Política de Privacidade de Proteção de Dados e Cookies

IDENTIFICAÇÃO:

LEGISLAÇÕES:

A presente Política de Privacidade e Proteção de Dados sustenta-se sobre:

• Lei Geral de Proteção de Dados, 13.709/18 (PLANALTO, 2018a), promulgada em 14 de agosto de 2018.
• Lei Geral de Proteção de Dados, 13.853/19 (PLANALTO, 2018a), promulgada em 08 de julho de 2019, alterando a Lei original 13.709/18.
• Projeto de lei, PL, n° 1179 de 2020, aprovado em 03 de abril de 2020, alterando a Lei original 13.709/18.
• Lei 12.965, de 28 de novembro de 2011, conhecida como Marco Civil da Internet.

GLOSSÁRIO: LGPD, Artigo 5

Controlador:

Pessoal Natural ou Jurídica, pública ou privada, a quem competem as decisões referentes ao tratamento de dados pessoais.

Dado Pessoal:

Dado relacionado a qualquer pessoa identificada ou identificável.

Operador:

Pessoal Natural ou Jurídica, pública ou privada, que realiza tratamento de dados pessoais, em nome do Controlador.

Agentes de tratamento de dados:

Refere-se, primordialmente, ao Controlador e Operador, e designa as pessoas jurídicas que tratam os dados pessoais.

Titular:

Pessoa natural a quem se referem os dados, objeto do tratamento. O “dono” do dado.

Tratamento:

Toda e qualquer operação que se realize com o dado pessoal.

Encarregado de Dados – DPO:

Pessoa indicada pelo Controlador para atuar como canal de comunicação entre o próprio, os titulares de dados e a Autoridade Nacional de Proteção de Dados. Adiante este profissional será analisado em maiores detalhes.

Pessoa Natural:

Pessoa natural é o ser humano capaz de direitos e obrigações na esfera civil. Todo ser humano, assim, recebe a denominação de pessoa, natural ou física, para ser denominada como sujeito do direito, ente único, do qual e para o qual decorrem normas.

PRINCÍPIOS: LGPD, Artigo 6

A SUALTECH, considera a privacidade de seus clientes, parceiros e colaboradores um bem de valor inestimável e, portanto, entende e respeita este direito fundamental, assegurando sua proteção.

Nesta direção, assume medidas necessárias e recomendadas por lei e pelas boas práticas de privacidade de dados e segurança da informação, apoiando-se sobretudo nos seguintes princípios:

1. Princípio da FINALIDADE: Os dados coletados devem ter um objetivo específico e o tratamento destes deve ater-se a tal fim;
2. Princípio da ADEQUAÇÃO: A relação entre a finalidade e quais dados serão coletados deve ser consoante e preservada;
3. Princípio da NECESSIDADE: A coleta dos dados deve apresentar uma justificativa plausível alinhada a finalidade de uso;
4. Princípio do LIVRE ACESSO: É assegurado ao titular de dados, consulta gratuita e facilitada aos seus dados pessoais, as formas de tratamento que estes recebem ou receberão e períodos de retenção seja pelo Controlador e, ou Operador. Todos os titulares de dados podem obter informações relacionadas procedendo solicitações específicas ao ENCARREGADO DE DADOS da empresa, devidamente identificado e descrito nesta política;
5. Princípio da Qualidade de Dados: É garantido ao titular que seus dados serão tratados com clareza, exatidão e atualização de acordo com o item 1 e 3 destes princípios;
6. Princípio da Transparência: Todos os dados e tratamentos ocorridos devem ser informados de forma clara, precisa e transparente;
7. Princípio da Segurança: Garante-se a adoção de medidas técnicas, administrativas e processuais dedicadas à proteção dos dados pessoais e ao afastamento de potenciais incidentes como acessos não autorizados e, ou eventos ilícitos;
8. Princípio da Prevenção: Relacionado ao item anterior, afirma adoção de medidas para prevenir ocorrência de danos em virtude do tratamento de dados pessoais;
9. Princípio da Não Discriminação: Impossibilidade de realização de tratamento dos dados pessoais, para fins discriminatórios, ilícitos ou abusivos;
10. Princípio da Responsabilização e Prestação de Contas: O agente de tratamento de dados deve ser capaz, a qualquer momento, de demonstrar a adoção de medidas que comprovem a observância e cumprimento das normas de proteção de dados pessoais e sua eficácia.

