elos.org.br

xxxx.xxx.xx

versão: 2.0 Folha: 1/9

Política de Contratação de Terceiros

Fundação Eletrosul de Previdência e Assistência Social

Sistema de Gestão da Privacidade da Informação / NC – Público

1

Aprovada pelo Conselho Deliberativo conforme ATA n.º 408/2022

1. Objetivo

A presente política tem como objetivo estabelecer diretrizes, objetivos e competências relacionadas às atividades de contratação e supervisão de prestadores de serviços, regular as práticas de relacionamento com fornecedores de bens e serviços e demais parceiros de negócio com os quais a ELOS mantenha relação na condição de contratante, regendo as condições mínimas para que um prestador de serviço seja aprovado internamente, considerando requisitos de segurança da informação e eventuais situações de risco para a Fundação.

2. Conceitos

a. Área: Unidade formal da Fundação ELOS, nos termos da Norma Geral de Administração 01 – Estruturas Normativas.

b. Código de Autorregulação em Governança de Investimentos: Instituído pela Abrapp – Associação Brasileira das Entidades Fechadas de Previdência Complementar, consistindo em um conjunto de regras e procedimentos assumidos voluntariamente pelas entidades associadas. Tem como propósito colaborar com o aperfeiçoamento das práticas de governança de investimentos.

c. Colaborador: Empregados integrantes do quadro da Fundação ELOS, incluindo os diretores, gerentes, técnicos. Para fins desta política, inclui também estagiários, menores aprendizes.

d. Compliance: Termo originário do verbo em inglês “to comply with”, que significa “de acordo com”, cumprir, executar, satisfazer e realizar o que foi imposto, conforme Legislação e Regulamentação aplicáveis, ao Código de Ética, aos normativos internos, Estatuto e Regulamentos dos Planos de Benefícios.

e. Conflito de interesses: Quaisquer situações em que possam ser identificadas ações que não estejam alinhadas aos objetivos do plano administrado pela Fundação ELOS, independentemente de obtenção de vantagem para si ou para outrem, da qual resulte ou não prejuízo.

f. Conselheiro: Membro titular e suplente de órgão estatutário (Conselho Deliberativo e Fiscal) da Fundação ELOS, extensível, para fins desta Política, para membros de colegiados não estatutários da Fundação ELOS.

g. Dados pessoais: Toda informação relacionada a uma pessoa física que pode identificá-la ou torná- la identificável.

h. Due Dilligence: Termo em inglês que designa um procedimento de análise por meio do qual se verifica a veracidade das informações obtidas numa fase preliminar de relacionamento ou negociação.

i. Ética: Conjunto de valores que guia o comportamento de uma determinada organização e de seus membros. Para fins deste documento, deve manter coerência com o estabelecido no Código de Ética da Fundação ELOS.

j. LGPD: Lei Geral de Proteção de Dados brasileira (Lei n. 13.709 de 14 de agosto de 2018), e suas alterações.

k. Terceirização: Prática de gestão operacional, na qual uma determinada organização utiliza-se da contratação de serviços de terceiros para a realização de processos ou atividades.

l. Terceiros: Fornecedores, prestadores de serviços ou quaisquer outras pessoas físicas e jurídicas que mantenham relação contratual com a Fundação ELOS.

3. Princípios

a. Princípio da Equidade: Os Fornecedores serão tratados com isenção e profissionalismo, afastando- se qualquer espécie de favoritismo ou tratamento discriminado.

b. Princípio da Legalidade: A seleção de fornecedores deve seguir a legislação aplicável, as diretrizes estratégicas estabelecidas pela EFPC, com parâmetros técnicos previamente definidos, formalizada em todas as suas etapas: identificação de possíveis fornecedores, análise de propostas, negociação e decisão de contratação.

c. Princípio do Julgamento Objetivo: Todas as negociações serão pautadas por critérios objetivos que levem em conta a qualidade, preço, prazo e aspectos socioambientais, conforme aplicáveis. No mesmo sentido, serão observados critérios objetivos para avaliação de propostas que exijam especificação técnica.

