POLÍTICA DE SEGURANÇA DA INFORMAÇÃO, PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS - TOPO LEILÕES

N.º: 0003-11-2022 Versão: 1.4 (Revisada em 25/09/2025) Data: 04/04/2022 (Revisão: 25/09/2025)

Normatização Padronizada

PADRÃO: Nível Estratégico CRITÉRIOS E DEFINIÇÕES ESTRATÉGICAS

Criado em: 05 de dezembro de 2021. Versão 1.0, de: 18 de dezembro de 2021. Versão 1.2, de: 23 de dezembro de 2021. Versão 1.3, de: 04 de abril de 2022. Versão 1.4, de: 25 de setembro de 2025 (Revisão LGPD).

Objetivos:

Estabelecer as diretrizes estratégicas aplicáveis a todos os empregados, subcontratados, prestadores de serviços, clientes, fornecedores, parceiros e outras entidades que acessem as informações e dados pessoais protegidos pela Topo Leilões. Esta política regula a forma como os ativos da informação, incluindo dados pessoais, deverão ser gerados, geridos, protegidos, tratados e/ou distribuídos aos utilizadores da Topo Leilões, em conformidade com a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) e as melhores práticas de segurança da informação, alinhadas a padrões reconhecidos internacionalmente.

1. Disposições Preliminares

Legitimidade:

• Diretoria Executiva / Presidência – Topo Leilões – Coordenador;
• Diretoria Comercial / Marketing;
• Gestão / Gerência Jurídica, e Advogados / Analistas / Equipes de Trabalho.

Abrangência: Aplicável a todos os colaboradores, administradores, parceiros, prestadores de serviços e clientes da Topo Leilões.

2. Disposições Normativas

2.1. Diretrizes Estratégicas da Política de Segurança da Informação, Privacidade e Proteção de Dados – Topo Leilões

A Topo Leilões compromete-se a seguir as seguintes diretrizes para garantir a segurança da informação, a privacidade e a proteção dos dados pessoais:

a) Garantir a integridade, privacidade e confidencialidade dos dados: Manter a integridade, privacidade e confidencialidade dos dados armazenados em meios eletrônicos e físicos, por meio da implementação de medidas técnicas e administrativas robustas, como controle de acesso baseado em função, criptografia de dados em trânsito e em repouso, e monitoramento contínuo. b) Valorizar a privacidade e proteção de dados pessoais: Valorizar a privacidade, segurança da informação e proteção de dados pessoais coletados dos titulares, estabelecendo regras claras para coleta, registro, armazenamento, uso, compartilhamento e eliminação segura de dados coletados, sempre em conformidade com a LGPD. c) Centralização segura de especificações técnicas: Procurar centralizar de forma segura todas as especificações técnicas e implementações de soluções de tecnologia e segurança da informação e proteção de dados, garantindo a rastreabilidade e a gestão eficaz. d) Conformidade na aquisição e uso de ativos: Adquirir, disponibilizar e utilizar os ativos e recursos de tecnologia da informação, controle de dados e privacidade das informações confidenciais de acordo com exigências legais e requisitos aplicáveis, especialmente a LGPD. e) Implementação de sistemas seguros: Implementar sistemas e infraestruturas que tenham convergência tecnológica, compatibilidade, segurança, conectividade com o ambiente existente com portabilidade e segurança de proteção de dados comprovada. f) Uso otimizado e protegido dos recursos de TI: Disponibilizar os recursos de tecnologia da informação de forma otimizada e utilizá-los exclusivamente para o desempenho das funções e serviços relacionados aos seus negócios, protegendo todos os dados importantes, incluindo dados pessoais. g) Contratação de fornecedores comprometidos: Manter a contratação somente com fornecedores que possuam atitudes transparentes, competência comprovada e devidamente comprometidos com a ética profissional, segurança da informação e Políticas/Valores da Topo Leilões. h) Formalização da proteção de dados com terceiros: Formalizar com os terceiros e fornecedores, por meio de cláusulas contratuais específicas, a confidencialidade, proteção de dados pessoais e o sigilo das informações de projetos, negócios, atividades e resultados que forem estratégicos da Topo Leilões, garantindo que estes também cumpram a LGPD. i) Monitoramento de acessos e uso de senhas: Promover o monitoramento dos acessos dos usuários para a troca de informações classificadas como confidenciais e/ou protegidas, por meio da utilização de senhas de segurança da informação, autenticação multifator e outras medidas de controle de acesso. j) Respeito aos direitos dos titulares e atuação do DPO: Respeitar os direitos dos titulares de dados pessoais e atender às solicitações pertinentes da legislação (LGPD), nomeando o responsável pela proteção de dados (Encarregado – DPO Sr. Hector Oliveira, e-mail: hector.oliveira@topoleiloes.com.br). O DPO atuará como canal de comunicação entre a Topo Leilões, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). k) Otimização e teste de novas tecnologias: Otimizar os recursos de tecnologia da informação e testar o uso de novas tecnologias de negócios e serviços, sempre avaliando o impacto na privacidade e segurança dos dados. l) Educação e treinamento contínuo de colaboradores: Educar e treinar regularmente seus colaboradores quanto à importância do uso responsável e consciente dos recursos de tecnologia, segurança da informação e proteção de dados, incluindo treinamentos obrigatórios sobre a LGPD e as políticas internas.

