ESP
Por meio dessa política, a Organização busca estabelecer princípios que assegurem a boa prática administrativa que estabeleça os Princípios, os tratamentos aplicáveis e os Direitos de Proteção de Dados Pessoais, de acordo com as diretrizes exigidas no Acordo 001-2022 da Superintendência de Bancos do Panamá e na Lei 81 sobre a Proteção de Dados Pessoais da República do Panamá e na Lei de Proteção de Dados de 2017 da Ilha Cayman.
Esta política se aplica a todas as atividades de coleta, processamento, armazenamento e transferência de dados pessoais realizadas pela Towerbank International Inc. e subsidiárias no exercício de suas atividades comerciais. É obrigatório para:
• Todos os colaboradores, fornecedores, contratados e terceiros que lidam com dados pessoais em nome da Towerbank International Inc. e subsidiárias.
• Todas as áreas e processos internos em que os dados pessoais são processados.
• Dados pessoais de clientes, colaboradores, fornecedores e qualquer outra pessoa cujos dados sejam gerenciados pela entidade.
• Transferências de dados pessoais dentro e fora da jurisdição, garantindo a conformidade com a Lei 81 do Panamá de 2019 e a Lei de Proteção de Dados das Ilhas Cayman de 2017.
Esta política é aplicável local e internacionalmente, incluindo os países em que a Towerbank International Inc. e subsidiárias operam ou transferem dados pessoais de acordo com os acordos e regulamentos contratuais atuais atuais.
A organização será responsável por garantir a implementação adequada de controles de acordo com as diretrizes das melhores práticas, de acordo com as diretrizes estabelecidas pelo modelo de referência ISO 27.001 sobre o “Sistema de Gestão da Segurança da Informação” e o Acordo 01-2022 “Que estabelece diretrizes especiais para a proteção de dados pessoais processados por instituições bancárias”.
Panamá:
a. Marco Regulatório (art. 2 do Decreto Executivo 285)
b. Termos e definições (art. 4 Decreto Executivo 285, art. 4 Acordo 1-2022)
c. Conteúdo do aviso de privacidade (art. 14 do Decreto Executivo 285)
d. Prazos para fornecer informações (aviso de privacidade) (art. 15 Decreto Executivo 285)
e. Formulário para fornecer informações (aviso de privacidade) (art. 16 do Decreto Executivo 285)
f. Revogação do consentimento (art. 19 do Decreto Executivo 285)
g. Disposições gerais sobre o exercício dos direitos dos titulares dos dados (art. 21 do Decreto Executivo 285)
h. Identificação das informações solicitadas. (art. 25 Decreto Executivo 285)
i. Exercício dos direitos da ARCO (artigos 26, 27, 28, 29, 30 e 31 do Decreto Executivo 285)
j. Condições legais para processamento (art. Decreto Executivo (285)
k. Limitações ao exercício de direitos (art. 31 do Decreto Executivo 285)
l. Formulário para fornecer informações (solicitação de acesso) (art. 16 do Decreto Executivo 285)
m. Entrega de informações à autoridade judicial competente (art. 24 do Decreto Executivo 285)
n. Dever de confidencialidade. (art. 34 Decreto Executivo 285)
ou. Registro de banco de dados. (art. 35 Decreto Executivo 285)
p. Segurança de dados pessoais (art. 36 do Decreto Executivo 285)
q. Notificação de violações de segurança de dados pessoais (art. 37 do Decreto Executivo 285)
r. Documentação de violações de segurança de dados pessoais. (art. 38 Decreto Executivo 285)
s. Condições para transferências de dados transfronteiriças. (art. 51 Decreto Executivo 285)
t. Procedimentos para receber e responder às solicitações e reclamações dos titulares dos dados. (art. 18 e 19 do Contrato 1-2022)
u. Reclamações à Superintendência de Bancos (art. 27, Acordo 1-2022)
Ilha Cayman:
a. Objetivo da Lei (Art. 1)
b. Âmbito de aplicação (Art. 2)
c. Definições (Art. 3)
d. Princípios gerais (Art. 4)
e. Direito à informação (Art. 5)
f. Direito de acesso (Art. 6)
g. Direito de retificação (Art. 7)
h. Direito de exclusão ou cancelamento (Art. 8)
i. Direito à Restrição do Tratamento (Art. 9)
j. Direito à portabilidade de dados (Art. 10)
k. Direito de se opor ao tratamento (Art. 11)
l. Base legal para o tratamento (Art. 12)
m. Medidas de segurança (Art. 13)
n. Notificação de violações de segurança (Art. 14)
ou. Regras gerais de transferência internacional (Art. 15)
p. Autoridade Supervisora (Art. 16)
q. Sanções e responsabilidades (Art. 17)
A Towerbank International Inc. e suas subsidiárias permanecerão responsáveis por cumprir o que foi acordado de acordo com as melhores práticas de Segurança da Informação, Segurança Cibernética e Proteção de Dados Pessoais que evitem qualquer tipo de impacto estratégico, operacional ou de reputação na Towerbank Intl e/ou em suas subsidiárias ou clientes.
