Política de Privacidade de dados

1. INTRODUÇÃO

1.1. O Grupo Órama respeita a privacidade e se dedica a proteger os dados pessoais de seus clientes, colaboradores, usuários do site e plataforma, e de todos aqueles indivíduos a cujos dados pessoais tem acesso (“titulares”), em virtude do fornecimento de seus produtos e serviços.

1.2. Esta Política de Privacidade (“Política”) tem por objetivo tornar pública a forma como o Grupo Órama utiliza dados pessoais em seu dia a dia, ratificando o compromisso com os princípios da ética, transparência, segurança e respeito em todas as nossas relações.

1.3. Nesta Política, também são descritas a forma como os titulares de dados pessoais poderão exercer os direitos que possuem em relação aos seus dados e como o Grupo Órama trabalha para protegê-los.

1.4. A presente Política foi desenvolvida com base na Lei nº 13.709, de 14 de agosto de 2018 (“Lei Geral de Proteção de Dados” ou “LGPD”) e nos demais atos normativos que regulam a proteção de dados pessoais no Brasil, em vigor no momento de sua elaboração (em conjunto referidas como “legislação de proteção de dados”).

2. ABRANGÊNCIA

2.1. Esta Política deve ser observada por todos os colaboradores da Órama Distribuidora de Títulos e Valores Mobiliários S.A. (“Órama”) e da Órama Singular Gestão de Recursos Ltda. (“Singular”), designadas em conjunto como “Grupo Órama”.

3. ÁREAS GESTORAS

3.1. Compliance e Segurança da Informação.

4. DEFINIÇÕES

• Anonimização: utilização de meios técnicos para que o dado não seja associado, direta ou indireta, a um indivíduo.
• Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública federal responsável por zelar, implementar e fiscalizar o cumprimento da Lei nº 13.709/2018.
• Banco Central do Brasil (BCB): autarquia federal criada pela Lei nº 4.595/1964, responsável por regular e fiscalizar as instituições financeiras e demais instituições por ela autorizadas a funcionar.
• Cliente: investidor que mantém relacionamento comercial com o Grupo Órama.
• Cookies: são arquivos de texto enviados e armazenados no computador do usuário, que, em geral, servem para reconhecer, acompanhar e armazenar sua navegação no site, bem como oferecer um serviço mais personalizado, de acordo com as características e interesses do usuário.
• Colaboradores: diretores, funcionários, estagiários, prestadores de serviços terceirizados e quaisquer pessoas que, em virtude de seus cargos, funções ou posições no Grupo Órama, tenham acesso a informações relevantes sobre as empresas do Grupo, seus clientes, produtos ou estratégias de investimento.
• Comissão de Valores Mobiliários (CVM): autarquia federal criada pela Lei nº 6.385/1976, responsável por regular e fiscalizar o mercado de valores mobiliários.
• Dado pessoal: toda e qualquer informação relacionada a uma pessoa natural, por meio da qual ela seja ou possa vir a ser identificada (Ex.: nome, CPF, endereço, gênero, data de nascimento etc.).
• Diretrizes: orientações, instruções para a condução dos negócios e implementação de controles internos.
• Encarregado de Dados Pessoais: ou “Data Protection Officer”, em inglês, ou simplesmente DPO, é o profissional que, dentro de uma empresa, é encarregado de cuidar das questões referentes à proteção dos dados da organização e de seus clientes.
• Parceiros: pessoas que realizam acordos comerciais ou associações com o Grupo Órama.
• Princípios: valores que direcionam e orientam a atuação do Grupo Órama.
• Titular: pessoa a quem se referem os dados pessoais que são objeto de tratamento (Ex.: o colaborador, o cliente ou o usuário do site).
• Tratamento de dados pessoais: toda operação realizada com dados pessoais. São formas de tratamento de dados: a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

5. DIRETRIZES

5.1. Dados Pessoais

5.1.1. O Grupo Órama poderá coletar dados pessoais diretamente mediante solicitação ao titular, seja por e-mail, contato telefônico, pelo site da Órama, por meio de documentos apresentados pelo titular, ou por outros meios indiretos, como pelo acesso a cadastros públicos, processos judiciais e informações prestadas por autoridades competentes, além de bases de dados comuns, como o Sistema Integrado de Administração de Corretoras (Sinacor).

