POLÍTICA GERAL DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

A (razão social), doravente EMISSORA.

A EMISSORAentende que a privacidade é um direito fundamental da pessoa natural, de modoque se faz necessário garantir a gestão sistemática e efetiva de todos os aspectos relacionados à proteção de dados pessoais edos direitos dos seus titulares.

Dessa forma, a EMISSORA está comprometida com uma gestão efetiva da proteção de dadospessoais dos seus integrantes, parceiros e clientes, razão pela qual institui a presente Política Geral de Privacidade e Proteção

de Dados Pessoais (‘Política’).

A presente política tem como objetivo fortalecer o compromisso assumido com a inovação, os padrões de ética e de probidadeque regem atuação profissional da emissora e a contínua valorização dos seus integrantes, clientes e parceiros, pelo que adotatodas medidas cabíveis para garantir que esta Política seja adequadamente divulgada, entendida e cumprida por todos os seusintegrantes.

1. Objetivos

AEMISSORA adota a presente Política como documento integrante do seu sistema de gestão corporativo, compatível com os requisitos da legislação brasileira, com o objetivo de estabelecer diretrizes para que o tratamento de dados pessoaisseja realizado em níveis adequados de proteção, mediante a adoção de controles técnicos e administrativos necessários aoatendimento dos requisitos previstos na legislação vigente.

A presente Política objetiva, ainda, prevenir possíveis causas de violações de dados pessoais e incidentes de segurança da informação relacionados ao tratamento de dados pessoais e minimizar os riscos de perdas financeiras, da confiança de clientes oude qualquer outro impacto negativo como resultado de violações de dados.

2. Ambiente normativo

A presente Política foi elaborada tendo por base a Lei n.º 13.709/2018 - Lei Geral de Proteção de Dados (LGPD), assim comooutras legislações do ordenamento jurídico que possam interferir nesta Política, bem como as diretrizes estabelecidas pelaABNT NBR ISO/IEC 27701:2020, e pela ISSO 27001:2013. (Caso a emissora opte por não entrar em conformidade com as outrasnormas acima destacadas, os termos acima devem ser adaptados de acordo com cada caso.)

3. Aplicação

A presente Política se aplica a qualquer operação de tratamento de dados pessoais realizada pelaEMISSORA, independentemente do meio ou do país onde estejam localizados os dados, nos termos da LGPD.

Os princípios e conceitos adotados nesta Política são os constantes na LGPD e deverão seguir normas que complementemou alterem o presente documento. Dentre eles, tem-se em especial que a EMISSORAtratará apenas os dados estritamente necessários para o desempenho da finalidade do tratamento, o qual lhe deverá ser adequado, transparente, nãodiscriminatório e seguro.

AEMISSORA garante ainda que viabilizará o livre acesso e a qualidade dos dados, assim como que tomará medidasadequadas e razoáveis de prevenção e para o atendimento à LGPD.

4. Diretrizes

São diretrizes daEMISSORA para esta Política:

– Garantir a conformidade integral com leis e regulamentações de proteção de Dados Pessoais.

– Garantir a adoção de controles de segurança da informação, tanto técnicos quanto administrativos, suficientes para assegurar níveis de proteção adequados para Dados Pessoais;

– Garantir a contínua melhoria da gestão de proteção de dados pessoais por meio da definição e revisão sistemática deobjetivos de privacidade e proteção de dados pessoais em todos os níveis de sua organização profissional;

– Garantir a documentação, implementação e comunicação das Políticas, procedimentos e práticas relacionadas à privacidade e proteção de dados adotadas pela emissora;

– Garantir que o tratamento dos dados pessoais seja realizado em conformidade com as hipóteses autorizadoras previstasna legislação vigente, solicitando-se o consentimento do titular nas ocasiões em que lei exigir;

– Garantir o tratamento apenas dos dados pessoais estritamente necessários e adequados à finalidade pretendida, explícita e legítima, e somente enquanto perdurarem os propósitos declarados;

– Garantir a precisão e qualidade dos dados pessoais tratados, excetuando-se casos em que exista uma base legal para amanutenção de dados desatualizados.

– Garantir a não discriminação no tratamento de dados pessoais, impossibilitando que estes sejam usados para fins discriminatórios, ilícitos ou abusivos.