A Towerbank International Inc. e suas subsidiárias oferecem a seus clientes uma variedade de produtos e serviços para gerar experiências de negócios, mantendo premissas de integridade, confidencialidade, disponibilidade e segurança de dados. Nesse sentido, a Towerbank International Inc. e suas subsidiárias, comprometidas em garantir as melhores práticas nas áreas de segurança da informação, cibersegurança e proteção de dados, declaram sua posição de manter uma prática saudável de implementação de medidas de controle aplicáveis para segurança da informação, cibersegurança e proteção de dados pessoais.
Aplicabilidade de boas práticas internacionais como medidas de ação de controle interno exigidas pela Lei PDP A Towerbank International Inc. e suas subsidiárias devem garantir a aplicação das diretrizes exigidas pela Lei de Proteção de Dados Pessoais, adotando medidas de controle para mitigar a exposição aos riscos associados ao processamento de informações confidenciais dentro da organização. Para isso, a entidade será baseada em um modelo de referência de melhores práticas internacionais, incorporando padrões reconhecidos em Segurança da Informação, como a ISO 27001. Seguindo essas diretrizes sobre segurança da informação, cibersegurança e proteção de dados pessoais, a Towerbank International Inc. e suas subsidiárias estabelecerão diretrizes de controle interno aplicáveis aos processos operacionais relacionados ao processamento de informações confidenciais. Eles também implementarão medidas administrativas de controle e gerenciamento de acordo com as disposições da Lei de Proteção de Dados Pessoais, do Acordo 001-2022 da Superintendência de Bancos do Panamá e da Lei de Proteção de Dados das Ilhas Cayman. O objetivo prioritário é garantir a conformidade com os princípios fundamentais que regem a proteção de dados pessoais, como lealdade, finalidade específica, proporcionalidade, veracidade, precisão, minimização de dados, segurança da informação, transparência, confidencialidade, legalidade, portabilidade, equidade e limitação de armazenamento.
Ele permite que o proprietário obtenha seus dados pessoais armazenados ou sujeitos a processamento em bancos de dados, além de conhecer a origem e a finalidade para a qual foram coletados.Viabilidade de acesso ao fornecimento de informações: Caso o cliente solicite informações sobre seus dados pessoais, a organização deve fornecer as informações estabelecidas no artigo 24 do Decreto Executivo nº 285 de 2021, que inclui os seguintes aspectos:
• As finalidades do tratamento;
• As categorias de dados pessoais em questão;
• Os destinatários ou categorias de destinatários aos quais os dados pessoais foram ou serão comunicados;
• Período esperado de armazenamento de dados pessoais ou, se não for possível, os critérios usados para determinar esse período;
• O direito de exercer a retificação ou cancelamento de dados pessoais, de se opor a tal processamento ou à portabilidade de dados;
• Qualquer informação de sua fonte quando não tenha sido fornecida pelo cliente.
• A existência de decisões automatizadas, incluindo a criação de perfis, conforme referido na Lei nº 81 de 2019.
