Política de Privacidade

POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS

 

1. POLÍTICA:

A alta administração da GP Investments, Ltd. (“GP”) preza pela privacidade e proteção dos dados pessoais dos indivíduos, e, por esta razão, desenvolveu esta Política que visa a estabelecer as diretrizes, regras gerais, papéis e responsabilidades a serem observadas por todos os Diretores, empregados, estagiários e determinados prestadores de serviços (“Colaboradores”) da GP no tocante à privacidade e proteção de dados pessoais, em especial de seus Colaboradores, clientes, parceiros, funcionários de clientes e de parceiros, dentre outros (“Titulares”).

O descumprimento da legislação brasileira que trata de proteção de dados pessoais (Lei Geral de Proteção de Dados Pessoais ou “LGPD”) poderá resultar na aplicação de penalidades que incluem multas substanciais de até 2% do faturamento da empresa, grupo ou conglomerado no Brasil (limitada a R$ 50.000.000,00 por infração), além de danos significativos à reputação e potencial ajuizamento de ações judiciais de Titulares.

Todas as exceções a esta Política deverão ser analisadas e aprovadas pela Área de Compliance que analisará e responderá eventuais dúvidas, reclamações ou comentários, por meio do e-mail compliancegp@gp-investments.com.

 

Definições

Termos em letra maiúscula nesta política têm o significado atribuído a eles neste documento.

“Dados Pessoais” significam quaisquer informações que possam identificar um indivíduo (e.g., nome, número de documentos de identificação, endereço de e-mail, número de telefone).

“Dados Pessoais Sensíveis” significam determinados Dados Pessoais considerados mais sensíveis (e.g., origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, referentes à saúde ou à vida sexual, genéticos ou biométricos) e que, portanto, devem ter tratamento diferenciado. Para evitar dúvidas, Dados Pessoais Sensíveis estão compreendidos na definição de Dados Pessoais para fins desta política.

“Tratamento” significa qualquer atividade que envolva tratamento de Dados Pessoais, incluindo, sem limitação, aquelas que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

2. POLÍTICAS RELACIONADAS:

– Política de Privacidade do Site

– Política de Resposta a Incidentes

3. DIRETRIZES:

Todos os Colaboradores deverão, no desempenho de suas atividades, observar o seguinte:

• Regras Gerais
• Limitar o Tratamento de Dados Pessoais apenas e tão somente aqueles que sejam realmente necessários e sempre observar os princípios e finalidades previstos nesta Política.
• Sempre que necessário, obter o consentimento adequado do Titular, observados os procedimentos estabelecidos pela GP. Apenas em circunstâncias excepcionais, confiar no consentimento dado em nome do Titular, como, por exemplo, por um Colaborador em nome de um membro de sua família.
• Observar os procedimentos físicos, técnicos e administrativos estabelecidos pela GP para resguardar os Dados Pessoais (e.g., uso de crachá para acesso, armário específico para guarda de documentos contendo dados pessoais, login e senha para acesso a sistemas e diretórios de rede, etc).
• Acessar apenas e tão somente os Dados Pessoais aos quais tenha real necessidade para cumprimento de suas atividades na GP.
• Quando o Tratamento dos Dados Pessoais terminar ou, após solicitação expressa e específica do Titular para excluí-los (se cabível), os Dados Pessoais deverão ser excluídos ou anonimizados de acordo com procedimentos estabelecidos pela GP, salvo nos casos em que sua manutenção for exigida ou permitida pela legislação ou regulamentação aplicável.
• Sempre observar o disposto neste documento quando for necessário compartilhar Dados Pessoais com parceiros da GP, obtendo destes a devida garantia de que a LGPD e as diretrizes aqui previstas serão sempre observadas (se possível, envolver a Área de Tecnologia da Informação desde o início das negociações para contratação de parceiros que terão acesso e realizarão tratamento de Dados Pessoais para que esta proceda as verificações de segurança necessárias).
• Princípios
• finalidade: realizar o Tratamento para propósitos legítimos, específicos, explícitos e informados previamente aos Titulares (“Finalidades”, listadas abaixo no item C), sem possibilidade de Tratamento posterior de forma incompatível, salvo mediante autorização dos Titulares;
• adequação: o Tratamento dos Dados Pessoais deve ser realizado de acordo com as Finalidades informadas aos Titulares;
• necessidade: limitar o Tratamento ao mínimo necessário para a realização das Finalidades (Dados Pessoais pertinentes, proporcionais e não excessivos em relação às Finalidades);
• livre acesso: garantir aos Titulares consulta gratuita sobre a forma e a duração do Tratamento, bem como sobre a integralidade de Dados Pessoais;
• qualidade: garantir aos Titulares exatidão, clareza e relevância dos Dados Pessoais, conforme prestados pelos Titulares, de acordo com a necessidade e para o cumprimento das Finalidades;
• transparência: garantir aos Titulares informações claras, precisas e acessíveis sobre a realização do Tratamento e os respectivos agentes de Tratamento, observados os segredos comercial e industrial;
• segurança: observar as medidas técnicas e administrativas estabelecidas pela GP para proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
• prevenção: observar as medidas estabelecidas pela GP para prevenir a ocorrência de danos em virtude do Tratamento;
• não discriminação: não tratar os Dados Pessoais para fins discriminatórios ilícitos ou abusivos;
• responsabilização e prestação de contas: observar as medidas adotadas pela GP para comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
• Finalidades

