Fale com a Extratta

Política de Privacidade

TERMO DE CONSENTIMENTO PARA USO DE DADOS PESSOAIS EM CONTEÚDO INFORMATIVO

1. Objetivo

1.1 A Política de Privacidade de Dados (PPD) tem por objetivo demonstrar todos os controles vigentes na EXTRATTA INSTITUIÇÃO DE PAGAMENTOS LTDA, visando a proteção da privacidade dos dados pessoais e sensíveis coletados, por meios digitais ou não, para o cumprimento de fins corporativos em total consonância com as leis e regulamentos vigentes.

2. ARCABOUÇO LEGAL

Lei 13.709/18 – Lei Geral de Proteção de Dados (LGPD) Dispõe sobre a proteção de dados pessoais.
Lei 12.965/14 – Marco Civil da InternetEstabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil.
Decreto 10.046/19Dispõe sobre a governança no compartilhamento de dados no âmbito da administração pública federal e institui o Cadastro Base do Cidadão e o Comitê Central de Governança de Dados.

3. Definições

ControladorPessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.OperadorPessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.Encarregado de DadosPessoa natural, indicada pelo controlador, que atua como canal de comunicação entre o controlador e os titulares e a autoridade nacional.TratamentoToda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Dado PessoalInformação relacionada a pessoa natural identificada ou identificável.
Dado SensívelDado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Dado AnonimizadoDado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Dado bloqueadoDado relativo a titular com suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
TitularPessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

4. ENCARREGADO DE DADOS

4.1 O Encarregado de Dados tem por objetivo conduzir revisões, avaliações, auditorias internas ou externas e ser o ponto focal de contato da organização com as autoridades nacionais de privacidade de dados, bem como prestar contas de suas ações junto ao órgão de governança corporativo da EXTRATTA em assuntos relativos à LGPD.

4.2 Segundo a lei, a EXTRATTA deve indicar este papel e publicar suas informações de contato de forma clara e objetiva, preferencialmente em seu site. Atualmente, o contato do Encarregado de Dados pode ser consultado no site corporativo.

4.3 Abaixo, nomina-se o Encarregado de Dados:

VESATEC TREINAMENTOS E CONSULTORIA EM GESTÃO DE TI LTDA por meio do aplicativo DPOWEB.

(CNPJ: 31.047.751/0001-97)

www.dpoweb.com.br  

E-mail para solicitações por Titulares de Dados: privacidade@extratta.com.br

4.4  Cumpre salientar que dentre as atividades específicas do Encarregado de Dados estão:

    • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

    • Receber comunicações da autoridade nacional e adotar providências;

    • Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

    • Executar as demais atribuições determinadas pela EXTRATTA ou estabelecidas em normas complementares.

5. COMITÊ DE SEGURANÇA E PRIVACIDADE (CSP)

5.1 O CSP é uma entidade corporativa, instituída com a finalidade de manter os mecanismos de controle de segurança da informação e privacidade atualizados, bem como garantir a coerência deles com a realidade corporativa e com a legislação vigente.
5.2 Os detalhes da composição do CSP estão definidos na Política de Segurança da Informação, bem como a previsibilidade de seus encontros e quais ações são destinadas a ele.
5.3 Cumpre salientar que o membro nomeado como Encarregado de Dados preside o comitê e em suas atribuições estará o dever de conduzir revisões, avaliações, auditorias internas ou externas e ser o ponto focal de contato da organização com as autoridades nacionais de privacidade de dados, bem como prestar contas de suas ações junto ao órgão de governança corporativo da EXTRATTA.
5.4 Durante as reuniões ordinárias do CSP, visando o cumprimento da presente política, este órgão deverá debater sobre todos os aspectos que envolvem o cumprimento das políticas de proteção à privacidade de dados, avaliar as ações vigentes, direcionar melhorias e atualizações aos planos de proteção à privacidade e acompanhar os planos em andamento.
5.5 Também há previsibilidade para a convocação de comitês extraordinários, sendo que diversos critérios poderão embasar tal ação. Estes critérios encontram-se no decorrer da Política de Segurança da Informação.