Nesse caso, informações significativas sobre a lógica aplicada, bem como a importância e as consequências esperadas desse tratamento para o proprietário.
Inviabilidade do direito de acesso: O direito de acesso não se aplicará nos seguintes casos:
• Quando o solicitante não é o proprietário dos dados pessoais, ou o representante não está devidamente autorizado a fazê-lo;
• Quando os dados pessoais do cliente não são encontrados no banco de dados ou no banco de dados do guardião do banco de dados;
• Quando qualquer uma das limitações estabelecidas no artigo 31 do Decreto Executivo 285 de 2021, ou qualquer outra disposição legal ou regulamentação que a desenvolva, for configurada, quando aplicável.
Ele permite que o proprietário solicite a correção de seus dados pessoais que estejam incorretos, irrelevantes, incompletos, desatualizados, imprecisos, falsos ou impertinentes.
Nota: Os dados devem ser modificados quando estiverem errados, imprecisos, ambíguos ou incompletos dentro de cinco dias úteis após a solicitação de modificação. Caso contrário, o Towerbank, de acordo com a Lei 81 de Proteção de Dados Pessoais, poderá excluir, modificar ou bloquear dados pessoais sem a necessidade de solicitações do proprietário, quando houver evidência de imprecisão de tais dados.
De acordo com o Contrato 01 2022 da Superintendência de Bancos do Panamá, uma vez que a solicitação tenha sido enviada pelo cliente ou seu representante autorizado, indicando os dados específicos aos quais ela se refere e a ação de retificação a ser realizada, e desde que seja acompanhada da documentação que comprove a imprecisão dos dados, a solicitação será analisada a ponto de prosseguir com sua correção.
A Towerbank International Inc. e suas subsidiárias podem aplicar medidas razoáveis para retificar dados pessoais sem a solicitação do cliente, quando houver prova da imprecisão dos dados de acordo com o princípio da precisão.
Nenhuma viabilidade de retificação: O direito de retificação não se aplicará nos seguintes casos:
• Quando qualquer uma das limitações estabelecidas no artigo 31 do Decreto Executivo nº 285 de 2021 estiver configurada, bem como em qualquer outra disposição legal ou regulamentação que a desenvolva, quando aplicável.
• Quando já foi feito anteriormente
Ele permite que o proprietário solicite a exclusão de seus dados pessoais incorretos, irrelevantes, incompletos, desatualizados, imprecisos, falsos ou impertinentes.
Nota: Não obstante as exceções legais, o proprietário terá o direito de exigir que seus dados pessoais sejam excluídos quando seu armazenamento não tiver base legal, quando não tiverem sido expressamente autorizados ou quando expirarem. Os dados pessoais cuja precisão não possa ser estabelecida ou cuja validade seja duvidosa e para os quais o cancelamento não se aplique serão bloqueados. Nesse caso, eles serão bloqueados para acesso a terceiros ou para impedir seu uso para outros fins que não os expressamente autorizados.
Viabilidade do cancelamento: As medidas pelas quais o cliente solicitou a exclusão ou exclusão de seus dados pessoais serão aplicadas nas seguintes condições:
• Quando os dados pessoais não são mais necessários em relação às finalidades para as quais foram coletados ou processados;
• Quando o cliente retira o consentimento no qual o tratamento se baseia e isso não se baseia em outra base legal;
• Quando o cliente se opõe ao tratamento e outras razões legítimas para o processamento não prevalecem;
• Quando os dados pessoais devem ser excluídos para cumprir uma obrigação legal que se aplica ao controlador de dados;
• Quando a transação com o potencial cliente não é aperfeiçoada ou concluída;
• Quando a relação contratual com o cliente tiver terminado ou cumprido e o período legal para sua conservação tiver decorrido, conforme estabelecido pelas leis e regulamentos vigentes;
Inviabilidade do cancelamento: O direito de cancelamento não se aplicará nas seguintes circunstâncias:
• Quando devem ser mantidos ou tratados para cumprir uma disposição bancária ou outra disposição legal;
• Quando o período legal para sua conservação tiver decorrido, há uma disposição especial que estabelece outro período legal de conservação;
• Quando o período legal para sua conservação tiver decorrido, há um interesse legítimo do banco em sua conservação;
• Qualquer outra circunstância que, com base em um motivo legítimo, exija sua conservação, desde que os direitos do titular dos dados não prevaleçam;
• Quando qualquer uma das limitações estabelecidas no artigo 31 do Decreto Executivo nº 285 de 2021 estiver configurada, bem como em qualquer outra disposição legal ou regulamentação que a desenvolva, quando aplicável.
