Política de privacidade

1. OBJETIVO 

A presente Política de Privacidade de Dados da Fran Corporation Universal Sociedade de Crédito Direto S.A.  (Franco S.A.), tem como objetivo estabelecer as diretrizes e procedimentos para assegurar a proteção,  privacidade e segurança dos dados pessoais de nossos clientes, colaboradores, parceiros, fornecedores e demais  partes interessadas. Esta Política visa garantir a conformidade com a Lei Geral de Proteção de Dados Pessoais  (LGPD – Lei nº 13.709 de 2018) e demais legislações aplicáveis, promovendo a transparência em nossas  operações de tratamento de dados pessoais realizadas; 

1.1 Compromisso com a Privacidade – Nós, como uma Instituição Financeira, valorizamos e respeitamos a  privacidade de todos os indivíduos com quem nos relacionamos. Estamos comprometidos em proteger  os dados pessoais que nos são confiados, adotando práticas rigorosas de segurança e privacidade. Nosso  compromisso inclui: 

a. Transparência – Informar claramente como e porque coletamos, utilizamos, armazenamos e  compartilhamos dados pessoais; 

b. Segurança – Implementar medidas técnicas e organizacionais adequadas para proteger os dados  contra acesso não autorizado, perda, alteração ou destruição; 

c. Controle – Garantir que os titulares dos dados tenham controle sobre suas informações pessoais,  permitindo o exercício de seus direitos conforme previsto na legislação; e 

d. Conformidade – Assegurar que todas as atividades de tratamento de dados pessoais estejam em  conformidade com as leis e regulamentos aplicáveis. 

1.2 Abrangência e Aplicabilidade – Esta Política de Privacidade de Dados se aplica a todas as operações de  tratamento de dados pessoais realizadas pela Franco S.A., abrangendo: 

a. Clientes – Dados pessoais coletados de clientes durante a contratação e utilização de produtos e  serviços financeiros; 

b. Colaboradores – Dados pessoais de funcionários e prestadores de serviços, coletados e tratados no  âmbito da relação de trabalho; 

c. Parceiros e Fornecedores – Dados pessoais de parceiros comerciais e fornecedores, coletados e  tratados para a execução de contratos e parcerias; e 

d. Visitantes de Sites e Aplicativos – Dados pessoais coletados de visitantes e usuários de nossas  plataformas digitais, Aplicativo (App) Franco Conta e Site Franco Conta, incluindo informações obtidas  por meio de cookies e outras tecnologias de rastreamento. 

Esta Política é aplicável à Alta Administração, todos os demais colaboradores, parceiros, fornecedores e partes  interessadas que, de alguma forma, participem das atividades de tratamento de dados pessoais na Franco S.A. Todos devem seguir as diretrizes aqui estabelecidas para garantir a proteção e privacidade destes dados. 

2. VIGÊNCIA 

Esta Política tem vigência a partir da data de sua aprovação e assinatura, vigorando por prazo indeterminado.  Para assegurar sua relevância e alinhamento contínuo com as melhores práticas de Governança Corporativa e Compliance e LGPD, bem como, com o nosso contexto operacional e regulatório do sistema financeiro nacional,  ela está sujeita a um processo formal e estruturado de revisão periódica. 

2.1 Processo de Revisão: 

a. Periodicidade – A Diretoria de Compliance conduzirá uma revisão anual desta Política.  Adicionalmente, fará revisões extraordinárias sempre que mudanças significativas na legislação  aplicável, nas práticas de negócios da Franco S.A. ou em outros fatores externos justificarem sua  atualização; 

b. Consulta a Stakeholders – Como parte do processo de revisão, nos comprometemos a consultar uma  gama diversificada de stakeholders, tanto internos quanto externos. Isso incluirá, mas não se limitará,  a colaboradores, acionistas, clientes, fornecedores, e demais partes interessadas. O objetivo é coletar  feedback valioso que possa orientar aprimoramentos desta Política; 

c. Mecanismo de Feedback – Estabeleceremos canais acessíveis e confidenciais para que os stakeholders possam enviar suas sugestões, preocupações e recomendações relativas a esta Política. Esses canais  serão amplamente divulgados e facilmente acessíveis através de nossas plataformas, App e Site Franco  Conta, e de outros meios de comunicação internos e externos; e 

d. Aprovação e Divulgação de Alterações – Qualquer alteração proposta nesta Política, resultante do  processo de revisão, será submetida à aprovação da Alta Administração. Após a aprovação e  assinatura, divulgaremos as alterações amplamente de maneira transparente, incluindo a  comunicação direta às partes afetadas. Disponibilizaremos um Termo de Ciência e Adesão atualizado  às partes afetadas, refletindo suas alterações. 

