Privacidade aos Parceiros

A confidencialidade significa garantir que somente as pessoas autorizadas terão acesso às informações armazenadas ou transmitidas pela organização. Assim, busca-se evitar que pessoas não autorizadas tomem conhecimento de informações, de forma acidental ou proposital.

São exemplos de medidas de confidencialidade:

• O acesso à informação é concedido com base na “necessidade de conhecer” (need to know).
• O gerenciamento de acesso lógico assegura que pessoas não autorizadas não tenham acesso a determinados sistemas, arquivos, base de dados e programas. Um usuário, por exemplo, não tem o direito de alterar as configurações do computador corporativo, sendo essa responsabilidade do administrador da Área de TI/Segurança da Informação;
• Os colaboradores responsabilizam-se por não deixar documentos confidenciais sobre suas mesas enquanto estiverem longe de sua estação de trabalho (também conhecido como política de mesa limpa).

Consiste em garantir a fidedignidade de informações, ou seja, que não ocorra qualquer violação das informações, sendo elas alteradas ou excluídas, de forma acidental ou proposital. Qualquer modificação não autorizada de informação, seja deliberada ou acidental, é uma violação da integridade da informação.

Por exemplo, modificar incorretamente informações mantidas em banco de dados é outra forma comum de os usuários corromperem acidentalmente os dados, um erro que pode ter efeitos duradouros.

São exemplos de medidas de integridade:

• As ações dos usuários são registradas e gravadas (registro de logs) de forma a possibilitar verificar quem modificou a informação.

Significa garantir que as informações estejam disponíveis e acessíveis às pessoas e aos processos que delas necessitam, quando necessário. Em outras palavras, trata-se de garantir a prestação contínua do serviço, sem interrupções no fornecimento das informações.

Exemplo de medida de disponibilidade:

•  Adoção de procedimentos de backup estabelecidos.

A falta de segurança da informação coloca sistemas e serviços em riscos, podendo causar danos e prejuízos efetivos à empresa e também às pessoas, que podem ter sua privacidade violada.
Abaixo, listamos alguns exemplos dos danos que podem ser causados em decorrência de incidentes de segurança da informação:

• Fraude de identidade;
• Direcionamento fraudulento de indivíduos por meio de Engenharia Social (ex. e-mails enganosos);
• Ataques cibernéticos e sequestro (Ransomware) de equipamentos físicos e/ou virtuais;
• Máquinas infectadas por Malwares e vírus;
• Práticas de Phishing para coleta indevida de informações;
•  Exposição de dados pessoais e de informações críticas da organização;
• Pedidos falsos de créditos de qualquer natureza; e
• Outros danos diretos e indiretos.

É importante que os parceiros comerciais vinculados à marca VWFS envolvidos nas operações entendam que um tratamento indevido dos dados pessoais também significa violação de segurança da informação, pois pode levar a destruição, perda, alteração, divulgação não autorizada ou acesso não autorizado aos dados pessoais.

E não é demais reforçar que eventuais ocorrências de um incidente de segurança podem acarretar danos irreparáveis de ordem operacional, jurídico e reputacional à organização.

Outro ponto importante para garantir a segurança é o gerenciamento de riscos relacionados à segurança da informação, que consiste no processo de identificar, quantificar e gerenciar os riscos de modo estabelecer quais as medidas necessárias para endereçar estes riscos, minimizando sua probabilidade e impacto caso venham a se concretizar.

Por exemplo, o uso de dispositivos móveis (sejam particulares ou institucionais) que contenham dados pessoais ou permitam o acesso a dados pode representar um risco caso o dispositivo venha a ser perdido, furtado ou roubado. Para endereçar este risco, é necessária a adoção de senhas nos programas e pastas que deem acesso a estas informações. É possível também a implementação de medida que permita apagar os dados de forma remota.

Aplica-se a qualquer tratamento de dados pessoais, realizado em meio físico ou digital, por pessoa física ou jurídica de direito público ou privado.

