Política de privacidade e proteção dos dados pessoais

POLÍTICA DE PRIVACIDADE E PROTEÇÃO DOS DADOS PESSOAIS

A BRINQUEDOS BANDEIRANTE S/A., pessoa jurídica de direito privado, inscrita no CNPJ sob o n.º 61.068.557/0001-59 com sede em São Paulo – Capital e pelo CNPJ sob o nº 61.068.557/0005-82, com Filial Ferraz de Vasconcelos em conformidade com a Lei n. 13.709/2018 (“Lei Geral de Proteção de Dados” ou “LGPD“), apresenta esta Política de Privacidade e Proteção de Dados Pessoais (“Política” ou “PPPDP“) com o propósito de orientar a todos aqueles que tratam Dados Pessoais por conta e em nome da BRINQUEDOS BANDEIRANTE por meio de diretrizes acerca da proteção e do Tratamento desses dados, fazendo parte, portanto, do programa da Governança de Dados Pessoais da BRINQUEDOS BANDEIRANTE.

Esta Política abrange todo e qualquer Tratamento de Dados Pessoais realizado pela BRINQUEDOS BANDEIRANTE, independentemente do meio, se físico ou eletrônico, do público, se externo ou interno, e da finalidade do Tratamento realizado.

Esta “Política de Privacidade e Proteção de Dados Pessoais”, os “Termos e Condições de Uso das Plataformas Digitais”, a “Política de Cookies” e o “Manual de Exercício dos Direitos do Titular de Dados Pessoais” são instrumentos indissociáveis e integrantes de um mesmo conjunto de normas, devendo ser compreendidos integralmente por todos os Usuários de nossas Plataformas e por todos os Titulares de Dados Pessoais que, de alguma forma, cederam a nós seus Dados Pessoais em razão de qualquer modalidade de relacionamento conosco.

NORMAS APLICÁVEIS

Esta Política é regida, interpretada e executada de acordo com a legislação nacional, especialmente a Lei Geral de Proteção de Dados. No entanto, em caso de Transferência Internacional de Dados, serão também observadas as leis internacionais aplicáveis, dos países com os quais ocorrer o compartilhamento de Dados Pessoais, bem como as Normas Corporativas Globais e demais legislações aplicáveis em observância ao caso concreto.

DEFINIÇÕES

Para os fins da presente Política de Privacidade e Proteção de Dados Pessoais, os termos abaixo definidos, quando escritos em letra maiúscula, seja no singular ou no plural, terão os seguintes significados:

Agentes de Tratamento: o Controlador e o Operador;

Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

Autoridade Nacional de Proteção de Dados Pessoais (ANPD): órgão da administração pública federal brasileira responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.

Banco de Dados: conjunto estruturado de Dados Pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do Dado Pessoal ou do Banco de Dados;

Consentimento: manifestação livre, informada e inequívoca pela qual o Titular concorda com o Tratamento de seus Dados Pessoais para uma finalidade determinada;

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados Pessoais;

Dado Anonimizado: dado relativo a Titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu Tratamento;

Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável;

Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político; dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Eliminação: exclusão de dado ou de conjunto de dados armazenados em Banco de Dados, independentemente do procedimento empregado;

Encarregado: pessoa indicada pelo Controlador e/ou Operador para atuar como canal de comunicação entre o Controlador, os Titulares dos Dados e a ANPD, sendo o Encarregado também conhecido, no idioma inglês, como Data Protection Officer (DPO);

Lei Geral de Proteção de Dados (LGPD): Lei nº 13.709, de 14 de agosto de 2018, que dispõe sobre o Tratamento de Dados Pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador;

Órgão de Pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado, sem fins lucrativos, legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;

Titular: pessoa natural a quem se referem os Dados Pessoais que são objeto de Tratamento;

Transferência Internacional de Dados: transferência de Dados Pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

Tratamento: toda operação realizada com Dados Pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Relatório de Impacto à Proteção de Dados Pessoais: documento do Controlador que contém a descrição dos processos de Tratamento de Dados Pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

Uso Compartilhado de Dados: comunicação, difusão, transferência internacional, interconexão de Dados Pessoais ou tratamento compartilhado de Banco de Dados Pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

PRINCÍPIOS DO TRATAMENTO DE DADOS PESSOAIS

O Tratamento de Dados Pessoais realizado por conta e em nome da BRINQUEDOS BANDEIRANTE deverá observar os seguintes princípios, sempre em observância ao respeito à privacidade, à dignidade e aos direitos dos Titulares, bem como ao respeito à boa-fé na relação entre o Titular e a BRINQUEDOS BANDEIRANTE:

