1. INTRODUÇÃO E OBJETIVOS

Este Manual de Proteção de Dados Pessoais (“Manual”) da TERA INVESTIMENTOS LTDA. (“Gestora”) visa a atender as diretrizes mínimas com relação ao tratamento de dados pessoais de acordo com a Lei nº 13.709/2018, alterada pela Lei 13.853/2019 (“Lei Geral de Proteção de Dados Pessoais” ou “LGPD”), no âmbito das atividades exercidas pela Gestora, sem prejuízo de outras providências que se façam necessárias para a integral conformidade com a LGPD, tais como mapeamento de atividades de tratamento de dados pessoais e diagnóstico da maturidade da Gestora com relação à proteção de dados pessoais.

A observância das regras e obrigações contidas neste Manual é dever de todos os colaboradores da Gestora, incluindo sócios, administradores, funcionários e estagiários da Gestora (“Colaboradores”).

As regras descritas neste Manual são aplicáveis em favor de todas as pessoas físicas que venham a se relacionar com a Gestora e forneçam Dados Pessoais (abaixo definido), quer sejam, dentre outros, investidores com quem a Gestora possua relacionamento comercial direto (“Clientes”), estejam relacionadas à contraparte de operações das carteiras sob gestão da Gestora (“Contraparte”) ou Colaboradores (todos em conjunto “Titulares de Dados”), cujos dados demandem o Tratamento (abaixo definido) adequado.

1.1. Colaboradores e Aplicabilidade do Manual

Este Manual é parte integrante das regras que regem a relação societária, de trabalho ou contratual, conforme o caso, dos Colaboradores, os quais deverão firmar o termo de recebimento e compromisso constante do Anexo I à Política de Compliance, Procedimentos e Descrição dos Controles Internos (“Termo de Compromisso”). Por esse documento, o Colaborador reconhece e confirma a leitura, o conhecimento, compreensão, concordância e adesão aos termos deste Manual e às normas e procedimentos aqui contidos. Periodicamente, poderá ser requisitado aos Colaboradores que assinem novos Termos de Compromisso, reforçando o seu conhecimento e concordância com os termos deste Manual.

Este Manual e todos os demais materiais informativos e diretrizes internas poderão ser consultados pelos Colaboradores na rede local, e quaisquer dúvidas deverão ser dirimidas junto ao Encarregado (abaixo definido).

O descumprimento, suspeita ou indício de descumprimento de quaisquer das normas e procedimentos estabelecidos neste Manual deverão ser levados para apreciação do Encarregado. Competirá ao Encarregado aplicar as sanções decorrentes de tais desvios, garantido ao Colaborador amplo direito de defesa.

Os Colaboradores, desta forma, estarão sujeitos, entre outras, às penas de advertência, suspensão, desligamento, exclusão ou demissão por justa causa, ou, ainda, rescisão contratual, conforme o regime aplicável, sem prejuízo de eventuais outras medidas adicionais no âmbito cível e criminal que se fizerem cabíveis, que podem ser arbitradas pelo Encarregado ou por colegiado da Gestora que inclua o Encarregado.

2. PRINCIPAIS DEFINIÇÕES

(a) Dado Pessoal

Dado Pessoal é toda e qualquer informação relacionada a uma pessoa física que a torne diretamente identificada ou identificável. Assim, considera-se dado pessoal tanto uma informação que identifique diretamente uma pessoa física (ex.: nome, RG, CPF etc, conforme melhor mencionados abaixo), assim como um conjunto de informações que a torne identificável (ex.: gênero + profissão + cor do cabelo + cor dos olhos).

Nessa linha de raciocínio, os dados coletados de Clientes para fins do completo atendimento da Política de Prevenção à Lavagem de Dinheiro, Conheça seu Cliente e Cadastro da Gestora (“Política de PLD”), incluindo o seu Relatório Interno de Know Your Client constante da referida política são considerados Dados Pessoais, assim como os dados coletados através de quaisquer questionários, formulários e relatórios que tenham por objetivo a adequação de produtos ao perfil dos clientes da Gestora.

Ainda, os dados de Colaboradores, tais como nome, endereço, telefone, e-mail, telefone para contato, Carteira de Identidade – RG, CPF/ME, endereço, e-mail, telefone, número da carteira de trabalho, número de matrícula interna e outros, também são considerados Dados Pessoais, assim como os Dados Pessoais que tenham sido coletados de eventuais candidatos a vagas de trabalho na Gestora. Eventuais outras informações cadastrais prestadas por pessoas físicas também podem ser consideradas Dados Pessoais.

Poderão ser igualmente considerados como Dados Pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural, se identificada ou identificável (profiling), bem como aqueles coletados para fins de cadastro de potenciais Clientes (prospect), contrapartes, agentes envolvidos nas operações dos fundos e carteiras sob gestão e de prestadores de serviços, e aqueles utilizados para envio de e-mail de marketing e prospecção.

Ademais, as informações solicitadas por reguladores e autorreguladores, ou que lhes sejam de prestação contínua, referentes a pessoas físicas com relacionamento com a Gestora, também podem conter Dados Pessoais e deverão receber o Tratamento correspondente.

De forma geral, sempre que houver a coleta de informações relacionadas à pessoa física, essas informações serão consideradas Dados Pessoais para fins da legislação de proteção de dados, a LGPD.

No item 3.1 foram identificadas algumas situações comuns no âmbito da atividade de gestão de recursos desenvolvida pela Gestora.

(b) Dado Pessoal Sensível

Dado Pessoal Sensível é o Dado Pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à opção sexual, dado genético ou biométrico, quando vinculado a uma pessoa física.

Dessa forma, pode-se dizer que Dados Pessoais Sensíveis são informações que, de alguma forma, teriam o potencial de causar algum dano, inclusive discriminatório ao Titular caso haja um vazamento ou sejam acessados por terceiros.

(c) Dado Anonimizado

Dado relativo a Titular que não possa ser identificado, considerando a utilização de mecanismos de engenharia reversa e meios técnicos razoáveis e disponíveis na ocasião de seu Tratamento.

Para fins da LGPD, o dado anonimizado não é considerado como Dado Pessoal, de modo que, especificamente para esse tipo de dado, não será necessário observar as disposições da LGPD de controles e reportes.

(d) Banco de Dados

Banco de Dados é o conjunto estruturado de Dados Pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

(e) Titular

Titular é a pessoa física a quem se referem os Dados Pessoais que são objeto de Tratamento.

(f) Controlador

Controlador é a pessoa física ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao Tratamento (abaixo definido) de Dados Pessoais. Para fins deste Manual, exceto quando expressamente mencionado de forma diversa, a Gestora será a Controladora dos Dados Pessoais.

(g) Operador

Operador é pessoa física ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador.

