Ajuda
Para exercício de sua atividade, a IDENTIDADE EMPREENDIMENTOS LTDA. (ID SINGULAR) realiza o Tratamento de Dados Pessoais, tanto de pessoas relacionadas à sua estrutura interna, quanto de terceiros, sejam parceiros ou clientes e estudantes. A presente Política Corporativa de Privacidade e Proteção de Dados Pessoais (“Política”) tem como objetivo apresentar as regras aplicáveis para o Tratamento de Dados Pessoais, em atenção às disposições da Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais ou “LGPD”), bem como organizar todos os pontos necessários para a construção de um Programa de Privacidade – Gestão e Governança que garanta a conformidade com a referida legislação.
São objetivos específicos desta Política:
(i) estabelecer as diretrizes que devem ser seguidas, impreterivelmente, quando do tratamento de dados pessoais por parte de qualquer pessoa que esteja empregada ou que preste serviços / se relacione com a ID Singular;
(ii) fomentar o emprego constante das melhores práticas em termos de proteção de dados pessoais.
Esta Política se aplica à ID Singular e a todos os seus Colaboradores, entendidos como funcionários, estagiários, terceiros e prestadores de serviços, consultores externos, colaboradores temporários, parceiros comerciais, entre outros que possuam acesso a informações, serviços, sistemas e recursos de propriedade da ID Singular independentemente do cargo ou função exercida.
Vale ressaltar que a LGPD não se aplica ao tratamento de dados pessoais realizado para fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividade de investigação e repressão de infrações penais. Entretanto, o tratamento de dados para os fins destacados deve se ater a legislação específica, contendo medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observado o devido processo legal, os princípios gerais de proteção e os direitos do titular previsto na LGPD, sob a tutela de pessoa jurídica de direito público. Adicionalmente a LGPD não se aplica ao tratamento de dados pessoais realizado por pessoa natural para fins exclusivamente particulares e não econômicos.Os contornos desta Política devem ser conhecidos para que o titular tenha ciência acerca dos padrões e garantias legais, bem como, para que tenha ciência da responsabilidade que lhe incumbe ao ter acesso a dados pessoais no exercício de suas atividades.
Para os fins desta Política, as seguintes definições se aplicam:
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do Tratamento, por meio dos quais um Dado Pessoal perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Autoridade Nacional de Proteção de Dados (“ANPD”): A Autoridade Nacional de Proteção de
Dados é órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados em todo o território nacional.
Base legal de tratamento de dados pessoais: hipótese legal que configura situação legitimadora do Tratamento de Dados Pessoais pelos agentes de Tratamento (Controlador ou Operador).
São exemplos de bases legais de tratamento de dados pessoais: consentimento, cumprimento de obrigação legal ou regulatória, execução de políticas públicas pela Administração Pública, realização de estudos por órgãos de pesquisa, execução de contrato ou de procedimentos preliminares a um contrato, exercício regular de direitos em processos judiciais, administrativos ou arbitrais, proteção da vida, tutela da saúde, legítimo interesse, proteção do crédito e garantia de prevenção à fraude e à segurança do titular.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados Pessoais.
Colaboradores: todos os funcionários, estagiários, terceiros e prestadores de serviços, independentemente do cargo ou função exercida.
Dado Pessoal ou Dados Pessoais (lato sensu): Qualquer “informação relacionada a uma pessoa natural identificada ou identificável”. Exemplos: nome e número de registro na OAB (que permite a identificação de uma pessoa quando realizada uma consulta na base de dados da entidade).
Dado Pessoal Sensível ou Dados Pessoais Sensíveis: é a informação, ou conjunto de informações, que podem representar um risco elevado à segurança e/ou às liberdades do Titular ou, ainda, que podem gerar discriminações ilícitas quando tratados. Ou, conforme precisamente definido na LGPD, o Dado Pessoal Sensível é aquele relacionado à “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico”.
Assim, informações como tipo sanguíneo, raça, religião, filiação partidária e impressão digital são consideradas Dados Pessoais sensíveis. É importante ressaltar que o dado pessoal sensível se enquadra como espécie integrante do conceito mais abrangente de dado pessoal “lato sensu”.
Eliminação: exclusão de Dado Pessoal ou de conjunto de Dados Pessoais armazenados em banco de dados, online e fisicamente, independentemente do procedimento empregado.
Encarregado (a) ou DPO (Data Protection Officer): Pessoa formalmente indicada pela ID Singular como responsável pela gestão do Programa de Privacidade – Gestão e Governança.