I. Finalidade: o tratamento de Dados Pessoais deverá ocorrer tão somente para propósitos legítimos, específicos, explícitos e informados ao Titular;

II. Adequação: o tratamento deverá ser compatível com as finalidades informadas ao Titular;

III. Necessidade: o tratamento deverá ser realizado de forma proporcional e pertinente, tratando apenas os dados necessários para o cumprimento da finalidade legítima determinada pela BRINQUEDOS BANDEIRANTE;

IV. Livre acesso: o titular poderá, de forma facilitada e gratuita, consultar a BRINQUEDOS BANDEIRANTE acerca da forma e duração do tratamento de seus dados pessoais;

V. Qualidade dos dados: os Dados Pessoais tratados pela BRINQUEDOS BANDEIRANTE deverão estar sempre atualizados, claros e exatos;

VI. Transparência: o titular deverá ter fácil acesso a informações claras e precisas sobre o tratamento de seus Dados Pessoais pela BRINQUEDOS BANDEIRANTE;

VII. Segurança: a BRINQUEDOS BANDEIRANTE deverá tomar todas as medidas técnicas e administrativas aptas a protegerem os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII. Prevenção: a BRINQUEDOS BANDEIRANTE deverá adotar medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX. Não discriminação: é expressamente proibida a realização do tratamento de dados pessoais para fins discriminatórios ilícitos e/ou abusivos;

X. Responsabilização e prestação de contas: a BRINQUEDOS BANDEIRANTE deverá demonstrar que adota medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de Dados Pessoais.

FONTES

Os Dados Pessoais que tratamos são provenientes de diversas fontes, como, por exemplo:

I. Plataformas da Empresa: como websites, minisites ou aplicativos voltados para os funcionários, colaboradores, parceiros de negócios e clientes, com domínios e URL’s próprios, bem como aqueles voltados para terceiros em geral;

II. Mensagens eletrônicas (e-mails, mensagens de texto, formulários, entre outras): todas as comunicações eletrônicas estabelecidas entre o Titular de Dados Pessoais e a Empresa;

III. Formulários de registro off-line: formulários impressos ou digitais ou formas análogas nos quais são coletados dados pessoais como, por exemplo, correspondências via correios, cadastros de funcionários, colaboradores, clientes e parceiros de negócios, listas de demandantes em processos administrativos e judiciais e quaisquer outras listas, formulários ou cadastros elaborados no legítimo interesse da Empresa;

IV. Interações automatizadas: como, por exemplo, dados pessoais coletados por meio de anúncios publicitários da BRINQUEDOS BANDEIRANTE em sites terceiros ou de redes sociais, dados obtidos por meio de pesquisas de mercados, entre outras (para saber mais, consulte a “Política de Cookies“);

V. Controladores terceiros: como, por exemplo, dados pessoais coletados, compartilhados ou transferidos em razão de fusões, aquisições, incorporações, cisões, joint ventures, ou em razão de outros institutos de empresas;

VI. Contratos ou formulários pré-contratuais: como dados pessoais de indivíduos que figuram ou que poderão figurar em contratos, de variadas espécies, firmados ou a serem firmados com a BRINQUEDOS BANDEIRANTE.

TIPOLOGIA DE DADOS PESSOAIS E BASES LEGAIS

O Tratamento de Dados Pessoais deverá ocorrer apenas se houver propósitos legítimos, específicos, explícitos e informados ao titular, devendo ser tratados apenas os Dados Pessoais estritamente necessários para o cumprimento da finalidade informada pela BRINQUEDOS BANDEIRANTE. A LGPD dispõe acerca das hipóteses autorizadoras (“bases legais”) do tratamento de dados pessoais; são elas:

I. A partir do consentimento do Titular;

II. Para o cumprimento de obrigação legal ou regulatória pelo Controlador de dados pessoais;

III. Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas em conformidade com leis e regulamentos ou por base em contratos, convênios ou instrumentos análogos;

IV. Para a realização de estudos por órgãos de pesquisa, devendo ocorrer, sempre que possível, a anonimização dos Dados Pessoais;

V. Para execução de contrato ou de procedimentos preliminares relacionados a contratos;

VI. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

VII. Para a proteção da vida e da incolumidade física do titular ou de terceiro;

VIII. Para a tutela da saúde em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

IX. Para atender aos interesses legítimos do controlador ou de terceiros, observados os direitos e liberdades fundamentais do Titular;

X. Para a proteção do crédito.

Desse modo, essas bases legais serão classificadas de acordo com a finalidade do Tratamento de Dados Pessoais realizado pela Empresa. Abaixo, citamos alguns exemplos dos tipos de dados pessoais que poderão ser tratados pela BRINQUEDOS BANDEIRANTE, suas finalidades e as respectivas bases legais que autorizam seu Tratamento.

