AMER POL PRIV 001 Política de Privacidade

Tipo de Documento: Código: Revisão: Página:
POLÍTICA AMER-POL-PRIV-001 01 1 de 14
Título do documento:
PRIVACIDADE E PROTEÇÃO DE DADOS
1. Objetivo
Esta Política estabelece princípios, diretrizes e responsabilidades para o tratamento de dados
pessoais realizado pelas empresas da americanas s.a.. A conduta de tratamento de dados
pessoais possui como finalidade:
 Proteger a privacidade dos titulares de dados;
 Mitigar riscos de violação durante o tratamento de dados pessoais;
 Assegurar o exercício de direitos aos titulares de dados;
 Registrar e monitorar todo tratamento de dados pessoais;
 Garantir o cumprimento da Lei Geral de Proteção de Dados Pessoais e demais leis
aplicáveis de Proteção de Dados e seus requisitos.
2. Campo de Aplicação
Esta Política aplica-se à americanas s.a., em todas as suas subsidiárias, aos stakeholders, aos
processos administrativos, organizacionais e empresas parceiras.
3. Definições
 Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do
tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou
indireta, a um indivíduo.
 Stakeholders: Associado, estagiário, fornecedor, prestador de serviço, estatutário ou
agente econômico, membros da Administração (Diretores e Conselho de Administração),
membros dos Comitês e do Conselho Fiscal, representantes e terceiros, direta ou
indiretamente relacionados com as Companhias.
 Consentimento: manifestação livre, informada e inequívoca pela qual o titular dos dados
concorda com o tratamento de seus dados pessoais para uma finalidade determinada
 Controlador de dados: a entidade legal que determina os propósitos e meios do
Processamento de dados pessoais.
 Dados Pessoais: qualquer dado relativo a uma pessoa natural identificada ou
identificável ('Titular dos dados').
 Dados Pessoais Sensíveis: dados pessoais que revelam origem racial ou étnica,
opiniões políticas, crenças religiosas ou filosóficas ou filiação a sindicatos, além de dados
genéticos, biométricos com o objetivo de identificar exclusivamente uma pessoa natural,
dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de uma
pessoa singular.
Classificação: Informação Reservada – Uso Interno
 Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de

dados, independentemente do procedimento empregado.
 Comitê de Privacidade e Proteção de Dados: Grupo de associados, da americanas
s.a. com a função de atuar como fórum para o debate, troca de informações e tomada de
decisões.
 Operador de dados: uma entidade legal que processa dados pessoais em nome dos
dados Controlador.
 Proteção de dados: É o direito de uma pessoa natural à proteção de suas informações
pessoais. Este direito é regido por um sistema de leis, regras e princípios que são
aplicáveis durante todo o ciclo de vida das informações.
 Titular dos dados: pessoa natural a quem se referem os dados pessoais que são objeto
de tratamento pela americanas s.a..
 Tratamento: toda operação realizada com dados pessoais, como as que se referem a
coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão,
distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou
controle da informação, modificação, comunicação, transferência, difusão ou extração.
 A americanas s.a. é composta pelas empresas listadas abaixo:
americanas s.a. – 00.776.574/0006-60
BIT Services Inovação e Tecnologia Ltda. – 03.789.968/0001-37
Digital Finance Promotora Ltda. – 19.179.007/0001-40
Direct Express Logística Integrada S.A. – 05.886.614/0001-36
ST Importações Ltda. – 02.867.220/0001-42
Submarino Finance Promotora de Crédito Ltda. – 07.897.468/0001-70
Ame Digital Brasil Ltda. – 32.778.350/0001-70
Ecologística Entregas Sustentáveis Ltda. – 22.236.389/0001-01
Courrieros Transportes Ltda. – 29.386.039/0001-70
Supernow Portal e Serviços de Internet Ltda. – 23.559.907/0001-90
Ecolivery Courrieros Ltda – 16.890.506/0001-53
4. Conteúdo do padrão
4.1. Diretrizes gerais de Privacidade de Dados