Incidente de Segurança envolvendo Dados Pessoais (“Incidente de Segurança”): qualquer evento adverso, confirmado ou sob suspeita, que pode gerar o comprometimento das características de confidencialidade, integridade e disponibilidade dos dados pessoais.
LGPD: Lei Federal nº 13.709/2018 ou “Lei Geral de Proteção de Dados”.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador.
Programa de Privacidade – Gestão e Governança ou apenas Programa (“Programa”): conjunto de regras para salvaguardar o direito constitucional à privacidade, principalmente em atendimento à Lei Geral de Proteção de Dados e posteriores normas que venham a legislar sobre o tema.
Tipos de Dados Pessoais: é a referência aos tipos legais de dados pessoais “lato sensu” e dados pessoais sensíveis.
Titular: Pessoa física a quem os Dados Pessoais se referem.
Tratamento: Qualquer operação efetuada com Dados Pessoais, por meios automatizados ou não automatizados, tais como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Toda atividade de Tratamento de Dados Pessoais deverá se dar em observância à boa-fé e aos princípios norteadores da privacidade e proteção dos dados pessoais, em especial:
Princípio da finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
Princípio da adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
Princípio da necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
Princípio do livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
Princípio da qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
Princípio da transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
Princípio da segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Princípio da prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do
tratamento de dados pessoais;
Princípio da não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
Princípio da responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Todos os princípios serão observados internamente em consonância com o alcance e significado dado a eles pela LGPD e subsequentes interpretações ulteriores advindas da ANPD e de nossos tribunais superiores.
Consoante artigos 7º e 11 da LGPD, toda atividade de Tratamento de Dados Pessoais realizada pela ID Singular deverá possuir uma base legal para tratamento, que será definida em conjunto pelo(a) Encarregado(a) (DPO) e pelo Departamento Jurídico.
No quadro abaixo detalhamos com um símbolo “V” as hipóteses de bases legais legitimadoras para tratamento de dados pessoais que poderão ser utilizadas na ID Singular e com um símbolo “X” as situações em que as respectivas bases legais não poderão ser utilizadas como legitimadoras para o tratamento dos dados pessoais.
|
Base legal |
Definição |
Dados Pessoais (lato sensu) |
Dados Pessoais Sensíveis |
|
Consentimento |
Manifestação positiva do Titular quanto ao Tratamento de seus Dados Pessoais, que deve ser livre, informada, inequívoca, destacada (se em contratos), específica e revogável a qualquer tempo. |
V |
V |
|
Obrigação legal ou regulatória |
Cumprimento pelo Controlador de obrigação legal ou regulatória específica quanto ao Tratamento dos Dados Pessoais do Titular. |
V |
V |
|
Execução de contrato ou procedimentos preliminares |
Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o Titular, a pedido do Titular dos Dados Pessoais. Não aplicável a contratos entre pessoas jurídicas. |
V |
X |
|
Exercício regular de direitos |
Exercício regular de direitos do Controlador em processos judiciais, administrativos e arbitrais. Caso sejam Dados Pessoais Sensíveis, há também a situação de exercício regular de direitos previstos inclusive em contrato. |
V |
V |
|
Proteção da vida |
Quando Dados Pessoais são necessários para proteção da vida ou da incolumidade física do Titular ou de terceiros. |
V |
V |
|
Tutela da saúde |
Quando o Tratamento de Dados Pessoais é necessário para atender aos interesses legítimos do Controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos Dados Pessoais. |
V |
V |
|
Legítimo interesse |
Quando o Tratamento de Dados Pessoais é necessário para atender aos interesses legítimos do Controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos Dados Pessoais. |
V |
X |
|
Proteção do crédito |
Tratamento de Dados Pessoais relacionados a atividades de proteção do crédito conforme disposto na legislação pertinente. |
V |
X |
Por fim, o tratamento de dados pessoais sensíveis também poderá ser feito a partir da base legal prevista no artigo 11, II, g da LGPD, de garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.
O Programa da ID Singular possuirá os elementos abaixo delineados.
A documentação base para a estruturação do Programa da ID Singular obedecerá à seguinte orientação:
5.1.1. Políticas
São os documentos estruturais do Programa, estabelecem os princípios e fundamentos que deverão nortear os demais instrumentos que compõem o Programa, sendo considerados como sua camada estruturante.
Competência para Alterações: Aprovação necessária da diretoria, mediante solicitação da área competente.
5.1.2. Normas
São os documentos contendo as regras internas de cada ponto estrutural do Programa, sempre fundamentadas e de acordo com a política e sendo a camada intermediária do programa.