APLICABILIDADE: LGPD, Artigos 3 e 4

Todos os princípios acima expostos, são acatados quando da aplicação destes a todo e qualquer tratamento de dados de seus clientes, parceiros e colaboradores, excetuando-se apenas e somente os dados pessoais que:

1. Sejam considerados públicos por determinação legal, ou tenham de ser processados para cumprimento de obrigação legal e, ou regulatória;
2. Sejam públicos para o tratamento e uso compartilhado para execução de políticas públicas de caráter coercitivo;
3. Sejam objeto de decisão judicial transitada em julgado, pela divulgação ou exibição dos mesmos;
4. Se destinem a procedimentos relacionados à segurança, passiva ou ativa (incolumidade^[1]);
5. Já forem considerados dados públicos por outros meios;
6. Destinarem-se a tutela de saúde, à proteção da vida ou incolumidade física das pessoas (titulares de dados);
7. Sejam pertinentes à relação contratual ou vínculo empregatício com a escola e preservem os princípios anteriormente trazidos;
8. Dedicados para fins, exclusivamente, acadêmicos, considerando a cautela na publicação do trabalho científico e, sempre que possível, a aplicação de anonimização^[2], desta forma, dissociando o dado de seu titular.

CONFORMIDADE: LGPD, Artigo 38

A SUALTECH Industria E Comercio De Sistemas E Equipamentos Eletrônicos LTDA, declara aderência aos princípios supracitados estabelecendo como prioridade sua conformidade às Legislações pertinentes, sincronamente em que manifesta seu compromisso de esforço na manutenção do compliance^[3] e adequação pertinentes.

Para tal mantém-se, atualizado, um Inventário de Dados em consonância com o nível de privacidade e hipótese de tratamento, prevista em lei (13.709/18), identificando com clareza os métodos adotados, o tratamento realizado e a retenção aplicada.

Em que se pesem os procedimentos de Segurança da Informação e resposta a incidentes, a instituição, é consciente de que a privacidade de dados representa um desafio e que a despeito dos cuidados dedicados, da contínua atualização dos times de segurança e privacidade, o risco informacional é permanente e paulatino.

Diante disto para eventuais incidentes, há um plano de resposta aos riscos, seguido do correspondente Relatório de Impacto aos Dados Pessoais que identifica as principais ameaças e seus danos (impactos), estabelecendo sobre estes um plano de resposta, aqui apresentado.

PLANO DE RESPOSTA À INCIDENTES DE DADOS: LGPD, Artigo 48

Assim que identificado qualquer infração (acesso desautorizado, destruição, perda, alteração ou qualquer tratamento de cunho ilícito) a empresa, por meio de seu Encarregado de Dados:

1. Comunicará, de imediato, o titular de dados;
2. Comunicará a Autoridade Nacional de Proteção de Dados (ANPD), informando:
   1. Data do incidente;
   2. Dados relacionados;

1. Categoria e Sensibilidade destes dados;

1. 1. Natureza e escopo do tratamento realizado com os dados atingidos;
   2. Titulares de dados relacionados;
   3. Riscos relacionados ao incidente;
   4. Gravidade do ocorrido: impacto do incidente ao titular;
   5. Operadores e demais agentes de tratamento envolvidos, caso haja;
   6. Indicação das medidas técnicas e administrativas de segurança dedicadas a proteção dos dados;
   7. Razões da demora, caso a comunicação não tenha sido imediata;
   8. Medidas que foram, são e serão adotadas para impedir futuras ocorrências de mesmo gênero;
   9. Medidas que foram, são e serão adotadas para reverter e mitigar os efeitos do prejuízo;
   10. Reincidência, ou não, do incidente.
2. Assumirá todas as medidas cabíveis e disponíveis para sanar o impacto do incidente e sua recidiva futura, em qualquer prazo, de acordo com o disposto junto às alíneas “j” e “k” do item 2 deste, acima trazido.

ENCARREGADO DE DADOS: LGPD, Artigo 41

A principal função do Encarregado de Dados ou apenas DPO (Data Protection Officer) como é conhecido no Regulamento Geral de Proteção de Dados da União Europeia (GPDR, em inglês) é garantir que a instituição processe (trate) os dados pessoais da organização: equipes, clientes, fornecedores ou quaisquer outros indivíduos (também chamados de titulares de dados), em conformidade com as regras de proteção de dados aplicáveis.

