DECLARAÇÃO DA POLÍTICA DE PRIVACIDADE

1. As empresas do Grupo Haganá estão cientes e em consonância com os princípios da Lei Geral
de Proteção de Dados. Neste sentido, as empresas do Grupo Haganá tomarão as medidas que
se fizeram necessárias, pelo que, seguirá todos os procedimentos no intuito de garantir que
todos os seus funcionários, contratados, terceiros, consultores, parceiros e afins e que para
esta finalidade serão chamados de Operadores de Dados, que venham a ter acesso a quaisquer
Dados Pessoais mantidos por ou em nome das empresas do Grupo Haganá tenham total
ciência de que deverão cumprir com suas obrigações em conformidade aos termos
estabelecidos pela Lei Geral de Proteção de Dados;

2. As empresas do Grupo Haganá respeitam os direitos de privacidade de qualquer pessoa que
venha a lhe confiar a guarda de seus dados pessoais, pelo simples fato de que o Grupo Haganá
respeita e cumpre a legislação que regulamentou a proteção dos dados pessoais. O Grupo
Haganá tem por premissa efetuar o tratamento apropriado dos dados pessoais de qualquer
pessoa, seguindo os ditames legais e apropriados, uma vez que considera como de suma
importância a preservação e a guarda segura de qualquer informação, seja para a manutenção
de suas atividades, seja para a aplicação de qualquer informação para o exercício de suas
operações, bem como para manter a lealdade e a confiança que deve existir com aqueles que
mantemos qualquer tipo de relacionamento. Neste sentido, temos que esta Política cobre
todos os dados pessoais coletados, processados, compartilhados ou utilizados pelo Grupo
Haganá;

3. O Grupo Haganá, no exercício de sua atividade, tem a necessidade de coletar e usar
informações sobre as pessoas com quem mantem qualquer tipo de relacionamento, seja
comercial ou de trabalho para operar e realizar suas atividades. Este procedimento inclui todas
e quaisquer pessoas, sejam elas públicas, funcionários atuais, antigos e potenciais, clientes e
fornecedores, além de pessoas que fazem uso direto ou indireto da prestação de serviços que
executamos. Estes dados pessoais devem ser tratados, independentemente de como sejam
coletados, registrados e usados, seja em papel, em registros de computador ou obtidos por
outros meios.

 
4. É responsabilidade dos respectivos gestores de cada Departamento das empresas do Grupo
Haganá aderir a esta Política dentro de sua área de atuação e responsabilidade funcional ou
comercial, liderar pelo exemplo e fornecer orientação a todos os seus subordinados que são,
para todos os fins de direito, tidos e reconhecidos como Operadores de Dados que devem se
reportar ao respectivo superior. Para todos os efeitos, todos os Operadores de Dados são
responsáveis por aderir aos princípios e regras estabelecidos nesta Política e devem
reconhecer se estão coletando, processando, compartilhando ou fazendo uso de dados
pessoais. Os Operadores de Dados devem estar cientes dos requisitos e princípios gerais de privacidade que regem os dados pessoais e saber quando encaminhar os problemas ao

encarregado de proteção de dados (DPO – Data Protection Officer). 

5. Esta Política explica os princípios de privacidade de dados tidos como sensíveis para a proteção
de dados pessoais e como esses princípios devem ser implementados. 

6. A Lei Geral de Proteção de Dados estabelece as regras para o processamento de quaisquer
dados pessoais. Além disso, distingue entre dados pessoais e dados sensíveis. Em suma, temos
que dados pessoais são definidos como qualquer informação relativa a uma pessoa física
identificada ou identificável. Por outro lado, os dados tidos como sensíveis são definidos como
dados pessoais consistindo em informações sobre: 

• Origem racial ou étnica; 

• Opinião política; 

• Crenças religiosas / filosóficas; 

• Filiação sindical; 

• Saúde ou condição física ou mental; 

• Vida sexual ou orientação sexual; e, 

• Dados biométricos. 

