Esta política tem por objetivo estabelecer diretrizes relacionadas à segurança da informação e à proteção de dados pessoais no contexto da relação com parceiros de negócio do Grupo Mapfre, assegurando que o tratamento de informações esteja alinhado com os princípios da confidencialidade, integridade e disponibilidade, bem como com as exigências legais e regulatórias aplicáveis, incluindo a Lei Geral de Proteção de Dados Pessoais (LGPD).

A política visa garantir que parceiros de negócio que atuam em nome do Grupo Mapfre ou com acesso a dados e sistemas adotem práticas compatíveis com os padrões de segurança da informação e privacidade do Grupo Mapfre, contribuindo com a mitigação de riscos e a proteção dos direitos dos titulares de dados.

 

 

Esta política se aplica a todos os parceiros de negócio que, de forma direta ou indireta, realizam atividades de tratamento de dados, incluindo dados pessoais, sensíveis, corporativos ou estratégicos, em nome do Grupo Mapfre, independentemente do meio ou da finalidade envolvida.

 

 

Para fins desta Política, aplicam-se as seguintes definições:

ANPD (Autoridade Nacional de Proteção de Dados): É o órgão da administração pública federal responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil.

Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Co-controlador: Quando duas ou mais entidades (pessoa natural ou jurídica) determinam conjuntamente as finalidades e os meios do tratamento de dados pessoais. Isso significa que elas decidem, em conjunto, como os dados serão coletados, utilizados, armazenados e protegidos.

Dado pessoal: Informação relacionada a pessoa natural identificada ou identificável, na forma descrita pela LGPD.

Dado pessoal sensível: Consiste em dados pessoais referentes à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, relativa à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Diretrizes: São orientações que estabelecem princípios, parâmetros e caminhos a serem seguidos no âmbito desta política. Elas servem como referência para a tomada de decisões e para a condução de ações, garantindo o cumprimento das normas aplicáveis.

Incidente de segurança: Evento adverso confirmado que comprometa as propriedades de confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais. Pode decorrer de ações voluntárias ou acidentais que resultem em divulgação, alteração, perda ou acesso não autorizado a dados pessoais, independentemente do meio em que estão armazenados.

LGPD: Lei Geral de Proteção de Dados Pessoais, nº 13.709/2018.

Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.

Parceiro de negócio: Pessoa natural ou jurídica com a qual o Grupo Mapfre mantém relação contratual, podendo ser corretores, cooperativas, bancos, leiloeiros, peritos, oficinas e terceiros que, de alguma forma, tenham acesso aos dados, sistemas ou instalações do Grupo Mapfre.

Segurança da informação: Conjunto de práticas, processos e controles destinados a proteger as informações, em qualquer meio em que estejam armazenadas ou transmitidas, sejam digitais ou físicos, contra acessos não autorizados, alterações indevidas, perdas, vazamentos ou destruição.

 

 

Os parceiros de negócio devem assegurar a observância dos princípios aplicáveis ao tratamento de dados e à segurança da informação, garantindo a proteção, integridade e uso adequado das informações acessadas ou processadas em nome do Grupo Mapfre. Entre os princípios fundamentais, destacam-se:

Autenticidade: Verificar as fontes de dados, garantindo que as informações sejam genuínas e confiáveis.

Confidencialidade: Assegurar que as informações sejam acessadas apenas por pessoas autorizadas, prevenindo o uso ou divulgação indevida.

Disponibilidade: Garantia que as informações e sistemas estejam acessíveis e utilizáveis para usuários autorizados quando necessário, sem interrupções indevidas.

Finalidade: O tratamento de dados pessoais deve ser realizado para propósitos legítimos, específicos, explícitos e informados ao titular, observadas as finalidades originárias.

Integridade: Garantir que os dados sejam mantidos completos, exatos e protegidos contra alterações não autorizadas.

Legalidade e Conformidade: Assegurar que o tratamento de dados e o uso das informações estejam em conformidade com a legislação vigente, normas regulatórias e políticas internas.

Livre acesso: Garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

Não discriminação: Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.

Necessidade: O tratamento de dados pessoais deve ser limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.

Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

Qualidade dos dados: Garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.

Responsabilidade: Garantir que todas as ações relacionadas ao tratamento de dados possam ser atribuídas a indivíduos ou entidades específicas, promovendo rastreabilidade e transparência.

Segurança: Devem ser utilizadas medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Transparência: Deve ser garantido aos titulares o direito a informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.

