Termos de uso e Política de Privacidade


POLÍTICA CORPORATIVA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS


  1. OBJETIVO


    Para exercício de sua atividade, a IDENTIDADE EMPREENDIMENTOS LTDA. (ID SINGULAR) realiza o Tratamento de Dados Pessoais, tanto de pessoas relacionadas à sua estrutura interna, quanto de terceiros, sejam parceiros ou clientes e estudantes. A presente Política Corporativa de Privacidade e Proteção de Dados Pessoais (“Política”) tem como objetivo apresentar as regras aplicáveis para o Tratamento de Dados Pessoais, em atenção às disposições da Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais ou “LGPD”), bem como organizar todos os pontos necessários para a construção de um Programa de Privacidade – Gestão e Governança que garanta a conformidade com a referida legislação.


  2. ABRANGÊNCIA


    Esta Política se aplica à ID Singular e a todos os seus Colaboradores, entendidos como funcionários, estagiários, terceiros e prestadores de serviços, independentemente do cargo ou função exercida.


  3. DEFINIÇÕES


    Para os fins desta Política, as seguintes definições se aplicam:


    Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do Tratamento, por meio dos quais um Dado Pessoal perde a possibilidade de associação, direta ou indireta, a um indivíduo.


    Autoridade Nacional de Proteção de Dados (“ANPD”): A Autoridade Nacional de Proteção de Dados é órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados em todo o território nacional.


    Base legal de tratamento de dados pessoais: hipótese legal que configura situação legitimadora do Tratamento de Dados Pessoais pelos agentes de Tratamento (Controlador ou Operador).


    São exemplos de bases legais de tratamento de dados pessoais: consentimento, cumprimento de obrigação legal ou regulatória, execução de políticas públicas pela Administração Pública, realização de estudos por órgãos de pesquisa, execução de contrato ou de procedimentos preliminares a um contrato, exercício regular de direitos em processos judiciais, administrativos ou arbitrais, proteção da vida, tutela da saúde, legítimo interesse, proteção do crédito e garantia de prevenção à fraude e à segurança do titular.


    Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados Pessoais.


    Colaboradores: todos os funcionários, estagiários, terceiros e prestadores de serviços, independentemente do cargo ou função exercida.


    Dado Pessoal ou Dados Pessoais (lato sensu): Qualquer “informação relacionada a uma pessoa natural identificada ou identificável”. Exemplos: nome e número de registro na OAB (que permite a identificação de uma pessoa quando realizada uma consulta na base de dados da entidade).


    Dado Pessoal Sensível ou Dados Pessoais Sensíveis: é a informação, ou conjunto de informações, que podem representar um risco elevado à segurança e/ou às liberdades do Titular ou, ainda, que podem gerar discriminações ilícitas quando tratados. Ou, conforme precisamente definido na LGPD, o Dado Pessoal Sensível é aquele relacionado à “origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico”.


    Assim, informações como tipo sanguíneo, raça, religião, filiação partidária e impressão digital são consideradas Dados Pessoais sensíveis. É importante ressaltar que o dado pessoal sensível se enquadra como espécie integrante do conceito mais abrangente de dado pessoal “lato sensu”.


    Eliminação: exclusão de Dado Pessoal ou de conjunto de Dados Pessoais armazenados em banco de dados, online e fisicamente, independentemente do procedimento empregado.


    Encarregado(a) ou DPO (Data Protection Officer): Pessoa formalmente indicada pela ID Singular como responsável pela gestão do Programa de Privacidade – Gestão e Governança.


    Incidente de Segurança envolvendo Dados Pessoais (“Incidente de Segurança”): qualquer evento adverso, confirmado ou sob suspeita, que pode gerar o comprometimento das características de confidencialidade, integridade e disponibilidade dos dados pessoais.


    LGPD: Lei Federal nº 13.709/2018 ou “Lei Geral de Proteção de Dados”.


    Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador.


    Programa de Privacidade – Gestão e Governança ou apenas Programa (“Programa”): conjunto de regras para salvaguardar o direito constitucional à privacidade, principalmente em atendimento à Lei Geral de Proteção de Dados e posteriores normas que venham a legislar sobre o tema.


    Tipos de Dados Pessoais: é a referência aos tipos legais de dados pessoais “lato sensu” e dados pessoais sensíveis.