TIPO                                                          
Informações de login e conta.

FINALIDADE
Fornecer bens ou serviços solicitados pelo Titular de Dados.

BASE LEGAIS
Fornecimento de consentimento pelo Titular (art. 7º, inciso I, da LGPD)

TIPO 
Informações demográficas, perfil de interesses a partir de pesquisas de mercado ou anúncios publicitários originados em Plataformas administradas pela BRINQUEDOS BANDEIRANTE ou por controladores terceiros, como redes sociais e websites e aplicativos.

FINALIDADE
Coletar Dados Pessoais do Titular usuário de Plataformas da Empresa ou de terceiros acerca de seus hábitos de navegação, preferências de consumo, entre outros.

BASE LEGAIS
Necessário para atender aos legítimos interesses do Controlador ou de Terceiros (art. 7º, inciso IX, da LGPD); Fornecimento de consentimento pelo Titular (Art. 7º, inciso I, da LGPD). Para mais informações, consulte nossa “Política de Cookies”.

TIPO
Conteúdos gerados voluntariamente pelos próprios Titulares, a partir de canais como “Trabalhe Conosco” ou envio de e-mails. 

FINALIDADE
Atender às solicitações encaminhadas pelo Titular dos Dados.

BASE LEGAIS
Fornecimento de consentimento pelo Titular (art. 7º, inciso I, da LGPD)

TIPO
Dados pessoais pré-contratuais e originados de contratos diversos. 

FINALIDADE
Gerenciar contratos nos quais o Titular dos Dados Pessoais faça ou venha a fazer parte 

BASE LEGAIS
Execução de contrato ou de procedimentos preliminares relacionados a contrato (art. 7º, inciso V, da LGPD)

TIPO
Dados do setor de RH, Dados financeiros e análogos.

FINALIDADE
Cumprir obrigações trabalhistas, administrativas, contábeis, tributárias e outras obrigações legais

BASE LEGAIS
Cumprimento de obrigação legal ou regulatória (art. 7º, inciso II, da LGPD)

TIPO
Dados biométricos ou oriundos de reconhecimento facial

FINALIDADE
Proteger a segurança dos funcionários e controlar o acesso às dependências da BRINQUEDOS BANDEIRANTE.

BASE LEGAIS
Garantia de prevenção à fraude e à segurança do Titular (art. 11, inciso II, alínea “g”, da LGPD).

TIPO
Dados oriundos de processos e procedimentos, administrativos ou judiciais, os quais façam parte o Titular de Dados.

FINALIDADE
Gerenciar os processos e procedimentos em questão.

BASE LEGAIS
Exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 7º, inciso VI, da LGPD).

TIPO
Dados oriundos de fusões, aquisições, cisões, joint ventures e outras razões que envolvam institutos do direito das empresas.

FINALIDADE
Efetivar operações empresariais.

BASE LEGAIS
Cumprimento de obrigação legal ou regulatória (art. 7º, inciso II, da LGPD); Necessários para atender aos legítimos interesses do Controlador ou de terceiros (art. 7º, inciso IX, da LGPD)

CONSENTIMENTO

O consentimento do Titular de Dados Pessoais é uma das hipóteses autorizadoras de tratamento de dados pessoais, sensíveis ou não. O consentimento deverá ser livre, informado e inequívoco, devendo o titular concordar com o tratamento de seus dados pessoais para uma finalidade legítima e determinada, podendo este ser revogado a qualquer momento. Para saber mais sobre os direitos dos Titulares, consulte “Manual de Exercício dos Direitos do Titular de Dados Pessoais“)

DIVULGAÇÃO E COMPARTILHAMENTO DE DADOS PESSOAIS

Os dados pessoais poderão ser divulgados ou compartilhados sempre que necessário para cumprimento de obrigação legal ou regulatória, para o exercício regular de direitos sobre os contratos ou processos judiciais e administrativos dos quais a BRINQUEDOS BANDEIRANTE seja parte ou interessada, ou, ainda, para atender a interesses legítimos próprios ou de terceiros, em observância aos direitos dos titulares, como, por exemplo, em casos de proteção ao crédito ou para finalidades de marketing. Esses dados também poderão ser compartilhados em caso de decisão judicial ou administrativa de autoridade competente.

