1. Objetivo

O objetivo deste documento é informar como os dados são coletados, como estão protegidos e qual a finalidade de seu tratamento, assim como, estabelecer as diretrizes e os princípios que assegurem a proteção de dados em atendimento à Lei Geral de Proteção de Dados Pessoais (LGPD).

A pessoa titular dos dados possui o direito de aceitar ou não a utilização dos seus dados pessoais para as atividades oferecidas pela Pris.

Ao navegar em nossos sites, redes sociais ou participar de alguma ação exclusiva em nossos serviços, a pessoa titular concorda através do aceite de termos e do envio de forma livre, com a coleta, uso e compartilhamento de dados ou informações, desde que mantidos em sigilo e utilizados para a finalidade de contato comercial, suporte, pesquisa e estatísticas internas, envio de propostas comerciais, convites para palestras ou outros eventos de comunicação da Pris. No caso de não concordância com os nossos termos, a pessoa titular terá a opção de cancelamento de cadastro, encerrando qualquer interação com nossas atividades.

2. Público-alvo

Esta política aplica-se a todas as pessoas colaboradoras, provedoras externas e clientes da Pris em relação aos dados que identificam a pessoa usuária individualmente (Dados Pessoais e Sensíveis), dados fornecidos ou coletados durante a utilização dos sites https://www.pris.com.br, https://ilupi.com.br e qualquer outro site sob o domínio da Pris Software, assim como para fins, legais, contratuais e tratamento dos dados de clientes.

3. Definições

Para efeito deste documento aplicam-se as seguintes definições:
      •  Confidencialidade - Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.
      •  Controlador - Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
      •  Dados Pessoais - São os dados que identificam uma pessoa natural (física): nome, endereço residencial, número de telefone, e-mail, data de nascimento, endereço de IP, perfis de redes sociais, dados de localização, entre outros.
      •  Dados Pessoais Sensíveis - São as informações que podem causar alguma forma de discriminação, desrespeito à liberdade individual, honra, dignidade ou privacidade, discriminação ou risco à vida, tais como: convicção religiosa, origem racial ou étnica, filiação a sindicatos ou organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dado genético ou biométrico e opinião política.
      •  Encarregado - Oficial de Proteção de Dados (DPO) - Pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Dados (ANPD).
      •  Pessoas Colaboradoras - Consideram-se as pessoas funcionárias registradas pelo regime CLT, pessoas estagiárias e jovens aprendizes.
      •  Operador - Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
      •  Privacidade - É o direito à reserva de informações pessoais e da própria vida pessoal.
      •  Provedores Externos - Consideram-se os Terceiros, Fornecedores e os Parceiros de Negócios.
      •  Titular - Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
      •  Tratamento - Qualquer operação realizada com dados pessoais envolvendo coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

4. Descrição

4.1. Cookies

Cookies são pequenos arquivos de texto que são armazenados no seu computador quando visita um site. Utilizamos cookies para diversos fins e para aprimorar sua experiência no nosso site (por exemplo, para se lembrar dos detalhes de login da sua conta).

Você pode alterar as suas preferências e recusar o armazenamento de certos tipos de cookies no seu computador enquanto navega no nosso site. Pode também remover todos os cookies já armazenados no seu computador.
São coletados apenas para finalidades determinadas, explícitas e legítimas;
São coletados de forma adequada, pertinente e limitada às necessidades do objetivo para os quais eles são processados (minimização dos dados).
São coletados apenas para finalidades determinadas, explícitas e legítimas;
Leads: em visitas comerciais, eventos ou indicação de outros clientes e parceiros, coletamos os dados de contato (nome, telefone e e-mail);
Clientes: ao firmar contrato, coletamos os dados dos contatos (nome, telefone, e-mail) e eventuais documentos associados para fins jurídicos (CPF, RG, cargo) para manutenção das atividades e ocasionalmente, se permitido, a oferta de outros produtos e serviços disponibilizados pela Pris;
Colaboradores: todos os dados exigidos pela legislação trabalhista e os que necessitamos para comunicações entre contratante e contratada (nome, telefone e e-mail);
Fornecedores Externos: dados de sócios da empresa contratada conforme necessidade jurídica para fins de efetivação de contrato de prestação de serviços (CPF, RG, nome, telefone, endereço, e- mail), também pode ser necessário coletar dados de representantes legais (nome e CPF), testemunhas (nome e CPF) e procurador (nome e CPF).