6. COLETA DE DADOS PESSOAIS E DADOS PESSOAIS SENSÍVEIS

6.1 A coleta de dados pessoais e sensíveis pela EXTRATTA será permitida apenas respeitando-se os seguintes princípios:

  • Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  • Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  • Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

6.2 No ato da coleta dos dados pessoais ou sensíveis, sejam eles fornecidos por meio de formulário impresso ou por meio de formulário digital, o titular deverá ser informado de maneira inequívoca do processo de tratamento que será realizado por meio deles. Antes do ato de coleta dos dados, um Termo de Consentimento de Uso deverá ser lavrado, com aceite eletrônico ou impresso, contendo as seguintes informações:

  • Finalidade específica do tratamento;
  • Forma e duração do tratamento, observados os segredos comercial e industrial;
  • Dados de identificação jurídica da EXTRATTA;
  • Informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
  • Responsabilidades dos agentes que realizarão o tratamento;
  • Direitos do titular, com menção explícita aos direitos contidos no art. 18 da Lei Geral de Proteção de Dados;
  • Meios de comunicação com relação ao teor de possíveis alterações, podendo o titular, nos casos em que o seu consentimento é exigido, revogá-lo caso discorde da alteração.

7. POLÍTICA DE RETENÇÃO DE DADOS

7.1 Para o cumprimento eficaz dos mecanismos de proteção e privacidade de dados pessoais e sensíveis, a EXTRATTA dispõe de padrões específicos de armazenamento de informação e regras específicas de proteção para cada um destes itens. Todos os processos corporativos deverão respeitar estas normas.

7.2 Dados armazenados em papel: 

  • Retenção: Retenção máxima de 2 (dois) anos em armários e posterior bloqueio da informação pelo envio ao arquivo morto;
  • Proteção: Todos os armários para armazenamento de documentos devem conter chaves para abertura das portas e elas deverão ficar sob responsabilidade de um membro do CSP ou pelo gestor do departamento.

7.3 Dados armazenados em Datacenters Corporativos: 

  • Retenção: Todos os sistemas da EXTRATTA que armazenam informações pessoais ou sensíveis utilizarão a seguinte regra:
    • Dados de titulares que são colaboradores internos ou colaboradores terceirizados ficarão em uso por até 2 (dois) anos após o término do vínculo de trabalho e posteriormente serão bloqueados em backup com acesso restrito, seguindo a Política de Backup vigente. 
    • Dados de outros titulares (tais como clientes, fornecedores, prestadores de serviço autônomos, dentre outros) ficarão em uso por até 2 (dois) anos após a coleta e posteriormente serão bloqueados em backup com acesso restrito, seguindo a Política de Backup vigente. 
  • Proteção: A EXTRATTA possui uma rigorosa política de backup para a continuidade dos dados, além de uma Política de Segurança da Informação Corporativa com mecanismos próprios que visam evitar vazamentos, danos ou perdas dos dados coletados.

7.4 Dados armazenados em Datacenters ou Sistemas Terceirizados:

  • Retenção: As mesmas regras de período de retenção de Dados em Sistemas Internos aplicam-se aos Dados em Sistemas Externos, onde o Operador do Dado (responsável pelo Datacenter que retém a informação) deverá cumprir regras contratuais de bloqueio da informação, tão logo a mesma vença o período previsto para titulares colaboradores ou não-colaboradores.
  • Proteção: A EXTRATTA optará, preferencialmente, por fornecedores de sistemas ou serviços que estejam aderentes à Lei Geral de Proteção de Dados, bem como, realizará contratos que contemplam regras de proteção ao dado e direitos de retenção e uso da informação para todos os fornecedores que armazenarem ou tratarem dados pessoais ou sensíveis.

7.5 Planilhas e Documentos fora de sistema:

  • Retenção: Planilhas e documentos diversos que contenham dados pessoais ou sensíveis devem ser armazenados em diretórios específicos indicados e auditados pelo CSP. Após 2 (dois) anos sem qualquer acesso ao arquivo armazenado em Servidor de Arquivos com acesso comum, ele será bloqueado em um diretório de armazenamento com acesso restrito;
  • Proteção: A Política de Segurança da Informação Corporativa possui cobertura para proteção de informações contidas em planilhas ou documentos diversos.

