POLÍTICA DE PROTEÇÃO DE DADOS

Logo Consórcio RCI

Política de proteção de dados

O Banco RCI Brasil S.A. e as Empresas do Grupo RCI Brasil reservam-se no direito de alterar esta Política  de Privacidade e Proteção de Dados a qualquer momento, sem aviso. Como esses termos e condições são atualizados regularmente, sugerimos que você consulte esta página ou Política no App sempre que tiver necessidade.

BASE

O Banco RCI Brasil S.A., doravante denominado neste instrumento como “Banco RCI”, juntamente com as “Empresas do Grupo RCI Brasil”, está comprometido em manter a privacidade dos dados pessoais obtidos no curso de suas atividades empresariais e cumprir as leis e regulamentos aplicáveis sobre o tratamento de dados pessoais (“Dados Pessoais”), incluindo dados sensíveis (“Dados Sensíveis”).Isso inclui, mas não está limitado à Lei Geral de Proteção de Dados, cuja entrada em vigor se deu em setembro de 2020.

O RCI e as Empresas do Grupo RCI Brasil decidiram adotar uma Política de Privacidade e Proteção de Dados para definir técnicas e medidas organizacionais adequadas contra o tratamento não autorizado e ilegal de Dados Pessoais e contra perda ou destruição acidental ou danos aos Dados Pessoais, para assegurar que os Dados Pessoais, incluindo Dados Sensíveis, sejam devidamente protegidos.

Para maiores informações sobre a Política ou sobre como tratamos os seus dados pessoais, você pode entrar em contato com o Encarregado de Dados/DPO.

DEFINIÇÕES

Os termos e expressões a seguir, quando escritos em letras maiúsculas, deverão ter os seguintes significados, conforme definido abaixo:

“Autoridade Nacional de Proteção de Dados” ou “ANPD” significa a autoridade administrativa encarregada da Proteção de Dados Pessoais, que é um órgão da administração pública nacional responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados em todo o território brasileiro.

“Comitê de Privacidade e Proteção de Dados” é um comitê especificamente dedicado a lidar com Proteção de Dados, composto por representantes das Empresas do Grupo RCI Brasil e do Encarregado de Proteção de Dados.

“Colaboradores do RCI” são todos os funcionários das Empresas do Grupo RCI Brasil, incluindo diretores,estagiários, aprendizes e qualquer outra pessoa que possua vínculo direto com as empresas do Grupo.

“Controlador de Dados” significa uma pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados Pessoais.

“Dados Pessoais” significam quaisquer dados relacionados a um indivíduo (pessoa natural) que é ou possa ser identificado a partir dos dados ou a partir dos dados em conjunto com outras informações.

“Dados Sensíveis” significa os dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural, ou outros dados específicos considerados sensíveis mediante as leis e regulamentos próprios.

“Empresas do Grupo RCI Brasil” significa: (i) Banco RCI Brasil S.A., pessoa jurídica de direito privado com CNPJ/MF 62.307.848/0001-15, com sede na Rua Pasteur, nº463, 2º Andar, Conjunto 203, Bairro Batel, Curitiba/PR, CEP 80.250-080; (ii)Administradora de Consórcio RCI Brasil Ltda, pessoa jurídica de direito privado com CNPJ/MF 73.230.674/0001-56, com sede na Alameda Europa, n° 150, Bairro Alphaville, Santana de Parnaíba/SP, CEP: 06541-065; (iii) Corretora de Seguros RCI Brasil S.A., pessoa jurídica de direito privado com CNPJ/MF04.406.267/0001-34, com sede na Rua Pasteur, nº 463, 2º Andar, Conjunto 203,Bairro Batel, Curitiba/PR, CEP 80.250-080; e (iv) RCI Brasil Serviços e Participações Ltda, pessoa jurídica de direito privado com CNPJ/MF13.758.102/0001-12 com sede na Rua Pasteur, nº 463, 2º Andar, Conjunto 203,Bairro Batel, Curitiba/PR, CEP 80.250-080.