A americanas s.a. reconhece que a privacidade é importante aos Titulares de Dados que
possam ter seus dados tratados pela americanas s.a. e está empenhado em cumprir os
mais elevados padrões em relação à integridade, incluindo respeitar e proteger a
privacidade do Titular dos Dados.
Esta Política declara o compromisso com a proteção de dados pessoais tratados pela
americanas s.a., descrevendo o que os stakeholders podem esperar da americanas s.a..
A americanas s.a. coleta e usa dados pessoais de stakeholders ou clientes, dessa forma
está sujeito às leis e regulamentos de privacidade e proteção de dados das jurisdições,
onde o tratamento do dado ocorre.
4.2. Estrutura de privacidade e proteção de dados da americanas s.a.

A estrutura de privacidade e proteção de dados pessoais é responsável por orientar e
apoiar a aplicação de métodos e práticas com o objetivo de assegurar a preservação da
privacidade e da proteção de dados em qualquer tratamento realizado dentro da
americanas s.a. ou ainda no tratamento realizado fora da americanas s.a. quando
ocorrer sob sua responsabilidade.
4.3. Atribuições e responsabilidades

4.3.1. Alta Administração
A Alta Administração é responsável por:
a) Aprovar as Políticas de Privacidade e Proteção de Dados da americanas s.a..
b) Prover os recursos humanos, materiais e financeiros necessários;
c) Apoiar as iniciativas de Proteção de Dados aplicáveis a toda a americanas s.a.;
d) Acompanhar periodicamente a evolução dos indicadores e resultados.
4.3.2. Encarregado pelo tratamento de dados pessoais – DPO

O DPO é a pessoa indicada para atuar como canal de comunicação entre a
americanas s.a., os titulares dos dados e a Autoridade Nacional de Proteção de
Dados (ANPD). As informações de contato do encarregado são divulgadas
publicamente, de forma clara e objetiva, nos sites da americanas s.a..
As atividades do DPO consistem em:
a) Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar
providências;
b) Receber comunicações da autoridade nacional e adotar providências;

c) Orientar os associados e os contratados da americanas s.a. a respeito das práticas

a serem tomadas em relação à proteção de dados pessoais;
d) Decidir sobre os incidentes de violação de dados pessoais;
e) Executar as demais atribuições determinadas pela americanas s.a. ou
estabelecidas em normas complementares.
f) Manter contatos apropriados com autoridades relevantes, grupos de interesses
especiais ou outros fóruns especializados de privacidade e associações profissionais
4.3.3. São responsabilidades da área de privacidade as seguintes atividades:

a) Realizar a gestão dos processos de mapeamento e interface com as diversas áreas
da americanas s.a. que realizam tratamento de dados pessoais para elaboração,
revisão e validação dos registros de processamento de dados. pessoais e relatórios
de impacto;
b) Orientar e dar suporte aos gestores de área na implementação de novas atividades
ou adequação de atividades existentes para garantir o cumprimento da política de
privacidade.
c) Responder, perante ao DPO, por todos os aspectos de segurança e gestão de riscos
da americanas s.a. em relação à Privacidade e Proteção de Dados;
d) Apoiar e validar as auditorias internas e externas de Privacidade e Proteção de
Dados realizadas por clientes ou órgãos reguladores
e) Avaliar violações de privacidade e apoiar na execução de ações corretivas, com o
apoio do Comitê de Privacidade, quando aplicável
f) Coordenar as reuniões de trabalho do grupo técnico/operacional no tratamento de
violações de privacidade
g) Reportar os casos de violação ao DPO
h) Reportar as atividades, resultados, indicadores e decisões realizadas sobre o
Programa de Privacidade à Alta Administração;
i) Coordenar as atividades no modelo de governança de privacidade e proteção de
dados, e atuar junto as áreas das companhias no processo de transformação e
constante adaptação às necessidades internas e regulatórias.
j) Disseminar o programa de privacidade e proteção de dados da americanas s.a.,
esclarecendo regras, conceitos e obrigações;
k) Garantir que todos os associados recebam o treinamento regular em relação à
privacidade e proteção de dados;

l) Compartilhar os riscos e gaps identificados nos fluxos de dados mapeados nos

registros de processamento com a área de Riscos e Controles Internos para tratativa.
m) Definir as medidas cabíveis nos casos de descumprimento da Política.
4.3.4. Comitê de Privacidade e Proteção de Dados

