1. Objetivo, Escopo e Aplicabilidade
A One Innovation Empreendimentos e Participações S.A. (“One” ou “Sociedade”), se compromete a proteger os dados pessoais tratados no curso de suas atividades empresariais e a cumprir a Lei Federal n.º 13.709 de 2018, conhecida como Lei Geral de Proteção de Dados (“LGPD”). Este documento faz parte do Programa de Conformidade da One à LGPD e a outras leis de proteção de dados vigentes.
Diante disso, esta Política de Privacidade e Proteção de Dados (“Política”) dispõe sobre a forma como dados pessoais deverão ser tratados nas atividades empresariais da Sociedade, de forma a garantir que o tratamento de dados pessoais pela One esteja sempre em conformidade com a LGPD.
Ela se aplica: (i) aos colaboradores da One; (ii) a todos os terceiros, sejam eles pessoas físicas ou jurídicas, que prestem serviços para ou em nome da One em operações que envolvam tratamento de dados pessoais; e aos (iii) titulares de dados pessoais, cujos dados são tratados pela Sociedade.
As informações abarcadas pela presente Política devem ser aplicadas no tratamento de todos os dados coletados, processados, usados e armazenados pela One ou em seu nome, em qualquer tipo de mídia ou plataforma. Isso inclui dados pessoais registrados em papel, mantidos em sistemas de computador ou dispositivos portáteis, bem como dados pessoais transmitidos oralmente.
Este documento deverá ser lido em conjunto com outros abaixo relacionados:
● Contratos de trabalho celebrados com os colaboradores da One, que tratam das obrigações específicas de confidencialidade sobre informações mantidas pela Sociedade;
● Políticas e normas de procedimentos de segurança da informação, avisos de privacidade e políticas sobre tratamento de dados realizados em nossos ambientes virtuais;
● Todas as normas internas a respeito de proteção de dados pessoais que vierem a ser elaboradas e atualizadas pelos departamentos da One.
2. Definições
Para melhor compreensão desta Política, seguem abaixo alguns conceitos chaves sobre proteção de dados, trazidos pela LGPD.
Dado Pessoal: Toda informação que identifique ou possa identificar uma pessoa física. No caso da ONE, são alguns exemplos de dados pessoais tratados: dados de clientes, como nome, RG, CPF, endereço, informações de crédito etc.; dados de colaboradores, como histórico profissional e salário; dados de sócios e acionistas, como CPF e endereço.
Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física.
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Dado anonimizado: dado que não consegue levar à identificação de seu titular, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Dado pseudoanonimizado: tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
Titular: pessoa natural (física) a quem se referem os dados pessoais que são objeto de tratamento. No caso da One, os principais titulares são: clientes, colaboradores, sócios e acionistas, representantes de fornecedores, prestadores de serviços, dentre outros.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. A One ocupa, em regra, o papel de controlador das operações de tratamento de dados no âmbito de suas atividades.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Encarregado da Dados Pessoais (“Encarregado”): pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (“ANPD”). É o responsável pela implementação dos dispositivos desta Política, conforme indicado no item 4.
ANPD: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.
3. Princípios
A LGPD estabelece os princípios que regem como os agentes devem tratar dados pessoais em suas atividades. Os princípios abaixo são descritos a partir de sua aplicabilidade prática e deverão orientar as atividades da Sociedade e de seus parceiros:
Finalidade: a One Innovation deve tratar dados pessoais somente para propósitos legítimos, específicos, explícitos, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades. O titular deverá ser informado da finalidade do tratamento de seus dados.
Adequação: a One Innovation deve tratar dados pessoais somente de forma compatível com as finalidades informadas ao titular, de acordo com o contexto do tratamento. O tratamento deve se restringir ao que foi informado.
Necessidade: a One Innovation deve tratar dados pessoais sempre limitados ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento.
Livre acesso: a One Innovation somente pode tratar dados pessoais que possam ser objeto de consulta facilitada e gratuita, pelos titulares, sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
Qualidade do dado: a One Innovation só deve tratar dados pessoais que sejam exatos, claros, relevantes e atualizados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento como forma de garantir ao titular a qualidade de seus dados.