Competência para Alterações: Aprovação da Diretoria Executiva.
5.1.3. Procedimentos
São os documentos que trazem a descrição e divisão de tarefas para atendimento às regras apresentadas nas normas e nas políticas, sendo a camada inferior do Programa.
Todas as alterações de procedimentos que envolvam especificamente as atividades de tratamento de dados das áreas de negócio deverão ser atualizadas e enviadas para avaliação da DPO, juntamente com a atualização do formulário de mapeamento das atividades de tratamento de dados pessoais.
Competência para Alterações: Aprovação dos gestores das respectivas áreas e Encarregada (DPO).
A gestão e aplicação do Programa serão conduzidas no formato abaixo segmentado:
A ID Singular constituiu um Comitê de Privacidade, cujas atribuições, dentre outras, será apoiar a diretoria da Companhia em assuntos relacionados à privacidade e proteção de dados, visando ao atendimento à LGPD, às políticas e procedimentos internos e ao melhor interesse da Companhia, além de apreciar periodicamente os resultados do Programa.
A Comissão de Privacidade será composta por integrantes fixos e rotativos. São integrantes fixos os membros representantes das áreas de: Privacidade e Proteção de Dados, Tecnologia e Segurança da Informação, Jurídico, Gestão de Riscos e Compliance, Gestão de Pessoas e Diretoria de Operações.
Os membros rotativos serão definidos, conforme necessidade e serão convocados a participar das reuniões em que sejam necessários, de acordo com o assunto a ser tratado.
Os membros fixos serão indicados pelos gestores de suas respectivas áreas e terão mandato de dois anos, podendo ser reconduzidos.
A Comissão de Privacidade deverá sempre ser envolvida na tomada de decisões a respeito de atividades de Tratamento que envolvam riscos, de acordo com as disposições de seu Regimento Interno e com reporte ao Comitê de Auditoria, Gestão de Riscos e Compliance e a diretoria.
O reporte ao Comitê de Auditoria, Gestão de Riscos e Compliance e a diretoria terá periodicidade anual, em que deverão ser apresentadas as métricas do Programa relativas, mas não se limitando, a: volume de pedidos de titulares, incidentes de segurança e vazamento de dados, estado de compliance com a LGPD e maturidade do Programa.
5.2.2. Encarregado (a) pelo Tratamento de Dados Pessoais (DPO)
A (O) Encarregada(o) pelo Tratamento de Dados Pessoais da ID Singular será representada na figura de: Sabrina Jonas Alcici (lgpd@idsingular.com.br)
Cabe à Encarregada (DPO):
A condução dos trabalhos da Comissão de Privacidade;
O gerenciamento do Programa de Privacidade como um todo e, em especial:
» A atuação como canal de comunicação entre o Controlador, os Titulares dos Dados e a Autoridade Nacional de Proteção de Dados (ANPD), recebendo comunicações
desta e adotando providências;
» aceitar reclamações e comunicações dos Titulares, prestar esclarecimentos e adotar providências;
» orientar os funcionários e os contratados da ID Singular e suas subsidiárias a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
» definir, em conjunto com o Departamento Jurídico da ID Singular, as bases legais para cada tratamento de dados, levando decisões que envolvam riscos à Comissão de Privacidade, com reporte ao Comitê de Auditoria, Gestão de Riscos e Compliance e diretoria.
A ID Singular manterá um registro de suas operações de Tratamento de Dados Pessoais, contendo, no mínimo, as seguintes informações sobre cada operação:
» Descrição do fluxo geral da informação em cada etapa de seu ciclo de vida;
» Base legal para Tratamento;
» Tipos de Dados Pessoais coletados;
» Finalidade para a qual o Dado Pessoal é tratado;
» Local digital (nuvem, servidor, laptop etc.) e geográfico (se possível) onde o
Dado Pessoal é tratado;
» Período de retenção do Dado Pessoal;
» Área responsável pelo Dado Pessoal; e
» Volume aproximado de registros existentes.
A Encarregada (DPO) será responsável por manter o registro atualizado.
Serão assegurados aos Titulares de Dados Pessoais os direitos garantidos pela LGPD, mediante solicitação expressa nos canais disponibilizados pela ID Singular para tal, conforme abaixo apresentados:
» A confirmação da existência do Tratamento;
» o acesso aos Dados Pessoais tratados;
» a correção dos Dados Pessoais incompletos, inexatos ou desatualizados;
» a anonimização, o bloqueio ou a eliminação dos Dados Pessoais desnecessários,
excessivos ou tratados em desconformidade com o disposto na Lei;
» a portabilidade dos Dados Pessoais mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e
industrial;
» eliminação dos Dados Pessoais tratados apenas com base no consentimento do titular, exceto nas hipóteses de (i) cumprimento de obrigação legal ou regulatória
pelo controlador; (ii) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; (iii) transferência a terceiro, por solicitação do titular dos
dados pessoais; ou (iv) uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.