O Comitê de Privacidade e Proteção de Dados da americanas s.a. é coordenado pelo
DPO e constituído minimamente por associados nomeados das áreas de Jurídico,
Riscos e Controles Internos, Privacidade, Segurança da Informação e Tecnologia da
Informação podendo ainda utilizar especialistas, internos ou externos, para apoiarem
nos assuntos que exijam conhecimento técnico específico.
Deverá o Comitê reunir-se formalmente uma vez a cada mês, sendo que reuniões
adicionais devem ser realizadas sempre que for necessário deliberar sobre algum
incidente grave ou definição relevante para a americanas s.a..
Cabe ao Comitê:
a) Propor atualizações deste documento e documentos complementares, que tratem
da privacidade de dados, buscando a melhoria contínua das diretrizes sobre
privacidade e proteção de dados da americanas s.a.;
b) Apoiar iniciativas de Proteção de Dados aplicáveis a toda a americanas s.a.;
c) Apoiar o DPO na decisão sobre os incidentes de violação de dados pessoais;
d) Difundir a cultura de Privacidade de dados na americanas s.a..
4.3.5. Gestores das áreas de negócio

O Gestor de área é responsável por:
a) Assegurar que Política de Privacidade, regulamentos e procedimentos da
americanas s.a. sejam implantadas e mantidas de acordo com os preceitos
definidos para a sua área de atuação.
b) Realizar as suas atividades laborais, administrar os recursos, processos e
informações sob sua responsabilidade conforme as diretrizes desta Política.
c) Notificar ao gestor de privacidade sobre qualquer atividade sob a sua
responsabilidade que esteja em desconformidade com esta política.
d) Analisar possíveis lacunas de privacidade existentes nos processos e sistemas, sob
sua responsabilidade, notificar à área de Privacidade e alterar os processos para
garantir a conformidade com as políticas, observadas as orientações do Gestor de
Privacidade.

e) Notificar ao Gestor de Privacidade a previsão de implantação de novos processos e

sistemas que envolvam o tratamento de dados pessoais e implementá-los em
conformidade com as políticas, observadas as orientações da área de Privacidade.
f) Notificar à área de Privacidade a alteração de processos e sistemas que envolvam
ou venham a envolver o tratamento de dados pessoais após a alteração e para
garantir a conformidade com as políticas, observadas as orientações da área de
Privacidade.
g) Envolver a área de privacidade em novas atividades que envolvam dados pessoais,
para que sejam implementadas em conformidade com a política de privacidade.
h) Seguir as orientações da área de privacidade para garantir a conformidade com a
política de privacidade.
i) Fornecer as informações necessárias para a elaboração dos Registro de Atividades
de Processamento e Relatórios de Impacto à Proteção de Dados para os processos
referentes ao tratamento de dados pessoais sob sua gestão e informar à área de
privacidade as atualizações no tratamento de dados pessoais dos processos
existentes.
4.3.6. Associados e prestadores de serviço

a) Conhecer e cumprir as diretrizes estabelecidas nesta Política, bem como as boas
práticas que contribuem para a privacidade de dados na americanas s.a..
b) Realizar as suas atividades laborais, administrar os recursos, processos e
informações sob sua responsabilidade conforme as diretrizes desta Política.
2. Os associados e prestadores de serviço são responsáveis por:
a) Informar ao seu gestor a alteração na condução de qualquer atividade que envolva
o tratamento de dados pessoais nos processos que executa.
b) Informar ao seu gestor sobre qualquer atividade que esteja em desconformidade
com a política de privacidade.
4.3.7. Stakeholders
Os Stakeholders são responsáveis por:
a) Conhecer e cumprir as diretrizes estabelecidas nesta Política, bem como as boas
práticas que contribuem para a privacidade de dados na americanas s.a..
b) Informar ao DPO ou área de privacidade, através de um dos canais de
comunicação disponíveis, sobre qualquer atividade que esteja em
desconformidade com a política de privacidade.
4.3.8. Frentes específicas de privacidade e proteção de dados