Transparência: a One Innovation garante aos titulares, a prestação de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
Segurança: a One Innovation protege os dados pessoais, por meio de medidas técnicas e administrativas, contra acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Prevenção: a One Innovation adota medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
Não discriminação: a One Innovation somente trata dados para fins que não sejam discriminatórios, ilícitos ou abusivos.
Responsabilização e prestações de conta: a One Innovation é capaz de demonstrar as medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, a eficácia dessas medidas.
4. Direitos dos Titulares de Dados Pessoais
A ONE, no âmbito de suas atividades, se compromete a respeitar os direitos dos titulares de dados assegurados pela LGPD, quais sejam:
Direito à confirmação da existência do tratamento: o titular de dados pode questionar a One a respeito da existência de operações de tratamento realizadas com seus dados.
Direito de acesso: o titular de dados pode solicitar e receber cópia dos dados tratados pela One.
Direito de correção: o titular de dados pode solicitar à One que corrija eventuais dados incompletos, inexatos ou desatualizados.
Direito de eliminação: o titular de dados pode solicitar à One a eliminação de seus dados, salvo se houver motivo legítimo para a manutenção deles nos bancos de dados da empresa, tal como eventual obrigação legal. As hipóteses de exceção estão previstas no artigo 16 da LGPD. A empresa se reserva o direito de determinar a forma de eliminação dos dados, comprometendo-se a utilizar meios que garantam a segurança da informação e minimize sua recuperação.
Direito de solicitação de suspensão de tratamento ilícito: o titular de dados pode, a qualquer tempo, solicitar à One a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei.
Direito de informação: o titular de dados pode solicitar à One informação a respeito do compartilhamento de seus dados pela empresa com entidades públicas e privadas.
Direito de oposição a tratamento de dados pessoais: o titular de dados pode apresentar oposição a tratamento de dados que não tenham como base legal o consentimento. A oposição será analisada pela One com fundamento na LGPD, assim como as providências tomadas.
Direito à portabilidade dos dados: o titular pode requisitar a portabilidade de seus dados a outro fornecedor de serviço ou produto, desde que observados os segredos comercial e industrial.
Direito à revogação do consentimento: o titular de dados pode revogar seu consentimento. Nessa hipótese, o titular será informado pela One sobre eventuais dificuldades na prestação de algum serviço que dependa do consentimento. A revogação do consentimento não retira a legalidade dos tratamentos realizados previamente à solicitação do titular.
Qualquer solicitação deverá ser direcionada ao endereço eletrônico [email protected] . A solicitação será analisada e respondida nos prazos da LGPD e seus regulamentos. Na ausência de prazo legal específico, a solicitação será respondida em até 15 (quinze) dias úteis.
5. Deveres Sobre Tratamento de Dados
Aqueles que tratam dados em nome da ONE, sejam colaboradores ou terceiros, devem sempre:
● Respeitar as regras e princípios da LGPD;
● Respeitar diretrizes e orientações desta Política e outros documentos correlatos da One;
● Colocar-se no lugar da pessoa que tem o seu dado pessoal tratado. Se uma operação de tratamento aparentar ser abusiva, o Encarregado de Dados deverá ser comunicado imediatamente;
● Verificar o remetente duas vezes antes de enviar arquivos contendo dados pessoais;
● Caso verifique envio para receptor diverso (e-mail errado, por exemplo), tentar cancelar o envio do documento e, caso não seja possível, requerer a imediata exclusão dos arquivos recebidos;
● Reportar quaisquer incidentes envolvendo dados pessoais, conforme orientações dispostas no Plano de Respostas à Incidentes da Sociedade;
● Proteger os dados pessoais sob sua responsabilidade, bem como aqueles que tiver acesso em virtude da sua relação com a One, evitando sua exposição desnecessária a terceiros ou mesmo a funcionários cuja função não justifique o acesso;
● Não acessar dados pessoais alheios ao exercício da sua função sem que seja para a execução de sua atividade;
● Manter todos os deveres de confidencialidade devidos;
● Caso haja alguma dúvida, entrar em contato imediatamente com o respectivo superior direto ou com o Encarregado de Dados da Sociedade.
Orientações específicas sobre o tratamento de dados nos diferentes departamentos da ONE serão regulados em documentos direcionados, conforme as diretrizes estabelecidas no item 13.
