POLÍTICA DE

SEGURANÇA

1. IDENTIFICAÇÃO DOS AGENTES DE TRATAMENTO E DO ENCARREGADO

CONTROLADOR: HOLDBRASIL SERVICOS DE COBRANÇA LTDA

OPERADOR: HBB Serviços de Cobrança LTDA

ENCARREGADO: Yamn Khalil Mori Moreno Sousa

Cargo: Marketing

E-mail: lgpd@holdbrasil.com.br

2. NECESSIDADE DE ELABORAR O RELATÓRIO

A cultura da empresa sempre foi de assegurar que as nossas atividades sejam conduzidas em conformidade com as normas aplicáveis aos nossos Clientes.

Nesse sentido, de acordo com o art.38, caput, da Lei 13.709/18, ou Lei Geral de Proteção de Dados Pessoais (LGPD), a qualquer momento, a Autoridade de Proteção de Dados Pessoais (ANPD) pode determinar à HoldBrasil, que elabore um relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis.

A HoldBrasil diariamente, realiza o tratamento de dados pessoais que se relacionam a pessoa natural identificada ou identificável (art.5º, I, LGPD).

Podem existir também, dependendo do Cliente e Contrato firmado, os dados pessoais sensíveis, que dizem respeito a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural (art.5º, II, LGPD).

Para os fundamentos da proteção de dados pessoais (art.2º e incisos, LGPD), a boa-fé e os demais princípios a serem observados nas atividades de tratamento de dados pessoais (art.6º e incisos, LGPD), a HoldBrasil dispõe de controles internos, que podem variar, mas estão sempre em acordo com a natureza do dado pessoal, para mitigar eventuais riscos de falha na proteção de dados pessoais.

Apesar do alto grau de maturidade da gestão dos controles internos, a HoldBrasil não pode garantir a eliminação total dos riscos que, em caso de materialização, causariam impacto à privacidade dos dados pessoais existentes na empresa.

3. DESCRIÇÃO DO TRATAMENTO

A Política de Segurança da Informação descreve como a HoldBrasil mitiga os possíveis riscos aos quais estão sujeitos os ativos de informação, que possam comprometer as nossas atividades e o cumprimento da missão corporativa.

  • Os ativos de informação abrangem os meios de armazenamento até o processamento da informação;
  • Os equipamentos necessários a isso;
  • Os sistemas utilizados para tal e os locais onde se encontram esses meios.

3.1. Natureza do Tratamento

Adotamos medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados, de situações acidentais ou ilícitas de destruição, perda ou alteração.

O acesso às bases de dados é controlado por grupos de rede e acesso limitado a determinados perfis de usuários, com logins e senhas pessoais.

Como medidas administrativas adotadas, informamos todos os envolvidos sobre a sua responsabilidade para acesso a sistemas, por requisição formal ou por e-mail, sobre os registros dos acessos concedidos, e sobre a criação de diretórios de acesso exclusivo para guarda de documentos digitais dos clientes.

3.2 Tratamento dos Dados

Existem algumas formas de tratamento dos dados pessoais na HoldBrasil, em conformidade com a LGPD:

  • Coletados/Tratados
    Os dados são coletados principalmente por meio de sistemas de informação e por captação de informações dos clientes, conforme acordos firmados. Os dados de captações são recebidos, em geral, por meio do Sistema de Transferência de Arquivos (STA).
  • Retidos/Armazenados
    Os dados são mantidos das seguintes formas:
    • Bancos de dados corporativos (utilizando os sistemas gerenciadores de banco de dados DB2, SQL Server, Oracle);
    • Arquivos (p. ex.: planilhas Excel).
  • Eliminados
    Os dados podem ser eliminados por meio de ações em sistemas de informação, comandos SQL nos bancos de dados e exclusão de arquivos, ou por descarte, quando os dados são apagados.

3.3 Compartilhamento dos Dados

O compartilhamento de dados pessoais ocorre quando o cliente expressa sua intenção por escrito, é executado somente com autorização expressa. Pode ocorrer o compartilhamento dos dados com órgãos dos Poderes Judiciário, Executivo e Legislativo, e do Ministério Público, para fins de instrução de processo de apuração de irregularidades em que o titular das informações estiver envolvido, bem como com autorização judicial.