d. Princípio da Integridade: Os critérios de análise e escolha devem contemplar aspectos relacionados à idoneidade do prestador de serviços, sua capacidade técnica e operacional, seu histórico de serviços anteriormente prestados, sua responsabilidade socioambiental e sua ausência de conflitos de interesses. Na contratação de Xxxxxxxxxxxx e durante todo o relacionamento com Xxxxxxxxxxxx, os colaboradores deverão observar o Código de Ética da Fundação ELOS, bem como as demais políticas internas vigentes e aplicáveis. Deve, quando cabível, incentivar as empresas com as quais se relaciona a incorporar os princípios ASG, incluindo a publicação de Balanços Sociais ou Relatórios de Sustentabilidade.

e. Princípio da Confidencialidade: Será mantida estrita confidencialidade sobre os procedimentos internos ou sobre qualquer informação obtida em razão do exercício da função, especialmente as informações comerciais, e zelar para que os Fornecedores resguardem a confidencialidade das informações, mantendo absoluto sigilo sobre quaisquer dados, materiais, documentos e informações.

f. Princípio da Transparência: As ações e decisões devem ser justificadas, razoáveis e reportadas a quem deve ter conhecimento delas, revelando sempre a realidade dos fatos dos quais se tenha conhecimento, em sua inteireza, sem omissões e distorções.

4. Diretrizes

a. O processo de contratação de terceiros pode ser segregado nas seguintes etapas, a serem detalhadas em norma interna específica:

i. Levantar requisitos e/ou necessidades que precisam ser sanadas;

ii. Definir escopo de atuação do terceiro;

iii. Prospectar Fornecedores / Negociação;

iv. Verificar requisitos de Due Diligence e SGSI;

v. Disponibilizar Formulário de Ética aos Fornecedores;

vi. Selecionar Fornecedor;

vii. Aprovar contratação;

viii. Validação e controle do contrato;

ix. Monitoramento da qualidade do produto/serviço;

x. Avaliação.

b. A legislação nacional e estrangeira prevê a responsabilização de pessoas jurídicas por atos corruptivos que sejam praticados direta ou indiretamente, ou seja, por meio de seus colaboradores ou de terceiros, como parceiros, fornecedores e prestadores de serviços. Dessa maneira, todos os colaboradores que se relacionam com esse público e que exponha a Fundação Elos ao risco de corrupção pública ou privada, assume o dever de controle, fiscalização e monitoramento dos terceiros com que se relaciona. Esse dever é individual de cada responsável pela contratação e tem início desde antes da assinatura do contrato, com a condução de diligências apropriadas para avaliação do histórico cadastral, jurídico e reputacional do terceiro (due diligence), a ser estabelecido em normativo interno. Passa pela assinatura do contrato, que nesses casos deve ter a previsão da cláusula de compliance anticorrupção, e quando deve levar ao(s) terceiro(s) as responsabilidades e deveres que assumem com a Fundação Elos, principalmente em relação aos termos desta Política e do Código de Ética. E, por fim, deve ser estabelecido durante toda a relação contratual, com comunicações claras e contínuas e monitoramento de cumprimento dessas responsabilidades e deveres.

c. Será considerada de baixa complexidade, a relação com terceiros que envolver, conjuntamente:

i. Valores inferiores à R$ 10.000,00 (dez mil reais);

ii. Prazo contratual inferior à 12 meses;

iii. Que não envolvam em seus quadros de administradores e sócios Pessoas Expostas Politicamente;

d. A Due Dilligence apenas não será exigida em casos de terceiros que, cumulativamente, sejam considerados de baixa complexidade, nos termos no item anterior, e que não possuam acesso à base de dados. Todos os demais casos, incluindo aqueles considerados de baixa complexidade, mas que tem acesso à base de dados da ELOS, ou receberão cadastro com dados pessoais,, devem passar por um processo de Due Dilligence e verificação de requisitos de Segurança da Informação, conforme determinado em norma específica.

e. Os contratos firmados com terceiros devem preservar os interesses da Fundação ELOS, as normas legais e as boas práticas de responsabilidade socioambiental, segurança da informação e proteção de dados, sendo necessária a permanente observação quanto ao fiel cumprimento de suas cláusulas. Igualmente, sempre que realizada uma contratação são encaminhadas cópias do Código de Ética,

