Esta Política especifica, em atenção às normas da Lei nº 13.709/2018, as boas práticas na gestão de dados pessoais, gestão essa que envolve o desenvolvimento de ações preventivas, educacionais e medidas organizacionais estruturadas pela COMPROPAY LTDA ME, voltadas à difusão e ao aprimoramento da cultura de privacidade e proteção de dados pessoais pelos colaboradores e/ou profissionais que atuam em seu nome.
O termo de consentimento, assinado por clientes, e o termo de compromisso, assinado por empresas parceiras da COMPROPAY LTDA ME, complementam esta Política de Governança.
Informações da Política de Privacidade
A COMPROPAY LTDA ME, contratou assessoria especializada para auxiliá-la em sua adequação à Lei nº 13.709/2018, o que resultou no mapeamento do fluxo de dados pessoais na empresa, na elaboração de termo de consentimento e de termo de compromisso, na confecção desta Política de Governança e na realização de treinamento presencial inicial para os colaboradores, além da adequação do sistema de armazenamento e tratamento de dados, para o alcance da segurança da informação, por meio de serviço especializado.
Diretrizes
Esta Política busca garantir a proteção dos dados pessoais envolvidos nas operações da COMPROPAY LTDA ME, assegurando que sejam sempre tratados observando os princípios da boa-fé, da finalidade, da adequação, da necessidade, do livre acesso e da segurança, de modo a mitigar riscos de vazamento e a garantir, ao titular, a transparência no tratamento de seus dados pessoais.
Esta Política incentiva a automação – ou digitalização – de todos os procedimentos relacionados ao tratamento de dados pessoais realizado pela COMPROPAY LTDA ME, evitando-se a coleta e o armazenamento de dados em documentos físicos. Ademais, desincentiva o tratamento de dados pessoais sensíveis.
Conceitos Centrais da Política de Governança
- Dado pessoal: informação que, isolada ou associada a outras, identifique ou que possa identificar uma pessoa física.
- Dado pessoal sensível: informação sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física.
- Dado pseudonimizado: informação sobre um titular de dados que somente o identifica quando associada a uma informação adicional relativa ao titular, mantida separadamente pelo controlador em ambiente seguro.
- Titular dos dados pessoais: pessoa física a quem se referem os dados pessoais que são objeto de tratamento, inclusive colaboradores, conselheiros, diretores, fornecedores – quando pessoas físicas – e demais prepostos da COMPROPAY LTDA ME.
- Tratamento de dados pessoais: operação realizada com dados pessoais, que abarca a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais.
- Agentes de tratamento de dados: controlador, pessoa natural ou jurídica, a quem compete a tomada de decisões referentes ao tratamento de dados pessoais; e o operador, pessoa natural ou jurídica, que realiza o tratamento de dados pessoais em nome ou a pedido do controlador.
Princípios que Guiam a Política
- Finalidade: os dados pessoais coletados e processados são utilizados para propósitos legítimos, específicos, explícitos e informados ao titular, não sendo utilizados de forma incompatível com tais objetivos.
- Adequação: os dados pessoais são tratados em compatibilidade com as finalidades informadas ao seu titular ou pertinentes ao contrato por ele firmado com a COMPROPAY LTDA ME, no contexto do tratamento realizado.
- Necessidade: o tratamento deve se limitar ao mínimo possível de dados pessoais indispensáveis à realização das finalidades objetivadas, observada a sua pertinência.
- Livre acesso: é assegurada aos titulares a realização de consulta facilitada e gratuita sobre os seus dados pessoais tratados, bem como sobre a forma e a duração do seu tratamento.
- Transparência: é assegurado ao titular de dados pessoais o acesso a informações precisas e facilitadas sobre o tratamento de seus dados pessoais e os respectivos agentes de tratamento.
- Segurança: são aplicáveis para tratamento de dados todas as medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de perda, alteração, comunicação ou difusão.
- Prevenção: são aplicáveis para o tratamento de dados pessoais todas as medidas técnicas, operacionais e contratuais adequadas para prevenir eventual ocorrência de danos ou riscos no contexto do tratamento de dados pessoais.
Cuidados no Uso de Dados Pessoais
- Análise periódica de riscos: identificação, avaliação e monitoramento das vulnerabilidades e dos riscos de ocorrência de incidentes de proteção de dados pessoais no âmbito da COMPROPAY LTDA ME, bem como suas medidas de tratamento e solução.
- Treinamento: realização de treinamentos pontuais e cursos de capacitação para funcionários e colaboradores, buscando aprimorar a cultura de tratamento adequado de dados.