Os Colaborares deverão utilizar os Dados Pessoais apenas para as seguintes finalidades:

• operar o site gp-investments.com (“Site”);
• aperfeiçoar a usabilidade e a interatividade do Site;
• entender melhor as necessidades e interesses dos Titulares, bem como desenvolver e melhorar o conteúdo fornecido pela GP por meio do Site ou de qualquer outra forma;
• identificar e/ou verificar identidades e/ou informações;
• manter registro atualizado de identificação/qualificação de cada Titular investidor (Know your Client – KYC), conforme previsto na legislação/regulamentação aplicável;
• possibilitar a comunicação para dar suporte, atender solicitações/reclamações ou obter feedback de Titulares, de fornecedores de bens/serviços e/ou demais parceiros ou clientes;
• enviar avisos e/ou informações adicionais relacionadas à GP ou ao Site;
• iniciar e/ou completar transação iniciada por ou envolvendo um Titular;
• elaborar análises estatísticas por meio da anonimização conforme legislação aplicável;
• realizar campanhas de comunicação e/ou de marketing;
• realizar análises financeira e/ou de compliance do Titular, se e quando necessário;
• gerenciar as instalações da GP, bem como a infraestrutura e suporte de Tecnologia da Informação;
• contato, seleção, contratação e gestão de Colaboradores, incluindo processamento da folha de pagamento, gestão de benefícios e desempenho e/ou desenvolvimento profissional;
• investigar e/ou tomar medidas contra suspeita ou violação desta Política, da legislação/regulamentação aplicável ou ainda dos Termos e Condições ou da Política de Privacidade do Site, bem como prevenir ou investigar fraudes e gerenciar riscos;
• proteger ativos ou direitos da GP e/ou cumprir/exigir o cumprimento de obrigações assumidas;
• outros propósitos permitidos ou exigidos pela legislação/regulamentação aplicável, bem como para responder a ordens de autoridades competentes ou a processos arbitrais, administrativos ou judiciais.
• Base legal para tratamento

Dados Pessoais

Os Dados Pessoais devem ser coletados, utilizados, transferidos ou de qualquer outra forma tratados com base em uma ou mais das seguintes bases legais: (i) Consentimento: o Titular consentiu de forma livre, informada e inequívoca; (ii) Execução de Contrato: o tratamento é necessário para a execução de um contrato do qual um Titular é parte ou para tomar medidas a pedido do Titular antes de celebrar um contrato; (iii) Exigência Legal: o tratamento é necessário para o cumprimento de uma obrigação legal; (iv) Exercício Regular de Direitos: o tratamento é necessário para assegurar o exercício regular de direitos em processo judicial, administrativo ou arbitral; (v) Interesses legítimos: o tratamento é necessário para os fins dos interesses legítimos perseguidos pela GP, exceto no caso de prevalecerem direitos e liberdades fundamentais do Titular que exijam a proteção dos dados pessoais.