As atividades do encarregado consistem em:

1. Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
2. Receber comunicações da Autoridade Nacional de Proteção de Dados e adotar providências;

• Orientar os funcionários e os contratados da entidade a respeito das práticas a serem adotadas em relação a proteção de dados pessoais;

1. Executar demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares, entre outras, a saber:
   1. Garantir que as regras de proteção de dados sejam conhecidas, entendidas e respeitadas dentro da escola;
   2. Garantir que o controlador e titulares dos dados sejam informados sobre seus direitos, obrigações e responsabilidades pertinentes;
   3. Assegurar a conformidade e perpetuidade da proteção de dados da instituição seja atingida e mantida;
   4. Manter a instituição alinhada à ANPD ao que tange novos dispostos sobre a lei e práticas de governança e segurança de dados-informação.

Diante disto, esta Política, identifica e declara, para os efeitos da Lei Geral de Proteção de Dados, as informações pertinentes ao Encarregado de Dados da empresa:

DIREITOS DOS TITULARES DE DADOS: LGPD: Artigos 9 e 17 a 22.

O titular de dados, pessoa natural a quem os dados pessoais se referem, possui direitos específicos trazidos pela legislação, os quais a FECAP acata garantindo ao titular, mediante requisições formais e por escrito:

1. Confirmação da existência de tratamento de dados;
2. Acesso aos dados;

• Correção de inconsistências e atualizações;

1. Eliminação de dados desnecessários, excessivos;
2. Portabilidade observado segredo comercial disposto;
3. Eliminação dos dados pessoais tratados, excesso nas hipóteses de:
   1. Cumprimento de obrigação legal ou regulatória pela escola;
   2. Estudo por órgão de pesquisa, garantida anonimização, sempre que possível;
   3. Uso exclusivo do controlador, vetado a terceiros e anonimizado;

• Informação das entidades (públicas e privadas: Operadores) onde houve e, ou há compartilhamento de dados;
• Revogação do consentimento, visto e excetuado, quando condição à execução de contrato pelo controlador, obrigação legal e regulatória, anonimização do dado, utilização por e para órgão de pesquisa;

1. Temporalidade do tratamento dos dados e a retenção destes;
2. Informação sobre as consequências do não fornecimento do consentimento, caso opte em não o prover.

Todos os pedidos dos titulares serão recebidos por meio eletrônico, seguro e idôneo junto a conta de e-mail do Encarregado de Dados nomeado pelo Controlador:

dpo@sualtech.com.br

A resposta à solicitação do Titular de Dados será providenciada em formato simplificado por meio de declaração clara e completa em um prazo de até 15 (quinze) dias, contados da data do requerimento do titular: LGPD, Artigo 19, inciso II.

TERMOS DE USO E SERVIÇO:

Todos os serviços da empresa, subordinam-se aos princípios gerais desta Política, sem prejuízo às disposições específicas constantes em contratos firmados. Há ausência de normas específicas para quaisquer serviços observados junto ao Portfólio ou na presença de conflitos entre os demais dispositivos normativos (regras ou contratos anteriores) a vigente Política prevalecerá.

• COLETA E TRATAMENTO DE DADOS: LGPD, Artigo 5 e 7

Toda coleta e tratamento de dados ocorrerá quando indispensáveis à operação das atividades laborais de seus colaboradores e parceiros de negócio mediante a execução de contratos específicos, como o de trabalho. E ainda absolutamente necessárias à realização de transações e prestação de serviços comerciais a seus clientes e por razões de cumprimento às legislações pertinentes, como: civil, trabalhista, tributária entre outras.

Demais dados que por qualquer motivo sejam necessários e, ou requeridos seja para fins de marketing, registro de potenciais clientes e até interesses legítimos da empresa serão, invariavelmente, precedidos de termos de consentimento aos seus titulares de dados. Desta forma, em quaisquer das possibilidades, o titular será previamente avisado sobre tal coleta de dados com clareza e assertividade e poderá fornecer ou não seu consentimento para tal tratamento. Portanto, em não desejando ceder tais informações, será imediatamente informado sobre os impactos que tal negação possa incorrer, de forma clara e inequívoca. Conforme Legislação pertinente, LGDP: Artigos 9 e 18.

• RESPONSABILIDADE: LGPD, Artigos 46 e 50

A SUALTECH se compromete em oferecer os melhores serviços disponíveis, cuidando para que a segurança da informação, a privacidade dos titulares e a liberdade destes de disporem de seus dados, com proteção, seja parte contínua a indissociável de suas operações.