Política de Prevenção e Combate à Fraude, Política de Prevenção e Combate à Lavagem de Dinheiro e Financiamento ao Terrorismo, Política de Segurança da Informação.

f. O início das atividades do terceiro deve ser vinculado à formalização da contratação, e nenhum tipo de pagamento poderá ser efetuado antes da celebração do contrato;

g. Todas as condições propostas devem ser analisadas criticamente e aprovadas pelos responsáveis, a fim de validar o atendimento às reais necessidades da fundação e para proteger os interesses relacionados à segurança de informação e à proteção dos dados pessoais. Portanto, nenhum compartilhamento de informações sensíveis deverá ser realizado antes da formalização de no mínimo, um acordo de confidencialidade entre as partes.

h. Os contratos devem ser formulados sob supervisão jurídica de forma a garantir sua qualidade e mitigar eventuais riscos. Seu conteúdo deve considerar com exatidão e clareza as cláusulas mínimas definidas em norma específica, seguindo todos os requisitos estabelecidos no arcabouço normativo da Fundação ELOS, bem como nos códigos de autorregulação, padrões ou compromissos que a ELOS for signatária.

i. Em caso de contratações que exijam aceitação de termo de adesão, sem possibilidade de revisão de cláusulas, caberá ao gestor de cada área verificar a melhor forma de contratação, apresentando justificativa para tal. As áreas da GGRC e/ou ASJ devem ser consultadas durante o processo.

j. Quando o fornecedor tratar dados pessoais, deve observar as seguintes obrigações:

i. Os acordos formais devem estabelecer claramente as responsabilidades entre a organização, seus parceiros, seus fornecedores e seus terceiros quando aplicáveis, levando em conta o tipo de dado pessoal tratado.

ii. Ter medidas técnicas adequadas para garantir a devida proteção dos dados tratados em conformidade com o artigo 46 e 50 da LGPD;

iii. O fornecedor deve ser orientado a desenvolver um processo de avaliação de riscos de uso de dados pessoais em seus processos conforme a LGPD (Lei Geral de Proteção de Dados).

iv. Quando houver solicitação realizada pelo titular de dados, que acarrete eventuais alterações no tratamento dos dados pessoais compartilhados, convém, que a organização informe aos respectivos fornecedores sobre as alterações realizadas, e forneça as instruções para que estes realizem as devidas adequações no tratamento dos dados pessoais.

k. A Fundação ELOS disponibilizará canal de comunicação com seus terceiros contratados, para fins de denúncias envolvendo a conduta ética dos colaboradores, com o objetivo de prevenir, detectar e sanar desvios, fraudes, irregularidades e atos ilícitos.

l. É vedado à ELOS realizar quaisquer operações comerciais e financeiras:

i. Com seus administradores, aqui entendidos como Diretores Executivos e Gerentes que participem do processo decisório da referida contratação, membros dos conselhos estatutários e respectivos cônjuges ou companheiros e com seus parentes até o segundo grau;

ii. Com empresa de que participem as pessoas a que se refere o inciso anterior, exceto no caso de participação de até cinco por cento como acionista de empresa de capital aberto; e

iii. Tendo como contraparte, mesmo que indiretamente, pessoas físicas e jurídicas a elas ligadas, na forma definida pelo órgão regulador. A vedação deste artigo não se aplica aos

Patrocinadores, aos Participantes e aos Assistidos, que, nessa condição, realizarem operações com a ELOS.

m. Eventuais conflitos com normas existentes serão objeto de avaliação pela Diretoria Executiva.

n. O monitoramento da execução dos serviços terceirizados deve ocorrer continua e periodicamente, de forma a garantir a qualidade e a conformidade dos serviços prestados, propiciando ainda identificar eventuais irregularidades ou mesmo oportunidades de melhoria do desempenho, ensejando ações corretivas e de incremento da qualidade.

i. O acompanhamento da execução dos contratos deve atentar para a eficiência dos processos utilizados e para a eficácia dos resultados produzidos, tanto do ponto de vista da aderência contratual e normativa, como também do ponto de vista da qualidade dos serviços prestados, sua relação custo-benefício, e o atendimento a temas da responsabilidade socioambiental. Quando aplicável, avaliar o nível de serviço acordado (SLA – Service Level Agreement);

ii. Fica estabelecido que as áreas mantenedoras do produto ou serviços prestados pelos fornecedores deverão avaliar formalmente o desempenho dos serviços recebidos, com o objetivo de monitorar o desempenho dos fornecedores, observando os procedimentos estabelecidos em contrato.