7.6 E-mail:

  • Retenção: Qualquer e-mail enviado/recebido contendo dados pessoais ou sensíveis deverá ser eliminado em até 15 (quinze) dias, após o término da tratativa do escopo definido na mensagem, mediante a ação do usuário, seja ele remetente ou destinatário, utilizando a opção “excluir a mensagem”. Recomenda-se a utilização de links compartilháveis com prazo de validade para transmissão deste tipo de informação e evitar o uso de anexos. Este procedimento pode ser consultado por meio de contato à Central de Serviços do Solutions Center.
  • Proteção: A Política de Segurança da Informação Corporativa cobre a devida utilização do serviço de e-mail.

8. POLÍTICA DE RETENÇÃO DE DADOS

8.1 O Titular do Dado tem o direito de solicitar pelos meios publicados no portal da EXTRATTA, informações sobre os dados armazenados, as formas de tratamento e quais entidades possuem acesso. 

8.2 Após a ciência da solicitação de acesso, o Encarregado de Dados ou, na ausência dele, alguém nomeado para tal atividade, deverá responder da seguinte forma:

  • Para solicitações em que o resultado seja um relatório simplificado, a resposta deve ser imediata, privilegiando o retorno mais breve possível;
  • Para solicitações em que o resultado seja por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, a resposta deve ser fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular;

9. DESBLOQUEIO DE DADOS

9.1 A EXTRATTA poderá efetuar o desbloqueio de um dado pessoal ou sensível previamente bloqueado. Em consonância com o Artigo 7 da Lei Geral de Proteção de Dados, as situações para o desbloqueio de um dado limitam-se às seguintes hipóteses:

  • Mediante o fornecimento de consentimento pelo titular;
  • Para o cumprimento de obrigação legal ou regulatória pelo controlador;
  • Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV da LGPD;
  • Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
  • Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
  • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, conforme previsto em lei específica;
  • Para a proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;
  • Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
  • Quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
  • Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

10. SOLICITAÇÕES DE BLOQUEIO, EXCLUSÃO OU ANONIMIZAÇÃO DE DADOS

10.1 O consentimento dado pelo Titular do Dado pode ser revogado a qualquer momento mediante manifestação expressa do titular, por meio dos contatos publicados no Portal da EXTRATTA ou por meio de contato divulgado pelo colaborador que efetivamente coletou o dado.

10.2 Mediante solicitação expressa de paralisação da atividade de tratamento, a EXTRATTA priorizará o bloqueio da informação, utilizando os meios previstos na Política de Retenção de Dados (prevista previamente neste documento). Todas as revogações de direitos de tratamento de dados devem ser concluídas em prazo máximo de 15 (quinze) dias a contar da data do recebimento da solicitação.

10.3 Caso o Titular expresse inequivocamente a vontade de excluir ou anonimizar o dado (rechaçando a possibilidade de bloqueio), a solicitação deverá ser encaminhada ao CSP que determinará um plano que atenda a solicitação. Para tanto, caso a data agendada para reunião ordinária coloque em risco o prazo de resposta estabelecido para a solicitação, uma reunião extraordinária deverá ser convocada com a maior brevidade possível contando com a presença mandatória do Encarregado de Dados e sem quórum mínimo. Recomenda-se uma agenda que possibilite a presença da maior quantidade de membros permanentes possíveis, que possuem presença facultativa para esta hipótese.

11. REGULAMENTO PARA OPERADORES DE DADOS

11.1 Todos os Operadores de Dados da EXTRATTA deverão considerar as boas práticas de proteção à privacidade de dados previstas na LGPD e em regulamentos que venham a completá-la. 

11.2 Ao iniciar o vínculo de trabalho com a EXTRATTA, qualquer colaborador poderá estar enquadrado como Operador de Dados, desde que o fim determinado para sua função, exija o tratamento de algum tipo de dado pessoal ou dado sensível. Estes responderão solidariamente em caso de vazamento ou incidentes de segurança que prejudiquem a privacidade de terceiros e que tenham sido causados por imperícia, imprudência ou negligência quanto às políticas estabelecidas para proteção de tais dados.