3. DEFINIÇÕES 

Para uma compreensão e implementação eficaz desta Política, é fundamental que todos os gestores, demais  colaboradores e partes interessadas estejam familiarizados com as seguintes definições, que refletem não  apenas os padrões internacionais, normas e regulamentações vigentes, mas também nossa interpretação  institucional destes conceitos no contexto de nossas operações: 

3.1 Dados – São elementos ou registros como, números, métricas ou qualquer material bruto que constituem  a matéria-prima da informação. Podemos defini-los também como conhecimento bruto ainda não  devidamente tratado para prover insights para a Instituição; 

3.2 Dados Pessoais – São informações que se referem a uma pessoa natural, identificada ou identificável,  direta ou indiretamente, por meio de identificadores como nome, razão social, número de identificação,  dados de localização, identificadores etc; 

3.3 Dados Pessoais Sensíveis – Dados sobre origem racial ou étnica, convicção religiosa, opinião política,  filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou  à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; 

3.4 Controlador –O Controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais. No caso da Franco S.A., ele próprio é o  controlador dos dados pessoais coletados dos clientes, colaboradores, parceiros e fornecedores. Somos  responsáveis por definir as finalidades e os meios de tratamento desses dados, bem como por garantir a  conformidade com a legislação aplicável;

3.5 Operador – O Operador é a pessoa natural ou jurídica, de direito público ou privado, que realiza o  tratamento de dados pessoais em nome do Controlador. Na Franco S.A., os Operadores podem incluir  prestadores de serviços, parceiros comerciais e outras entidades que processam dados pessoais conforme  as nossas instruções. Asseguramos que todos os Operadores atuem em conformidade com esta Política e  com a Lei nº 13.709 de 2018 – LGPD, mediante contratos que estabeleçam as obrigações de proteção de  dados; 

3.6 Titular dos Dados – O Titular dos Dados é a pessoa natural a quem se referem os dados pessoais que são  objeto de tratamento. No nosso contexto, os titulares dos dados incluem clientes, colaboradores,  parceiros, fornecedores e visitantes de nosso site e aplicativos. Nós da Franco S.A. reconhecemos e  respeitamos os direitos dos titulares de dados, conforme estabelecido na LGPD, e nos comprometemos a  facilitar o exercício desses direitos; 

3.7 Consentimento – Consentimento é a manifestação livre, informada e inequívoca pela qual o titular dos  dados concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Na Franco  S.A., o consentimento é obtido de forma clara e transparente, sempre que necessário, e o titular tem o  direito de revogar o consentimento a qualquer momento. Nós garantimos que o tratamento de dados  pessoais baseado no consentimento seja realizado de acordo com as finalidades específicas e legítimas  informadas ao titular; e 

3.8 Anonimização – Anonimização é o processo pelo qual os dados pessoais são transformados de modo que  o titular não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis  na ocasião do tratamento. A anonimização é utilizada para proteger a privacidade dos titulares de dados,  especialmente quando os dados são usados para fins estatísticos, de pesquisa ou de inteligência de  negócios. Dados anonimizados não são considerados dados pessoais e, portanto, não estão sujeitos às  mesmas restrições da LGPD. 

4. NORMAS APLICÁVEIS 

Esta Política está alinhada às nossas normas internas, bem como às regulamentações do Banco Central do Brasil  (BACEN) e outras legislações aplicáveis ao setor financeiro. Todos aqueles a quem essa Política for aplicável  deverão observar as leis e normas abaixo indicadas: 

4.1 Constituição da República Federativa do Brasil de 1988; 

4.2 Lei nº 10.406 de 2002 – Código Civil Brasileiro; 

4.3 Lei nº 8.078 de 1990 – Código de Defesa do Consumidor – O Código de Defesa do Consumidor também  pode ser aplicável em casos de proteção de dados pessoais, especialmente quando se trata do  consentimento e da transparência na relação com os consumidores; 

4.4 Lei Complementar nº 105 de 2001 – Dispõe sobre o sigilo das operações de instituições financeiras e dá  outras providências; 

4.5 Lei nº 12.965 de 2014 – Marco Civil da Internet – Embora não seja exclusivamente focado na proteção  de dados pessoais, o Marco Civil da Internet aborda diversos aspectos relacionados à privacidade e  segurança, princípios, garantias, direitos e deveres para o uso da Internet no Brasil; 

4.6 Decreto nº 8.771 de 2016 – Regulamenta a Lei nº 12.965, de 23 de abril de 2014, para tratar das hipóteses  admitidas de discriminação de pacotes de dados na internet e de degradação de tráfego, indicar  procedimentos para guarda e proteção de dados por provedores de conexão e de aplicações, apontar medidas de transparência na requisição de dados cadastrais pela administração pública e estabelecer  parâmetros para fiscalização e apuração de infrações. 

4.7 Lei nº 13.709 de 2018 – Lei Geral de Proteção de Dados Pessoais – LGPD – Dispõe sobre o tratamento de  dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público  ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre  desenvolvimento da personalidade da pessoa natural; 

4.8 Resolução CMN nº 4.893 de 2021 – Dispõe sobre a política de segurança cibernética e sobre os requisitos  para a contratação de serviços de processamento e armazenamento de dados e de computação em  nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil; e 

4.9 ABNT NBR ISO 27001 de 2022 – Norma padrão e referência internacional que especifica os requisitos para  estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Segurança da  Informação – SGSI. 

As Normas e Leis citadas não esgotam toda a legislação aplicável às nossas atividades. A Área de Compliance é  responsável por verificar eventual atualização, revogação e a edição de novas normas. 