– Garantir a retenção dos dados pessoais apenas pelo tempo necessário para cumprir os propósitos declarados e, posteriormente, destruí-los, bloqueá-los ou anonimizá-los com segurança, salvo quando a retenção for exigida pela legislaçãovigente;

– Garantir a rastreabilidade e prestação de contas durante todo o tratamento de dados pessoais, incluindo quando os dados pessoais forem compartilhados com terceiros;

– Garantir aos titulares o pleno exercício de todos os direitos previstos na legislação vigente, constantes no capítulo III, da

Lei Geral de Proteção de Dados, especialmente o direito de informação, confirmação, acesso aos dados, revisão, portabilidade, anonimização, bloqueio e eliminação.

Assim, a EMISSORA se compromete a fornecer ao titular explicações suficientes sobre políticas, procedimentos epráticas com relação aos dados pessoais objeto de tratamento, inclusive eventuais alterações em quaisquer desses itens.

- Garantir que as violações de dados sejam notificadas às partes interessadas, conforme requisitos e prazos previstos na legislação vigente, bem como sejam integralmente registradas, classificadas, investigadas, corrigidas e documentadas.

5. Dados pessoais tratados pela EMISSORA.

A EMISSORA poderá tratar, de maneira informada, dados dos seus colaboradores ou de profissionais que estejamem processo de seleção, fornecedores, prestadores de serviços, contratantes e contratados, assim como também o fará comdados recebidos de clientes para o desempenho dos seus serviços, ou dados de participantes dos eventos que venha a promover, entre outros.

Os dados podem ser nome civil ou social, endereço físico e eletrônico, número de telefone, número inscrição no Cadastro dePessoas Físicas – CPF, dentre outros.

A coleta de dados pessoais sensíveis, como dados sobre origem racial, étnica, convicção religiosa, filiação a sindicato ou a organização de caráter religioso etc., só ocorrerá em hipóteses restritas.

AEMISSORAnão executa atividades relacionadas diretamente a crianças ou adolescentes nem recolhe de formaproativa seus dados pessoais. (Caso a emissora colete dados desse tipo em algum momento, essa informação deve ser alterada,conforme cada caso).

Os usuários da informação serão todos os integrantes da EMISSORA e terceiros alocados na prestação de serviçosà emissora, indiferente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizadas a manipular qualquer ativo de informação da emissora para o desempenho de suas atividades profissionais.

Os dados serão excluídos quando tiverem cumprido as finalidades para as quais foram coletados ou quando o respectivo titularsolicitar a sua eliminação, exceto se houver base legal que justifique o seu armazenamento.

6. Papéis e Responsabilidades

6.1 Comitê Gestor De Proteção De Dados Pessoais – CGPD

Obs.: A criação de um Comitê Gestor de Proteção de Dados para a emissora desempenha um papel importante perante a fiscalização do cumprimento à LGPD. No entanto, caso a emissora opte por não o fazer, deverá excluir as disposições existentes

a respeito desse assunto nesta política.

Fica constituído o Comitê Gestor De Proteção De Dados Pessoais (CGPD).

O CGPD será composto de:

– 02 diretores;

– 01 membro gestor da área de privacidade e proteção de dados;

– 01 gestor ou consultor da área de segurança ou de tecnologia da informação;

– 01 gestor de departamento pessoal ou de recursos humanos;

– O encarregado de Proteção de Dados.

É responsabilidade do CGPD:

– Aprovar esta Política, bem como propor as alterações e ajustes necessários;

– Aprovar as diretrizes de proteção da privacidade e de dados pessoais, complementares a esta Política, elaboradas pelotime de Segurança da Informação, bem como propor as alterações e ajustes necessários;

– Garantir a disponibilidade dos recursos necessários para uma efetiva Gestão da Proteção de Dados Pessoais;

– Garantir que o tratamento de Dados Pessoais seja realizado em conformidade com a presente Política e com a legislaçãovigente;

– Promover a divulgação da presente Política e tomar as ações necessárias para disseminar uma cultura de proteção deDados Pessoais no ambiente corporativo.

6.2 Encarregado Pelo Tratamento De Dados Pessoais

Obs.: cabe a cada emissora indicar se o encarregado irá cumprir outras funções, para além das que constam abaixo. Caso issoocorra, elas devem ser acrescidas às demais responsabilidades.

