Procedimento De Resposta às Requisições dos Titulares

O objetivo deste documento é o de estabelecer o procedimento a ser seguido quando o Encarregado de Dados da Bansur receber e-mails no endereço eletrônico privacidade@bansurjm.com.br, com solicitações referentes a dados pessoais, oriundas de clientes, colaboradores, fornecedores, ou terceiros em geral.

O e-mail acima indicado deverá ser disponibilizado em todas as plataformas por meio das quais a Bansur mantém contato com os titulares de dados, tais como, o site e o aplicativo, bem como nas políticas da empresa.

A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/18 – LGPD) dispõe, em seu art. 19, que a confirmação da existência de tratamento e, em caso positivo, o acesso a dados pessoais deverá ser conferido ao titular (i) de forma imediata, em formato simplificado; ou (ii) no prazo de 15 (quinze) dias corridos, por meio de declaração clara e completa, que indique a existência ou inexistência de tratamento dos dados, a origem dos dados, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial.

Em linhas gerais, a requisição pode contemplar um pedido de informações sobre o tratamento de dados pessoais do requisitante realizado pela Bansur ou uma solicitação de retificação ou exclusão de dados tratados pela Bansur.

A resposta a ser conferida ao titular poderá apresentar as informações solicitadas ou apresentar as justificativas pelas quais o pedido não poderá ser atendido, caso a Bansur entenda pela sua improcedência.

Todas as solicitações recebidas deverão ser registradas para fins de monitoramento do seu atendimento, para avaliação de indicadores e desenvolvimento de melhorias nos processos da Bansur, bem como para a eventual necessidade de apresentação perante a Autoridade Nacional de Proteção de Dados (ANPD) quando do exercício de sua atividade fiscalizatória.

Todas as requisições de titulares deverão ser encaminhadas para o endereço eletrônico privacidade@bansurjm.com.br.

Todo colaborador da Bansur que venha a receber qualquer solicitação fora deste canal centralizado deverá instruir o requisitante a buscar o canal correto e comunicar o fato imediatamente ao Encarregado de Dados.

A partir do recebimento de um e-mail no endereço eletrônico privacidade@bansurjm.com.br, o titular receberá uma resposta automática, a qual confirmará o recebimento da solicitação, informará que o Encarregado de Dados poderá entrar em contato para confirmar a identidade do titular ou compreender melhor a demanda e que a resposta será enviada no prazo máximo de 15 (quinze) dias, a contar do recebimento da solicitação.

Na hipótese em que o titular requisitante seja, de alguma forma, relacionado a um controlador conjunto, controlador autônomo ou operador, ou por meio destes seus dados tenham sido coletados, o Encarregado de Dados deverá contatar tais agentes, conforme o caso, no prazo de 24 (vinte e quatro) horas, a contar do recebimento da requisição do titular.

No prazo máximo de 1 (um) dia útil a contar do recebimento da solicitação do titular, deverá ser requerida ao solicitante a comprovação de sua identidade, o que deverá ser feito a partir de um processo de validação baseado em respostas corretas do solicitante a algumas perguntas formuladas pela Bansur.

Se a Bansur já tiver alguns dados do titular solicitante, as perguntas devem focar nos dados pessoais de seu conhecimento. No processo de confirmação da identidade do titular, há que se ter cuidado para que a Bansur não venha a coletar mais dados do que o necessário, sobretudo, dados sensíveis, bem como deve-se evitar a solicitação do envio de cópias de documentos de identificação, a menos que a empresa não os possua.

A confirmação da identidade será concluída quando a Bansur estiver segura de que o solicitante é, de fato, o titular dos dados pessoais ao qual a solicitação apresentada se refere.

Confirmada a identidade, a Bansur deverá avaliar a legalidade do que é pleiteado na requisição.

Para verificar a legalidade/procedência, a Bansur, caso entenda necessário, poderá encaminhar a requisição para avaliação de um especialista em proteção de dados, que deverá transmitir suas conclusões ao Encarregado de Dados, no prazo de 2 (dois) dias úteis, a contar da solicitação de avaliação recebida.