 

 

Os parceiros de negócio devem adotar medidas técnicas e administrativas eficazes para proteger as informações acessadas ou tratadas em nome do Grupo Mapfre. Tais medidas têm como objetivo assegurar os princípios de confidencialidade, integridade e disponibilidade das informações, e podem incluir, entre outras:

1. Capacidade de restaurar a disponibilidade e o acesso a(s) informação(es), rapidamente, em caso de incidente físico ou técnico;
2. Procedimento de verificação, avaliações regulares da eficácia das medidas técnicas e administrativas para garantir a segurança do tratamento;
3. Garantir que todas as ferramentas tecnológicas (hardware, software e comunicação) utilizadas sejam licenciadas;
4. Proteger todas as ferramentas tecnológicas (hardware, software e comunicação) com soluções de segurança adequadas, como antivírus atualizados;
5. Adotar mecanismos que limitem o acesso às informações, especialmente aos dados pessoais, exclusivamente a pessoas autorizadas, por meio de autenticação segura, autenticação em dois fatores, revisão periódica de permissões e registro de acessos, garantindo a proteção contra acessos indevidos;
6. Promover treinamentos regulares sobre segurança da informação e privacidade de dados para todos os colaboradores e demais envolvidos no tratamento de informações, com o objetivo de conscientizá-los sobre a importância da proteção de dados e da adoção de boas práticas no uso seguro das informações.
7. Manter processo para notificação e registro de incidentes de segurança.

Em caso de incidentes de segurança que envolvam informações, sistemas, ativos tecnológicos ou dados, de qualquer natureza, pertencentes ao Grupo Mapfre, o parceiro de negócio deverá notificar a Mapfre imediatamente ou no prazo máximo de 24 (vinte e quatro) horas a partir da ciência do fato, por meio do e-mail: incidentesdeseguranca@mapfre.com.br.

A notificação deverá conter, no mínimo, as seguintes informações:

1. Descrição da natureza do incidente de segurança, incluindo, sempre que possível, os tipos de informações afetadas, os sistemas impactados e a extensão do incidente;
2. Nome e dados de contato do responsável pela segurança da informação ou do Encarregado de Proteção de Dados (DPO), conforme aplicável, ou de representante designado para comunicação com o Grupo Mapfre;
3. Avaliação preliminar dos riscos e impactos associados ao incidente, incluindo possíveis consequências operacionais, legais ou reputacionais;
4. Descrição das medidas técnicas e administrativas adotadas para contenção, mitigação e prevenção de novos incidentes, bem como os controles de segurança existentes no momento do ocorri

 

 

Os parceiros de negócio devem adotar práticas que assegurem a conformidade com os princípios de privacidade e proteção de dados, observando as legislações aplicáveis, como a Lei Geral de Proteção de Dados Pessoais (LGPD). Isso inclui:

1. Aplicar o princípio da necessidade, limitando o tratamento ao mínimo necessário para a realização de suas finalidades;
2. Realizar o tratamento de dados pessoais somente com base legal autorizadora nos termos da Lei Geral de Proteção de Dados Pessoais (LGPD);
3. Evitar o compartilhamento de dados com terceiros, salvo nos casos previstos em lei ou quando necessário para finalidades legítimas;
4. Tratar dados pessoais de menores sempre com foco em seu melhor interesse, independentemente de sua condição como dependentes ou beneficiários;
5. Manter registros atualizados das operações de tratamento de dados pessoais sob sua responsabilidade, nos termos da LGPD. Quando aplicável, deverá elaborar o relatório de impacto à proteção de dados pessoais;
6. Realizar transferências internacionais de dados pessoais apenas quando observados os mecanismos legais previstos na Lei Geral de Proteção de Dados Pessoais (LGPD) e na Resolução CD/ANPD nº 19/2024, garantindo a adequada proteção dos direitos dos titulares;
7. Desenvolver, implementar e manter políticas claras e atualizadas sobre o tratamento de dados pessoais, abrangendo aspectos como acesso, armazenamento, compartilhamento e descarte das informações, em conformidade com a legislação vigente;
8. Garantir aos titulares o atendimento de seus direitos previstos no artigo 18 da Lei Geral de Proteção de Dados Pessoais (LGPD);
9. Incorporar práticas de privacidade desde a concepção (privacy by design) e por padrão (privacy by default) em processos, sistemas e serviços;
10. Realizar a eliminação segura dos dados pessoais tão logo seja alcançada a finalidade que motivou o tratamento, salvo nos casos em que houver obrigação legal ou regulatória que justifique sua retenção.

Em caso de dúvidas relacionadas a Privacidade e Proteção de Dados Pessoais, o parceiro deverá entrar em contato com o Grupo Mapfre por meio do e- mail: protecaodedados@mapfre.com.br.

 

Esta política poderá ser atualizada periodicamente para que a Mapfre esteja sempre alinhada às melhores práticas de segurança da informação, privacidade e proteção de dados pessoais. Por isso, recomendamos que você acesse esta página regularmente para se manter informado sobre eventuais modificações. Caso sejam realizadas alterações relevantes neste documento, publicaremos a nova versão com a data da última atualização, garantindo que você tenha acesso ao conteúdo atualizado e esteja ciente das mudanças.

Data de criação: 07/05/2026