Politica de Governança de Dados

1. POLÍTICA DE PROTEÇÃO E GOVERNANÇA DE DADOS PESSOAIS

1.1. Objetivo

1.1.1. Esta Política consolida os princípios e práticas de proteção e governança de dados pessoais adotados pelo Economus.

1.2. Abrangência

1.2.1. Esta Política aplica-se a:

a) Conselheiros - membros dos Conselhos Deliberativo e Fiscal do Economus;

b) Dirigentes - membros da Diretoria Executiva do Economus;

c) Empregados - empregados do quadro próprio do Patrocinador;

d) Colaboradores - Terceirizados, Consultores e Jovens Aprendizes;

e) Fornecedores e Prestadores de serviço e seus empregados - enquanto prestarem serviços ao Economus.

1.3. Responsável

1.3.1. A área de Riscos e Controles Internos é a gestora da Política de Proteção e Governança de Dados Pessoais

1.4. Introdução

1.4.1. A LGPD regula o tratamento de dados pessoais, nos meios digitais ou físicos, realizado por pessoas naturais ou jurídicas, de direito público ou privado, visando proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da pessoa natural. Em aderência à LGPD, a presente Política dispõe sobre os preceitos básicos da lei e os procedimentos que deverão ser observados em todas as atividades que envolvam a coleta, o acesso ou o tratamento de dados pessoais de participantes, beneficiários e seus dependentes, empregados, colaboradores, conselheiros, dirigentes, fornecedores e prestadores de serviço, prepostos do Instituto, bem como de quaisquer outras pessoas físicas cujos dados se tornem acessíveis em razão das atividades realizadas, inclusive usuários de nosso site (quando identificáveis).

2022/194

1.5. Diretrizes

1.5.1. Esta Política busca garantir a efetivação do nível máximo de proteção dos dados pessoais acessíveis no âmbito das operações do Instituto, assegurando que sejam sempre tratados em observância aos princípios da boa-fé, finalidade, adequação e necessidade, bem como livre acesso, segurança, prevenção e não discriminação, de modo a preservar a transparência ao titular dos dados sobre o tratamento de seus dados pessoais e dados pessoais sensíveis, conforme as melhores práticas de governança e mitigação de riscos.

1.6. Princípios

1.6.1. Em alinhamento ao nosso dever e comprometimento com a segurança de seus dados pessoais, realizamos todo e qualquer tratamento de dados pessoais, nos quais se incluem os dados pessoais sensíveis, de acordo com as regras e procedimentos estipulados em normas relativas à proteção de dados pessoais, e pautadas na boa-fé, lealdade, respeito e transparência ao tratamento dos dados pessoais, e nos seguintes princípios:

a) Adequação: os dados pessoais são tratados em compatibilidade com as finalidades informadas ao seu titular ou pertinentes ao contrato por ele firmado com o Instituto, no contexto do tratamento realizado;

b) Finalidade: os dados pessoais coletados e processados são utilizados para realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, não sendo utilizados de forma incompatível com tais objetivos;

c) Livre acesso: é assegurada aos titulares a realização de consulta facilitada e gratuita sobre os dados pessoais tratados, bem como sobre a forma e a duração do seu tratamento;

d) Não discriminação: é vedada a realização de tratamento de dados pessoais para qualquer forma de discriminação ilícita ou abusiva;

e) Necessidade: o tratamento deve se limitar ao mínimo possível de dados pessoais indispensáveis à realização das finalidades objetivadas, observada a sua pertinência e proporcionalidade;

f) Prevenção: são aplicáveis para tratamento de dados pessoais todas as medidas técnicas, operacionais e contratuais adequadas para prevenir eventual ocorrência de danos ou riscos em virtude das atividades de tratamento de dados pessoais;

g) Qualidade dos dados: os dados pessoais tratados devem ser exatos, claros, relevantes e atualizados, de acordo com a necessidade e para o cumprimento da finalidade do tratamento;

2022/194

h) Responsabilização e prestação de contas: é disponível ao titular de dados pessoais a demonstração da adoção de medidas eficazes e capazes de comprovar a observância, o cumprimento e a eficácia das normas de proteção de dados pessoais;

i) Segurança: são aplicáveis para tratamento de dados todas as medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; e

j) Transparência: é assegurado ao titular de dados pessoais o acesso a informações precisas e facilitadas sobre o tratamento de seus dados pessoais e os respectivos agentes de tratamento

1.7. Do Tratamento de dados pessoais

1.7.1. Todo e qualquer tratamento de dados realizado no âmbito do Instituto, ou a pedido deste, terá por preceito mínimo a observância aos princípios indicados acima, mesmo nos casos em que o tratamento seja baseado em consentimento fornecido pelo titular, para execução de contrato ou procedimentos preliminares ao contrato, cumprimento de obrigação legal ou regulatória, para exercício regular do direito em processo judicial, administrativo ou arbitral, ou em razão do legítimo interesse do Instituto.