5. PRINCÍPIOS BÁSICOS 

Os princípios básicos desta Política servem como guia para a nossa tomada de decisões e ações relacionadas à  privacidade de dados em toda a nossa Instituição, promovendo uma abordagem integrada e coesa: 

5.1 Necessidade e Minimização de Dados – Nós na Franco S.A. adotamos o princípio da minimização de  dados, garantindo que apenas os dados pessoais estritamente necessários para a realização das  finalidades informadas sejam coletados e tratados. Evitamos a coleta de dados excessivos ou irrelevantes,  assegurando que o tratamento de dados pessoais seja adequado, relevante e limitado ao mínimo  necessário para atingir os objetivos pretendidos. Essa prática contribui para a proteção da privacidade  dos titulares e para a eficiência do nosso processo de tratamento de dados; 

5.2 Livre Acesso e Qualidade dos Dados – Garantimos aos titulares dos dados o direito de acesso facilitado e  gratuito às suas informações pessoais, permitindo que possam verificar a integridade e a veracidade dos  dados tratados. Além disso, nos comprometemos a manter a qualidade dos dados pessoais, assegurando  que sejam exatos, claros, relevantes e atualizados conforme necessário. Os titulares têm o direito de  solicitar a correção ou atualização de seus dados pessoais a qualquer momento, contribuindo para a  precisão e a confiabilidade das informações; 

5.3 Segurança e Prevenção – A segurança dos dados pessoais é uma prioridade para a Franco S.A.. Nós  implementamos medidas técnicas e organizacionais adequadas para proteger os dados contra acessos  não autorizados, perdas, alterações, divulgações ou destruições acidentais ou ilícitas. Essas medidas  incluem, mas não se limitam, a criptografia, controle de acesso, monitoramento contínuo e auditorias  periódicas. Nós também adotamos práticas de prevenção para identificar e mitigar riscos à segurança dos  dados, promovendo um ambiente seguro para o tratamento de informações pessoais; e 

5.4 Não Discriminação e Responsabilização – Nos comprometemos a tratar os dados pessoais de forma justa  e não discriminatória, garantindo que nenhuma decisão ou tratamento de dados resulte em discriminação  contra os titulares. Além disso, adotamos também uma postura de responsabilização, assegurando que  todas as atividades de tratamento de dados estejam em conformidade com esta Política e com a LGPD. A  Franco S.A. se responsabiliza por demonstrar a conformidade com os princípios de proteção de dados,  promovendo uma cultura de respeito à privacidade e à proteção de dados.

6. COLETA DE DADOS PESSOAIS 

6.1 Tipos de Dados Coletados – A Franco S.A. coleta diversos tipos de dados pessoais, conforme necessário  para a prestação de nossos serviços e cumprimento de obrigações legais. Os principais tipos de dados  coletados incluem: 

a. Dados Cadastrais – Nome completo, CPF, data de nascimento, nacionalidade, estado civil, profissão e  informações bancárias; 

b. Dados de Contato – Informações como endereço, e-mail e número de telefone para comunicação com  os titulares; 

c. Dados Financeiros – Informações sobre renda, histórico de crédito, transações financeiras e dados  bancários; 

d. Dados Biométricos – Fotografia do rosto, impressões digitais, reconhecimento facial e outras  informações biométricas para fins de autenticação e segurança; 

e. Dados de Navegação – Informações sobre a interação do usuário com o site e/ou aplicativo, como  endereço IP, localização geográfica, sistema operacional, navegador e páginas acessadas; e 

f. Dados Sensíveis – Quando estritamente necessário e em conformidade com a legislação, informações  sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dados genéticos,  dados relativos à saúde ou à vida sexual, e dados sobre orientação sexual. 

6.2 Formas de Coleta – Os dados pessoais podem ser coletados pela Franco S.A. de diversas formas,  incluindo: 

a. Cadastro na Plataforma – Dados fornecidos diretamente pelos titulares ao se cadastrarem na  plataforma da Franco S.A., como nome, endereço, e-mail e CPF; 

b. Uso de Cookies – Dados coletados automaticamente durante a navegação no site ou aplicativo, por  meio de cookies e outras tecnologias de rastreamento; 

c. Interações Diretas – Informações fornecidas pelos titulares em interações com o banco, como  atendimento ao cliente, consultas, transações financeiras, e participação em promoções ou pesquisas;  e 

d. Fontes Terceiras – Dados obtidos de parceiros comerciais, bureaus de crédito, empresas de combate  à fraude, e outras fontes autorizadas, sempre em conformidade com a legislação aplicável. 

6.3 Finalidades da Coleta – Os dados pessoais coletados são utilizados para diversas finalidades legítimas,  incluindo, mas não se limitando a: 

a. Prestação de Serviços – Fornecer e gerenciar os produtos e serviços financeiros oferecidos pela  Instituição, como abertura de contas, concessão de crédito e realização de transações financeiras; 

b. Cumprimento de Obrigações Legais – Atender às exigências legais e regulatórias, como prevenção à  lavagem de dinheiro, combate ao financiamento do terrorismo e cumprimento de ordens judiciais;

c. Segurança e Prevenção de Fraudes – Garantir a segurança das operações e prevenir fraudes, utilizando  dados biométricos e outras tecnologias de autenticação; 

d. Melhoria da Experiência do Usuário – Analisar o uso da plataforma para aprimorar funcionalidades,  personalizar a experiência do usuário e desenvolver novos produtos e serviços; 

e. Comunicação com Titulares – Enviar notificações, atualizações e comunicações relevantes aos  titulares, como informações sobre produtos, serviços e promoções, sempre respeitando as  preferências de comunicação dos titulares; 

f. Análise e Pesquisa – Realizar análises estatísticas, pesquisas de mercado e estudos de comportamento  para melhorar os serviços e estratégias do banco; e 

g. Gestão de Relacionamentos – Gerenciar o relacionamento com clientes, colaboradores, parceiros e  fornecedores, garantindo um atendimento eficiente e personalizado. 

