POLÍTICA DE PRIVACIDADE

Esta Política de Privacidade refere-se à utilização dos serviços a serem prestados por OPTIMUM CAPITAL GESTORA DE RECURSOS LTDA., devidamente inscrita no CNPJ/MF sob nº 29.588.549/0001-20 (“Optimum”), e tem como objetivo fornecer uma visão transparente das práticas relacionadas à coleta, ao uso, ao armazenamento e ao tratamento dos Dados Pessoais divulgados pelo Titular.

A Optimum coleta (ou pode coletar) e utiliza alguns Dados Pessoais que pertencem àqueles que celebram contratos, de qualquer natureza, com a Optimum, que utilizam o site e os sistemas operados, contratados ou de propriedade da Optimum (“Banco de Dados Optimum”). Ao fazê-lo, a Optimum, na qualidade de Controladora desses dados, sujeita-se às disposições da Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD).

A Optimum cuida da proteção dos Dados Pessoais e, por isso, disponibiliza esta Política de Privacidade, que contém informações importantes sobre: (i) quais são e como são utilizados os dados coletados, (ii) compartilhamento de dados com terceiros, (iii) armazenagem e tratamento de dados, (iv) direitos do Titular em relação aos seus Dados Pessoais; (v) medidas de segurança no tratamento de dados, e (vi) dados de contato com a Optimum.

1. Quais dados são coletados

1.1. O Sistema Optimum coleta (ou pode coletar) os seguintes tipos de dados dos Titulares:

Dados Pessoais: Quaisquer dados que permitam a identificação pessoal do Titular. Os Dados Pessoais incluem, entre outros, o nome completo, nacionalidade, filiação, estado civil, profissão, endereço, e-mail, número de telefone, RG/RNE e CPF, dados bancários e financeiros.

Dados de Acesso: Informações coletadas de Titulares: inclui, dentre outros, o navegador de acesso do Titular; endereço do protocolo de Internet (IP); data e hora do acesso; e as eventuais ações do Titular nos sistemas da Optimum. Comunicação entre Titular e a Optimum: inclui quaisquer comunicações havidas entre a Optimum e o Titular por e-mail e/ou telefone, bem como qualquer rede social, incluindo, mas não se limitando a WhatsApp e correspondência física e virtual.

Titular: Toda pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

1.2. A Optimum não coleta e não utiliza Dados Pessoais considerados sensíveis conforme a LGPD. Eventualmente, se forem necessários, Dados Pessoais considerados sensíveis somente serão disponibilizados pelo Titular mediante seu consentimento específico e destacado.

1.3. Em qualquer caso, o tratamento de Dados Pessoais sensíveis somente ocorrerá para atender a finalidades específicas expressas em lei.

2. Como são utilizados os dados coletados

2.1. A Optimum utiliza os dados coletados para as seguintes finalidades:

Utilização de Dados Pessoais e Dados de Acesso: Quaisquer Dados Pessoais e Dados de Acesso poderão ser utilizados pela Optimum exclusivamente para o desenvolvimento de suas atividades profissionais, nos termos de sua contratação.

Processamento de Dados: A Optimum poderá processar os Dados Pessoais e os Dados de Acesso de forma automatizada e codificada, a fim de organizar e estruturar esses dados, para gerar informações e estatísticas gerais não individualizadas para uso próprio e melhor desenvolvimento de suas atividades (“Dados Gerais”).

Ligações telefônicas e envio de e-mail e notificações: A Optimum poderá ligar para os Titulares e/ou enviar-lhes e-mails ou notificações com alertas e comunicados relacionados aos serviços contratados.

3. Compartilhamento de dados com terceiros

3.1. Os dados coletados do Titular poderão ser compartilhados com terceiros, nas seguintes hipóteses:

Ordem judicial ou requisição de autoridade competente: A Optimum poderá compartilhar os dados coletados do Titular quando solicitados (i) por meio de ordem judicial, ou (ii) por requisição de autoridade governamental competente nos termos da legislação.

