07 - Norma Específica 3P de Normas Corporativas Vinculantes (NCVS)

ÁREA DE NEGÓCIOS
Norma Específica
3P de Normas
Corporativas
Vinculantes
(NCVs)
ÁREA DE CONFORMIDADE
1. Proprietário
Diretor Corporativo de Conformidade
2. Âmbito e Escopo
2.1. Alcance objetivo
• Estes LCVs aplicam-se aos TIDs e ao Processamento realizado por importadores de dados
como resultado de tais TIDs. As Transferências para Entidades NCV e o Processamento que
efetuam como resultado de tais Transferências também se aplicam a partir de agora.
2.2. Alcance geográfico
2.2.1. Entidades e pessoas sujeitos às NCVs

• Estas NCVs são vinculativas a todas as Entidades NCV e seus funcionários. A lista atualizada
das Entidades da NCV está anexada como Anexo 1.
• A estrutura do grupo PROSEGUR está prevista na URL https://www.prosegur.com/en/about.
Os dados de contato das Entidades NCV são fornecidos, por país, nas URLs
https://www.prosegur.com/en/legal-notice e https://www.prosegur.com/en/privacy-policy.
• O não cumprimento de qualquer uma das obrigações contidas nas presentes NCVs pelos
Funcionários será considerado incumprimento das instruções do GRUPO PROSEGUR e/ou das
Entidades NCVs em sua qualidade de empregador ou empresário, reservando -se
o PROSEGUR e/ou as Entidades NCVs o direito de exercer as ações legais pertinentes
(incluindo, como exemplo, entre outras, as ações trabalhistas, civis administrativas e/ou penais),
devido aos danos e/ou prejuízos causados em consequência de tal incumprimento, de acordo
com o estabelecido no convênio coletivo e/ou nas cláusulas contratuais aplicáveis.
2.2.2. Dados pessoais e atividades de Processamento de dados

pessoais subordinadas às NCV
• As atividades de Dados Pessoais, ITT e Processamento sujeitas aos NCVs são aquelas listadas
no Mapa Internacional de Transferência de Dados no Anexo 2.
3. Finalidade
• No âmbito das relações comerciais entre as diferentes empresas que fazem parte do Grupo
PROSEGUR, Processamento de Dados Pessoais, no que diz respeito ao qual a PROSEGUR
está firmemente comprometida em cumprir e respeitar as leis de privacidade, e respeitar
a proteção de Dados Pessoais que sejam processados no curso de sua atividade, com
o objetivo principal de proteger os direitos e liberdades fundamentais das pessoas naturais,
especialmente seu direito à privacidade e confidencialidade.
Todos os conteúdos deste documento (sendo entendido como tais, a título de indicação, informações, nomes comerciais, símbolos
SISTEMA 3P
Classificação - Interna
identificativos, textos, fotografias, gráficos, imagens, ícones, tecnologia, links e outros materiais audiovisuais ou de áudio, bem como seu
NE/GLO/CN//01
desenho gráfico) são propriedade intelectual do Grupo Prosegur ou de terceiros, sem que possa ser considerado como transferid o ao
Ed. 01
destinatário qualquer direito de exploração reconhecido pela norma vigente referente à propriedade intelectual e industrial sobre eles, exceto
13/05/2021
aqueles que sejam estritamente necessários para consultar o documento disponibilizado. A Prosegur não assume nenhuma obriga ção de
Página 1
verificar a autenticidade, exatidão ou atualização das informações fornecidas por meio do documento.
• Para cumprir esse compromisso e suas obrigações em relação à proteção de dados,

a PROSEGUR estabeleceu essas Normas Corporativas Vinculantes (a partir de agora,
as "NCVs") como parte integrante do Contrato de NCVs, que visa regular os ITDs que possam
ocorrer dentro das entidades sob seu escopo e que estão detalhadas no Anexo 1 dessas NCVs.
4. Elaboração e Aprovação
Elaborado por: Encarregado da Proteção de Dados

Área Jurídica Global Javier Aparicio Alfaro
Revisado por: Escritório de Transformação de Processos Diego Rioja Pérez
Diretor Corporativo de Conformidade
Aprovado por: Comitê de Proteção de Dados Data: 13/05/2021
NE_GLO_LEG_05_Norma Específica 3P de
Substitui: Edição: 02 Data: 17/11/2020
Normas Corporativas Vinculantes (NCVs)
5. Explanação
5.1. Introdução
• Prosegur Compañía de Seguridad España, SA (doravante, PROSEGUR) é a empresa
controladora de um grupo de empresas, sendo líder mundial no setor de segurança privada.
Com nossas quatro linhas comerciais: alarmes, segurança, gestão de caixa e terceirização de
processos de negócios, apelidado de AVOS, oferecemos às empresas e residências uma
segurança em que você pode confiar, com base nas soluções mais avançadas do mercado.
• Alarmes: A Prosegur Alarmes dispõe de uma grande variedade de produtos que ajudam
a aprimorar a segurança e a tranquilidade das famílias e empresas. Os alarmes de Tripla
Segurança da Prosegur proporcionam os sistemas mais avançados do mercado. A linha da
empresa vai desde sistemas de alarme com verificação de vídeo até a automação de espaços
internos e externos, com produtos sempre personalizados e que nos tornam referência global
de segurança.
• Segurança: A Prosegur Security oferece serviços completos de segurança integrais de alto

valor agregado por meio da combinação das últimas tecnologias com os melhores profissionais.
A empresa está sempre focada em inovação tecnológica, integrando-a à cadeia de valor de
cada segmento de negócio.
O negócio de segurança inclui vigilância tripulada tradicional e serviços auxiliares,

como segurança cibernética.
Esses serviços são o resultado da experiência e do conhecimento das áreas de risco

dos clientes.
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 2
• Gestão de caixa: A Prosegur Cash abrange o todo ciclo de caixa completo e processa mais de
450 bilhões de euros por ano. Opera em mais de 500 centros em quinze países e administra
mais de 100.000 caixas eletrônicos.
A Prosegur Cash é líder global na prestação de serviços de logística e gestão de caixa, além de
serviços terceirizados para instituições financeiras, estabelecimentos varejistas, agências
governamentais e bancos centrais, casa da moeda, joalheria e outras atividades empresariais
em todo o mundo. Principalmente nos setores bancário e de distribuição.
• AVOS: A Prosegur AVOS é o ramo de atividade que tem foco na terceirização de soluções
empresariais que cria soluções inovadoras e aposta pelas novas capacidades tecnológicas.
• Na PROSEGUR AVOS, ajudamos nossos sócios a melhorarem suas operações e se

adiantarem ao mercado, realizando os processos mais complexos e aprimorando a experiência
do cliente. Elaboramos uma proposta de valor diferencial cujo principal objetivo é aproveitar
o conhecimento adquirido ao longo dos anos e adaptá-lo às novas tendências da tecnologia
e da digitalização. Por isso, na Prosegur AVOS, nosso objetivo é proporcionar aos nossos
clientes a máxima agilidade, rastreabilidade e visibilidade em todas as tarefas realizadas no
local de trabalho.
• Estamos presentes em 25 países nos cinco continentes, onde o desafio é prestar serviços com
maior valor agregado e ocupar uma posição de destaque no setor de segurança privada em
cada mercado.
• Para isso, estamos em busca de uma implantação geográfica sólida com base em um modelo
de eficácia comprovada. Além da nossa conceptualização global, também agimos localmente.
Operamos de acordo com as especificidades de cada mercado, considerando que nosso setor
está altamente regulamentado e varia segundo a legislação de cada país.
• Além de ser líder mundial na prestação de serviços de segurança privada, a PROSEGUR tem
um compromisso firme com a sociedade e com pessoas menos privilegiadas. Por isso, temos
uma entidade sem fins lucrativos, a Fundação Prosegur, que reflete o compromisso da
PROSEGUR em contribuir para o progresso das regiões mais desprotegidas em que atua.
A fundação apoia a educação como indiscutível impulsionador de mudança, melhoria de
deficiência intelectual e promove ações voluntárias que canalizam a solidariedade dos
profissionais da nossa empresa
Os projetos solidários que são realizados por meio da Fundação Prosegur, nas áreas de
educação, inclusão social, voluntariado corporativo e cultura, são progressivamente
implementados nos diferentes países onde atuamos, considerando critérios de sustentabilidade,
transparência e replicação de práticas recomendadas.
• A natureza global da empresa leva a PROSEGUR a se esforçar na regularização das

transferências internacionais de dados que possam ocorrer entre as diferentes entidades do
grupo localizadas em diversas regiões (Europa, Latam, EUA e Resto do Mundo) por meio de
Normas Corporativas Vinculantes (doravante, NCVs) definidas para a finalidade.
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 3
5.2. Definições
Para efeitos deste documento, os termos abaixo têm os significados a seguir.
• "Acordo de NCVs": documento que visa estabelecer a estrutura jurídica comum para
a regulamentação dos TDIs que venham a ocorrer entre as entidades no seu âmbito
de aplicação.
• "Autoridade de Controle": autoridade pública independente, estabelecida por um membro do

