Na Exchange Informática S/S Ltda., privacidade e segurança são prioridade e nos comprometemos em observar e cumprir, observadas as especificidades da nossa prestação de serviços, a Lei Geral de Proteção de Dados, LGPD, Lei nº 13.709/2018 (em vigor desde 18.09.2020).

 

E nesse sentido, é importante ressaltar que a Exchange Informática S/S Ltda. não realiza o tratamento de dados pessoais e/ou dados pessoais sensíveis de Titulares clientes dos nossos clientes, isso porque, os sistemas desenvolvidos por nossa Empresa e licenciados ao mercado são instalados e processados em ambiente do próprio cliente, não havendo qualquer tipo de ação por parte de nossa Empresa no processamento dos dados de nossos clientes ou mesmo acessos à base, mesmo que de forma remota.

 

Apesar do esclarecido acima, entendemos ser importante estabelecer uma Política de Proteção de Dados nos termos que se seguem e que visa estabelecer como nossa Empresa fará o tratamento de dados pessoais e/ou dados pessoais sensíveis de Titulares na condição de Controladora (caso dos dados de funcionários) bem como fará o eventual tratamento de dados pessoais e/ou dados pessoais sensíveis de clientes de nossos clientes, se e quando vier a ocorrer, e como garantir a sua segurança, confidencialidade, guarda, controles, bem como a postura da Empresa na hipótese de incidentes de segurança:

 

  1. Definições

Para fins de aclarar os termos que serão utilizados nesta Política de Proteção de Dados, abaixo destacamos as principais definições:

  1. a) Normas de Proteção de Dados Pessoais – leis, normas ou regulamentos nacionais, cujo objeto de tutela sejam os Dados Pessoais, e cujo escopo territorial abranja os Dados Pessoais porventura tratados;
  2. b) Dados Pessoais – todas as informações relacionadas a pessoa natural identificada ou identificável, fornecidas, acessadas ou de qualquer outra forma tratada, em nome do LICENCIADO, nos termos e limites deste Contrato;
  3. c) Dados Pessoais sensíveis - Dado Pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
  4. d) Titular de dados (“Titular”) – pessoa natural a quem se referem os Dados Pessoais que são objeto de Tratamento;
  5. e) Consentimento – manifestação livre, informada e inequívoca pela qual o Titular concorda com o Tratamento de seus Dados Pessoais para uma finalidade determinada;
  6. f) Tratamento de Dados Pessoais (“Tratamento”) – toda operação realizada com Dados Pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
  7. g) Autoridade Nacional de Proteção de Dados (“ANPD”) – órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados Pessoais em todo o território nacional.
  8. h) Controlador dos dados (“Controlador”) – pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao Tratamento de Dados Pessoais;
  9. i) Operador dos dados (“Operador”) – pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador;
  10. j) Incidente de Privacidade e Segurança da Informação (“Incidente”) – evento ou série de eventos indesejados com probabilidade significativa de comprometer as operações de Tratamento de Dados Pessoais, podendo acarretar ou acarretando: acesso indevido e não autorizado; situações acidentais ou ilícitas de perda, destruição, alteração, comunicação ou difusão dos Dados Pessoais, além de outras formas de Tratamento que configure violação às Normas de Proteção de Dados Pessoais;
  11. k) Encarregado de dados – pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação entre o Controlador, os Titulares e a ANPD.

 

  1. Quais dados poderão vir a ser tratados e para qual finalidade?

A Exchange quando figurar como CONTROLADORA de dados pessoais e/ou dados pessoais sensíveis de Titulares de dados, sejam eles de funcionários, fornecedores e até parceiros, poderá tratar os seguintes dados pessoais e/ou dados pessoais sensíveis:

  1. Funcionários

Foto

Nome Completo e data de nascimento

Sexo

Nacionalidade

Naturalidade

Filiação

Estado Civil

Profissão

RG

CPF

CNH

Filiado ou não a Entidade Sindical

Endereço Completo de seu Domicílio

Instituição de Ensino (Médio/Superior ou Pós - Graduação/Mestrado/Doutorado ou MBA)

Data de conclusão dos cursos

Informações de Saúde (Atestados, Exames Admissionais, Periódicos e Demissionais, resultados de perícias médicas emitidos pelo INSS, dentre outros)

Outros que possam ser relevantes a compor a pasta funcional do funcionário e que possam ser considerados dados pessoais e/ou dados pessoais sensíveis à luz da LGPD.