Novas Funcionalidades: Quando e se houver a necessidade de compartilhamento dos Dados Pessoais do Titular com terceiros, com a finalidade de oferecer uma nova funcionalidade ou serviço ao Titular, ele será notificado para que autorize ou não o compartilhamento. Caso o Titular opte por não autorizar o compartilhamento, seus Dados Pessoais não serão transmitidos ao terceiro.

Novas parcerias: Com o objetivo de estabelecer novas parcerias, a Optimum poderá compartilhar os Dados Gerais com potenciais parceiros, que não terão acesso aos Dados Pessoais dos Titulares.

Análise de Mercado: Os Dados Gerais poderão ser utilizados pela Optimum para construção de uma análise de mercado, que poderá ser compartilhada com terceiros, sem a identificação dos Titulares.

3.2. Em nenhum caso, os Dados Pessoais dos Titulares serão objeto de cessão a terceiros pela Optimum.

3.3. Em qualquer caso, o compartilhamento de Dados Pessoais observará todas as leis e regras aplicáveis, buscando sempre garantir a segurança dos dados de Titulares, observados os padrões técnicos empregados no mercado.

4. Armazenagem e tratamento de dados

4.1. Os Dados Pessoais coletados pela Optimum são armazenados e utilizados por período que corresponda ao necessário para atingir as finalidades elencadas neste documento e que considere os direitos de seus Titulares, os direitos do Controlador do Banco de Dados Optimum e as disposições legais ou regulatórias aplicáveis.

4.2. Uma vez expirados os períodos de armazenamento dos Dados Pessoais, eles serão removidos da base de dados ou anonimizados, salvo nos casos em que houver a possibilidade ou a necessidade de armazenamento em virtude de disposição legal ou regulatória.

5. Direitos do Titular

5.1. O Titular possui os seguintes direitos, conferidos pela LGPD:

Direitos do Titular: Confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na lei; portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; eliminação dos dados pessoais tratados com o consentimento do titular, exceto nos casos previstos em lei; informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; revogação do consentimento.

É importante destacar que, nos termos da LGPD, não existe um direito de eliminação de dados tratados com fundamento em bases legais distintas do consentimento, a menos que os dados sejam desnecessários, excessivos ou tratados em desconformidade com o previsto na lei.

Como o titular pode exercer seus direitos: Para garantir que o Titular que pretende exercer seus direitos é, de fato, o titular dos dados pessoais objeto da requisição, a Optimum poderá solicitar documentos ou outras informações que possam auxiliar em sua correta identificação, a fim de resguardar direitos próprios e de terceiros. Isto somente será feito, porém, se for absolutamente necessário, e o requerente receberá todas as informações relacionadas.

6. Medidas de segurança no tratamento de dados pessoais

6.1. A Optimum emprega medidas técnicas e organizativas aptas a proteger os Dados Pessoais de acessos não autorizados e de situações de destruição, perda, extravio ou alteração desses dados.

6.2. Entre as medidas de segurança adotadas, destacam-se as seguintes: (i) Os dados de Titulares são armazenados em ambiente seguro; (ii) limita-se o acesso aos dados de Titulares, de modo que terceiros não autorizados não possam acessá-los; (iii) a Optimum mantém registros de todos aqueles que têm, de alguma forma, contato com os dados.

6.3. Ainda que adote tudo o que está ao seu alcance para evitar incidentes de segurança, é possível que ocorra algum problema motivado exclusivamente por um terceiro - como em caso de ataques de hackers ou crackers ou, ainda, em caso de culpa exclusiva do Titular, que ocorre, por exemplo, quando ele mesmo transfere seus dados a terceiro. Assim, embora a Optimum, em geral, seja responsável pelos Dados Pessoais que trata, ela se exime de responsabilidade caso ocorra uma situação excepcional como essas, sobre as quais não tenha nenhum tipo de controle.