Adotando melhores práticas de governança e segurança aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.  E, em tempo, que estabeleçam as condições de organização, o regime de funcionamento e os procedimentos necessários ao atendimento dos titulares de dados no exercício de seus direitos.

• TRATAMENTO DOS DADOS: LGPD, Artigo 7

Todas as informações coletadas pela empresa são destinadas ao:

1. Exercício dos contratos de prestação de serviços a seus clientes no âmbito da gestão e controle de acesso;
2. Apoio e manutenção aos contratos assinados;
3. Exercício dos contratos de trabalhos de colaboradores e parceiros;
4. Exercício dos contratos de prestação de serviço terceirizados;
5. Proteção à vida ou incolumidade;
6. Cumprimento obrigação legal ou regulatória.

Todo o qualquer dado coletado que não respeite as hipóteses acima será previamente informado, acrescido de seu respectivo uso e retenção em formato claro, simples e idôneo.

• ARMAZENAMENTO E RETENÇÃO DE DADOS: LGPD, Artigos 15 e 16

A SUALTECH adota melhores práticas de segurança da Informação pautados sobre a ISO 27001^[4] (Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos) para seu parque tecnológico, de forma que os dados pessoais de seus titulares não possam ser identificados por pessoas ou equipamentos não autorizados, quando da coleta, tratamento, armazenamento e cópia de segurança (backup) sendo estes último mantido fisicamente em cofre e em formato ilegível a sistemas externos.

Quanto ao período de armazenamento a empresa debruça-se sobre as retenções referentes a:

1. Cumprimento de contratos de prestação de serviços educacionais;
2. Cumprimento de contratos trabalhistas;
3. Cumprimento de obrigação legal ou regulatória, ainda que revogado o consentimento do titular;
4. Período de tratamento;
5. Tratamento pelo judiciário ou por órgão de pesquisa garantida, sempre que possível, a anonimização…

A temporalidade legal, normativa e prescricional acatada pela escola pode ser observada junto aos links abaixo:

• MINISTÉRIO DA FAZENDA – MF:

http://www.siga.arquivonacional.gov.br/images/codigos_tabelas/00_CodigoClassificacao_MF.pdf

• SECRETARIA DA RECEITA FEDERAL DO BRASIL – RFB:

http://www.siga.arquivonacional.gov.br/images/codigos_tabelas/RFB%20APRES%20C%C3%93DIGO%20AF%20REF%20LEGISL.pdf

• MINISTÉRIO DA JUSTIÇA E SEGURANÇA PÚBLICA – GESTÃO DE DOCUMENTOS E ARQUIVOS: CLASSIFICAÇÃO, TEMPORALIDADE E DESTINAÇÃO DE DOCUMENTOS DA UNIÃO.

http://www.siga.arquivonacional.gov.br/index.php/legislacao-e-normas/legislacao-portarias/31-gestao-de-documentos/resultado-das-atividades-de-gestao-documental/159-codigos-de-classificacao-e-tabelas-de-temporalidade-destinacao-de-documentos

• COMPARTILHAMENTO:

Os dados pessoais coletados pela SUALTECH respeitam as finalidades de uso previstas em lei e aqui descritas, isto dito, em momento algum são compartilhados com qualquer outra pessoa natural, física ou jurídica (de direito público ou privado) sob finalidade comercial e ou de marketing, dentro ou fora da extensão territorial do país.

Caso dados precisem ser compartilhados em cumprimento de solicitação da autoridade pública, a mesma somente ocorrerá mediante ordem judicial, conforme definido em Lei.

COOKIES: POLÍTICA DE USO E ADEQUAÇÃO

Durante o uso dos aplicativos ou páginas de internet (sítios eletrônicos), a empresa poderá utilizar tecnologias de identificação de usuários e mapeamento de navegação, “Cookies^[5]”, de forma a facilitar e otimizar a navegação do mesmo pelo conteúdo das páginas visitadas, fornecendo uma melhor experiência ao usuário. A escola sempre informará sobre tais operações, prestando ao usuário a opção de não aceitar que aquela faça uso de tais tecnologias:

COOKIES são pequenos arquivos que são gravados no computador do titular de dados quando acessa sites na Internet e que são reenviados a estes mesmos sites quando novamente visitados. São usados para manter informações sobre o titular, como carrinho de compras, lista de produtos e preferências de navegação, desta forma, melhorando a experiência do usuário (titular) com a (s) página (s) visitadas, tornando-as mais responsivas e dinâmicas.