    Titular: Pessoa física a quem os Dados Pessoais se referem.


    Tratamento: Qualquer operação efetuada com Dados Pessoais, por meios automatizados ou não automatizados, tais como: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.


  4. DIRETRIZES


    1. Princípios norteadores da proteção de Dados Pessoais


      Toda atividade de Tratamento de Dados Pessoais deverá se dar em observância à boa-fé e aos princípios norteadores da privacidade e proteção dos dados pessoais, em especial:


      Princípio da finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;


      Princípio da adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;


      Princípio da necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;


      Princípio do livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;


      Princípio da qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;


      Princípio da transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;


      Princípio da segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;


      Princípio da prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;


      Princípio da não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;


      Princípio da responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.


      Todos os princípios serão observados internamente em consonância com o alcance e significado dado a eles pela LGPD e subsequentes interpretações ulteriores advindas da ANPD e de nossos tribunais superiores.


    2. Hipóteses autorizadoras do Tratamento de Dados Pessoais


      Consoante artigos 7º e 11 da LGPD, toda atividade de Tratamento de Dados Pessoais realizada pela ID Singular deverá possuir uma base legal para tratamento, que será definida em conjunto pelo(a) Encarregado(a) (DPO) e pelo Departamento Jurídico.


      No quadro abaixo detalhamos com um símbolo “V” as hipóteses de bases legais legitimadoras para tratamento de dados pessoais que poderão ser utilizadas na ID Singular e com um símbolo “X” as situações em que as respectivas bases legais não poderão ser utilizadas como legitimadoras para o tratamento dos dados pessoais.



      Base legal


      Definição

      Dados Pessoais (lato sensu)

      Dados Pessoais Sensíveis


      Consentimento

      Manifestação positiva do Titular quanto ao Tratamento de seus Dados Pessoais, que deve ser livre, informada, inequívoca, destacada (se em contratos), específica e revogável a qualquer tempo.


      V


      V


      Obrigação legal ou regulatória

      Cumprimento pelo Controlador de obrigação legal ou regulatória específica quanto ao Tratamento dos Dados Pessoais do Titular.


      V


      V


      Execução de contrato ou procedimentos preliminares

      Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o Titular, a pedido do Titular dos Dados Pessoais. Não aplicável a contratos entre pessoas jurídicas.


      V


      X


      Exercício regular de direitos

      Exercício regular de direitos do Controlador em processos judiciais, administrativos e arbitrais. Caso sejam Dados Pessoais Sensíveis, há também a situação de exercício regular de direitos previstos inclusive em contrato.


      V


      V

      Proteção da vida

      Quando Dados Pessoais são necessários para proteção da vida ou da incolumidade física do Titular ou de terceiros.

      V

      V


      Tutela da saúde

      Quando o Tratamento de Dados Pessoais é necessário para atender aos interesses legítimos do Controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos Dados Pessoais.


      V


      V


      Legítimo interesse

      Quando o Tratamento de Dados Pessoais é necessário para atender aos interesses legítimos do Controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos Dados Pessoais.


      V


      X


      Proteção do crédito

      Tratamento de Dados Pessoais relacionados a atividades de proteção do crédito conforme disposto na legislação pertinente.


      V


      X


      Por fim, o tratamento de dados pessoais sensíveis também poderá ser feito a partir da base legal prevista no artigo 11, II, g da LGPD, de garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.


  5. PROGRAMA DE PRIVACIDADE – GESTÃO E GOVERNANÇA


    O Programa da ID Singular possuirá os elementos abaixo delineados.


    1. Estrutura de documentação


      A documentação base para a estruturação do Programa da ID Singular obedecerá à seguinte orientação:


      1. Políticas


        São os documentos estruturais do Programa, estabelecem os princípios e fundamentos que deverão nortear os demais instrumentos que compõem o Programa, sendo considerados como sua camada estruturante.


        Competência para Alterações: Aprovação necessária da diretoria, mediante solicitação da área competente.


      2. Normas


        São os documentos contendo as regras internas de cada ponto estrutural do Programa, sempre fundamentadas e de acordo com a política e sendo a camada intermediária do programa.


        Competência para Alterações: Aprovação da Diretoria Executiva.


      3. Procedimentos


        São os documentos que trazem a descrição e divisão de tarefas para atendimento às regras apresentadas nas normas e nas políticas, sendo a camada inferior do Programa.