» informação sobre as entidades públicas e privadas com as quais foi realizada o
compartilhamento de Dados Pessoais;
» informar as consequências da revogação do consentimento; e
» informar os fatores que levaram a uma decisão automatizada.
O atendimento aos direitos do Titular será realizado por meio de canais que serão amplamente divulgados, que estarão definidos e detalhados nas normas e procedimentos componentes do Programa.
Os relatórios de impacto à proteção de Dados Pessoais serão conduzidos pela ID Singular sempre quando a operação de Tratamento de Dados Pessoais for passível de gerar riscos às liberdades civis e aos direitos fundamentais.
A DPO, a Comissão de Privacidade e o Comitê de Auditoria, Gestão de Riscos e Compliance poderão adotar parâmetros e critérios específicos para qualificar uma operação de tratamento de Dados Pessoais como sujeita ao Relatório de Impacto à Proteção de Dados Pessoais.
São exemplos de parâmetros que poderão ser utilizados, em caráter meramente ilustrativo:
» Volumetria;
» tipos de Dados Pessoais envolvidos;
» titulares de Dados Pessoais envolvidos.
A ANPD também poderá definir e estabelecer os fatores que deverão, a seu critério, desencadear o Relatório de Impacto à Proteção de Dados, hipótese em que tal orientação passará a ser adotada pela Companhia, de forma complementar à presente Política.
Os relatórios deverão conter a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do Controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
A obrigatoriedade primária de elaboração do documento é do gestor da área responsável pela operação, tendo a Encarregada pela proteção de Dados Pessoais da ID Singular (DPO) o papel de avaliar o documento preparado por este colaborador e elaborar um parecer final sobre a atividade de Tratamento. Via de regra, tais documentos não deverão ser publicados ou disponibilizados ao público externo e serão mantidos em sigilo. Contudo, poderão ser objeto de requisição da ANPD, a qualquer tempo.
O Incidente de Segurança envolvendo Dados Pessoais que possa acarretar risco ou danos relevantes aos titulares, conforme previsão legal e ulteriores interpretações dadas pela ANPD, será comunicado à ANPD e ao titular, em prazo razoável, conforme definido pela ANPD, e deverá mencionar, no mínimo:
» A descrição da natureza dos dados pessoais afetados;
» as informações sobre os titulares envolvidos;
» a indicação das medidas técnicas e de segurança utilizadas para a proteção dos
dados, observados os segredos comercial e industrial;
» os riscos relacionados ao incidente;
» os motivos da demora, no caso de a comunicação não ter sido imediata; e
» as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos
do prejuízo.
Todos os demais incidentes de segurança, os quais, a critério da Comissão de Privacidade, não representarem risco ou danos relevantes aos titulares, serão tratados internamente pela DPO, pela Comissão de Privacidade e pelo Comitê de Auditoria, Gestão de Riscos e Compliance, consoante as previsões dispostas no Plano de Respostas a Incidentes.
A ID Singular manterá canal para recebimento de notícias de incidentes de segurança, que pode ser utilizado, também, pelos seus membros e colaboradores.
As comunicações serão recebidas pela Encarregada (DPO), conforme determinado no Plano de Respostas a Incidentes da ID SINGULAR.
10. EXCLUSÃO DOS DADOS PESSOAIS
11.
Os dados pessoais do titular serão excluídos, observadas as legislações pertinentes, quando:
I. a finalidade para a qual o dado foi coletado seja alcançada ou quando o dado deixar de ser necessário ou pertinente para o alcance desta finalidade;
II. quando houver revogação do consentimento pelo titular, exceto em caso de armazenamento determinado por obrigação legal ou regulatória;
III. mediante determinação de autoridade competente para tanto.
Esta Política entrou em vigor em 2025, aprovada em reunião pela diretoria. Sem prejuízo das disposições contidas nesta Política, a ID Singular se reserva ao direito de revisá-la, na periodicidade que melhor entender, sempre respeitando o prazo máximo estipulado em lei.
O uso dos serviços oferecidos pela ID Singular, será regulado por termos e condições de uso com observância desta Política de Privacidade e Proteção de Dados Pessoais.