Esta Política consolida os princípios e práticas de proteção e governança de dados pessoais adotados pela CURITIBAPREV – Fundação de Previdência Complementar do Município de Curitiba (“CURITIBAPREV”), entidade fechada de previdência complementar, em observância aos preceitos da Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (“LGPD”) e às disposições contratuais e práticas relativas ao sigilo e à confidencialidade adotados, inclusive sobre:
- quais tipos de dados pessoais são tratados;
- como os dados pessoais são tratados;
- com quem dados pessoais são compartilhados;
- quais os fundamentos que autorizam o tratamento de dados pessoais;
- quais garantias são aplicáveis à segurança dos dados e informações tratados;
- os direitos dos titulares em relação à proteção de seus dados pessoais fornecidos e como exercê-los.
I – DADOS PESSOAIS
Para efeitos desta Política, dados pessoais são quaisquer informações, de qualquer natureza e independentemente do suporte (físico ou digital), relativas à pessoa natural identificada ou identificável, inclusive dados pessoais de crianças e adolescentes.
Legalmente, os dados pessoais sensíveis incluem as informações relativas à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual e dado genético ou biométrico dos titulares dos dados. Na CURITIBAPREV, porém, somente são tratados dados pessoais sensíveis relativos a saúde (em benefícios aos empregados, isenção tributária a portadores de moléstia grave, ou para elegibilidade a benefícios do plano previdenciário) e dados biométricos (como fotos e vídeos em processos de comunicação institucional, mediante consentimento).
Os dados pessoais tratados são sempre coletados diretamente do titular de dados ou de terceiros vinculados ao plano de benefícios, e variam conforme o objeto do contrato ou relação mantida junto à CURITIBAPREV.
II – COLETA E ARMAZENAMENTO DOS DADOS PESSOAIS
Para o desenvolvimento de suas atividades, a entidade realiza o tratamento de dados pessoais e dados pessoais sensíveis de participantes, assistidos, beneficiários, potenciais participantes (empregados das patrocinadoras aos quais a entidade é obrigada legalmente a oferecer plano de benefícios previdenciários), colaboradores, dirigentes, prepostos e fornecedores.
Os tipos de dados pessoais coletados e tratados pela entidade podem incluir:
- Informações de contato, como nome, endereço, número de telefone e e-mail;
- Dados de identificação, incluindo data de nascimento, RG, CPF, número de matrícula da entidade e das patrocinadoras;
- Informações necessárias para a concessão e manutenção de benefícios, por exemplo: tempo de contribuições, informações sobre salário e dados bancários;
- Informações relacionadas à família, dependentes ou questões pessoais, como estado civil e informações necessárias para alocação de benefícios previdenciários; e
- Informações sobre saúde, como moléstias graves para isenção de imposto de renda, ou atestados médicos, no caso dos empregados próprios da entidade.
Essas e demais informações pessoais tratadas pela entidade podem ser coletadas: (i) de forma direta, por meio de formulários, contatos telefônicos, atendimento presencial, pelo Fale Conosco do site, e-mail e outras interações diretas com o titular de dados; ou (ii) de forma indireta, por meio das patrocinadoras.
Quanto à coleta e tratamento de dados pessoais sensíveis, como informações relacionadas à saúde, a entidade adota cuidados adicionais. Para além dos casos em que há consentimento expresso, específico e destacado pelo titular de dados, o tratamento de dados sensíveis ocorre apenas quando se tornar indispensável para cumprimento de obrigação legal, regulatória ou contratual, defesa em processo judicial e em estrita observância às disposições da LGPD, de modo a impedir tratamentos discriminatórios ou restritivos.
Na hipótese de tratamento de dados pessoais que exija o consentimento do titular dos dados, este será solicitado de forma expressa e informada, por meio de documento específico, físico ou digital.
