POLÍTICA DE PRIVACIDADE, GOVERNANÇA E PROTEÇÃO DE DADOS PESSOAIS

COMPROPAY LTDA ME

CNPJ nº 30.549.651/0001-04

Esta Política especifica, em atenção às normas da Lei nº 13.709/2018, as boas práticas na

gestão de dados pessoais, gestão essa que envolve o desenvolvimento de ações preventivas,

educacionais e medidas organizacionais estruturadas pela COMPROPAY LTDA ME, voltadas à

difusão e ao aprimoramento da cultura de privacidade e proteção de dados pessoais pelos

colaboradores e/ou profissionais que atuam em seu nome.

O termo de consentimento, assinado por clientes, e o termo de compromisso, assinado por

empresas parceiras da COMPROPAY LTDA ME, complementam esta Política de Governança.

INFORMAÇÕES DA POLÍTICA DE PRIVACIDADE

A COMPROPAY LTDA ME , contratou assessoria especializada para auxiliá-la em sua

adequação à Lei nº 13.709/2018, o que resultou no mapeamento do fluxo de dados pessoais

na empresa, na elaboração de termo de consentimento e de termo de compromisso, na

confecção desta Política de Governança e na realização de treinamento presencial inicial para

os colaboradores, além da adequação do sistema de armazenamento e tratamento de dados,

para o alcance da segurança da informação, por meio de serviço especializado.

DIRETRIZES

Esta Política busca garantir a proteção dos dados pessoais envolvidos nas operações da

COMPROPAY LTDA ME, assegurando que sejam sempre tratados observando os princípios da

boa-fé, da finalidade, da adequação, da necessidade, do livre acesso e da segurança, de modo

a mitigar riscos de vazamento e a garantir, ao titular, a transparência no tratamento de seus

dados pessoais.

Esta Política incentiva a automação – ou digitalização – de todos os procedimentos

relacionados ao tratamento de dados pessoais realizado pela COMPROPAY LTDA ME, evitando-

se a coleta e o armazenamento de dados em documentos físicos. Ademais, desincentiva o

tratamento de dados pessoais sensíveis.

CONCEITOS CENTRAIS DA POLÍTICA DE GOVERNANÇA

 3.1. Dado pessoal: informação que, isolada ou associada a outras, identifique ou que

possa identificar uma pessoa física.

 Dado pessoal sensível: informação sobre origem racial ou étnica, convicção religiosa,

opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político,

dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a

uma pessoa física.

 Dado pseudonimizado: informação sobre um titular de dados que somente o

identifica quando associada a uma informação adicional relativa ao titular, mantida

separadamente pelo controlador em ambiente seguro.

 Titular dos dados pessoais: pessoa física a quem se referem os dados pessoais que são

objeto de tratamento, inclusive colaboradores, conselheiros, diretores, fornecedores – quando

pessoas físicas – e demais prepostos da COMPROPAY LTDA ME.

 Tratamento de dados pessoais: operação realizada com dados pessoais, que abarca a

coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão,

distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou

controle da informação, modificação, comunicação, transferência, difusão ou extração de

dados pessoais.

 Agentes de tratamento de dados: controlador, pessoa natural ou jurídica, a quem

compete a tomada de decisões referentes ao tratamento de dados pessoais; e o operador,

pessoa natural ou jurídica, que realiza o tratamento de dados pessoais em nome ou a pedido

do controlador.

PRINCÍPIOS QUE GUIAM A POLÍTICA

 Finalidade: os dados pessoais coletados e processados são utilizados para propósitos

legítimos, específicos, explícitos e informados ao titular, não sendo utilizados de forma

incompatível com tais objetivos.

 Adequação: os dados pessoais são tratados em compatibilidade com as finalidades

informadas ao seu titular ou pertinentes ao contrato por ele firmado com a COMPROPAY LTDA

ME, no contexto do tratamento realizado.

 Necessidade: o tratamento deve se limitar ao mínimo possível de dados pessoais

indispensáveis à realização das finalidades objetivadas, observada a sua pertinência.

 Livre acesso: é assegurada aos titulares a realização de consulta facilitada e gratuita

sobre os seus dados pessoais tratados, bem como sobre a forma e a duração do seu

tratamento.

 Transparência: é assegurado ao titular de dados pessoais o acesso a informações

precisas e facilitadas sobre o tratamento de seus dados pessoais e os respectivos agentes de

tratamento.

 Segurança: são aplicáveis para tratamento de dados todas as medidas técnicas e

administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações

acidentais ou ilícitas de perda, alteração, comunicação ou difusão.

