1 – INTRODUÇÃO
A presente Política de Proteção e Privacidade de Dados Pessoais foi elaborada em obediência aos ditames da Lei Geral de Proteção de Dados Pessoais (LGPD), Lei Federal nº. 13.709/2018, e tem por objetivo tornar transparentes as diretrizes de conformidade adotadas para a proteção e privacidade dos dados pessoais tratados por MARAZUL CORRETORA DE SEGUROS LTDA.., inscrita no CNPJ/MF 15.060.413/0001-39, com sede na Av. Winston Churchill, 2262 – Sala 17 – Capão Raso, Curitiba – PR, CEP 81150-050.
2 – DO SISTEMA DE CONFORMIDADE COM A LGPD
Para o atingimento da conformidade com a referida legislação, a Companhia empenhou os seus maiores e melhores esforços, e implementou um sistema de gestão que, dentre outras atividades, conduziu auditorias, realizou o mapeamento de todas as atividades de tratamento de dados realizadas, estabeleceu metas para a proteção e privacidade de dados pessoais, nomeou o encarregado de proteção de dados, implementou diversas medidas técnicas e operacionais (incluindo-se controles de acessos adequados, controles de transferências, controles de logbooks, controles de atribuições de transferências, controles de tecnologia e segurança da informação, de segregação de dados e controles organizacionais). Tais atividades estão registradas e evidenciadas em ferramenta de governança de dados específica, contratada e manutenida pela Companhia.
Além disso, a Companhia disponibilizou capacitação e ciência inequívoca acerca de todas as normas legais e internas que envolvem a proteção e a privacidade de dados pessoais, ratificando o comprometimento expresso e individual de todo o seu Pessoal (aqui entendidos como todos aqueles que direta ou indiretamente realizam o tratamento de dados pessoais em nome ou à mando da Companhia) pela licitude e conformidade de suas operações. Ademais, todas as relações contratuais afetadas foram mapeadas e estão sendo continuamente adaptadas, individualmente.
3 – A QUEM SE APLICA
Esta Política se aplica aos: empregados e colaboradores da Companhia; prestadores de serviço e terceiros, sejam eles pessoas físicas ou jurídicas que atuem(am) para ou em nome da Companhia em operações que envolvam tratamento de dados pessoais; aos agentes de tratamento de dados pessoais externos que de qualquer forma se relacionem(am) com a Companhia; aos titulares de dados pessoais, cujos dados são tratados pela Companhia e; aos sócios e dirigentes da Companhia. Todos eles devem se comprometer a perseguir as diretrizes estabelecidas pela Lei e pela Companhia.
4 – ABRANGÊNCIA DE ESCOPO
Ela contém informações a respeito do modo como a Companhia trata, total ou parcialmente, de forma automatizada ou não, os dados pessoais dos “titular(es)” que com ela interagem, incluindo todo o nosso Pessoal (assim entendidos todos aqueles que de alguma forma representam a Companhia, com ou sem mandato, como sócios, colaboradores, prestadores de serviço e parceiros de negócio), assim como os usuários de nossos sites e aplicações, clientes de nossos serviços e produtos, dentre outras partes de relacionamento eventualmente afetadas.
5 – DAS ATIVIDADES ECONOMICAS DESENVOLVIDAS PELA COMPANHIA
A Companhia tem por objetivo social a prestação de serviços de corretagem e administração de seguros e a prestação de consultoria, exercendo as seguintes atividades econômicas, de acordo com o seu contrato social:
- CNAE: 6511-1/01 Sociedade seguradora de seguros vida (os planos de seguro que, com base na duração da vida humana, visem garantir, a segurados ou terceiro, pagamento, dentro de determinado prazo e condições, de quantia certa, renda ou outro benefício);
- CNAE: 6450-6/00 Sociedades de capitalização (as atividades de intermediação financeira envolvendo a negociação de contratos -títulos de capitalização – que preveem depósitos periódicos de prestações por parte do contratante e dão ao mesmo o direito de resgatar parte dos valores depositados corrigidos à uma taxa de juros e o direito de concorrer a sorteios de prêmios em dinheiro);
- CNAE: 6622-3/00 Corretores e agentes de seguros, de planos de previdência complementar e de saúde;
- CNAE: 6550-2/00 Planos de saúde (os planos com cobertura de riscos, parcial ou total, na área de assistência à saúde-médico-hospitalar e odontológica- comercializados pelas empresas de Medicina de Grupo, Cooperativas Médicas, Sistemas de Autogestão e Empresas de Administração);
- CNAE: 6512-0/00 Sociedade seguradora de seguros não vida (os seguros de ramos elementares, que são os que visam a garantir a cobertura total ou parcial de perdas e danos, ou responsabilidades provenientes de riscos de fogo, transporte, acidentes pessoais e outros eventos que possam ocorrer afetando pessoas, coisas e bens, responsabilidades, obrigações, garantias e direitos).