Dados Pessoais Sensíveis

Os Dados Pessoais Sensíveis devem ser coletados, utilizados, transferidos ou de qualquer outra forma tratados com base em uma ou mais das seguintes bases legais: (i) Consentimento: o Titular consentiu de forma livre, informada e inequívoca; (ii) Exigência Legal: o tratamento é necessário para o cumprimento de uma obrigação legal; (iii) Exercício Regular de Direitos: o tratamento é necessário para assegurar o exercício regular de direitos em processo judicial, administrativo ou arbitral; (iv) Segurança do Titular: o tratamento é necessário para garantir a segurança do Titular, nos processos de identificação e autenticação de cadastro.

• Compartilhamento

A GP não compartilha Dados Pessoais, exceto nos termos previstos nesta Política, na Política de Privacidade do Site e/ou na legislação aplicável. A GP poderá compartilhar Dados Pessoais se necessário para que seus parceiros desempenhem funções em seu nome, observados os limites desta Política e da legislação aplicável. Eventual compartilhamento também poderá ser necessário para resolver disputas/reclamações ou ainda para proteger direitos da GP, seus Colaboradores, clientes ou parceiros. A GP poderá ainda compartilhar as informações pessoais com outras empresas integrantes do grupo (inclusive no exterior) para as finalidades aqui previstas. Em todo caso, a GP permanecerá sempre responsável pelo Tratamento realizado pelos parceiros. Em caso de dúvidas, antes de compartilhar Dados Pessoais, favor entrar em contato pelo e-mail compliancegp@gp-investments.com.

• Retenção e Eliminação de Dados Pessoais

Os registros contendo Dados Pessoais deverão ser mantidos pelo tempo necessário para atender às necessidades operacionais da GP, observada a legislação/regulamentação aplicável, em especial a LGPD. O Colaborador que criar um registro será o responsável por garantir que este seja armazenado no local apropriado, de acordo com as políticas aplicáveis (seja no formato físico – armários ou arquivos específicos, seja no formato eletrônico – diretórios ou sistemas específicos). Ademais, a área respectiva além de ser subsidiariamente responsável pelo devido armazenamento dos registros, também será responsável pelos Dados Pessoais eventualmente imputados em ferramentas e/ou aplicativos disponibilizados pela GP para a realização das atividades pelos Colaboradores.

Retenção

O Tratamento dos Dados Pessoais deverá ser realizado nos termos da legislação aplicável e terminará na ocorrência de uma das seguintes hipóteses: (i) verificação de que a finalidade foi alcançada ou de que os Dados Pessoais deixaram de ser necessários ou pertinentes ao alcance da finalidade específica almejada; (ii) fim do período de Tratamento; (iii) comunicação do Titular, inclusive no exercício de seu direito de revogação do consentimento conforme previsto em lei, resguardado o interesse público; ou (iv) determinação da autoridade nacional, quando houver violação ao disposto na legislação aplicável.

O Colaborador que criar o registro contendo os Dados Pessoais será o responsável pela observância da ocorrência das hipóteses aqui previstas, bem como pela eliminação adequada dos registros no momento oportuno. Todavia, todos aqueles Colaboradores que tiverem acesso e utilizarem de alguma forma referido(s) registro(s) e o responsável pela área em questão serão corresponsáveis caso determinado registro não seja adequadamente eliminado no momento oportuno.

