POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
As empresas da Mobilize Financial Services (“Organização”) estão comprometidas em manter a privacidade dos Dados Pessoais, incluindo Dados Pessoais Sensíveis obtidos no curso de suas atividades empresariais e cumprir as leis e regulamentos aplicáveis sobre o Tratamento de Dados, como, mas não se limitado a Lei Geral de Proteção de Dados Pessoais (“LGPD”) – Lei 13.709/18.
Esta Política de Privacidade e Proteção de Dados Pessoais (“Política de Privacidade”) tem como objetivo definir as principais regras em relação à Privacidade e Proteção de Dados Pessoais que são aplicáveis na Organização para garantir um nível adequado segurança ao seu tratamento.
A Organização se reserva no direito de alterar esta Política de Privacidade a qualquer momento, sem aviso prévio, por isso, sugerimos que você consulte regularmente a Política de Privacidade, disponivel nesta página ou no App.
1. DEFINIÇÕES
1.1 Para fins de interpretação desta Política de Privacidade, os termos e expressões a seguir, quando escritos em letras maiúsculas, deverão ter os seguintes significados:
“Autoridade Nacional de Proteção de Dados” ou “ANPD” significa a autoridade administrativa encarregada da Proteção de Dados Pessoais, que é uma autarquia especial responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) – Lei 13.709/18 em todo o território brasileiro.
“Colaboradores da Organização” são todos os funcionários da Organização, incluindo diretores, estagiários, aprendizes e qualquer outra pessoa que possua vínculo direto com a Organização.
“Controlador de Dados” ou “Controlador” significa uma pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados Pessoais.
“Dados” significa que estamos nos referindo aos Dados Pessoais e aos Dados Pessoais Sensíveis, estes definidos nesta Polítcia de Privacidade, conforme previsão da LGPD.
“Dados Pessoais” significam quaisquer dados relacionados a um indivíduo (pessoa natural) que é ou possa ser identificado a partir dos dados ou a partir dos dados em conjunto com outras informações.
“Dados Pessoais Sensíveis” significa os dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, ou outros dados específicos considerados sensíveis mediante as leis e regulamentos próprios.
“Empresas Mobilize Financial Services” ou “Organização” significa: (i) Mobilize Financial Services (Banco RCI Brasil S.A.), pessoa jurídica de direito privado com CNPJ/MF 62.307.848/0001-15, com sede na Rua Pasteur, nº 463, 2º Andar, Conjunto 203, Bairro Batel, Curitiba/PR, CEP 80.250-080; (ii) Administradora de Consórcio RCI Brasil Ltda, pessoa jurídica de direito privado com CNPJ/MF 73.230.674/0001-56, com sede na Alameda Europa, n° 150, Bairro Alphaville, Santana de Parnaíba/SP, CEP: 06541-065; (iii) Corretora de Seguros RCI Brasil S.A., pessoa jurídica de direito privado com CNPJ/MF 04.406.267/0001-34, com sede na Rua Pasteur, nº 463, 2º Andar, Conjunto 203, Bairro Batel, Curitiba/PR, CEP 80.250-080; e (iv) RCI Brasil Serviços e Participações Ltda, pessoa jurídica de direito privado com CNPJ/MF 13.758.102/0001-12 com sede na Rua Pasteur, nº 463, 2º Andar, Conjunto 203, Bairro Batel, Curitiba/PR, CEP 80.250-080.
“Encarregado de Dados” ou “DPO” significa a pessoa que na Organização é o responsável por coordenar e por assegurar a conformidade com a Política de e requisitos legais/regulamentares locais aplicáveis, também, atuará como o canal com os titulares dos dados e a ANPD.
“LGPD” significa Lei Geral de Proteção de Dados Pessoais Pessoais, Lei nº 13.709 de 14 de agosto de 2018.
“Open Banking” ou “Sistema Financeiro Aberto” significa o compartilhamento padronizado de dados bancários pessoais e serviços por meio de abertura e integração de sistemas entre clientes e instituições financeiras, de pagamento e demais autorizadas pelo Banco Central do Brasil (BCB), implementada pela Resolução Conjunta nº 1 de 2020 (“Resolução”), entre o BCB e o Conselho Monetário Nacional (CNM).
