Este site usa cookies para que possamos oferecer a melhor experiência de usuário possível. As informações de cookies são armazenadas em seu navegador e executam funções como reconhecê-lo quando você retorna ao nosso site e ajudar nossa equipe a entender quais seções do site você considera mais interessantes e úteis.
COMPLIANCE - PLD/FT
Código: 001
TÍTULO: POLÍTICA DE PROTEÇÃO DE DADOS
Elaboração: 24/11/2022
Departamento de Compliance e CTO
Aprovação:
Diretoria Executiva
1. OBJETIVO
O objetivo da Política de Proteção de Dados é definir as principais regras em relação à proteção de dados que são aplicáveis à Welight Tecnologia e ao Instituto Welight para garantir um nível adequado de proteção aos Dados Pessoais tratados.
Orientar quanto às diretrizes aplicáveis à privacidade e proteção dos dados pessoais dos clientes, colaboradores e parceiros os quais a Welight Tecnologia e Instituto Welight tem acesso em função do desempenho de suas atividades, estabelecendo as regras aplicáveis sobre a coleta, registro, armazenamento, uso, compartilhamento, enriquecimento e eliminação dos dados coletados, de acordo com as leis em vigor.
2. DEFINIÇÕES
O “Comitê de Compliance” é um comitê especificamente dedicado a lidar com Proteção de Dados, composto por representantes da Welight Tecnologia, do Instituto Welight e do Encarregado de Proteção de Dados CTO.
“Colaboradores da Welight Tecnologia e do Instituto Welight” são todos os funcionários das Empresas do Grupo, incluindo diretores, estagiários, aprendizes e qualquer outra pessoa que possua vínculo direto com as empresas do Grupo.
“Controlador de Dados” significa uma pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao Tratamento de Dados Pessoais.
“Encarregado de Dados” ou “DPO” denominação para Data Protection Officer, e o responsável por coordenar e por assegurar a conformidade com a Política de Proteção de Dados e requisitos legais/regulamentares locais aplicáveis, também, atuará como o canal com os titulares dos dados e a Autoridade Nacional de Proteção de Dados.
“Operador de Dados” significa uma pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador de Dados.
“Dados Sensíveis” significa os dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
“LGPD” significa Lei Geral de Proteção de Dados Pessoais, Lei no 13.709 de 14 de agosto de 2018.
“PLD” significa Prevenção à Lavagem de Dinheiro e refere-se a um conjunto de normas e regulamentações determinadas pelo Banco Central.
3. ABRANGÊNCIA
Todos os administradores (diretores, membros do Conselho de Administração), e colaboradores das empresas Welight Tecnologia e Instituto Welight, assim como terceiros, prestadores de serviço e/ou fornecedores que tiverem acesso a informações dos clientes destas empresas.
Todas as Sociedades Controladas da Companhia devem definir seus direcionamentos a partir das orientações previstas na presente Política. Em relação às Sociedades Coligadas, os representantes da Companhia que atuem na administração das Sociedades Coligadas devem envidar esforços para que elas definam seus direcionamentos a partir das orientações previstas na presente Política, considerando as necessidades específicas e os aspectos legais e regulamentares a que estão sujeitas.
Abrangência geográfica: a presente Política de Proteção de Dados aplica-se ao Tratamento de Dados Pessoais coletados no Brasil.
4. REGULAMENTAÇÃO APLICÁVEL
Lei n° 13.709, DE 14 DE AGOSTO DE 2018;
5. DIRETRIZES
5.1 Disposições iniciais
Esta Política visa:
Demonstrar o compromisso da Welight Tecnologia e Instituto Welight em zelar pela privacidade e proteção dos dados pessoais coletados dos clientes, dos colaboradores e dos parceiros da Welight Tecnologia e Instituto Welight, em função do desempenho de suas atividades;
Adotar diretrizes que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à privacidade e proteção de dados pessoais;
Promover a transparência sobre a forma pela qual a Welight Tecnologia e Instituto Welight tratam dados pessoais; e adotar medidas de proteção em relação a risco de incidente de segurança que envolva dados pessoais, e cumprir à Lei Geral de Proteção de Dados e toda e Política de Proteção de Dados e qualquer legislação, incluindo regulamentações das autoridades competentes, que direta ou indiretamente estabeleça regras sobre o tema.