7. TRATAMENTO DE DADOS PESSOAIS 

7.1 Bases Legais para o Tratamento – Nós da Franco S.A. realizamos o tratamento de dados pessoais com  base em fundamentos legais específicos, conforme estabelecido pela Lei Geral de Proteção de Dados  Pessoais (LGPD). As principais bases legais incluem: 

a. Consentimento – Tratamento realizado com o consentimento explícito do titular dos dados,  especialmente para finalidades específicas e informadas; 

b. Execução de Contrato – Tratamento necessário para a execução de um contrato no qual o titular dos  dados é parte, ou para procedimentos preliminares relacionados a um contrato; 

c. Cumprimento de Obrigação Legal ou Regulamentar – Tratamento necessário para o cumprimento de  obrigações legais ou regulatórias às quais a Franco S.A. está sujeita; 

d. Legítimo Interesse – Tratamento realizado para atender aos interesses legítimos da Franco S.A. ou de  terceiros, desde que não prevaleçam os direitos e liberdades fundamentais do titular dos dados; 

e. Proteção da Vida – Tratamento necessário para proteger a vida ou a incolumidade física do titular dos  dados ou de terceiros; 

f. Exercício Regular de Direitos – Tratamento necessário para o exercício regular de direitos em  processos judiciais, administrativos ou arbitrais; e 

g. Proteção do Crédito – Tratamento necessário para a proteção do crédito, conforme legislação  específica. 

7.2 Processamento e Armazenamento – Nós adotamos medidas técnicas e organizacionais adequadas para  garantir a segurança e a integridade dos dados pessoais durante todo o ciclo de vida do tratamento, desde  a coleta até o armazenamento e eventual eliminação. As principais práticas incluem: 

a. Criptografia – Utilização de tecnologias de criptografia para proteger os dados pessoais durante a  transmissão e o armazenamento;

b. Controle de Acesso – Implementação de controles rigorosos de acesso para garantir que apenas  pessoas autorizadas possam acessar os dados pessoais; 

c. Monitoramento e Auditoria – Realização de monitoramentos contínuos e auditorias periódicas para  identificar e mitigar riscos à segurança dos dados; e 

d. Retenção de Dados – Armazenamento dos dados pessoais pelo tempo necessário para cumprir as  finalidades informadas e em conformidade com as obrigações legais e regulatórias. Após o término do  prazo de retenção, os dados são eliminados de forma segura. 

7.3 Compartilhamento de Dados – Nós podemos compartilhar dados pessoais com terceiros em  determinadas circunstâncias, sempre em conformidade com a legislação aplicável e com as devidas  salvaguardas para proteger a privacidade dos titulares. As principais situações de compartilhamento  incluem: 

a. Parceiros Comerciais – Compartilhamento com parceiros comerciais para a prestação de serviços  contratados, sempre com a devida autorização dos titulares e em conformidade com a LGPD; 

b. Autoridades Governamentais – Compartilhamento com autoridades governamentais, regulatórias ou  judiciais, quando necessário para o cumprimento de obrigações legais ou regulatórias; 

c. Prestadores de Serviços – Compartilhamento com prestadores de serviços contratados pela Franco  S.A. para auxiliar na operação da plataforma e na prestação de serviços, garantindo que esses terceiros  cumpram com as exigências de proteção de dados; e 

d. Prevenção à Fraude – Compartilhamento com empresas especializadas em prevenção à fraude e  segurança da informação para proteger os dados e prevenir atividades ilícitas. 

7.4 Transferências Internacionais de Dados – A Franco S.A. pode transferir dados pessoais para outros países  principalmente em função de armazenamento em servidores de computação em nuvem localizados fora  do Brasil. Nessas situações, nós adotamos todas as medidas necessárias para garantir que a transferência  seja realizada em conformidade com a LGPD e com as melhores práticas de segurança e privacidade. As  principais práticas incluem: 

a. Acordos de Transferência – Celebração de acordos de transferência de dados com cláusulas  contratuais padrão ou outras garantias adequadas para proteger os dados pessoais; 

b. Avaliação de Conformidade – Realização de avaliações de conformidade para garantir que os  destinatários dos dados em outros países ofereçam um nível de proteção adequado; e 

c. Notificação aos Titulares – Informar os titulares sobre a transferência internacional de seus dados  pessoais, quando aplicável e obter o consentimento necessário, conforme exigido pela legislação. 

8. DIREITOS DOS TITULARES DOS DADOS 

A Franco S.A. reconhece e respeita os direitos dos titulares de dados pessoais, conforme estabelecido pela Lei  Geral de Proteção de Dados Pessoais. A seguir, detalhamos os principais direitos e como os titulares podem  exercê-los: 

8.1 Confirmação e Acesso – Os titulares de dados têm o direito de obter a confirmação da existência de  tratamento de seus dados pessoais e de acessar esses dados. Para exercer esse direito, o titular pode:

a. Solicitar Confirmação – Enviar uma solicitação à Franco S.A. para confirmar se seus dados pessoais  estão sendo tratados; e 

b. Acesso aos Dados – Solicitar uma cópia dos dados pessoais que a Franco S.A. possui sobre o titular,  incluindo informações sobre as finalidades do tratamento, as categorias de dados tratadas, e os  destinatários com quem os dados foram compartilhados. 