“Encarregado de Dados” ou “DPO” significa a pessoa que nas Empresas do Grupo RCI Brasil é o responsável por coordenar e por assegurar a conformidade com a Política de Privacidade e Proteção de Dados e requisitos legais/regulamentares locais aplicáveis, também, atuará como o canal com os titulares dos dados e a Autoridade Nacional de Proteção de Dados. Informações a seguir.

 “LGPD” significa Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709 de 14 de agosto de 2018.

“Open Banking” ou “Sistema Financeiro Aberto” significa o compartilhamento padronizado de dados bancários pessoais e serviços por meio de abertura e integração de sistemas entre clientes e instituições financeiras, de pagamento e demais autorizadas pelo Banco Central do Brasil(BCB), implementada pela Resolução Conjunta nº 1 de 2020 (“Resolução”), entre o BCB e o Conselho Monetário Nacional (CNM).

“Operador de Dados” significa uma pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador de Dados.

“Titular dos Dados” significa qualquer pessoa natural a quem se referem os dados pessoais que são objeto de tratamento ou a pessoa jurídica a quem se referem os dados, inclusive financeiros e transacionais, objeto do tratamento.

“Tratamento” é qualquer ação tomada tendo por base dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, tratamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

OBJETIVO

O objetivo da Política de Privacidade e Proteção de Dados é definir as principais regras em relação à proteção de dados que são aplicáveis nas Empresas do Grupo RCI Brasil para garantir um nível adequado de proteção aos Dados Pessoais tratados.

O objetivo é ajudar cada uma das Empresas do Grupo RCI Brasil e suas respectivas áreas internas a estabelecer programas de proteção de dados e cumprir à Lei Geral de Proteção de Dados e toda e qualquer legislação, incluindo regulamentações das autoridades competentes, que direta ou indiretamente estabeleça regras sobre o tema.

ESCOPO

1. Abrangência geográfica

A presente Política de Proteção de Dados aplica-se ao Tratamento de Dados Pessoais coletados no Brasil, independentemente se o tratamento ocorrer no Brasil ou Exterior.

2. Escopo temporal

Há vários componentes para calcular os períodos de guarda e conservação dos dados, os quais poderão ser alterados de acordo com o tipo e natureza dos dados. Os dados poderão ser conservados pelo período necessário para:

Também  podemos conservar  alguns  dos seus  dados  pessoais em  nossos  arquivos, para  que  possamos responder  a qualquer  processo administrativo, judicial ou arbitral.  Isso  se aplica  durante  todo o  período  de decadência e prescrição especificado na legislação aplicável.

3. Escopo material

PRINCÍPIOS PARA O TRATAMENTO DOS DADOS

Princípios Gerais

O Tratamento de Dados Pessoais executado sob o controle das Empresas do Grupo RCI Brasil será feito de acordo com as leis aplicáveis e com as disposições desta Política de Privacidade e Proteção de Dados e em particular com as seguintes regras mínimas:

Os Dados Pessoais apenas devem ser processados se esse Tratamento for baseado em bases legítimas, incluindo, por exemplo, se:

Dados Sensíveis

O Tratamento de Dados Sensíveis somente poderá ocorrer nas seguintes hipóteses:

Obrigações de Sigílo Bancário

Para as atividades específicas e previstas pela Lei Complementar 105/2001 devem ser observados o sigilo bancário das operações. Embora tecnicamente essas obrigações possam não incluídas em algumas hipóteses na Lei Geral de Proteção de Dados, dependendo da característica dos dados e seu tratamento e com objetivo de adotar um procedimento adequado para proteção de dados eventualmente entidades não bancárias das Empresas do Grupo RCI Brasil poderão adotar medidas mais conservadoras na realização do tratamento dos dados pessoais.