6. INFORMAÇÕES SUJEITAS À POLÍTICA
6.1 Estão sujeitas à esta Política:
Todas as informações fornecidas ou coletadas no contexto da prestação dos serviços pela Welight Tecnologia e Instituto Welight, aos seus clientes para aceitação de meios eletrônicos de pagamento, compreendendo a captura, transporte, processamento de informações e liquidação de transações, bem como a oferta de outros serviços e produtos correlatos; e todas as informações de colaboradores e parceiros coletadas no contexto de obrigação contratual ou legal.
Quanto à sua natureza, as informações podem ser classificadas em 2 (dois) grupos:
Informações fornecidas pelo titular do dado: São aquelas inseridas ou encaminhadas pelo titular do dado ou seu representante legal, decorrentes do contato ou cadastro junto à Welight Tecnologia e Instituto Welight, como: nome completo, CPF, data de nascimento, endereço completo, dados bancários, endereço de e-mail e número de telefone.
Informações coletadas a partir do uso dos nossos serviços pelo titular do dado:
São aquelas relacionadas à utilização de meios eletrônicos de pagamento, capturadas pela Welight Tecnologia e Instituto Welight e transmitidas e/ou compartilhadas com terceiros no contexto e limite necessário para o processamento e liquidação de transações eletrônicas de pagamento ou para a transmissão de informações relativas a transações não financeiras como objeto de serviço prestado pela Welight Tecnologia e Instituto Welight.
As práticas de privacidade específicas em relação a outros produtos e serviços que a Welight Tecnologia e Instituto Welight vier a disponibilizar aos seus clientes estarão associadas à aceitação pelo cliente ou terceiro de cada produto ou serviço.
7. TRATAMENTO DE DADOS
O Tratamento de Dados Pessoais executado sob o controle da Welight Tecnologia e Instituto Welight será feito de acordo com as leis aplicáveis e com as disposições desta Política de Proteção de Dados e em particular com as seguintes regras mínimas:
Quando estabelecido pela Lei Geral de Proteção de Dados (LGPD), um relatório de impacto à proteção de dados pessoais, deve ser conduzida pela Welight Tecnologia e Instituto Welight, incorporando os princípios estabelecidos no Art. 6o da Lei Geral de Proteção de Dados Pessoais: “§ A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular”.
Devem ser implementados procedimentos para garantir respostas imediatas às indagações dos Titulares dos Dados para assegurar que eles possam exercer adequadamente seu direito de acesso, retificação e recusa ao Tratamento (exceto quando a Lei Geral de Proteção de Dados Pessoais autorizar de outra forma).
Os Dados Pessoais apenas devem ser processados se esse Tratamento for baseado em bases legítimas, incluindo, por exemplo, se: O Titular dos Dados deu consentimento inequívoco; ou o Tratamento é necessário para o desempenho de um contrato no qual o Titular dos Dados é parte ou para executar etapas mediante a solicitação do Titular dos Dados antes de celebrar um contrato; ou é necessário para conformidade com uma obrigação legal com a qual o Controlador dos Dados está sujeito; ou é necessário para proteger os interesses vitais do Titular dos Dados.
O Tratamento é necessário para o desempenho de uma tarefa executada no interesse público ou no exercício de uma autoridade oficial investida no Controlador dos Dados ou em um terceiro para o qual os Dados Pessoais foram divulgados.
O Tratamento é necessário para objetivos de interesses legítimos almejados pelo Controlador dos Dados ou por Terceiro ou Partes para as quais os Dados Pessoais foram divulgados, exceto quando esses interesses são sobrepostos pelos interesses dos direitos e liberdades fundamentais do Titular dos Dados.