        Todas as alterações de procedimentos que envolvam especificamente as atividades de tratamento de dados das áreas de negócio deverão ser atualizadas e enviadas para avaliação da DPO, juntamente com a atualização do formulário de mapeamento das atividades de tratamento de dados pessoais.


        Competência para Alterações: Aprovação dos gestores das respectivas áreas e Encarregada (DPO).


    2. Responsável pelo Programa


      A gestão e aplicação do Programa serão conduzidas no formato abaixo segmentado:


      1. Comissão de Privacidade


        A ID Singular constituiu um Comitê de Privacidade, cujas atribuições, dentre outras, será apoiar a diretoria da Companhia em assuntos relacionados à privacidade e proteção de dados, visando ao atendimento à LGPD, às políticas e procedimentos internos e ao melhor interesse da Companhia, além de apreciar periodicamente os resultados do Programa.


        A Comissão de Privacidade será composta por integrantes fixos e rotativos. São integrantes fixos os membros representantes das áreas de: Privacidade e Proteção de Dados, Tecnologia e Segurança da Informação, Jurídico, Gestão de Riscos e Compliance, Gestão de Pessoas e Diretoria de Operações.


        Os membros rotativos serão definidos, conforme necessidade e serão convocados a participar das reuniões em que sejam necessários, de acordo com o assunto a ser tratado.


        Os membros fixos serão indicados pelos gestores de suas respectivas áreas e terão mandato de dois anos, podendo ser reconduzidos.


        A Comissão de Privacidade deverá sempre ser envolvida na tomada de decisões a respeito de atividades de Tratamento que envolvam riscos, de acordo com as disposições de seu Regimento Interno e com reporte ao Comitê de Auditoria, Gestão de Riscos e Compliance e a diretoria.


        O reporte ao Comitê de Auditoria, Gestão de Riscos e Compliance e a diretoria terá periodicidade anual, em que deverão ser apresentadas as métricas do Programa relativas, mas não se limitando, a: volume de pedidos de titulares, incidentes de segurança e vazamento de dados, estado de compliance com a LGPD e maturidade do Programa.


      2. Encarregado(a) pelo Tratamento de Dados Pessoais (DPO)


        A (O) Encarregada(o) pelo Tratamento de Dados Pessoais da ID Singular será representada na figura de: Sabrina Jonas Alcici (lgpd@idsingular.com.br)


        Cabe à Encarregada (DPO):


        A condução dos trabalhos da Comissão de Privacidade;

        O gerenciamento do Programa de Privacidade como um todo e, em especial:


        » A atuação como canal de comunicação entre o Controlador, os Titulares dos Dados e a Autoridade Nacional de Proteção de Dados (ANPD), recebendo comunicações desta e adotando providências;

        » aceitar reclamações e comunicações dos Titulares, prestar esclarecimentos e adotar providências;

        » orientar os funcionários e os contratados da ID Singular e suas subsidiárias a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

        » definir, em conjunto com o Departamento Jurídico da ID Singular, as bases legais para cada tratamento de dados, levando decisões que envolvam riscos à Comissão de Privacidade, com reporte ao Comitê de Auditoria, Gestão de Riscos e Compliance e diretoria.


  6. REGISTRO DE OPERAÇÕES DE TRATAMENTO DE DADOS PESSOAIS


    A ID Singular manterá um registro de suas operações de Tratamento de Dados Pessoais, contendo, no mínimo, as seguintes informações sobre cada operação:


    » Descrição do fluxo geral da informação em cada etapa de seu ciclo de vida;

    » Base legal para Tratamento;

    » Tipos de Dados Pessoais coletados;

    » Finalidade para a qual o Dado Pessoal é tratado;

    » Local digital (nuvem, servidor, laptop etc.) e geográfico (se possível) onde o Dado Pessoal é tratado;

    » Período de retenção do Dado Pessoal;

    » Área responsável pelo Dado Pessoal; e

    » Volume aproximado de registros existentes.


    A Encarregada (DPO) será responsável por manter o registro atualizado.