A principal diferença entre o Controlador e o Operador está, justamente, na tomada de decisões. Assim, temos que ao Controlador caberá, efetivamente, a tomada de decisões acerca de como ocorrerá o Tratamento de Dados Pessoais (quando os dados serão tratados, de que forma serão tratados, quem estará envolvido nesse Tratamento, qual o período de Tratamento etc.). De outro lado, o Operador somente realizará o Tratamento de Dados Pessoais a mando do Controlador e mediante instruções deste, ficando obrigado a observar tais instruções, sob pena de responsabilização.

Alguns exemplos que podem ser considerados sobre a questão:

(I)Gestora (Controladora) que contrata sistema de controle de informações de Clientes (Operador) para armazenamento cadastral e controle do contato com o Cliente. Nesse caso, a empresa que administra o sistema de controle de informações seria o Operador pois está realizando o Tratamento dos Dados Pessoais dos Clientes a mando da Gestora; e

(II)Gestora (Controladora) que envia Dados Pessoais de seus funcionários (Colaboradores) para escritório de contabilidade (Operador) para operações trabalhistas, tais como elaboração da folha de pagamento, controle de faltas, recolhimentos previdenciários etc.

(h) Encarregado

Encarregado é a pessoa indicada pelo Controlador para atuar como canal de comunicação entre o Controlador, os Titulares dos dados e a Autoridade Nacional de Proteção de Dados – ANPD.

O Encarregado, também conhecido como “DPO” (Data Protection Officer), que poderá ser tanto uma pessoa física que integre ou não o quadro de colaboradores do Controlador como uma pessoa jurídica, será o agente responsável por funcionar como “ponte” entre o Controlador e os Titulares de Dados Pessoais, bem como entre o Controlador e a ANPD, órgão responsável por regular o tema da proteção de dados pessoais no Brasil.

Assim, o Encarregado será uma peça-chave com relação à proteção de dados pessoais, operando questões ligadas a essa temática no dia-a-dia da Gestora através da orientação de Colaboradores, emissão de guidelines internos, respostas a solicitações de Titulares de Dados Pessoais, entre outras atividades.

(i) Agentes de Tratamento

Os Agentes de Tratamento são o Controlador e o Operador.

(j) Tratamento

Tratamento é toda operação realizada com Dados Pessoais, como as que se referem a coleta, recepção, guarda, produção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

(k) Anonimização

É a utilização de meios técnicos razoáveis e disponíveis no momento do Tratamento, por meio dos quais determinado dado perde a possibilidade de associação, direta ou indireta, ao indivíduo.

Importante destacar que, para que um processo de anonimização seja considerado bem sucedido, não poderá haver sua reversão mediante utilização de esforços razoáveis, considerando o custo e tempo necessários para reverter o processo de anonimização, de acordo com as tecnologias disponíveis, e a utilização de meios próprios.

Além disso, deve considerar os dados que estão sendo tratados para que, ao fim do processo, eles não possam ser identificados quando consolidados com dados de bases públicas (ex.: existência de um único grande investidor de determinada categoria de investimento assim reconhecido pelo mercado, e a Gestora venha a divulgar dados do mesmo segmento só com um investidor).

(l) Consentimento

Consentimento é a manifestação livre, informada e inequívoca pela qual o Titular concorda com o Tratamento de seus Dados Pessoais e o autoriza para uma finalidade determinada.

Como se verá mais adiante, o Consentimento é uma das bases legais para o Tratamento de Dados Pessoais. Assim, sua coleta por parte do Controlador deverá ocorrer sempre em observância aos princípios que regem a LGPD, principalmente os princípios da finalidade, adequação, necessidade e transparência[1].

(m) Bloqueio

É a suspensão temporária de qualquer operação de Tratamento, mediante guarda do Dado Pessoal ou do Banco de Dados.

(n) Eliminação

Eliminação é a exclusão de Dado Pessoal ou de conjunto de Dados Pessoais armazenados em Banco de Dados, independentemente do procedimento empregado.

A principal diferença entre o Bloqueio e a Eliminação está no fato de que, no caso do Bloqueio, haverá um impedimento temporário para a realização de Tratamento de Dados Pessoais, oportunidade na qual o Controlador poderá manter armazenados os Dados Pessoais. De outro lado, na Eliminação, o Controlador será obrigado a excluir permanentemente os Dados Pessoais, sendo proibida sua manutenção ou armazenamento.

(o) Transferência Internacional de Dados

É a transferência de Dados Pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.

(p) Uso Compartilhado de Dados

Comunicação, difusão, transferência, Transferência Internacional, interconexão de Dados Pessoais ou Tratamento compartilhado de Bancos de Dados por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de Tratamento permitidas por esses entes públicos, ou então apenas entre entes privados, desde que autorizados, direta ou indiretamente, pelo Controlador, munido de Consentimento.

Nesse ponto, destaque-se que a circulação de dados entre empresas do mesmo grupo, porém com CNPJs diferentes, constituirá o uso compartilhado de dados.

Alguns exemplos de que podemos considerar como uso compartilhado de dados:

(I) Como já disposto acima, a Gestora (Controladora) que envia Dados Pessoais de seus funcionários (Colaboradores) para escritório de contabilidade (Operador) para operações trabalhistas, tais como elaboração da folha de pagamento, controle de faltas, recolhimentos previdenciários etc. Para esse compartilhamento, poderia ser utilizada a base legal de execução de contrato ou cumprimento de obrigação legal ou regulatória, a depender do caso concreto e das informações compartilhadas, nos termos descritos na LGPD e neste Manual; e

(II) Gestora (Controladora) que envia dados pessoais para assessor legal, contábil ou um economista (Operador). Para esse compartilhamento, caso haja envio de Dados Pessoais (aqueles que identifiquem ou tornem identificável uma pessoa física), também poderia ser utilizada a base legal de execução de contrato ou cumprimento de obrigação legal ou regulatória, a depender do caso concreto e das informações compartilhadas.

(q) Relatório de Impacto à Proteção de Dados Pessoais (RIPD)

O Relatório de Impacto à Proteção de Dados Pessoais (“Relatório” ou “RIPD”) é o documento elaborado pelo Controlador que contém a descrição dos processos de Tratamento de Dados Pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Ademais, referido Relatório será também obrigatório no caso de Tratamento envolvendo Dados Pessoais Sensíveis e, ainda, poderá ter sua elaboração requisitada pela ANPD no caso de Tratamento de Dados Pessoais que tiver como base o interesse legítimo do Controlador.

Tendo em vista as atividades exercidas pela Gestora, conforme descritas em seu objeto social e em suas Políticas e Manuais, a Gestora deverá elaborar o RIPD para os Dados Pessoais Sensíveis que tiverem como objetivo uso comercial da Gestora, tal como o oferecimento de produtos, a não ser que seja concedido expresso Consentimento dos Titulares envolvidos.

(r) Autoridade Nacional de Proteção de Dados (ANPD)

É o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.

A ANPD funcionará como o órgão regulador em matéria de proteção de dados no Brasil, estando vinculada à Presidência da República pelo prazo mínimo de 2 (dois) anos, possuindo autonomia técnica e decisória.