Espaço Econômico Europeu, responsável pela supervisão da implementação da Lei Europeia
de Proteção de Dados.
• "Categorias especiais de dados": dados pessoais que façam referência à ideologia de uma
pessoa, filiação sindical, religião, crenças, origem racial ou étnica, saúde (física ou mental,
incluindo a prestação de serviços de saúde, que revelem informações sobre o estado de saúde
de uma pessoa) ou vida sexual. Esta categoria especial também inclui dados genéticos
(relacionados com as características genéticas herdadas ou adquiridas de uma pessoa física
que forneçam informações únicas sobre a fisiologia ou saúde dessa pessoa, obtidas
especificamente da análise de uma amostra biológica da pessoa) e dados biométricos (obtidos
a partir de Processamento técnico específico, relacionado com as características físicas,
fisiológicas ou comportamentais de uma pessoa física que permitem ou confirmam
a identificação única da pessoa, tais como imagens faciais ou dados datiloscópicos).
• "Dados pessoais" ou "Dados": qualquer informação relacionada a pessoas físicas,

identificadas ou identificáveis ("Titular dos Dados").
• "Encarregado da Proteção de Dados": pessoa responsável por assessorar os Responsáveis

pelo Processamento de dados e Gerentes de processamento em suas obrigações ao abrigo
das leis de proteção de dados pertinentes, por supervisionar o cumprimento dessas obrigações
e agir como ponto de contato para as autoridades de supervisão.
• "Destinatário": pessoa física ou jurídica, autoridade pública, agência ou outro órgão ao qual os
dados pessoais sejam divulgados.
• "Funcionários": qualquer pessoa, com dedicação exclusiva ou temporária, interna ou externa,

que preste serviços e/ou desenvolva uma atividade profissional no âmbito de uma empresa do
Grupo PROSEGUR.
• "Entidade NCV": entidade pertencente ao GRUPO PROSEGUR no âmbito da aplicabilidade do

Acordo de NCVs.
• "Gerente de processamento": a pessoa física ou jurídica, autoridade pública, serviço ou outro

órgão que processar, sozinho ou junto com outros, os dados pessoais em nome do
Responsável.
• "Espaço Econômico Europeu" ou "EEE": composto pelos estados-membros da União

Europeia, juntamente com Liechtenstein, Islândia e Noruega.
• "Estados-membros": os países que fazem parte da União Europeia.
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 4
• "Exportador(a) de Dados": entidade NCV estabelecida no Espaço Econômico Europeu que

realiza uma TID.
• "Importador(a) de Dados": entidade NCV estabelecida ou sediada em outro país.
• "Titular dos dados": a pessoa que é titular dos Dados Pessoais que estão sendo processados.
• "Normas europeias": a lei da União Europeia e dos Estados-Membros.
• "Normas Europeias de Proteção de Dados": o RGPD e as leis pertinentes de proteção de dados

dos estados-membros.
• Normas Corporativas Vinculantes "NCVs" ou "BCRs": são instrumentos compostos por

políticas legalmente vinculantes em um grupo de empresas ou empreendimento conjunto,
com o objetivo de oferecer garantias suficientes quando os dados pessoais são transferidos.
• "PROSEGUR": Prosegur Compañía de Seguridad España, SA, entidade matriz do

Grupo Prosegur.
• "Grupo PROSEGUR": É o conjunto das entidades que fazem parte do grupo de empresas
PROSEGUR, dentro ou fora do âmbito do de Acordo de NCVs.
• "RGPD" ou "Regulamento Geral de Proteção de Dados": regulamentação (UE) 2016/679 do

Parlamento Europeu e do Conselho, de 27 de abril de 2016, sobre a proteção de pessoas físicas
no que diz respeito ao Processamento de dados pessoais e sobre a livre circulação de tais
dados e revoga a Diretriz 95/46/CE (Regulamento Geral de Proteção de Dados).
• "Responsável pelo Processamento de dados" ou "Responsável": a pessoa física ou jurídica,

de natureza pública ou privada, serviço ou outro órgão que determina sozinha ou juntamente
com outros, as finalidades e os meios do Processamento.
• "País(es) terceiro(s)": qualquer país que não faça parte do Espaço Econômico Europeu.
• "Processamento": qualquer operação ou conjunto de operações realizadas com respeito

a Dados Pessoais, como coleta, registro, organização, estruturação, conservação, adaptação,
modificação, consulta, uso, divulgação ou destruição, entre outras.
• "Transferência internacional de dados" ou "TID": comunicado de dados pessoais de um

Exportador de dados para Importador de dados.
• "Transferência(s) posterior(es)": Divulgar dados pessoais de um importador de dados para

destinatários, que podem ou não pertencer ao Grupo PROSEGUR.
• "Brecha(s) da segurança de dados pessoais": evento que provoque a destruição, perda ou

alteração acidental ou ilícita de dados pessoais transmitidos, armazenados ou processados de
outra forma, ou a divulgação ou acesso não autorizados a tais dados.
• "Avaliação do impacto de privacidade" o "Avaliação do impacto da proteção de dados":

é uma análise detalhada de uma ou mais operações de processamento de Dados Pessoais
semelhantes, com fim de identificar e avaliar os riscos associados ao Processamento
e determinar as medidas a serem tomadas para evitá-las ou atenuá-las.
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 5
5.3. Garantia no Processamento de dados pessoais
5.3.1. Princípios aplicáveis ao Processamento de dados pessoais

• O Processamento de dados pessoais deverá ser realizado de acordo com
os seguintes princípios:
5.3.1.1 Princípio de legalidade

• Os Dados Pessoais devem ser coletados e processados de legal. O Processamento deve ser
legal e cumprir pelo menos as seguintes condições:
a) as partes interessadas devem ter dado o seu consentimento para o Processamento dos
seus Dados Pessoais para um ou mais fins específicos.
b) O Processamento deve ser necessário para a celebração de um contrato de que a Parte

Interessada faça parte, ou para a aplicação de medidas pré-contratuais a pedido da Parte
Interessada (para manter uma relação comercial, trabalhista ou administrativa);
c) o Processamento de dados é necessário para cumprir uma obrigação legal aplicável ao

Responsável pelo tratamento de dados. A obrigatoriedade legal deve ser clara e precisa,
e sua aplicação deve ser previsível para os destinatários.
d) O Processamento deve ser necessário para os fins dos legítimos interesses buscados
pelo Responsável pelo tratamento dos dados ou por um terceiro, desde que tais
interesses não estejam subordinados aos interesses ou direitos e liberdades
fundamentais da Parte Interessada que requeiram a Proteção de Dados Pessoais,
em particular quando o titular dos dados é uma criança.
5.3.1.2 Lealdade e transparência

• A coleta e o processamento de dados pessoais devem ser realizados de forma justa
e transparente para as partes interessadas. As partes interessadas devem ser informadas das
circunstâncias relativas ao Processamento dos seus dados pessoais de forma acessível
e compreensível, em linguagem clara e simples, em conformidade com o estabelecido nas
Normas europeias de proteção de dados.
5.3.1.3 Princípio de limitação da finalidade:

• Os dados pessoais somente poderão ser coletados e processados para finalidades específicas,
explícitas e legítimas, e não serão processados posteriormente de modo incompatível com tais
finalidades. Eles só serão coletados e processados para fins específicos, explícitos e legítimos,
e não serão processados de forma alguma incompatíveis com tais propósitos.
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 6
5.3.1.4 Princípio de minimização de dados:

• Somente devem ser coletados aqueles dados pessoais que sejam adequados, pertinentes
e limitados ao necessário em relação às finalidades para as quais são obtidos. A minimização
dos Dados deverá ser aplicada levando em consideração o número de Dados coletados e o
alcance do seu processamento e o período em que serão armazenados. O acesso aos dados
também deverão ser minimizados, de tal forma que apenas os Funcionários ou o Destinatário
que precisarem ter conhecimento deles para cumprir suas obrigações, tenham acesso a eles
("need to know basis" - segundo o que é preciso saber).
5.3.1.5 Princípio de exatidão:

• Os dados pessoais processados devem ser precisos e, se necessário, atualizados. Serão
tomadas todas as medidas necessárias para garantir que os dados pessoais inexatos,
em relação às finalidades que justificam o seu processamento, possam ser suprimidos
ou retificados sem demora.
5.3.1.6 Princípio de limitação no prazo de conservação:

• Os dados pessoais devem ser mantidos em um formato que permita a identificação das Partes
Interessadas e por um período não superior ao necessário para cumprir os propósitos para os
quais foram coletados, evitando abusos que violem os demais princípios relacionados
ao Processamento.
5.3.1.7 Princípio de integridade e confidencialidade