iii. O controle de vulnerabilidades para fornecedores que recebem ou manipulam dados pessoais, deve ser regularmente analisado pelo processo PSI 030 – Auditoria Interna, com o intuito de verificar os documentos oficiais e analisar a identificação, aprovação e disposição, conforme orientação deste processo.

iv. Ao término do contrato, deve ser realizada avaliação conclusiva do prestador de serviços, quando couber.

v. Periodicamente, em intervalos de no máximo 5 anos ou inferior, se a legislação impuser, os serviços contratados junto aos fornecedores e terceiros devem ser revistos quanto à sua atualidade, economicidade e conveniência, sempre que possível utilizando de prática concorrencial, verificando também a aderência do escopo contratado às necessidades atuais da Fundação ELOS.

vi. Os problemas decorrentes de descumprimentos de contratos deverão ser gerenciados conforme procedimento definido pelas áreas competentes (GGEN, GGRC e ASJ).

vii. As mudanças nos requisitos do serviço e acordos documentados com os fornecedores, que de alguma forma afetem os princípios de segurança da informação ou a lei geral de proteção de dados pessoais, devem ser aprovadas pela gestão em revisão aos acordos.

viii. As alterações pontuais que não afetarem a segurança da informação e a privacidade dos dados pessoais poderão ser realizadas com o consentimento do gestor da área envolvida, preferencialmente de forma documentada para retenção da informação e comunicação às áreas envolvidas (ex. reajustes, prazos para o pagamento, forma de contato etc.).

ix. Em caso de fornecedores que necessitem de acessos sistêmicos deve-se obter o registro de autorização para acesso e programação da remoção dos perfis quando finalizado o acordo.

o. No desempenho de suas atribuições e responsabilidades, os empregados e gestores da Fundação ELOS devem impedir e eliminar a ocorrência de situações de conflito entre os seus interesses particulares e os da Fundação na manutenção de relações comerciais, na qualidade de representante da Fundação, com empresas em que tenha interesse ou participação direta ou indireta, ou que mantenham vínculo com pessoas de seu relacionamento familiar ou pessoal, bem

como na contratação, direta ou indireta, pela Fundação de parentes ou pessoas com as quais mantenha relações de intimidade ou interesse.

p. Na ocorrência de potencial conflito de interesse, o mesmo deve ser formalmente informado a seus superiores diretos e/ou ao Comitê de Ética, nos termos do Código de Ética da Fundação ELOS.

5. Responsabilidades e Competências

5.1. Assessoria Jurídica: Realizar a análise jurídica dos contratos a serem celebrados pela Fundação ELOS com seus prestadores de serviços, manifestando formalmente suas conclusões ou propostas ao gestor demandante.

5.2. Colaborador: Cumprir as diretrizes dispostas nesta Política e informar aos responsáveis qualquer situação de afronta ao seu disposto. Cabe ainda ao colaborador responsável pela requisição do serviço solicitar as informações da Due Dilligence do contratante.

5.3. Conselho Deliberativo: Aprovar esta Política e eventuais atualizações.

5.4. Conselho Fiscal: Monitorar o cumprimento desta Política.

5.5. Diretoria Executiva: (i) Diligenciar pelo cumprimento dos procedimentos previstos nesta Política, inclusive revisão das normas associadas para assegurar o efetivo cumprimento da presente Política, bem como observar a necessidade de seu constante aprimoramento. (ii) Submeter futuras revisões e atualizações desta Política para apreciação do Conselho Deliberativo. (iii) Tomar conhecimento dos resultados consolidados das avaliações de terceiros e tomar eventuais providências cabíveis.