O Tratamento de Dados Sensíveis somente poderá ocorrer nas seguintes hipóteses:
(i) Quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
(ii) Os objetivos de executar as obrigações e direitos específicos do Controlador dos Dados no campo da legislação trabalhista dentro da extensão da legislação aplicável para as proteções adequadas;
(iii) Para proteger a vida ou da incolumidade física do titular ou de terceiros;
(iv) Como garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
(v) O Tratamento relaciona-se com Dados Sensíveis que foram tornados públicos pelo Titular dos Dados; ou o tratamento é permitido de outra forma mediante lei própria;
(vi) A Welight Tecnologia e o Instituto Welight devem ser capazes de demonstrar as medidas tomadas para garantir a conformidade com a LGPD, bem como demonstrar a eficácia destas medidas.
8. DADOS COLETADOS, FORMA E FINALIDADE DA COLETA
As informações serão coletadas por meios éticos e legais e armazenadas em ambiente seguro e controlado, pelo prazo exigido na regulamentação vigente.
A Welight Tecnologia e o Instituto Welight se compromete a tomar todas as medidas cabíveis para manter o absoluto sigilo e a estrita confidencialidade de todas as informações, dados pessoais ou especificações a que tiver acesso ou que porventura venha a conhecer ou ter ciência sobre as transações, portadores, dados de cartões e meios de pagamento, de seus clientes, bem como dos indivíduos diretamente relacionados aos clientes, a que venha a ter acesso em razão da prestação dos serviços pela Welight Tecnologia e Instituto Welight (quais sejam, a captura, processamento de informações e dentre outros serviços), sendo-lhe vedado ceder e/ou permitir acesso por terceiros a tais informações, ressalvadas as hipóteses descritas nesta Política.
Os Dados Pessoais devem ser coletados apenas para propósitos especificados, explícitos e legítimos e não podem ser tratados de forma incompatível com esses propósitos. Os Dados Pessoais apenas serão disponibilizados a terceiros para os ditos propósitos ou de qualquer outra forma permitida pelas leis aplicáveis.
O acesso de terceiros às informações coletadas pela Welight Tecnologia e pelo Instituto Welight se dá exclusivamente para atendimento das finalidades informadas nesta Política e dentro do limite necessário ao desempenho das atividades relativas ao curso normal dos seus negócios, incluindo, mas não se limitando a:
(i) Instituidoras de arranjos de pagamento e membros:
(ii) Redes de transferência eletrônicas;
(iii) Bancos de compensação e liquidação;
(iv) Prestadoras de serviços que executam operações comerciais e/ou de processamento de informações para a Welight Tecnologia e Instituto Welight:
(v) Auditores independentes;
(vi) Diretoria e área de compliance;
(vii) Processadora de cartões de crédito pré pagos;
(viii) Atividades de cobranças e informações cadastrais.
(ix) Agências de cobrança, serviços de proteção ao crédito e assemelhados;
(x) Atividades de consultoria em gestão empresarial, exceto consultoria técnica específica.
(xi) Órgãos reguladores competentes:
A utilização das informações coletadas pela Welight Tecnologia e Instituto Welight é feita exclusivamente para atendimento das finalidades informadas nesta Política no desempenho das atividades da Welight Tecnologia e Instituto Welight ou no oferecimento ao cliente de conteúdo específico a partir da utilização da informação e agregada sobre a sua área de atuação.
Obrigações de Sigilo para as atividades específicas e previstas pela Lei Complementar 105/200, devem ser observados o sigilo das operações. Tecnicamente essas obrigações são incluídas na Lei Geral de Proteção de Dados, dependendo da característica dos dados, e seu tratamento e com objetivo de adotar um procedimento adequado para proteção de dados; eventualmente entidades não bancárias como a Welight Tecnologia e Instituto Welight, poderão adotar medidas mais conservadoras na realização do tratamento dos dados pessoais.
Nas hipóteses em que se fizerem necessárias a divulgação dos dados pessoais de clientes, colaboradores ou parceiros, seja em razão de cumprimento de lei, determinação judicial ou de órgão competente fiscalizador das atividades desenvolvidas pela Welight Tecnologia e Instituto Welight e/ou terceiros, tais informações deverão ser reveladas somente nos estritos termos e nos limites requeridos para a sua divulgação, sendo que os titulares das informações divulgadas, na medida do possível, serão notificados, para que tomem as medidas protetivas ou reparadoras apropriadas.