5.1.2. A depender da atividade e do titular, poderão ser coletados diferentes dados pessoais, a exemplo de:

• Usuários do site não cadastrados: dados do dispositivo utilizado no acesso e dados de navegação;
• Usuários do site cadastrados: dados do dispositivo utilizado no acesso, dados de navegação, dados cadastrais, como nome e endereço de e-mail, e informações eventualmente prestadas por meio dos nossos canais de atendimento;
• Clientes: dados cadastrais (como nome, CPF e telefone), dados de contato (como endereço de e-mail e residencial), dados financeiros (como contas bancárias), dados necessários para o cumprimento de exigências legais (como relações com terceiros e seus dados pessoais), e dados de autenticação;
• Colaboradores: dados coletados na ficha cadastral, dados de contato, dados financeiros e dados de dependentes. Poderão também ser solicitados dados sensíveis, como fotos, para a correta identificação do titular, e outros como dados de gênero, raça e orientação sexual, para finalidades específicas eventuais, como para políticas internas de promoção da diversidade.
• Candidatos: dados cadastrais, dados de contato, registros acadêmicos e informações profissionais, até a conclusão do processo seletivo.
• Assessores de Investimentos: dados cadastrais, dados de contato e dados necessários para o cumprimento de exigências legais.
• Outros terceiros: dados cadastrais, dados de contato e dados da empresa.

5.2. Finalidades do Tratamento

5.2.1. O Grupo Órama realiza o tratamento de dados pessoais em diversos processos do seu dia a dia, especialmente em atividades relacionadas ao fornecimento de seus serviços e produtos. A quantidade e a natureza das informações coletadas variam de acordo com a finalidade, a necessidade e a natureza da relação com o titular do dado, buscando, sempre que possível, o tratamento mínimo de dados necessários para a finalidade pretendida.

5.2.2. Em nome da transparência na relação com os titulares de dados, listamos abaixo algumas das principais finalidades para as quais o Grupo Órama poderá coletar e utilizar dados pessoais:

• Criação de conta, cadastro e ativação de clientes na plataforma da Órama;
• Prestação de serviços contratados, desenvolvimento e distribuição de novos produtos;
• Cumprir obrigações legais e regulatórias;
• Enviar comunicados e informativos;
• Realizar ações de comunicação interna, publicidade e marketing, e divulgar serviços e produtos;
• Efetuar políticas de promoção da diversidade;
• Cadastrar assessores de investimento e terceiros parceiros;
• Cadastrar vagas e realizar processos de recrutamento e seleção de talentos;
• Analisar e fazer pesquisas com clientes e parceiros;
• Prestar suporte no atendimento de demandas dos titulares de dados;
• Efetuar aprimoramentos no desempenho e na segurança de nossas redes e sistemas;
• Aprimorar o Programa de Compliance;
• Impedir a ocorrência de fraudes e resolvê-las;
• Controlar o acesso de colaboradores a sistemas e dispositivos;
• Resolver incidentes de segurança da informação;
• Apurar a ocorrência de ilegalidades.

5.3. Atividades de Tratamento

5.3.1. O Grupo Órama somente realiza tratamento dos dados pessoais necessários, considerando a finalidade de cada atividade desenvolvida, pelo tempo suficiente e nas hipóteses elencadas na LGPD, conforme exemplos a seguir:

• Para cumprir obrigações legais e/ou regulatórias, atendendo às exigências da legislação trabalhista ou previdenciária referentes a colaboradores, bem como para atender às normas emitidas pelos órgãos reguladores que regulamentam e fiscalizam as atividades desempenhadas pelo Grupo Órama;
• Para executar o contrato de prestação de serviços com o titular (a exemplo de quando é solicitado o endereço de e-mail ao cliente para que ele possa abrir sua conta e receber as comunicações correspondentes);
• Quando há um legítimo interesse do Grupo Órama, garantidos os direitos do titular, a exemplo de quando são utilizados dados de cadastro do cliente para que ele seja informado sobre eventuais melhorias em produtos e/ou serviços de seu interesse, com o objetivo de tornar a experiência do cliente ainda mais vantajosa;
• Para prevenir fraudes e garantir a segurança do Grupo Órama, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos. Nesse caso, são utilizados os dados pessoais necessários para confirmar a identidade do titular, evitando falsidades;
• Para que o Grupo Órama possa exercer seus direitos em processos judiciais, administrativos e arbitrais, a exemplo de quando é necessário provar que foram atendidas às solicitações feitas por um titular de dados;
• Quando é necessário tratar dados cujo acesso é público, sempre nos limites da LGPD;
• Para anonimizar os dados, de forma que não seja mais possível a identificação do titular, a exemplo de quando são feitas análises estatísticas para orientar decisões de negócios e oferecer aos clientes do Grupo Órama produtos mais adequados às suas necessidades.