  1. Fornecedores/Parceiros

Se Pessoa Física

Nome Completo e data de nascimento

Sexo

Nacionalidade

Naturalidade

Estado Civil

Profissão

RG

CPF

Endereço Completo de seu Domicílio

Se Pessoa Jurídica seriam os dados pessoais e/ou dados pessoais sensíveis dos sócios que compõem a Sociedade

Nome Completo e data de nascimento

Sexo

Nacionalidade

Naturalidade

Estado Civil

Profissão

RG

CPF

Endereço Completo de seu Domicílio

Como a Exchange de fato não trata nenhum dado de Titulares de dados de clientes de seus clientes, em tese não haveria necessidade de detalhar aqui o tipo de dado pessoal e/ou pessoal sensível a ser tratado. Porém, é importante registrar que os dados porventura tratados seriam relativos às operações financeiras realizadas por esses Titulares de dados, e nesse contexto, se incluiriam informações de cunho pessoal como (nome completo, data de nascimento, RG, CPF, endereço completo de seu domicílio, bem como outras informações mais genéricas, como por exemplo, o valor da operação realizada, tipo de transação, etc.)

2.1. Consentimento

Para que nossa Empresa possa realizar o tratamento de dados pessoais e/ou dados pessoais sensíveis na condição de CONTROLADORA, ela obtém dos Titulares dos dados, sejam eles funcionários, fornecedores ou parceiros, o consentimento formal. No caso dos funcionários, por meio do Contrato de Trabalho, no caso dos fornecedores, por meio do Contrato de Prestação de Serviços e no caso dos parceiros, por meio do Contrato de Parceria.

Assim, nossa Empresa, em consonância com a Lei Geral de Proteção de Dados, só coletará, tratará e armazenará os dados desses Titulares mediante prévio e expresso consentimento e para a finalidade específica, ou seja, no caso dos funcionários, para atender à Legislação e Normativas Trabalhista, Previdenciária e Fiscal, bem como aos órgãos fiscalizadores; no caso de fornecedores e parceiros, para atender à Legislação e Normativas Fiscais vigentes, bem como aos órgãos fiscalizadores.

Importante registrar, que no caso de funcionários, não há que se falar em revogação do consentimento, mesmo ocorrendo a rescisão do Contrato de Trabalho, seja ela a pedido do funcionário ou por decisão da Empresa, pois o tratamento dos dados pessoais e/ou pessoais sensíveis dos Titulares funcionários se faz necessário durante a vigência do Contrato de Trabalho e até mesmo após, para fins de atendimento à legislação vigente.

Exemplo: informações relativas ao INSS devem ser mantidas em arquivo por 30 (trinta) anos por força da legislação vigente.

Para que nossa Empresa possa realizar o tratamento de dados pessoais e/ou dados pessoais sensíveis na condição de OPERADORA, o CONTROLADOR do dado pessoal e/ou dado pessoal sensível dos Titulares dos dados deve obter o consentimento prévio destes Titulares e passar à nossa Empresa as diretrizes como esses dados devem ser tratados.

  1. Quais são os direitos dos Titulares de Dados?

Nos termos do Artigo 18 da LGPD, é dever da Exchange assegurar na condição de CONTROLADORA de dados pessoais e/ou dados pessoais sensíveis de Titulares funcionários, fornecedores ou parceiros, a qualquer tempo, e mediante solicitação formal destes Titulares, os seguintes direitos:

  1. Confirmar a existência de tratamento de dados, de maneira simplificada ou em formato claro e completo
  2. Acessar seus dados, podendo solicitá-los em uma cópia legível sob forma impressa ou por meio eletrônico, seguro e idôneo.
  3. Corrigir seus dados, ao solicitar a edição, correção ou atualização destes;
  4. Limitar seus dados quando desnecessários, excessivos ou tratados em desconformidade com a legislação através da anonimização, bloqueio ou eliminação
  5. Solicitar a portabilidade de seus dados, através de um relatório de dados cadastrais que a Exchange trata a seu respeito;
  6. Eliminar seus dados tratados a partir de seu consentimento, exceto nos casos previstos em lei;
  7. Revogar seu consentimento, desautorizando o tratamento de seus dados.
  8. Informar-se sobre a possibilidade de não fornecer seu consentimento e sobre as consequências da negativa.