• Devem ser adotadas medidas de segurança adequadas para proteger os dados pessoais que
estejam sujeitos ao Processamento, incluindo a sua proteção contra o acesso não autorizado
ou ilegal e contra a sua perda, destruição ou dano acidental.
5.3.1.8 Princípio de responsabilidade proativa:

• As Entidades NCVs deverão se responsabilizar, proativamente, pelo cumprimento e aplicação
de todos os princípios, direitos e obrigações previstos nas normas europeias de proteção de
dados, definindo os meios para serem alcançados de acordo com os riscos que os
Processamentos de dados possam representar para os direitos e liberdades dos Titulares dos
dados. Do mesmo modo, deverão ser capazes de demonstrar o cumprimento de tais princípios,
direitos e obrigações.
5.3.1.9 Proteção dos dados desde o projeto e por padrão

• Tendo em conta o princípio da proteção de dados por projeto e por padrão, o Processamento
deve, desde o início, integrar as medidas técnicas e organizacionais que permitam os princípios
contidos na Lei Europeia de Proteção de Dados. Para essa lei ser aplicada efetivamente, os
requisitos que devem ser cumpridos e os direitos das Partes Interessadas devem ser protegidos.
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 7
• Medidas também devem ser implementadas para fornecer, por padrão, mais proteção de
privacidade. Por padrão, essas medidas irão garantir que somente os Dados Pessoais
necessários para cada um dos propósitos específicos do Processamento sejam efetivamente
processados, levando em conta a quantidade de Dados Pessoais coletados, o escopo do
Processamento, o período de retenção e a acessibilidade. Devem também garantir que, por
padrão, os Dados Pessoais não sejam acessíveis, sem a intervenção do indivíduo, a um número
indeterminado de pessoas físicas.
• Em outras palavras, a partir da idealização de um projeto, sistema, ferramenta ou processo

novo, no qual o Processamento de dados pessoais seja previsto, as Entidades NCVs deverão
levar em consideração a proteção de tais dados tomando decisões e implantando medidas para
garantir o cumprimento das Normas europeias de proteção de dados e restringir
o Processamento de dados ao estritamente necessário.
5.3.2. Processamento de categorias especiais de dados

• É proibido realizar o Processamento de categorias especiais de dados, exceto se:
a) o Titular dos dados tiver dado seu consentimento para o Processamento dos seus dados
para uma ou mais finalidades específicas, exceto quando as Normas europeias
estabelecerem que o Titular dos dados não pode anular a proibição do Processamento
dos dados em questão;
b) O tratamento for necessário para cumprir as obrigações e o exercício dos direitos

específicos do Responsável pelo tratamento dos dados ou da Parte Interessa no domínio
do emprego, da segurança social e da legislação de proteção social estabelecidas nas
Normas Europeias ou em acordo coletivo de trabalho, e a referida lei forn ece
salvaguardas adequadas;
c) o Processamento de dados é necessário para estabelecer, exercer ou defender ações

e/ou reivindicações legais;
d) O Processamento seja necessário para efeitos de medicina preventiva ou ocupacional

e/ou avaliação da capacidade de trabalho do trabalhador, com base nas Normas
Europeias ou por força de um contrato com um profissional e quando os Dados Pessoais
forem processados por um profissional ou sob a sua responsabilidade ou por qualquer
outra pessoa sujeita à obrigação de sigilo profissional de acordo com as Normas
Europeias ou com as normas estabelecidas pelos organismos nacionais competentes;
e) O Processamento é necessário por motivos de interesse público no campo da saúde

pública, com base nas Normas Europeias que estabelecem medidas adequadas
e específicas para proteger os direitos e liberdades do Titular de Dados, em particular
o sigilo profissional;
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 8
5.3.3. Medidas para garantir a segurança dos dados

• As Entidades NCVs irão implementar e aplicar as medidas técnicas e organizacionais
adequadas para garantir um nível de segurança adequado, tendo em conta o estado da técnica,
os custos da aplicação, a natureza, âmbito, contexto e objetivos do Processamento, bem como
os riscos a que estão expostos os Processamentos e as repercussões que eles podem ter nos
direitos e liberdades das pessoas físicas, quer derivados da ação humana, quer do meio
físico ou natural.
• As seguintes medidas, entre outras, devem ser aplicadas:
a) a anonimização e a criptografia de Dados pessoais;
b) a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência

permanentes dos sistemas e dos serviços de Processamento de dados;
c) a capacidade de recuperar a disponibilidade e o acesso aos dados pessoais com rapidez

em caso de incidentes físicos ou técnicos;
d) Verificação, avaliação e avaliação periódicas da eficácia das medidas técnicas

e organizacionais para garantir a segurança do Processamento.
• Do mesmo modo, as Entidades NCVs deverão tomar medidas para garantir que qualquer
pessoa que agir sob sua responsabilidade e tenha acesso aos Dados pessoais somente possa
processar tais Dados seguindo as instruções do Responsável pelo tratamento de dados, exceto
se estiver obrigado a isso devido às Normas Europeias.
• Ao avaliar a adequação do nível de segurança, os riscos associados ao Processamento de

Dados Pessoais devem ser levados em conta, especificamente, como resultado da destruição
acidental ou ilegal, perda ou alteração de Dados Pessoais transmitidos, armazenados ou
processados de outra forma, ou divulgação não autorizada ou acesso a tais dados.
• A Política de Segurança da Informação da PROSEGUR, no Anexo 3, constitui o marco para

a definição, gestão, administração e implementação dos mecanismos e procedimentos
necessários para estabelecer níveis adequados de segurança para os ativos de informação da
PROSEGUR e seus clientes.
5.3.4. Modelo de governança do conformidade na Proteção

de Dados
• A PROSEGUR nomeou um Encarregado da Proteção de Dados Corporativos em nível de Grupo
PROSEGUR ("Encarregado da Proteção de Dados do Grupo"), Encarregados da Proteção de
Dados locais nos países do Espaço Econômico Europeu nos quais o Grupo PROSEGUR está
presente, e no Brasil ("Encarregado(s) da Proteção de Dados Local(is))".
• Esses profissionais integram e recebem o suporte (i) do Comitê de Proteção de Dados; (ii) do
Comitê de Privacidade (Executivo); (iii) dos Coordenadores de Processamentos de dados; (iv)
dos Responsáveis operacionais pelo Processamento de dados, (v) dos Responsáveis pela
avaliação de medidas técnicas (Control Tester), conforme estabelecido no Modelo de
Governança de Conformidade de Proteção de Dados, incluído como Anexo 4.
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 9
• A PROSEGUR também nomeou Coordenadores de Conformidade em todos os países nos quais

está presente e que estejam incluídos no processo de adoção das NCVs, os quais atuarão como
pessoas de contato e responsáveis pelo gerenciamento de reclamações por incumprimentos
do procedimento de NCVs localmente ("Coordenadores de Conformidade Locais").
5.3.5. Subcontratação
• Quando uma Entidade NCV que atua como Responsável pelo tratamento dos dados deseja
subcontratar a prestação de serviços a um Gerente de processamento (seja uma Entidade NCV
ou não), em primeiro lugar, serão utilizados somente os Processadores de Dados que derem
garantias suficientes para implementar as medidas técnicas e organizacionais adequadas de
forma que o Processamento cumpra os requisitos do RGPD e garanta a proteção dos direitos
das Partes Interessadas.
Esse processamento pelo Gerente de processamento, em nome do Responsável pelo

tratamento dos dados, será regido por um contrato ou outro ato legal de acordo com as leis
europeias, que é vinculativo para o Gerente de processamento em relação ao Responsável pelo
tratamento dos dados e que estabelece o objeto e a duração do Processamento, a natureza
e a finalidade do Processamento, o tipo de Dados Pessoais e categorias de titulares dos dados
e as obrigações e direitos do Responsável pelo tratamento dos dados. Esse contrato,
que poderá ser baseado, total ou parcialmente, em cláusulas contratuais padrão, estipulará,
no mínimo, as obrigações estabelecidas na Política de Seleção e Avaliação de Fornecedores
da PROSEGUR, anexada como Anexo 5.
• As Entidades NCVs somente irão contratar Subgerentes que ofereçam garantias suficientes de
implementar as medidas técnicas e organizacionais adequadas, de forma que o Tratamento de
dados cumpra os requisitos estabelecidos nas Normas Europeias de proteção de dados
pertinente e nas presentes NCVs, garantindo a proteção dos direitos dos Titulares dos dados.
Adicionalmente, o Subgerente do Processamento de dados, do mesmo modo que o Gerente de
processamento, não processará nem armazenará dados fora do Espaço Econômico Europeu
sem ter as garantias adequadas estabelecidas nas Normas europeias de proteção de dados.
Para os fins acima, as Entidades NCVs deverão observar e cumprir com as normas do GRUPO
PROSEGUR relativas à Seleção e avaliação de fornecedores, incluídas como Anexo 5.
• Além disso, as Entidades NCV, Encarregadas do Processamento, serão responsáveis perante

o Responsável pelo tratamento de dados, e responderá pelo cumprimento efetivo das
obrigações relativas à proteção de dados pelo Subgerente do tratamento de dados.
• O Gerente de processamento é responsável perante o Responsável pelo tratamento dos dados

e é responsável pelo cumprimento, por parte do Subgerente do Tratamento de dados,
das obrigações de proteção de dados.
• O Processador de Dados compromete-se a notificar o Responsável pelo tratamento dos dados,

com antecedência e por meios certificados, de quaisquer alterações planejadas em termos de
adição ou substituição de processadores de dados, dando ao Responsável pelo tratamento dos
dados a oportunidade de se opor a tais alterações.
• Para efeitos acima, as Entidades das NCVs devem observar e cumprir a Política de Seleção
e Avaliação de Fornecedores da Prosegur, que está anexada ao Anexo 5. As disposições da
Cláusula 5.4 destas NCVs também devem ser observadas.
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 10
5.3.6. Violações da segurança de dados pessoais