3. HIPÓTESES DE TRATAMENTO DE DADOS PESSOAIS

Fixados os principais conceitos no âmbito da LGPD, destaca-se que são hipóteses legais que permitem o Tratamento de Dados Pessoais aquelas dispostas no art. 7º da LGPD, a seguir descritas: (i) mediante o fornecimento de Consentimento pelo Titular; (ii) para o cumprimento de obrigação legal ou regulatória pelo Controlador; (iii) pela administração pública, para o Tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições da LGPD; (iv) para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; (v) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o Titular, a pedido do Titular dos dados; (vi) para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem); (vii) para a proteção da vida ou da incolumidade física do Titular ou de terceiro; (viii) para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; (ix) quando necessário para atender aos interesses legítimos do Controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do Titular que exijam a proteção dos Dados Pessoais; ou (x) para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Com base no acima indicado, a Gestora procedeu com a descrição neste Manual a respeito das principais hipóteses legais que permitem o Tratamento que, em seu melhor entendimento, poderão ser aplicáveis à sua atividade de gestão de recursos de terceiros, sem prejuízo das demais hipóteses previstas na LGPD.

Desde logo, vale mencionar que o Tratamento de Dados Pessoais deverá estar apoiado sempre em uma ou mais das bases legais que serão mencionadas abaixo, que são equivalentes entre si, ou seja, não há preponderância de uma sobre outra. Assim, destacase, preliminarmente, que a coleta do Consentimento somente será necessária quando o Tratamento dos Dados Pessoais não se enquadrar em outra hipótese legalmente prevista.

3.1. Situações Identificadas

No âmbito da atividade de gestão de recursos desenvolvida pela Gestora, foram identificadas as situações abaixo elencadas que, de forma geral, poderão ser objeto de Tratamento pela Gestora, na qualidade de Controlador, e, em sendo o caso, deverão observar as regras contempladas neste Manual:

I– Ativo

(a) Dados Pessoais obtidos no âmbito de operações e negociações em nome das carteiras sob gestão da Gestora, tais como os Dados Pessoais de colaboradores, sócios, administradores, funcionários ou estagiários da contraparte ou dos agentes envolvidos na operação, ou, ainda, relativos às empresas a serem investidas pelas carteiras sob gestão da Gestora.

II– Passivo

(a) Dados Pessoais de Clientes em prospecção ou que efetivamente invistam em cotas de fundos de investimento sob gestão da Gestora;

(b) Dados Pessoais de Clientes em prospecção ou que efetivamente contratem serviço de carteira administrada;

(c) Dados Pessoais de Clientes que a Gestora venha a ter acesso em decorrência de situações que a regulamentação em vigor, aplicável às suas atividades e nos limites da sua atribuição, imponha à Gestora o dever para tanto; e

(d) Dados Pessoais de Clientes em prospecção ou que efetivamente contratem serviço de gestão de patrimônio e consolidação de investimentos ou outros serviços eventualmente prestados pela Gestora, regulados ou não.

III– Coleta Interna

(a)Dados Pessoais de candidatos a vagas internas ou Colaboradores efetivamente contratados da Gestora.

IV– Terceiros Contratados e Parceiros

(a)Dados Pessoais de colaboradores, sócios, administradores, funcionários ou estagiários de prestadores de serviços em prospecção ou que venham a ser efetivamente contratados pela Gestora para suas atividades diárias (relacionadas ou não à atividade regulada de gestão de recursos) ou em nome das carteiras de valores mobiliários sob sua gestão.

Todos os Dados Pessoais recebidos no âmbito da atuação da Gestora devem ser tratados com proteção, observadas as regras da LGPD. Neste sentido, caso a Gestora receba Dados Pessoais como intermediária e não destinatária final daquele dado (por exemplo: caso a Gestora seja copiada em e-mail em que o investidor envia os Dados Pessoais ao distribuidor contratado), a Gestora, que não solicitou os dados, mas acabou os recebendo, também deve proteger os Dados Pessoais do cliente.

De mesma forma, caso os Colaboradores da Gestora propaguem Dados Pessoais aos quais a Gestora ainda não tinha acesso, por meio dos recursos disponibilizados aos Colaboradores para fins profissionais, como e-mail, internet, fax, telefone, a Gestora os tratará como dados incidentais e deverá avaliar a forma de Tratamento a ser dada, mediante a solicitação de Consentimento em documento apropriado, ou, alternativamente, a efetiva e completa Eliminação dos Dados Pessoais.

3.2. Principias Hipóteses de Tratamento

3.2.1. Consentimento do Titular

A obtenção de Consentimento por parte do Titular é uma das principais bases legais para o Tratamento de Dados Pessoais. Nessa hipótese, a pessoa física detentora dos Dados Pessoais concede ao Controlador a autorização livre, expressa, informada e inequívoca para o Tratamento de suas informações.

Assim, a primeira pergunta a ser respondida é: como obter um Consentimento considerado válido? E para iniciar essa análise, é importante entender que a concessão do Consentimento é um processo de tomada de decisão por parte do Titular.

Nesse sentido, o primeiro elemento qualificador para a obtenção de um Consentimento válido é, justamente, que o Titular seja informado a respeito do motivo objeto da solicitação e do que será feito com os seus Dados Pessoais, sendo certo que tais informações deverão estar absolutamente claras, adequadas e perceptíveis. Além disso, deve-se observar a qualidade dessas informações, tomando-se as devidas cautelas para que haja uma carga informacional suficiente ao Titular, evitando-se, sempre que possível, uma carga excessiva ou insuficiente de informações. Trata-se, com efeito, de um processo de mensuração das informações que serão transmitidas pelo Controlador até o Titular, inclusive, através de recursos visuais (vídeos, áudios, gráficos, tabelas etc.).

Adiante, o segundo elemento qualificador para obtenção do Consentimento válido é que a manifestação do Titular seja livre, o que significa dizer que este deverá ter poder decisório diante das opções que serão fornecidas pelo Controlador. Nesse caso, o que o Controlador deve evitar é, justamente, a aplicação da máxima de “tudo ou nada” com o Titular para o fornecimento do Consentimento, abrindo possibilidades para o fornecimento do que é conhecido como consentimento granularizado, onde o Titular poderá consentir de maneira fragmentada. De toda forma, sempre que o Tratamento dos dados pessoais for condição essencial para o fornecimento de um serviço ou produto, o Controlador deverá informar tal fato ao Titular de maneira destacada, informando, ainda, sobre como o Titular poderá exercer seus direitos previstos na LGPD.

Já o terceiro elemento qualificador do Consentimento válido é que ele seja inequívoco. Ou seja, o comportamento do Titular quanto ao fornecimento do Consentimento não deve ser manipulado, evitando-se, assim, com que o Consentimento seja concedido de maneira viciada ou precipitada por parte do Titular, o que, ao fim e ao cabo, tornaria essa coleta inválida.

