POLÍTICA DE GOVERNANÇA EM PRIVACIDADE E PROTEÇÃO DE DADOS VESTE

Esta Política de Governança em Privacidade e Proteção de Dados Pessoais (“Política”) compreende os princípios e os padrões de conduta que guiarão a atuação da VESTE S.A. ESTILO com relação a todos os dados pessoais que estejam sob seu controle, independentemente do meio pelo qual tais dados pessoais foram coletados, recebidos, obtidos ou gerados pela Veste. Para tanto, essa Política impõe e demonstra que o gerenciamento de dados pessoais feito pela Veste observa os princípios que regem a legislação de proteção de dados pessoais, além de estabelecer uma estrutura de responsabilidade focada na implementação e manutenção das práticas de governança em privacidade.

ESCOPO
São dados pessoais sujeitos a esta política, na forma de legislação aplicável, toda e qualquer informação relacionada a uma pessoa natural identificada ou que possa ser identificada mediante esforços razoáveis da Veste, ou ainda que possa ser individualizada por meio do tratamento dado a essas informações pela Veste, mesmo sem que seja identificada. Isso inclui informações sobre clientes, colaboradores, fornecedores e prestadores de serviços, além de outras pessoas que se relacionem com a Veste.

APLICAÇÃO
A Política aplica-se a todos os colaboradores, diretores e administradores, conselheiros, parceiros, fornecedores e prestadores de serviços envolvidos nas operações de tratamento de dados pessoais controlados Veste.

OBJETIVOS
A Veste respeita a privacidade e a autodeterminação informativa das pessoas cujos dados pessoais estejam sob seu controle, pautando-se sempre pela boa fé e pelo uso ético desses dados. A Veste nunca participará de nenhum tipo de comércio ilícito de dados pessoais e sempre agirá de modo a preservar os direitos e liberdades dos cidadãos afetados pelo tratamento de dados pessoais feito pela Veste. Como forma de atingir esses objetivos, esta Política também delimita as atribuições do Encarregado pelo Tratamento de Dados Pessoais (o “Encarregado”) e estabelece a criação de um Comitê de Privacidade para implementar e manter as boas práticas de governança em privacidade e proteção de dados pessoais da companhia.

PRINCÍPIOS
As práticas relacionadas à coleta, utilização, compartilhamento, manutenção, exclusão e, enfim, tratamento de dados pessoais, pela Veste, observarão os seguintes princípios, que devem ser seguidos por todos os seus colaboradores, diretores e administradores, conselheiros, parceiros, fornecedores e prestadores de serviços em suas atividades:

Finalidade: o tratamento de dados pessoais sempre será realizado para propósitos legítimos, específicos, explícitos e informados ao titular, bem como compatíveis com os interesses e atividades empresariais da Veste, de acordo com os objetivos de seus negócios, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
Adequação: o tratamento de dados pessoais sempre será compatível com finalidades informadas ao titular, de acordo com o contexto do tratamento.
Necessidade: o tratamento de dados pessoais, inclusive sua coleta e guarda pela Veste, será limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
Livre acesso: a Vestegarantirá aos titulares a consulta facilitada e gratuita sobre a forma e a duração do tratamento de seus respectivos dados pessoais, bem como acesso à integralidade de seus dados pessoais tratados pela Veste, salvo nos casos em que seja legítimo recusar-lhes tal acesso devido às finalidades e circunstâncias da utilização desses dados pessoais.
Qualidade dos dados: a Veste garantirá aos titulares que seus dados pessoais estarão exatos, claros e atualizados, bem como que apenas dados pessoais relevantes serão tratados pela Veste, de acordo com a necessidade e para o cumprimento das finalidades específicas de seu tratamento.
Transparência: na medida do possível, a Veste fornecerá informações claras, precisas e facilmente acessíveis sobre a realização de tratamento de dados pessoais aos respectivos titulares, assim como os respectivos agentes de tratamento.
Segurança e confidencialidade: a Veste adotará medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, sempre aplicando os padrões de segurança adequados aos riscos específicos de cada atividade e observando o estado da técnica e melhores práticas de mercado aplicáveis.
Prevenção e mitigação de danos: serão adotados os melhores esforços, pela Veste, para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais e para mitigá-los ou repará-los caso venham a ocorrer.
Não discriminação e tratamento ético dos dados pessoais: nunca será feito nenhum tratamento para fins discriminatórios, antiéticos, ilícitos ou abusivos.
Responsabilização e prestação de contas: a Veste adotará medidas para confirmar e demonstrar a eficácia de seu programa de governança em privacidade e proteção de dados, inclusive no cumprimento da legislação aplicável.