• Ex. dados em meio físico: formulários de cadastramento, cópias impressas, currículos em papel, rascunho, arquivos físicos, receitas médicas etc.
• Ex. dados em meio digital: cópias digitais, documentos em e-mail, inseridos em CRM/ERP, sistemas internos, biometria, informações em planilhas etc.

A LGPD estabelece o princípio da segurança (art. 6º, VII), que consiste no dever legal dos agentes de tratamento (controlador e operador) adotarem medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (art. 46).

Assim, não basta a mera coleta de dados pessoais nos processos do dia-a-dia, deve-se utilizar de medidas para a garantia da segurança destes dados.

A lei prevê ainda que a ocorrência de incidentes com dados pessoais que possam causar risco ou dano relevante aos titulares de dados deverá ser comunicada à Autoridade Nacional de Proteção de Dados (ANPD) e aos próprios titulares de dados envolvidos.

Nesse sentido, os parceiros comerciais vinculados à marca VWFS devem adotar medidas técnicas e organizacionais contra destruição, acidental ou ilícita, perda, alteração indevida, comunicação ou difusão não autorizada, acesso não autorizado em relação aos dados pessoais que passem por tratamento.

A players do mercado financeiro que se utilizem de uma rede de correspondentes bancários com o fim de capilarizar seus serviços, independente se a operação se desenvolve de forma pessoal ou por meio de plataforma eletrônica.

O exame de certificação será aplicado à equipe do correspondente organizado por meio de entidade de reconhecida capacidade técnica e terá por base, no mínimo, os aspectos técnicos das operações, a regulamentação aplicável, a Lei Geral de Proteção de Dados (LGPD), o Código de Defesa do Consumidor, ética e ouvidoria.

É importante que o correspondente mantenha o cadastro de sua equipe permanentemente atualizado, de forma que contenha os dados sobre o respectivo processo de certificação, com acesso a consulta pela instituição contratante a qualquer tempo.

Em caso de contratação via plataforma eletrônica, o correspondente deve indicar a pessoa natural responsável pela plataforma perante a instituição contratante que deve também estar apta à certificação nos termos da própria resolução.

No que concerne o atendimento, comunicação e experiência do cliente, a qualificação técnica proposta deverá considerar:

(i) a oferta de produtos e serviços adequados às necessidades, interesse e objetivos dos clientes e usuários;

(ii) a prestação de informações necessárias à livre escolha e à tomada de decisões por parte de clientes e usuário;

(iii) e, a utilização de linguagem clara e adequada à natureza e à complexidade das operações.

O Código de Defesa do Consumidor prevê que, nos contratos de adesão – assim entendidos aqueles nos quais as cláusulas são estabelecidas unilateralmente pelo fornecedor, ou seja, não são negociadas – o tamanho da fonte não seja inferior a 12 (doze), de modo a facilitar a compreensão pelo consumidor.

Além disso, em virtude da natureza de prestador de serviços, os parceiros comerciais vinculados à marca VWFS estão sujeitos às obrigações previstas no Decreto 7.962 de 2013^, que regulamentou o Comércio Eletrônico no Brasil, sobretudo em relação à prestação de informações claras, completas e suficientes sobre a empresa e os produtos/serviços, além de detalhes de suas ofertas ao consumidor, sendo necessário a disponibilização no rodapé do Portal:

(i) nome empresarial;

(ii) número de inscrição no CNPJ; e

(iii) endereço físico e outro endereço eletrônico, se houver.

Sim. A Política de Privacidade é um importante documento, e possui a capacidade de demonstrar a conformidade com as leis de proteção de dados pessoais e o cumprimento ao dever de informação e transparência junto ao titular de dados pessoais.

O referido documento deve ser redigido conforme as expectativas de idioma do titular visado, de forma objetiva, clara, compreensível. É importante também que seja de fácil acesso, de modo que uma pessoa sem qualquer formação jurídica ou técnica possa localizá-lo sem ter que avançar várias etapas.