Subcontratação de Operadores

Nos casos nos quais o Tratamento é realizado por um operador em nome das empresas do Grupo RCI Brasil, a empresa deverá escolher um subcontratado que tenha medidas técnicas de segurança suficientes e medidas organizacionais para garantir que o Tratamento será Executado de acordo com esta Política de Proteção de Dados e as empresas do Grupo RCI Brasil devem garantir que os subcontratados cumprirão essas medidas. As empresas do Grupo RCI Brasil que escolhem os subcontratados devem assegurar que o subcontratado acorde com essas medidas técnicas de segurança e medidas organizacionais por escrito, assinando um contrato que estipule em particular que o subcontratado atuará apenas conforme as instruções das Empresas do RCI.

Transferências de Dados para fora do Brasil

As Empresas do Grupo RCI Brasil devem garantir que transferências de Dados Pessoais fora do território nacional observem o estabelecido na Lei Geral de Proteção de Dados Pessoais:

Responsabilização e Prestação de Contas

Todas as Empresas do Grupo RCI Brasil devem ser capazes de demonstrar as medidas tomadas para garantir a conformidade com a LGPD, bem como demonstrar a eficácia destas medidas.

DIREITOS DOS INDIVÍDUOS EM RELAÇÃO AOS DADOS PESSOAIS

A Lei Geral de Proteção de Dados Pessoais define que os indivíduos devem receber informações sobre o Tratamento dos Dados Pessoais no momento da coleta dos dados. Embora possa haver exceções a esta regra. O tipo exato de informações a serem fornecidas variará dependendo da operação, contrato ou serviço, mas geralmente inclui, no mínimo:

Estas informações poderão ser encontradas, nos termos de uso de site ou aplicativos das Empresas do Grupo RCI Brasil, Contratos firmados com os consumidores e outras informações disponíveis nos canais oficiais de cada uma das Empresas do Grupo RCI Brasil.

No que diz respeito a LGPD, o Consentimento será necessário para realização de alguns tratamentos específicos, caso não exista base legal para utilização dos dados coletados.O consentimento deve abranger as atividades de tratamento de Dados Pessoais realizadas

No caso de um Tratamento de Dados Pessoais, os Titulares dos Dados possuem os seguintes direitos dentre outros previstos na legislação brasileira:

As Empresas do Grupo RCI Brasil empreenderão todos os esforços para atender tais pedidos no menor espaço de tempo possível. No entanto, mesmo em caso de requisição de exclusão, será respeitado o prazo de armazenamento mínimo de informações de usuários, determinado pela legislação brasileira, dentre outras determinações legais aplicáveis.

As Empresas do Grupo RCI Brasil são individualmente autorizadas a acessar seus dados, bem como a compartilhá-los entre as Empresas do Grupo RCI Brasil, com a sua Matriz e subsidiárias, com as Montadoras e Concessionárias Renault e Nissan, bem como com as empresas do conglomerado Santander, com o objetivo de lhe oportunizar ofertas exclusivas e em caso de necessidade de responder as suas solicitações.

Dentro do possível, os seus dados pessoais serão hospedados em servidores localizados no Brasil e eventualmente na Área Econômica Europeia.

Quanto ao Open Banking, é também direito do Titular de Dados consultar os Dados Pessoais recebidos de outras Instituições Financeiras. Porém, em caso de dúvidas, o seu contato deve ocorrer diretamente com a Instituição Financeira de origem dos Dados, a quem poderá solicitar, a qualquer momento, o cancelamento desta autorização.

AÇÕES PARA IMPLEMENTAÇÃO

Programa de Treinamento

As Empresas do Grupo RCI Brasil responsabilizam-se em implementar programas de treinamento sobre proteção de Dados Pessoais aos Funcionários do RCI envolvidos no Tratamento de Dados Pessoais em relação aos princípios contidos nesta Política de Proteção de Dados Pessoais.