A Companhia poderá tratar dados pessoais em todas as atividades empresariais acima relacionadas.
6 – DETALHAMENTO DAS ATIVIDADES DE TRATAMENTO
Informações detalhadas acerca de cada atividade de tratamento, incluindo o departamento responsável, a descrição da atividade, o(s) princípio(s) e a(s) finalidade(s), a(s) base(s) legal(is), a categoria dos titulares e dos dados coletados, a fonte dos dados, o local de armazenamento, o tempo previsto para a exclusão/eliminação dos dados, as medidas técnicas e organizacionais aplicáveis e as partes (internas e externas) envolvidas, assim como a avaliação de risco e impacto de incidente de proteção de dados, estão organizadas e registradas na ferramenta de governança de dados da Companhia e acessíveis ao Titular mediante solicitação, que deverá ser endereçada na forma descrita doravante, ao encarregado de dados da Companhia.
É importante destacar que a Companhia não é a responsável pelas atividades de tratamento de dados pessoais executadas de forma autônoma e independente por seguradoras e administradoras de benefícios. Caso o titular queira tratar destas atividades de tratamento de dados pessoais, deverá se utilizar dos canais apropriados e disponibilizados por estas Companhia, diretamente.
7 – EXERCÍCIO DO DIREITO DO TITULAR DE DADOS PESSOAIS
Ressalvadas as limitações legais aplicáveis, relativas à cada atividade de tratamento específica, o titular dos dados pessoais poderá exercer seus direitos a qualquer momento, e de forma gratuita, mediante solicitação específica, direcionada ao encarregado de dados da Companhia, através dos contatos descritos nesta Política. Abaixo, segue o rol de direitos do titular de dados pessoais:
- a) Eliminação: em algumas situações, é possível solicitar a eliminação dos dados fornecidos, tratados pela Companhia, sendo que este pedido passará por uma avaliação de viabilidade, em razão de limitações legais (incluindo, mas não se limitando à necessidade de cumprimento de disposições e prazos legais e/ou regulatórios aplicáveis), sendo que os dados somente serão efetivamente eliminados se constata a viabilidade;
- b) Revogação do consentimento: caso a base legal para o tratamento dos dados pessoais se limite à concessão do consentimento, o titular poderá revogá-lo;
- c) Retificação/Atualização: medidas apropriadas podem e devem ser tomadas pelo titular para garantir que seus dados sejam íntegros, precisos, completos e atualizados. O titular pode solicitar que tais sejam corrigidos, complementados ou atualizados;
- d) Portabilidade: ao optar por exercer o direito de portabilidade, o titular receberá um relatório dos dados cadastrais que a Companhia trata a seu respeito para compartilhar com o terceiro que desejar;
- e) Anonimização: ressalvadas limitações legais e regulatórias, é possível anonimizar dados pessoais a pedido do titular, desde que sejam desnecessários, excessivos ou tratados em desconformidade com a finalidade proposta e com as leis aplicáveis;
- f) Acesso: em qualquer tempo, o titular poderá solicitar acesso aos detalhes das atividades de tratamento que envolvem seus dados pessoais;
- g) Preferências: quando aplicável, o titular de dados poderá optar por continuar, ou não, a receber comunicações de campanhas promocionais e/ou ofertas de produtos e serviços da Companhia;
- h) Explicação: disponibilizar informações detalhadas sobre as entidades públicas ou privadas com as quais os dados do titular são compartilhados e informar sobre a possibilidade de não fornecer consentimento para tratamento de dados, quando cabível essa modalidade, e as consequências, em caso de negativa.
- i) Confirmação: solicitar a confirmação da existência de atividade de tratamento de dados pessoais envolvendo o titular.