Além das áreas que atuam diretamente no processo de Privacidade e Proteção de
Dados Pessoais mencionadas acima, as Companhias dispõem de outros mecanismos
e estruturas responsáveis pelo monitoramento específico ou que oferecem subsídio e
insumos relevantes para garantir a Privacidade e Proteção de dados, sendo eles:
4.3.8.1. Investigações
A área de Investigações da americanas s.a. é responsável pelas apurações
de casos suspeitos de fraudes e de outras ações que possivelmente contrariem os
valores, Códigos de Ética e Conduta e demais Políticas das Companhias. Sempre
que identificadas violações de privacidade e proteção de dados durante
investigações, a área de privacidade será informada para tratativa.
4.3.8.2. Segurança da Informação
O Departamento de Segurança da Informação atua continuamente na
prevenção, identificação e monitoramento de desvios, vulnerabilidades e
ocorrências que envolvam os ativos de tecnologia e de informação das
Companhias.
Sempre que identificadas previamente a possibilidade de violação de
privacidade e proteção de dados pessoais, ou sempre que forem identificadas
violações de privacidade e proteção de dados pessoais, a área de privacidade será
informada para atuação conjunta na prevenção ou solução das violações.
4.3.8.3. Comunicação Corporativa
A área responsável pela Comunicação Corporativa atua monitorando
notícias, publicações e movimentações e tendências em redes sociais que possam
trazer impactos negativos nessa dimensão, como um aumento no número de
reclamações, percepções negativas por parte do público e da sociedade ou ainda
a perda de clientes.
Sempre que identificadas situações que remetam a violação de privacidade
e proteção de dados, a área de privacidade será informada para avaliação e
consequente tratativa, conforme o caso.
4.3.8.4. Superintendência Jurídica
A Superintendência Jurídica atua de forma constante para assegurar a
legalidade da condução dos negócios das Companhias, buscando prevenir riscos
associados às leis e políticas externas, como a Lei Geral de Proteção de Dados
Pessoais, por exemplo, e também inerentes às políticas dos sites das Companhias
(Política de Privacidade, Termo de Uso, dentre outras), aos Códigos de Ética e
Conduta e às demais políticas relacionadas.


4.3.8.5. Gente
A área de Gente é responsável por divulgar e disseminar a Missão, a Visão
e os Valores da americanas s.a., bem como o Código de Ética e Conduta, o que é
feito desde o processo de admissão e ao longo das etapas de desenvolvimento dos
associados por meio de treinamentos e outras iniciativas.
4.3.8.6. Compliance
Essa área foca nos controles de atividades regulatórias de antifraude e
anticorrupção.
privacidade e proteção de dados, ou sempre que forem identificadas violações de
privacidade e proteção de dados, a área de privacidade será informada para
tratativa.
4.3.8.7. SAC
O serviço de atendimento ao consumidor (SAC) é o principal canal de
comunicação com o cliente, ouvindo constantemente a voz do cliente e
identificando os principais problemas e dificuldades enfrentadas pelo cliente.
4.3.8.8. Tecnologia da Informação
A área de Tecnologia da Informação provê ferramentas e informações à
todas as companhias permitindo melhor gestão da informação e do negócio.
4.3.8.9. Ouvidoria

A ouvidoria é também um canal de comunicação com o cliente, ouvindo

constantemente a voz do cliente e identificando os principais problemas e
dificuldades enfrentadas pelo cliente.
4.3.8.10. Auditoria Interna
A área de Auditoria Interna é responsável pela avaliação dos controles
internos das companhias, comprovando a qualidade dos registros e sua segurança,
proporcionando análises, recomendações e comentários objetivos, acerca das
atividades examinadas.
privacidade e proteção de dados, ou sempre que forem identificadas violações de
privacidade e proteção de dados, a área de privacidade será informada para
tratativa.
4.3.8.11. Governança Corporativa
A Governança Corporativa utiliza um conjunto de práticas para fortalecer a
organização e alinhar os interesses do negócio, dos acionistas e demais
stakeholders, além de conciliar esses interesses com os órgãos de fiscalização e
regulamentação.
4.4. Requisitos para tratamento de dados pessoais

