
Política de Governança e Proteção de Dados Pessoais
Versão Data
02/09/2025
Objetivo
O objetivo desta Política de Governança e Proteção de Dados Pessoais (“Política”) é definir as principais responsabilidades e regras em relação à proteção de Dados Pessoais que são aplicáveis à Rivool Tecnologia & Participações LTDA. (“Rivool Finance”) no âmbito corporativo, para garantir um nível adequado de proteção aos Dados Pessoais, incluindo as técnicas e medidas organizacionais adequadas para prevenção contra o Tratamento não autorizado e ilegal de Dados Pessoais e contra perda ou destruição acidental.
Os termos e expressões, se escritos em letras maiúsculas, deverão ter os significados conforme definidos no Glossário ao final deste documento.
Referências
A presente Política deve ser interpretada e aplicada em consonância com as seguintes referências:
Lei Federal n° 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais, “LGPD”);
Normas publicadas pela ANPD sobre privacidade e proteção de dados.
Abrangência
A presente Política é aplicável a todas as atividades da Rivool Finance que envolvam o Tratamento de Dados Pessoais de Titulares de Dados localizados no Brasil ou que tenham como objetivo a prestação de serviços a Titulares de Dados localizados no País, independentemente se parte do Tratamento ocorrer no exterior.
Deveres da Rivool Finance
Nos termos da presente Política, a Rivool Finance deverá observar os seguintes compromissos:
Elaborar e manter um registro atualizado de atividades de Tratamento de Dados Pessoais de Titulares que descreva, no mínimo, as categorias de Dados Pessoais, as finalidades específicas do Tratamento, uma descrição das medidas técnicas ou organizacionais para a proteção dos Dados Pessoais e as bases legais de Tratamento;
Nomear um Encarregado de Proteção de Dados Pessoais e manter uma estrutura adequada de recursos humanos e financeiros para as atividades relacionadas à proteção de Dados Pessoais;
Implementar as medidas organizacionais e técnicas necessárias para facilitar o atendimento aos direitos dos Titulares de Dados Pessoais, incluindo a divulgação de avisos de privacidade que informem, dentre outros itens, a finalidade do Tratamento, a forma e duração do Tratamento; a identificação da Rivool Finance como controladora de Dados Pessoais, conforme aplicável; informações de contato da Rivool Finance; e informações sobre o uso compartilhado de Dados Pessoais;
Implementar as medidas organizacionais e técnicas para proteger os Dados Pessoais contra o Tratamento irregular, indevido ou ilegal, incluindo boas práticas de segurança da informação;
Realizar avaliações periódicas sobre os riscos que Tratamentos de Dados Pessoais podem representar a um Titular e, conforme necessário e adequado, adotar medidas para proteger o Titular de Dados Pessoais, na forma exigida pela regulamentação aplicável; e
Aplicar treinamentos a todos os Colaboradores sobre temas relacionados à segurança da informação e à proteção de dados pessoais.
Deveres dos Colaboradores
Nos termos da presente Política, todos os Colaboradores deverão observar os seguintes compromissos:
Responsabilizar-se pelo uso adequado de Dados Pessoais no desempenho de suas atividades;
Manter a mais estrita confidencialidade, integridade e disponibilidade dos Dados Pessoais a que tiverem acesso em razão do desempenho de sua função;
Cumprir com o seu contrato de trabalho, a Legislação de Proteção de Dados, a presente Política e todas as políticas relacionadas;
Reportar todas as situações de não conformidade e os incidentes de segurança que tome conhecimento ao Encarregado de Dados e;
Participar de todos os treinamentos relacionados à proteção de Dados Pessoais.
O Encarregado de Dados Pessoais, em virtude de sua função, para além de suas funções legalmente estabelecidas pela LGPD e Resolução CD/ANPD nº 18/2024, ainda deverá.
Elaborar e manter o registro de atividades de Tratamento de Dados Pessoais da Rivool Finance sempre atualizado;
Acompanhar e apoiar a implementação dos planos de ação para correção de gaps das iniciativas de proteção de dados;
Participar dos projetos da Rivool Finance que envolvam Tratamento de Dados Pessoais a fim de garantir que estejam de acordo com a Legislação de Proteção de Dados;
Elaborar e realizar treinamentos de proteção de Dados Pessoais para os Colaboradores;
Garantir que a Rivool Finance possua e mantenha atualizada toda a documentação necessária e as evidências para atendimento à Legislação de Proteção de Dados;
Monitorar o cumprimento, pelos Colaboradores, desta Política e da Legislação de Proteção de Dados;
Revisar e atualizar avisos de privacidade aos Titulares;
Endereçar as solicitações dos Titulares de Dados Pessoais e garantir que sejam respondidas dentro do prazo previsto na Legislação de Proteção de Dados;
Responsabilizar-se pela interface com a ANPD, sempre que for necessário; e
Coordenar os esforços necessários em caso de incidentes de segurança, considerando, inclusive as diretrizes do Plano de Resposta e Remediação a Incidentes de Privacidade.