5.6. Gerência de Gente e Gestão: (i) Orientar as áreas gestoras quanto ao cumprimento desta Política.

(ii) Coordenar o processo de avaliação de terceiros, exceto aqueles relacionados com a gestão, administração e custódia de recursos financeiros, cuja responsabilidade é da Gerência de Investimentos. (iii) Padronizar os relatórios a serem encaminhados às áreas gestoras quanto à avaliação da qualidade dos prestados, confrontação com metas e mandatos definidos, eventuais descumprimentos de cláusulas contratuais e apuração e avaliação dos custos diretos e indiretos dos serviços terceirizados. (iv) Submeter os resultados consolidados das avaliações para a Diretoria Executiva. (v) Coordenar a formação e manutenção de cadastros atualizados dos terceiros contratados. (vi) Realizar a guarda dos contratos assinados com terceiros.

5.7. Gerência de Governança, Riscos e Compliance: (i) Orientar na elaboração do procedimento e normativo específico sobre contratação de terceiros, definindo requisitos mínimos para atender o disposto nas políticas, normas e legislação aplicável. (ii) Monitorar a harmonia da presente Política com as demais políticas e normas da Fundação ELOS, propondo orientações ou correções à Diretoria Executiva quando necessário. (iii) Auxiliar a dirimir dúvidas no processo de contratação e (iv) elaborar e atualizar o formulário de Due Dilligence a ser aplicado.

5.8. Gerência de Investimentos: Coordenar o processo de contratação e avaliação de terceiros relacionados com a gestão, administração e custódia de recursos financeiros.

5.9. Gestores das áreas: (i) Diligenciar para o cumprimento do disposto na presente Política pela sua equipe, no âmbito da sua área de responsabilidade. (ii) Coordenar o processo de seleção, contratação, monitoramento e avaliação de terceiros dos contratos em que figuram como gestores.

(iii) Enviar para a GGEN os relatórios sob sua responsabilidade referentes as avaliações dos contratos.

6. Disposições Gerais

a) As diretrizes e responsabilidades oriundas desta Política devem ser tratadas como complementares ao arcabouço normativo da Fundação ELOS, a Política de Prevenção e Combate à Fraude, Política de Prevenção à Lavagem de Dinheiro e ao Financiamento do Terrorismo, incluindo Avaliação Interna de Riscos (AIR), e se aplicam a todos os fornecedores de produtos ou serviços.

b) Para os contratos envolvendo a gestão, administração e custódia de recursos financeiros para fins de investimentos, devem ser observadas as diretrizes dispostas na Política de Investimentos e no Código de Autorregulação de Governança em Investimentos.

c) A presente Política de Contratação de Terceiros aplica-se a todos os colaboradores da Fundação ELOS e processos organizacionais que, de alguma forma, envolvam a contratação de serviços de terceiros.

d) A Fundação ELOS poderá, a critério de seus gestores e observada a legislação pertinente, realizar a terceirização de qualquer processo ou atividade por meio de contratação de serviço de terceiros. A prática de terceirização de serviços especializados não exime a responsabilidade dos seus dirigentes e gestores.

e) A Fundação ELOS fará negócios somente com Fornecedores e Prestadores Terceirizados com qualificação técnica adequada e que se comprometam expressamente a adotar a mesma política de tolerância zero quanto à corrupção, lavagem de dinheiro e à Lei Anticorrupção e o respeito ao Código de Ética da Fundação. O relacionamento com o parceiro será interrompido quando for comprovado descumprimento deliberado às Políticas e normas da Fundação ELOS.

e) A Fundação ELOS destaca a importância desta Política no atingimento de seus objetivos estratégicos e reforça o compromisso de sua atualização constante, visando preservar os interesses da Fundação ELOS na contratação de terceiros prestadores de serviços e zelar pela equidade e tratamento justo aos terceiros contratados.

7. Referências

I. Código de Melhores Práticas de Governança Corporativa – ABRAPP.

II. Norma ISO 27001:2013 - A.15.1, A.15.2

III. Norma ISO 27701:2019 - 6.12.1, 6.12.2, A.7.3.7

IV. Lei 13.709/2018 – Lei Geral de Proteção de Xxxxx Xxxxxxxx, artigos, 6º, 39, 50.

HISTÓRICO DE VERSÕES

Data	Versão	Aprovação
29/07/2021	1.0	Reunião do Conselho Deliberativo nº 397/2021
30/06/2022	2.0	Reunião de Diretoria Executiva 022/2022
07/07/2022	2.0	Reunião do Conselho Deliberativo nº 408/2022