I. Introdução
A proteção de dados é uma preocupação chave para a Certdox, que trata essa questão como prioridade e seriedade. Por isso estamos comprometidos com a transparência com a qual são tratados os dados pessoais que coletamos. A política abaixo resume todos os aspectos relevantes em relação à coleta, armazenamento e processamento de informações de clientes.
Fica expresso que a Certdox apenas coleta e processa dados pessoais de pessoais naturais e empresas fornecidas pelos seus clientes corporativos mediante explicito termo de prestação de serviço celebrados junto aos seus clientes que asseguram formalmente que tais dados foram por sua vez obtidos respeitando rigorosamente as condições impostas pelos padrões de boas práticas e de governança e aos princípios gerais estabelecidos na Lei nº 13.709/2018 Lei Geral de Proteção de Dados Pessoais (“LGPD”) e exclusivamente para finalidade imposto no referido contrato firmados por seus respectivos clientes, sejam pessoas naturais ou corporativos.
II. Objetivo Geral
Orientar quanto às diretrizes aplicáveis à privacidade e proteção dos dados pessoais dos clientes, colaboradores e parceiros os quais a Certdox tem acesso em função do desempenho de suas atividades, estabelecendo as regras aplicáveis sobre a coleta, registro, armazenamento, uso, compartilhamento, enriquecimento e eliminação dos dados coletados, de acordo com as leis em vigor.
III. Diretrizes
3.1 Disposições da Política
3.1.1. Zelar pela privacidade e proteção dos dados pessoais coletados dos clientes, dos colaboradores e dos parceiros da Certdox, em função do desempenho de suas atividades;
3.1.2. Adotar diretrizes que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à privacidade e proteção de dados pessoais;
3.1.3. Promover a transparência sobre a forma pela qual a Certdox trata dados pessoais; e
3.1.4. Adotar medidas de proteção em relação a risco de incidente de segurança que envolva dados pessoais.
3.2. Escopo da Política
3.2.1. Todas as informações fornecidas ou coletadas no contexto da prestação dos serviços pela Certdox aos seus clientes, compreendendo a captura, transporte, processamento de informações e liquidação de transações, bem como a oferta de outros serviços e produtos correlatos; e
3.2.2. Todas as informações de colaboradores e parceiros coletadas no contexto de obrigação contratual ou legal.
3.3. Dados Coletados, forma e finalidade da coleta
3.3.1 A Certdox apenas coleta e trata dados pessoais de clientes exclusivamente mediante expresso e inequívoco consentimento do portador, diretamente formalizado pelo titular ou devidamente formalizado através da instituição contratante, conforme expresso nos termos da contratação dos serviços.
3.3.2. As informações serão coletadas por meios éticos e legais, e armazenadas em ambiente seguro e controlado, pelo prazo exigido na regulamentação vigente, e utilizadas especificamente para finalidade contratada. A Certdox se compromete a tomar todas as medidas cabíveis para manter o absoluto sigilo e a estrita confidencialidade de todas as informações, dados pessoais ou especificações a que tiver acesso ou que porventura venha a conhecer, e que venha a ter acesso em razão da prestação dos serviços pela Certdox (quais sejam, a captura, o transporte, processamento de informações e liquidação de transações, dentre outros serviços), sendo-lhe vedado ceder e/ou permitir acesso por terceiros a tais informações, ressalvadas as hipóteses descritas nesta Política.
3.3.3. O acesso de terceiros autorizados às informações coletadas pela Certdox se dá exclusivamente para atendimento das finalidades informadas nesta Política e dentro do limite necessário ao desempenho das atividades relativas ao curso normal dos seus negócios junto às instituições contratantes, prestadores de serviços, para atendimento a efetivação das operações contratadas pelos clientes.
3.3.4. A utilização das informações coletadas pela Certdox, em qualquer das hipóteses previstas nos itens acima, é feita exclusivamente para atendimento das finalidades informadas nesta Política no desempenho das atividades contratas junto a Certdox ou no oferecimento ao cliente de conteúdo específico a partir da utilização da informação de forma anonimizada e agregada sobre a sua área de atuação.
3.4. Política de Retenção dos dados de clientes
Manteremos os dados das operações que podem envolver dados pessoais enquanto durar nossa relação contratual e/ou comercial, conforme expresso no Contrato de Adesão de Prestação de Serviço, exceto se houver requerimento dos clientes quanto a exclusão ou vedação ao armazenamento, ficando neste caso configurado a impossibilidade de recuperação posterior dos dados da operação.
Portanto poderão ser armazenados os dados que foram necessários para efetivação das operações em que formos contratados, exclusivamente para efeito de log e garantia do registro, assim como eventual comprovação e recuperação das condições contratadas à ordem do cliente ou atendimento de requisito regulatório.
IV. Relacionamento com colaboradores e terceiros
A Certdox exige a todos os terceiros que mantenham a confidencialidade das informações a eles compartilhadas ou que tenham acesso em virtude do exercício da sua atividade, bem como que utilizem tais informações exclusivamente para os fins expressamente permitidos, conforme obrigações e responsabilidade contratuais assumidas com a Certdox pelos referidos colaboradores e terceiros, por meio de instrumentos próprios.