“Operador de Dados” ou “Operador” significa uma pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome e sob orientação do Controlador de Dados.
“Titular dos Dados” ou “Titular” significa qualquer pessoa natural a quem se referem os dados pessoais que são objeto de tratamento ou a pessoa jurídica a quem se referem os dados, inclusive financeiros e transacionais, objeto do tratamento.
“Tratamento” ou “Tratamento de Dados” é qualquer ação tomada tendo por base dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, tratamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
2. ABRANGÊNCIA GEOGRÁFICA
2.1 A presente Política de Privacidade aplica-se ao Tratamento de Dados que foram coletados no Brasil, independentemente das demais operações ocorrerem no Brasil ou exterior.
3. ATIVIDADES DE TRATAMENTO DE DADOS
3.1 A presente Política de Privacidade se aplica a todas as atividades de Tratamento de Dados da Organização, incluindo, mas não limitadas a:
(a) oferecimento de produtos ou serviços aos Titulares dos Dados em território nacional;
(b) monitoramento do comportamento dos Titulares dos Dados dentro dos limites em que seu comportamento ocorre no território nacional; ou
(c) compartilhamento com outras instituições financeiras, conforme expressa solicitação pelos Titulares dos Dados em observância às disposições legais e regulamentares sobre o Open Banking.
3.2 Os Dados listados a seguir são tratados pela Organização no curso de suas atividades para o cumprimento das finalidades contempladas nesta Política de Privacidade. Esses Dados são compreendidos em::
(a) Dados Pessoais, como, mas não limitado a: Nome; Nome Social; Data de nascimento; Sobrenome; CPF; RG; Número da CNH; Número da CTPS; Cédula de identidade de estrangeiro (CIE); Registro Nacional de Estrangeiros (RNE); Protocolo de solicitação da CIE; Protocolo do pedido de refúgio ; Passaporte; Guia de acolhimento ; Idade; Gênero; Nacionalidade; E-mail; Naturalidade; Nome da mãe; Nome do pai; Endereço Residencial; Endereço Comercial; Estado Civil; Telefones residencial; Telefones comercial; Telefones celular; Condição Pessoal (espólio, interdito, deficiente, etc…); Renda; Patrimônio; IMEI do celular; Geolocalização; Título de eleitor; Documentos profissionais (CREA, OAB e etc.); PIS/NIS – Programa de integração social; Profissão; Formação Acadêmica; IP; Cookies; Dados Transacionais de Contas, de Cartão e de Operação de Crédito.
(b) Dados Pessoais Sensíveis, como, mas não limitado a: Origem racial; Foto; Filmagens; Biometria; Áudio/voz; e Pessoa Politicamente exposta.
3.3 Os Dados acima listados podem ser obtidos das seguintes formas:
(a) diretamente do Titular quando da contratação dos produtos e serviços da Organização ou em simulações em fase de proposta; ou
(b) de fontes externas legítimas, com devido embasamento legal ou contratual; ou
(c) em razão de eventual compartilhamento de dados entre a Organização, sua matriz e subsidiárias, montadoras, concessionárias e empresas do Conglomerado Santander, sem prejuízo do disposto na Lei e das hipóteses em que o consentimento for necessário; ou
(d) de outras Instituições Financeiras, por decorrência de requerimento pelo Open Banking.
3.4 Dentro do possível os Dados serão hospedados em servidores localizados no Brasil e eventualmente na Área Econômica Europeia e a presente Política de Privacidade cobre tanto os tipos de Tratamento automatizados, como os manuais.