8.2 Correção e Atualização – Os titulares de dados têm o direito de solicitar a correção de dados pessoais  incompletos, inexatos ou desatualizados. Para exercer esse direito, o titular pode: 

a. Solicitar Correção – Nos enviar uma solicitação para corrigir ou atualizar os dados pessoais, fornecendo  as informações corretas e, se necessário, documentos comprobatórios; e 

b. Atualização de Dados – Utilizar os nossos canais de comunicação, como o aplicativo ou o site, para  atualizar diretamente suas informações cadastrais. 

8.3 Anonimização, Bloqueio ou Eliminação – Os titulares de dados têm o direito de solicitar a anonimização,  bloqueio ou eliminação de dados pessoais que sejam desnecessários, excessivos ou tratados em  desconformidade com a LGPD. Para exercer esse direito, o titular pode: 

a. Solicitar Anonimização – Pedir que os dados pessoais sejam anonimizados, de forma que não possam  mais ser associados ao titular; 

b. Solicitar Bloqueio – Solicitar o bloqueio do tratamento de dados pessoais até que a conformidade com  a LGPD seja verificada; e 

c. Solicitar Eliminação – Solicitar a eliminação de dados pessoais, exceto nos casos em que a manutenção  dos dados seja necessária para cumprimento de obrigações legais ou regulatórias, ou para o exercício  regular de direitos. 

8.4 Portabilidade dos Dados – Os titulares de dados têm o direito de solicitar a portabilidade de seus dados  pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa. Para exercer esse  direito, o titular pode: 

a. Solicitar Portabilidade – Enviar uma solicitação à Franco S.A. para transferir seus dados pessoais a  outro controlador, observando as regulamentações aplicáveis e garantindo a segurança dos dados  durante o processo de transferência. 

8.5 Informação sobre Compartilhamento – Os titulares de dados têm o direito de serem informados sobre  as entidades públicas e privadas com as quais nós realizamos o uso compartilhado de seus dados pessoais.  Para exercer esse direito, o titular pode: 

Solicitar Informação – Enviar uma solicitação à Franco S.A. para obter informações sobre os terceiros com  quem seus dados foram compartilhados, incluindo a finalidade do compartilhamento e as medidas de  proteção adotadas. 

8.6 Revogação do Consentimento – Os titulares de dados têm o direito de revogar o consentimento  previamente concedido para o tratamento de seus dados pessoais, a qualquer momento. Para exercer  esse direito, o titular pode:

a. Solicitar Revogação – Enviar uma solicitação à Franco S.A. para revogar o consentimento,  especificando quais tratamentos de dados devem ser interrompidos; e 

b. Consequências da Revogação – Ser informado sobre as possíveis consequências da revogação do  consentimento, como a impossibilidade de continuar utilizando determinados serviços ou  funcionalidades da plataforma. 

9. MEDIDAS DE SEGURANÇA 

Nós adotamos uma série de medidas técnicas e organizacionais para garantir a segurança e a integridade dos  dados pessoais tratados, protegendo-os contra acessos não autorizados, perdas, alterações e divulgações  indevidas. A seguir, detalhamos as principais medidas de segurança implementadas: 

9.1 Criptografia e Proteção de Dados – A criptografia é uma medida fundamental para proteção de dados  pessoais durante a transmissão e o armazenamento. Nós utilizamos tecnologias avançadas de criptografia  para garantir a confidencialidade e a integridade dos dados. As principais práticas incluem: 

a. Criptografia em Trânsito – Utilização de protocolos de criptografia, como TLS (Transport Layer  Security), para proteger os dados pessoais durante a transmissão entre o dispositivo do usuário e os  servidores da Franco S.A.; 

b. Criptografia em Repouso – Armazenamento de dados pessoais em bancos de dados criptografados,  utilizando algoritmos robustos como AES-256, para garantir que os dados estejam protegidos mesmo  quando não estão em uso; e 

c. Proteção de Dados Sensíveis – Aplicação de medidas adicionais de proteção para dados pessoais  sensíveis, como dados biométricos e informações financeiras, garantindo um nível de segurança ainda  mais elevado. 

9.2 Controle de Acesso e Autenticação – O controle de acesso e a autenticação são essenciais para garantir  que apenas pessoas autorizadas possam acessar os dados pessoais. A Franco S.A. implementa rigorosos  controles de acesso e autenticação para proteger os dados. As principais práticas incluem: 

a. Autenticação Multifator (MFA) – Utilização de autenticação multifator para verificar a identidade dos  usuários, exigindo múltiplas formas de verificação, como senha e código enviado por SMS ou e-mail; 

b. Gestão de Perfis de Acesso – Definição de perfis de acesso com base nas responsabilidades e  necessidades de cada colaborador, garantindo que cada pessoa tenha acesso apenas às informações  necessárias para o desempenho de suas funções; e 

c. Revisão Periódica de Acessos – Realização de revisões periódicas dos acessos concedidos, garantindo  que os privilégios de acesso estejam atualizados e alinhados com as funções e responsabilidades dos  colaboradores. 

9.3 Monitoramento e Auditoria – O monitoramento contínuo e a auditoria são essenciais para identificar e  mitigar riscos à segurança dos dados. A Franco S.A. adota práticas robustas de monitoramento e auditoria  para garantir a segurança dos dados pessoais. As principais práticas incluem: 

a. Monitoramento Contínuo – Implementação de sistemas de monitoramento contínuo para detectar  atividades suspeitas e potenciais ameaças à segurança dos dados, permitindo uma resposta rápida a  incidentes;

b. Auditorias Regulares – Realização de auditorias periódicas, tanto internas quanto externas, para  avaliar a conformidade com as políticas de segurança e identificar áreas de melhoria; e 

c. Registro de Logs – Manutenção de registros detalhados de atividades (logs) nos sistemas e aplicativos,  incluindo acessos, alterações e tentativas de acesso, para permitir a rastreabilidade e a investigação  de incidentes de segurança. 