4.2. Dados Coletados

Os dados pessoais dos titulares seguem os seguintes princípios de coleta:
      •  São coletados apenas para finalidades determinadas, explícitas e legítimas.
      •  São coletados de forma adequada, pertinente e limitada às necessidades do objetivo para os quais eles são processados (minimização dos dados).

Os dados coletados pela Pris estão descritos abaixo, de acordo com cada tipo de titular:
      •  Usuários do Website - Nome e endereço eletrônico (e-mail).
      •  Leads - Em visitas comerciais, eventos ou indicação de outros clientes e parceiros, coletamos os dados de contato (nome, telefone e e-mail).
      •  Clientes - Ao firmar contrato, coletamos os dados dos contatos (nome, telefone, e-mail) e eventuais documentos associados para fins jurídicos (CPF, RG, cargo) para manutenção das atividades e ocasionalmente, se permitido, a oferta de outros produtos e serviços disponibilizados pela Pris. Durante a execução do contrato, as reuniões de alinhamento em formato virtual,
poderão ser gravadas após o consentimento do titular.
      •  Fornecedores Externos - Dados de pessoas sócias da empresa contratada conforme necessidade jurídica para fins de efetivação de contrato de prestação de serviços (CPF, RG, nome, telefone, endereço, e-mail), também pode ser necessário coletar dados de representantes legais (nome e CPF), testemunhas (nome e CPF) e procurador (nome e CPF).
São processados de forma lícita, leal e transparente;
São atualizados sempre que necessário, de maneira que os dados incorretos sejam apagados ou retificados quando possível (exatidão);
São tratados de forma segura, protegidos do tratamento não autorizado ou ilícito e contra sua perda, destruição ou danificação acidental, adotando medidas técnicas ou organizativas adequadas (integridade e confidencialidade).
Contato com potenciais clientes;
Envio de propostas comerciais;
Realização de eventos e/ou palestras;
Divulgação de artigos e ações de marketing;
Defesa dos interesses em processos administrativos, gestão de pessoas e judiciais;
Cumprimento de ordem judicial ou requerimento administrativo;
Proteção à vida, risco à segurança física do titular ou de terceiros, nos casos de urgência.

4.3. Tratamento dos Dados

Os dados pessoais dos titulares seguem os seguintes princípios:
      •  São processados de forma lícita, leal e transparente.
      •  São atualizados sempre que necessário, de maneira que os dados incorretos sejam apagados ou retificados quando possível (exatidão).
      •  São tratados de forma segura, protegidos do tratamento não autorizado ou ilícito e contra sua perda, destruição ou danificação acidental, adotando medidas técnicas ou organizativas adequadas (integridade e confidencialidade).

Os dados coletados poderão ser utilizados para as seguintes finalidades:
      •  Contato com potenciais clientes.
      •  Envio de propostas comerciais.
      •  Realização de eventos e/ou palestras.
      •  Divulgação de artigos e ações de marketing.
      •  Defesa dos interesses em processos administrativos, gestão de pessoas e judiciais.
      •  Cumprimento de ordem judicial ou requerimento administrativo.
      •  Proteção à vida, risco à segurança física do titular ou de terceiros, nos casos de urgência.

O consentimento referente à coleta de dados fornecidos pelo titular é coletado de forma livre, expressa, individual, clara, específica e legítima.  Caso o titular não conceda seu consentimento para a atividade fim, a Pris reserva-se no direito de tomar as medidas cabíveis para a rescisão ou encerramento das atividades com o titular.

Os dados coletados e as atividades registradas também poderão ser compartilhados com autoridades judiciais, administrativas ou governamentais competentes, sempre que houver requerimento, requisição ou ordem judicial.