4. FINALIDADES ESPECÍFICAS DO TRATAMENTO DE DADOS
4.1 Nos termos da LGPD, a Organização realiza o Tratamento de Dados respaldado em suas hipóteses legais para o cumprimento de finalidades específicas, tais como:
(a) cumprimento de obrigações legais, regulatórias e decisões de autoridades, sejam adminsitrativas ou judiciais;
(b) exercício regular de direitos, inclusive de defesa em processo judicial, administrativo ou arbitral;
(c) realização de auditorias;
(d) proteção do crédito;
(e) análise de perfil para concessão de crédito ou gestão de riscos;
(f) execução dos contratos firmados com seus clientes ou execução de ações em virtude de relações pré-contratuais, durante a vigência da contratação ou pós-contratação;
(g) atendedimento aos interesses legítimos das Organização, de seus clientes ou de terceiros;
(h) garantia demaior segurança e prevenção de fraudes;
(i) garantia da adequada identificação, qualificação e autenticação, conferindo maior segurança durante a navegação ao Titular;
(j) manutenção e atualização cadastral;
(k) prevenção aos atos relacionados à lavagem de dinheiro e outros atos ilícitos; realizar análises de risco de crédito;
(l) aperfeiçoamento do atendimento e os produtos e serviços prestados, inclusive para tratamento de reclamações, dúvidas e solicitações, bem como suporte ao titular, pesquisa de satisfação de produtos e serviços e pesquisas de comunicação e marketing de relacionamento;
(m) ofertas de produtos e serviços adequados e relevantes aos seus interesses e necessidades de acordo com o seu perfil, inclusive mediante campanhas de marketing ou de simulações;
(n) participação em programas de fidelidade da Organização;
(o) outras hipóteses baseadas em finalidades legítimas, como apoio e promoção de atividades da Organização, ou para a prestação de serviços que beneficiem os clientes;
(p) análise dados para aperfeiçoar a usabilidade, experiência e interatividade na utilização dos nossos portais, sites e aplicativos;
(q) utilização de cookies, conforme a Política de Cookies;
(r) compartilhamento dos Dados do Titular com outras Instituições Financeiras, com o consentimento deste, no cenário de Open Banking.
4.2 A Organização pode utilizar, de acordo com o seu interesse legítimo, os Dados do Titular para o envio de publicidade, direcionada por e-mail ou por quaisquer outros meios de comunicação, e compartilhar com as demais Empresas do Grupo, sua matriz e subsidiárias, montadoras ou concessionárias Renault e Nissan, empresas do Conglomerado Santander, para oferta de produtos e serviços de seu interesse.
4.3 Entretanto, fica reservado ao Titular o direito de, a qualquer momento, inclusive no ato da disponibilização dos Dados, informar à Organização, por meio dos canais de comunicação disponíveis para este cadastro, o não interesse em receber tais anúncios, inclusive por e-mail (opt-out), hipótese em que a Organização interromperá tais serviços no menor tempo possível. Para cancelamento da inscrição para o recebimento de e-mail com fins publicitários, o Titular poderá consultar as instruções de opt-out presentes no rodapé dos e-mails.
4.4 Para as finalidades em que há necessidade da coleta do consentimento do Titular, o Tratamento dos Dados está condicionado à manifestação livre, informada e inequívoca do Titular.
4.5 As informações coletadas por meio dos canais de atendimento são armazenadas utilizando-se rígidos padrões de sigilo e integridade, bem como controles de acesso físico e lógico, observando-se sempre os mais elevados princípios éticos e legais.
5. HIPÓTESES LEGAIS DO TRATAMENTO DE DADOS
5.1 Os Dados Pessoais podem ser processados se o Tratamento de Dados for baseado em algumas das hipóteses legais previstas no art. 7º da LGPD, quais sejem :
(a) consentimento inequívoco do Titular;
(b) execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o Titular, a pedido do Titular dos Dados;
(c) cumprimento de obrigação legal ou regulatória pelo Controlador;
(d) exercício regular de direitos em processo judicial, administrativo ou arbitral;
(e) proteção da vida ou da incolumidade física do Titular ou de terceiro;
(f) atendimento aos interesses legítimos do Controlador ou de terceiro; ou
(g) proteção do crédito.