9.4 Gestão de Incidentes de Segurança – A gestão de incidentes de segurança é crucial para minimizarmos  os impactos de eventuais violações de dados e garantir a continuidade de nossas operações. A Franco S.A. possui um processo estruturado para a gestão de incidentes de segurança, incluindo: 

a. Plano de Resposta a Incidentes – Desenvolvimento e implementação de um plano de resposta a  incidentes, detalhando os procedimentos a serem seguidos em caso de violação de dados ou outros  incidentes de segurança; 

b. Equipe de Resposta a Incidentes – Formação de uma equipe dedicada à resposta a incidentes de  segurança, composta por profissionais qualificados e treinados para lidar com diferentes tipos de  incidentes; 

c. Comunicação de Incidentes – Estabelecimento de canais de comunicação para notificar rapidamente  as partes interessadas, incluindo autoridades regulatórias e titulares de dados, em caso de incidentes  de segurança que possam afetar os dados pessoais; e 

d. Análise Pós-Incidente – Realização de análises detalhadas após a resolução de incidentes de segurança  para identificar a causa raiz, avaliar os impactos e implementar medidas corretivas para prevenir  futuras ocorrências. 

10. RETENÇÃO E ELIMINAÇÃO DE DADOS 

A Franco S.A. adota práticas rigorosas para a retenção e eliminação de dados pessoais, garantindo que os dados  sejam mantidos apenas pelo tempo necessário para cumprir as finalidades para as quais foram coletados, em  conformidade com a legislação aplicável. A seguir, detalhamos as práticas relacionadas à retenção e eliminação  de dados: 

10.1 Prazos de Retenção – Os prazos de retenção de dados pessoais são definidos com base nas finalidades  para as quais os dados foram coletados, bem como em obrigações legais e regulatórias. As principais  práticas incluem: 

a. Dados de Cadastro – Dados pessoais fornecidos pelo usuário durante o cadastro na plataforma serão  mantidos enquanto a conta estiver ativa e pelo período necessário para cumprir obrigações legais ou  regulatórias; 

b. Dados de Transações – Informações relacionadas a transações financeiras serão mantidas pelo tempo  exigido por leis e regulamentos aplicáveis, como as normas do Banco Central do Brasil; 

c. Dados de Navegação – Registros de navegação e cookies serão mantidos pelo período necessário para  análise de desempenho e segurança, conforme descrito na seção de Cookies e Tecnologias de  Rastreamento; e

d. Dados Sensíveis – Dados pessoais sensíveis serão mantidos pelo menor tempo possível, de acordo  com a necessidade específica e as bases legais aplicáveis. 

10.2 Critérios para Eliminação – A eliminação de dados pessoais é realizada de acordo com critérios  específicos, garantindo que os dados sejam removidos de forma segura e em conformidade com a  legislação. Os principais critérios incluem: 

a. Finalidade Cumprida – Dados pessoais serão eliminados quando a finalidade para a qual foram  coletados for alcançada e não houver necessidade de retenção adicional; 

b. Revogação de Consentimento – Dados pessoais tratados com base no consentimento do titular serão  eliminados mediante solicitação de revogação, exceto quando houver outra base legal que justifique  a retenção; 

c. Excesso ou Desnecessidade – Dados pessoais considerados excessivos ou desnecessários para as  finalidades pretendidas serão eliminados, conforme verificação interna; e 

d. Obrigações Legais – Dados pessoais serão mantidos pelo período exigido por obrigações legais ou  regulatórias, sendo eliminados após o cumprimento dessas obrigações. 

10.3 Procedimentos de Descarte Seguro – Nós adotamos procedimentos rigorosos para o descarte seguro de  dados pessoais, garantindo que a eliminação seja realizada de maneira a proteger a privacidade dos  titulares e a integridade dos dados. As principais práticas incluem: 

a. Métodos de Descarte – Utilização de métodos seguros de eliminação de dados, como a destruição  física de documentos em papel e a exclusão segura de dados eletrônicos, garantindo que os dados não  possam ser recuperados; 

b. Políticas de Descarte – Implementação de políticas e procedimentos internos para orientar o descarte  seguro de dados pessoais, incluindo a definição de responsabilidades e a realização de treinamentos  para colaboradores; 

c. Auditoria de Descarte – Realização de auditorias periódicas para verificar a conformidade com as  políticas de descarte seguro e identificar oportunidades de melhoria nos processos de eliminação de  dados; e 

d. Registro de Eliminação – Manutenção de registros detalhados das operações de eliminação de dados,  incluindo a data, o método utilizado e os responsáveis pelo processo, garantindo a rastreabilidade e a  transparência. 