Sem prejuízo de outras formas autorizadas em lei, os dados pessoais podem ser divulgados ou compartilhados nas seguintes hipóteses:

I. Divulgação pela própria Empresa: para cumprir determinadas obrigações legais e regulatórias, é necessário divulgar, por exemplo, relatórios, reports, atas, extratos de publicação em diários oficiais, extratos de contratos, dentre outros tipos de documentos originados na própria BRINQUEDOS BANDEIRANTE, cujos teores poderão conter dados pessoais de diretores, administradores, auditores, profissionais liberais, contratantes e outras pessoas cuja participação e qualificação se mostravam imprescindíveis para a prática do ato ou para a elaboração do documento;

II. Colaboradores e parceiros de negócio: a fim de cumprir deveres ou contratos em forma coligada ou dispostos em redes contratuais, a BRINQUEDOS BANDEIRANTE poderá divulgar ou compartilhar Dados Pessoais a terceiros;

III. Provedores e prestadores de serviços: A BRINQUEDOS BANDEIRANTE poderá divulgar e compartilhar dados pessoais em seu legítimo interesse para processar dados, operar plataformas, realizar pesquisas de mercado, de marketing e remarketing, serviços de suporte, promoções, análise de dados, agências de crédito ou cobrança de dívidas, órgãos prestadores de serviços públicos, escritórios de auditoria, advocacia, contabilidade e consultoria, de atendimento à imprensa, ao consumidor, aos fornecedores, aos colaboradores, aos funcionários e aos parceiros de negócios. Os dados pessoais divulgados e/ou compartilhados deverão, preferencialmente, ser anonimizados.

IV. Ordem emanada de autoridade judicial ou administrativa: caso seja ordenado por autoridade judicial e/ou administrativa competente a divulgação, a abertura, a quebra de sigilo ou a transferência de Dados Pessoais de qualquer indivíduo ou grupo de indivíduos cujos dados estejam em poder da Empresa;

V. Institutos do direito de empresas: Dados Pessoais poderão ser divulgados, compartilhados ou cedidos em hipóteses concernentes ao direito empresarial, como em caso de recuperação judicial, falência, fusões, aquisições, incorporações, cisões, joint ventures, abertura de filiais, de sucursais etc.

Registre-se, entretanto, que a BRINQUEDOS BANDEIRANTE não pode se responsabilizar pelo tratamento de dados pessoais controlados por terceiros, mesmo que sejam seus colaboradores e parceiros de negócio, responsabilizando-se unicamente por:

I. Aditar seus atuais contratos e promover a qualificação de seus provedores e prestadores de serviços, a fim de que, de acordo com esta Política, adequem seus respectivos tratamento de dados pessoais às diretrizes da BRINQUEDOS BANDEIRANTE;

II. Investigar e denunciar e, dentro de suas competências privadas, contratuais e legais, penalizar funcionários, colaboradores e/ou parceiros de negócios que fizerem uso indevido de dados pessoais tratados pela BRINQUEDOS BANDEIRANTE;

III. Comprometer-se com a educação e o treinamento continuado de seus funcionários, relativamente à governança de dados e ao uso ético, responsável e legítimo dos dados pessoais tratados pela BRINQUEDOS BANDEIRANTE;

A Transferência Internacional de Dados Pessoais pela Empresa, caso haja, ocorrerá apenas para países que proporcionem ao titular a proteção adequada de seus dados pessoais ou na hipótese de o Controlador comprovar cumprimento dos princípios e direitos do Titular em conformidade com a LGPD, e desde que haja disposições específicas acerca do tratamento de dados pessoais, como, por exemplo, cláusulas contratuais ou formulários de consentimento que viabilizem o compartilhamento desses dados.

TEMPO DE RETENÇÃO DOS DADOS

Os Dados Pessoais devem ser armazenados pelo tempo necessário para o exaurimento das finalidades legítimas para os quais foram coletados e, caso exista disposição normativa sobre o tema, devem ser mantidos pelo tempo mínimo previsto em lei.