• Em caso de Violação da segurança que possa afetar os Dados Pessoais, ou se houver suspeita
da existência de tal violação, a pessoa que a tiver detectado deverá comunicá-la imediatamente
ao Encarregado da Proteção de Dados do Grupo, em conformidade com o estabelecido no
Protocolo de Gestão e Notificação de Violações de Segurança, incluído como Anexo 6.
• Entre otras obligaciones, toda violación de la seguridad de datos personales deberá ser
documentada por escrito, quedando a disposición de la(s) Autoridad(es) de Control
competente(s).
• As Entidades NCVs adotantes que agirem como Responsáveis pelo Tratamento de dados
deverão comunicar as Violações da segurança de dados pessoais à Autoridade de Controle
competente, exceto se for improvável que tais Violações da segurança de dados pessoais
representem um risco para os direitos e liberdades das pessoas físicas. O comunicado deverá
ser realizado sem atrasos indevidos e, se possível, em um prazo de 72 horas a partir de quando
o Responsável pelo tratamento de dados tiver tomado conhecimento da Violação da segurança
dos dados pessoais. Os Titulares dos dados também deverão informados, sem atrasos
indevidos, quando houver a probabilidade de que a Violação da segurança dos dados pessoais
envolva um alto risco para os seus direitos e liberdades.
• Quando uma Entidade NCV, envolvida na Violação da segurança dos dados pessoais, for
considerada Encarregada do tratamento de dados, a Entidade adotante em questão deverá
informar o Encarregado da Proteção de Dados do Grupo, sendo este último quem deverá
informar o Responsável pelo tratamento de dados o quanto antes, para que sejam realizadas
as notificações exigidas pelas Normas europeias de proteção de dados, se for o caso.
5.3.7. Registro de atividades do tratamento de dados (RAT)

• As Entidades NCVs deverão contar com um Registro de atividades de tratamento de dados
(RAT) pessoais realizadas sob sua responsabilidade, e mantê-lo atualizado. Esse RAT deverá
conter informações sobre:
a) o nome e os dados de contato do(s) Responsável(is) pelo processamento de dados,

do representante do Responsável e do Encarregado da Proteção de Dados Local
ou do Grupo;
b) As finalidades do processamento;
c) uma descrição das categorias dos titulares dos dados e das categorias dos
Dados pessoais;
d) as categorias de destinatários a quem os Dados Pessoais são divulgados, incluindo

destinatários em países terceiros e organizações internacionais;
e) se for o caso, os Comunicados de dados fora do Espaço Econômico Europeu, incluindo

a identificação do Pais terceiro ou da organização internacional e, se for o caso,
a documentação de garantias adequadas;
f) quando seja possível, os prazos previstos para a exclusão das diversas categorias
de dados;
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 11
g) quando possível, uma descrição geral das medidas de segurança técnicas

e organizacionais mencionadas na Cláusula 5.3.4 destas NCVs.
5.3.8. Avaliações de impacto na privacidade

• As Entidades NCV realizarão uma Avaliação de Impacto da Proteção de Dados (doravante,
"EIPD") antes de iniciar o Processamento de Dados Pessoais, quando um determinado tipo de
Processamento implicar um alto risco para os direitos e liberdades das Partes Interessadas.
• Essas avaliações devem ser elaboradas de acordo com a metodologia estabelecida pela
PROSEGUR, com a orientação do Encarregado de Proteção de Dados do Grupo ou Local,
quando designado. O objetivo é avaliar a necessidade e proporcionalidade do Tratamento de
dados, identificar os riscos e definir as medidas necessárias para a sua mitigação.
• Para isso, as Entidades NCVs devem observar e cumprir o Protocolo de Gestão EIPD da
PROSEGUR, que é anexado como Anexo 7.
• Se, após a realização de uma EIPD, uma Entidade NCV identificar um risco alto que não possa
ser mitigado, antes de fazer o Tratamento de dados previsto, ela deverá consultar a Autoridade
de Controle correspondente. A Autoridade de Controle correspondente poderá emitir
recomendações ou exercer qualquer outro poder conferido a ela pelas normas aplicáveis,
incluindo, entre outros, a limitação ou proibição do Processamento de dados em questão.
5.4. Requisitos para divulgação de dados pessoais
5.4.1. Transferências internacionais de dados

• Os exportadores de dados não podem executar o TID antes de garantir que:
o O Importador de Dados esteja sujeito e possa estar em conformidade com

essas NCVs; e/ou
o o TID seja permitido pelas Leis Europeias de Proteção de Dados e cumpra tais normas.
5.4.2. Transferências posteriores:

5.4.2.1 Quando o Destinatário é uma entidade NCV
• De modo geral, os requisitos estabelecidos na Cláusula 5.4.1 anterior devem ser cumpridos
e observados. Em caso de dúvida, o Importador de dados deverá informar o Exportador de
dados e obter a autorização expressa deste.
5.4.2.2 Quando o destinatário não é uma entidade NCV

• De modo geral, o Importador de Dados informará e obterá a autorização expressa do Exportador
de Dados e formalizará o modelo de Cláusulas Contratuais para Transferência de Dados
Pessoais adotadas pela Comissão Europeia.
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 12
5.4.3. Relações com o Gerente de processamento

• Quando as divulgações de dados são baseadas em uma relação de Gerente de processamento,
essa relação deve ser executada por escrito, com base no Modelo de Contrato do Gerente de
processamento da PROSEGUR e levando em consideração a Política de Seleção e Avaliação
de Fornecedores, que se encontra no Anexo 5.
5.5. Direitos dos titulares dos dados

5.5.1. As Partes Interessadas têm a obrigação de fornecer
informações sobre os Objetos de Dados Pessoais, conforme
detalhado aqui:
a) Quando os Dados Pessoais são coletados da parte interessada, no momento em que esses
dados são obtidos, as partes interessadas devem receber todas as seguintes informações:
(i) a identidade e os dados de contato do Responsável e, quando for caso, do representante

do Responsável; (ii) os dados de contato do Encarregado de Proteção de Dados, se
pertinente; (iii) os fins do Processamento a que se destinam os Dados Pessoais, bem como
a base jurídica do Processamento; (iv) quando o Processamento se basear no interesse
legítimo, nos legítimos interesses buscado pelo Responsável ou por Terceiro;
(v) os destinatários ou categorias de destinatários dos Dados Pessoais, se houver;
(vi) quando apropriado,
Além das informações acima, o Responsável deverá, no momento da obtenção dos Dados
Pessoais, fornecer ao titular dos dados as seguintes informações adicionais necessárias
para garantir um processamento justo e transparente: (i) o período durante o qual os Dados
Pessoais serão armazenados ou, caso isso não seja possível, os critérios usados para
determinar esse período; (ii) a existência do direito de solicitar ao Responsável o acesso e a
retificação ou eliminação dos Dados Pessoais ou a restrição do processamento em relação
à parte interessada ou de se opor ao processamento, bem como o direito à portabilidade
dos dados; (iii) quando o processamento se basear no legítimo interesse do consentimento
da Parte Interessada, a existência do direito de retirar o consentimento a qualquer momento,
sem prejuízo da legalidade do processamento com base no consentimento anterior à sua
retirada; (iv) o direito de apresentar uma reclamação a uma Autoridade Supervisora; (v) se
o fornecimento de Dados Pessoais for um requisito legal ou contratual, ou um requisito
necessário para celebrar um contrato, bem como se a parte interessada for obrigada a
fornecer os Dados Pessoais e as possíveis consequências do não fornecimento dos dados;
(vi) quando pertinente, a existência de tomada de decisão automatizada, incluindo perfis e,
pelo menos nesses casos, informações significativas sobre a lógica envolvida, bem como a
importância e as consequências esperadas de tal Processamento para o Titular dos Dados.
Finalmente, quando o Responsável pretende continuar processando os Dados Pessoais

