POLÍTICA DE PRIVACIDADE, GOVERNANÇA E PROTEÇÃO DE DADOS PESSOAIS
M RIO AUTOMOVEIS LTDA
CNPJ nº 35.875.630/0001-94
Esta Política especifica, em atenção às normas da Lei nº 13.709/2018, as boas práticas na
gestão de dados pessoais, gestão essa que envolve o desenvolvimento de ações preventivas,
educacionais e medidas organizacionais estruturadas pela BM RIO AUTOMOVEIS LTDA,
voltadas à difusão e ao aprimoramento da cultura de privacidade e proteção de dados pessoais
pelos colaboradores e/ou profissionais que atuam em seu nome.
O termo de consentimento, assinado por clientes, e o termo de compromisso, assinado por
empresas parceiras da BM RIO AUTOMOVEIS LTDA, complementam esta Política de
Governança.
INFORMAÇÕES DA POLÍTICA DE PRIVACIDADE
A BM RIO AUTOMOVEIS LTDA contratou assessoria especializada para auxiliá-la em sua
adequação à Lei nº 13.709/2018, o que resultou no mapeamento do fluxo de dados pessoais
na empresa, na elaboração de termo de consentimento e de termo de compromisso, na
confecção desta Política de Governança e na realização de treinamento presencial inicial para
os colaboradores, além da adequação do sistema de armazenamento e tratamento de dados,
para o alcance da segurança da informação, por meio de serviço especializado.
DIRETRIZES
Esta Política busca garantir a proteção dos dados pessoais envolvidos nas operações da BM
RIO AUTOMOVEIS LTDA, assegurando que sejam sempre tratados observando os princípios da
boa-fé, da finalidade, da adequação, da necessidade, do livre acesso e da segurança, de modo
a mitigar riscos de vazamento e a garantir, ao titular, a transparência no tratamento de seus
dados pessoais.
Esta Política incentiva a automação – ou digitalização – de todos os procedimentos
relacionados ao tratamento de dados pessoais realizado pela BM RIO AUTOMOVEIS LTDA,
evitando-se a coleta e o armazenamento de dados em documentos físicos. Ademais,
desincentiva o tratamento de dados pessoais sensíveis.
CONCEITOS CENTRAIS DA POLÍTICA DE GOVERNANÇA
Dado pessoal: informação que, isolada ou associada a outras, identifique ou que possa
identificar uma pessoa física.
Dado pessoal sensível: informação sobre origem racial ou étnica, convicção religiosa,
opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político,
dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a
uma pessoa física.
Dado pseudonimizado: informação sobre um titular de dados que somente o
identifica quando associada a uma informação adicional relativa ao titular, mantida
separadamente pelo controlador em ambiente seguro.
Titular dos dados pessoais: pessoa física a quem se referem os dados pessoais que são
objeto de tratamento, inclusive colaboradores, conselheiros, diretores, fornecedores – quando
pessoas físicas – e demais prepostos da BM RIO AUTOMOVEIS LTDA.
Tratamento de dados pessoais: operação realizada com dados pessoais, que abarca a
coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou
controle da informação, modificação, comunicação, transferência, difusão ou extração de
dados pessoais.
Agentes de tratamento de dados: controlador, pessoa natural ou jurídica, a quem
compete a tomada de decisões referentes ao tratamento de dados pessoais; e o operador,
pessoa natural ou jurídica, que realiza o tratamento de dados pessoais em nome ou a pedido
do controlador.
PRINCÍPIOS QUE GUIAM A POLÍTICA
Finalidade: os dados pessoais coletados e processados são utilizados para propósitos
legítimos, específicos, explícitos e informados ao titular, não sendo utilizados de forma
incompatível com tais objetivos.
Adequação: os dados pessoais são tratados em compatibilidade com as finalidades
informadas ao seu titular ou pertinentes ao contrato por ele firmado com a BM RIO
AUTOMOVEIS LTDA, no contexto do tratamento realizado.
Necessidade: o tratamento deve se limitar ao mínimo possível de dados pessoais
indispensáveis à realização das finalidades objetivadas, observada a sua pertinência.
Livre acesso: é assegurada aos titulares a realização de consulta facilitada e gratuita
sobre os seus dados pessoais tratados, bem como sobre a forma e a duração do seu
tratamento.
Transparência: é assegurado ao titular de dados pessoais o acesso a informações
precisas e facilitadas sobre o tratamento de seus dados pessoais e os respectivos agentes de
tratamento.
Segurança: são aplicáveis para tratamento de dados todas as medidas técnicas e
administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações
acidentais ou ilícitas de perda, alteração, comunicação ou difusão.