Os princípios gerais para treinamento e aumento de conscientização serão elaborados de forma conjunta e quando possível serão compartilhados exemplos práticos através de sessões de conscientização (e-learning, presencial...) serão realizadas por cada Empresa do Grupo RCI Brasil em linha com as leis e processos aplicáveis.

Cada Empresa do Grupo RCI Brasil deve definir como executar o controle do nível de treinamentos concluídos com êxito. Além disso, cada Empresa do RCI determinará a periodicidade das atualizações do treinamento, o treinamento sobre proteção de Dados Pessoais de Funcionários do RCI recém contratados como parte da sessão de indução ao unirem-se à Empresa do RCI, bem como um treinamento anual especialmente dirigidos aos Funcionários do RCI que são mais intimamente envolvidos com aspectos críticos dos Dados Pessoais.

As Empresas do RCI podem considerar incluir o seguinte no programa de treinamento: (i) Sumários dos principais conceitos, (ii) Apresentação dos critérios para o tratamentocom base na LGPD;  (iii) Síntese  das bases leais para o tratamento de Dados Pessoais; (iv) Ilustrações da aplicação dos princípios na prática, (v) Uma visão geral das políticas e procedimentos relevantes das Empresas do RCI Brasil, ou (vi) Um estudo de caso interativo que exige que os funcionários lidem com um problema de proteção de dados, como uma solicitação do Titular dos Dados para acessar todos os Dados Pessoais relacionados a ele. Em todos os casos, o foco do treinamento deve ser nos requisitos previstos na LGPD.

Governança

O Grupo RCI Globalmente possui uma Organização/Governança de Privacidade de Dados com (i) um modelo de governança de Privacidade de Dados aprovado pelo Comitê de Gerenciamento, (ii) um Administrador de Proteção de Dados do Grupo, (iii) um Comitê de Direção de Privacidade de Dados do Grupo, (iv) uma rede de Correspondentes de Proteção de Dados coordenada pelo Administrador de Proteção de Dados do Grupo.

O DPO Global determina a estratégia de proteção e privacidade de Dados Pessoais do Grupo RCI de acordo com os objetivos estratégicos e garante que as Empresas do RCI façam a adesão às disposições aplicáveis dos regulamentos de proteção de dados e privacidade.

Localmente um Comitê de Privacidade deverá ser constituído por representantes das Empresas do Grupo RCI Brasil e o Encarregado de Dados localmente será responsável, em conjunto com todas as áreas das respectivas empresas pela implementação das diretrizes e obrigações fixadas na LGPD.

Controle

Considerando potenciais consequências graves decorrentes da violação da Lei Geral de Proteção de Dados Pessoais, as Empresas do Grupo RCI Brasil devem implementar programas de conformidade e controles relacionados que sejam elaborados de forma cabível para prevenir, detectar, monitorar e abordar violações em potencial.

REGISTRO DE RECLAMAÇÕES

As empresas do Grupo RCI Brasil devem ter um processo interno, centralizado ou não, para registros de reclamações sobre o tratamento dos dados pessoais. No caso de uma reclamação, os Titulares dos Dados considerando a realização de um Tratamento ilegal ou inapropriado de seus Dados Pessoais que seja incompatível com a Política de Proteção de Dados, peticionar para:

Todas as empresas do Grupo RCI Brasil devem ter em seus sites da internet ferramentas práticas que permitam aos Titulares dos Dados registrarem reclamações, incluindo pelo menos uma das abaixo:

A menos que fique comprovado ser particularmente difícil encontrar as informações necessárias para conduzir a investigação, as reclamações devem ser investigadas da maneira mais rápida possível, com a conclusão em no máximo até 1 (um) mês e dando visibilidade dos próximos passos em até 05 (cinco) dias úteis ao titular dos dados pessoais.