1.7.2. Na ocorrência de tratamento com base em legítimo interesse, o Economus garantirá:

a) a proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais;

b) a utilização dos dados pessoais estritamente necessários para o atendimento à finalidade pretendida; e

c) a devida transparência do referido tratamento de dados.

1.8. Por que coletamos seus dados pessoais

1.8.1. O tipo de atividade e interação do titular junto ao Economus determinará os tipos de dados pessoais coletados e tratados, podendo incluir:

a) Navegação no nosso site: Dados coletados por meio de cookies ou tecnologias similares, incluindo IP, data e hora de acesso, localização geográfica, tipo de navegador, duração da visita e páginas visitadas;

b) Atendimento a demandas de participantes, beneficiários e demais partes interessadas;

2022/194

POLÍTICA DE PROTEÇÃO E GOVERNANÇA DE DADOS PESSOAIS

c) Cadastro e sua respectiva manutenção;

d) Contratação de colaboradores.

1.8.2. A LGPD determina que o tratamento de dados deve estar fundamentado em alguma das bases previstas em lei. A este respeito, para cumprimento das finalidades descritas acima e demais atividades realizadas, o Economus realiza tratamento de dados pessoais de participantes, assistidos, beneficiários, colaboradores e demais partes interessadas com fundamento em:

a) cumprimento do regulamento dos planos de benefícios previdenciários e planos assistenciais (execução de contrato);

b) efetivação de empréstimos contratados (execução de contrato);

c) gestão de pessoas (execução de contrato);

d) atendimento de exigências legais e/ou regulatórias;

e) defesa em processos judiciais, administrativos ou arbitrais;

f) atendimento aos legítimos interesses do Instituto, respeitadas as expectativas, direitos e liberdades fundamentais dos titulares de dados, bem como observados estritamente os requisitos e as disposições prescritas na legislação aplicável ou;

g) finalidades autorizadas expressamente pelos titulares de dados.

1.8.3. De modo a assegurar a integridade e qualidade das informações sob o controle do Economus, é fundamental que o titular de dados pessoais (participante, assistido, beneficiário, colaborador ou outro) mantenha seus dados atualizados por meio dos nossos canais de contato.

1.9. Do tratamento diferenciado para categorias especiais de dados

1.9.1. Para coleta e tratamento de dados pessoais sensíveis, o Instituto adota cuidados adicionais. Para além dos casos em que há consentimento expresso, específico e destacado pelo titular de dados, o tratamento de dados sensíveis ocorre apenas quando se tornar indispensável para cumprimento de obrigação legal, regulatória ou contratual e para o exercício regular de direitos em processos judiciais, administrativos e arbitrais, em estrita observância às disposições da LGPD

1.9.2. Quanto ao tratamento de dados pessoais de menores de 18 (dezoito) anos – crianças e adolescentes -, inclusive dos beneficiários dos planos de previdência e saúde e seus dependentes e/ou dos dependentes de colaboradores, empregados, conselheiros e dirigentes do Instituto, o Economus adota cuidados específicos, de modo que seja preservado o melhor interesse do menor, e que o

2022/194

consentimento, contratação e autorização sejam realizados diretamente pelos pais ou responsáveis legais, sempre que aplicável.

1.9.3. Observada a legislação que rege a operação de saúde e as informações necessárias para operacionalização do escopo dos contratos firmados com o Instituto, dados pessoais de beneficiários dependentes maiores de 17 (dezessete) anos não serão disponibilizados a terceiros.