5.2 Os Dados Pessoais Sensíveis podem ser processados se o Tratamento de Dados for baseado em algumas das hipóteses legais previstas no art. 11 da LGPD, como :
(a) consentimento específico e destacado para finalidades específicas, do Titular ou seu responsável legal;
(b) cumprimento de obrigação legal ou regulatória pelo Controlador;
(c) proteção da vida ou da incolumidade física do Titular ou de terceiros;
(d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; e
(e) garantia da prevenção à fraude e à segurança do Titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos Dados Pessoais.
6. OBRIGAÇÕES DE SIGILO BANCÁRIO
6.1 Para as atividades específicas e previstas pela Lei Complementar 105/2001 deve ser aplicado o sigilo bancário das operações.
6.2 Dependendo da característica dos Dados e do seu Tratamento, com o objetivo de adotar um procedimento adequado para proteção de dados, eventualmente, entidades não bancárias da Organização poderão adotar medidas mais conservadoras na realização do Tratamento dos Dados.
7. GUARDA E DESCARTE DOS DADOS PESSOAIS
7.1 Há vários componentes para calcular os períodos de guarda e conservação dos Dados, os quais podem ser alterados de acordo com a finalidade para a qual os Dados foram coletados.
7.2 Após o cumprimento das finalidades específicas para as quais foram coletados, os Dados são descartados no âmbito e nos limites técnicos das atividades, autorizada a conservação para as seguintes finalidades:
(a) Cumprimento de obrigação legal ou regulatória pela Organização;
(b) Transferência a terceiro, desde que respeitados os requisitos de Tratamento de Dados dispostos na LGPD; e
(c) Uso exclusivo da Organização, vedado seu acesso por terceiro, e desde que anonimizados os dados.
8. SUBCONTRATAÇÃO DE OPERADORES
8.1 Quando o Tratamento dos Dados for realizado por um Operador, a Organização escolherá um subcontratado que tenha condições técnicas de segurança e organizacionais suficientes para garantir que Tratamento seja executado de acordo com esta Política de Privacidade e com a legislação pertinente.
8.2 A Organização deve garantir que os subcontratados concordem por escrito e cumpram as condições do Tratamento por ela estipuladas. Deverá ser assinado um contrato que determine que o subcontratado atue apenas conforme as instruções da Organização.
8.3 A Organização se reserva no direito de verificar se os Operadores de Dados seguem os processos, instruções operacionais e procedimentos por ela definidos, por meio de auditorias ordinárias ou extraordinárias.
9. TRANSFERÊNCIA INTERNACIONAL DE DADOS
9.1 A Organização, em razão da sua operação, transfere Dados para fora do território nacional cumprindo os requisitos estabelecido na LGPD, como:
(a) transferindo os Dados para países ou organismos internacionais que proporcionam grau de proteção de Dados adequados;
(b) transferindo dados para Operador internacional que ofereça garantias do cumprimento dos princípios e direitos dos Titulares na forma prevista na lei.
10. DIREITOS DOS TITULARES DE DADOS
10.1 O Titular de Dados, sempre que possível, recebe informações sobre o Tratamento de seus Dados no momento da sua coleta, incluindo: nome do Controlador, finalidade, Dados coletados, destinatários dos dados e informações sobre seus direitos. Estas e outras informações poderão ser encontradas nos termos de uso dos sites ou aplicativos da Organização; contratos firmados com os consumidores; e/ou nos canais oficiais da Organização.
10.2 O Titular pode exercer direitos em relação ao Tratamento de seus Dados, como: acesso à informação; objeção ao processamento, à tomada de decisão automatizada e definição de perfil; restrição de processamento; portabilidade de dados; retificação e eliminação de dados; e revogação do consentimento, conforme aplicável em cada caso, pelos canais de comunicação indicados ao final desta Política de Privacidade.
10.3 A Organização possui procedimentos adequados para garantir as respostas aos Titulares de Dados nos prazos legalmente estabelecidos e se reserva, nos termos da LGPD, no direito de avaliar os pedidos dos Titulares e atendê-los quando tecnicamente viável e efetivamente exigido por lei. De qualquer modo, a resposta da avaliação será informada ao Titular de Dados.
