização da Política
A IB CAPITAL poderá, a qualquer momento, promover revisões ou atualizações oportunas para esta política. Atualizações desta política entrarão em vigor assim que forem publicadas no website da Empresa, no endereço eletrônico https://ibcapital.com.br
12. Glossário
- Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
- ANPD: Autoridade Nacional de Proteção de Dados – órgão da administração pública indireta responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.
- Banco de Dados: conjunto estruturado de dados, podendo ter dados pessoais, em meio eletrônico ou físico.
- Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
- Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
- Controlador: pessoa natural ou jurídica a quem compete determinar a finalidade e o meio de tratamento dos Dados Pessoais executadas pela própria Empresa ou pelo Operador.
- Dado Anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
- Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável.
- Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
- Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
- Encarregado dos Dados Pessoais: função da estrutura organizacional da IB CAPITAL indicada para atuar como canal de comunicação entre a Empresa, os titulares dos dados e a ANPD.
- Lei: o mesmo que LGPD.
- LGPD: Lei Geral de Proteção de Dados pessoais, Lei 13.709/2018.
- Operador: prestador de serviço externo, terceirizado, que realiza a coleta, e/ou uso, e/ou o tratamento de Dados Pessoais dos quais a IB CAPITAL é o controlador.
- Portabilidade de Dados Pessoais: transferência do tratamento de DP para outro fornecedor de serviço ou produto, mediante requisição expressa do titular dos dados.
- Proprietários das Bases de Dados Pessoais (“Data Owners”): pessoas ou grupos de pessoas da estrutura organizacional da IB CAPITAL, responsáveis pela coleta e tratamento dos dados pessoais.
- Titular dos Dados: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
- Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.