6. Segurança da Informação
A One adota medidas técnicas, administrativas e jurídicas para assegurar que o tratamento de dados realizado pela Sociedade esteja sempre em conformidade com a LGPD e com altos padrões de segurança da informação.
A One reforça ainda seu compromisso em evitar incidentes relacionados a tratamento de dados pessoais, incluindo vazamentos, acessos não autorizados, perda, alteração ou qualquer outra forma de tratamento irregular.
As normas específicas de segurança da informação estão contidas na Política de Segurança da Informação da One e em outras normativas internas.
7. Monitoramento
A One se compromete a manter seu Programa de Conformidade à LGPD sempre atualizado, o que inclui realizar eventuais alterações de acordo com as normas e recomendações emitidas pela ANPD ou outras autoridades competentes. Além disso, também com o intuito de assegurar constante adequação à legislação, a Sociedade realiza monitoramento periódico de suas atividades de tratamento de dados.
Dessa forma, esta Política está sujeita a revisões anuais e atualizações constantes, sendo que todas as alterações futuras serão comunicadas pelos canais oficiais da One.
No mais, todas as operações justificadas pelo legítimo interesse são submetidas ao LIA (Legitimate Interests Assessment – “LIA”), cujos testes são devidamente documentados pela One. Anualmente, ou em prazo regulamentado pela ANPD, novo LIA deverá ser realizado, de modo a verificar que as operações baseadas no legítimo interesse continuam lícitas e adequadas.
No caso de novos projetos e iniciativas da Sociedade envolvendo o tratamento de dados pessoais, a LGPD e demais normativas da Sociedade deverão ser observadas desde o início, incluindo o Normativo de Privacy by Design. Se o projeto envolver dados sensíveis, operações baseadas no legítimo interesse ou grande volume de titulares, deverá ser realizado estudo prévio de viabilidade do projeto, incluindo análise de impacto em caso de incidentes.
A One reforça ainda seu compromisso em evitar incidentes relacionados a tratamento de dados pessoais, incluindo vazamentos, acessos não autorizados, perda, alteração ou qualquer outra forma de tratamento irregular.
As normas específicas de segurança da informação estão contidas na Política de Segurança da Informação da One e em outras normativas internas.
8. Controles
Aqueles que tratam dados para a Sociedade, ou em nome dela, deverão manter registros das operações de tratamento de dados realizadas, principalmente no caso de operações baseadas no legítimo interesse e operações de transferência de dados pessoais a terceiros.
Além disso, as operações de tratamento de dados dentro da One são rastreáveis, podendo-se obter informações tais como data e local das operações e pessoa responsável por ela.
Em relação a terceiros, a One emprega os melhores esforços para verificar, avaliar e garantir que seus parceiros e fornecedores atuem em conformidade com a LGPD.
Previamente à assinatura de qualquer contrato que envolva tratamento de dados pessoais em nome da One, deverá ser realizada due diligence de proteção de dados da parte contrária e avaliados os riscos decorrentes da contratação. A One assegura que sempre dará prioridade à contratação de parceiros adequados à LGPD.
Todas as parcerias de negócios que envolvam o tratamento de dados pessoais deverão estar sujeitas a contrato documentado com termos e condições específicas sobre o tratamento de dados a ser realizado. O terceiro deverá se obrigar contratualmente a respeitar a LGPD e as respectivas obrigações e deveres entre as partes deverão ser bem definidas. Ainda, esses contratos deverão ser revisados e submetidos à aprovação do Encarregado de Dados da One, no que toca às cláusulas de proteção de dados.
Todos os prestadores de serviços devem assinar o termo de compromisso desta Política, da Política de Segurança da Informação.
Além disso, nas situações em que é controlador dos dados pessoais, a One instruirá os operadores, inclusive contratualmente, a tratar dados pessoais em conformidade à LGPD.
9. Treinamentos
A One acredita na importância de se prover uma cultura de proteção de dados dentro da Sociedade. Assim, promove treinamentos regulares a seus colaboradores sobre o tema.
Os colaboradores da One se comprometem a participar desses treinamentos. A depender da função, poderão ser ofertados treinamentos adicionais específicos para melhor compreensão de seus deveres e obrigações.
10. Armazenamento
A Sociedade armazena documentos contendo dados pessoais apenas quando esse tratamento for justificado por uma base legal e finalidade específica.