  7. DIREITO DOS TITULARES DE DADOS PESSOAIS


    Serão assegurados aos Titulares de Dados Pessoais os direitos garantidos pela LGPD, mediante solicitação expressa nos canais disponibilizados pela ID Singular para tal, conforme abaixo apresentados:


    » A confirmação da existência do Tratamento;

    » o acesso aos Dados Pessoais tratados;

    » a correção dos Dados Pessoais incompletos, inexatos ou desatualizados;

    » a anonimização, o bloqueio ou a eliminação dos Dados Pessoais desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei;

    » a portabilidade dos Dados Pessoais mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;


    » eliminação dos Dados Pessoais tratados apenas com base no consentimento do titular, exceto nas hipóteses de (i) cumprimento de obrigação legal ou regulatória pelo controlador; (ii) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais; (iii) transferência a terceiro, por solicitação do titular dos dados pessoais; ou (iv) uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

    » informação sobre as entidades públicas e privadas com as quais foi realizada o

    compartilhamento de Dados Pessoais;

    » informar as consequências da revogação do consentimento; e

    » informar os fatores que levaram a uma decisão automatizada.


    O atendimento aos direitos do Titular será realizado por meio de canais que serão amplamente divulgados, que estarão definidos e detalhados nas normas e procedimentos componentes do Programa.


  8. RELATÓRIO DE IMPACTO À PROTEÇÃO DE DADOS PESSOAIS


    Os relatórios de impacto à proteção de Dados Pessoais serão conduzidos pela ID Singular sempre quando a operação de Tratamento de Dados Pessoais for passível de gerar riscos às liberdades civis e aos direitos fundamentais.


    A DPO, a Comissão de Privacidade e o Comitê de Auditoria, Gestão de Riscos e Compliance poderão adotar parâmetros e critérios específicos para qualificar uma operação de tratamento de Dados Pessoais como sujeita ao Relatório de Impacto à Proteção de Dados Pessoais.


    São exemplos de parâmetros que poderão ser utilizados, em caráter meramente ilustrativo:


    » Volumetria;

    » tipos de Dados Pessoais envolvidos;

    » titulares de Dados Pessoais envolvidos.


    A ANPD também poderá definir e estabelecer os fatores que deverão, a seu critério, desencadear o Relatório de Impacto à Proteção de Dados, hipótese em que tal orientação passará a ser adotada pela Companhia, de forma complementar à presente Política.


    Os relatórios deverão conter a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do Controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.


    A obrigatoriedade primária de elaboração do documento é do gestor da área responsável pela operação, tendo a Encarregada pela proteção de Dados Pessoais da ID Singular (DPO) o papel de avaliar o documento preparado por este colaborador e elaborar um parecer final sobre a atividade de Tratamento. Via de regra, tais documentos não deverão ser publicados ou disponibilizados ao público externo e serão mantidos em sigilo. Contudo, poderão ser objeto de requisição da ANPD, a qualquer tempo.


  9. INCIDENTES DE SEGURANÇA ENVOLVENDO DADOS PESSOAIS


    O Incidente de Segurança envolvendo Dados Pessoais que possa acarretar risco ou danos relevantes aos titulares, conforme previsão legal e ulteriores interpretações dadas pela ANPD, será comunicado à ANPD e ao titular, em prazo razoável, conforme definido pela ANPD, e deverá mencionar, no mínimo:


    » A descrição da natureza dos dados pessoais afetados;

    » as informações sobre os titulares envolvidos;

    » a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

    » os riscos relacionados ao incidente;

    » os motivos da demora, no caso de a comunicação não ter sido imediata; e

    » as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.


    Todos os demais incidentes de segurança, os quais, a critério da Comissão de Privacidade, não representarem risco ou danos relevantes aos titulares, serão tratados internamente pela DPO, pela Comissão de Privacidade e pelo Comitê de Auditoria, Gestão de Riscos e Compliance, consoante as previsões dispostas no Plano de Respostas a Incidentes.


    A ID Singular manterá canal para recebimento de notícias de incidentes de segurança, que pode ser utilizado, também, pelos seus membros e colaboradores.


    As comunicações serão recebidas pela Encarregada (DPO), conforme determinado no Plano de Respostas a Incidentes da ID SINGULAR.


  10. DISPOSIÇÕES FINAIS


Esta Política entrou em vigor em 2022, aprovada em reunião pela diretoria. Sem prejuízo das disposições contidas nesta Política, a ID Singular se reserva ao direito de revisá-la, na periodicidade que melhor entender, sempre respeitando o prazo máximo estipulado em lei.