7. Qualquer processamento de dados pessoais pelos operadores de dados deve cumprir as
seguintes etapas de processamento. As etapas que devem ser seguidas consistem que os
dados pessoais sejam: 

• Processados legalmente, de forma justa e transparente em relação aos titulares dos
dados coletados; 

• Coletados para fins especificados, explícitos e legítimos e não processados de maneira
incompatível com os fins almejados; 

• Mantidos de forma que seja possível a identificação dos titulares dos dados por tempo
não mais do que o necessário de forma a garantir a segurança adequada dos dados
pessoais, incluindo a proteção contra processamento não autorizado ou ilegal e
contra perda, destruição ou dano acidental, usando medidas técnicas ou
organizacionais adequadas e agindo de acordo com os direitos dos titulares dos dados
de acordo com a Lei Geral de Proteção de Dados. 

8. Os operadores de dados das empresas do Grupo Haganá devem:
• Coletar e utilizar dados pessoais apenas com uma justificativa legal que pode incluir
os interesses comerciais e operacionais legítimos do Grupo Haganá. A Lei Geral de
Proteção de Dados, por exemplo, pode exigir o consentimento explícito do Titular
antes da coleta de Dados Pessoais 

• Notificar as pessoas sobre como seus dados pessoais serão usados antes de coletar
as informações (“Aviso de Privacidade”), com a ressalva de que isso não significa que
seja necessário informar as pessoas pessoalmente, mas precisam e devem ter ciência
do local onde o aviso em questão foi devida e publicamente divulgado; 

• Coletar apenas os dados pessoais necessários para uma finalidade comercial e/ou
operacional específica; 

• Ter ciência de quaisquer obrigações contratuais em relação ao processamento de
dados pessoais; 

• Usar os dados pessoais apenas para os fins comerciais e/ou operacionais específicos
e devidamente descritos no Aviso de Privacidade ou no Formulário de
Consentimento, ou da forma que a pessoa razoavelmente esperaria; 

• Ter ciência do significado da palavra “Consentimento” que é definida por ser
qualquer indicação dada de forma livre, inequívoca, revogável que expresse a
concordância da pessoa relativa ao processamento de seus dados pessoais;

• O Aviso de Privacidade significa uma declaração oral ou escrita fornecida aos
Titulares quando seus dados pessoais estão sendo coletados. O Aviso de Privacidade
descreve quem está coletando dados pessoais, a razão pela qual os dados pessoais
estão sendo coletados, como serão usados, compartilhados, armazenados e
qualquer outra informação relevante da qual a pessoa deve estar ciente;

• Usar os dados Pessoais de maneiras que não tenham um efeito adverso na pessoa
em questão, a menos que tal uso seja justificado por lei;

• Anonimizar dados pessoais sempre que possível e apropriado de forma que seja
garantida a necessária proteção dos dados pessoais e dos dados sensíveis.

9. A gestão responsável de dados pessoais é necessária para proteger os direitos de privacidade,
seguindo os ditames da Lei Geral de Proteção de Dados.

10. O Grupo Haganá, ao coletar, usar ou quando mantém dados pessoais, deve tomar as
seguintes e adequadas medidas para:

• Manter os dados pessoais precisos e atualizados durante todo o ciclo de vida das
informações (da coleta à destruição) e apenas pelo tempo necessário para a
respectiva finalidade ou pelo prazo exigido por lei 

• Proteger os dados pessoais para que não sejam compartilhados com outras pessoas
que não tenham um motivo comercial e/ou operacional válido e relevante para
acessar tais informações; 

• Cumprir nossas políticas e procedimentos de segurança da informação ao processar
dados pessoais; 

• Impedir o uso indevido de Dados Pessoais para uma finalidade que não seja
compatível com a finalidade original para a qual os dados foram coletados; 

• Garantir a rastreabilidade dos dados pessoais em todo o seu ciclo de vida.
“Rastreabilidade” segue o ciclo de vida das Informações para que seja possível
rastrear todos os acessos e alterações realizadas aos dados pessoais, bem como, sua
localização, no sentido de ficar demonstrada nossa transparência, conformidade e
adequação à legislação vigente; 

• Relatar qualquer violação de privacidade de dados de acordo com os termos do
Plano de Resposta à Incidentes. Violação de privacidade de dados significa qualquer
divulgação não autorizada, aquisição, acesso, destruição ou alteração de, ou
qualquer ação semelhante envolvendo dados pessoais, ou qualquer outro incidente
onde a confidencialidade, integridade ou disponibilidade de dados pessoais pode ter
sido comprometida. 