Em regra, a One armazena dados pessoais para garantir execuções contratuais, para cumprir obrigações legais e regulatórias, para o exercício de direitos em procedimentos administrativos, judiciais e/ou arbitrais, para atender aos interesses legítimos da Sociedade e para a proteção do crédito, sempre respeitando os direitos do titular e de acordo com as regras aplicáveis.
Ao término do tratamento, os dados pessoais deverão ser descartados de forma cuidadosa, garantindo a eliminação e protegendo os direitos de seus titulares, sempre em consonância com as orientações para a eliminação segura de mídia de armazenamento. Ou, ainda, poderão ser anonimizados e utilizados para fins estatísticos.
A situação de armazenamento irregular de documentos, quando verificado, deverá ser imediatamente comunicada ao Encarregado de Dados, que tomará as devidas providências.
11. Armazenamento de Dados com Terceiros
A One sempre prezará pela segurança no ato do compartilhamento de dados. Hipóteses de compartilhamento dos Dados Os Dados coletados e as atividades registradas podem ser compartilhados:
● Com autoridades judiciais, administrativas ou governamentais competentes, sempre que houver determinação legal, requerimento, requisição ou ordem judicial;
● Com instituições responsáveis por cobrar o crédito decorrente da aquisição da(s) unidade(s) imobiliária(s) que você adquiriu;
● Com o corretor de imóveis, quando a compra for intermediada;
● Instituições ou assessorias financeiras para financiamento de imóvel;
● Nos casos em que os Empreendimentos possuírem campanha promocional, os dados podem ser compartilhados para organizações parceiras da Sociedade, fornecedores de serviço e/ou infraestrutura, terceiros que contribuam para as atividades do Grupo, desde que devidamente aprovadas pelos processos de segurança da Sociedade.
Os Empreendimentos que possuírem campanha promocional, terão uma cláusula específica do compartilhamento dos dados para o fornecedor/parceiro, responsável pela campanha.
Não compartilhamos seus Dados Pessoais
A One não compartilha dados pessoais com fabricantes de móveis, fornecedores de eletrodomésticos, outras incorporadoras, com exceção nos casos previstos acima.
Caso você receba contato de terceiros não identificados, por favor, entre em contato conosco através do Canal de Atendimento disponível nesta Política e iremos auxiliá-lo na apuração do ocorrido.
12. Incidentes
Embora a One Innovation empenhe-se ao máximo para garantir a segurança e a proteção de dados dos titulares, incidentes relacionados a dados pessoais podem acontecer.
Incidentes não são apenas vazamentos de dados. São exemplos de incidentes possíveis: acesso a dados por terceiros sem autorização; ação ou omissão, deliberada ou acidental, por controlador ou operador, que exponham indevidamente dados pessoais; envio de dados pessoais para um receptor incorreto; perda de banco de dados; alteração de dados pessoais sem autorização do controlador e perda de acesso a dados pessoais.
Na remota hipótese de ocorrência de incidentes, o colaborador ou terceiro deverá comunicar o Encarregado de Dados, a fim de que adote todas as medidas pertinentes, especialmente a comunicação à ANPD.
13. Diretrizes para Políticas e Regramentos Internos dos Departamentos
Os departamentos da One deverão regular a forma como tratam dados pessoais em suas normativas internas. Os regulamentos deverão conter as seguintes informações:
● Descrição dos dados pessoais tratados;
● Descrição das finalidades das operações de tratamento e respectiva base legal;
● Indicação do local de armazenamento;
● Indicação da pessoa que tem acesso aos dados e com quem ele é compartilhado (áreas internas e terceiros);
● Indicação das pessoas responsáveis pelas operações de tratamento;
● Descrição das salvaguardas adotadas para proteger o dado pessoal em questão, incluindo medidas técnicas e administrativas.
14. Contato
A One está aberta a sugestões de melhorias em processos e controle. Para o recebimento de críticas, sugestões de melhorias ou mesmo dúvidas sobre os processos descritos e/ou sobre a legislação aplicável, a One conta com canal de contato com o Encarregado de Dados, responsável pela supervisão geral desta Política de Proteção de Dados, através do endereço eletrônico: [email protected]