3.4 Medidas de Segurança

As medidas de segurança adotadas pela HoldBrasil, têm validade para qualquer tipo de informação, (definidas na Política de Segurança da Informação) a qual contém os procedimentos de Segurança em Tecnologia da Informação.

As mídias removíveis (pendrive, CD, DVD ou HD externo) podem ser utilizadas para a transferência de arquivos, mediante justificativa e com a anuência da área de TI.

  • Não são considerados meios adequados para a transferência de arquivos eletrônicos: pastas compartilhadas em estações de trabalho (desktops e notebooks), e-mail particular e serviços de terceiros na Internet (ex.: Dropbox, Google Drive e One Drive).
  • Impressão de documentos
    Não deverão ser impressos arquivos eletrônicos corporativos com informação sensível de clientes fora das dependências da HoldBrasil.
  • Descarte de informações
    O descarte de informações corporativas gravadas em qualquer mídia deverá ser feito de maneira a impedir a sua recuperação.
  • Monitoramento
    A área de TI poderá monitorar, para fins de trilhas de auditoria, os acessos, as gravações de arquivos, as transferências e impressões de arquivos eletrônicos corporativos.
    É de responsabilidade de cada área assegurar o uso correto e eficiente do armazenamento de dados, verificando periodicamente se apenas arquivos necessários aos processos de trabalho estão armazenados, se não existem arquivos que apresentem outros riscos jurídicos, como músicas, filmes e livros que não tenham sido adquiridos pela HoldBrasil.
    A segurança da informação é constantemente revista e aprimorada com novas medidas de segurança. Uma das abordagens em discussão atualmente é garantir que os dados estejam protegidos durante todo o seu tratamento (desde a coleta até o descarte). Nesse processo, são utilizadas diversas ferramentas para permitir a criptografia e o controle de acesso de forma integrada.

3.5 Dados Físicos

Os documentos físicos são mantidos em dossiês nos arquivos da HoldBrasil até que cumpram seu prazo de guarda e possam ser eliminados ou enviados para guarda permanente.

Os documentos físicos são arquivados pelo tempo definido internamente e somente pessoas lotadas nas áreas que cuidam de determinado assunto podem pedir para consultar um documento físico arquivado. Há casos excepcionais, como documentos da área de Recursos Humanos, que podem ser consultados também pelo titular dos dados, por exemplo.

As cópias dos documentos físicos são classificadas como restritas, cabendo ao destinatário reclassificá-las, se for o caso. Documentos restritos somente podem ser visualizados por seu possuidor.

3.6 Contexto do Tratamento

A HoldBrasil trata os dados pessoais de acordo com os propósitos legítimos e específicos de modo compatível com a sua finalidade, cujo caráter é de atender as especificações dos clientes, tratados formalmente nos contratos firmados entre as partes.

4. PARTES CONSULTADAS

Para confecção deste Relatório, todas as áreas da HoldBrasil foram consultadas, a partir de dezembro de 2020, foram realizadas reuniões virtuais para avaliação da conformidade à LGPD, segundo metodologia da Consultoria contratada para implantação do projeto, baseado nas melhores práticas de gerenciamento de Compliance.

5. CONSIDERAÇÕES FINAIS

O documento atual mostra, em linhas gerais, como os dados pessoais são coletados, tratados, usados, compartilhados, bem como as medidas adotadas para o tratamento dos riscos que possam afetar as liberdades civis e os direitos fundamentais dos titulares desses dados. Além disso, foram apresentadas informações que denotam o estágio atual de conformidade da HoldBrasil à LGPD.

Este relatório será revisto e atualizado anualmente ou sempre que a HoldBrasil achar que deve mostrar qualquer tipo de mudança que afete o tratamento dos dados pessoais.

A HoldBrasil preocupa-se em avaliar continuamente os riscos de tratamento de dados pessoais que surgem em consequência do dinamismo das transformações nos cenários tecnológico, normativo e do nosso negócio