Por fim, o quarto elemento qualificador para o fornecimento e obtenção do Consentimento válido é que ele seja específico e expresso. Ou seja, o Consentimento deve ser dado para Dados Pessoais específicos (ex.: nome, e-mail e CPF), para finalidades específicas (ex.: oferta de produtos personalizados) e sempre de forma expressa, valendo destacar, neste ponto, que: (I) caso o Consentimento seja fornecido por escrito, esse deverá constar de cláusula destacada das demais cláusulas contratuais; (II) cabe à Gestora, na qualidade de Controlador, o ônus da prova de que o Consentimento foi obtido em conformidade com o disposto na LGPD; e (III) não são admitidas autorizações genéricas para o Tratamento de Dados Pessoais, que serão consideradas nulas.

Feita tal análise acerca da obtenção do Consentimento de maneira válida pelo Controlador, insta destacar outros pontos importantes sobre essa hipótese legal de Tratamento de Dados Pessoais.

Com efeito, Dados Pessoais tornados manifestamente públicos pelo próprio Titular dispensam a exigência do Consentimento para o seu Tratamento, justamente diante da quebra da expectativa da privacidade. Entretanto, deverão sempre ser observados os direitos do Titular e os princípios previstos na LGPD, principalmente a finalidade e a boafé, bem como as demais obrigações previstas na Lei.

Além disso, caso o Controlador esteja realizando o Tratamento dos Dados Pessoais mediante obtenção de Consentimento e precise compartilhar os Dados Pessoais com terceiros, deverá obter o Consentimento do Titular para esse fim, exceto quando esse Consentimento for dispensável pela própria LGPD, inclusive nos termos descritos no item 3 acima e no item 3.2.2. abaixo.

Importante ainda enfatizar que, da mesma forma que o Titular poderá conceder o Consentimento, também poderá revogá-lo a qualquer momento, sempre mediante manifestação expressa e através de procedimento gratuito e facilitado a ser disponibilizado pelo Controlador. Nesse sentido, se houver mudanças da finalidade para o Tratamento de dados pessoais não compatíveis com o Consentimento original, por exemplo, o Controlador deverá informar previamente o Titular sobre tais mudanças, podendo o Titular revogar o Consentimento, caso discorde das alterações.

3.2.2. Cumprimento de obrigação legal ou regulatória pela Gestora

Por meio dessa base legal, a obtenção do Consentimento do Titular pelo Controlador estará dispensada sempre que o Tratamento de Dados Pessoais seja baseado em uma norma específica (lei, decreto, instrução, portaria, resolução etc.) que autorize esse Tratamento.

Nesse sentido, entidades que pertencem a setores regulados, como os próprios mercados financeiro e de capitais, que são regulados pelo Banco Central do Brasil (“Bacen”) e pela Comissão de Valores Mobiliários (“CVM”), poderão realizar o Tratamento de Dados Pessoais sem a necessidade de coleta do Consentimento por parte do Titular, desde que a finalidade do Tratamento seja exatamente aquela prevista na regulação.

Neste sentido, exemplificativamente, no âmbito da atividade de gestão de recursos de terceiros, caso a obtenção dos Dados Pessoais pela Gestora (Controlador) seja decorrente do cumprimento regulatório previsto (I) na Instrução CVM nº 617, de 5 de dezembro de 2019, conforme alterada (“ICVM 617”), para fins cadastrais e de prevenção à lavagem de dinheiro e combate ao terrorismo, ou (II) na Instrução CVM nº 539, conforme alterada (“ICVM 539”), para fins de verificação da adequação dos produtos, serviços e operações ao perfil do cliente, a coleta destes Dados Pessoais, bem como seu compartilhamento com os órgãos reguladores, quando determinado, dispensa a necessidade do Consentimento por parte do Titular, uma vez que existe norma específica determinando esse Tratamento.

Dessa forma, estão abrangidos nessa hipótese de Tratamento, por exemplo: (I) os Dados Pessoais de clientes coletados pela equipe responsável pelo relacionamento comercial direto com o cliente ou os Dados Pessoais de contrapartes coletados pela equipe responsável pela análise das operações para fins de negociação pelas carteiras sob gestão da Gestora, conforme Política de PLD e Cadastro da Gestora; e os (II) os Dados Pessoais de clientes coletados através de qualquer relatório, questionário ou formulário que tenha como objetivo o entendimento do perfil do cliente.

Ademais, cumpre mencionar que as regulamentações mencionadas acima contemplam informações mínimas a serem obtidas pelas instituições reguladas (como é o caso da Gestora), sendo que eventual solicitação de documentos e informações adicionais pela Gestora aos clientes, contrapartes e outros aplicáveis também poderá ser enquadrada dentro do conceito de cumprimento regulatório mencionado acima, desobrigando a Gestora da necessidade de obtenção do Consentimento do Titular, desde que a finalidade específica do Tratamento seja mantida, ou seja, desde que a Gestora possa comprovar que as informações foram obtidas especificamente para os fins determinados pela regulamentação aplicável.

Em havendo a terceirização de determinados serviços pela Gestora no âmbito das suas atividades reguladas, e desde que permitido pela regulamentação em vigor, por exemplo, a eventual guarda de documentos cadastrais e realização de providências para fins de PLDFT (como exemplo, “background check do cliente”), as empresas terceirizadas deverão seguir a legislação de proteção de dados (LGPD) e será importante que no contrato a ser firmado entre a Gestora e tais empresas, sejam contempladas cláusulas específicas, objetivas e claras sobre a observância da legislação aplicável. Neste caso, não haverá a necessidade de obtenção de Consentimento do cliente para a transmissão dos Dados Pessoais para a empresa terceirizada, aplicando-se a base legal de cumprimento de obrigação legal ou regulatória.

Ainda que não previsto diretamente na LGDP, de forma a evitar quaisquer questionamentos e visando à transparência como princípio norteador, a Gestora informará aos clientes sua intenção de contratar terceiros para prestação de serviços que envolvam a transmissão dos Dados Pessoais, ainda que com vistas ao estrito cumprimento da regulamentação, nos termos descritos neste item 3.2.2., hipótese em que, no entanto, o Consentimento seguirá não sendo obrigatório.

3.2.3. Execução de contrato ou procedimentos preliminares relacionados a contrato do qual seja parte o Titular, a pedido do Titular dos dados

Com efeito, essa base legal deve ser utilizada sempre que, para cumprir uma obrigação prevista em um contrato do qual seja parte o Titular, a pedido do Titular dos dados, os Agentes de Tratamento devam realizar o Tratamento de Dados Pessoais.

A título exemplificativo, eventualmente poderá ser imposta à Gestora determinada obrigação contratual em decorrência de regras previstas nas diretrizes de autorregulação ou mesmo obrigações específicas decorrentes de contrato a ser firmado entre a Gestora e o cliente (no caso, o Titular dos Dados Pessoais) em contratos de gestão de patrimônio financeiro, notadamente no que se refere a ativos não financeiros, ficando o Tratamento pela Gestora (na qualidade de Controlador) nestes casos resguardado pela hipótese prevista no presente item.

