Central de Privacidade

Essa central foi desenvolvida para que todas as pessoas que se relacionam com a ExperMed tenham acesso de forma facilitada as informações sobre como seus dados são utilizados e sobre o programa de proteção de dados da ExperMed.

Seus direitos como titular de dados pessoais

Avisos de privacidade

Essa central foi desenvolvida para que todas as pessoas que se relacionam com a ExperMed tenham acesso de forma facilitada as informações sobre como seus dados são utilizados e sobre o programa de proteção de dados da ExperMed.

Este Aviso de Privacidade se destina a todos os usuários da nossa Plataforma. Nele você encontrará as informações necessárias sobre quando e para quais finalidades a ExperMed trata seus dados pessoais. Além de informar quais são os seus direitos ao utilizar nossa Plataforma.

Além dos documentos que já compartilhamos com você, gostaríamos de listar outros documentos internos que são partes integrantes do programa de proteção de dados pessoais da ExperMed.

Tudo isso oferecido por verdadeiros especialistas

Um time multidisciplinar com expertise jurídica + TI + Segurança da Informação.

Seus direitos como titular de dados pessoais

Como titular de dados pessoais, você tem o direito de controlar suas informações. Na nossa empresa, você pode exercer seus direitos de várias maneiras:

Direito de obter do controlador a confirmação da existência de tratamento de dados pessoais e acesso a esses dados.

Direito de ter corrigido dados incompletos, inexatos ou desatualizados, garantindo que suas informações sejam precisas.

Direito de requisitar a anonimização, bloqueio ou eliminação de dados pessoais quando forem desnecessários, excessivos ou tratados em desconformidade com a lei.

O titular pode solicitar uma cópia dos seus dados pessoais para facilitar a migração para outro fornecedor.

Direito de solicitar a eliminação dos dados pessoais tratados com base em seu consentimento.

Direito de ser informado sobre as entidades públicas e privadas com as quais a ExperMed realizou o compartilhamento de seus dados.

Direito de ser informado sobre as consequências de eventual negativa em fornecer consentimento para o tratamento de seus dados.

O titular pode, a qualquer  momento, revogar o consentimento para o tratamento de seus dados pessoais, mediante manifestação expressa. Possui também  o direito de se opor a tratamentos de dados pessoais realizados com base em interesses legítimos do controlador.

Quem é o encarregado de dados da ExperMed?

O Encarregado de dados pessoais ou DPO (Data Protection Officer) é a Data Guide*, uma empresa especializada em proteção de dados e privacidade, contando com serviços de DPO terceirizado (DPOaaS).

A Data Guide conta com uma experiência vasta de mercado, além de uma equipe que soma mais de 10 certificações, tanto na área de proteção de dados, privacidade quanto de segurança da informação.

*DATA GUIDE CONSULTORIA E SOLUÇÕES EM PROTEÇÃO DE DADOS LTDA., com CNPJ de número 39.317.591/0001-60.

Dúvidas frequentes

A Lei 13.709/2018, também conhecida como Lei Geral de Proteção de Dados Pessoais, ou LGPD, foi sancionada, no dia 14 de agosto de 2018, e entrou em vigor no dia 18 de setembro de 2020. Ela estabelece regras sobre atividades que envolvam a coleta, processamento, armazenamento, compartilhamento e descarte de dados pessoais (coletivamente chamadas de “tratamento”), com o objetivo de proteger o direito à privacidade da pessoa física (definido pela lei como “titular de dado de pessoal”).

São todas as informações que possam identificar uma pessoa ou, de qualquer forma, tornar possível sua identificação, como exemplo nome, endereço, CPF, e- mail, localização, etc., sejam eles produzidos fisicamente ou online.

Segundo a LGPD, tratamento de dados pessoais é toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Contato para Esclarecimento de Dúvidas Para atender solicitações de esclarecimento, tratamos informações de contato como nome, e-mail e telefone, fundamentando essa ação no legítimo interesse. Atendimento Para prestar atendimento, também utilizamos nome, e-mail e telefone, com base no legítimo interesse. Cadastro do Produtor Realizamos o cadastro do produtor, que inclui dados cadastrais como nome completo, data de nascimento, sexo, CPF, RG (orgão emissor, UF, data de expedição), nacionalidade, naturalidade, além de dados profissionais e financeiros. O tratamento desses dados se dá mediante consentimento. Análise de Crédito Para análises de crédito, coletamos dados profissionais, como tipo de contratação, CNPJ/CPF da fonte pagadora, nome da fonte pagadora, endereço comercial e renda bruta mensal, além de informações financeiras sobre bens. A coleta também inclui uma assinatura autorizando consulta em órgãos de proteção ao crédito, com base na proteção ao crédito. Coleta de Documentos A coleta de documentos, como cópias de RG ou CNH, é realizada para a execução de contratos ou procedimentos preliminares. Assinatura e Gestão do Contrato Na fase de assinatura e gestão de contratos, tratamos dados cadastrais completos, dados profissionais e informações financeiras. O fundamento legal para essa ação é a execução de contrato ou procedimentos preliminares. Simulação de Operações de Crédito Para simulações de crédito, coletamos dados como nome completo, e-mail, telefone, CPF, finalidade do crédito, valor desejado e garantias disponíveis. Essa coleta se baseia no consentimento do titular. Compartilhamento com Instituições Bancárias Por fim, o compartilhamento de dados com instituições bancárias envolve informações cadastrais, profissionais e financeiras, e se justifica pela execução de contrato ou procedimentos preliminares.