DIRETRIZES PARA O TRATAMENTO DE DADOS PESSOAIS
Todo e qualquer dado pessoal coletado, recebido, obtido ou gerado pela Veste, deve estar atrelado a uma ou mais finalidades, que deverão ser validadas, registradas e, da melhor forma possível, comunicadas aos respectivos titulares. Nenhum dado pessoal será coletado, recebido, obtido ou gerado pela Veste se não for necessário para uma ou mais finalidades certas e determinadas. Todo dado pessoal terá seu ciclo de vida controlado e registrado desde o momento em que a Veste passar a ter controle do dado pessoal até o momento de seu descarte definitivo.
A Veste realiza o tratamento de diversos tipos de dados pessoais, com as seguintes finalidades em geral:
Dados de seus diretores, administradores, conselheiros e gestores, para a tomada e registro de decisões de gestão administrativa e jurídica da companhia, bem como alteração de seus documentos societários.
Dados de seus acionistas, para relações institucionais, convocações de assembleias, registro de votos, distribuição de dividendos e realização de direitos e obrigações de natureza societária.
Dados de todos os seus colaboradores e prestadores de serviços, para fins relacionados ao cumprimento de seus contratos de trabalho ou de prestação de serviços, ao respectivo pagamento, comunicação interna e à direção das tarefas realizada, bem como aqueles dados necessários para reporte do cumprimento do contrato às entidades e autoridades de fiscalização competentes, na forma da lei, e para o exercício dos direitos correspondentes.
Dados de colaboradores e dependentes também são necessários para realizar a gestão de benefícios contratuais e previdenciários concedidos a essas pessoas.
Dados de fornecedores de bens e serviços, para fins relacionados ao cumprimento dos contratos firmados com a Veste e exercício dos direitos correspondentes.
Dados de clientes, com a finalidade de contratar, entregar e gerenciar o fornecimento de produtos da Veste, o que implica coleta, acesso, processamento e guarda, inclusive, de dados não apenas cadastrais, mas também financeiros, de localização de clientes que sejam necessários ao fornecimento de produtos, pela sua própria natureza.
Dados cadastrais e financeiros de clientes também serão compartilhados com as autoridades competentes com relação ao fornecimento de produtos pela Veste, seguindo a legislação aplicável.
Dados de usuários de websites da Veste, para propósitos específicos na forma de seus respectivos avisos e políticas de privacidade.
As atividades de tratamento de dados pessoais realizadas pela Veste estarão sempre embasadas em uma autorização legal e registradas em documentos ou sistemas específicos para controle dos riscos de seu tratamento, adoção de medidas de mitigação desses riscos e limitação da circulação interna e externa dos dados pessoais.
Somente as pessoas que tenham estrita necessidade de acesso a determinadas categorias de dados pessoais terão acesso a eles, levando-se em conta o papel que desempenharem na Veste com relação à tarefa que necessitar de determinados dados pessoais e reduzindo-se a informação acessada ao mínimo necessário por meio de medidas técnicas e organizacionais adequadas.
Documentos físicos e digitais contendo dados pessoais serão armazenados enquanto suas finalidades específicas subsistirem. Dados pessoais, em quaisquer suportes, serão eliminados de forma segura e irrecuperável imediatamente após o esgotamento de todas as suas finalidades lícitas e legítimas, quando for atingido o prazo de salvaguarda para cumprimento de obrigações legais ou exercício de direitos, ou no caso de alguma solicitação do respectivo titular que obrigue a Veste à exclusão desses dados pessoais.
Todo e qualquer tratamento de dados pessoais em que a Veste identificar dano provável aos direitos e liberdades fundamentais dos titulares, bem como o tratamento de dados pessoais sensíveis, no termos da Lei, serão objeto de avaliação de impacto à proteção de dados pessoais em que serão levantados os riscos esperados e medidas adequadas para sua mitigação, prevenção ou eliminação.
A Veste, por meio de seu Encarregado pelo Tratamento de Dados Pessoais e seu Comitê de Privacidade, trabalhará no desenvolvimento e implantação de políticas e normas de boas práticas para garantir o tratamento adequado dos dados pessoais nos termos acima, as quais serão levadas à deliberação da Diretoria ou Conselho de Administração da companhia no âmbito das respectivas atribuições, competindo ao Conselho de Administração a adoção, implantação e monitoramento de políticas gerais e decisões que possam afetar a companhia no longo prazo ou seu valor acionário e competindo à Diretoria a adoção, implantação e monitoramento de normas corporativas de processos e políticas específicas de áreas de negócios, bem como as decisões de dia-a-dia aceca de privacidade e proteção de dados pessoais.