DADOS PESSOAIS SENSÍVEIS

O Tratamento de Dados Pessoais Sensíveis pela Empresa deverá ocorrer apenas nas seguintes hipóteses:

I. Com o consentimento expresso do titular para finalidade legítima específica;

II. Para o cumprimento de leis e regulamentos específicos;

III. Para tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

IV. Para a realização de estudos por órgãos de pesquisa, garantida, sempre que possível, a anonimização dos Dados Pessoais Sensíveis;

V. Para o exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;

VI. Para a proteção da vida ou da incolumidade física do titular ou de terceiros;

VII. Para a tutela da saúde em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

VIII. Para a prevenção à fraude e à segurança do titular e de seus dados pessoais, resguardados seus direitos (para saber mais, consulte o “Manual de Exercício dos Direitos do Titular de Dados Pessoais“);

Ressalta-se que nas hipóteses que não exijam o consentimento do Titular de Dados Pessoais, o Tratamento dos Dados Pessoais Sensíveis deverá ocorrer apenas em caráter subsidiário, ou seja, quando inexistentes ou esgotados outros meios igualmente eficazes para o cumprimento das mesmas finalidades.

DADOS PESSOAIS DE MENORES DE IDADES OU DE CIVILMENTE INCAPAZES

Se, no interesse da BRINQUEDOS BANDEIRANTE, ou para cumprimento de obrigações legais ou contratuais, ou mesmo no exercício regular de direitos em processos judiciais, administrativos ou arbitrais for necessário tratar dados pessoais de menores ou incapazes, estes deverão ser tratados conforme as seguintes regras:

I. Sempre no melhor interesse dos menores ou incapazes;

II. Somente havendo consentimento específico e destacado dado por um dos pais ou pelo responsável legal (tutor, curador etc.), desde que devidamente identificados;

III. Utilizando-se tecnologias assistivas e inclusivas, quando evidentemente necessárias para que o consentimento dos pais ou responsável legal seja inequívoco;

IV. Por meio de “Formulário de Gestão de Consentimento” ou cláusula contratual específicos, que traga informações claras e objetivas sobre os dados que serão coletados, sua forma de utilização e sobre os procedimentos para o exercício dos direitos dos Titulares (para mais informações, consulte o “Manual de Exercício dos Direitos do Titular de Dados Pessoais“).

O consentimento estará dispensado se a coleta for estritamente necessária para se contatar os pais ou o responsável legal do menor ou incapaz, estando proibido, nesta hipótese, o armazenamento dos dados.

FORMAS AUTOMATIZADAS DE COLETA DE DADOS PESSOAIS

Para informações sobre as formas automatizadas de coleta de dados pessoais, como cookies e tecnologias semelhantes, consulte a nossa “Política de Cookies“.

DIREITOS DO TITULAR

Para informações detalhadas sobre os direitos do titular de dados pessoais, consulte o nosso “Manual dos Direitos do Titular de Dados Pessoais“.

RESPONSABILIDADE DA EMPRESA ENQUANTO CONTROLADORA E/OU OPERADORA DE DADOS PESSOAIS

A BRINQUEDOS BANDEIRANTE, enquanto Controladora ou Operadora, será responsável por quaisquer danos causados a terceiros provenientes do tratamento de dados pessoais ou em caso da ausência de adoção de medidas de segurança, técnicas e administrativas para mitigar possíveis incidentes. Ainda, enquanto operadora, a BRINQUEDOS BANDEIRANTE poderá responder solidariamente pelos danos causados junto ao Controlador.

DISPOSIÇÕES FINAIS

A presente Política poderá ser revisada e alterada a qualquer momento e sem aviso prévio. O titular de dados pessoais autoriza, entretanto, que a BRINQUEDOS BANDEIRANTE crie canais de comunicação diretos ou indiretos a fim que possa mantê-lo informado da atualização de suas Políticas e Termos.

Casos de violação ou de suspeitas de violação à presente Política, bem como dúvidas, reclamações e/ou sugestões, podem ser reportados à BRINQUEDOS BANDEIRANTE por meio do contato: lgpd@brinquedosbandeirante.com.br

Esta Política é regida pela legislação da República Federativa do Brasil. Fica eleito, desde já, o Foro da Comarca de São Paulo para dirimir eventuais controvérsias oriundas de seus termos, em detrimento de qualquer outro, por mais privilegiado que seja.

A presente Política, em sua primeira versão, integrada de forma indissociável com os “Termos e Condições de Uso das Plataformas Digitais”, com a “Política de Cookies” e com o “Manual de Exercício dos Direitos do Titular de Dados Pessoais”, entra em vigor na data de sua publicação, em 21 de junho de 2021.