Se a Exchange tratar o dado pessoal de TITULAR DO DADO de cliente do nosso Cliente prestará apoio ao CONTROLADOR/CLIENTE, para que este possa prestar ao TITULAR DO DADO as informações previstas no Artigo 18 da LGPD.

  1. Como e por quanto tempo os dados pessoais e/ou pessoais sensíveis porventura tratados pela Exchange serão armazenados?

Os dados pessoais porventura coletados/tratados pela Exchange serão utilizados e armazenados durante o tempo necessário para a prestação do serviço ou para que as finalidades elencadas em Contrato sejam atingidas, considerando os direitos dos titulares dos dados e dos controladores.

De modo geral, os dados serão mantidos enquanto a relação contratual entre o Cliente e a Exchange perdurar ou enquanto os dados estiverem sendo tratados/coletados, mesmo após o encerramento do Contrato. Findado o período de armazenamento dos dados pessoais, estes serão excluídos de nossas bases de dados ou anonimizados, ressalvadas as hipóteses legalmente previstas no Artigo 16 da LGPD, a saber:

I – cumprimento de obrigação legal ou regulatória pelo Controlador;

II – estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

III – transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei; ou

IV – uso exclusivo do Controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

Isto é, informações pessoais tratados/coletados pela Exchange, que sejam imprescindíveis para o cumprimento de determinações legais, judiciais e administrativas e/ou para o exercício do direito de defesa em processos judiciais e administrativos serão mantidas, a despeito da exclusão dos demais dados.

O armazenamento de dados tratados/coletados pela Exchange reflete o nosso compromisso com a segurança e privacidade dos dados pessoais e/ou dados pessoais sensíveis.

Empregamos medidas e soluções técnicas de proteção aptas a garantir a confidencialidade, integridade e inviolabilidade dos dados pessoais e/ou dados pessoais sensíveis. Além disso, também contamos com medidas de segurança apropriadas aos riscos e com controle de acesso às informações armazenadas.

  1. O que fazemos para manter os dados seguros?

Para mantermos as informações seguras, usamos ferramentas físicas, eletrônicas e gerenciais orientadas à proteção da privacidade.

Aplicamos essas ferramentas levando em consideração a natureza dos dados pessoais e ou dados pessoais sensíveis tratados/coletados, o contexto e a finalidade do tratamento e os riscos que eventuais violações gerariam para os direitos e liberdades do titular dos dados porventura coletados e tratados.

Entre as medidas que adotamos, destacamos as seguintes:

  1. Apenas pessoas autorizadas têm acesso aos dados pessoais e/ou dados pessoais sensíveis porventura tratados/coletados.
  2. O acesso a dados pessoais e/ou dados pessoais sensíveis porventura tratados/coletados é feito por essas pessoas autorizadas somente após a assinatura do Termo de Confidencialidade, Anexo IV do Programa de Integridade.
  • Os dados pessoais e/ou dados pessoais sensíveis porventura tratados/coletados são armazenados em ambiente físico/cibernético seguro e idôneo.

 

A Exchange se compromete a adotar as melhores posturas para evitar incidentes de segurança. Contudo, é necessário destacar que nenhum ambiente de infraestrutura é inteiramente seguro e livre de riscos. É possível que, apesar de todos os nossos protocolos de segurança, problemas de culpa exclusivamente de terceiros ocorram, como ataques cibernéticos de hackers, ou também em decorrência da negligência ou imprudência do próprio usuário/Cliente.

Em caso de incidentes de segurança que possa gerar risco ou dano relevante para qualquer um de nossos usuários/clientes, comunicaremos aos afetados e a Autoridade Nacional de Proteção de Dados sobre o ocorrido, em consonância com os prazos e as diretrizes previstas na Lei Geral de Proteção de Dados e demais normativas emanadas pela Autoridade fiscalizadora e regulamentadora (ANPD).