COMPARTILHAMENTO DE DADOS PESSOAIS
Dados pessoais somente serão compartilhados, transferidos ou divulgados a quaisquer pessoas, empresas e entidades públicas e privadas pela Veste conforme sejam estritamente necessários para o cumprimento de finalidades legítimas, específicas, expressas e registradas pela Veste e mediante o uso de contratos ou outros instrumentos e mecanismos que prevejam a observância dos preceitos desta Política e das leis e regulamentos de proteção de dados pessoais aplicáveis pela outra parte, bem como permitam a fiscalização e auditoria desse cumprimento pela Veste.
A Veste adotará procedimentos para certificar-se de que apenas compartilhará dados pessoais com empresas e entidades privadas que adotem medidas técnicas e administrativas suficientes para garantir a adequada segurança e proteção dos dados pessoais de acordo com os riscos a que estejam expostos, a salvaguarda dos direitos e liberdades fundamentais dos respectivos titulares e a responsabilização do terceiro perante a Veste pelas ações e omissões que praticar.
O compartilhamento, transferência e divulgação de dados pessoais para autoridades públicas e entidades governamentais será limitado ao mínimo necessário para o cumprimento de obrigações legais e regulatórias, para o cumprimento de ordens judiciais e requisições das autoridades competentes, e para a defesa ou exercício de direitos da Veste ou de terceiros. Nessas condições, a legalidade e legitimidade da ordem ou obrigação, a competência do requisitante, a extensão do dever e as respectivas consequências sempre serão avaliadas antes de se conceder acesso das autoridades ou órgãos públicos aos dados pessoais em questão.

SEGURANÇA DE INFORMAÇÃO
A Veste sempre adotará medidas técnicas e organizacionais de segurança de informação compatíveis com o estado da técnica e com o nível de risco avaliado para garantir a confidencialidade, a integridade, a disponibilidade e a resiliência de seus sistemas informáticos, bancos de dados, arquivos físicos e outros repositórios de informações, de modo a evitar acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão de dados pessoais. Os riscos e as medidas e protocolos adotados serão registrados em políticas e outros documentos normativos de aplicação obrigatória às pessoas sob responsabilidade da Veste, devendo ser revisados e atualizados com frequência razoável e na ocorrência de eventos relevantes.
A Veste também manterá um plano de resposta a incidentes de segurança que garanta a rápida avaliação, interrupção, remediação e, quando necessário, mitigação e reparação dos danos eventualmente causados pelos incidentes. Serão mantidos registros de incidentes de segurança, identificando as categorias e titulares de dados pessoais eventualmente afetados, para possibilitar a comunicação imediata desses incidentes às autoridades competentes e aos respectivos titulares na forma da lei, comprometendo-se a Veste a auxiliá-los de boa-fé na mitigação ou reparação dos danos efetivamente sofridos.