4.4.1. Princípios
Todo o tratamento de dados pessoais na americanas s.a. deve atender aos seguintes
princípios:
a) Coleta para um fim – Os Dados Pessoais podem ser coletados apenas para
explícitos propósitos legítimos.
b) Objetivo e uso especificados no momento da coleta – Os objetivos para os quais
os dados pessoais são coletados devem ser especificados no momento da coleta de
dados. O tratamento adicional dos Dados Pessoais coletados não pode ser feito de
uma maneira que é incompatível com os propósitos iniciais.

POLÍTICA AMER-POL-PRIV-001 01 10 de
14
c) Limitar o tratamento ao necessário – Os dados pessoais devem estar sempre

limitados ao que é necessário e relevante em relação às finalidades para as quais
os dados são tratados. Os dados pessoais não devem ser mantidos por um período
maior do que o necessário.
d) Preciso, completo e atualizado – Os Dados Pessoais devem ser sempre precisos,
completos e atualizados.
e) Segurança, integridade e confidencialidade – Todos os Dados Pessoais devem
ser tratados de maneira que garanta um nível adequado de segurança apropriada
dos Dados Pessoais, incluindo a proteção contra acesso e tratamento não autorizado
ou ilegal e contra perda acidental, destruição ou dano, usando as medidas técnicas
ou organizacionais apropriadas.
f) Transparência – Todo o tratamento de dados pessoais deve ser feito de maneira
transparente para o titular dos dados e com um princípio orientador geral de abertura
sobre os desenvolvimentos, práticas e políticas com relação aos dados pessoais.
Garantindo aos titulares de dados o direito de acessar seus dados pessoais.
4.4.2. Requisitos
O tratamento de Dados Pessoais somente pode ser realizado mediante o cumprimento
de pelo menos uma das seguintes bases legais:
a) Execução de contrato ou procedimento preliminares ao contrato – Os dados
pessoais podem ser tratados para criar, executar ou encerrar uma relação contratual
com ele. Nas relações de trabalho, os dados pessoais podem ser tratados, se
necessário, para iniciar, executar e encerrar o contrato de trabalho. Os Dados
Sensíveis podem ser tratados para os fins de cumprimento das obrigações e exercer
direitos específicos da americanas s.a. ou do Titular dos Dados no campo do direito
do trabalho e da proteção social, na medida em que autorizado por lei ou por um
acordo coletivo de trabalho.
b) Consentimento do Titular de Dados – O consentimento só é válido se é dado
livremente e é inequívoco. Cada consentimento deve ser documentado
individualmente por escrito ou em formato eletrônico. Antes de o consentimento ser
dado, o Titular de Dados deve ter sido informado sobre todas as circunstâncias
relevantes em uma linguagem simples e clara. O titular dos dados deve sempre ter
acesso a um procedimento simples e eficiente que lhe permita revogar o
consentimento para tratamento futuro.
c) Interesse legítimo da americanas s.a. – O tratamento necessário para a
americanas s.a. enquanto controlador dos dados, tendo como premissa a existência

14
de Relatório de Impacto de Proteção de Dados Pessoais aprovado antes do

tratamento de dados pessoais com base no interesse legítimo da americanas s.a..
d) Cumprimento de obrigação legal ou regulatória - O tratamento determinado ou
permitido pela legislação brasileira.
e) Emergência - O tratamento permitido, excepcionalmente, para proteger a vida, a
saúde ou segurança do titular de dados.
f) Garantir direitos na esfera processual - Exercício regular de direito e defesa em
processos e procedimentos administrativos ou judiciais.
g) Prevenção à fraude - Realizar o tratamento de Dados Pessoais Sensíveis para
prevenção à fraude e segurança, inclusive quanto ao disposto na legislação
pertinente.
4.4.3. Compartilhamento de dados