TIPOLOGIA: segundo o Comitê Gestor da Internet no Brasil – CGI.br, responsável por coordenar e integrar as iniciativas e serviços da Internet no País, os Cookies podem ser classificados em 6 “tipos”:

1. Temporário (de sessão), quando é apagado no momento em que o navegador Web ou programa leitor de e-mail é fechado;
2. Permanente (persistente), quando fica gravado no computador até expirar ou ser apagado;
3. Primário (first–party), quando definido pelo domínio do site visitado;
4. Terceiros (third–party), quando pertencente a outro domínio (geralmente relacionado a anúncios ou imagens incorporadas à página que está sendo visitada);
5. Seguros: transmitidos apenas via HTTPS, normalmente observados em páginas de “check–out” dos sites de compras online;
6. HTTPOnly: quando atribuídos definido, o navegador impede que qualquer script de cliente na página (como JavaScript) acesse o conteúdo do cookie.

Os cookies utilizados pela empresa são seguros, testados e pertinentes ao ideal uso das ferramentas e opções de navegação disponíveis, favorecendo primordialmente a navegabilidade e experiência do usuário, diante disto, caso sejam desativados o comportamento de algumas funcionalidades e acessos serão comprometidos, podendo não apresentar a resposta ideal e esperada, dado isto como claro, a instituição não se responsabiliza pela experiência negativa decorrente desta ação.

Em tempo, todos os dados coletados pelos cookies presentes em seu site não são, em momento algum, compartilhados por empresas terceiras de qualquer natureza sobre cunho comercial ou para exploração de marketing que não seja o próprio com vistas a oferta de serviços presentes e públicos em seu portfólio de produtos.

DESATIVAR COOKIES: Comumente as opções para desativar ou limpar os cookies estão presentes nos navegadores de internet em “Opções” ou em “Preferências”, desta forma, para esclarecer melhor como proceder consulte as opções de ajuda e configuração do navegador utilizado:

• APPLE SAFARI WEB: – https://support.apple.com/pt-br/guide/safari/sfri11471/mac
• CHROME: – https://support.google.com/chrome/answer/95647?co=GENIE.Platform%3DDesktop&hl=pt-BR

• FIREFOX: – https://support.mozilla.org/pt-BR/kb/desative-cookies-terceiros-impedir-rastreamento

• INTERNET EXPLORER: – https://support.microsoft.com/pt-br/help/17442/windows-internet-explorer-delete-manage-cookies

ATUALIZAÇÃO E FORO:

A empresa reserva-se no direito de alterar e, ou atualizar esta política sempre que necessário objetivando a maior segurança ao titular de dados e acato a instância legal regulatória.

Esta política está sujeita à Lei da República Federativa do Brasil e o Foro da Comarca de São Paulo é competente para dirimir qualquer controvérsia com relação à mesma.

© Copyright SUALTECH INDUSTRIA E COMERCIO DE SISTEMAS E EQUIPAMENTOS ELETRÔNICOS LTDA.

Proibida sua reprodução total ou parcial.

^[1] Incolumidade: A incolumidade pública significa evitar o perigo ou risco coletivo, tem relação com a garantia de bem-estar e segurança de pessoas indeterminadas ou de bens diante de situações que possam causar ameaça de danos. TJDFT – Tribunal de Justiça do Distrito Federal e dos Territórios: https://www.tjdft.jus.br/institucional/imprensa/campanhas-e-produtos/direito-facil/edicao-semanal/incolumidade-publica;

^[2] Anonimização: Ato ou efeito de Anonimizar, tornar anônimo. Aqui refere-se a aplicação de métodos técnicos razoáveis e disponíveis no momento do tratamento dos dados, por meio dos quais, perde-se a possibilidade de associação direta ou indireta a um indivíduo natural, titular dos dados, em trato;

^[3] Conjunto de disciplinas a fim de cumprir e se fazer cumprir as normas legais e regulamentares, as políticas e as diretrizes estabelecidas para o negócio e para as atividades da instituição ou empresa.

^[4] https://www.abntcatalogo.com.br/norma.aspx?ID=306580

https://www.iso.org/isoiec-27001-information-security.html

^[5] Cookies: https://cartilha.cert.br/livro/cartilha-seguranca-internet.pdf e

https://cookiepedia.co.uk/