 Prevenção: são aplicáveis para o tratamento de dados pessoais todas as medidas

técnicas, operacionais e contratuais adequadas para prevenir eventual ocorrência de danos ou

riscos no contexto do tratamento de dados pessoais.

CUIDADOS NO USO DE DADOS PESSOAIS

 Análise periódica de riscos: identificação, avaliação e monitoramento das

vulnerabilidades e dos riscos de ocorrência de incidentes de proteção de dados pessoais no

âmbito da COMPROPAY LTDA ME, bem como suas medidas de tratamento e solução

 Treinamento: realização de treinamentos pontuais e cursos de capacitação para

funcionários e colaboradores, buscando aprimorar a cultura de tratamento adequado de

dados.

 Termo de consentimento: toda pessoa física que desenvolver relação comercial com a

COMPROPAY LTDA ME, assinará um termo de consentimento para tratamento de seus dados,

que poderá ser revogado a critério. O termo indicará que as finalidades para a coleta dos

dados são o cumprimento, pela COMPROPAY LTDA ME, de obrigações impostas por órgãos de

fiscalização; a confecção e a execução de um eventual contrato do qual seja parte o titular dos

dados; o exercício regular de direitos, por parte de COMPROPAY LTDA ME, em processo

judicial, administrativo ou arbitral; o envio, ao titular, de promoções, informes e quaisquer

comunicados que a COMPROPAY LTDA ME, julgue pertinentes; o controle interno do serviço

de test-drive da COMPROPAY LTDA ME; a prestação de assistência técnica; e realização de

estatísticas internas da COMPROPAY LTDA ME, e de suas empresas parceiras. O titular dos

dados deve ficar ciente de que COMPROPAY LTDA ME, permanecerá com os dados até o

exaurimento das finalidades previstas, estando a seu critério o procedimento de descarte.

 Termo de compromisso: as empresas parceiras da COMPROPAY LTDA ME, que com ela

compartilhem dados de pessoas físicas, devem assinar um termo de compromisso declarando

tal compartilhamento e declarando que são integralmente responsáveis pelos dados pessoais

coletados, incluindo a obtenção de consentimento dos titulares, conforme artigo 5º, inciso XII,

da Lei nº 13.709/2018.

Tanto o termo de consentimento quanto o termo de compromisso devem passar por

atualizações periódicas, buscando-se o seu contínuo aperfeiçoamento.

No website para acesso público da COMPROPAY LTDA ME, constam alertas sobre o uso de

cookies e a possibilidade de sua desativação, caso seja de interesse do usuário.

PROCEDIMENTO NO CASO DE INCIDENTES

Incidente de segurança com dados pessoais é qualquer evento adverso relacionado à violação

na segurança de dados pessoais, como um acesso não autorizado, acidental ou ilícito que

resulte na destruição, perda, alteração ou vazamento dos dados. Caso ocorra um incidente, os

funcionários e colaboradores da COMPROPAY LTDA ME, seguirão um protocolo de atuação, a

fim de minorar os danos aos titulares e de cumprir os deveres impostos pela Lei nº

13.709/2018.

O protocolo será gerenciado pessoalmente pelo DPO (Data Protection Officer), encarregado do

tratamento de dados na COMPROPAY LTDA ME: Sr. André F. Cardoso, inscrito no CPF sob o nº

935.597.715-87; e ocorrerá da seguinte forma:

1. O primeiro passo do protocolo é notificar os titulares dos dados sobre o incidente,

esclarecendo-os a respeito de possíveis danos relevantes e comunicando-os o início de

uma investigação interna para a identificação de causas e de responsáveis.

2. Em seguida, a empresa comunicará a ocorrência do incidente à Autoridade Nacional

de Proteção de Dados (ANPD). Essa comunicação se dará com o preenchimento do

formulário disponível no site da ANPD e com o seu protocolo na aba “Peticionamento

Eletrônico - Usuário Externo”. As instruções para utilização do “Peticionamento

Eletrônico” são encontradas aqui: https://www.gov.br/secretariageral/pt-br/sei-

peticionamento-eletronico.

3. Terminada a investigação interna, a empresa elaborará um relatório final, a ser

encaminhado aos titulares dos dados envolvidos no incidente e à ANPD, contendo as

seguintes informações: (i) descrição do incidente; (ii) quais foram os danos efetiva e/ou

possivelmente causados aos titulares dos dados pessoais; (iii) quais foram as

providências de investigação adotadas; (iv) respostas a eventuais questionamentos

recebidos da imprensa e dos titulares dos dados; e (v) quais medidas de correção no

tratamento de dados serão adotadas.

____________________________________________

DPO COMPROPAY LTDA ME