para um propósito diferente daquele para o qual os Dados Pessoais foram coletados,
o Responsável fornecerá ao Titular dos Dados, antes do Processamento Adicional,
informações sobre essa outra finalidade e outras informações adicionais relevantes,
conforme mencionado acima.
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 13
b) Quando os Dados Pessoais não são coletados da parte interessada, essa Parte Interessada
deverá receber todas as seguintes informações:
(i) a identidade e os dados de contato do Responsável e, quando apropriado, do

representante do Responsável; (ii) os detalhes de contato do Encarregado de Proteção de
Dados, se pertinente; (iii) os propósitos do Processamento dos Dados Pessoais, bem como
a base jurídica do Processamento; (iv) as categorias de Dados Pessoais em questão; (v) os
destinatários ou categorias de destinatários dos Dados Pessoais, se houver; (vi) quando
apropriado, o fato de que o Responsável pretende transferir Dados Pessoais para um país
terceiro ou organização internacional e a existência ou ausência de uma decisão de
adequação ou a referência a salvaguardas apropriadas ou adequadas e os meios pelos
quais obter uma cópia deles ou onde foram disponibilizados.
Além das informações acima, o Responsável deverá, no momento da obtenção dos Dados
Pessoais, fornecer ao titular dos dados as seguintes informações adicionais necessárias
para garantir um processamento justo e transparente: (i) o período durante o qual os Dados
Pessoais serão armazenados ou, se isso não for possível, os critérios usados para
determinar esse período; (ii) quando o Processamento for baseado no interesse legítimo do
Responsável, nos interesses legítimos buscados pelo Responsável ou por um Terceiro (IIi)
a existência do direito de solicitar ao Responsável o acesso e retificação ou exclusão de
Dados Pessoais ou a restrição de processamento em relação à parte interessada ou de
oposição ao Processamento, bem como o direito à portabilidade dos dados; (iv) quando
o Processamento for baseado no interesse legítimo ou consentimento da Parte interessada,
a existência do direito de retirar o consentimento a qualquer momento, sem afetar
a legalidade do Processamento com base no consentimento anterior à sua retirada;
(v) o direito de registrar uma reclamação junto a uma Autoridade Supervisora; (vi) de que
fonte os Dados Pessoais se originam e, se pertinente, se provêm de fontes acessíveis ao
público; (vii) a existência de tomadas de decisão automatizadas, incluindo perfis e, pelo
menos nesses casos, informações significativas sobre a lógica envolvida, bem como a
importância e as consequências esperadas desse Processamento para a Parte Interessada.
O Responsável fornecerá as informações nos parágrafos anteriores: (a) dentro de um

período razoável após a obtenção dos Dados Pessoais, mas no máximo um mês,
considerando as circunstâncias específicas em que os Dados Pessoais são processados;
(b) se os Dados Pessoais forem usados para comunicação com o Titular dos Dados, o mais
tardar no momento da primeira comunicação a esse Titular dos Dados; ou (c) se for prevista
uma divulgação a outro destinatário, o mais tardar quando os Dados Pessoais forem
divulgados pela primeira vez.
Quando o Responsável pretende processar os Dados Pessoais para uma finalidade

diferente daquela para a qual foram obtidos, o Responsável fornecerá ao titular dos dados,
antes do processamento, informações adicionais sobre essa outra finalidade e outras
informações relevantes conforme indicado no segundo parágrafo desta seção 5.5.1.B).
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 14
Os parágrafos anteriores desta seção 5.5.1.b) não devem ser aplicados quando e na medida
em que: (i) a parte interessada já tiver as informações; (ii) o fornecimento de tal informação
for impossível ou envolver um esforço desproporcional, em particular para o Processamento
para fins de arquivo de interesse público, para fins de investigação científica ou histórica ou
para fins estatísticos ou na medida em que a obrigação mencionada no primeiro parágrafo
desta seção b) provavelmente irá impossibilitar ou prejudicar seriamente a realização dos
objetivos de tal Processamento. Nesses casos, o Responsável tomará as medidas
adequadas para proteger os direitos e liberdades e os interesses legítimos da Parte
Interessada, incluindo a disponibilização das informações ao público; (iii) a obtenção ou
divulgação é expressamente estabelecida pelos Normas Europeias, que estão sujeitas ao
responsável pelo Processamento e que prevê as medidas adequadas à proteção dos
legítimos interesses da parte interessada; ou (iv) quando os Dados Pessoais serão mantidos
em sigilo, sujeitos à obrigação de sigilo profissional regulada pelas Normas Europeias
incluídas como uma obrigação legal de sigilo.
5.5.2. As partes interessadas podem exercer os seguintes

direitos:
(i) Acesso: confirmar se os Dados Pessoais relacionados a eles estão ou não sendo
processados e solicitar informações sobre quais Dados Pessoais específicos sobre eles
estão envolvidos, qual Processamento é realizado e qual é a fonte dos dados.
(ii) Retificação: exigir correção, conclusão e/ou atualização de dados imprecisos

ou incompletos.
(iii) Exclusão: exigir a supressão dos dados pessoais que lhe digam respeito, sem adiamento
indevido nos casos autorizados pela Lei das Normas Europeias de Proteção de Dados.
(iv) Objeção: exigir a cessação do Processamento dos seus Dados Pessoais, a qualquer
momento, por motivos relacionados com a sua situação específica, quando tal
Processamento ocorrer, seja por necessidade de cumprir uma missão de interesse público
ou no exercício de poderes públicos, ou com base na necessidade de satisfazer um
interesse legítimo do Responsável pelo processamento.
(v) Restrição de processamento: exigir limites no Processamento de seus dados em casos

autorizados pela Lei Europeia de Proteção de Dados. .
(vi) Portabilidade de dados: receber Dados Pessoais em um formato estruturado,

comumente usado e legível por máquina, e transmiti-los a outro Responsável pelo
tratamento dos dados, sem obstáculos. A parte interessada pode armazenar esses dados
para uso profissional posterior ou solicitar que sejam transmitidos diretamente de
responsável para responsável, quando tecnicamente possível.
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 15
5.5.3. As partes interessadas não devem ser objeto de uma decisão baseada exclusivamente no
Processamento automatizado dos Dados Pessoais, como a criação de perfis, que tenha
efeitos jurídicos sobre elas ou as afete significativamente de forma semelhante ("decisões
individuais automatizadas"), exceto se qualquer uma das seguintes exceções se aplicarem:
(i) a decisão é necessária para celebrar ou executar um contrato entre a parte interessada
e um Responsável por tratamento de dados; (ii) a decisão é autorizada pela Lei Europeia
a que o Responsável está sujeito e que estabelece também as medidas adequadas para
salvaguardar os direitos e liberdades e os legítimos interesses da parte interessada; ou (iii)
a decisão é baseada no consentimento explícito da parte interessada.
Nas exceções mencionadas nos pontos (i) e (iii) acima, o Responsável pelo tratamento dos
dados implementará medidas adequadas para salvaguardar os direitos e liberdades e os
interesses legítimos do Titular dos Dados, pelo menos o direito de obter intervenção humana
do Responsável, para expressar seu ponto de vista e contestar a decisão.
Além disso, as decisões sob as exceções (i) a (iii) não serão baseadas em categorias de
dados especiais, a menos que existam medidas adequadas para salvaguardar os direitos
e liberdades e interesses legítimos da parte interessada e qualquer um dos seguintes termos
pertinentes: (a) a parte interessada deu consentimento explícito ao Processame nto destes
Dados Pessoais para um ou mais fins específicos, exceto quando a legislação europeia
estabelecer que a parte interessada não pode levantar a proibição; ou (b) o Processamento
for necessário por motivos de interesse público substancial, com base na legislação
europeia, que será proporcional ao objetivo buscado, respeitará a essência do direito
à proteção de dados e fornecerá medidas adequadas e específicas para salvaguardar os
direitos e interesses da parte interessada.
5.5.4. As partes interessadas têm o direito de apresentar uma reclamação à Autoridade de

Controle competente, se considerarem que o processamento dos seus dados pessoais viola
a Lei Europeia de Proteção de Dados. A parte interessada pode escolher a Autoridade de
Controle (i) no Estado-Membro da sua residência habitual; (ii) no Estado-Membro onde está
seu local de trabalho; ou (iii) no Estado-Membro onde ocorreu a alegada infração.
5.5.5. As partes interessadas têm direito a um recurso judicial eficaz em relação a:

(i) Autoridades de supervisão: relacionadas a uma decisão juridicamente vinculativa que os afeta,
emitida por tais autoridades, ou quando essas autoridades não processam uma reclamação
ou não informam a parte interessada sobre o processo ou o resultado da reclamação, de
acordo com as disposições da Lei Europeia de Proteção de Dados. As ações serão
apresentadas aos tribunais do Estado-Membro em que o Supervisor estabelecer a autoridade.
(ii) Processadores ou Responsável pelos Dados: Quando os Titulares dos Dados considerarem
que os direitos protegidos pela Lei Europeia de Proteção de Dados foram violados como
resultado do Processamento dos seus Dados Pessoais e sem prejuízo de qualquer recurso
administrativo ou extrajudicial disponível. O processo será instaurado contra um
Responsável pelo tratamento de dados ou um Gerente de processamento, por opção do
titular dos dados, perante os tribunais do Estado-Membro onde o Responsável ou
o Processador de dados tem um estabelecimento ou perante os tribunais do Estado-Membro
onde o titular dos dados tem sua residência habitual.
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 16
5.5.6. As partes interessadas poderão exercer os direitos indicados nas seções 5.5.2 e 5.5.3
mediante solicitação por escrito, dirigida ao endereço postal da entidade BCR que atua como
Responsável pelo tratamento dos dados, ou ao endereço de e-mail
oficina.privacidad@prosegur.com. Se o Responsável pelo tratamento dos dados tiver
dúvidas razoáveis sobre a identidade do Titular dos Dados que fez a solicitação, ele/ela
poderá solicitar as informações adicionais necessárias para confirmar a identidade do Titular
dos Dados (por exemplo, uma cópia de sua identidade/passaporte ou outra documentação
que comprove a sua identidade).
As Partes Interessadas devem receber uma resposta sobre os direitos que exercem no
prazo de 1 (um) mês a partir do recebimento da solicitação. Este prazo poderá ser
prorrogado por dois (2) meses adicionais, caso necessário, dependendo da complexidade
e do número de requerimentos recebidos. A parte interessada deverá ser informada de tal
prorrogação no prazo de 1 (um) mês a partir da data de recebimento do pedido, indicando
os motivos do atraso.
5.6. Direitos de terceiros beneficiados

• As Entidades NCVs concordam e aceitam expressamente que as partes interessadas têm
o direito de fazer cumprir esta cláusula e as cláusulas 5.3.1, 5.3.2, 5.3.3, 5.3.5, 5.3.6, 5.4, 5.5,
5.6, 5.7, 5.8.5, 5.9, 5.10 y 5.11 destas NCVs como terceiros beneficiários.
5.7. Reclamação(ões)
• Sem prejuízo do disposto na Cláusula 7 desta NCV, as partes Interessadas podem exercer os
seus direitos ou reclamar o Processamento dos seus Dados por Entidades das NCVs, enviando
um pedido por escrito para o endereço de e-mail oficina.privacidad@prosegur.com.
Se o Responsável pelo Tratamento de Dados tiver dúvidas razoáveis sobre a identidade do

titular dos dados que faz o pedido, o Responsável pelo tratamento dos dados pode solicitar
o fornecimento de informações adicionais necessárias para confirmar a identidade do titular
dos dados (por exemplo, uma cópia do seu documento de identidade/passaporte ou outra
documentação para comprovar a sua identidade).
• As Entidades BCRs irão processar as solicitações recebidas e investigar as questões

levantadas nelas, e devem fornecer aos Titulares dos Dados uma resposta à sua solicitação no
prazo de um (1) mês após o recebimento. Este prazo poderá ser prorrogado por dois (2) meses
adicionais, caso necessário, dependendo da complexidade e do número de requerimentos
recebidos. A parte interessada deverá ser informada de tal prorrogação no prazo de 1 (um) mês
a partir da data de recebimento do pedido, indicando os motivos do atraso. As partes
interessadas receberão uma resposta, aceitando ou rejeitando o pedido. Da mesma forma, as
partes interessadas serão informados de que, caso não fiquem satisfeitos com a resposta
recebida, têm o direito de entrar com a ação junto à Autoridade de Controle competente, bem
como com o recurso judicial efetivo, conforme explicitado nas cláusulas 5.5. 4 e 5.5.5.ii) acima.
• As Entidades NCVs devem cumprir as disposições do Protocolo de gerenciamento de

reclamações e requerimentos de NCV, que é anexado como Anexo 8.
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 17
5.8. Ações de implementação de NCV
5.8.1. Treinamento de pessoal

• Como parte do compromisso do Grupo PROSEGUR com o respeito à privacidade,
são realizados cursos anuais de treinamento e conscientização para os funcionários.
• As Entidades NCV e os Encarregado da Proteção de Dados Locais, com o apoio do

Encarregado da Proteção de Dados do Grupo, são responsáveis por definir o formato dos cursos
de formação e sensibilização (presencial ou online), bem como a frequência dos cursos.
• Especificamente, as seguintes sessões de treinamento e conscientização são realizadas todos

os anos: (i) uma sessão geral sobre questões de privacidade; e (ii) uma sessão específica sobre
NCV.
A sessão geral sobre questões de privacidade aborda, entre outros assuntos, a influência
da privacidade na atividade da PROSEGUR e seus funcionários e as políticas e regras
aprovadas no Grupo PROSEGUR.
A sessão específica sobre questões de NCV cobre o conteúdo dessas NCVs, incluindo os
anexos relevantes.
• As sessões de treinamento e conscientização são realizadas por meio da Plataforma Online da

Universidade Prosegur, acessível através da Intranet do Grupo PROSEGUR. Os conteúdos das
sessões de formação e sensibilização são uma mescla de teoria e prática, incluindo um
questionário de avaliação (é preciso acertar 7 em 10 respostas corretas para ser aprovado) para
considerar o curso "frequentado e concluído". Por meio da plataforma online, a Prosegur
University gerencia as solicitações de participação do curso aos funcionários, os lembretes,
os participantes e aqueles que concluíram cada curso.
• Além disso, os funcionários têm acesso às políticas internas da PROSEGUR sobre proteção de
dados pessoais e segurança da informação, bem como ao conteúdo dessas NCVs. Estas
informações constam dos materiais entregues aos funcionários no momento da incorporação,
publicados na intranet das Entidades PROSEGUR e NCV e divulgados por meio de notificações.
5.8.2. Monitoramento de conformidade de NCV

• O Encarregado da Proteção de Dados do Grupo e o Comitê de Proteção de Dados são
responsáveis por supervisionar a implementação dessas NCVs, com o apoio do Encarregado
de Proteção de Dados Local/Oficial de Conformidade Local e é apoiado nesta tarefa pelos
órgãos de gestão das Entidades NCV.
• Os Oficiais locais de proteção de dados designados/Oficiais locais de conformidade terão, entre

outras, as seguintes funções:
(i) Informar e aconselhar as Entidades NCV e o pessoal que realiza o Processamento

sobre as suas obrigações ao abrigo da NCV e da Lei Europeia de Proteção de Dados.
. O Oficial Local de Proteção de Dados/Oficial de Conformidade Local responde
diretamente ao mais alto nível hierárquico das Entidades NCV.
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 18
(ii) fiscalizar o cumprimento das disposições de NCV e da Lei Europeia de Proteção de

Dados e das políticas da PROSEGUR, incluindo a atribuição de responsabilidades,
sensibilização e formação do pessoal envolvido nas operações de Processamento.
(iii) Atuar como ponto de contato com as Autoridades Supervisoras em questões

relacionadas às operações de Processamento de Dados e implementação de NCV, bem
como cooperar com as investigações das referidas autoridades.
(iv) analisar os relatórios de auditoria de proteção de dados e supervisionar

a implementação das medidas corretivas propostas.
(v) responder às solicitações e reclamações das Partes Interessadas.
• O Responsável pela proteção de dados do Grupo é responsável por manter essas BCRs
atualizadas e informar as atualizações à(s) Autoridade(s) de Controle relevantes, bem como
informar anualmente sobre o status de aplicação das BCRs. Os Oficiais locais de proteção de
dados/Oficiais locais de conformidade devem informar trimestralmente ao oficial de proteção de
dados do Grupo sobre as medidas tomadas em nível local.
5.8.3. Verificação do cumprimento de NCV

• A PROSEGUR adotou um Programa de Auditoria, descrito no Anexo 9, para verificar
o cumprimento dessas NCVs pelas Entidades das NCVs. Este programa estabelece
a frequência e períodos de análise e auditorias, seu escopo, ações envolvidas e meios,
entre outros aspectos.
• Os relatórios dos resultados das análises e auditorias são notificados ao Encarregado da

Proteção de Dados do Grupo e, quando apropriado, ao Encarregado da Proteção de Dados
local/Oficial de Conformidade Cal e ao órgão de gestão da Entidade de NCV em questão.
Finalmente, os relatórios são notificados ao Comitê de Proteção de Dados.
• Em caso de descumprimento das NCVs, os relatórios incluem recomendações e medidas

corretivas a serem implementadas pela Entidade NCV correspondente, dentro do período
específico previsto. Se as recomendações e medidas corretivas não forem devidamente
implementadas, isso será relatado ao Conselho de Administração da PROSEGUR, para que
possa adotar as decisões pertinentes; incluindo, sem limitação, a exclusão da Entidade de NCV
do escopo das NCVs.
• As autoridades podem exigir acesso a relatórios de auditoria e podem fazer auditorias de

proteção de dados em qualquer uma das Entidades NCV.
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 19
5.8.4. Atualização das NCV