III – FINALIDADE DO TRATAMENTO DOS DADOS PESSOAIS
Todo e qualquer tratamento de dados pessoais no âmbito da entidade, incluídos dados pessoais sensíveis, é realizado de acordo com as regras e procedimentos estipulados em normas relativas à proteção de dados pessoais, pautados na boa-fé, lealdade, respeito e transparência no tratamento dos dados pessoais.
Os dados pessoais sob o controle da entidade são tratados com o objetivo de efetivar as obrigações da entidade, possibilitar o cumprimento do regulamento do plano de benefício e das normas legais e regulatórias, bem como o exercício do legítimo interesse da entidade.
Nesse sentido, para o desenvolvimento de suas atividades, a entidade, na posição de controladora, realiza o tratamento de dados pessoais e dados pessoais sensíveis necessários para a satisfação das finalidades abaixo descritas:
- Gestão de pessoas e administração geral: contratação e relação com colaboradores (inclusive servidores públicos cedidos pelo patrocinador), recrutamento e seleção, cadastro e manutenção de benefícios dos colaboradores, serviços gerais de infraestrutura predial e operacional, incluindo gestão documental, cumprimento de obrigações fiscais, previdenciárias e trabalhistas;
- Gestão de planos previdenciários: cadastro de adesão, atualização cadastral, adesão a seguro de vida, pagamento de benefícios, arrecadação de contribuições, execução de institutos, resgate e portabilidade;
- Relacionamento: relacionamento e atendimento de demandas de participantes e assistidos;
- Representação institucional: nomeação, eleição, certificação, habilitação e representação de dirigentes e conselheiros;
- Gestão de infraestrutura e segurança da informação: gestão de banco de dados, monitoramento de segurança da informação, rede corporativa, sistemas e suporte operacional.
IV – FUNDAMENTOS LEGAIS DO TRATAMENTO DE DADOS PESSOAIS
Para cumprimento das finalidades descritas no tópico acima, a entidade realiza tratamento de dados pessoais de participantes, assistidos, beneficiários, colaboradores, fornecedores, dirigentes, conselheiros, entre outros, nas seguintes hipóteses:
- cumprimento do regulamento dos planos de benefícios previdenciários (execução de contrato previdenciário);
- atendimento de exigências legais e/ou regulatórias;
- defesa em processos judiciais, administrativos ou arbitrais;
- atendimento aos legítimos interesses da entidade, respeitadas as expectativas, direitos e liberdades fundamentais dos titulares de dados, bem como observados estritamente os requisitos e as disposições prescritas na legislação aplicável ou;
- finalidades autorizadas expressamente pelos titulares de dados.
Adicionalmente, dados pessoais sensíveis poderão ser tratados para cumprimento de obrigações legais ou regulatórias.
Para o tratamento de dados pessoais de crianças e adolescentes, a entidade adota os cuidados específicos prescritos pela LGPD, de modo que seja preservado o melhor interesse do menor de 18 anos, e que o consentimento, contratação e autorização sejam realizados diretamente pelos pais ou responsáveis legais, quando aplicável.
Havendo mudança na finalidade do tratamento de dados pessoais e fundamento legal que permita sua continuidade, esta política será atualizada e os titulares notificados acerca das modificações.
V – COMPARTILHAMENTO DE DADOS PESSOAIS
Poderá haver compartilhamento de dados pessoais com terceiros (patrocinadoras, fornecedores e parceiros), nos casos em que sejam necessários ou adequados à luz da legislação aplicável, para assegurar interesses dos participantes, assistidos e beneficiários, cumprimento de obrigações legais e ordens judiciais ou para atender solicitações e demandas de autoridades públicas.
Entre os fornecedores que acessam dados pessoais sob controle da CURITIBAPREV estão empresas de:
- outsourcing – terceirização operacional (Data-A);
- recursos humanos e benefícios (Sodexo)
- auditoria externa (BEZ Auditores);
- cadastros de benefícios previdenciários e contabilidade (Fenix e Mongeral);
- comunicação (Eureka);
- tecnologia (ICI).