9. DIREITOS DOS INDIVÍDUOS EM RELAÇÃO AOS DADOS PESSOAIS
A Lei Geral de Proteção de Dados Pessoais define que os indivíduos devem receber informações sobre o Tratamento dos Dados Pessoais no momento da coleta dos dados. Embora possa haver exceções a esta regra. O tipo exato de informações a serem fornecidas variará dependendo da operação, contrato ou serviço, mas geralmente inclui, no mínimo:
(i) Nome do Controlador dos Dados, que será um funcionário da Welight Tecnologia e Instituto Welight, já qualificadas nesta política;
(ii) Tipos de dados coletados; (iii) Objetivos da coleta e tratamento de Dados Pessoais;
(iv) Destinatários dos Dados Pessoais;
Informações sobre os direitos de acesso, correção, atualização e em alguns casos retirada de consentimento ou exclusão dos Dados Pessoais dos Sujeitos dos Dados, e como exercer esses direitos.
Estas informações poderão ser encontradas, nos termos de uso de site ou aplicativos da Welight Tecnologia e Instituto Welight, Contratos firmados com os consumidores e outras informações disponíveis nos canais oficiais da Welight Tecnologia e Instituto Welight.
No que diz respeito a LGPD, o Consentimento será necessário para realização de alguns tratamentos específicos, caso não exista base legal para utilização dos dados coletados. O consentimento deve abranger as atividades de tratamento de Dados Pessoais realizadas;
No caso de um Tratamento de Dados Pessoais, os Titulares dos Dados possuem os seguintes direitos dentre outros previstos na legislação brasileira:
(i) Confirmação da Existência de Tratamento;
(ii) Acesso aos dados;
(iii) Correção de dados incompletos, inexatos ou desatualizados;
(iv) Política de Proteção de Dados – Welight Tecnologia e Instituto Welight;
(v) Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
(vi) Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
(vii) Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas na LGPD;
(viii) Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
(ix) Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; (x) Revogação do consentimento, nos termos da LGPD;
(xi) A Welight Tecnologia e Instituto Welight serão individualmente autorizados diretamente a acessar seus dados; (xii) No entanto, podemos compartilhar seus dados pessoais internamente entre nossas áreas de controles;
(xiii) Dentro do possível, os seus dados pessoais serão hospedados em servidores localizados no Brasil.
10. SEGURANÇA DAS INFORMAÇÕES
Visando a segurança das informações fornecidas pelos clientes, a Welight Tecnologia e Instituto Welight dispõe de processos de segurança físicos, lógicos, técnicos e administrativos compatíveis com a sensibilidade das informações coletadas, cuja eficiência é periodicamente avaliada por auditoria independente.
A Welight Tecnologia e Instituto Welight implementam novos procedimentos e melhorias tecnológicas contínuas para proteger todos os dados pessoais coletados dos clientes.
Não obstante às medidas de segurança adotadas, a Welight Tecnologia e Instituto Welight não se responsabilizam por prejuízos decorrentes da violação da confidencialidade das informações em virtude da ocorrência de qualquer fato ou situação que não lhe seja imputável.
No tratamento das informações coletadas a Welight Tecnologia e Instituto Welight utilizam de sistemas estruturados de forma a atender aos requisitos de segurança e transparência, aos padrões de boas práticas e de governança e aos princípios gerais estabelecidos na Lei nº 13.709/2018 Lei Geral de Proteção de Dados Pessoais (“LGPD”).
Todas as tecnologias utilizadas respeitarão sempre a legislação vigente e os termos desta Política.
11. RELACIONAMENTO COM TERCEIROS
A Welight Tecnologia e o Instituto Welight exigem a todos os terceiros que mantenham a confidencialidade das informações a eles compartilhadas ou que tenham acesso em virtude do exercício da sua atividade, bem como que utilizem tais informações exclusivamente para os fins expressamente permitidos. No entanto, a Welight Tecnologia e Instituto Welight não se responsabilizarão pelo uso indevido de tais informações, seja pelos terceiros ou por seus colaboradores, em virtude do descumprimento desta Política e das obrigações contratuais assumidas por referidos terceiros com a Welight Tecnologia e Instituto Welight por meio de instrumentos próprios.