- j) Bloqueio: solicitar o bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a legislação vigente.
Nos termos desta Política, será disponibilizado pela Companhia canal próprio para o endereçamento das solicitações e requerimentos, levando-se em consideração a legislação aplicável. Em caso de impossibilidade de atendimento, as respostas serão justificadas.
Reafirme-se, a Companhia não é a responsável pelas atividades de tratamento de dados pessoais executadas de forma autônoma e independente por seguradoras e administradoras de benefícios. Caso o titular queira tratar destas atividades de tratamento de dados pessoais, deverá se utilizar dos canais apropriados e disponibilizados por estas Companhia, diretamente.
A Companhia reitera o seu compromisso com os direitos dos titulares de dados pessoais à transparência e à informação adequada, em conformidade com o prescrito no art. 6º, VI da Lei nº 13.709, de 14 de agosto de 2018.
8 – PRIVACY BY DESIGN
A partir da implementação do sistema de conformidade, a Companhia passou a adotar o conceito de privacy by design. Ele pode ser traduzido como um framework que tem como proposta central incorporar a privacidade e a proteção de dados pessoais em todos os projetos desenvolvidos, desde a sua concepção, incluindo o desenvolvimento de produtos, serviços, projetos, processos, práticas, tecnologias e infraestruturas.
O objetivo do privacy by design é garantir privacidade e permitir que os indivíduos tenham controle sobre seus dados pessoais, o que consequentemente gera vantagem competitiva em favor das organizações que adotam a metodologia, tanto quanto contribuem para uma operação legal, e em conformidade, no que tange ao tratamento, proteção e privacidade de dados pessoais.
8.1 ELIMINAÇÃO E ANONIMIZAÇÃO DE DADOS PESSOAIS
Em razão disso, dentre outras iniciativas, controles, medidas, mecanismos e procedimentos, só serão coletados e tratados os dados pessoais efetivamente necessários para as atividades de tratamento da Companhia.
Os dados coletados serão armazenados em ambientes seguros e eliminados quando: a) a finalidade da atividade de tratamento foi alcançada ou quando os dados deixarem de ser necessários ou pertinentes; b) por determinação de autoridade competente; c) em decorrência do fim do período de tratamento; d) por solicitação do titular, inclusive em caso de revogação do consentimento (se aplicável) ou; e) submetidos ao processo de anonimização.
No entanto, a Companhia se reserva ao direito de reter dados pessoais para além do período para o cumprimento das finalidades de obrigações legais e regulamentares, o exercício regular de direitos ou para fins de arquivo histórico da empresa, mediante a aplicação, neste último caso, de medidas técnicas e operacionais adequadas.
9 – COMPARTILHAMENTO DE DADOS PESSOAIS
No intuito de viabilizar as atividades econômicas referenciadas e permitir a prestação dos serviços e fornecimento dos produtos a elas relacionados, a Companhia poderá compartilhar dados pessoais, sensíveis e de crianças e adolescentes, incluindo, mas não se limitando a órgãos governamentais, poder judiciário, instituições financeiras, parceiros de negócio, fornecedores de serviço e/ou infraestrutura, dentre outros.
Para obter detalhamento sobre o compartilhamento de dados pessoais, o titular de dados deverá encaminhar ao encarregado de dados da Companhia solicitação específica, para atendimento, pois como referenciado, esta informação está detalhada em cada atividade de tratamento mapeada durante o a implantação do sistema de conformidade.
Além disso, é importante destacar que a Organização integra o Grupo Empresarial SVC Participações e Investimentos Ltda. Esse grupo empresarial é composto por sociedades empresariais dedicadas à prestação de serviços de corretagem de seguros, consultoria empresarial, assistências, serviços financeiros, desenvolvimento de software, saúde veterinária, saúde e qualidade de vida, dentre outras atividades empresariais, que compartilham infraestrutura e dados entre si, visando o desenvolvimento de suas atividades regulares e a inovação.
Seus dados também poderão ser utilizados pelas Sociedades integrantes do grupo empresarial acima suscitado para (a) identificar produtos e serviços que possam ser do interesse do cliente; (b) criar um perfil mais personalizado sobre o cliente com o propósito de ajudar a personalizar a sua experiência nos produtos, serviços ou plataformas das Sociedades; (c) ofertar publicidade baseada em seus interesses; (d) realizar pesquisas e análises para auxiliar na melhoria dos produtos, serviços ou plataformas das demais Sociedades (por exemplo, recomendando produtos ou serviços que possam ser do seu interesse do titular de dados); e (e) comunicar promoções conduzidas por esta e/ou pelas demais Sociedades integrantes do Grupo.