11.3 Os contratos de prestação de serviços firmados com empresas terceirizadas e que utilizam do tratamento de dados pessoais ou sensíveis para a realização da finalidade de suas atividades, serão enquadrados como Operadores de Dados da EXTRATTA e deverão considerar as regras de retenção, acesso, bloqueio e tratamento de dados, bem como devem coibir posturas contrárias à esta Política de Privacidade de Dados, bem como esclarecer suas responsabilidades.

11.4 Quando houver compartilhamento de dado pessoal ou sensível com prestadores de serviço e considerando a possibilidade da identificação do indivíduo Titular no conteúdo da mensagem, e considerando por meios razoáveis a não-exigência da assinatura de um contrato, será necessário que uma informação padrão previamente aprovada pelo CSP, seja encaminhada para ciência desse Operador de Dados, informando as práticas que devem ser seguidas pelo destinatário.

12. RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS (RIPD)

12.1 O RIPD é uma documentação legal da EXTRATTA contendo a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
12.2 Por tratar-se de um requisito legal, o RIPD deve ser produzido sempre que houver:

  • Uma tecnologia, serviço ou outra nova iniciativa em que dados pessoais e dados pessoais sensíveis sejam ou devam ser tratados;
  • Rastreamento da localização dos indivíduos ou qualquer outra ação de tratamento que vise a formação de perfil comportamental de pessoa natural, se identificada; (LGPD, art. 12 § 2º);
  • Tratamento de dado pessoal sobre “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (LGPD, art. 5º, II);
  • Processamento de dados pessoais usado para tomar decisões automatizadas que possam ter efeitos legais, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade (LGPD, art. 20);
  • Tratamento de dados pessoais de crianças e adolescentes (LGPD, art. 14); 
  • Tratamento de dados que possa resultar em algum tipo de dano patrimonial, moral, individual ou coletivo aos titulares de dados, se houver vazamento (LGPD, art. 42);
  • Tratamento de dados pessoais realizados para fins exclusivos de segurança pública, defesa nacional, segurança do Estado, ou atividades de investigação e repressão de infrações penais (LGPD, art. 4º, § 3º);
  • Tratamento no interesse legítimo do controlador (LGPD, art. 10, § 3º);
  • Alterações nas leis e regulamentos aplicáveis à privacidade, política e normas internas, operação do sistema de informações, propósitos e meios para tratar dados, fluxos de dados novos ou alterados, etc.; e
  • Reformas administrativas que implicam em nova estrutura organizacional resultante da incorporação, fusão ou cisão de órgãos ou entidades.

12.3 O RIPD deve ser produzido por um membro ou grupo de trabalho do CSP e consultores externos podem apoiar em sua produção. Após sua apresentação em reunião ordinária, o comitê deve aprovar ou rejeitar o documento ou o projeto, com a anuência do Encarregado de Dados. 

12.4 Um modelo aprovado pelo CSP para lavrar o RIPD será disponibilizado para facilitação da criação deste documento.  

12.5 A decisão do comitê precisará ser ratificada pela Superintendência da EXTRATTA. Sob nenhuma hipótese será permitida a omissão desta análise.

13. INFORMATIVO DE INCIDENTE À AGÊNCIA NACIONAL DE PROTEÇÃO DE DADOS (ANPD)

13.1 Sempre que houver um incidente de segurança que afete os direitos dos Titulares dos Dados Pessoais tratados pela EXTRATTA ou por seus Operadores, uma comunicação deverá ser realizada à ANPD.

13.2 Será considerado risco ou dano relevante as hipóteses descritas abaixo:

  • Quando o incidente envolver dados pessoais sensíveis ou de indivíduos em situação de vulnerabilidade, incluindo crianças e adolescentes;
  • Tiver o potencial de ocasionar danos materiais ou morais, tais como discriminação, violação do direito à imagem e à reputação, fraudes financeiras e roubo de identidade
  • Afetar alto volume de dados envolvidos ou elevado quantitativo de indivíduos afetados;
  • Quando houver má fé ou constatar-se más intenções dos terceiros que tiveram acesso aos dados após o incidente;
  • Quando houver facilidade de identificação dos titulares por terceiros não autorizados.