• A NCV é revisada e atualizada quando ocorrem alterações, seja na Lei Europeia de Proteção
de Dados ou em qualquer um dos conteúdos das NCVs (incluindo seus Anexos). O Oficial de
Proteção de Dados do Grupo é responsável por revisar periodicamente as LCVs e fazer as
alterações necessárias para mantê-las atualizadas e, para isso, ele/ela deve fazer o seguinte:
(i) Manter um registro atualizado das Entidades NCV e atualizações da NCV e exibir esses
detalhes nas NCVs;
(ii) monitorar mudanças regulatórias, registrá-las e adicioná-las à NCV;
(iii) fornecer as informações necessárias às partes interessadas e/ou Autoridades

Supervisoras, conforme necessário.
• As mudanças nas NCVs (incluindo, sem limitação, a lista de Entidades NCV) são relatadas
a todas as Entidades NCV sem atrasos indevidos.
• As alterações nas NCVs ou à lista de Entidades NCV são comunicadas às Autoridades

Supervisoras, através da Autoridade Supervisora Principal, uma vez por ano, juntamente com
uma explicação dos motivos. Quando as alterações nas NCVs possivelmente afetarem o nível
de proteção oferecido pelas NCVs ou afetarem significativamente as NCVs, essas alterações
devem ser imediatamente notificadas às Autoridades Supervisoras competentes, através da
Autoridade Supervisora Principal.
5.8.5. Informação para os Titulares dos dados

• As NCVs serão informadas aos Titulares dos dados através dos seguintes meios:
(i) publicação nos sites oficiais das Entidades PROSEGUR e NCV;
(ii) publicação na intranet de Entidades PROSEGUR e NCVs;
(iii) inclusão de referências a NCV em cláusulas de informação sobre proteção de dados

em relação a contratos, formulários, políticas, manuais e anúncios.
Os documentos fornecidos às partes interessadas são: (i) a Política sobre NCV;

e (ii) Anexos 1 e 8.
• Todos os titulares de dados que se beneficiam dos direitos de terceiros beneficiários recebem
as informações detalhadas na cláusula 5.5.1, onde estão informações sobre seus direitos como
terceiros beneficiários em relação ao Processamento de Dados Pessoais e sobre os meios para
os exercer a cláusula de responsabilidade e as cláusulas sobre os princípios da proteção
de dados.
As informações acima serão fornecidas na íntegra; um resumo não é suficiente.
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 20
• Do mesmo modo, os Titulares dos dados poderão solicitar uma cópia das presentes NCVs por
meio de um requerimento por escrito, enviado ao seguinte endereço:
oficina.privacidad@prosegur.com.
5.9. Responsabilidade
• A PROSEGUR é responsável perante as Partes Interessadas por qualquer violação das
disposições desta NCV que possa ocorrer por qualquer das Entidades das NCV. Em qualquer
caso, a PROSEGUR reserva-se o direito de reincidência frente a Entidade de NCV não cumprida
e requer uma indenização por danos que possa causar.
• Da mesma forma, cada uma das Entidades das NCVs será responsável pelas consequências
de qualquer violação das obrigações assumidas em virtude desta NCV, devendo assumir as
responsabilidades decorrentes de tal violação, incluindo os danos causados às Partes
Interessadas e/ou à PROSEGUR, onde pertinente, de acordo com a legislação.
• Não obstante o acima exposto, os exportadores de dados assumirão total responsabilidade por
qualquer violação destas NCVs por importadores de dados e outras Entidades NCV localizadas
em países terceiros, no que diz respeito aos TID e Transferências Encaminhadas por eles
efetuadas e Processos realizados em consequência de tais transferências. Nesse sentido, os
exportadores de dados comprometem-se a indenizar as partes interessadas por danos,
materiais ou imateriais, decorrentes de violações das NCVs por parte das Entidades das NCVs
estabelecidas em Países Terceiros, e adotar as medidas necessárias para saná-los.
• Os Exportadores de Dados estão isentos, de forma total ou parcial, de tal responsabilidade

quando se puder demonstrar que o evento que causou os danos não é, de forma alguma, da
responsabilidade do Importador de Dados ou de outras Entidades NCV no caso de posterior
Transferência. O Exportador de Dados deve arcar com o ônus de provar que as NCVs não foram
violadas ou que o evento causador do dano não está, de forma alguma, sob responsabilidade
da entidade ou das entidades em causa.
• Quando um exportador de dados tiver pagado indenização pelos danos causados por outra
entidade de NCV, o exportador de dados terá o direito de reclamar dessa entidade o valor da
indenização já pago.
• Nos casos em que a violação destas NCVs tenha sido cometida por uma Entidade de NCV
estabelecida em um país terceiro, os tribunais ou outras autoridades competentes da União
Europeia terão jurisdição, e a Parte Interessada terá os direitos e recursos correspondentes
contra o Exportador de Dados. como se a infração tivesse sido cometida no Estado-Membro
onde o exportador de dados é estabelecido e não no país do importador de dados.
Neste caso, o processo contra o exportador de dados será iniciado, à escolha da parte
interessada, perante os tribunais do Estado-Membro onde o exportador de dados tem um
estabelecimento ou perante os tribunais do Estado-Membro onde a parte interessada tem
residência.
5.10. Comunicação e cooperação com as Autoridades

Supervisoras
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 21
5.10.1. Relacionamento com as Autoridades Supervisoras

• As Entidades adotantes se comprometem a colaborar com as Autoridades de Controle
competentes em tudo o que diz respeito à aplicação das presentes NCVs e, particularmente, a:
1. fornecer todas as informações exigidas pelas Autoridades de Controle em relação às

NCVs e aos Processamentos de dados subordinados a estas;
2. permitir auditoria pelas Autoridades de Controle;
3. implementar as recomendações realizadas pelas Autoridades de Controle;
4. proporcionar os relatórios de verificação do cumprimento das NCV requeridos pelas

Autoridades de Controle;
5. comunicar alterações nas NCVs à Autoridade Supervisora.
5.10.2. Relação com as normas locais

• Os Dados Pessoais devem ser processados por entidades NCV de acordo com as leis
pertinentes.
• Na ausência de uma lei local de proteção de dados, ou quando tal lei estabeleça um nível de
proteção inferior ao previsto nesta NCV, os direitos e obrigações estipulados na NCV
prevalecerão. Caso contrário, quando as leis locais exigem um nível mais alto de proteção para
dados pessoais, essas leis prevalecerão sobre as NCVs.
• Quando uma Entidade de NCV considerar que a legislação local pertinente não lhe permite
cumprir as obrigações assumidas ao abrigo das NCVs, ou tem um efeito substancial nas
garantias concedidas pelas NCVs, ela informará imediatamente a Sede da PROSEGUR na
Espanha e ao Encarregado da Proteção de Dados do Grupo, a menos que uma proibição legal
o impeça de fazer tal notificação (por exemplo, para preservar a confidencialidade de uma
investigação).
• Sempre que sejam produzidas quaisquer incompatibilidades com as normas locais que possam
derivar em efeitos substanciais sobre a aplicação das garantias proporcionadas pelas NCVs,
o GRUPO PROSEGUR deverá notificar tal fato às Autoridades de Controle competentes,
incluindo qualquer pedido ou requerimento legalmente vinculantes para a Comunicação de
dados pessoais por uma autoridade ou órgão de segurança do estado do país em questão. As
Autoridades Competentes deverão ser claramente informadas sobre o pedido e, em particular,
sobre os dados solicitados, o órgão solicitante e o fundamento jurídico para a Comunicação,
exceto se tal notificação seja proibida legalmente.
• Se a suspensão e/ou notificação forem proibidas em casos específicos, as Entidades NCVs que
tiverem sido solicitadas farão todo o possível para obter o direito de renunciar a esta proibição
de comunicação do maior número de informações possíveis, o antes possível, às Autoridades
Competentes, para poder demonstrá-lo. Quando, em tais casos, apesar de terem feito todo
o possível, as Entidades NCVs não puderem informar as Autoridades de Controle competentes,
as Entidades NCVs comprometem-se a fornecer anualmente às Autoridades de Controle
competentes, sempre que for possível, um relatório geral sobre as solicitações ou requerimentos
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 22
recebidos, incluindo o número de pedidos ou requerimentos de Comunicação, os tipos de Dados

solicitados e as autoridades ou órgãos solicitantes.
• Em todos os casos, as Comunicações de dados pessoais por uma Entidade NCVs às

autoridades públicas não deverão ser realizadas em massa, de forma desproporcionada ou
indiscriminada, devendo limitar-se ao necessário em uma sociedade democrática para proteger
interesses específicos relevantes, entre eles a segurança pública e a prevenção, investigação,
detecção e execução de sanções penais, incluindo a proteção e prevenção em caso de
ameaças contra a segurança pública.
5.11. Lei e jurisdição
5.11.1. Legislação pertinente