2.2. Bases Legais para o Tratamento de Dados Pessoais (Art. 7º e 11 da LGPD)

A Topo Leilões realiza o tratamento de dados pessoais com base nas seguintes hipóteses legais, conforme a finalidade específica de cada operação:

• Execução de contrato ou procedimentos preliminares: Para a gestão da participação em leilões, concretização de arrematações, vendas e demais serviços contratuais (Art. 7º, V, da LGPD).
• Cumprimento de obrigação legal ou regulatória: Para atender a exigências de órgãos governamentais, como Receita Federal, COAF (prevenção à lavagem de dinheiro) e ordens judiciais (Art. 7º, II, da LGPD).
• Exercício regular de direitos em processo judicial, administrativo ou arbitral: Para defesa dos interesses da Topo Leilões em eventuais litígios (Art. 7º, VI, da LGPD).
• Legítimo interesse: Para fins de segurança (prevenção a fraudes), apoio e promoção das atividades da leiloeira, sempre com avaliação de impacto e possibilidade de oposição do titular (Art. 7º, IX, da LGPD).
• Consentimento: Para finalidades específicas que não se enquadrem nas demais bases, como o envio de comunicações de marketing não essenciais à relação contratual, sempre com a possibilidade de revogação (Art. 7º, I, da LGPD).

2.3. Direitos dos Titulares de Dados Pessoais (Art. 18 da LGPD)

A Topo Leilões garante aos titulares de dados pessoais o pleno exercício dos direitos previstos no Art. 18 da LGPD, incluindo:

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
• Portabilidade dos dados a outro fornecedor de serviço ou produto;
• Eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses do Art. 16 da LGPD;
• Informação sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• Revogação do consentimento.

Para exercer seus direitos, o titular poderá entrar em contato com o Encarregado (DPO) através do e-mail: hector.oliveira@topoleiloes.com.br. As solicitações serão atendidas em prazos razoáveis, conforme a legislação, sendo o prazo de 15 dias para confirmação de existência ou acesso aos dados (Art. 19 da LGPD).

2.4. Registro das Operações de Tratamento (Art. 37 da LGPD)

A Topo Leilões manterá um registro detalhado de todas as operações de tratamento de dados pessoais que realizar, incluindo a finalidade, a base legal, as categorias de dados, os titulares, os destinatários e as medidas de segurança implementadas, conforme exigido pelo Art. 37 da LGPD.

2.5. Política de Retenção e Descarte de Dados

Os dados pessoais serão retidos pela Topo Leilões apenas pelo tempo necessário para cumprir as finalidades para as quais foram coletados, ou para atender a obrigações legais e regulatórias (ex: prazos fiscais, prazos de guarda de documentos de leilão). Após o término do tratamento, os dados serão eliminados de forma segura, ressalvadas as hipóteses de guarda previstas no Art. 16 da LGPD.

2.6. Plano de Resposta a Incidentes de Segurança (Art. 48 da LGPD)

A Topo Leilões possui e manterá um plano de resposta a incidentes de segurança, que detalha os procedimentos para detecção, contenção, avaliação e notificação de violações de dados pessoais. Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, a Topo Leilões comunicará a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados, conforme o Art. 48 da LGPD.

2.7. Transferência Internacional de Dados (Art. 33 da LGPD)

Caso a Topo Leilões realize transferência internacional de dados pessoais (ex: uso de serviços de nuvem ou parceiros localizados fora do Brasil), esta será feita em conformidade com o Art. 33 da LGPD, utilizando-se de mecanismos legais como cláusulas contratuais padrão, cláusulas contratuais específicas, normas corporativas globais ou consentimento explícito do titular, garantindo sempre um nível adequado de proteção.

2.8. Critérios de Verificação

A verificação do cumprimento deste padrão será feita por meio de amostragem e realizada semestralmente pela Diretoria Executiva / Presidência – Topo Leilões. O acompanhamento do cumprimento desta Política também será verificado através das demonstrações periódicas pelo Gestor / Gerência e por todos os colaboradores da Topo Leilões, incluindo auditorias internas e externas de conformidade com a LGPD.

3. Disposições Finais

Caberá à Diretoria / Presidência estabelecer todas as diretrizes e padrões necessários para a implementação, verificação (auditorias) e disseminação das diretrizes estabelecidas no presente padrão – Política de Segurança da Informação, Privacidade e Proteção de Dados Pessoais, sempre visando à melhoria contínua dos processos e serviços. A presente Política é permanente e entrará em vigor na data de sua publicação.

Curitiba – PR, 04 de abril de 2022. (Revisada em 25 de setembro de 2025)

Elaborado por: Equipe Topo Leilões Hector Santos de Oliveira

Revisado por: Guilherme Eduardo Stutz Toporoski Equipe Topo Leilões Hector Santos de Oliveira

Aprovado por: Guilherme Eduardo Stutz Toporoski Equipe Topo Leilões Hector Santos de Oliveira Cátia Fernanda Alievi Toporoski

Assinatura(s) do(s) Aprovador(es):

Guilherme Eduardo Stutz Toporoski

Hector Santos de Oliveira

Cátia Fernanda Alievi Toporoski

Adendo: Considerações Específicas para Leiloeira

1. Publicidade dos Leilões vs. Privacidade: A Topo Leilões reconhece que a natureza dos leilões, especialmente os judiciais e públicos, exige um certo grau de publicidade e transparência. Informações como o nome do arrematante em atas públicas ou detalhes de bens leiloados podem ser inerentemente públicas. A Topo Leilões se compromete a equilibrar a necessidade de transparência do processo de leilão com a proteção da privacidade dos envolvidos, divulgando apenas as informações estritamente necessárias e exigidas por lei ou regulamento, e mantendo confidenciais todas as demais informações pessoais.
2. Tratamento de Dados de Menores: Caso a Topo Leilões, em alguma situação específica (ex: herdeiros em leilões judiciais), necessite tratar dados pessoais de crianças ou adolescentes, o fará em estrita conformidade com o Art. 14 da LGPD. Isso inclui a coleta de consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal, e a garantia de que o tratamento seja realizado no melhor interesse da criança ou adolescente.