As informações coletadas são tratadas dentro da americanas s.a. e somente serão
compartilhadas com diferentes entidades ou contrapartes externas quando forem
estritamente necessárias.
O compartilhamento de Dados Pessoais para uma Empresa, organização ou pessoa
que não faz parte da americanas s.a. está sujeito a regras específicas.
Os destinatários dos compartilhamentos serão Operadores de dados ou
Controladores de Dados.
Em todo compartilhamento de Dados Pessoais, o destinatário deve fornecer garantias
adequadas sobre o tratamento dos dados compartilhados de acordo com as leis
aplicáveis.
Quando o destinatário for Controlador, o compartilhamento requer o consentimento
específico do titular para esse fim, devidamente registrado para garantir a
conformidade com a Lei.
Quando o destinatário for Operador, deve fornecer garantias adequadas de que o
tratamento seja rigorosamente realizado conforme as instruções fornecidas pela
americanas s.a.
O compartilhamento sempre deve ser formalizado através de contrato entre as partes.
4.5. Direitos do titular dos dados

14
O Titular de Dados tem direito ao acesso facilitado às informações sobre o tratamento de

seus dados pela americanas s.a., em linguagem simples e clara. Mediante requisição
formal, o Titular de Dados pode exercer os seguintes direitos:
a) Confirmação da existência de tratamento;
b) Acesso aos dados;
c) Correção de dados incompletos, inexatos ou desatualizados;
d) Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou
tratados em desconformidade com o disposto na Lei;
e) Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante
requisição expressa, de acordo com a regulamentação da autoridade nacional,
observados os segredos comercial e industrial;
f) Eliminação dos dados pessoais tratados com o consentimento do titular;
g) Informação das entidades públicas e privadas com as quais o controlador realizou
uso compartilhado de dados;
h) Informação sobre a possibilidade de não fornecer consentimento e sobre as
consequências da negativa;
i) Revogação do consentimento.
4.6. Diretrizes de privacidade de dados

Para fins desta Política ficam estabelecidas as seguintes diretrizes gerais:

14
4.6.1. A Privacidade e Proteção dos dados da americanas s.a. deve ser apoiada por um
Sistema de Gestão da Privacidade da Informação (SGPI).
4.6.2. Devem ser definidas métricas e indicadores que permitam controlar, auditar e
elevar o nível de maturidade e conformidade da americanas s.a. em privacidade de
dados.
4.6.3. Comprometimento: Todos os Associados, Estatutários e Prestadores de Serviço do
americanas s.a., em qualquer vínculo, função ou nível hierárquico, são responsáveis
pela proteção e salvaguarda dos dados pessoais que tenham acesso, respeitando
as Políticas e mecanismos de controle e proteção implantados.
4.6.4. Gestão de Riscos: Todos os processos, produtos e serviços desenvolvidos, que
possam comprometer a privacidade de dados, devem ser submetidos a um processo
formal de análise, avaliação e tratamento de riscos, antes da sua aquisição,
implementação e disponibilização, visando atingir o grau de segurança adequado
para a americanas s.a.
4.6.5. Auditoria e Conformidade: A americanas s.a. reserva-se o direito de auditar
periodicamente a prática de privacidade e proteção de dados, de forma a avaliar a
conformidade das ações de seus Associados e Prestadores de Serviço em relação
ao estabelecido pela Política de Privacidade da americanas s.a. e pela legislação
aplicável.
4.6.6. Treinamento: Todos os Associados, Prestadores de Serviço e Estatutários devem
conhecer esta Política e serem capacitados anualmente por meio de campanhas de
conscientização e treinamentos de acordo com suas funções. Devem ter ciência
desta Política, garantindo assim maior efetividade e eficácia das ações de
privacidade de dados da americanas s.a.
4.7. Violações da política corporativa de Privacidade

4.7.1. Em caso de violação desta Política, a área de privacidade, o DPO e a diretoria
responsável devem ser imediatamente notificados.
4.7.2. O descumprimento das diretrizes previstas nesta Política é passível de sanções
administrativas, conforme regimento interno da área de Recursos Humanos, e legais,
conforme legislação vigente.
Nota: O não cumprimento pelos Stakeholders das diretrizes e regras estabelecidas, seja
isolada ou cumulativamente, poderá ensejar, de acordo com a infração cometida.
4.8. Gerenciamento de violações