• As NCVs serão regidas, aplicadas e interpretadas de acordo com o estabelecido na legislação
espanhola.
5.11.2. Disputas entre entidades NCV

• As Entidades NCV concordam expressamente que a resolução de qualquer disputa decorrente
ou em relação à interpretação e/ou execução dessas NCVs será resolvida pelos tribunais da
cidade de Madri de acordo com as leis da Espanha, e renunciam expressamente a qualquer
outra jurisdição que possa corresponder a este respeito.
5.11.3. Disputas entre entidades NCVs e titular de dados

• As partes interessadas podem buscar vias de recurso efetivas, a seu próprio critério, nos
tribunais do Estado-Membro onde o exportador de dados tem um estabelecimento ou nos
tribunais do Estado-Membro em que a parte interessada tem a sua residência habitual.
5.12. Duração
• As NCV entrarão em vigor no dia de sua aprovação e sua vigência é indefinida.
6. Documentos associados ao processo

Código Nome
NG_GLO_CN_03 Política Geral de Proteção de Dados
Documento de apoio para o Protocolo

DS_GLO_CN_04 sobre como lidar com os direitos dos
titulares dos dados
Documento de suporte para armazenamento

DS_GLO_CN_02
e destruição de dados
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 23
Documento de apoio para a seleção

DS_GLO_CN_01
e avaliação de fornecedores
Documento de apoio para o protocolo de

DS_GLO_CN_03
gerenciamento EIPD
Documento de apoio de Protocolo de

DS_GLO_CN_05 Gerenciamento de Reclamações
e Requerimentos relativos a NCVs
Documento de apoio ao programa de

DS_GLO_CN_07
auditoria Prosegur NCV
Documento de apoio das Normas

DS/GLO/LEG/10
Corporativas Vinculantes
NG_GLO_SI_01 Política Geral de Segurança da Informação
Política específica sobre requisitos de

NE/GLO/SI/12 segurança da informação para novos
projetos de tecnologia
NE/GLO/SI/08 Política específica sobre o uso de e-mail
NE/GLO/SI/02 Política específica de uso da Internet
NE/GLO/SI/01 Política específica de mesa organizada
Política 3P específica sobre o uso

NE_GLO_SI_04
de senhas
Política de 3P específica sobre o uso de

NE/GLO/SI/03
recursos de informática
Política 3P específica sobre controle

NE_GLO_SI_05
de acesso
NE/GLO/SI/06 Política 3P específica sobre acesso remoto
Política 3P específica sobre

NE/GLO/SI/07
armazenamento compartilhado
NE_GLO_SI_09 Classificação da informação
Política de 3P específica sobre a criação de

NE/GLO/SI/10
contas de serviço no Active Directory
Política 3P específica sobre a criação de

NE/GLO/SI/11
contas ADM do Active Directory
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 24
Política geral 3P sobre desenvolvimento

NG_GLO_TI_03
e manutenção de aplicativos
7. Anexo
7.1. Anexo 1 - Entidades NCV
7.2. Anexo 2 - Mapa de transferências internacionais de dados
7.3. Anexo 3 – Política de segurança da informação
7.4. Anexo 4 - Modelo de governança da conformidade na

proteção de dados
7.5. Anexo 5 – Política de seleção e avaliação de fornecedores
7.6. Anexo 6 - Protocolo de gestão e notificação de lacunas de

segurança
7.7. Anexo 7 - Protocolo de gestão EIPDs
7.8. Anexo 8 - Protocolo de gerenciamento de reclamações

e requerimentos relativos a NCVs
7.9. Anexo 9 – Programa de auditoria
SISTEMA 3P
NE/GLO/CN//01
Ed. 01
13/05/2021
Página 25

07 - Norma Específica 3P de Normas Corporativas Vinculantes (NCVS)

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

07 - Norma Específica 3P de Normas Corporativas Vinculantes (NCVS)

Enviado por

Direitos autorais:

Formatos disponíveis

ÁREA DE NEGÓCIOS

2.2. Alcance geográfico

2.2.1. Entidades e pessoas sujeitos às NCVs

• A estrutura do grupo PROSEGUR está prevista na URL https://www.prosegur.com/en/about.

2.2.2. Dados pessoais e atividades de Processamento de dados

• Para cumprir esse compromisso e suas obrigações em relação à proteção de dados,

Elaborado por: Encarregado da Proteção de Dados

• Segurança: A Prosegur Security oferece serviços completos de segurança integrais de alto

O negócio de segurança inclui vigilância tripulada tradicional e serviços auxiliares,

Esses serviços são o resultado da experiência e do conhecimento das áreas de risco

• Na PROSEGUR AVOS, ajudamos nossos sócios a melhorarem suas operações e se

• A natureza global da empresa leva a PROSEGUR a se esforçar na regularização das

• "Autoridade de Controle": autoridade pública independente, estabelecida por um membro do

• "Dados pessoais" ou "Dados": qualquer informação relacionada a pessoas físicas,

• "Encarregado da Proteção de Dados": pessoa responsável por assessorar os Responsáveis

• "Funcionários": qualquer pessoa, com dedicação exclusiva ou temporária, interna ou externa,

• "Entidade NCV": entidade pertencente ao GRUPO PROSEGUR no âmbito da aplicabilidade do

• "Gerente de processamento": a pessoa física ou jurídica, autoridade pública, serviço ou outro

• "Espaço Econômico Europeu" ou "EEE": composto pelos estados-membros da União

• "Estados-membros": os países que fazem parte da União Europeia.

• "Exportador(a) de Dados": entidade NCV estabelecida no Espaço Econômico Europeu que

• "Importador(a) de Dados": entidade NCV estabelecida ou sediada em outro país.

• "Normas europeias": a lei da União Europeia e dos Estados-Membros.

• "Normas Europeias de Proteção de Dados": o RGPD e as leis pertinentes de proteção de dados

• Normas Corporativas Vinculantes "NCVs" ou "BCRs": são instrumentos compostos por

• "PROSEGUR": Prosegur Compañía de Seguridad España, SA, entidade matriz do

• "RGPD" ou "Regulamento Geral de Proteção de Dados": regulamentação (UE) 2016/679 do

• "Responsável pelo Processamento de dados" ou "Responsável": a pessoa física ou jurídica,

• "Processamento": qualquer operação ou conjunto de operações realizadas com respeito

• "Transferência internacional de dados" ou "TID": comunicado de dados pessoais de um

• "Transferência(s) posterior(es)": Divulgar dados pessoais de um importador de dados para

• "Brecha(s) da segurança de dados pessoais": evento que provoque a destruição, perda ou

• "Avaliação do impacto de privacidade" o "Avaliação do impacto da proteção de dados":

5.3. Garantia no Processamento de dados pessoais

5.3.1. Princípios aplicáveis ao Processamento de dados pessoais

5.3.1.1 Princípio de legalidade

b) O Processamento deve ser necessário para a celebração de um contrato de que a Parte

c) o Processamento de dados é necessário para cumprir uma obrigação legal aplicável ao

5.3.1.2 Lealdade e transparência

5.3.1.3 Princípio de limitação da finalidade:

5.3.1.4 Princípio de minimização de dados:

5.3.1.5 Princípio de exatidão:

5.3.1.6 Princípio de limitação no prazo de conservação:

5.3.1.7 Princípio de integridade e confidencialidade

5.3.1.8 Princípio de responsabilidade proativa:

5.3.1.9 Proteção dos dados desde o projeto e por padrão

• Em outras palavras, a partir da idealização de um projeto, sistema, ferramenta ou processo

5.3.2. Processamento de categorias especiais de dados

b) O tratamento for necessário para cumprir as obrigações e o exercício dos direitos

c) o Processamento de dados é necessário para estabelecer, exercer ou defender ações

d) O Processamento seja necessário para efeitos de medicina preventiva ou ocupacional

e) O Processamento é necessário por motivos de interesse público no campo da saúde

5.3.3. Medidas para garantir a segurança dos dados

• As seguintes medidas, entre outras, devem ser aplicadas:

a) a anonimização e a criptografia de Dados pessoais;

b) a capacidade de garantir a confidencialidade, integridade, disponibilidade e resiliência

c) a capacidade de recuperar a disponibilidade e o acesso aos dados pessoais com rapidez

d) Verificação, avaliação e avaliação periódicas da eficácia das medidas técnicas

• Ao avaliar a adequação do nível de segurança, os riscos associados ao Processamento de

• A Política de Segurança da Informação da PROSEGUR, no Anexo 3, constitui o marco para

5.3.4. Modelo de governança do conformidade na Proteção

• A PROSEGUR também nomeou Coordenadores de Conformidade em todos os países nos quais

Esse processamento pelo Gerente de processamento, em nome do Responsável pelo