• Quando o cancelamento foi feito anteriormente.
Ele permite que o proprietário, por motivos fundamentados e legítimos relacionados a uma situação específica, se recuse a fornecer seus dados pessoais ou a ser sujeito a determinado processamento, bem como revogue seu consentimento.
Viabilidade da oposição: As medidas solicitadas pelo cliente serão aplicadas nas seguintes condições estabelecidas:
• Quando os dados são processados para fins diferentes dos específicos ou são incompatíveis com eles;
• Quando o tratamento é para fins de marketing ou marketing;
• Quando os dados não são necessários em relação à operação, serviço ou produto a ser fornecido ou não correspondem aos requisitos regulamentares.
Inviabilidade para a Oposição: O direito de oposição não se aplicará, nos seguintes casos:
• Quando as informações são necessárias para a conclusão ou execução de um contrato e dos serviços bancários relacionados.
• Outros casos previstos por lei ou regulamentação bancária.
• Quando qualquer uma das limitações estabelecidas no artigo 31 do Decreto Executivo nº 285 de 2021 estiver configurada, bem como em qualquer outra disposição legal ou regulamento que se desenvolva quando aplicável.
Nota: Se o cliente revogar seu consentimento para o processamento ou para um determinado tratamento, a organização deverá interromper o processamento dos dados pessoais, a menos que haja uma condição de legalidade ou motivo legítimo para o processamento que prevaleça sobre seu direito de se opor. A revogação do consentimento do cliente ou de seu representante não terá efeitos retroativos e não afetará a legalidade do tratamento com base no consentimento prévio.
Direito de obter uma cópia dos dados pessoais de forma estruturada, em um formato
genéricos e comumente usados, o que permite que sejam operados por sistemas diferentes e/ou transmitidos a outro responsável, quando:
• O proprietário forneceu seus dados diretamente à pessoa responsável.
• É um volume relevante de dados, processado de forma automatizada.
• O proprietário deu seu consentimento para o tratamento ou é necessário para a execução ou cumprimento de um contrato.
Viabilidade da portabilidade: As medidas solicitadas pelo cliente serão aplicadas nas seguintes condições estabelecidas:
• Quando o cliente forneceu seus dados diretamente ao banco responsável;
• Que o processamento de dados seja realizado por meios automatizados, ou seja, por meios digitais ou tecnológicos;
• É um volume relevante de dados;
• O cliente deu seu consentimento para o processamento de dados ou está baseado em um contrato.
Inviabilidade da portabilidade: O direito à portabilidade não se aplicará nos seguintes casos:
• Quando se trata de informações inferidas, derivadas, criadas, geradas ou obtidas a partir da análise ou tratamento realizado pelo banco com base nos dados pessoais fornecidos pelo cliente;
• Quando afeta os direitos de terceiros e os direitos e liberdades de outros titulares de dados.
O fornecimento de informações, a modificação, bloqueio ou exclusão de dados pessoais será absolutamente gratuito e deverá ser fornecido, a pedido do proprietário dos dados ou de quem o represente, um registro do banco de dados atualizado a esse respeito. No entanto, a Towerbank International Inc. e suas subsidiárias, com pleno conhecimento dos requisitos da Lei 81 sobre a Proteção de Dados Pessoais, se absterão de responder a qualquer tipo de solicitação de informação, retificação, cancelamento ou bloqueio de dados pessoais quando isso impedir ou impedir o devido processamento dentro de um processo administrativo ou judicial ou para a segurança do Estado, ou quando for necessário manter os dados pessoais armazenados por mandato legal fora dos casos estabelecidos em leis especiais aplicáveis para eles.