1.10. Do compartilhamento de dados pessoais

1.10.1. O compartilhamento de dados pessoais pelo Instituto é classificado em três níveis, de acordo com a categoria e a confidencialidade dos dados, bem como o enquadramento do tratamento realizado:

a) compartilhamento amplo, quando se tratar de dados públicos ou tornados manifestamente públicos pelo titular, que não estão sujeitos a restrição de acesso e compartilhamento, resguardados os diretos do titular dos dados e os princípios estabelecidos nesta Política e na LGPD;

b) compartilhamento restrito, quando se tratar de dados pessoais coletados ou disponibilizados para o cumprimento de contrato e seus procedimentos preliminares ou para o cumprimento de obrigação legal ou regulatória;

c) compartilhamento específico, quando se tratar de compartilhamento de dados confidenciais, sigilosos, dados sensíveis e dados de crianças e adolescentes;

d) O compartilhamento de dados ocorrerá com base no disposto neste item, devendo, o receptor dos dados, garantir o adequado tratamento e segurança dos dados pessoais recepcionados; e

e) O compartilhamento de dados pessoais com base no legítimo interesse do controlador enquadra-se em compartilhamento específico de dados, contidos no item 1.9 desta política

2022/194

1.11. Dos cuidados no compartilhamento de dados pessoais

1.11.1. As disposições gerais deste item são aplicáveis em qualquer hipótese de compartilhamento de dados pessoais pelo Instituto ou pelos fornecedores e parceiros, independentemente do enquadramento de categoria

1.11.2. O compartilhamento de dados pessoais pelo Instituto deve ocorrer apenas quando houver consentimento do seu titular ou quando seja necessário à realização do tratamento previamente autorizado pelo titular, inclusive por decorrência de contratos firmados com o Instituto, na operacionalização das atividades dos planos de previdência e assistenciais administrados

1.11.3. Os contratos e convênios com terceiros, para os quais haja o compartilhamento de dados pessoais, devem conter cláusulas específicas dispondo sobre a observância à proteção e governança de dados pessoais e medidas de minimização de riscos

1.11.4. Outras condições previstas em Lei

1.12. Situações que o Economus atua como controlador de dados

1.12.1. Neste sentido, para o desenvolvimento de suas atividades, o Economus, na posição de controlador, realiza o tratamento de dados pessoais e/ou dados pessoais sensíveis necessárias para a satisfação das finalidades abaixo descritas:

a) Gestão de planos previdenciários;

b) Gestão de planos assistenciais;

c) Relacionamento;

d) Comunicação;

e) Gestão da carteira de empréstimos;

f) Utilização de nosso site e app;

g) Gestão de pessoas e administração geral

1.13. Do compartilhamento de dados sensíveis

1.13.1. O compartilhamento de dados pessoais sensíveis é permitido nas seguintes hipóteses:

a) para possibilitar, ao seu beneficiário e seus dependentes, a prestação de serviços assistência à saúde, nos termos contratados;

b) portabilidade de dados quando consentido pelo titular;

2022/194

c) a realização de transações financeiras e administrativas resultantes do uso e da prestação dos serviços de saúde e assistência à saúde;

d) quando devidamente consentido pelo titular; e

e) outras condições previstas em Lei.

1.14. Da transferência internacional

1.14.1. Nos casos em que se fizer necessária a realização de transferência internacional de dados pessoais, deve ser previamente verificada a existência, no país de destino, de norma ou dever de proteção de dados pessoais, em observância ao fiel cumprimento das disposições e requisitos estabelecidos nesta Política e na LGPD

1.14.2. Nos casos em que tais compartilhamentos ensejem o armazenamento de dados fora do Brasil, restando caracterizada a transferência internacional de dados pessoais, diante da utilização de servidores localizados em outros países ou compartilhamento direto com empresas do mesmo grupo econômico, a empresa apenas configurará como um de nossos fornecedores se demonstrar que está em conformidade ou em processo de conformidade com as legislações de proteção de dados aplicáveis, além da implementação das medidas necessárias e adequadas à luz da LGPD pelo Economus.