3.2.4. Exercício regular de direitos em processo judicial, administrativo ou arbitral

Nessa hipótese, o Tratamento de Dados Pessoais no âmbito de ações judiciais, processos administrativos ou arbitrais dispensa a necessidade de coleta do Consentimento, tanto com relação à parte que moverá o processo quanto à parte adversa.

Assim, a título exemplificativo, caso um Agente de Tratamento pessoa jurídica tenha a necessidade de mover uma ação judicial em face de uma pessoa física Titular de Dados Pessoais, poderá utilizar essa base legal para o Tratamento dos Dados Pessoais no âmbito desse processo, exclusivamente para esse fim. Referido entendimento também se aplica aos casos em que a Gestora necessitar se utilizar dos Dados Pessoais de clientes no âmbito de processos administrativos movidos pela CVM.

3.2.5. Interesses Legítimos do Controlador

O Tratamento de Dados Pessoais para atender aos Interesses Legítimos do Controlador requer atenção especial por este para a sua utilização de forma a evitar subjetividades e cumprir com o conceito legal.

De início, destaque-se que o legítimo interesse deve sempre realizar um balanço entre: (I) a proteção de direitos fundamentais do Titular; e (II) a finalidade comercial em garantir novos usos a um conjunto de Dados Pessoais.

Dessa forma, sempre que o Tratamento de Dados Pessoais tiver como base o legítimo interesse do Controlador, deverá ser realizado e mantido teste de proporcionalidade (art. 37 da LGPD), conhecido como LIA (Legitimate Interest Assessment), cujos pontos de análise podem ser verificados no art. 10 da Lei, constituído basicamente por 4 (quatro) etapas:

Etapa 1 – Legitimidade do Interesse: a finalidade do uso dos Dados Pessoais deve ser legítima, ou seja, não deve ser proibida por lei.

Além disso, deve haver uma situação concreta e presente para o uso dos dados com base no legítimo interesse, em alinhamento com a finalidade do Tratamento, sendo vedado o Tratamento para situações futuras e abstratas.

Etapa 2 – Necessidade: somente deverão ser coletados os Dados Pessoais estritamente necessários para aquela determinada finalidade baseada no legítimo interesse, observandose se poderiam ser utilizadas outras bases legais disponíveis para a manutenção desses dados.

Etapa 3 – Balanceamento: a finalidade não pode ofender as legítimas expectativas do Titular, ofendendo seus direitos e liberdades fundamentais.

Etapa 4 – Salvaguardas: deverá haver absoluta transparência, por parte do Controlador, com relação ao uso da base legal do legítimo interesse, justamente a fim de que o Titular possa ter mecanismos de oposição quanto a esse Tratamento (opt-out), mecanismo este que deverá ficar claro e em documentos públicos para acesso e conhecimento pelos Titulares, nos quais se detalhará, minimamente, as finalidades de uso das bases de dados coletadas (o que não se trata de Consentimento, mais sim de transparência quanto à informação).

Além disso, também será necessária uma análise acerca da mitigação de riscos, como por exemplo a possibilidade de anonimização dos Dados Pessoais tratados com base no legítimo interesse.

Isto posto, feito esse teste de proporcionalidade e verificada a real existência do interesse legítimo por parte do Controlador, tem-se que a base legal do legítimo interesse pode ser utilizada para uma série de atividades (ex.: prevenção a fraudes, monitoramento de empregados, checagem de antecedentes, fusões e aquisições etc.).

Ainda, importante destacar que a ANPD poderá solicitar ao Controlador a elaboração de Relatório quando o Tratamento dos dados tiver como base o legítimo interesse. Assim, conforme já mencionado no Item 2.17 acima, entende-se que a Gestora, de maneira proativa, deverá realizar e arquivar esse Relatório para que, em sendo demandada pela ANPD, possa prontamente apresentá-lo, evitando fiscalizações e eventuais imposições de penalidades. Além disso, deve-se atentar para a divulgação das finalidades de Tratamento dos Dados Pessoais aos seu Titulares, por meio de informes/contratos/termos.

3.2.6. Proteção ao crédito

Embora mais de 100 (cem) países possuam sistemas de proteção de Dados Pessoais considerados adequados, tem-se a notícia de que o Brasil é o único país que possui uma hipótese legal específica para o tratamento de Dados Pessoais para fins de proteção ao crédito.

Nesse caso, o Consentimento do Titular estará dispensado uma vez que os Dados Pessoais (dados de adimplemento, inadimplemento, histórico de pagamentos etc.) serão tratados com a finalidade de proteção ao crédito, inclusive quanto ao disposto na legislação pertinente (Código de Defesa do Consumidor, Lei do Cadastro Positivo, Lei de Sigilo das Instituições Financeiras etc.).

Entretanto, alguns cuidados são necessários ao realizar o Tratamento dos Dados Pessoais a partir dessa base legal: (I) deve-se tratar somente os Dados Pessoais estritamente necessários e adequados àquela finalidade legítima; e (II) a ausência de necessidade do Consentimento não exime a necessidade de informação ao Titular, que deverá ser notificado sobre o Tratamento desses dados.

4. HIPÓTESES DE TRATAMENTO DE DADOS PESSOAIS SENSÍVEIS

Entendidas as hipóteses de Tratamento de Dados Pessoas ordinários, passamos à análise das possibilidades de Tratamento de Dados Pessoais considerados sensíveis, conforme conceituado no Item 2.2 acima.

Desde logo vale destacar que se trata de um sistema mais rígido para o Tratamento dos Dados Pessoais, justamente pelo grau de importância e sensibilidade das informações que, caso tornadas públicas indevidamente, poderiam causar algum tipo de discriminação do Titular.

Nesse sentido, diferentemente do que ocorre com os Dados Pessoais ordinários, a regra geral para o Tratamento de Dados Pessoais Sensíveis é, justamente, a obtenção do Consentimento por parte do Titular. Assim, sempre que possível e desde que não seja excessivamente oneroso (levando-se em conta o custo, tempo e tecnologia disponível), o Controlador deverá obter tal Consentimento. De outro lado, em não sendo possível ou em sendo excessivamente onerosa essa obtenção, o Controlador poderá valer-se das outras hipóteses legais.

No caso do Tratamento de Dados Pessoais Sensíveis, o Consentimento a ser obtido pelo Controlador deverá ser específico, destacado e para finalidades específicas, outorgando ao Titular um controle efetivo sobre o que será feito com suas informações sensíveis.

Dessa forma, tem-se que o Consentimento, neste caso, é mais rígido e limitado, aplicandose de forma ainda mais rigorosa os elementos qualificadores do Consentimento mencionados no Item 3.1 acima.