Pelo menos, anualmente, os registros deverão ser revisados pelo responsável da área pertinente para determinar se esta Política está sendo adequadamente cumprida.

Nenhum registro deverá ser destruído ou excluído se qualquer solicitação relacionada à proteção de dados pessoais, negociação, reclamação, ação ou auditoria envolvendo os Dados Pessoais nele contidos for iniciada antes do término do Tratamento (ou for potencialmente provável de ocorrer). Neste caso, o registro em questão deverá ser retido até a resolução de todas as questões, mesmo que ocorra uma das hipóteses aqui previstas. Todavia, o responsável da área pertinente deverá garantir que o registro em questão seja movido de um ambiente ativo para um arquivo com segurança adequada e acesso restrito, bem como que será utilizado apenas e tão somente para o propósito especificado. Este mesmo cuidado deverá ser aplicado no caso de retenção apenas para fins legais/regulatórios.

Eventualmente, poderão ser mantidos Dados Pessoais para análises estatísticas para fins de melhoria nos produtos e serviços da GP, por meio da anonimização nos termos da legislação aplicável.

Periodicamente, a GP poderá auditar os processos e procedimentos internos que envolvem o tratamento de Dados Pessoais para verificar a conformidade com as disposições desta política.

Cada uma das áreas será responsável pelos Dados Pessoais que compartilhar com terceiros (incluindo e, em especial, o Colaborador que realizou referido compartilhamento e, em sua ausência, o seu substituto ou o responsável da área em questão), devendo garantir que tais terceiros cumpram com a LGPD e com as diretrizes aqui previstas, bem como que os respectivos contratos contenham as garantias adequadas necessárias (se for preciso, envolver a Área de Tecnologia da Informação para verificar questões de segurança antes da contratação e/ou de realizar o compartilhamento dos Dados Pessoais). Ademais, a área responsável deverá acompanhar o tratamento dos Dados Pessoais que compartilhar, inclusive pleiteando a comprovação de que foram eliminados adequadamente no momento oportuno.

Eliminação

No momento oportuno conforme previsto acima, os registros contendo Dados Pessoais deverão ser excluídos ou destruídos de forma a obstar qualquer forma de recuperação posterior. Dentre os métodos seguros de exclusão ou destruição (não recuperável), podemos citar os seguintes:

• Formato eletrônico: Os registros eletrônicos deverão ser excluídos de forma que garanta que os Dados Pessoais não possam ser recuperados. Se os registros estiverem em discos rígidos, mídia removível e quaisquer itens semelhantes deverão ser apagados com segurança antes de qualquer descarte ou reatribuição do equipamento. Caso isso não seja possível, os equipamentos deverão ser fisicamente destruídos por uma empresa de destruição especializada autorizada com a emissão do respectivo certificado.
• Formato físico: Todos os registros físicos deverão ser destruídos usando trituradores de corte transversal.

Se as opções acima não estiverem disponíveis ou em caso de dúvida sobre como proceder na exclusão/destruição de determinado registro, entrar em contato com a Área de Tecnologia da Informação para obter orientação específica. Eventualmente, poderão ser mantidos registros: (i) necessários para que a GP cumpra uma exigência legal/regulatória e/ou exerça seus direitos ou se defenda em ações judiciais; ou (ii) que sejam de difícil acesso em razão de questões técnicas e/ou operacionais (e.g., backup em fita), sendo que a GP envidará seus melhores esforços para excluir/destruir os registros de forma adequada e tempestiva.

O responsável da área pertinente deverá aprovar previamente a destruição ou exclusão dos registros contendo Dados Pessoais e deverá manter registro apropriado da ocorrência, incluindo a data (e hora, se relevante), o conteúdo e o método de destruição ou exclusão.

Em caso de dúvida, o responsável da área pertinente deverá entrar em contato por meio de e-mail compliancegp@gp-investments.com.