1.15. Eliminação de dados pessoais

1.15.1. O tratamento e armazenamento de dados pessoais somente estão autorizados pelo período necessário à realização das finalidades que motivaram a coleta e tratamento de tais dados, bem como para cumprimento de obrigações contratuais e legais, observada a sua indisponibilidade, quando do término do tratamento, em sistemas, redes ou pastas físicas do Instituto;

1.15.2. Os dados pessoais e dados pessoais sensíveis tratadas pelo Instituto devem ser mantidos enquanto existir relação jurídica com o respectivo titular, exceto nos casos em que, por observância à legislação ou regulamentação, seja necessária a conservação por prazo superior, findo o qual os dados pessoais e os dados pessoais sensíveis serão eliminados

1.15.3. O Economus possui regras internas de retenção e descarte de dados pessoais, em alinhamento aos prazos permitidos em lei e garantia de segurança física e lógica de seus ativos. Os dados pessoais e dados pessoais sensíveis tratados são armazenados e conservados durante o período necessário à realização das finalidades que motivaram a coleta e tratamento de tais dados, sem prejuízo do Economus poder mantê-los para cumprimento de obrigações contratuais e legais, observada a sua

2022/194

indisponibilidade, quando do término do tratamento, em sistemas, redes ou pastas físicas do Instituto, quando aplicável.

1.16. Situações que o Economus atua como operador de dados

1.16.1. O Economus realiza tratamento de dados pessoais na posição de operador e, portanto, agindo em estrita observância às instruções do controlador dos dados, conforme impõe a LGPD, para a efetivação dos seguintes processos.

1.17. Medidas para garantia de que terceiros realizem o tratamento de dados

1.17.1. Havendo o compartilhamento de dados pessoais, são adotadas todas as providências razoáveis para a proteção deles, observadas as instruções impostas contratualmente, os preceitos da LGPD e de a normativos internos proteção de dados pessoais e segurança da informação, a fim de que haja garantias suficientes de execução de medidas técnicas e operacionais adequadas para a segurança e proteção dos direitos dos titulares dos dados.

1.17.2. Não realizamos o compartilhamento destes dados com o objetivo de obtenção de vantagem econômica

1.18. Data Protection Officer – DPO (Encarregado)

1.18.1. O DPO indicado pelo Economus como responsável pelo canal de comunicação entre o Instituto, os titulares de dados pessoais (participantes, beneficiários e seus dependentes, colaboradores, empregados, fornecedores e prestadores de serviço, dirigentes, conselheiros e prepostos), partes interessadas e a Autoridade Nacional de Proteção de Dados (ANPD), prestará os esclarecimentos necessários sobre esta Política e sua aplicação, casos excepcionais e boas práticas a serem adotadas permanentemente por empregados, colaboradores, conselheiros, dirigentes, fornecedores, prestadores de serviço e parceiros do Instituto, que pode ser contatado pelo seguinte endereço eletrônico: dpo@economus.com.br

1.19. Direitos dos titulares e canal de gerenciamento de solicitações

1.19.1. É assegurado o acesso facilitado e claro às informações sobre o tratamento de dados pessoais realizados pelo Instituto, sempre que solicitado pelo titular dos dados

1.19.2. Os requerimentos relacionados aos referidos direitos deverão ser direcionados ao canal de gerenciamento de solicitações, conduzido pelo DPO. De modo a garantir a sua segurança e impedir fraudes, o Economus possui rotina para autenticação de seus dados pessoais e, portanto, poderá

2022/194

solicitar informações adicionais para fins de comprovação da sua identidade quando no exercício dos direitos elencados acima.

1.19.3. As solicitações relacionadas a dados pessoais serão respondidas no prazo e em conformidade com a LGPD.

1.20. Medidas para proteção de dados pessoais e prevenção de riscos implementados

1.20.1. O Economus adota medidas técnicas, operacionais e contratuais necessárias para assegurar que o tratamento de dados pessoais seja efetuado em estrita conformidade com a legislação de proteção de dados aplicável, e medidas de segurança que buscam garantir a proteção aos dados pessoais que lhes são disponibilizados contra a difusão, perda, uso indevido, alteração, tratamento ou acesso não autorizado, bem como qualquer outra forma de tratamento irregular ou em desconformidade com a LGPD, em alinhamento ao seu programa de governança e privacidade, políticas e procedimentos internos, de acordo com a tecnologia disponível atualmente.

1.20.2. A todo projeto ou operação desenvolvido pela ou sob demanda do Instituto são incorporados os conceitos e práticas de privacidade desde a concepção.

1.20.3. Ferramentas de segurança (antivírus e firewall), monitoramento contínuo do ambiente do Economus, bem como o monitoramento constante de vulnerabilidades e controle de logs na rede e sistemas utilizados - com armazenamento interno e permanente dessas informações.