Ao contrário, caso a obtenção desse Consentimento não seja possível ou seja demasiadamente onerosa levando-se em conta o custo, tempo e tecnologia disponível, o Controlador poderá realizar o Tratamento de Dados Pessoais Sensíveis sem o Consentimento nas hipóteses em que for indispensável e apenas para: (i) cumprimento de obrigação legal ou regulatória pelo Controlador; (ii) execução de políticas públicas, pela administração pública; (iii) estudos por órgãos de pesquisa; (iv) exercício regular de direitos em processo judicial, administrativo ou arbitral; (v) proteção da vida ou da incolumidade física do Titular ou de terceiro; (vi) tutela da saúde; e (vii) garantia de prevenção à fraude e à segurança do Titular, observadas as informações dispostas acima no âmbito de cada uma das bases legais, respectivamente.

5. TÉRMINO DO TRATAMENTO DE DADOS PESSOAIS

Realizado o Tratamento dos Dados Pessoais de acordo com a LGPD, tem-se que o término desse Tratamento ocorrerá nas seguintes hipóteses:

(I)Atingimento da finalidade para a qual os dados foram tratados, onde o Controlador verificará que o objetivo do tratamento dos dados já foi alcançado e que esse tratamento não é mais necessário;

(II)Verificação de que os dados deixaram de ser necessários ou pertinentes para determinada finalidade, onde o Controlador, embora não tenha atingido o objetivo almejado, verificará que aqueles determinados Dados Pessoais não são mais necessários ou úteis para a finalidade específica anteriormente desejada;

(III)Fim do período de Tratamento, nos casos em que os dados pessoais são tratados durante um intervalo de tempo determinado;

(IV)Comunicação do Titular, inclusive pela revogação do Consentimento anteriormente fornecido, oportunidade na qual o Controlador, independentemente de ter atingido ou não a finalidade almejada, deverá cessar o Tratamento dos dados pessoais a pedido do Titular; e

(V)Determinação da ANPD, sempre que houver o Tratamento de Dados Pessoais em desacordo com a LGPD.

Assim, uma vez terminado o Tratamento dos Dados Pessoais, estes deverão, como regra, ser eliminados. Entretanto, a própria LGPD permite sua preservação para as seguintes finalidades:

(I)Cumprimento de obrigação legal ou regulatória pelo Controlador. Nesse caso, em havendo norma que determine a conservação de determinados Dados Pessoais por determinado período, é permitido ao Controlador a manutenção desses dados, sendo vedado, porém, seu uso para qualquer finalidade diversa. Alguns exemplos que podemos considerar para esta situação:

(a)Obrigação da Gestora de arquivamento de documentos e declarações exigidas em sua Política de Prevenção e Combate à Lavagem de Dinheiro, Conheça o seu Cliente e Cadastro e outras, pelo prazo mínimo de 5 (cinco) anos ou por prazo maior, se distintamente previsto em alguma política específica, contados a partir do cadastro ou da última atualização cadastral, ou da detecção da situação atípica, podendo esse prazo ser sucessivamente estendido por determinação da CVM, podendo tais documentos e declarações serem guardados em meio físico ou eletrônico, admitindo-se a substituição de documentos pelas respectivas imagens digitalizadas; e

(b)Obrigação da Gestora de arquivamento, por determinado período, das informações acerca de Colaboradores para fins de comprovação de quitação de direitos trabalhistas, previdenciários e societários, conforme aplicável.

(II)Transferência a terceiro. É lícita a manutenção dos Dados Pessoais, mesmo após o término do Tratamento, para sua transferência a terceiro, tal como para fins de Transferência Internacional e Uso Compartilhado de Dados. Entretanto, todos os requisitos de Tratamento previstos na LGPD deverão continuar a ser observados por esse terceiro.

(III)Uso exclusivo do Controlador. Ao Controlador será permitida a manutenção dos Dados Pessoais tratados, mesmo após o término do Tratamento, desde que o acesso seja absolutamente vedado por terceiros e haja um processo de anonimização dos Dados Pessoais. A esse respeito, vale destacar que a LGPD não dispõe acerca do processo de anonimização que deverá ser utilizado, ficando este a critério exclusivo do Controlador, sendo certo que o processo de anonimização não pode ser revertido por meio de engenharia reversa. São exemplos de processos de anonimização a generalização.

6. DIREITOS DOS TITULARES DE DADOS PESSOAIS

A Lei traz um rol de direitos dos Titulares de Dados Pessoais e a Gestora, na qualidade de Controlador, deve estar preparada para cumprir eventuais requisições advindas desses Titulares, através de procedimentos definidos para cada hipótese.

As informações e os dados poderão ser fornecidos, a critério do Titular, por meio eletrônico, seguro e idôneo para esse fim ou sob forma impressa.

Além disso, é responsabilidade do Controlador informar de maneira imediata aos Agentes de Tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimizac ão ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.

Vale ressaltar que os direitos dos Titulares não são absolutos. Por exemplo, o Controlador deverá manter certos Dados Pessoais para fins de cumprimento de obrigação legal ou regulatória, conforme mencionado no item 5 acima. Nessa hipótese, o Titular dos dados não poderá requerer a eliminação das informações, vez que há imposta uma obrigação regulatória de manutenção dos dados pelo Controlador. Entretanto, é importante destacar que o Controlador não poderá utilizar os dados armazenados para qualquer outra finalidade que não a de cumprir com a obrigação regulatória existente.

Assim, passa-se à análise específica sobre os direitos de titulares de Dados Pessoais previstos na LGPD, que sempre devem ser exercidos de forma facilitada, ou seja, mediante simples requisição:

6.1. Confirmação de existência e acesso

O Titular dos Dados Pessoais poderá requerer da Gestora a confirmação de existência ou de acesso a Dados Pessoais e a Gestora deverá providenciar tais informações imediatamente, em formato simplificado, ou por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial.

A Gestora tem o prazo de até 15 (quinze) dias para fornecer as informações ao Titular, contados da data do requerimento do Titular. Para setores específicos, a ANPD poderá dispor de forma diferenciada acerca do prazo previsto.

6.2. Correção

O Titular dos Dados Pessoais poderá requerer à Gestora a correção de dados incompletos, inexatos ou desatualizados.

6.3. Anonimização, bloqueio ou eliminação

O Titular dos Dados Pessoais poderá requerer a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD.

Por desnecessários e excessivos entendem-se os dados que não são mais úteis para a finalidade de Tratamento específica anteriormente desejada.

6.4. Portabilidade

O Titular poderá solicitar a portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da ANPD.

Nessa hipótese, deverão ser mantidos em sigilo os segredos comercial e industrial da Gestora.

Ressalta-se que os dados que foram anonimizados pela Gestora não serão incluídos na portabilidade.

Por fim, importante destacar que mesmo no caso de portabilidade a Gestora deverá manter os Dados Pessoais para fins de cumprimento da regulamentação em vigor aplicável, conforme prazo expressamente ali previsto.

6.5. Eliminação dos dados tratados com Consentimento

Considerando que o Consentimento pode ser revogado a qualquer momento mediante manifestação expressa do Titular, através de procedimento gratuito e facilitado, a Eliminação dos Dados Pessoais deve ocorrer imediatamente.