Havendo o compartilhamento de dados pessoais, são adotadas todas as providências razoáveis para proteção, observadas as instruções impostas contratualmente, os preceitos da LGPD e os normativos internos de proteção de dados pessoais e segurança da informação, a fim de que haja garantias suficientes para execução de medidas técnicas e operacionais adequadas para a segurança e proteção dos direitos dos titulares dos dados.
Especificamente em relação aos dados pessoais sensíveis, não há seu compartilhamento ou uso compartilhado com o objetivo de obtenção de vantagem econômica. Tais dados são compartilhados para permitir a adequada execução do contrato previdenciário, defesa em processo judicial ou quando consentido pelo titular de forma específica e destacada.
VI – TRANSFERÊNCIA INTERNACIONAL DE DADOS
Atualmente, todo o tratamento de dados pessoais realizado pela CURITIBAPREV ocorre no Brasil.
Contudo, caso haja armazenamento de dados pessoais fora do Brasil, serão implementadas as medidas necessárias e adequadas à luz da legislação aplicável para proteção dos dados pessoais objeto de transferência internacional, em observância ao fiel cumprimento da LGPD.
VII – COMPARTILHAMENTO DE DADOS PESSOAIS COM AS PATROCINADORAS
A CURITIBAPREV poderá compartilhar informações com a patrocinadora do plano de benefício previdenciário operado pela entidade, para fins de cumprimento nas disposições legais, regulatórias e contratuais, conforme fundamentos legai, inclusive adesão automática prevista na Lei Municipal nº 15.072/2017.
VIII – CONSERVAÇÃO E ELIMINAÇÃO DE DADOS PESSOAIS
Os dados pessoais e dados pessoais sensíveis tratados são armazenados e conservados durante o período necessário à realização das finalidades que motivaram a coleta e tratamento de tais dados, bem como para cumprimento às obrigações contratuais, legais e em observância aos prazos prescricionais aplicáveis e tabela de temporalidade da CURITIBAPREV.
IX – DIREITOS DOS TITULARES
O titular dos dados pessoais tem o direito de solicitar à entidade, sem ônus e mediante requerimento direcionado ao encarregado ou ao responsável pelo tratamento:
- a confirmação sobre a existência de tratamento e o acesso, nos termos e condições legalmente previstos, aos dados pessoais que lhes digam respeito e que sejam objeto de tratamento;
- a correção ou atualização dos dados pessoais inexatos ou desatualizados;
- a anonimização, bloqueio ou eliminação de dados, salvo quanto aos dados que sejam indispensáveis à execução das atividades pela entidade ou ao cumprimento de obrigações legais a que o responsável pelo tratamento esteja sujeito;
- a oposição à utilização dos dados pessoais para fins que não sejam indispensáveis à gestão da entidade ou dos planos de benefícios administrados;
- a revogação do consentimento nos casos em que o tratamento estiver fundado apenas no consentimento e o tratamento dos dados não for indispensável ao cumprimento de obrigações contratuais, legais e regulatórias pela entidade;
- a informação sobre as entidades públicas e privadas com a qual houve o compartilhamento de dados pessoais;
- a portabilidade dos seus dados pessoais; e
- a informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
Para o exercício de destes direitos, o requerimento poderá ser formulado por meio dos canais de relacionamento ou diretamente com o encarregado de dados pessoais, possuindo a entidade o prazo de 15 (quinze) dias úteis para resposta.
X – SEGURANÇA DOS DADOS PESSOAIS
A entidade adota medidas técnicas, operacionais e contratuais necessárias para assegurar que o tratamento de dados pessoais seja efetuado em estrita conformidade com a legislação de proteção de dados aplicável, e medidas de segurança que buscam garantir a proteção dos dados pessoais que lhes são disponibilizados contra a difusão, perda, uso indevido, alteração, tratamento ou acesso não autorizado, bem como qualquer outra forma de tratamento irregular ou em desconformidade com a LGPD.
A CURITIBAPREV emprega monitoramento constante de vulnerabilidades, aplica treinamentos a todos os seus colaboradores, e mantém políticas e procedimentos para evitar a ocorrência de incidentes.