12. AÇÕES PARA IMPLEMENTAÇÃO
A Welight Tecnologia e o Instituto Welight responsabilizam-se em implementar programas de treinamento sobre proteção de Dados Pessoais aos Funcionários e envolvidos no Tratamento de Dados Pessoais em relação aos princípios contidos nesta Política de Proteção de Dados Pessoais.
Os princípios gerais para treinamento e aumento de conscientização serão elaborados e serão compartilhados exemplos práticos através de sessões de conscientização (Apresentações e presencial) em linha com as leis e processos aplicáveis.
13. GOVERNANÇA
A Welight Tecnologia e o Instituto Welight possuem uma Governança de Privacidade de Dados composta pela Diretoria Executiva e área de Compliance:
(i) Um modelo de governança de Privacidade de Dados aprovado pelo Comitê Executivo e de Compliance;
(ii) um Administrador de Proteção de Dados.
O DPO – Data Protection Officer determina a estratégia de proteção e privacidade de Dados Pessoais da Welight Tecnologia e Instituto Welight de acordo com os objetivos estratégicos e garante que todos façam a adesão às disposições aplicáveis dos regulamentos de proteção de dados e privacidade.
Localmente um Comitê de Privacidade deverá ser constituído por representantes da Welight Tecnologia e do Instituto Welight e o Encarregado de Dados localmente será responsável, em conjunto com todas as áreas da empresa pela implementação das diretrizes e obrigações fixadas na LGPD.
14. CANAIS DE COMUNICAÇÃO
A Welight Tecnologia e o Instituto Welight possuem um processo interno para registros de reclamações sobre o tratamento dos dados pessoais. No caso de uma reclamação, os Titulares dos Dados considerando a realização de um Tratamento ilegal ou inapropriado de seus Dados Pessoais que seja incompatível com a Política de Proteção de Dados, peticionar para:
(i) Encarregado de Dados Pessoais (DPO); e/ou
(ii) Autoridade Nacional de Proteção de Dados (ANPD) Quando um incidente reportado envolver dados pessoais e/ou dados pessoais sensíveis, a Welight Tecnologia e Instituto Welight deve informar prontamente a denúncia ao Data Protection Officer (“DPO”) / Encarregado em Privacidade e Proteção de Dados. Endereço eletrônico: contato@welight.co Dessa forma, a Welight Tecnologia e o Instituto Welight concedem garantia ao titular o exercício de diversos direitos previstos na LGPD, em especial os que se referem à garantia de acesso e retificação de seus dados, por meio de seus canais de atendimento. As reclamações devem ser investigadas da maneira mais rápida possível, com a conclusão em no máximo até 1 (um) mês e dando visibilidade dos próximos passos em até 05 (cinco) dias úteis ao titular dos dados pessoais.
15. AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD)
A Welight Tecnologia e o Instituto Welight devem agir em cooperação com a Autoridade Nacional de Proteção de Dados (ANPD) em qualquer problema em relação à Proteção de Dados, dentro dos limites previstos na LGPD e/ou direitos de recurso disponíveis ao Controlador de Dados:
(i) Disponibilizando o pessoal necessário para o diálogo com a ANPD;
(ii) Revisando de forma proativa, procedimentos internos considerando quaisquer diretrizes estabelecidas pela ANPD;
(iii) Ao responder as solicitações por informações ou reclamações;
(iv) Ao aplicar as recomendações relevantes ou diretrizes estabelecidas. A Welight Tecnologia e o Instituto Welight irão acompanhar e observar a decisão da ANPD, dentro dos limites estabelecidos na LGPD e regulamentos aplicáveis, sem renunciar a quaisquer defesas e/ou direitos de recurso disponíveis ao Controlador de Dados.
Se a ANPD solicitar informações ou exercer seu direito de investigação, o Encarregado de Dados / DPO da Welight Tecnologia e do Instituto Welight, deve atuar como o coordenador primário para formular uma resposta apropriada à indagação, tendo como suporte os colaboradores e/ou prestadores de serviços potencialmente envolvidos, bem como, os administradores e/ou responsáveis. Além disso, o DPO atuará como o contato direto e primário em relação à ANPD.
16. DISPOSIÇÕES GERAIS
É competência do Conselho de Administração da Companhia alterar esta Política sempre que se fizer necessário.