14
As violações ou incidentes que envolvam Segurança da Informação serão tratados de

acordo com os procedimentos de Segurança e Plano de Contingência.
As violações ou incidentes que envolvam Privacidade e dados pessoais serão tratados de
acordo com os procedimentos do Plano de respostas a incidentes.
Todos os relatórios às autoridades de proteção de dados sobre violações e testes
periódicos relativos à controles de privacidade devem ser realizados pelo Encarregado de
Dados.
5. Referências
 Código de Ética e Conduta
 ABNT NBR ISO/IEC 27701:2019
 LEI 13.709/2018 GERAL DE PROTEÇÃO DE DADOS PESSOAS
6. Anexos
 Termo de Ciência Individual de Compromisso e Privacidade
 TER-PRIV-01 - Termo - Privacidade e Proteção de Dados
7. Vigência
Esta política entra em vigor na data da sua publicação.
O conjunto de documentos que compõe a Política de Privacidade e Proteção de Dados devem
passar por revisões anuais e análises críticas periódicas, ou sempre que ocorrer fato ou evento
relevante que motive sua revisão antecipada.
8. Histórico das Revisões
Controle Descrição
Revisão & Data: 21/07/2021 – Versão inicial
01 – 16/08/2021
Elaborado por:
Comitê de Privacidade Revisão 01 – Incluídas as referências ao Plano de contingência,

Aprovador por: Plano de resposta a incidentes e testes periódicos.
DPO

AMER POL PRIV 001 Política de Privacidade

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

AMER POL PRIV 001 Política de Privacidade

Enviado por

Direitos autorais:

Formatos disponíveis

Tipo de Documento: Código: Revisão: Página:

 Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de

Classificação: Informação Reservada – Uso Interno

4.2. Estrutura de privacidade e proteção de dados da americanas s.a.

4.3. Atribuições e responsabilidades

4.3.2. Encarregado pelo tratamento de dados pessoais – DPO

Classificação: Informação Reservada – Uso Interno

c) Orientar os associados e os contratados da americanas s.a. a respeito das práticas

4.3.3. São responsabilidades da área de privacidade as seguintes atividades:

Classificação: Informação Reservada – Uso Interno

l) Compartilhar os riscos e gaps identificados nos fluxos de dados mapeados nos

4.3.4. Comitê de Privacidade e Proteção de Dados

4.3.5. Gestores das áreas de negócio

Classificação: Informação Reservada – Uso Interno

e) Notificar ao Gestor de Privacidade a previsão de implantação de novos processos e

4.3.6. Associados e prestadores de serviço

4.3.8. Frentes específicas de privacidade e proteção de dados

Classificação: Informação Reservada – Uso Interno

Sempre que identificadas previamente a possibilidade de violação de

Classificação: Informação Reservada – Uso Interno

A ouvidoria é também um canal de comunicação com o cliente, ouvindo

4.4. Requisitos para tratamento de dados pessoais

Classificação: Informação Reservada – Uso Interno

c) Limitar o tratamento ao necessário – Os dados pessoais devem estar sempre

Classificação: Informação Reservada – Uso Interno

de Relatório de Impacto de Proteção de Dados Pessoais aprovado antes do

4.4.3. Compartilhamento de dados

4.5. Direitos do titular dos dados

Classificação: Informação Reservada – Uso Interno

O Titular de Dados tem direito ao acesso facilitado às informações sobre o tratamento de

4.6. Diretrizes de privacidade de dados

Classificação: Informação Reservada – Uso Interno

4.7. Violações da política corporativa de Privacidade

4.8. Gerenciamento de violações

Classificação: Informação Reservada – Uso Interno

As violações ou incidentes que envolvam Segurança da Informação serão tratados de

8. Histórico das Revisões

Comitê de Privacidade Revisão 01 – Incluídas as referências ao Plano de contingência,

Classificação: Informação Reservada – Uso Interno

Você também pode gostar