Os dados que tratamos na Plataforma AgroOpen Bank enquanto Operadores são excluídos mediante solicitação do Controlador. Os demais dados são armazenados pelo tempo em que for necessário para a execução do contrato, cumprimento de obrigação legal e/ou regulatória, exercício de direitos e direito de defesa da Creditares.

A ExperMed adota uma abordagem robusta de segurança da informação para garantir a proteção dos dados e a integridade de suas operações, com práticas em conformidade com os mais altos padrões do mercado. Hospedada na infraestrutura da AWS, localizada nos EUA, a plataforma Creditares implementa diversas camadas de segurança para proteger as informações dos usuários e dados sensíveis.

Nosso banco de dados é acessível apenas por serviços da mesma rede interna, com controle rigoroso de IPs para monitorar acessos. A criptografia dos dados é feita utilizando algoritmos avançados como o AES-256, assegurando que os dados estejam protegidos tanto em repouso quanto em trânsito. Isso inclui o uso de TLS para transmissão segura de dados e outros mecanismos de criptografia aprovados pela empresa​​.

Para garantir a alta disponibilidade das informações e a continuidade dos serviços, a Creditares executa backups diários completos, além de testes recorrentes de restauração para assegurar a integridade dos dados e a eficácia dos backups​.

As práticas de segurança também incluem a exigência de senhas complexas e mecanismos de autenticação, como o uso de senhas com um mínimo de 8 caracteres, incluindo letras, números e símbolos​​. Além disso, a gestão de vulnerabilidades é contínua, com análise e tratamento de possíveis falhas identificadas tanto na plataforma quanto no ambiente de TI da empresa​.

A Creditares realiza auditorias regulares e utiliza firewalls, além de manter um sistema de logs para monitoramento de eventos de segurança e análise de acessos. Logs são coletados de forma centralizada, monitorados e armazenados adequadamente, permitindo uma resposta rápida a incidentes​​.

A ExperMed pode desempenhar diferentes papéis como agente de tratamento de dados pessoais, dependendo da relação com seus clientes e do uso de sua plataforma AgroOpen Bank. De acordo com a Lei Geral de Proteção de Dados (LGPD), existem dois agentes principais no tratamento de dados:

Controlador: Este é o agente responsável por tomar decisões sobre o tratamento de dados pessoais, incluindo a determinação das finalidades e dos meios do tratamento.

Operador: O operador é aquele que realiza o tratamento de dados em nome do controlador, seguindo suas instruções.

Na Creditares, o papel de controladora ocorre quando ela toma decisões sobre os dados pessoais que coleta e processa diretamente para seus próprios fins. Isso pode incluir decisões sobre a coleta de dados de leads ou colaboradores, por exemplo. Nesse caso, a Creditares tem a responsabilidade de garantir a conformidade com a LGPD, incluindo obter consentimento quando necessário e proteger os dados.

Já a plataforma AgroOpen Bank, que é utilizada por outras empresas, age como operadora de dados. Ela processa dados pessoais sob as instruções de seus clientes (os controladores), e sua responsabilidade é garantir que o tratamento de dados siga as instruções do controlador e as finalidades estabelecidas no contrato. A plataforma não decide como os dados são usados, apenas os trata conforme as diretrizes do controlador.

Uma das obrigações trazidas pela LGPD é a realização do registro das atividades de tratamento de dados, que acaba se concretizando em um Data Mapping. Ciente dessa obrigação, a ExperMed possui o registro de tratamento de dados atualizado.

Para garantia organizacional da segurança e conformidade com a LGPD, a Creditares elaborou e implementou uma série de procedimentos, a seguir listados:
Política de Privacy by Design
Política de Gestão de Mudanças
Política de Gestão de Incidentes de Violação de Dados Pessoais
Política de Gestão de Incidentes de Segurança da Informação
Política de Desenvolvimento Seguro
Política de Criptografia
Política Corporativa de Privacidade e Governança de Dados Pessoais
Norma de Uso Aceitável de Ativos
Código de Conduta e Ética
Aviso de Privacidade
Política de Segurança da Informação
Política de Gestão de Vulnerabilidades
Procedimento para Avaliação de Gestão de Dados Pessoais em Terceiros
Procedimento de Backup
Procedimentos para Classificação, Rotulagem e Manuseio da Informação
Procedimento para execução do RIPD/DPIA (Relatório de Impacto à Proteção de Dados Pessoais)
Procedimentos para Execução das Requisições de Direitos do Titular de Dados Pessoais
Procedimento para Análise de Legítimo Interesse (LIA)
Procedimento para Gestão de Identidade e Controle de Acesso

Nosso encarregado de dados pessoais é a Data Guide – Consultoria e Soluções em Proteção de Dados, pessoa jurídica de direito privado inscrita no CNPJ sob o nº 39.317.591/0001-60, que pode ser contatado pelo endereço de e-mail dpo@dataguide.com.br.
Temos formado, adicionalmente, um comitê de segurança e proteção de dados para decisões e controle da conformidade com as normas de proteção de dados pessoais.

Possuímos um canal de comunicação específico para atender as demandas relativas à Privacidade e Proteção de Dados: dpo@expermed.com.br
Se você tiver qualquer dúvida sobre como tratamos seus dados pessoais, entre em contato conosco!

E-mail: dpo@expermed.com.br

Feito com ❤️ e pensando na sua privacidade por: DATA GUIDE CONSULTORIA E SOLUÇÕES EM PROTEÇÃO DE DADOS LTDA.
CNPJ: 39.317.591/0001-60 | © 2023

Endereço