ASSISTÊNCIA MÚTUA E COOPERAÇÃO COM A AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS

As Empresas do Grupo RCI Brasil cooperarão com a Autoridade Nacional de Proteção de Dados (ANPD) em qualquer problema em relação à Proteção de Dados, dentro dos limites previstos na LGPD e sem renunciar a quaisquer defesas e/ou direitos de recurso disponíveis ao Controlador de Dados:

As Empresas do Grupo RCI Brasil acordam em observar uma decisão da ANPD, dentro dos limites estabelecidos na LGPD e regulamentos aplicáveis, sem renunciar a quaisquer defesas e/ou direitos de recurso disponíveis ao Controlador de Dados.

Se a ANPD solicitar informações ou de qualquer outra forma exercer seu direito de investigação, o Encarregado de Dados deve ser informado sem demora por qualquer representante das Empresas do Grupo RCI Brasil. Então o Encarregado de Dados / DPO deve atuar como o coordenador primário para formular uma resposta apropriada à indagação, tendo como suporte os colaboradores e/ou prestadores de serviços potencialmente envolvidos, bem como, os administradores e/ou responsáveis. Além disso, o DPO atuará como o contato direto e primário em relação a ANPD.

OPEN BANKING

O Open Banking destina-se à melhor experiência no uso de produtos e serviços financeiros, mais adequados e personalizados, através de plataforma segura de comunicação entre as Instituições Financeiras, incluindo o Banco RCI Brasil.

O compartilhamento de informações apenas se dará a partir do consentimento do Titular dos Dados, através de manifestação prévia e inequívoca, feita por meio eletrônico, após a solicitação por meio da Instituição receptora de dados, isto é, a Instituição Bancária de destino que irá receber os dados. A solicitação de compartilhamento de dados compreenderá as etapas de consentimento, autenticação e confirmação. Assim, é o Titular de Dados quem decidirá quando e com quem deseja compartilhar seus Dados Pessoais.

Com este consentimento, poderão ser compartilhadas informações como, mas não se limitando a:  

Em atenção ao art. 10 da Resolução Conjunta nº 1 de 2020 do BCB e CNM, o compartilhamento terá prazo de validade compatível com as finalidades desse tratamento, tendo como limite o prazo de 12 meses. Além disso, o Titular dos Dados poderá solicitar, a qualquer momento, o cancelamento do consentimento fornecido.  

É também direito do Titular de Dados consultar os Dados Pessoais recebidos de outras Instituições Financeiras. Porém, em caso de dúvidas, o seu contato deve ocorrer diretamente com a Instituição Financeira de origem dos Dados Pessoais.

ATUALIZAÇÃO DA POLÍTICA

Sempre que as empresas do Grupo RCI Brasil entenderem necessário, a Política de Privacidade e Proteção de dados poderá sofrer alterações que serão publicadas em nossos Sites e Aplicativos ou serem comunicadas de qualquer outra forma a você, sem aviso prévio. 

O Encarregado de Dados/DPO deve assegurar revisões e atualizações regulares da Política de Privacidade e Proteção de Dados, por exemplo, como consequência de alterações maiores na estrutura corporativa e no ambiente regulatório.

Neste sentido, o Encarregado de Dados/DPO deve auxiliar a definir e atualizar as medidas técnicas e organizacionais a serem implementadas ao coletar, tratar e/ou usar Dados Pessoais em conformidade com os requisitos legais. Tais medidas organizacionais e/ou técnicas podem apenas entrar em vigor após o Encarregado de Dados revisar e aprovar sua compatibilidade com esta Política de Privacidade e Proteção de Dados.

X - IMPLEMENTAÇÃO - NOTIFICAÇÃO DE VIOLAÇÃO DE DADOS PESSOAIS - REVISÃO - RELATÓRIO

Implementação

Cada Empresa do Grupo RCI Brasil é a única responsável por assegurar que tenha um programa apropriado e efetivo de proteção de dados. Para facilitar a operação adequada desses programas, o DPO supervisionará a implementação e operação em andamento dos programas de conformidade de proteção de dados das Empresas do Grupo RCI Brasil. O programa de conformidade de proteção de dados estará sujeito a auditorias internas periódicas que testarão a eficácia dos programas de conformidade de proteção de dados.