1.20.4. O Economus adota processos e políticas internas que asseguram o cumprimento de regras e boas práticas relativas à proteção dos dados pessoais e dissemina na organização a cultura de segurança da informação, privacidade e proteção dos dados por meio de programa permanente de conscientização e capacitação.

1.20.5. Na eventualidade de um incidente de segurança, o Economus possui medidas para assegurar, inclusive contratualmente, a maior diligência de seus colaboradores e fornecedores para mitigar os riscos que dele advir, contando inclusive, com planos para notificação a Autoridade Nacional de Proteção de Dados, quando aplicável, e plano de continuidade de negócios.

1.21. Uso de Cookies e tecnologias semelhantes

1.21.1. Os cookies armazenam padrões de navegação, mapeando quais áreas do site foram visitadas e registrando seus hábitos de navegação

1.21.2. No Portal Economus utilizamos "Cookies de Sessão", que armazenam dados para autenticação das aplicações, para garantia de um bom funcionamento do nosso site, são coletados 1 tipo de cookie,

2022/194

cujo armazenamento se dará durante período pré-definido (até 1 ano) ou apenas durante o tempo em que o seu navegador está aberto:

a) Cookies necessários: Indispensáveis para o funcionamento do site, como a garantia de funcionalidades básicas e recursos de segurança. O Usuário pode configurar o seu browser para bloquear estes cookies, mas com isso o site não irá desempenhar todas as suas funcionalidades, impedindo, inclusive, o seu acesso ao autoatendimento.

b) Cookies não necessários: são cookies que caso desabilitados não impedem o funcionamento e acesso ao site e suas funcionalidades básicas como cookies de navegabilidade que têm como função a coleta dados comportamentais para análise de estatísticas.

1.21.3. Você pode bloquear ou excluir os cookies gravados nas configurações do navegador ou no próprio site do Instituto, porém se você desativar, rejeitar ou bloquear os cookies, certos recursos de autenticação ficarão desativados, impossibilitando o acesso à área restrita do portal No que diz respeito ao tratamento de dados relacionados ao uso do nosso app, são utilizadas tecnologias semelhantes à dos cookies, as quais podem ser desabilitadas por meio de configurações realizadas pelo próprio usuário

1.22. Glossário

1.22.1. Para efeitos desta Política, são considerados os seguintes termos e seus respectivos significados:

a) Agentes de tratamento de dados - controlador, pessoa natural ou jurídica, de direito público ou privado, a quem compete a tomada de decisões referentes ao tratamento de dados pessoais, e o operador, pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome ou a pedido do controlador;

b) Autoridade Nacional de Proteção de Dados (ANPD) - órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD;

c) Controlador - é aquele a quem competem as decisões referentes ao tratamento de dados pessoais;

d) Dado pessoal - informação que, isolada ou associada a outras, identifique ou que possa identificar uma pessoa natural;

e) Dado pessoal sensível - informação sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

2022/194

f) Dado pseudonimizado - informação sobre um titular de dados que somente o identifica quando associada à informação adicional relativa ao titular, mantida separadamente pelo controlador em ambiente controlado e seguro;

g) Encarregado (ou Data Protection Officer - DPO) - pessoa indicada pelo controlador ou operador encarregado para atuar como canal de comunicação com titulares dos dados e com a Autoridade Nacional de Proteção de Dados (ANPD);

h) Titular dos dados pessoais - pessoa natural a quem se referem os dados pessoais e dados pessoais sensíveis que são objeto de tratamento, inclusive participantes, assistidos, beneficiários e dependentes dos planos, colaboradores, dirigentes, fornecedores – quando pessoas físicas - e demais prepostos do Instituto; e

i) Tratamento de dados pessoais - operação realizada com dados pessoais, que abarca a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais

1.23. Referências Legais e Normativas

1.23.1. Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais;

1.23.2. Guia Referencial da Lei Geral de Proteção de Dados para Entidade Fechadas de Previdência Complementar – ABRAAP, maio de 2019;

1.23.3. Resolução Normativa ANS nº 443 de 25 de janeiro de 2019; e

1.23.4. Manual de Adaptação das Autogestão à LGPD – UNIDAS, outubro de 2019.

2022/194