O compartilhamento de dados necessários para a execução de atividades empresariais e contratuais será sempre regular e respeitará o consentimento do titular (caso seja a base legal aplicável na relação contratual específica), o legítimo interesse da Companhia, ou qualquer outra base legal aplicável ao caso concreto. Serão compartilhados somente os dados que forem relevantes para viabilizar e/ou aprimorar os produtos e serviços aos usuários, desde que sejam protegidas e resguardadas adequadamente por quem as recebeu.
A Companhia se utiliza de instrumentos contratuais adequados para assegurar que qualquer contraparte que receba os dados pessoais compartilhados garanta a eles a privacidade e a proteção adequada.
Além das hipóteses previstas acima, a Companhia poderá compartilhar dados pessoais com entidades de proteção ao crédito, prevenindo situações de fraude, e também por ordem judicial e/ou determinação legal ou regulatória, sendo que nesses casos não será necessária a coleta do consentimento do usuário para isso.
10 – DEVERES DOS TITULARES DE DADOS
É dever do titular de dados ler, avaliar e aceitar, ou não, as normas internas da Companhia a respeito do tratamento, privacidade e proteção de dados pessoais, incluindo todo e qualquer política, procedimento, documento, disclaimer, informação, disposição contratual ou clausular aplicável. Uma vez discordante, o titular de dados fica desde já cientificado que sua recusa pode inviabilizar o fornecimento de produtos ou serviços em seu favor, incluindo o aceite de propostas e a contratação das mais variadas relações contratuais.
O titular de dados pessoais tem a responsabilidade de compartilhar informações precisas e verdadeiras com a Companhia, bem como proteger a confidencialidade de login(s), senha(s) de acesso, token(s) necessários à oferta e manutenção dos serviços e produtos da Companhia, inclusive para prevenir seu uso não autorizado, não devendo compartilhá-los com terceiros, em hipótese alguma.
11 – DEVERES DO PESSOAL DA COMPANHIA
Todo Pessoal, incluindo os sócios, dirigentes, empregados, colaboradores, prestadores de serviço e terceiros, que direta ou indiretamente se relacionam com as atividades de tratamento de dados pessoais tratados corporativamente, têm o dever de observar, cumprir e fazer cumprir todas as normas externas aplicáveis, como leis e regulamentações, e normas internas relacionadas, incluindo as disposições desta Política e quaisquer outras, estabelecidas pela Companhia, sob pena de responderem pelas perdas e danos, assim como estarem sujeitos ao direito de regresso, em caso de condenação da Companhia, decorrente de ato ou fato que derem causa.
O Pessoal da Companhia deve se atentar para as seguintes regras (além de todas as outras eventualmente aplicáveis):
- Não disponibilizar, tampouco permitir acesso aos dados pessoais mantidos pela Companhia para pessoas não autorizadas;
- Adotar as medidas necessárias para garantir a legalidade do tratamento de dados pessoais, amealhando todos os documentos necessários para demonstrar a regularidade e competência para o tratamento de dados, tais como, exemplificadamente, termos específicos, disposições clausulares adequadas em contratos, dentre outros;
- Cumprir as todas as normas legais, regulamentares e internas, incluindo as recomendações e as orientações de tecnologia e segurança da informação da Companhia, visando prevenir inconformidades e a ocorrência de incidentes.
12 – USO DE COOKIES
A Companhia utiliza cookies e outras ferramentas de tecnologia semelhantes para facilitar o uso e melhorar a experiência de navegação dos titulares, usuários e visitantes junto ao site corporativo e outras aplicações web.
O uso de cookies ajuda a Companhia a fornecer um serviço personalizado e ágil, baseado nas escolhas e preferências de cada usuário, o que permite analisar tendências e melhorar sua experiência em nossas plataformas.
A autorização para utilização dos cookies poderá ser cancelada a qualquer momento pelo usuário ou pelo visitante, através dos próprios navegadores de internet (Internet Explorer, Google Chrome, Firefox, Safari, Opera), no entanto, nesse caso, algumas funcionalidades poderão ser limitadas.