Princípios para o tratamento de Dados Pessoais
Os Tratamentos de Dados Pessoais executados sob o controle da Rivool Finance serão feitos de acordo com a Legislação de Proteção de Dados e com as disposições desta Política, em especial de acordo com os seguintes princípios previstos no artigo 6º da LGPD.
FINALIDADE: a Rivool Finance garante que o Tratamento de Dados Pessoais possuirá propósitos legítimos, específicos, explícitos e informados ao Titular. Além disso, a Rivool Finance garante que o conhecimento do Tratamento dos Dados Pessoais será claramente fornecido ao Titular e que os dados não podem ser tratados de forma incompatível com os propósitos informados. Os Dados Pessoais apenas serão disponibilizados a terceiros para tais propósitos ou de qualquer outra forma permitida pela Legislação de Proteção de Dados.
ADEQUAÇÃO: Os Dados Pessoais devem ser obtidos de forma justa e legal, e o Tratamento deve ser compatível com as finalidades informadas ao Titular de Dados e, ainda, deve limitar-se ao mínimo necessário para a realização de suas finalidades. Além disso, os Dados Pessoais somente podem ser tratados de acordo com bases legítimas previstas da Legislação de Proteção de Dados.
NECESSIDADE: a Rivool Finance compromete-se a limitar o Tratamento dos Dados Pessoais ao mínimo necessário para atingir as Finalidades informadas ao Titular, com abrangência dos Dados Pessoais pertinentes, proporcionais e não excessivos em relação às Finalidades do Tratamento de Dados.
LIVRE ACESSO: a Rivool Finance garante que o Titular dos Dados Pessoais terá acesso à consulta facilitada sobre o Tratamento e a integridade dos seus Dados Pessoais, nos termos das políticas, dos procedimentos e das normas corporativas da Rivool Finance.
QUALIDADE DOS DADOS: a Rivool Finance garante ao Titular que os Dados Pessoais são exatos, claros, relevantes e atualizados. Por meio de tecnologias, a Rivool Finance assegura a justa entrega dos Dados em sua forma clara e verdadeira, livre de modificações, garantindo os princípios da tríade de confidencialidade, integridade e disponibilidade dos Dados Pessoais e Dados Sensíveis, orquestrados internamente na empresa.
TRANSPARÊNCIA: a Rivool Finance compromete-se a prestar informações claras, precisas e facilmente acessíveis sobre o Tratamento aos Titulares e os respectivos agentes de Tratamento, observados os segredos comercial e industrial.
SEGURANÇA: Os controles e procedimentos técnicos e organizacionais apropriados devem ser implementados para garantir a segurança dos Dados Pessoais e evitar acesso ou divulgação não autorizados, que potencialmente poderiam resultar em alteração, destruição acidental ou ilegal, perda dos dados e contra todas as demais formas ilegais de Tratamento.
PREVENÇÃO: a Rivool Finance dispõe de mecanismos, processos e instruções operacionais que garantem a proteção dos Dados Pessoais e Dados Pessoais Sensíveis dos seus Titulares.
NÃO DISCRIMINAÇÃO: a Rivool Finance não realiza atividades de Tratamento para fins de discriminação ilícita ou abusiva de Dados Pessoais.
RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: a Rivool Finance garante a demonstração de medidas eficazes e capazes de comprovar o cumprimento das normas de Proteção de Dados Pessoais.
Período de retenção e descarte dos Dados Pessoais
A Rivool Finance não deverá manter Dados Pessoais por um período maior que o necessário para o atingimento dos objetivos para os quais foram obtidos ou se de outra forma autorizado pela Legislação de Proteção de Dados.
Relatório de Impacto à Proteção de Dados Pessoais
Um relatório de impacto à proteção de dados pessoais (“RIPD”) deve ser conduzido pela Rivool Finance nos casos em que o Tratamento de Dados Pessoais seja de alto risco ou a situação concretamente exija, contendo, no mínimo, a descrição dos tipos de Dados Pessoais coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise da Rivool Finance com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
O Encarregado pelo Tratamento dos Dados Pessoais deverá identificar as atividades que necessitam desta avaliação ou qualquer outra avaliação, como teste de legítimo interesse (“LIA”), e tomar as diligências necessárias para avaliar o processo.