10.4 Quanto ao Open Banking, é também direito do Titular de Dados consultar os Dados recebidos de outras instituições financeiras. Porém, em caso de dúvidas, o seu contato deve ocorrer diretamente com a instituição financeira de origem dos Dados, a quem poderá solicitar, a qualquer momento, o cancelamento desta autorização.
11. OBRIGAÇÕES DOS TITULARES DE DADOS
11.1 O Titular de Dados é responsável pela veracidade, exatidão e confirmação dos Dados por ele informados, seja nos sites e aplicativos da Organização, seja por outro meio.
11.2 É vedado ao Titular de Dados: compartilhar com outras pessoas ou empresas terceiras, incluindo colegas de trabalho; familiares; e amigos, os logins, senhas ou qualquer tipo de credencial para acesso aos produtos e serviços da Organização. O Titular dos Dados deve utilizar senhas fortes e exclusivas para os ativos e ferramentas da Organização, que não se responsabiliza por eventuais violações à Privacidade e à Proteção dos Dados do Titular por ação ou omissão dele prórpio.
11.3 O Titular de Dados é responsável por adotar em seus dispositivos, utilizados para acesso aos ativos e ferramentas da Organização, todas as medidas de segurança necessárias, de modo que a Organização não se responsabiliza por eventuais violações à Privacidade e à Proteção de Dados do Titular se decorrentes desta falta de diligência.
12. ASSISTÊNCIA MÚTUA E COOPERAÇÃO COM A ANPD
12.1 A Organização, quando na qualidade de Controladora de Dados, cooperará com a ANPD em temas relacionados a Proteção e Privacidade de Dados Pessoais sob seu Tratamento, dentro dos limites da LGPD, e sem renunciar a qualquer direto de defesa e de recursos que lhe for garantido.
12.2 O Encarregado de Dados atua como o coordenador primário entre a Organização e a ANPD, tendo como suporte os seus colaboradores e/ou prestadores de serviços e/ou fornecedores, potencialmente envolvidos no Tratamento ou procedimento questionado.
13. OPEN BANKING
13.1 O Open Banking destina-se à melhor experiência no uso de produtos e serviços financeiros, mais adequados e personalizados, através de plataforma segura de comunicação entre as instituições financeiras, incluindo a Organização.
13.2 Neste caso, o compartilhamento de informações apenas se dará a partir do consentimento do Titular dos Dados, através de manifestação prévia e inequívoca, feita por meio eletrônico, após a solicitação por meio da instituição receptora dos Dados. A solicitação de compartilhamento de Dados compreenderá as etapas de consentimento, autenticação e confirmação. Assim, é o Titular de Dados quem decidirá quando e com quem deseja compartilhar seus Dados Pessoais para este fim.
13.3 Com o consentimento do Titular, poderão ser compartilhadas Dados, como, mas não limitados a:
(a) dados transacionais de contas;
(b) dados transacionais de cartão;
(c) dados transacionais de operação de crédito;
(d) seguros;
(e) produtos com natureza de investimento; e
(f) cadastro próprio e de seus representantes.
13.4 Com base no art. 10 da Resolução Conjunta nº 1 de 2020 do BCB e CNM, o compartilhamento desses Dados terá prazo de validade compatível com as finalidades desse Tratamento, tendo como limite o prazo de 12 (doze) meses. Além disso, o Titular dos Dados poderá solicitar, a qualquer momento, o cancelamento do consentimento fornecido.
13.5 É também direito do Titular consultar os Dados recebidos de outras Instituições Financeiras. Porém, em caso de dúvidas, o seu contato deve ocorrer diretamente com a instituição financeira de origem dos Dados Pessoais.