No entanto, está autorizada a conservação nas seguintes hipóteses: (I) Dados Pessoais obtidos para o cumprimento de obrigação legal ou regulatória pela Gestora; (II) para a transferência a terceiro, tal como para fins de Transferência Internacional e Uso Compartilhado de Dados, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou (III) para uso exclusivo da Gestora, vedado seu acesso por terceiro, e desde que anonimizados os dados.

6.6. Informação sobre Uso Compartilhado de Dados

Como já vimos, o Uso Compartilhado de Dados é a comunicação, a difusão, a transferência, a Transferência Internacional, a interconexão de Dados Pessoais ou Tratamento compartilhado de Bancos de Dados Pessoais por órgãos e entidades públicos, no cumprimento de suas competências legais, ou entre órgãos e entidades públicos e entes privados, ou apenas entre entes privados, com autorização específica, para uma ou mais modalidades de tratamento delegados por esses entes públicos.

É direito do Titular dos Dados Pessoais ser informado de forma clara sobre o compartilhamento de seus dados com terceiros pelo Controlador. Nesse ponto, destaquese que a circulação de dados entre empresas do mesmo grupo, porém com CNPJs diferentes, constituirá o Uso Compartilhado de Dados.

6.7. Informação sobre o não fornecimento de Consentimento

O Titular de Dados Pessoais tem o direito de ser informado, mediante requisição, sobre a possibilidade de não fornecer Consentimento e sobre as consequências dessa negativa, incluindo a impossibilidade de prestação de serviços específicos pela Gestora.

6.8. Revogação do Consentimento

O Titular de dados possui o direito de revogar, a qualquer momento, mediante manifestação expressa, por procedimento gratuito e facilitado, o Consentimento anteriormente fornecido.

Caso ocorra qualquer mudança da finalidade para o Tratamento de dados obtidos através da base legal do Consentimento e se essa nova finalidade não seja mais compatível com o Consentimento originalmente fornecido pelo Titular, este deve ser imediatamente informado e possui o direito de revogar o Consentimento.

Ressalta-se que, revogar o Consentimento não obriga a Gestora a desfazer tratamentos ocorridos antes dessa revogação e que obedeceram às autorizações até então fornecidas pelo Titular, bem como não tem o condão de obrigar a Gestora a eliminar dados cuja guarda seja determinada por lei ou regulamentação aplicável, como já descrito neste Manual.

7. TRANSFERÊNCIA INTERNACIONAL DE DADOS

A Transferência Internacional de Dados Pessoais só poderá ser realizada para países que possuem leis de proteção de dados com nível de proteção aos dados equivalente ao da lei brasileira.

A transferência pode acontecer quando for necessária a cooperação entre órgãos públicos de inteligência de diferentes países para fins de investigação e processamento penal, ou quando a transferência for necessária para cumprimento de determinação legal ou regulatória pelo Controlador, quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato, para o exercício regular de direitos em processo judicial, administrativo ou arbitral ou para a execução de políticas públicas ou demandas legais do serviço público.

Além disso, a Transferência Internacional de Dados também poderá ocorrer quando o Controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos na LGPD, na forma de: a) cláusulas contratuais específicas para determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos ou quando o Titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades.

Dessa forma, a Gestora tem o dever de assegurar o cumprimento desses princípios por meio de cláusulas contratuais, certificados e outras comprovações reconhecidas.

A título exemplificativo, mencione-se o pedido de identificação da Ultimate Benefitial Ownership (UBO) por parte de autoridade pública estrangeira. Nesse caso, a Transferência Internacional de Dados estaria autorizada pela própria LGPD, conforme seu art. 33, inciso IX.

8. RESPONSABILIDADES DOS AGENTES DE TRATAMENTO DE DADOS

Os Agentes de Tratamento são o Controlador e o Operador de dados, conforme definidos nos itens 2.6 e 2.7 acima, e a eles recaem responsabilidades.

Os Agentes de Tratamento de Dados Pessoais devem realizar o Tratamento de forma lícita e com a segurança que o Titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais: (I) o modo pelo qual é realizado; (II) o resultado e os riscos que razoavelmente dele se esperam; (III) as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Nos termos da LGPD, a Gestora ou o Operador que, em razão do exercício de atividade de Tratamento de Dados Pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de Dados Pessoais, é obrigado a repará-lo, ressalvadas as exceções legais.

A Gestora, no âmbito de suas responsabilidades e nos termos aqui descritos, providencia de forma diligente o adequado Tratamento dos Dados Pessoais que tenha acesso, adotando medidas de segurança, técnicas e administrativas aptas a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de Tratamento inadequado ou ilícito, contando com todos os sistemas, procedimentos, testes e mecanismos tecnológicos descritos na Política de Segregação, Confidencialidade e Segurança da Informação da Gestora.

Importante destacar que cabe à Gestora, na qualidade de Controlador, comunicar à ANPD e ao Titular de Dados Pessoais quaisquer incidentes de segurança que possa acarretar risco ou dano relevante ao Titular.

Por fim, caso a Gestora, na qualidade de Controlador, venha a se utilizar de Operador terceiro para o Tratamento de Dados Pessoais, será este o responsável pelo referido Tratamento, em nome da Gestora.

Desta forma, e nos termos da LGPD, o Operador será responsável solidário (pela totalidade da obrigação) por evento danoso quando desobedecer aos comandos lícitos do Controlador ou descumprir as determinações da LGPD, salvo nos casos de exclusão previstos na lei, citados neste Manual.

9. ENCARREGADO DE DADOS PESSOAIS

O Encarregado será indicado pela Gestora, na qualidade de Controlador, e as informações de contato deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do Controlador. Assim, caso o Titular queira entrar em contato com a Gestora, será possível.

O Encarregado possui algumas atividades específicas, tais como, aceitar reclamações e comunicações dos Titulares, prestar esclarecimentos e adotar providências, receber comunicações da ANPD e adotar providências, orientar os Colaboradores a respeito das práticas a serem tomadas em relação à proteção de Dados Pessoais e executar as demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares.

10. SEGURANÇA E SIGILO DOS DADOS

10.1. Segurança da Informação

A segurança da informação prevista na LGPD, em relação aos Dados Pessoais, mesmo após seu término, é responsabilidade dos Agentes de Tratamento de Dados Pessoais ou qualquer outra pessoa que intervenha no tratamento.

A Gestora possui Política de Segregação, Confidencialidade e Segurança da Informação que abrange também os Dados Pessoais de Clientes que sejam tratados pela Gestora e trazem as medidas estabelecidas para o caso de vazamento destes dados. O melhor tratamento dos Dados Pessoais de Clientes, nos termos deste Manual e princípios da Gestora, são observadas desde a fase de concepção do produto (privacy by design) ou do serviço, até sua execução.

A ANPD poderá dispor sobre padrões mínimos para proteção dos dados, consideradas a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia.