Caso se conclua que a requisição apresentada é procedente, o Encarregado de Dados, no prazo impreterível de 2 (dois) dias úteis, deverá realizar o levantamento dos dados objeto da solicitação, bem como de outras informações que se façam necessárias, podendo solicitá-las ao colaborador responsável pelo processamento dos dados, que deverá observar o mesmo prazo.

Se a requisição formulada se referir a dados que tenham sido compartilhados com algum controlador conjunto, controlador autônomo ou operador, o Encarregado deverá solicitar que estes apresentem sua resposta e forneçam subsídios em até 2 (dois) dias úteis.

Após o recebimento dos subsídios, o Encarregado de Dados deverá, no prazo de 2 (dois) dias úteis, elaborar a resposta a ser apresentada ao titular. Quando da elaboração da resposta, deverá ser observado o seu conteúdo para que não importe em violação ao segredo industrial, à propriedade intelectual ou a qualquer dispositivo legal.

Após a elaboração da resposta, será enviado imediatamente um e-mail ao requisitante com as conclusões da Bansur.

Caso a requisição seja de acesso ou retificação dos dados, o Encarregado de Dados responderá ao requisitante informando os dados que foram solicitados ou a eventual retificação dos mesmos.

Os dados solicitados devem ser enviados ao titular dos dados de forma eletrônica, por meio de arquivo protegido por senha e endereçado ao e-mail do titular dos dados. A senha deve ser enviada por SMS para o telefone móvel do titular dos dados.

Caso a solicitação seja de eliminação de dados, deverá ser analisado se existe base legal que justifique a manutenção dos dados pela Bansur e, para tanto, o Encarregado de Dados poderá solicitar a avaliação de especialista em proteção de dados, caso entenda necessário.

• Em caso positivo, será informado ao solicitante que, a despeito do pleito formulado, há base legal que justifica a manutenção de seus dados pessoais no banco de dados da Bansur;
• Em caso negativo, a Bansur terá o prazo improrrogável de 2 (dois) dias úteis para realizar a eliminação dos dados e preparar o documento comprobatório da exclusão. Nessa hipótese, o Encarregado de Dados responderá ao requisitante com a confirmação da exclusão dos dados e com o envio do respectivo documento comprobatório.

Ainda nessa hipótese, caso os dados tenham sido anteriormente compartilhados com algum controlador conjunto, controlador autônomo ou operador, estes deverão ser imediatamente notificados para que também procedam à eliminação dos dados de sua base de dados, a qual deverá ser documentalmente comprovada, salvo quando houver base legal que justifique a manutenção dos dados pessoais por tais agentes. E, caso os dados tenham sido compartilhados com terceiros pelo controlador conjunto, controlador autônomo ou operador, estes deverão notificar imediatamente esses terceiros, em até 24 (vinte e quatro) horas, para que também procedam e comprovem documentalmente a eliminação dos dados pessoais, salvo quando houver base legal que justifique a sua manutenção.

Caso a requisição seja concluída como improcedente, o Encarregado apresentará resposta ao solicitante explicitando, de maneira clara e fundamentada, os motivos que ensejaram esta conclusão.

Quando do envio da resposta ao requisitante, deverá ser encaminhada, em arquivo anexo, uma cópia do Aviso de Privacidade da Bansur para conhecimento do requisitante.

Deverão ser informados, ainda, os direitos dos titulares previstos na LGPD e que, caso o titular não fique satisfeito com a resposta apresentada à requisição, ele poderá realizar um pedido de revisão ao Encarregado de Dados, bem como apresentar uma petição perante a ANPD, consoante o artigo 18, § 1º, da LGPD. Deve-se indicar, ainda, o link de acesso à página da ANPD: https://www.gov.br/anpd/pt-br/canais_atendimento/cidadao-titular-de-dados/peticao-de-titular-contra-controlador-de-dados

Quando o titular dos dados receber a resposta, o caso poderá ser encerrado. O caso criado deve ser rastreável em todas as ações executadas e deve permanecer registrado no banco de dados da Bansur após seu encerramento pelo prazo de 3 (três) anos.