11. Em caso de qualquer tipo de dúvida se os dados pessoais podem ser usados para uma
finalidade diferente da finalidade para a qual foram coletados, ou em caso de qualquer outra
questão relacionada ao gerenciamento de dados pessoais, o interessado deverá entrar em
contato com os encarregados de proteção de dados (DPO – Data Protection Officer)
designados, através do e-mail dpo@hagana.com.br. 

12. De acordo com a Lei Geral de Proteção de Dados, nos termos de seu artigo 7º., existem 10
(dez) bases legais para o tratamento e proteção de dados, quais sejam:

• Mediante o fornecimento de consentimento pelo Titular;

• Para o cumprimento de obrigação legal ou regulatória pelo controlador;

• Pela administração pública, para o tratamento e uso compartilhado de dados
necessários à execução de políticas públicas previstas em leis e regulamentos ou
respaldadas em contratos, convênios ou instrumentos congêneres;

• Para a realização de estudos por órgão de pesquisa, garantida, sempre que possível,
a anonimização dos dados pessoais;

• Quando necessário para a execução de contrato ou de procedimentos preliminares
relacionados a contrato do qual seja parte o titular, a pedido do titular de dados 

• Para o exercício regular de direitos em processo judicial, administrativo ou arbitral,
esse último nos termos da Lei 9.307/96 (Lei de Arbitragem); 

• Para a proteção da vida ou da incolumidade física do titular ou de terceiro; 

• Para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais
de saúde, serviços de saúde ou autoridade sanitária; 

• Quando necessário para atender aos interesses legítimos do controlador ou de
terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do
titular a proteção dos dados pessoais; 

• Para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente. 

13. Para o exclusivo exercício de suas atividades, o processamento de dados pelas empresas do
Grupo Haganá se dá seguindo os seguintes princípios e fundamentos: 

• O processamento é necessário para a execução de um contrato do qual o titular dos
dados é parte; 

• O processamento é necessário para cumprirmos nossas obrigações legais; 

• O processamento é necessário para os fins dos interesses comerciais e/ou
operacionais das empresas do Grupo Haganá; 

• O processamento de dados se dará após o explícito consentimento em relação aos
dados coletados e aos fins para os quais os dados são usados, e deve-se manter um
registro desse consentimento. 

14. Existe a possibilidade de que os dados pessoais coletados venham a ser compartilhados entre
as empresas do Grupo Haganá, bem como suas respectivas filiais, agências governamentais e
terceiros por motivos comerciais e/ou operacionais legítimos ou conforme permitido ou
exigido por lei. Para o caso de que os dados pessoais venham a ser compartilhados com
terceiros, estes devem garantir que tem a capacidade e a intenção de proteger os dados
pessoais, de acordo com os padrões e princípios contidos nesta Política. Isso pode ser feito
por meio de due diligence de terceiros, avaliação de risco e / ou um contrato de
confidencialidade (NDA). Se os riscos forem identificados, os requisitos apropriados (incluindo
salvaguardas técnicas e medidas organizacionais) devem ser definidos para garantir a
proteção adequada dos dados pessoais. Um contrato especiifico para tal finalidade será
firmado sempre que um terceiro receber acesso aos dados pessoais para processar tais dados
pessoais em nome das empresas do Grupo Haganá.

15. Questões referentes aos requisitos necessários para a divulgação de dados pessoais a
Terceiros devem ser dirigidas aos encarregados de proteção de dados (DPO – Data Protection
Officer), através do e-mail dpo@hagana.com.br. 

16. Para todas as situações relacionadas ao gerenciamento apropriado de dados pessoais,
qualquer interessado, que tomar conhecimento de uma possível violação das leis aplicáveis e
/ ou desta Política, deve notificar imediatamente os encarregados de proteção de dados (DPO
– Data Protection Officer), através do e-mail dpo@hagana.com.br.