14. RESPONSÁVEL PELO TRATAMENTO DE DADOS PESSOAIS (CONTROLADOR)
14.1 Os dados pessoais fornecidos para a Organização, a depender do produto e/ou serviço ofertado podem ter uma das empresas listadas a seguir como Controladores de Dados: i) Mobilize Financial Services (Banco RCI Brasil S.A.), pessoa jurídica de direito privado com CNPJ/MF 62.307.848/0001-15, com sede na Rua Pasteur, nº 463, 2º Andar, Conjunto 203, Bairro Batel, Curitiba/PR, CEP 80.250-080; (ii) Administradora de Consórcio RCI Brasil Ltda, pessoa jurídica de direito privado com CNPJ/MF 73.230.674/0001-56, com sede na Alameda Europa, n° 150, Bairro Alphaville, Santana de Parnaíba/SP, CEP: 06541-065; (iii) RCI Brasil Serviços e Participações Ltda, pessoa jurídica de direito privado com CNPJ/MF 13.758.102/0001-12 com sede na Rua Pasteur, nº 463, 2º Andar, Conjunto 203, Bairro Batel, Curitiba/PR, CEP 80.250-080; e como Operador de Dados Pessoais a Corretora de Seguros RCI Brasil S.A., pessoa jurídica de direito privado com CNPJ/MF 04.406.267/0001-34, com sede na Rua Pasteur, nº 463, 2º Andar, Conjunto 203, Bairro Batel, Curitiba/PR, CEP 80.250-080.
14.2 O Encarregado de Dados/DPO, Maick Dias, pode ser contatado através do endereço Rua Pasteur, nº 463, 1º Andar, Conjunto 203, Bairro Batel, Curitiba/PR, CEP 80.250-080 e endereço de e-mail: atendimento-cliente@bancorci.com.br.
15. CANAL DE COMUNICAÇÃO
15.1 A Organização disponibiliza ao Titular de Dados, Operadores de Dados e qualquer outra pessoa (física ou jurídica) de forma gratuita, um canal de comunicação e atendimento exclusivo para questões relacionadas à Privacidade e Proteção de Dados Pessoais.
15.2.Todas as questões relacionadas ao tema Privacidade e Proteção de Dados Pessoais deverão ser direcionadas ao DPO, pelos seguintes meios:
(a) Portal de Privacidade;
(b) Endereço de e-mail: atendimento-cliente@bancorci.com.br; e
(c) Endereço postal: Rua Pasteur, nº 463, 1º Andar, Conjunto 203, Bairro Batel, Curitiba/PR, CEP 80.250-080.
16. IMPLEMENTAÇÃO
16.1 Cada Empresa do Grupo é responsável por assegurar que tenha um programa apropriado e efetivo de proteção de dados. Para facilitar a operação adequada desses programas, o Encarregado de Dados Pessoais supervisionará a implementação e operação em andamento dos programas de conformidade de proteção de dados das Empresas do Grupo. O programa de conformidade de proteção de dados estará sujeito a auditorias internas periódicas que testarão a eficácia dos programas de conformidade de proteção de dados.
16.2 AÇÕES PARA IMPLEMENTAÇÃO
16.2.1 Programa de treinamento
16.2.1.1 A Organização implementará programas de treinamento sobre proteção de Dados Pessoais aos Funcionários envolvidos no Tratamento de Dados Pessoais em relação aos princípios contidos nesta Política de Privacidade e Proteção de Dados Pessoais.
16.2.1.2 Os princípios gerais para treinamento e aumento de conscientização serão elaborados de forma conjunta e quando possível serão compartilhados exemplos práticos através de sessões de conscientização (e-learning, presencial, etc.) em linha com as leis e processos aplicáveis.
16.2.1.3 Cada empresa do Grupo definirá como executar o controle de conclusão, a periodicidade das atualizações, o treinamento de Funcionários recém contratados como parte da sessão de indução ao unirem-se à Organização, bem como um treinamento periodico especialmente dirigidos aos Funcionários que são mais intimamente envolvidos com aspectos críticos dos Dados Pessoais.
16.2.2 Governança
16.2.2.1 O Grupo possui globalmente uma Organização/Governança de Privacidade de Dados com (i) um modelo de governança de Privacidade de Dados aprovado pelo Comitê de Gerenciamento, (ii) um Administrador de Proteção de Dados do Grupo, (iii) um Comitê de Direção de Privacidade de Dados do Grupo, (iv) uma rede de Correspondentes de Proteção de Dados coordenada pelo Administrador de Proteção de Dados do Grupo.