A Lei Geral de Proteção de Dados determina a necessidade de acesso facilitado sobre o tratamento de dados pessoais aos titulares, sendo recomendado a disponibilização de uma Política de Privacidade que aborde os seguintes pontos:

(i) finalidade específica do tratamento;

(ii) forma e duração do tratamento, observados os segredos comercial e industrial;

(iii) identificação do controlador;

(iv) informações de contato do controlador;

(v) informações acerca do uso compartilhado de dados pelo controlador e a finalidade;

(vi) responsabilidades dos agentes que realizarão o tratamento; e

(vii) direitos do titular, com menção explícita aos direitos e como exercê-lo no site;

(viii) o Encarregado pelo Tratamento dos Dados pessoais e o contato.

Sim, tal documento deve ser disponibilizado pois apresenta as responsabilidades e obrigações dos usuários e do próprio parceiro comercial vinculado à marca VWFS quando da utilização do portal, apresentando as regras de conduta para utilização dos serviços ofertados, eventuais proibições, condições de acesso, proteção da propriedade intelectual do negócio, entre outros.

É recomendável que os links para esses instrumentos estejam inseridos no rodapé do site. 

Vale apontar ainda que tais links deverão estar disponíveis para leitura quando das interações de coleta de dados / preenchimento de formulários.

Por exemplo, no caso de solicitação de cotação de consórcio pelo site, o parceiro comercial vinculado à marca VWFS deverá assegurar na tela de simulação, os elementos necessários (obrigatórios) e opcionais para cada finalidade identificada, sendo necessário também a remissão à Política de Privacidade e aos Termos de Uso.

Sim, trate-se de documento importante que visa assegurar a transparência com o titular de dados pessoais, informando quais cookies estão disponíveis no site e como a empresa responsável pela administração do portal os utiliza.

Recomendamos que, assim que o usuário acesse o site do parceiro comercial vinculado à marca VWFS, seja disponibilizado um pop-up ou uma barra fixa no início/ao final da página com um hyperlink para a Política de Cookies, onde o usuário poderá encontrar maiores informações sobre os cookies utilizados em sua navegação no Portal.

Caso seja necessário o consentimento do titular, é necessário que a plataforma seja capaz de coletá-lo em tempo hábil, antes do tratamento, sendo assegurado que a coleta foi obtida de forma transparente, inequívoca, possibilitando ao titular o direito à revogação.

Caso as condições sejam modificadas, deverá o parceiro comercial vinculado à marca VWFS obter novo consentimento, especialmente em circunstâncias em que o titular de dados pessoais possa ser impactado negativamente.

As logomarcas utilizadas nos sites, sejam de terceiros ou da própria VWFS, devem ser precedidas das competentes autorizações concedidas pelos titulares dos direitos das respectivas marcas.

(i) A utilização conforme as diretrizes autorizadas por seus titulares evita a ocorrência de violação a direitos de marca pelo seu uso não autorizado, que vão desde a obrigação de indenização, retirada do Portal do ar e até mesmo a configuração do crime previsto no artigo 189 da Lei de Propriedade Industrial, com pena de 3 (três) meses a 1 (um) ano ou multa.

É recomendável que os links para esses instrumentos estejam inseridos no rodapé do site. 

Vale apontar ainda que tais links deverão estar disponíveis para leitura quando das interações de coleta de dados / preenchimento de formulários.

Por exemplo, no caso de solicitação de cotação de consórcio pelo site, o parceiro comercial vinculado à marca VWFS deverá assegurar na tela de simulação, os elementos necessários (obrigatórios) e opcionais para cada finalidade identificada, sendo necessário também a remissão à Política de Privacidade e aos Termos de Uso.

É recomendável o uso de certificado digital SSL (Secure Sockets Layer) ou TSL (Transport Layer Security), protocolo mais atual.

(i) Trata-se de protocolo de segurança que busca garantir que os dados fornecidos pelo titular estejam protegidos e codificados, criptografando as informações transmitidas entre a loja virtual e o consumidor, tornando o processo menos vulnerável, cabendo aos parceiros comerciais vinculados à marca VWFS buscar tal implementação.

É recomendável também confirmar com os desenvolvedores do site a presença de plugins ou códigos-fonte de terceiros que não sejam confiáveis.