Na eventualidade de um incidente de segurança, a CURITIBAPREV possui medidas para assegurar, inclusive contratualmente, a maior diligência de seus colaboradores e fornecedores para mitigar os riscos que dele advir, contando inclusive, com planos para notificação a Autoridade Nacional de Proteção de Dados, quando aplicável. Nestes casos, a CURITIBAPREV compromete-se a notificar não só a ANPD, mas também o titular dos dados a respeito do incidente, extensão e dados pessoais possivelmente afetados.
XI – COOKIES
Cookies são pequenos arquivos baixados pelo seu navegador ao entrar no site da CURITIBAPREV que permitem o desempenho de algumas funcionalidades, como descobrir a resolução da sua tela para ajustar a visualização no site, permitir o acesso a nossa área restrita, facilitar o acesso à área logada, dentre outras funcionalidades.
A coleta de cookies pode ser impedida através da configuração do seu navegador, no entanto, caso seja bloqueada, poderá dificultar e ou mesmo inviabilizar a utilização do site.
Para melhor funcionalidade do site e suas aplicações, poderão também ser coletados cookies não obrigatórios, voltados a medir o terminal de acesso, que poderão ser desabilitados no momento de ingresso no site ou no ícone Cookies.
XII – LINKS DE TERCEIROS
Por meio do site da CURITIBAPREV poderão ser acessados links de terceiros com conteúdos úteis e pertinentes à previdência privada e outros relacionados às atividades desempenhadas pela Fundação. A entidade, contudo, não se responsabiliza por possíveis tratamentos de dados pessoais efetuados em razão da utilização de sistemas ou aplicativos disponibilizados por terceiros, ainda que o acesso tenha ocorrido através de links disponibilizados em seu site.
XIII – ENCARREGADO (DATA PROTECTION OFFICER – DPO) E CONTATO
O Encarregado pelo Tratamento de Dados indicado pela entidade, como responsável pelo canal de comunicação entre a entidade, os titulares de dados pessoais (participantes, assistidos, beneficiários, dependentes, colaboradores, fornecedores, dirigentes e prepostos), partes interessadas e a Autoridade Nacional de Proteção de Dados – ANPD, poderá prestar os esclarecimentos necessários sobre esta Política e sua aplicação, casos excepcionais e boas práticas a serem adotadas permanentemente por colaboradores, dirigentes, fornecedores e parceiros da entidade, que pode ser contatado pelo seguinte endereço eletrônico e contato telefônico:
fekanso@curitibaprev.com.br / (041) 3350-9599
XIV – APROVAÇÃO E ALTERAÇÕES
A presente versão desta Política foi aprovada em 21/06/2021.
Podemos realizar alterações nesta Política periodicamente. Recomendamos que verifique de maneira frequente este documento para que possa se atualizar a respeito dos padrões de privacidade e proteção de dados pessoais que vem sendo adotados pela CURITIBAPREV.
XV – DEFINIÇÕES
Para efeitos desta Política, são considerados os seguintes termos e seus respectivos significados:
Dado pessoal: informação que, isolada ou associada a outras, identifique ou possa identificar uma pessoa natural;
Dado pessoal sensível: informação sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Titular dos dados pessoais: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento, inclusive participantes, assistidos, beneficiários, colaboradores, conselheiros, diretores, fornecedores – quando pessoas físicas – e demais prepostos da entidade;
Tratamento de dados pessoais: operação realizada com dados pessoais, que abarca a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais;
Agentes de tratamento de dados: controlador, pessoa natural ou jurídica, de direito público ou privado, a quem compete a tomada de decisões referentes ao tratamento de dados pessoais, e o operador, pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome ou a pedido do controlador;
Encarregado (ou Data Protection Officer – DPO): pessoa indicada pelo controlador ou operador encarregado para atuar como canal de comunicação com titulares dos dados e com a Autoridade Nacional de Proteção de Dados (ANPD);
Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.