11. RESPONSABILIDADE E GOVERNANÇA 

Adotamos uma abordagem robusta para garantir a proteção dos dados pessoais, definindo claramente as  responsabilidades e implementando estruturas de governança eficazes. A seguir, detalhamos as práticas  relacionadas às responsabilidades e governança: 

11.1 Responsável pelo Tratamento de Dados – A Franco S.A. designa um responsável específico pelo  tratamento de dados pessoais, conhecido como Data Protection Officer (DPO) ou Encarregado de  Proteção de Dados, conforme exigido pela legislação aplicável. As principais responsabilidades do DPO  incluem:

a. Supervisão da Conformidade – Garantir que a Instituição esteja em conformidade com as leis e  regulamentos de proteção de dados, incluindo a Lei Geral de Proteção de Dados (LGPD); 

b. Gestão de Políticas – Desenvolver, implementar e revisar as políticas de privacidade e proteção de  dados, assegurando que estejam atualizadas e adequadas às nossas práticas; 

c. Ponto de Contato – Atuar como ponto de contato para titulares de dados e autoridades de proteção  de dados, respondendo a consultas e solicitações relacionadas ao tratamento de dados pessoais; e 

d. Monitoramento e Auditoria – Realizar monitoramento contínuo e auditorias periódicas para verificar  a conformidade com as políticas de privacidade e identificar áreas de melhoria. 

11.2 Comitê de Privacidade e Proteção de Dados – Estabelecemos um Comitê de Privacidade e Proteção de  Dados para apoiar a governança e a gestão de dados pessoais. As principais funções e responsabilidades  do comitê incluem: 

a. Definição de Estratégias – Desenvolver e revisar estratégias de privacidade e proteção de dados,  alinhando-as com os objetivos de negócios e as exigências regulatórias; 

b. Avaliação de Riscos – Identificar e avaliar riscos relacionados ao tratamento de dados pessoais,  implementando medidas para mitigar esses riscos; 

c. Revisão de Incidentes – Analisar e revisar incidentes de segurança e violações de dados, garantindo  que ações corretivas sejam tomadas e que lições aprendidas sejam incorporadas nas práticas futuras;  e 

d. Relatórios e Transparência – Fornecer relatórios regulares à Alta Administração sobre o status da  conformidade com a privacidade e proteção de dados, promovendo a transparência e a  responsabilidade. 

11.3 Treinamento e Conscientização – A Franco S.A. reconhece a importância do treinamento e da  conscientização para garantir que todos os nossos colaboradores compreendam suas responsabilidades  em relação à privacidade e proteção de dados. As principais práticas incluem: 

a. Programas de Treinamento – Desenvolver e implementar programas de treinamento regulares para  todos, abordando tópicos como políticas de privacidade, práticas de segurança de dados e  procedimentos de resposta a incidentes; 

b. Conscientização Contínua – Promover campanhas de conscientização contínuas, utilizando diversos  canais de comunicação, como e-mails, newsletters, workshops e seminários, para manter os  colaboradores informados sobre as melhores práticas e as atualizações regulatórias; 

c. Avaliação de Conhecimento – Realizar avaliações periódicas de conhecimento para garantir que os  colaboradores compreendam e apliquem corretamente as políticas e procedimentos de privacidade e  proteção de dados; e 

d. Treinamento Específico – Oferecer treinamentos específicos para funções críticas, como equipes de  TI, segurança da informação e atendimento ao cliente, garantindo que estejam preparados para lidar  com questões complexas de privacidade e proteção de dados.

12. POLÍTICA DE COMUNICAÇÃO 

A Instituição valoriza a transparência e a clareza na comunicação com os titulares de dados, garantindo que  todas as informações relevantes sobre o tratamento de dados pessoais sejam facilmente acessíveis e  compreensíveis. A seguir, detalhamos as práticas relacionadas à comunicação: 

12.1 Comunicação com os Titulares de Dados – A Franco S.A. se compromete a manter uma comunicação  clara e contínua com os titulares de dados, garantindo que estejam informados sobre como seus dados  pessoais são coletados, utilizados e protegidos. As principais práticas incluem: 

a. Transparência – Fornecer informações claras e detalhadas sobre as práticas de tratamento de dados  pessoais, incluindo a finalidade da coleta, as bases legais, os direitos dos titulares e as medidas de  segurança que nós adotamos; 

b. Acessibilidade – Garantir que as informações sobre a política de privacidade e proteção de dados  estejam facilmente acessíveis em todos os nossos canais de comunicação, incluindo o website,  aplicativos móveis e materiais impressos; e 

c. Atualizações Regulares – Manter os titulares de dados informados sobre quaisquer atualizações ou  mudanças significativas nas práticas de tratamento de dados, utilizando diversos canais de  comunicação para alcançar todos os públicos. 

12.2 Notificações de Alterações na Política – Nos comprometemos a notificar os titulares de dados sobre  quaisquer alterações relevantes na nossa Política de Privacidade e Proteção de Dados, garantindo que  estejam cientes das mudanças e de como elas podem impactar o tratamento de seus dados. As principais  práticas incluem: 

a. Comunicação Antecipada – Notificar os titulares de dados sobre alterações na política de privacidade  com antecedência razoável, permitindo que tenham tempo suficiente para revisar e compreender as  mudanças; 

b. Meios de Notificação – Utilizar diversos meios de comunicação para notificar os titulares de dados  sobre alterações na política, incluindo e-mails, notificações push, mensagens SMS e anúncios no  website e aplicativos móveis; 

c. Detalhamento das Alterações – Fornecer um resumo claro e conciso das alterações realizadas na  política de privacidade, destacando as mudanças mais relevantes e como elas impactam o tratamento  de dados pessoais; e 

d. Confirmação de Leitura – Sempre que possível, solicitar a confirmação de leitura das notificações de  alteração da política, garantindo que os titulares de dados estejam cientes das mudanças. 