Para tanto, apresentamos o nosso Plano de resposta a incidentes:

  1. Com quem os dados pessoais e/ou pessoais sensíveis tratados/coletados podem ser compartilhados?

Tendo em vista a preservação da privacidade, a Exchange não compartilhará os dados pessoais e/ou pessoais sensíveis tratados/coletados com nenhum terceiro não autorizado pelo Controlador dos dados.

Contudo, existem hipóteses em que os dados pessoais e/ou pessoais sensíveis tratados/coletados poderão ser compartilhados, que são:

I – Determinação legal, requerimento, requisição ou ordem judicial, com autoridades judiciais, administrativas ou governamentais competentes.

II – Caso de movimentações societárias, como fusão, aquisição e incorporação, de forma automática

III – Proteção dos direitos da Exchange em qualquer tipo de conflito, inclusive os de teor judicial.

6.1. Transferência internacional de dados

Alguns dos terceiros com quem compartilhamos os dados pessoais e/ou pessoais sensíveis tratados/coletados podem ser localizados ou possuir instalações localizadas em países estrangeiros. Nessas condições, de toda forma, os dados pessoais estarão sujeitos à Lei Geral de Proteção de Dados e às demais legislações brasileiras de proteção de dados.

Nesse sentido, a Exchange se compromete a sempre adotar eficientes padrões de segurança cibernética e de proteção de dados, nos melhores esforços de garantir e cumprir as exigências legislativas e informar ao Controlador caso essa situação se verifique.

  1. Alteração desta Política

Reservamos o direito de modificar essa Política de Proteção de Dados a qualquer tempo, principalmente em função da adequação a eventuais alterações à Lei Geral de Proteção de Dados, Lei nº 13.709/2018 ou a Normativas emanadas pela Autoridade Nacional de Proteção de Dados.

  1. Responsabilidade

A Exchange prevê a responsabilidade dos agentes que atuam nos processos de tratamento de dados, em conformidade com os artigos 42 ao 45 da Lei Geral de Proteção de Dados.

Nos comprometemos em manter esta Política de Proteção de Dados atualizada, observando suas disposições e zelando por seu cumprimento.

Além disso, também assumimos o compromisso de buscar condições técnicas e organizativas seguramente aptas a proteger todo o processo de tratamento de dados.

Caso a Autoridade Nacional de Proteção de Dados exija a adoção de providências em relação ao tratamento de dados realizado pela Exchange, comprometemo-nos a segui-las.

8.1 Isenção de responsabilidade

Conforme mencionado no Tópico 5, embora a Exchange adote elevados padrões de segurança a fim de evitar incidentes, não há, como já dito acima, nenhum ambiente de infraestrutura livre de riscos. Nesse sentido, a Exchange não se responsabiliza por:

I – Quaisquer consequências decorrentes da negligência, imprudência ou imperícia dos usuários/clientes em relação aos seus dados individuais. Garantimos e nos responsabilizamos apenas pela segurança dos processos de tratamento de dados e do cumprimento das finalidades descritas no Contrato firmado com o Controlador.

II – Ações maliciosas de terceiros, como ataques de hackers, exceto se comprovada conduta culposa ou deliberada de nossa Empresa.

Destacamos que em caso de incidentes de segurança que possam gerar risco ou dano relevante para qualquer um de nossos usuários/clientes, comunicaremos aos afetados e a Autoridade Nacional de Proteção de Dados sobre o ocorrido e cumpriremos as providências necessárias.

III – Inveracidade das informações inseridas pelo usuário/cliente nos registros necessários para a utilização dos serviços da Exchange; quaisquer consequências decorrentes de informações falsas ou inseridas de má-fé são de inteiramente responsabilidade do usuário/cliente.

  1. Encarregado de Proteção de Dados

A Exchange disponibiliza os seguintes meios para que você possa entrar em contato conosco:

Caso tenha dúvidas sobre esta Política de Proteção de Dados ou sobre os dados pessoais e/ou pessoais sensíveis porventura tratados/coletados, o Controlador pode entrar em contato com o nosso Encarregado de Proteção de Dados Pessoais: Este endereço de email está sendo protegido de spambots. Você precisa do JavaScript ativado para vê-lo.