O Towerbank, como organização responsável, garantirá as medidas aplicáveis que garantam aos proprietários de dados pessoais o exercício desses direitos, que são inalienáveis, exceto pelas exceções estabelecidas estipuladas por leis especiais.
Condições e formalidades de tratamento
De acordo com o acordo 1-2022 da Superintendência de Bancos do Panamá, todo processamento de dados pessoais realizado pelo banco estará sujeito ao consentimento prévio, informado e inequívoco do titular dos dados ou de seu representante autorizado, exceto pelas exceções indicadas acima nesta política.
Consequentemente, quando o tratamento é baseado no consentimento, ele deve ser declarado por escrito ou por qualquer outro meio eletrônico que garanta a identidade do proprietário dos dados pessoais, para que haja certeza sobre sua identidade que o identifique ou o torne identificável. Se o consentimento for obtido por meio eletrônico, o banco garantirá o cumprimento dos requisitos estabelecidos pelos Acordos Bancários e leis especiais sobre o assunto. Como medida de gestão administrativa, a organização deve fornecer:
• Todos os meios e procedimentos apropriados para a concessão efetiva e efetiva do consentimento, que serão fáceis de entender, acessar, gratuitos e devidamente identificados.
• A partir de uma declaração por escrito de forma compreensível, de fácil acesso e com linguagem clara e simples, para que o consentimento concedido a cada cliente seja registrado.
• Mecanismos que permitem demonstrar com certeza o consentimento concedido pelo cliente e que ele foi adequadamente concedido para o processamento de seus dados pessoais. Se você usar meios eletrônicos ou tecnológicos, deverá cumprir os requisitos para sua validade, bem como os outros controles de segurança estabelecidos nos Contratos Bancários.
Como medida de transparência, a Towerbank International Inc. e suas subsidiárias sempre coletarão todas as informações pessoais de fontes confiáveis. Nos casos em que a fonte de obtenção de dados pessoais vem de outro controlador de dados residente na República do Panamá, a Organização garantirá que o cliente tenha dado seu consentimento prévio para tais fins. Caso as informações venham ou sejam coletadas de fontes públicas ou acessíveis na mídia pública, a autorização ou o consentimento do cliente não serão necessários para o processamento de seus dados. De acordo com o artigo 12 do Contrato 1-2022, as informações de dados pessoais obtidas por meio de meios de comunicação, sejam mídias tradicionais ou mídias digitais, como redes sociais (exemplo: Twitter, Facebook, Instagram e outras), serão consideradas fontes acessíveis ao público.
A Towerbank International Inc., e suas subsidiárias não exigirão o consentimento ou autorização do cliente para o processamento de dados pessoais, nos casos indicados no artigo 111 da Lei Bancária e nos acordos que a implementam. Além disso, em conformidade com o artigo 8 da Lei nº 81 de 2019 e o artigo 17 do Decreto Executivo nº 285, de 28 de maio de 2021, não será necessária autorização ou consentimento para o processamento de dados pessoais, nos seguintes casos:
• Para aqueles tratamentos bancários que tenham consentimento prévio;
• Quando necessário para a aplicação e execução de contratos bancários nos quais o cliente seja parte ou tenha interesse;
• Para aqueles tratamentos cujo objetivo é preservar a segurança das pessoas e das instalações bancárias;
• Quando o tratamento é necessário para a administração e gerenciamento adequados de diferentes riscos bancários;
• Quando necessário para cumprir os requisitos ou obrigações exigidos pelas regulamentações bancárias;
• Quando os dados são usados ou compartilhados pelo banco com o proprietário de ações bancárias, subsidiárias ou outra empresa do grupo bancário para o exercício das funções próprias da instituição bancária, desde que não sejam para fins de marketing;
• Quando o processamento de dados é necessário para cumprir os requisitos estabelecidos pela Superintendência de Bancos para a troca de informações com outros órgãos de supervisão financeira;
• Quando o tratamento é baseado em um interesse legítimo do banco derivado do relacionamento ou vínculo existente com o cliente, em razão de um serviço ou produto bancário;
• Quando o processamento é necessário para a transferência, comunicação ou interconexão de dados pessoais a um depositário de banco de dados, um provedor de serviços bancários ou terceiros para o gerenciamento da relação contratual Banco-Cliente, sempre que estiver relacionado à prestação de um serviço ou produto bancário e de marketing.