- Termo de consentimento: toda pessoa física que desenvolver relação comercial com a COMPROPAY LTDA ME, assinará um termo de consentimento para tratamento de seus dados, que poderá ser revogado a critério. O termo indicará que as finalidades para a coleta dos dados são o cumprimento, pela COMPROPAY LTDA ME, de obrigações impostas por órgãos de fiscalização; a confecção e a execução de um eventual contrato do qual seja parte o titular dos dados; o exercício regular de direitos, por parte de COMPROPAY LTDA ME, em processo judicial, administrativo ou arbitral; o envio, ao titular, de promoções, informes e quaisquer comunicados que a COMPROPAY LTDA ME, julgue pertinentes; o controle interno do serviço de test-drive da COMPROPAY LTDA ME; a prestação de assistência técnica; e realização de estatísticas internas da COMPROPAY LTDA ME, e de suas empresas parceiras. O titular dos dados deve ficar ciente de que COMPROPAY LTDA ME, permanecerá com os dados até o exaurimento das finalidades previstas, estando a seu critério o procedimento de descarte.
- Termo de compromisso: as empresas parceiras da COMPROPAY LTDA ME, que com ela compartilhem dados de pessoas físicas, devem assinar um termo de compromisso declarando tal compartilhamento e declarando que são integralmente responsáveis pelos dados pessoais coletados, incluindo a obtenção de consentimento dos titulares, conforme artigo 5º, inciso XII, da Lei nº 13.709/2018.
Tanto o termo de consentimento quanto o termo de compromisso devem passar por atualizações periódicas, buscando-se o seu contínuo aperfeiçoamento.
No website para acesso público da COMPROPAY LTDA ME, constam alertas sobre o uso de cookies e a possibilidade de sua desativação, caso seja de interesse do usuário.
Compartilhamento de Dados entre Módulos do Aplicativo
Ao aceitar os termos de uso do aplicativo COMPROPAY, o usuário consente expressamente com o compartilhamento de seus dados pessoais entre os diferentes módulos e funcionalidades da plataforma, conforme previsto no artigo 7º, inciso I, da Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709/2018). Este compartilhamento é necessário para o funcionamento integrado dos serviços e tem como finalidade proporcionar uma experiência unificada e personalizada ao usuário.
O compartilhamento de dados ocorre exclusivamente entre os módulos oficiais da COMPROPAY LTDA ME, respeitando os princípios da finalidade, adequação, necessidade e transparência estabelecidos pela LGPD. Os dados são tratados de forma segura e confidencial, sendo utilizados apenas para as finalidades específicas de cada módulo e para a melhoria contínua dos serviços oferecidos.
Os módulos e funcionalidades que integram o ecossistema COMPROPAY incluem:
Clube ComproPay
Cashback
ComproPay Saúde
ComproPay Delivery
Saque 24Hs
Rotativo Vitória
Rede Credenciada
Adiantamento FGTS
Meus Cartões
Pagar Boletos
Recarga de Celular
Recarga de Serviços
Central de Doações
Convidar Amigos
CRTRES.Pay
CREA.Pay
CRT.Pay
Empréstimo
Assinaturas
Pagamentos Recorrentes
Vendas Roxinha
O usuário tem o direito de revogar seu consentimento a qualquer momento, conforme previsto no artigo 8º, § 5º da LGPD, podendo solicitar a exclusão de seus dados ou a limitação do compartilhamento entre módulos específicos. Para exercer esses direitos, o usuário deve entrar em contato através dos canais oficiais de atendimento da COMPROPAY LTDA ME.
Procedimento no Caso de Incidentes
Incidente de segurança com dados pessoais é qualquer evento adverso relacionado à violação na segurança de dados pessoais, como um acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração ou vazamento dos dados. Caso ocorra um incidente, os funcionários e colaboradores da COMPROPAY LTDA ME, seguirão um protocolo de atuação, a fim de minorar os danos aos titulares e de cumprir os deveres impostos pela Lei nº 13.709/2018.
O protocolo será gerenciado pessoalmente pelo DPO (Data Protection Officer), encarregado do tratamento de dados na COMPROPAY LTDA ME poderá ser contatado no e-mail [email protected]; e ocorrerá da seguinte forma:
- O primeiro passo do protocolo é notificar os titulares dos dados sobre o incidente, esclarecendo-os a respeito de possíveis danos relevantes e comunicando-os o início de uma investigação interna para a identificação de causas e de responsáveis.
- Em seguida, a empresa comunicará a ocorrência do incidente à Autoridade Nacional de Proteção de Dados (ANPD). Essa comunicação se dará com o preenchimento do formulário disponível no site da ANPD e com o seu protocolo na aba "Peticionamento Eletrônico - Usuário Externo". As instruções para utilização do "Peticionamento Eletrônico" são encontradas aqui: https://www.gov.br/secretariageral/pt-br/sei-peticionamento-eletronico.
- Terminada a investigação interna, a empresa elaborará um relatório final, a ser encaminhado aos titulares dos dados envolvidos no incidente e à ANPD, contendo as seguintes informações: (i) descrição do incidente; (ii) quais foram os danos efetiva e/ou possivelmente causados aos titulares dos dados pessoais; (iii) quais foram as providências de investigação adotadas; (iv) respostas a eventuais questionamentos recebidos da imprensa e dos titulares dos dados; e (v) quais medidas de correção no tratamento de dados serão adotadas.