V. Segurança das informações
Visando a segurança das informações fornecidas pelos clientes, a Certdox dispõe de processos de segurança físicos, lógicos, técnicos e administrativos compatíveis com a sensibilidade das informações coletadas, assim como implementa novos procedimentos e melhorias tecnológicas contínuas para proteger a confidencialidade, segurança e integridade de todos os dados pessoais coletados.
VI. Relacionamento com autoridades reguladoras
Nas hipóteses em que se fizerem necessárias a divulgação dos dados pessoais de clientes, colaboradores ou parceiros, seja em razão de cumprimento de lei, determinação judicial ou de órgão competente fiscalizador das atividades desenvolvidas pela Certdox e/ou terceiros, tais informações deverão ser reveladas somente nos estritos termos e nos limites requeridos para a sua divulgação, sendo que os titulares das informações divulgadas, na medida do possível, serão notificados sobre tal divulgação, para que tomem as medidas protetivas ou reparadoras apropriadas.
VII. Alterações
A presente Política de Privacidade e Proteção de Dados poderá ser modificada a qualquer momento, conforme a finalidade ou necessidade para adequação e conformidade de disposição de lei ou sempre que isto se demonstrar necessário, sendo as alterações divulgadas pelos canais institucionais da Certdox.
VIII. Encarregado em Privacidade e Proteção de Dados (DPO)
A Certdox possui um Data Protection Officer (“DPO”) nomeado pela Diretoria com a responsabilidade de governança do processo de proteção de dados dos clientes e alçada para as ações necessárias para garantir.
IX. Responsabilidades
9.1 Caberá aos Administradores e Colaboradores:
▪ Observar e zelar pelo estrito cumprimento da presente Política e, quando assim se fizer necessário, acionar o Encarregado em Privacidade e Proteção de Dados (DPO) para consulta sobre situações de dúvidas relativas à aplicação desta Política e que envolvam conflito com esta Política ou mediante a ocorrência de situações nela descritas.
▪ Receber e aceitar eventuais reclamações, solicitações e comunicações dos titulares dos dados ou dos órgãos reguladores e/ou ANPD que cheguem ao seu conhecimento pelos canais de contato e comunicação, encaminhando para ciência do Encarregado em Privacidade e Proteção de Dados (DPO)
9.1.1 Suporte ao Cliente (Customer Service)
O Suporte deverá estar particularmente atento a reclamações e solicitações dos nossos clientes quanto ao exercício dos seus direitos conferidos pela LGPD tanto de acesso aos seus dados eventualmente armazenados nas bases da Certdox quando a solicitação de remoção e deleção destes dados, encaminhando ao DPO qualquer demanda desta natureza para análise e atendimento ao cliente.
Deve ser esclarecido ao titular dos dados, no entanto, que solicitações desta natureza somente serão atendidas se houver amparo legal para tanto, estando sujeitas portanto a verificação uma vez que podem existir exigências regulatórias que obrigam e protegem a conservação dos dados para evidencias futuras de auditoria.
9.2 Caberá ao Encarregado em Privacidade e Proteção de Dados (DPO):
▪ Manter a Política atualizada e adequada às práticas e exigibilidades da regulamentação da LGPD
▪ Aprovar e controlar eventuais exceções de aplicação a esta política a luz do risco e impacto a proteção dos dados dos titulares, assim como controlar as ações de regularização
▪ Receber reclamações dos clientes e comunicações da Autoridade Nacional de Proteção de Dados (“ANPD”) e para prestar esclarecimentos e adotar providências
▪ Registrar e documentar as demandas dos portadores e respectivo atendimento às solicitações, verificando regularmente a necessidade de ações para aperfeiçoamento das garantias a proteção dos dados pessoais e privacidade dos seus titulares
▪ Orientar os colaboradores e os terceiros da Certdox a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e
▪ Adotar iniciativas para compartilhamento de informações sobre eventuais incidentes relevantes contendo dados pessoais com a ANPD e com os titulares dos dados, quando necessário.
X. DPO
Conforme definido pelo Comitê de Riscos o DPO é o CEO Carlos Augusto de Oliveira (email : [email protected]).
Para qualquer solicitação externa referente ao exercício dos direitos dos titulares ou denuncia relativo à suspeita de violação da LGPD, poderá ser realizada através do canal institucional da Ouvidoria no nosso website. Todo e qualquer registro ali imputado será direcionado direta e automaticamente para o DPO, que se encarregará de encaminhar e tratar as ocorrências, retornando as providências aos envolvidos nos prazos previstos na regulamentação.
O DPO pode também internamente ser notificado direta e formalmente (através do seu e-mail) de qualquer ocorrência relativo à implantação, alteração ou gaps processos envolvendo captura, processamento e guarda de dados de clientes para que seja realizada análise da suposta violação no tratamento dos dados e/ou de diretrizes desta política.
Toda implantação de novos fornecedores que envolvam trânsito de informação de dados sensíveis ou questões contratuais que envolvam manuseio de dados dos titulares devem notificar o DPO, sendo os riscos identificados encaminhados para o Comitê de Risco para decisão adequada neste fórum.