• Os outros tratamentos estabelecidos pela Lei e regulamentos relacionados.
Nota importante: O encaminhamento ao cliente de comunicações publicitárias, comerciais ou de marketing sobre serviços bancários ou outros produtos e serviços similares exigirá seu consentimento prévio, informado e inequívoco.
A Towerbank International Inc. e suas subsidiárias garantirão que os dados pessoais sejam mantidos de acordo com os regulamentos aplicáveis em cada jurisdição:
• Panamá:
De acordo com a Lei 81 de 2019 sobre Proteção de Dados Pessoais, os dados pessoais serão mantidos apenas pelo tempo necessário para cumprir a finalidade para a qual foram coletados. No entanto, em conformidade com os regulamentos financeiros e fiscais, os dados podem ser mantidos por um período mínimo de 5 anos após o término da relação contratual com o proprietário.
• Ilhas Cayman:
De acordo com a Lei de Proteção de Dados de 2017, os dados pessoais devem ser mantidos apenas pelo tempo estritamente necessário para cumprir a finalidade original do processamento. No entanto, no setor financeiro, as entidades reguladas pela Autoridade Monetária das Ilhas Cayman (CIMA) devem reter determinados dados por um período mínimo de 5 anos após o término da relação contratual, em conformidade com os regulamentos internacionais do GAFI (Força-Tarefa de Ação Financeira) e os regulamentos para a prevenção da lavagem de dinheiro.
Para garantir o cumprimento das disposições estabelecidas no Acordo 1-2022 sobre a Proteção de Dados Pessoais e a Lei de Proteção de Dados, 2017 da Ilha Cayman, a Towerbank International Inc. e suas subsidiárias garantirão que apliquem as diretrizes estabelecidas no regulamento sobre Governança Corporativa emitido pela Superintendência de Bancos do Panamá e Autoridade Monetária das Ilhas Cayman (CIMA), com relação ao Sistema de Controle Interno. Além disso, foram estabelecidos formulários que ajudarão funcionários e clientes a gerenciar suas solicitações e direitos em relação à proteção de seus dados pessoais.
A Towerbank International Inc. e suas subsidiárias implementarão indicadores de conformidade para garantir o gerenciamento adequado dos dados pessoais, garantindo que sejam mensuráveis e auditáveis:
• Direitos ARCO
▪ Tempo de resposta às solicitações da ARCO: 100% das solicitações de acesso, retificação, cancelamento e oposição devem ser respondidas em no máximo 30 dias úteis.
▪ Número de solicitações ARCO processadas: O volume e o tipo de solicitações gerenciadas serão registrados mensalmente.
• Gerenciamento de segurança e violação de dados
▪ Número de incidentes de segurança relatados: cada incidente envolvendo dados pessoais será documentado.
▪ Tempo para detectar e responder a uma violação: identificação em 24 horas e notificação em 72 horas. Aplicável para tratamento no Panamá e nas Ilhas Cayman.
▪ Porcentagem de funcionários treinados em proteção de dados: 100% da equipe deve concluir o treinamento anual sobre proteção de dados pessoais. Será medido, com os treinamentos.
• Avaliações e auditorias de conformidade
▪ Número de auditorias realizadas: Pelo menos uma auditoria interna ou externa anual será realizada para verificar a conformidade com os regulamentos aplicáveis.
▪ Nível de conformidade nas auditorias: espera-se uma conformidade mínima de 90% sem descobertas críticas.
▪ Número de constatações de não conformidade e sua resolução: Todas as constatações devem ser encerradas dentro dos prazos estabelecidos nos planos de ação corretiva.