5.3.2. Em outras hipóteses, o Grupo Órama poderá, ainda, solicitar o consentimento do titular para realizar uma determinada atividade de tratamento de dados, caso em que o titular terá todas as informações necessárias para tomar sua decisão livremente, podendo negar ou retirar o seu consentimento posteriormente, nos termos da LGPD.

5.4. Compartilhamento de Dados

5.4.1. Observados os limites impostos pela LGPD, poderá, ainda, ser necessário compartilhar dados pessoais com terceiros, incluindo parceiros de negócios e fornecedores, que se obrigarão a utilizá-los estritamente para os fins aos quais foram contratados, adotando as medidas de segurança necessárias para proteger os dados e respeitando as disposições da legislação de proteção de dados.

5.4.2. Ademais, os dados pessoais poderão ser compartilhados com autoridades competentes, no caso de comprovação ou suspeita de atividade ilícita, por exemplo.

5.5. Transferência Internacional de Dados

5.5.1. O Grupo Órama poderá armazenar dados pessoais em plataformas localizadas em outros países, observando sempre a legislação de proteção de dados aplicável no Brasil e no país de destino, de acordo com cláusulas contratuais específicas que visam o correto tratamento dos dados.

5.6. Guarda e Descarte

5.6.1. Os dados pessoais serão armazenados pelo Grupo Órama somente pelo tempo necessário à finalidade pretendida, sendo realizado, ao final, o seu descarte ou sua devolução ao titular, quando aplicável. Os dados poderão ser mantidos nas hipóteses em que for necessário utilizá-los para outras finalidades admitidas na legislação de proteção de dados, a exemplo do cumprimento de obrigação legal ou regulatória, ou para transferência a terceiros, respeitados os requisitos previstos na LGPD, ou, ainda, para uso exclusivo do Grupo Órama, hipótese em que os dados serão anonimizados.

5.7. Cookies

5.7.1. Como descrito em nossos Termos de Uso dos sites do Grupo Órama, utilizamos cookies próprios ou de terceiros em nossos sites a fim de alimentar funcionalidades e recursos disponibilizados aos usuários, além de obter informações estatísticas sobre as interações dos usuários com os nossos sites.

5.7.2. À exceção dos cookies necessários ao funcionamento do site e daqueles que não coletam dados pessoais, os demais cookies somente são habilitados mediante consentimento do usuário.

5.7.3. Em todos os casos, dados pessoais somente são coletados ou de outra forma tratados pelo Grupo Órama com base nas hipóteses legais permitidas na LGPD, inclusive o consentimento dos usuários, quando aplicável.

5.8. Segurança dos Dados

5.8.1. O Grupo Órama tem o compromisso de zelar pela confidencialidade, integridade e disponibilidade dos dados pessoais a que tem acesso em virtude de suas atividades. Para isso, adota uma série de medidas de segurança, técnicas e administrativas, com base em boas práticas de mercado, a fim de proteger os dados pessoais contra acessos não autorizados, ou quaisquer tipos de incidentes, sejam eles acidentais ou não, que possam resultar em tratamento inadequado ou ilícito dos dados e prejuízo aosseustitulares. Para mais informações sobre o assunto, consulte a Política de Segurança Cibernética, disponível no site da Órama (www.orama.com.br/compliance/).

5.8.2. O Grupo Órama também conta com a colaboração dos titulares usuários de nossos sites, plataformas e canais de comunicação, para que eles cuidem de seus dados e evitem comprometer sua segurança e a dos demais usuários, adotando medidas temerárias, a exemplo do compartilhamento de suas credenciais com terceiros, o acesso por redes inseguras, ou outras ações que possam colocar em risco à segurança dos dados pessoais.

5.8.3. Na eventualidade da ocorrência de incidentes de segurança, o Grupo Órama se compromete a tratar os referidos incidentes, garantindo que eles sejam adequadamente detectados, registrados, classificados, investigados, corrigidos, documentados e, quando da ocorrência de incidente relevante que afete sistemas críticos e tenha impacto significativo sobre os clientes, que sejam comunicados tempestivamente à Diretoria e às autoridades competentes, incluindo o Banco Central do Brasil (BCB) e a Comissão de Valores Mobiliários (CVM), conforme aplicável.

5.8.4. O Grupo Órama se compromete a notificar entidades reguladoras e autoridades competentes, inclusive a Autoridade Nacional de Proteção de Dados (ANPD), parceiros comerciais, titulares de dados pessoais, clientes, quando aplicável e desde que não sejam informações protegidas por sigilo, sobre os incidentes que tenham potencial ou comprovado comprometimento de dados dos clientes, parceiros, colaboradores, ou quaisquer titulares de dados pessoais tratados pelo Grupo Órama, na forma da legislação e regulamentação vigente, ou em não mais que 48 (quarenta e oito) horas após a conclusão da investigação do evento.