16.2.2.2 O DPO Global determina a estratégia de proteção e privacidade de dados pessoais do Grupo de acordo com os objetivos estratégicos e garante que as subsidiárias façam a adesão às disposições aplicáveis dos regulamentos de proteção de dados e privacidade.
16.2.2.3 Localmente um Comitê de Privacidade deverá ser constituído por representantes das Empresas do Grupo e o Encarregado de Dados localmente será responsável, em conjunto com todas as áreas das respectivas empresas, pela implementação das diretrizes e obrigações fixadas na LGPD.
16.2.3 Controle
16.2.3.1 Considerando potenciais consequências graves decorrentes da violação da Lei Geral de Proteção de Dados Pessoais, as Empresas do Grupo devem implementar programas de conformidade e controles relacionados que sejam elaborados de forma cabível para prevenir, detectar, monitorar e abordar violações em potencial.
17. REGISTRO DE RECLAMAÇÕES
17.1 A Orgainização deve ter um processo interno, centralizado ou não, para registro de reclamações sobre o tratamento dos dados pessoais. No caso de uma reclamação, os Titulares dos Dados, considerando a realização de um tratamento ilegal ou inapropriado de seus Dados Pessoais que seja incompatível com a Política de Privacidade e Proteção de Dados, poderá peticionar para:
(a) O Encarregado de Dados Pessoais da Organização; e/ou
(b) A Autoridade Nacional de Proteção de Dados.
17.2 Todas as empresas do Grupo devem ter em seus sites da internet ferramentas práticas que permitam aos Titulares dos Dados registrarem reclamações, incluindo pelo menos uma das abaixo:
(a) Link da internet para um formulário de reclamação;
(b) Endereço de e-mail;
(c) Telefone;
(d) Endereço postal.
17.3 A menos que fique comprovado ser particularmente difícil encontrar as informações necessárias para conduzir a investigação, as reclamações devem ser investigadas da maneira mais rápida possível, com a conclusão em no máximo até 1 (um) mês e dando visibilidade dos próximos passos em até 05 (cinco) dias úteis ao titular dos dados pessoais.
18. NOTIFICAÇÃO DE VIOLAÇÃO DE DADOS PESSOAIS
18.1 Quando os Dados Pessoais dos Titulares dos Dados estiverem comprometidos, os responsáveis pelas Empresas do Grupo deverão notificar o DPO/Encarregado de Dados imediatamente. A Empresa envolvida, juntamente com o Encarregado de Dados, deve notificar a Autoridade Nacional de Proteção de Dados sem demora e em um prazo razoável contado da ciência do incidente de segurança.
18.2 A Comunicação deverá mencionar no mínimo a descrição da natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, os motivos da demora, no caso da comunicação não ter sido realizada imediatamente, e as medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial ou eventualmente o sigilo bancário.
19. RELATÓRIO
19.1 É esperado que as Empresas do Grupo relatem as informações relacionadas com violações de segurança de dados, qualquer auditoria ou exame da Autoridade Nacional de Proteção de Dados ao Encarregado de Dados/DPO Global da Organização.
20. LEI APLICÁVEL E RESOLUÇÃO DE CONFLITOS
20.1 Toda e qualquer controvérsia oriunda dos termos expostos na presente Política de Privacidade serão solucionados de acordo com a lei brasileira, sendo competente o foro da cidade de Curitiba, Estado do Paraná, com exclusão de qualquer outro por mais privilegiado que seja.
21. DISPOSIÇÕES GERAIS
21.1 Eventuais omissões ou meras tolerâncias das partes no exigir o estrito e pleno cumprimento desta Política de Privacidade e/ou de prerrogativas decorrentes dela ou da lei, não constituem novação ou renúncia, nem afetam o exercício de quaisquer direitos aqui previstos, que podem ser plena e integralmente exercidos, a qualquer tempo.
22.2 Caso se perceba que uma disposição é nula, as disposições restantes desta Política de Privacidade permanecerão em pleno vigor e um termo válido substituirá o termo nulo, refletindo nossa intenção, tanto quanto possível.