Prevenção: são aplicáveis para o tratamento de dados pessoais todas as medidas
técnicas, operacionais e contratuais adequadas para prevenir eventual ocorrência de danos ou
riscos no contexto do tratamento de dados pessoais.
CUIDADOS NO USO DE DADOS PESSOAIS
Análise periódica de riscos: identificação, avaliação e monitoramento das
vulnerabilidades e dos riscos de ocorrência de incidentes de proteção de dados pessoais no
âmbito da BM RIO AUTOMOVEIS LTDA, bem como suas medidas de tratamento e solução.
Treinamento: realização de treinamentos pontuais e cursos de capacitação para
funcionários e colaboradores, buscando aprimorar a cultura de tratamento adequado de
dados.
Termo de consentimento: toda pessoa física que desenvolver relação comercial com a
BM RIO AUTOMOVEIS LTDA assinará um termo de consentimento para tratamento de seus
dados, que poderá ser revogado a critério. O termo indicará que as finalidades para a coleta
dos dados são o cumprimento, pela BM RIO AUTOMOVEIS LTDA, de obrigações impostas por
órgãos de fiscalização; a confecção e a execução de um eventual contrato do qual seja parte o
titular dos dados; o exercício regular de direitos, por parte de BM RIO AUTOMOVEIS LTDA, em
processo judicial, administrativo ou arbitral; o envio, ao titular, de promoções, informes e
quaisquer comunicados que a BM RIO AUTOMOVEIS LTDA julgue pertinentes; o controle
interno do serviço de test-drive da BM RIO AUTOMOVEIS LTDA; a prestação de assistência
técnica; e realização de estatísticas internas da BM RIO AUTOMOVEIS LTDA e de suas empresas
parceiras. O titular dos dados deve ficar ciente de que BM RIO AUTOMOVEIS LTDA
permanecerá com os dados até o exaurimento das finalidades previstas, estando a seu critério
o procedimento de descarte.
Termo de compromisso: as empresas parceiras da BM RIO AUTOMOVEIS LTDA, que
com ela compartilhem dados de pessoas físicas, devem assinar um termo de compromisso
declarando tal compartilhamento e declarando que são integralmente responsáveis pelos
dados pessoais coletados, incluindo a obtenção de consentimento dos titulares, conforme
artigo 5º, inciso XII, da Lei nº 13.709/2018.
Tanto o termo de consentimento quanto o termo de compromisso devem passar por
atualizações periódicas, buscando-se o seu contínuo aperfeiçoamento.
No website para acesso público da BM RIO AUTOMOVEIS LTDA, constam alertas sobre o uso de
cookies e a possibilidade de sua desativação, caso seja de interesse do usuário.
PROCEDIMENTO NO CASO DE INCIDENTES
Incidente de segurança com dados pessoais é qualquer evento adverso relacionado à violação
na segurança de dados pessoais, como um acesso não autorizado, acidental ou ilícito que
resulte na destruição, perda, alteração ou vazamento dos dados. Caso ocorra um incidente, os
funcionários e colaboradores da BM RIO AUTOMOVEIS LTDA seguirão um protocolo de
atuação, a fim de minorar os danos aos titulares e de cumprir os deveres impostos pela Lei nº
13.709/2018.
O protocolo será gerenciado pessoalmente pelo DPO (Data Protection Officer), encarregado do
tratamento de dados na BM RIO AUTOMOVEIS LTDA: Sr. Vinicius Azevedo Santos, inscrito no CPF sob
o nº 100.844.696-33; e ocorrerá da seguinte forma:
1. O primeiro passo do protocolo é notificar os titulares dos dados sobre o incidente,
esclarecendo-os a respeito de possíveis danos relevantes e comunicando-os o início de
uma investigação interna para a identificação de causas e de responsáveis.
2. Em seguida, a empresa comunicará a ocorrência do incidente à Autoridade Nacional
de Proteção de Dados (ANPD). Essa comunicação se dará com o preenchimento do
formulário disponível no site da ANPD e com o seu protocolo na aba “Peticionamento
Eletrônico - Usuário Externo”. As instruções para utilização do “Peticionamento
Eletrônico” são encontradas aqui: https://www.gov.br/secretariageral/pt-br/seipeticionamento-
eletronico.
3. Terminada a investigação interna, a empresa elaborará um relatório final, a ser
encaminhado aos titulares dos dados envolvidos no incidente e à ANPD, contendo as
seguintes informações: (i) descrição do incidente; (ii) quais foram os danos efetiva e/ou
possivelmente causados aos titulares dos dados pessoais; (iii) quais foram as
providências de investigação adotadas; (iv) respostas a eventuais questionamentos
recebidos da imprensa e dos titulares dos dados; e (v) quais medidas de correção no
tratamento de dados serão adotadas.