6. DIREITOS DO TITULAR

6.1. A legislação de proteção de dados confere aos titulares de dados pessoais uma série de direitos que podem ser exercidos em relação aos agentes de tratamento, neste caso, o Grupo Órama e outros agentes que tratem os seus dados a pedido do Grupo Órama.

6.2. Listamos a seguir os principais direitos previstos na LGPD:

DIREITO	DESCRIÇÃO
Confirmação da existência do tratamento de dados	O Titular tem direito a obter confirmação sobre a existência do tratamento dos dados, sem que se exija qualquer justificativa sobre o pedido, ainda que essa informação já tenha sido fornecida no momento da coleta de dados.
Acesso aos dados pessoais	O Titular pode solicitar acesso ou cópia de seus dados pessoais em um formato legível, sob a forma impressa ou por meio eletrônico.
Alteração ou Correção de dados pessoais	O Titular pode editar ou solicitar a edição de todos ou alguns de seus dados pessoais. A edição dos dados inclui atualizações, alterações ou correções de seus dados em determinados casos, principalmente se eles estiverem incorretos.
Anonimização, bloqueio ou eliminação dos dados pessoais excessivos	O Titular pode solicitar que seus dados pessoais sejam anonimizados, bloqueados temporariamente para determinadas finalidades, ou eliminados, desde que fique efetivamente constatado o excesso, a falta de necessidade ou a desconformidade com a lei.
Portabilidade dos dados, observado o segredo comercial e industrial	O Titular tem direito a obter os dados pessoais de forma estruturada e de modo a que possam ser transmitidos a outro Controlador (Portabilidade), sendo preservados os segredos comercial e industrial.
Eliminação dos dados pessoais	O Titular tem direito a solicitar a eliminação de seus dados da base de dados do agente de tratamento, exceto nas hipóteses previstas na Lei.
Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados	O Titular tem o direito a obter informação sobre as entidades/operadores com os quais os seus dados foram compartilhados.
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa (“granulado”)	O Titular tem direito a ser informado que poderá não conceder o consentimento e quais são as consequências de sua negativa. O Titular tem direito a consentir com o tratamento de dados em parte, para determinadas finalidades e não para outras, e de ser informado sobre a consequência da negativa do seu consentimento.
Revogação do consentimento do Titular ou Negar Consentimento	O Titular pode solicitar, a qualquer momento, a revogação do consentimento ao tratamento de seus dados pessoais e negar o consentimento ao tratamento.
Oposição ao tratamento dos dados pessoais	O Titular pode opor-se ao tratamento de seus dados pessoais, quando este for baseado em uma das hipóteses de dispensa de consentimento, no caso de descumprimento ao disposto na Lei.

6.3. O Grupo Órama disponibiliza em seu site o Portal do Titular, que poderá ser utilizado por qualquer pessoa para o exercício de direitos como titular de dados, bem como para qualquer tipo de solicitação relacionada a dados pessoais.

6.4. Em caso de dúvidas, reclamações ou caso queira exercer algum de seus direitos, o titular poderá, ainda, entrar em contato diretamente com o Encarregado pelo tratamento de dados pessoais (DPO) do Grupo Órama, a qualquer momento, nos contatos a seguir.

7. DADOS DO ENCARREGADO

7.1. Identidade: Pedro Paulo de Magalhães Oliveira Junior.

7.2. Informações de contato:

• E-mail: privacidade@orama.com.br
• Endereço: Praia de Botafogo 228, 18º andar, Botafogo, Rio de Janeiro, CEP: 22250-906.

8. REVISÃO

8.1. Esta Política deverá ser revisada periodicamente, ou sempre que necessário, em virtude da alteração de processos internos e/ou de mudanças legais ou regulamentares, especialmente relacionadas à legislação de proteção de dados.

9. VIGÊNCIA

9.1. Esta Política entrará em vigor na data de sua aprovação pela Diretoria.

10. LEGISLAÇÃO REFERENCIAL

▪ Lei nº 13.709/2018 – A Lei Geral de Proteção de Dados Pessoais (LGPD) dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado.

11. CONTROLE DE VERSÃO

Versão	Data da aprovação pela Diretoria	Versão revogada
1.0	01/12/2020	Não se aplica
1.1	18/02/2021	Versão anterior
1.2	05/09/2022	Versão atual