12.3 Canais de Atendimento e Suporte – A Franco S.A. disponibiliza diversos canais de atendimento e suporte  para garantir que os titulares de dados possam esclarecer dúvidas, exercer seus direitos e obter  informações sobre o tratamento de seus dados pessoais. As principais práticas incluem: 

a. Canais Diversificados – Oferecer múltiplos canais de atendimento, incluindo telefone, e-mail, chat  online e atendimento presencial, garantindo que os titulares de dados possam escolher o meio mais  conveniente para entrar em contato;

b. Equipe Treinada – Assegurar que a equipe de atendimento esteja devidamente treinada e capacitada  para responder a consultas sobre privacidade e proteção de dados, fornecendo informações precisas  e completas; 

c. Tempo de Resposta – Estabelecer prazos claros para resposta às solicitações dos titulares de dados,  garantindo que sejam atendidas de maneira eficiente e dentro dos prazos legais estabelecidos; e 

d. Registro de Solicitações – Manter um registro detalhado de todas as solicitações recebidas e das  respostas fornecidas, garantindo a rastreabilidade e a transparência no atendimento aos titulares de  dados. 

13. DISPOSIÇÕES FINAIS 

As disposições gerais da Política de Privacidade de Dados da Franco S.A. visam garantir a clareza e a  conformidade contínua com as normas legais e regulatórias aplicáveis. A seguir, detalhamos as práticas  relacionadas às disposições gerais: 

13.1 Revisão e Atualização da Política – A Franco S.A. se compromete a revisar e atualizar regularmente sua  Política de Privacidade de Dados para garantir que ela permaneça em conformidade com as leis e  regulamentos aplicáveis, bem como para refletir as melhores práticas do setor e as mudanças nas nossas  operações. As principais práticas incluem: 

a. Periodicidade de Revisão – Estabelecer uma periodicidade mínima para a revisão da política,  recomendando que seja realizada pelo menos uma vez por ano ou sempre que houver mudanças  significativas nas leis, regulamentos ou operações do banco; 

b. Processo de Atualização – Definir um processo claro para a atualização da Política, incluindo a  identificação de responsáveis pela revisão, a consulta a especialistas internos e externos, e a aprovação  final pela Alta Administração;  

c. Comunicação das Atualizações – Garantir que todas as atualizações da política sejam comunicadas de  maneira clara e oportuna aos titulares de dados, conforme descrito na seção 12.2 Notificações de  Alterações na Política; e 

d. Documentação das Mudanças – Manter um registro detalhado de todas as mudanças realizadas na  Política, incluindo a data da alteração, a natureza das mudanças e os motivos que levaram à  atualização. 

13.2 Declaração de Consentimento 

Ao longo desta Política de Privacidade, informamos que alguns de seus dados pessoais, utilizados para  viabilizar operações financeiras e consultas ao Sistema de Informações de Crédito (SCR), serão tratados  pela Franco S.A. somente com o seu consentimento e para as finalidades descritas. 

Ao ler esta Política de Privacidade e clicar, ao final, em: 

"Eu li, estou ciente das condições de tratamento dos meus dados pessoais e forneço meu  consentimento, quando aplicável, conforme descrito nesta Política de Privacidade". 

Você autoriza expressamente a Fran Corporation Universal Sociedade de Crédito Direto S.A. a coletar,  armazenar, tratar, processar e utilizar seus dados pessoais conforme descrito nesta Política.

Nas hipóteses em que as alterações a esta Política de Privacidade resultarem em mudanças nas práticas  de tratamento de dados pessoais que dependam do seu consentimento, solicitaremos o seu  consentimento com os novos termos em relação ao tratamento de dados e finalidades indicados. 

Você pode revogar seu consentimento a qualquer momento, mediante solicitação à Franco S.A. através  dos nossos canais de comunicação. A revogação do consentimento pode resultar na impossibilidade de  uso de algumas ou na totalidade de funcionalidades do serviço. 

13.3 Legítimo Interesse 

Ao longo desta Política de Privacidade de Dados, informamos que alguns dados pessoais poderão ser  tratados pela Franco S.A. para atender aos seus interesses legítimos ou de terceiros: 

a. Melhoria de Serviços – Analisar e melhorar a experiência do usuário em nossa plataforma; b. Segurança – Garantir a segurança dos nossos sistemas e prevenir fraudes; e 

c. Comunicação – Enviar notificações e informações relevantes sobre nossos serviços. 

Nesses casos, realizamos uma avaliação criteriosa para ponderar se os interesses em questão são  legítimos, se o tratamento dos dados pessoais é necessário para atingir esses interesses e considerando  ainda as suas liberdades e direitos fundamentais enquanto titular dos dados. 

Asseguramos que o tratamento de dados pessoais baseado em legítimo interesse será sempre realizado  de forma transparente e em conformidade com as melhores práticas de proteção de dados, garantindo  que os direitos e liberdades dos seus titulares sejam respeitados. 

13.4 Foro Competente – Para dirimir quaisquer disputas ou controvérsias decorrentes do tratamento de dados  pessoais, a Franco S.A. estabelece que o foro competente será o da Comarca de Fortaleza, capital do  Estado do Ceará.  

Caso você tenha alguma opinião ou sugestão quanto a esta Política, teremos prazer de lhe escutar.