10.2. Incidentes de dados

Cabe à Gestora, na qualidade de Controlador, comunicar à ANPD e ao Titular de Dados Pessoais quaisquer incidentes de segurança que possam acarretar risco ou dano relevante ao

Titular. Essa comunicação deve ser realizada em prazo razoável (a ser definido pela ANPD).

Por sua vez, na comunicação à ANPD será mencionada a descrição da natureza dos dados pessoais afetados, as informações sobre os Titulares envolvidos, a indicação das medidas técnicas e de segurança utilizadas para a proteção dos Dados Pessoais, observados os segredos comercial e industrial, os riscos relacionados ao incidente, os motivos da demora, no caso de a comunicação não ter sido imediata, e as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

A ANPD poderá determinar à Gestora que divulgue o fato em meios de comunicação e que adote medidas para reverter ou mitigar os efeitos do incidente.

10.3. Programa de boas práticas e governança em proteção de Dados Pessoais

A adoção de políticas de boas práticas e governança de dados aqui definidas, bem como as demais estabelecidas na Política de Segregação, Confidencialidade e Segurança da Informação, auxilia a Gestora a cumprir suas obrigações perante a legislação de proteção de dados e reforça os esforços nesse sentido.

Todas as ações relacionadas à governança de Dados Pessoais na Gestora devem ser documentadas e mantidas em arquivo para, se necessário, serem apresentados à ANPD.

As regras de boas práticas e de governança foram formuladas neste Manual e deverão ser publicadas e atualizadas periodicamente, assim como poderão ser reconhecidas e divulgadas pela ANPD.

10.3.1. Privacidade desde a concepção e por padrão (Privacy by Design e Privacy by Default)

Com a introdução das regras da LGPD, qualquer sistema ou solução deve ser pensada observando a proteção dos Dados Pessoais dos clientes, desde o início, ou seja, desde a concepção do produto. O conceito do Privacy by Design possui 7 (sete) princípios:

Proatividade e não reatividade: Prevenção é o lema. Tudo o que pode ser feito para proteger Dados Pessoais deve ser adotado. Antecipar/prevenir situações de invasão de privacidade é melhor do que remediar.

Privacidade como padrão: O sistema/produto/serviço deve trazer a privacidade dos clientes, garantindo que eles não precisem ajustar nenhuma configuração para seus dados estarem seguros. Esse princípio pode ser chamado de Privacy by Default.

Privacidade incorporada ao projeto: A privacidade e proteção dos Dados Pessoais deve ser incorporada à elaboração do design do projeto. Cada arquitetura de sistemas deve ser pensada com viés da proteção de dados, desde a concepção.

Funcionalidade total: A funcionalidade de um sistema ou plataforma não pode ser prejudicada ou comprometida pela incorporação da privacidade dos dados. O objetivo é ter ambos: funcionalidade e proteção.

Segurança: Durante todo o ciclo de vida dos dados, fortes medidas de segurança deverão ser tomadas, desde a coleta do dado até seu compartilhamento com terceiros ou eliminação.

Visibilidade e transparência: Importante para criar a confiança dos clientes. A transparência e visibilidade podem ser passadas através da Política de Segregação, Confidencialidade e Segurança da Informação, que mostrará como a sua empresa vai conduzir a gestão de dados próprios e dos dados pessoais dos seus clientes.

Respeito pela privacidade do usuário: A Gestora deve respeitar a privacidade do usuário, com medidas fortes na proteção dos Dados Pessoais. Todo sistema/plataforma ou prática de negócio deve respeitar a privacidade dos usuários. Processos internos, procedimentos e políticas adequadas devem demonstrar as soluções centradas no usuário.

10.3.2. Controle dos dados pessoais

A Gestora, na qualidade de Controlador, é responsável pela guarda dos Dados Pessoais coletados e armazenados em seus sistemas, sendo que os Dados Pessoais devem ser tratados com base nas hipóteses permitidas na legislação.

Nas hipóteses em que o Tratamento de dados não tiver sido previamente mapeado pela Gestora, o Encarregado deverá ser acionado para definir as providências a serem tomadas para garantir o correto tratamento dos Dados Pessoais.

10.3.3. Normas de segurança e padrões técnicos

De acordo com a LGPD, é obrigação legal da Gestora adotar medidas de segurança, técnicas e administrativas aptas a proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

As medidas de segurança devem ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

As normas de segurança e padrões técnicos para o gerenciamento de riscos de segurança cibernética e para mitigação de riscos estão previstos na Política de Segregação, Confidencialidade e Segurança da Informação da Gestora.

10.3.4. Ações educativas

O treinamento dos Colaboradores será realizado ordinariamente a cada 12 meses, ou extraordinariamente, a critério do Encarregado, em periodicidade inferior, sendo obrigatório a todos os Colaboradores. Após cada treinamento, será circulada lista de presença para controle dos presentes, ainda que digital, que deverá demonstrar a participação de todos os Colaboradores, sendo certo que as listas de presença permanecerão arquivadas pela Gestora por, pelo menos, 5 (cinco) anos.

Quando do ingresso de um novo Colaborador, o Encarregado entregará ao novo Colaborador um exemplar deste Manual para conhecimento, o qual deverá declarar sua ciência e cumprimento das regras aqui previstas, por meio do Termo de Compromisso, conforme Anexo I à Política de Compliance, Procedimentos e Descrição dos Controles Internos. O Encarregado poderá conforme entender necessário, promover treinamentos esporádicos visando manter os Colaboradores constantemente atualizados em relação ao presente Manual.

A Gestora poderá contratar profissionais especializados para conduzirem o treinamento inicial e programas de reciclagem, devendo esses profissionais especializados serem recomendados e/ou aprovados pelo Encarregado.

11. PENALIDADES

A LGPD estabelece que as sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios, dentre outros: (I) a gravidade e a natureza das infrações e dos direitos pessoais afetados; (II) boa-fé do infrator; (III) grau do dano; (IV) cooperação do infrator; (V) existência de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados; e (VI) adoção de política de boas práticas e governança.

As penalidades para quem não seguir as disposições da lei podem ser: (I) advertência, com indicação de prazo para adoção de medidas corretivas; (II) multa simples, de ate 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos e limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; (III) multa diária limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; (IV) publicizac a o da infração; (V) bloqueio dos Dados Pessoais; e (VI) eliminação dos Dados Pessoais.

12. HISTÓRICO DE ATUALIZAÇÕES

A primeira versão desse Manual foi elaborada em Novembro de 2020 levando em consideração as normas e disposições aplicáveis publicadas à época. Na hipótese de alteração ou atualização legislativa, será emitida nova versão contemplando as novas disposições.

O presente Manual deverá ser revisto sempre que necessário em razão de mudanças regulatórias ou eventuais deficiências encontradas.

Histórico das atualizações desta Política

Data: Novembro de 2020

Versão: 1ª e atual

Responsável: Encarregado, nomeado nos termos desta Política

[1] Sobre os princípios, aplica-se o artigo 6º da LGPD.