13.3 A comunicação de incidente deve ser realizada pelo Encarregado de Dados com cópia aos membros do CSP e deverá constar as seguintes informações:

  • Descrição da natureza dos dados afetados
  • Medidas técnicas e de segurança envolvidas
  • Informações sobre os titulares envolvidos
  • Informações sobre o tratamento dos dados afetados
  • Descrição dos riscos residuais
  • Justificativa para o tempo de reversão do incidente

13.4 Um modelo de Relatório de Comunicação de Incidentes à Dados Pessoais já aprovado e revisado consta no diretório do google drive pertencente a conta  privacidade@extratta.com.br com acesso a todos os membros do Comitê de Segurança e Privacidade.

13.5 O seguinte esquema explicativo demonstra quando uma comunicação a ANPD será mandatória:

  • Ocorreu um incidente de segurança relacionado a dados pessoais?

☐ Sim – Próxima pergunta.

☐ Não – Não é necessário comunicar a ANPD se não houve incidente de segurança relacionado a dados pessoais.

  • Existe um risco ou dano relevante aos direitos e liberdades individuais dos titulares afetados em razão do incidente de segurança?

Sim – Comunique à ANPD e ao titular.

Não – A comunicação à ANPD não será necessária se o responsável pelo tratamento puder demonstrar, de forma irrefutável, que a violação da segurança dos dados pessoais não constitui um risco relevante para os direitos e liberdades do titular dos dados.

13.6 Conforme orientação publicada pela ANPD em junho de 2021 será considerado um prazo razoável para efetuar a comunicação citada acima o período de dois dias úteis contados a partir da data do conhecimento do incidente. Para tanto, a discussão dos incidentes de segurança no CSP deverá ocorrer o mais breve possível. Em casos excepcionais onde a data da reunião extraordinária do CSP não favoreça o prazo supracitado, ficará o encarregado de dados responsável pelo preenchimento do protocolo de comunicação, envio à autoridade nacional e posterior ciência aos membros do CSP.

13.7 Cabe ao Encarregado de Dados a função de comunicação com a ANPD e, para tanto, existe o SISTEMA ELETRÔNICO DE INFORMAÇÃO (SEI) que será o canal apropriado para reportar incidentes de segurança junto à ANPD. As credenciais de acesso ao SEI são compartilhadas entre os membros do CSP, no entanto, somente o encarregado de dados deve operar nesta plataforma a não ser que haja deliberação por parte dele para outro membro do CSP ou em caso de ausência temporária dele.

14. RESPONSÁVEIS PELA POLÍTICA

  • Dono do documento: VESATEC.
  • Apoiadores: Membros do Comitê de Segurança e Privacidade.
  • Partes Interessadas: Superintendência Corporativa e Agência Nacional de Proteção de Dados.
  • Aplicabilidade: Toda a Companhia.

15. DOCUMENTOS COMPLEMENTARES

  • Política de Segurança da Informação
  • Termos de Consentimento de Uso (lavrados por processo de coleta)
  • Política de Backup
  • Relatórios de Impacto à Proteção de Dados (lavrados por processo de coleta)
  • Relatório de Comunicação de Incidentes à Dados Pessoais

16. ATUALIZAÇÃO DA POLÍTICA

16.1 O Dono do Documento manterá o presente documento revisado por meio de análise anual de aderência com os processos corporativos.

17. ATUALIZAÇÃO DA POLÍTICA

RevisãoHistóricoData
00Rascunho14/09/2021
01Publicação

30/09/2021

02Revisão completa no documento com alterações na formatação e em vários textos contidos no documento conforme orientação do novo Encarregado de Dados.22/04/2022
03Não houve alterações em relação à análise crítica anual

13/02/2023

04

Inclusão de uma cláusula exclusiva abordando o papel do Encarregado de Dados

15/12/2023

Newsletter

Saiba tudo o que estamos fazendo na Extratta
para aproximar e fazer parceiros.

MENU
SOLUÇÕES
CONTATO
  • Edifício Palladium Office, Rua Getúlio Vargas, 400, 6º andar, sala 601 - Centro, Concórdia - SC, 89700-017 Concórdia / SC
  • 0800 600 0096
  • suporte@extratta.com.br
Facebook Youtube Instagram Linkedin
*Emissão do CIOT* via NDD
Copyright © 2025 Extratta. All Rights Reserved - CNPJ: 36.000.836/0001-33