É responsabilidade do Encarregado pelo Tratamento de Dados Pessoais:

– Apoiar o Comitê Gestor De Proteção De Dados Pessoais em suas deliberações;

– Tomar as ações cabíveis para se fazer cumprir os termos desta Política;

– Identificar e avaliar as principais ameaças à proteção de dados, bem como propor e, quando aprovado, apoiar a implantação de medidas corretivas para reduzir o risco;

– Aceitar reclamações e comunicações dos titulares de dados pessoais, prestar esclarecimentos e adotar as providênciasnecessárias;

– Receber comunicações da Autoridade Nacional de Proteção de Dados e adotar as providências necessárias;

– Orientar os integrantes e parceiros da emissora a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

– Atender as demais atribuições, conforme orientação da Autoridade Nacional de Proteção de Dados, definidas em normascomplementares publicadas pelo referido órgão;

– Apoiar a gestão das violações de dados pessoais, garantindo tratamento adequado e comunicando, em prazo razoável, aAutoridade Nacional e titulares afetados pela violação, sempre que esta representar riscos ou danos.

6.3 Equipe de Segurança da Informação e de Tecnologia da Informação

É responsabilidade da equipe de Segurança da Informação e de Tecnologia da Informação:

– De acordo com a Política de Segurança da Informação e diretrizes anexas, bem como com a presente Política, implementar os controles necessários para cumprir os requisitos de segurança da informação necessários à proteção da privacidade e de dados pessoais tratados pela emissora.

– Adotar medidas de segurança, tanto técnicas quanto administrativas, aptas a proteger os dados pessoais de acessosnão autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma detratamento inadequado ou ilícito, conforme padrões mínimos recomendados pela Autoridade Nacional de Proteção deDados Pessoais;

– Realizar o tratamento de incidentes de segurança da informação que envolvam o tratamento de dados pessoais, garantindo sua detecção, contenção, eliminação e recuperação dentro de um prazo razoável;

– Apoiar o Encarregado pelo tratamento de dados pessoais na comunicação à Autoridade Nacional e ao titular dos dadospessoais em casos de ocorrência de incidente de segurança que possam acarretar riscos ou danos.

6.4 Usuários da Informação

É responsabilidade dos Usuários da Informação:

– Ler, compreender e cumprir integralmente os termos da presente Política, bem como as demais normas e procedimentosde proteção de dados pessoais aplicáveis;

– Assinar o termo de ciência e adesão à Política, formalizando a ciência e o aceite integral das disposições, bem como dasdemais normas e procedimentos de segurança, assumindo responsabilidade pelo seu cumprimento;

– Encaminhar quaisquer dúvidas e/ou pedidos de esclarecimento sobre a presente Política, suas normas e procedimentosao Encarregado pelo Tratamento de Dados Pessoais ou, quando pertinente, ao Comitê Gestor de Proteção de DadosPessoais;

– Comunicar ao Encarregado pelo Tratamento de Dados Pessoais qualquer evento que viole esta Política ou coloque/possavir a colocar em risco Dados Pessoais tratados pela emissora.

– Responder pela inobservância da Política, normas e procedimentos relacionados ao tratamento de Dados Pessoais, conforme definido no item sanções e punições.

7. Sanções e Punições

As violações, mesmo que por mera omissão ou tentativa não consumada, desta Política, bem como demais normas e procedimentos de proteção de dados pessoais, serão devidamente apurados pelo Comitê Gestor de Proteção de Dados Pessoais quepode aplicar a penalidade que entender oportuna, variando entre a penalidade mais branda, advertência, à mais grave, demissão por justa causa, assegurada em todos os casos a ampla defesa.

Para o caso de violações que impliquem em atividades ilegais, ou que possam incorrer em riscos aos titulares de dados pessoais, ou dano à emissora, o infrator será responsabilizado pelos prejuízos, cabendo aplicação das medidas judiciais pertinentes, sem prejuízo daquelas descritas acima.

8. Casos Omissos

Os casos omissos serão avaliados pelo Comitê Gestor de Proteção de Dados Pessoais para posterior deliberação.

As diretrizes estabelecidas nesta Política e nas demais normas e procedimentos de proteção de dados pessoais não se esgotam

em razão da contínua evolução tecnológica, da legislação vigente e constante surgimento de novas ameaças e requisitos.

Desta forma, não se constitui rol enumerativo, sendo obrigação do usuário da informação da emissora EMISSORA adotar,sempre que possível, outras medidas de segurança além das aqui previstas, com o objetivo de garantir proteção de dados pessoais tratados na emissora.

9. Auditoria interna

A EMISSORA realizará auditorias internas anuais, a serem desenvolvidaspelo Encarregado com o auxílio do time de segurança da informação, no que for necessário, garantido o registro e o relato dosresultados ao Comitê Gestor de Proteção de Dados Pessoais.

10. Revisões

Esta Política é revisada com periodicidade anual ou conforme o entendimento do Comitê Gestor de Proteção de Dados Pessoais.

ASSINATURA DO GESTOR OU DO REPRESENTANTE