6.4. De qualquer forma, caso ocorra qualquer tipo de incidente de segurança que possa gerar risco ou dano relevante para qualquer dos Titulares, a Optimum comunicará os afetados e a Autoridade Nacional de Proteção de Dados acerca do ocorrido, em conformidade com o disposto na LGPD.

7. Reclamação à Autoridade Nacional de Proteção de Dados

7.1. Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, os Titulares de Dados Pessoais que se sentirem, de qualquer forma, lesados, podem apresentar reclamação à Autoridade Nacional de Proteção de Dados.

8. Como entrar em contato com a Optimum

8.1. Para esclarecer quaisquer dúvidas sobre esta Política de Privacidade ou sobre os Dados Pessoais que são tratados pela Optimum, entre em contato com o Encarregado de Proteção de Dados Pessoais, por algum dos canais mencionados abaixo: [email protected] ou por correspondência para o seguinte endereço: na Rua João Cachoeira 349/355, conjunto 11, Itaim Bibi, São Paulo/SP, CEP 04535-010, aos cuidados do Diretor Sr. Rodrigo César dos Santos Soares Marques.

8.2. A Optimum se reserva o direito de modificar, a qualquer momento, a presente Política, especialmente para adaptá-la às eventuais alterações feitas no Sistema Optimum. Sempre que houver uma modificação, os Titulares serão notificados acerca da mudança.

Anexo A — Plano de Resposta a Incidentes (“PRI”)

O PRI tem como objetivo estabelecer medidas a serem tomadas pela Optimum diante de um incidente de segurança da informação, com vistas a mitigar a ocorrência de danos causados por vazamento de dados, ataques cibernéticos, dentre outros tipos de incidentes.

1. Procedimentos

1.1. Detecção: A primeira etapa do PRI consiste na detecção de ocorrências por meio de um gerenciamento de TI proativo. Nesse sentido, a Optimum realiza uma abordagem técnica, por meio de avaliação de risco, cujo intuito é identificar: possíveis motivações para um ataque cibernético à Gestora; e metodologias que possam ser utilizadas em ataques cibernéticos. A Optimum, por meio de seus protocolos e políticas internas, também realiza uma abordagem organizacional, que possibilita a detecção de incidentes cibernéticos.

1.2. Relatório de Incidente: Uma vez identificado um incidente, a Optimum deverá produzir um relatório acerca do incidente ocorrido (“Relatório de Incidente”), cujas informações serão utilizadas nas etapas posteriores deste protocolo.

1.3. Triagem: A Optimum realizará uma triagem do incidente ocorrido, por meio da qual será definido o grau de priorização da Gestora na mitigação de seus efeitos. A triagem se baseará em: uma avaliação inicial do incidente, com base no Relatório de Incidente; o nível de gravidade do incidente; e impacto do incidente nos negócios da Gestora.

1.4. Análise: Uma vez realizada a triagem do incidente, a Optimum deverá realizar uma análise de seus sistemas internos, suas redes e, a depender do caso, de malware de que tenha sido vítima, juntamente com a equipe de TI. Esta etapa tem o intuito de identificar o tipo de incidente ocorrido, as informações da Gestora que tenham sido objeto de vazamento e a extensão da perda relatada, bem como a identificação das equipes e pessoas que precisam ser engajadas na solução do problema.

1.5. Resposta: Como resposta ao incidente, a Optimum atuará em três frentes: Contenção (definição de papéis e responsabilidades aos seus Colaboradores, conforme o caso); Erradicação (determinar “se” e quais sistemas da Gestora deverão ser desconectados e/ou desabilitados); e Recuperação (recuperar e/ou restaurar sistemas que tenham sido impactados).

1.6. Acompanhamento pós-incidente: Como etapa final, a Optimum promoverá um acompanhamento pós-incidente e atuará de forma a: analisar as medidas tomadas e sua efetividade; notificar seus stakeholders; e atuar de forma a oferecer suporte na mitigação dos danos incorridos por todos os envolvidos no incidente em questão.