• Atendimento a Direitos dos Titulares

A qualquer tempo, os Titulares poderão solicitar à GP que:

• confirme a existência de Tratamento de Dados Pessoais;
• dê acesso aos Dados Pessoais tratados;
• corrija os Dados Pessoais incompletos, inexatos ou desatualizados;
• anonimize, bloqueie ou elimine Dados Pessoais desnecessários, excessivos ou tratados em desconformidade com o disposto na legislação ou regulamentação aplicável;
• elimine os Dados Pessoais tratados com o consentimento do Titular, exceto para (i) cumprimento de obrigação legal ou regulatória da GP; (ii) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização; (iii) transferência a terceiro, desde que respeitados os requisitos de Tratamento previstos na legislação aplicável; ou (iv) uso exclusivo da GP, vedado seu acesso por terceiro e desde que anonimizados;
• informe as entidades públicas e/ou privadas com as quais a GP tenha realizado uso compartilhado;
• informe sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• possibilite, por procedimento gratuito e facilitado, a revogação do consentimento (se cabível), ratificados os Tratamentos realizados anteriormente.

Eventuais solicitações dos Titulares recebidos por qualquer Colaborador deverão ser direcionadas imediata e exclusivamente para o e-mail compliancegp@gp-investments.com e serão obrigatoriamente respondidas em até 15 (quinze) dias, ainda que de forma negativa. Todavia, antes de responder a uma solicitação, será necessário: (i) confirmar a identidade do Titular; e (ii) verificar se a solicitação procede junto às áreas pertinentes. As áreas eventualmente envolvidas na solicitação em questão terão um prazo de 48 (quarenta e oito) horas para enviar suas considerações a respeito contadas do recebimento de e-mail pertinente.

Ainda que não seja possível atender à solicitação do Titular (e.g., não há Tratamento de dados deste Titular ou os mesmos não estão incompletos, inexatos ou desatualizados), uma resposta neste sentido deverá ser elaborada e um registro adequado da resposta enviada pela GP e das informações e/ou documentos que basearam tal posicionamento juntamente com a solicitação recebida do Titular deverá ser mantido. Referidos registros deverão ser mantidos em todos os casos para atender eventual necessidade de comprovação futura.

• Treinamento

Todos os Colaboradores da GP são informados sobre esta política e recebem treinamento no momento da contratação, e uma vez ao ano, no mínimo. Isso garante que entendam a postura da GP no tocante à privacidade e proteção de dados pessoais, bem como conheçam seus papéis e responsabilidades.

• Transferência Internacional de Dados Pessoais entre empresas do grupo

Em atendimento às exigências específicas da LGPD, a GP e suas subsidiárias deverão observar diretrizes adicionais a esta política na transferência de Dados Pessoais para fora do país, as quais constam do “Anexo A” a esta política.

 Fiscalização

Caso um Colaborador tome conhecimento de fatos ou circunstâncias que caracterizem (ou que, em seu julgamento, possam caracterizar) violação desta Política ou de qualquer outra política, procedimento ou padrão estabelecido pela GP, deverá relatá-los imediatamente à Área de Compliance, por meio dos canais de denúncia da GP ou por meio do e-mail compliancegp@gp-investments.com. A Área de Compliance examinará qualquer relato e, após investigação apropriada, tomará as providências eventualmente necessárias. Eventual descumprimento desta Política caracterizará violação das obrigações assumidas pelo Colaborador perante a GP, podendo acarretar medidas disciplinares e, conforme o caso, a rescisão da relação empregatícia ou contrato com a GP.

• Encarregado

Na GP, o Encarregado que é a pessoa indicada para atuar como canal de comunicação entre a GP, os Titulares e a Autoridade Nacional de Proteção de Dados, será Alexandre Manrubia Haddad Filho, que responderá a eventuais reclamações, dúvidas e/ou comentários sobre esta política e/ou sobre a forma como a GP trata Dados Pessoais por meio do e-mail compliancegp@gp-investments.com. Nas ausências, impedimentos e vacâncias do Encarregado, a função será exercida por Denilson Ishikawa.