13 – VIOLAÇÃO E INCIDENTES ENVOLVENDO DADOS PESSOAIS
A legislação aplicável estabelece a responsabilidade solidária de todos os agentes da cadeia envolvidos no tratamento de dados, pelos eventuais danos patrimoniais, morais, individuais ou coletivos decorrentes de violações de proteção e privacidade de dados pessoais.
13.1 CONFORMIDADE DOCUMENTAL E CONTRATUAL
Ainda assim, a Companhia emprega os maiores melhores esforços para verificar, avaliar e garantir que terceiros cumpram com as legislações de privacidade e proteção de dados aplicáveis.
Dessa forma, todos os contratos com colaboradores, prestadores de serviço, fornecedores, parceiros de negócio, clientes e terceiros deverão conter cláusulas referentes à privacidade e proteção de dados pessoais, estabelecendo papéis, deveres e obrigações específicos, envolvendo a temática, e atestando o compromisso de tais contrapartes com as legislações aplicáveis, incluindo a possibilidade de reparação por perdas e danos e direito de regresso, caso a violação não tenha sido causada pela Companhia.
13.2 COMUNICAÇÃO ÀS AUTORIDADES COMPETENTES
Violações e incidentes envolvendo dados pessoas tratados pela Companhia serão reportados às autoridades competentes, no prazo e na forma da Lei e de suas regulamentações.
14 – TERMOS E DEFINIÇÕES
Para fins de compreensão da presente Política de Privacidade e Proteção de Dados pessoais, aplicam-se as seguintes definições:
Cookies – arquivos que armazenam temporariamente algumas informações básicas que você acessa em nossas plataformas digitais, como site e aplicativo da Companhia ou, ainda, publicidades.
Uso Compartilhado de Dados – comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
ANPD – Autoridade Nacional de Proteção de Dados, órgão da administração pública federal, integrante da Presidência da República (art. 55-A da Lei nº 13.709, De 14 De Agosto De 2018).
Consentimento – manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada (art. 5º, XII da Lei nº 13.709, De 14 De Agosto De 2018);
Dados Pessoais – qualquer informação relacionada a pessoa natural identificada ou identificável, conforme art. 5º, I da Lei nº 13.709, de 14 de agosto de 2018 (ex. nome, número de identidade, CPF, endereço, dados bancários, localização).
Dados Pessoais Sensíveis – dado pessoal que reflete aspecto íntimo e merece maior proteção, como origem racial ou étnica, convicção religiosa, opinião política, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (art. 5º, II da Lei nº 13.709, de 14 de agosto de 2018);
Titular – é a pessoa natural, titular do Dado Pessoal e/ou Dado Pessoal Sensível que é objeto de tratamento (art. 5º, V da Lei nº 13.709, de 14 de agosto de 2018);
Tratamento – toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (art. 5º, X da Lei nº 13.709, de 14 de agosto de 2018);
IP – Conjunto de números que identifica o computador dos visitantes e usuários na Internet;
Anonimização – utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo (art. 5º, XI da Lei nº 13.709, de 14 de agosto de 2018). As informações anonimizadas não são consideradas dados pessoais.
Eliminação – exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado (art. 5º, XI da Lei nº 13.709, de 14 de agosto de 2018);
Revogação – O consentimento pode ser revogado a qualquer momento mediante manifestação expressa do titular, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado enquanto não houver requerimento de eliminação, nos termos do inciso VI do caput do art. 18 da Lei 13.709/18;
Política – Política de Proteção e Privacidade de Dados da Companhia;
Operador – pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (art. 5º, VII da Lei nº 13.709, de 14 de agosto de 2018);
Controlador – pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (art. 5º, VI da Lei nº 13.709, de 14 de agosto de 2018);
Encarregado de Dados – pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
Violação – violação de segurança que provoque, de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso não autorizado a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
15 – APROVAÇÃO E REVISÃO
Nos termos do controle de versionamento abaixo, esta política foi aprovada pelos representantes legais da Companhia emitente, tanto quanto pelos encarregados de dados responsável, entrando em vigor a partir da data de sua aprovação, permanecendo vigente até a data de aprovação de novo versionamento e será revista, em regra, anualmente, ou em período inferior, quando necessário.
Atualização: 22/03/2022