• Retenção e exclusão de dados
▪ Porcentagem de exclusão de dados fora do período de retenção: 100% dos dados pessoais devem ser excluídos ou anonimizados após o término do período de retenção definido.
▪ Revisão periódica do banco de dados: Uma revisão anual será realizada para verificar a conformidade com os períodos de retenção e exclusão de dados.
• Gerenciamento de transferência de dados
▪ Número de transferências internacionais autorizadas de dados: Um registro das transferências feitas de acordo com os regulamentos atuais será mantido. ▪ Conformidade com contratos com cláusulas de proteção de dados: 100% dos contratos com fornecedores e terceiros devem incluir cláusulas de privacidade e segurança de dados.
Esses indicadores serão revisados semestralmente pelo Comitê de Segurança da Informação, garantindo a implementação de medidas corretivas e o cumprimento efetivo da legislação aplicável.
• Dados pessoais: Qualquer informação que permita que uma pessoa física seja identificada direta ou indiretamente.
• Dados confidenciais: informações pessoais que revelam origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados de saúde ou vida sexual.
• Titular dos dados: pessoa física a quem pertencem os dados pessoais que estão sendo processados.
• Processamento de dados: qualquer operação realizada em dados pessoais, incluindo coleta, armazenamento, uso, transferência ou exclusão.
• Consentimento: Autorização prévia, informada e inequívoca do titular dos dados para processamento.
• Direitos ARCO: conjunto de direitos que incluem acesso, retificação, cancelamento e oposição ao processamento de dados pessoais.
• Direito de acesso: permite que o proprietário saiba se seus dados estão sendo processados, bem como sua origem e finalidade.
• Direito de retificação: direito do proprietário de solicitar a correção de dados incorretos ou desatualizados.
• Direito de cancelamento: direito de solicitar a exclusão de dados pessoais quando eles não forem mais necessários ou o consentimento tiver sido revogado.
• Direito de oposição: direito do proprietário de impedir o processamento de seus dados por motivos legítimos.
• Direito à portabilidade: Direito de receber dados pessoais em um formato estruturado e comum, para transferi-los para outro controlador de dados.
• Processador de dados: pessoa ou entidade que processa dados pessoais em nome da pessoa responsável pelo tratamento.
• Controlador de dados: Pessoa ou entidade que decide sobre os propósitos e meios do processamento de dados pessoais.
• Aviso de privacidade: documento que informa os proprietários sobre o processamento de seus dados pessoais e seus direitos.
• Banco de dados: conjunto organizado de dados pessoais processados por uma pessoa responsável ou gerente.
• Medidas de segurança: controles técnicos e organizacionais aplicados para proteger dados pessoais contra acesso, perda ou destruição não autorizados.
• Violação de dados pessoais: qualquer incidente que comprometa a confidencialidade, integridade ou disponibilidade de dados pessoais.
• Transferência internacional de dados: movimentação de dados pessoais para fora do país, sujeita a regulamentações específicas.
• Confidencialidade: Princípio que exige a proteção de dados pessoais contra acesso não autorizado.
• Minimização de dados: princípio que afirma que somente os dados estritamente necessários para a finalidade declarada devem ser coletados.
• Limitação de armazenamento: restrição que impede que os dados pessoais sejam mantidos por mais tempo do que o necessário para a finalidade. • Decisão automatizada: avaliação de dados pessoais usando algoritmos sem intervenção humana.
• Superintendência de Bancos do Panamá (SBP): entidade reguladora que supervisiona a proteção de dados pessoais em instituições bancárias no Panamá.
• ISO 27001: Padrão internacional para gerenciamento de segurança da informação.
• Lei 81 de Proteção de Dados Pessoais: Legislação do Panamá que regula o processamento de dados pessoais.
• Lei de Proteção de Dados (DPL): Lei de Proteção de Dados Pessoais nas Ilhas Cayman.
• Interesse legítimo: justificativa legal para o processamento de dados sem a necessidade de consentimento, desde que os direitos do proprietário não prevaleçam.