DIREITOS DOS TITULARES DE DADOS PESSOAIS
A Veste compromete-se a adotar medidas efetivas para a garantia de todos os direitos dos titulares de dados pessoais controlados, conforme especificados pela LGPD - Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709, de 14 de agosto de 2018) e demais leis e regulamentos brasileiros aplicáveis à privacidade e proteção de dados pessoais. Em especial, são direitos legais dos titulares de dados pessoais:
confirmação da existência de tratamento de seus dados pessoais pela Veste e acesso aos dados;
correção de dados pessoais incompletos, inexatos ou desatualizados sob controle da Veste;anonimização, bloqueio ou eliminação de dados pessoais desnecessários, excessivos ou tratados pela Veste em desconformidade com o disposto nesta Lei, bem como oposição ao tratamento de dados pessoais pela Veste nas mesmas circunstâncias;
portabilidade dos dados a outra pessoa jurídica semelhante à Veste, mediante requisição expressa e observados os segredos de negócio da Veste, conforme este direito venha a ser regulamentado pelo poder público;
informação das entidades públicas e privadas com as quais a Veste venha a realizar uso compartilhado de dados pessoais;
informação sobre a possibilidade de não fornecer consentimento para o tratamento de dados pessoais pela Veste e sobre as consequências da negativa de consentimento, bem como os direitos à retirada desse consentimento a qualquer tempo e à eliminação dos dados pessoais tratados com base nele, podendo esses dados ser mantidos pela Veste para o uso exclusivo em outras finalidades lícitas que não dependam do consentimento ou mediante anonimização;
possibilidade de revisão de decisões que afetem seus interesses e forem tomadas pela Veste unicamente com base em tratamento de dados pessoais de forma automatizadas.
A Veste adotará normas, controles e processos atualizados que garantam a apresentação das devidas informações aos respectivos titulares de dados pessoais, preferencialmente no momento ou no contexto da coleta desses dados ou na primeira oportunidade após o seu recebimento ou obtenção, limitado às hipóteses em que não seja viável ou haja justo motivo para não proceder à entrega de determinadas informações aos titulares. A Veste também adotará normas, controles e processos atualizados que garantam a resposta aos direitos dos titulares sem demora, dentro dos prazos previstos em lei ou nos regulamentos aplicáveis para essa resposta, de forma gratuita e mediante confirmação prévia e adequada da identidade do titular requisitante.
Serão mantidos canais de contato direto com o Encarregado pelo Tratamento de Dados Pessoais para que os titulares possam exercer seus direitos, fazer reclamações e solicitações, bem como enviar sugestões com relação às práticas da Veste. Também serão criados canais facilitados para as diversas categorias de titulares de dados pessoais com maior circulação de dados nas atividades da Veste, na medida do possível.

ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS E COMITÊ DE PRIVACIDADE
A Veste indicará e manterá como seu Encarregado pelo Tratamento de Dados Pessoais um colaborador ou consultor externo com conhecimento teórico e prático sobre proteção de dados pessoais e segurança de informação, cujas atribuições serão:
Atuar com independência, imparcialidade, decoro e boa-fé;
Assessorar o Conselho de Administração, a Diretoria e outras instâncias de decisão da companhia com relação a comunicações, requisições e intimações da ANPD - Autoridade Nacional de Proteção de Dados, CVM - Comissão de Valores Mobiliários e outras autoridades com relação a privacidade e proteção de dados pessoais, a solicitações e reclamações de titulares e incidentes de segurança, bem como em outras decisões que possam ter impacto à privacidade ou à proteção de dados pessoais de quaisquer pessoas;
Receber e dar encaminhamento interno a comunicações, requisições e intimações da ANPD, Bacen e outras autoridades com relação a privacidade e proteção de dados pessoais, bem como apresentar resposta à autoridade após aprovação pelo Conselho de Administração;
Receber e dar encaminhamento interno a solicitações e reclamações de titulares de dados pessoais, bem como apresentar resposta da companhia aos titulares após aprovação da Diretoria.
Esclarecer dúvidas de titulares de dados pessoais quanto às práticas da companhia com relação a seus dados pessoais. Orientar os colaboradores, contratados e terceirizados da Veste com relação às políticas e práticas em vigor da companhia relativas à privacidade e proteção de dados pessoais.
Participar de times de resposta a incidentes de segurança e comunicá-los à ANPD e aos titulares afetados em nome da Veste quando necessário, após aprovação pelo Conselho de Administração.
Participar como consultor na revisão e no estabelecimento de processos da companhia que possam trazer risco relevante à privacidade ou à proteção de dados pessoais de quaisquer pessoas (e.g. vazamentos, desvio de finalidade e tratamento ilícito de dados pessoais).
Participar na elaboração e revisão das cláusulas, minutas e documentos relacionados com o compartilhamento e transferência de dados pessoais e das políticas e avisos de privacidade da companhia para colaboradores, consumidores, intranet, usuários de sites etc.
Controlar periodicidade e coordenar as revisões dos registros de operação de tratamento de dados pessoais e das normas internas relativas à privacidade, proteção de dados pessoais e segurança de informação.
Acompanhar a evolução das leis, regulamentos e boas práticas de privacidade, proteção de dados pessoais e segurança de informação.
Coordenar projetos de implantação e auditar processos e práticas relativas à privacidade, proteção de dados pessoais e segurança de informação, levando suas conclusões ao Conselho de Administração, à Diretoria e demais instâncias de decisão da companhia.
Participar na seleção e auditar prestadores de serviços com potencial de risco relevante à privacidade e proteção de dados pessoais.
Recomendar e dirigir a realização de avaliações de interesse legítimo, avaliações de impacto à privacidade e outras avaliações de riscos relacionados à proteção de dados pessoais, discutir seus resultados com os líderes dos projetos afetados e, se necessário, levar suas conclusões às instâncias de decisão competentes.
Recomendar e dirigir a realização de relatórios de impacto à proteção de dados pessoais e encaminhá-los à ANPD após aprovação pelo Comitê de Governança Interna.
Participar do estabelecimento e revisão de processos e diretrizes de minimização de dados pessoais, eliminação de dados pessoais, “privacy by design” (i.e. garantir a proteção de dados pessoais desde a concepção de um projeto/atividade) e “privacy by default” (i.e. garantir o maior nível de privacidade possível quando houver alternativas ou escolhas).
Ser informado de todas as novas atividades e processos da companhia que tenham potencial de risco relevante à privacidade e proteção de dados pessoais.
Constituir e participar em grupos de trabalho relacionados a melhorias na gestão de privacidade e mitigação de riscos à privacidade e proteção de dados pessoais.
Todos os temas relativos à privacidade e proteção de dados pessoais serão levados pelo Encarregado à discussão e aprovação da instância de decisão apropriada, incluindo a necessidade de avaliação, implantação ou revisão de novas normas, processos e políticas, respostas a comunicações e notificações, endereçamento de incidentes e respostas a solicitações de exercícios de direitos. Temas urgentes relativos à privacidade e proteção de dados pessoais que caibam à deliberação da Diretoria poderão ser levados à deliberação e aprovação de qualquer Diretor da Veste quando, no julgamento do Encarregado, tal deliberação não puder esperar pela discussão em reunião da Diretoria, devendo ser ratificadas. O Conselho de Administração da Veste compromete-se a garantir a independência do Encarregado pelo Tratamento de Dados Pessoais na realização de suas funções e o acesso direto ao Conselho de Administração, à Diretoria e às demais instâncias executivas da Veste para que possam ser tomadas as decisões necessárias com relação a questões que impactem a privacidade e a proteção de dados pessoais sob controle da Veste. Também serão garantidos ao Encarregado pelo Tratamento de Dados Pessoais o acesso a todas as informações sobre novas atividades e processos da Veste que tenham potencial de risco relevante à privacidade e proteção de dados pessoais e demais informações relevantes às suas atribuições, independentemente de sua classificação de confidencialidade, desde que observadas as políticas e normas corporativas aplicáveis para garantir seu sigilo e segurança.
Para auxiliar os trabalhos do Encarregado e alimentá-lo com informações sobre os diversos processos e atividades da companhia, a Veste manterá um Comitê de Privacidade permanente, composto por qualquer quantidade de colaboradores das diversas áreas da companhia sugeridas pelo Encarregado.
Os deveres dos integrantes do Comitê de Privacidade são:

VESTE S.A. ESTILO
A/C Encarregado pelo Tratamento de Dados Pessoais
E-mail: privacidade.dados@veste.com