Anexo A

Normas Corporativas Globais (BCR)

Este Anexo traz diretrizes adicionais à Política de Privacidade e Proteção de Dados da GP que deverão ser observadas para permitir que a GP transfira Dados Pessoais do Brasil para outros países, conforme exigências específicas da LGPD (Artigo 33, inciso II, alínea “c”).

A GP desenvolveu um programa de proteção de dados que estabelece diretrizes, regras, papéis e responsabilidades com relação à privacidade e proteção de dados pessoais para garantir o respeito à privacidade em todos os aspectos de suas operações. A GP e suas subsidiárias cumprem as leis de privacidade e proteção de dados em todos os países onde atuam e adotam os mais altos padrões em todo o mundo para fornecer proteção consistente aos Titulares em jurisdições que ainda não possuem leis de proteção de dados pessoais (ou que possuem leis menos protetivas que a LGPD).

Este Anexo aplica-se a todos os Dados Pessoais coletados e tratados diretamente pela GP ou suas subsidiárias, inclusive quando as subsidiárias da GP tratarem Dados Pessoais em nome de outras subsidiárias da GP. O conteúdo deste Anexo, assim como o da Política de Privacidade e Proteção de Dados, deve ser comunicado a todos os Colaboradores da GP e de suas subsidiárias e publicado internamente para consulta em caso de necessidade.

Este Anexo aplica-se ao tratamento de todos os Dados Pessoais de Colaboradores, clientes, parceiros, funcionários de clientes ou de parceiros, candidatos a empregos, entre outros.

• Auditoria

A GP poderá solicitar que uma auditoria, conforme aqui especificado, seja conduzida por um auditor externo. Os padrões profissionais aplicáveis de independência, integridade e confidencialidade devem ser observados durante a realização de qualquer auditoria. O Encarregado será informado dos resultados das auditorias e relatará eventuais descumprimentos à alta administração. Uma cópia dos resultados da auditoria poderá ser fornecida à Autoridade Nacional de Proteção de Dados brasileira, mediante solicitação.

A GP e as suas subsidiárias aceitarão eventual solicitação de auditoria de uma autoridade de proteção de dados nos países em que atuam, cumprindo com eventual orientação que lhe seja dada por referida autoridade no tocante ao disposto neste Anexo.

• Assistência Mútua e Cooperação

A GP e suas subsidiárias devem cooperar e ajudar uns aos outros na medida do razoavelmente no tocante à, dentre outras: (i) solicitação e/ou reclamação feita por um Titular; ou (ii) investigação ou inquérito envolvendo o tratamento dos Dados Pessoais objeto deste Anexo de uma autoridade pública, seja ela de proteção de dados ou não.

A empresa que receber a solicitação, reclamação ou notificação referente a investigação/inquérito será a responsável por toda e qualquer comunicação que se fizer necessário, exceto se determinado de outra forma pelo Encarregado. A empresa responsável pelo tratamento objeto da solicitação, reclamação ou investigação/inquérito arcará diretamente com todos os custos incorridos e/ou reembolsará a GP ou as outras subsidiárias, conforme o caso.

• Conflito e Precedência

Se a GP ou qualquer de suas subsidiárias tomar conhecimento de um conflito entre a legislação nacional e as disposições deste Anexo que possa impedir que a GP cumpra o disposto neste Anexo, o Encarregado deverá ser imediatamente informado sobre tal conflito. O Encarregado decidirá como resolver o conflito em questão e consultará a autoridade de proteção de dados apropriada, se necessário. Em qualquer caso, naqueles países onde a legislação local exigir um nível de proteção de dados pessoais mais elevado, tal legislação terá precedência sobre as disposições deste Anexo.

• Contato

Eventuais dúvidas, reclamações ou comentários, devem ser enviados por meio do e-mail compliancegp@gp-investments.com.