Notificação de violação de Dados Pessoais

Quando os Dados Pessoais dos Titulares dos Dados estiverem comprometidos, os responsáveis pelas Empresas do Grupo RCI Brasil deverão notificar o DPO / Encarregado de Dados imediatamente. Então a Empresa do RCI envolvida, juntamente com o Encarregado de Dados, deve notificar a Autoridade Nacional de Proteção de Dados sem demora e em um prazo razoável contado da ciência do incidente de segurança.

A Comunicação deverá mencionar no mínimo a descrição da natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, os motivos da demora, no caso da comunicação não ter sido realizada imediatamente e as medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial ou eventualmente o sigilo bancário.

Relatório

É esperado que as Empresas do Grupo RCI Brasil relatem as informações relacionadas com violações de segurança de dados, qualquer auditoria ou exame da Autoridade Nacional de Proteção de Dados ao DPO Global do Grupo RCI.

XI–RESPONSÁVEL PELO CONTROLE OU OPERACIONALIZAÇÃO DE DADOS PESSOAIS NO GRUPO RCI BRASIL

Os dados pessoais fornecidos para Empresas do Grupo RCI Brasil, a depender do produto e/ou serviço ofertado podem ter uma das empresas abaixo como Controlador ou Operador. Geralmente teremos as empresas listadas a seguir como Controladores de Dados: i) Banco RCI Brasil S.A., pessoa jurídica de direito privado com CNPJ/MF 62.307.848/0001-15, com sede na Rua Pasteur, nº 463, 2ºAndar, Conjunto 203, Bairro Batel, Curitiba/PR, CEP 80.250-080; (ii)Administradora de Consórcio RCI Brasil Ltda, pessoa jurídica de direito privado com CNPJ/MF 73.230.674/0001-56, com sede na Alameda Europa, n° 150, Bairro Alphaville, Santana de Parnaíba/SP, CEP: 06541-065; (iii) RCI Brasil Serviços e Participações Ltda, pessoa jurídica de direito privado com CNPJ/MF13.758.102/0001-12 com sede na Rua Pasteur, nº 463, 2º Andar, Conjunto 203,Bairro Batel, Curitiba/PR, CEP 80.250-080; e como Operador de Dados Pessoais a Corretora de Seguros RCI Brasil S.A., pessoa jurídica de direito privado com CNPJ/MF 04.406.267/0001-34, com sede na Rua Pasteur, nº 463, 2º Andar, Conjunto203, Bairro Batel, Curitiba/PR, CEP 80.250-080.

O Encarregado de Dados/DPO, Maick Felsiberto Dias,  pode ser contatado através do endereço Rua Pasteur, nº 463, 2º Andar, Conjunto 203, Bairro Batel, Curitiba/PR, CEP80.250-080 e endereço de e-mail: atendimento.clientes@rcibanque.com.

LEI APLICÁVEL E RESOLUÇÃO DE CONFLITOS

Toda e qualquer controvérsia oriunda dos termos expostos na presente Política de Privacidade serão solucionados de acordo com a lei brasileira, sendo competente o foro da cidade de Curitiba, Estado do Paraná, com exclusão de qualquer outro por mais privilegiado que seja.

DISPOSIÇÕES GERAIS

Eventuais omissões ou meras tolerâncias das partes no exigir o estrito e pleno cumprimento desta Política de Privacidade e/ou de prerrogativas decorrentes dele ou da lei, não constituirão novação ou renúncia, nem afetarão o exercício de quaisquer direitos aqui previstos, que poderão ser plena e integralmente exercidos, a qualquer tempo.  

Caso se perceba que uma disposição é nula, as disposições restantes desta Política de Privacidade permanecerão em pleno vigor e um termo válido substituirá o termo nulo, refletindo nossa intenção, tanto quanto possível.

//script chat