Transferência Internacional de Dados Pessoais
A Rivool Finance deve garantir que as transferências de Dados Pessoais para o exterior observem o estabelecido pela LGPD e na Resolução CD/ANPD nº 19/2024. Nesse sentido, Dados Pessoais poderão ser transferidos ao exterior nos seguintes casos:
Para países que proporcionem grau de proteção de Dados Pessoais adequado, conforme será determinado pela ANPD;
Mediante cláusulas contratuais específicas para determinada transferência, cláusulas-padrão contratuais, normas corporativas globais ou selos, certificados e códigos de conduta, todos a serem aprovados pela ANPD; ou
Quando o Titular de Dados tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades.
A Rivool Finance, ainda, deverá disponibilizar o conteúdo das cláusulas de Transferência Internacional de Dados Pessoais, bem como normas corporativas globais, sob demanda do Titular, no prazo de 15 (quinze) dias da data da solicitação. Ainda, deverá ser publicada em sua página na Internet documento contendo informações em língua portuguesa, em linguagem simples, clara, precisa e acessível, sobre a realização da Transferência Internacional de Dados, incluindo, pelo menos, informações sobre:
A forma, a duração e a Finalidade específica da transferência internacional;
O país de destino dos Dados transferidos;
A identificação e os contatos do Controlador;
O uso compartilhado de Dados pelo Controlador e a Finalidade;
As responsabilidades dos agentes que realizarão o Tratamento e as medidas de segurança adotadas; e
Os direitos do Titular e os meios para o seu exercício, incluindo canal de fácil acesso e o direito de peticionar contra o Controlador perante a ANPD.
Direitos dos Titulares de Dados
A LGPD define que os Titulares de Dados devem receber informações sobre o Tratamento dos Dados Pessoais no momento de sua coleta. Os termos de uso, contratos ou avisos de privacidade devem disponibilizar as informações sobre o Tratamento de forma clara, adequada e ostensiva.
No caso de um Tratamento de Dados Pessoais, os Titulares de Dados possuem os direitos previstos na Legislação de Proteção de Dados e poderão exercê-los por meio de solicitações encaminhadas ao Encarregado de dados. Os Titulares de Dados possuem os seguintes direitos:
a) confirmação da existência de tratamento;
b) acesso aos dados;
c) correção de dados incompletos, inexatos ou desatualizados;
d) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Legislação de Proteção de Dados;
e) portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da ANPD, observados os segredos comercial e industrial;
f) eliminação dos Dados Pessoais tratados com o consentimento do Titular dos Dados;
g) informação das entidades públicas e privadas com as quais a Rivool Finance realizou uso compartilhado de dados;
h) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
i) revogação do consentimento mediante procedimento gratuito e facilitado, ratificados os tratamentos realizados antes do requerimento de eliminação;
j) revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade;
k) informações a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada, observados os segredos comercial e industrial; e
l) solicitar a disponibilização a íntegra das cláusulas utilizadas para a realização da transferência internacional de dados, observados os segredos comercial e industrial.
Padrões de segurança
Todos os Colaboradores da Rivool Finance devem anuir e cumprir com esta Política e demais normativos internos e instruções comunicadas pela Rivool Finance. Ao implementar novos processos, procedimentos ou sistemas que envolvam o Tratamento de Dados Pessoais, a Rivool Finance deve adotar todas medidas para garantir o cumprimento da Legislação de Proteção de Dados desde a fase de concepção do produto ou do serviço até a sua execução.
A Rivool Finance adotará medidas de segurança da informação, como a implementação de softwares de segurança, o monitoramento contínuo de equipamentos, da rede e de servidores da Rivool Finance, controle e a manutenção de registro de acesso aos sistemas e aplicações utilizadas na Rivool Finance, dentre outras.
Os Colaboradores, inclusive prestadores de serviço, serão vinculados a obrigações de confidencialidade.
Prestadores de serviço/fornecedores
Os prestadores de serviços/fornecedores que tratem Dados Pessoais em nome da Rivool Finance estão sujeitos a obrigações referentes à proteção de dados. Os Colaboradores que negociem contratos em nome da Rivool Finance deverão assegurar que todos os contratos com prestadores de serviço/fornecedores contenham as cláusulas de proteção de Dados Pessoais cabíveis e adequadas às circunstâncias para garantir a confidencialidade e segurança dos Dados Pessoais tratados em nome da Rivool Finance.
Incidentes de segurança
Incidentes de segurança incluem, sem limitação, qualquer perda, exclusão, roubo ou acesso não autorizado aos Dados Pessoais que estejam em posse da Rivool Finance. Todos os incidentes de segurança serão avaliados para definição de quais medidas serão adotadas, incluindo a notificação à ANPD e/ou aos Titulares de Dados.
Glossário