Internamente, os dados são acessados somente por profissionais devidamente autorizados, respeitando os princípios de proporcionalidade, necessidade e relevância para os nossos objetivos, além do compromisso de confidencialidade e preservação da privacidade nos termos desta Política de Privacidade e demais procedimentos do Sistema de Gestão da Segurança da Informação (SGSI).
Criptografia das informações classificadas como confidenciais, dados pessoais sensíveis dos colaboradores, provedores externos e clientes;
Segurança no armazenamento dos dados pessoais em rede corporativa;
Procedimentos de comunicação aos titulares em caso de vazamento dos dados pessoais;
Procedimento de gestão e resposta a incidentes;
Procedimento de gestão de acessos pelos ativos críticos que intermediam os dados pessoais dos colaboradores, clientes e provedores externos;
Procedimento de auditoria interna;
Procedimento e formulário de avaliação de riscos e segurança de terceiros / fornecedores;
Procedimento de gestão de Provedores Externos e Recursos Humanos.

4.4. Armazenamento, Sigilo e Segurança dos Dados

O armazenamento dos dados pessoais será mantido conforme serviços prestados, contratos, legislação e fiscal vigente ou exigido por lei, pelo período no qual eventuais litígios ou investigações em relação aos serviços possam surgir.

A Pris adota as seguintes medidas de segurança da informação, controle, monitoramento e gerenciamento dentro do Sistema de Gestão da Segurança da Informação (SGSI) para garantir, entre outros objetivos, o cumprimento da LGPD:
      •  Criptografia das informações classificadas como confidenciais, dados pessoais sensíveis das pessoas colaboradoras, provedores externos e clientes.
      •  Segurança no armazenamento dos dados pessoais em rede corporativa.
      •  Procedimentos de comunicação aos titulares em caso de vazamento dos dados pessoais.
      •  Procedimento de gestão e resposta a incidentes.
      •  Procedimento de gestão de acessos pelos ativos críticos que intermediam os dados pessoais dos colaboradores, clientes e provedores externos.
      •  Procedimento de auditoria interna.
      •  Procedimento e formulário de avaliação de riscos e segurança de terceiros / fornecedores.

4.5. Exclusão dos Dados

Ao término do tratamento dos dados pessoais ou após o período de retenção de dados, incluindo os dados em arquivos temporários, determinado pela legislação aplicável, a Pris se compromete a excluir (eliminar) ou anonimizar os dados pessoais, isto é, aplicará técnicas que quebram o vínculo dos dados ao seu titular, de forma que os dados deixam de estar associados ao indivíduo, deixando de ser considerados dados pessoais.

Para os casos de revogação do consentimento e/ou eliminação dos dados, somente será possível conforme esclarecido pela Lei n. 13.709 (revogação dentro dos termos do §5º do art. 8º da Lei 13.709; eliminação sem as hipóteses previstas no art. 16º da Lei 13.709).
O destino for um país que possua regras de proteção de dados rigorosas e adequadas ao previsto na LGPD;
Existir garantia e comprovação de cumprimento do regime de proteção prevista na LGPD, através de cláusulas contratuais;
O titular prover o consentimento;
Cumprimento de exigência legal, jurídica ou de autoridades públicas.

4.6. Transferência Internacional de Dados

A transferência internacional de dados pessoais somente é realizada pela Pris ou permitida aos seus provedores externos quando:
      •  O destino for um país que possua regras de proteção de dados rigorosas e adequadas ao previsto na LGPD.
      •  Existir garantia e comprovação de cumprimento do regime de proteção prevista na LGPD, através de cláusulas contratuais.
      •  O titular provê o consentimento.
      •  Cumprimento de exigência legal, jurídica ou de autoridades públicas.
Na adesão ou alteração de plano médico assistencial coletivo. Neste caso, são coletados os dados mínimos necessários: nome completo, documento de identidade pessoal, dados biomédicos entre outros dados sensíveis de saúde, data de nascimento e grau de parentesco;
Inclusão no e-Social;
Quando os dependentes são incluídos no Imposto de Renda Pessoa Física (IRPF) para efeito de cadastro no vínculo empregatício.

4.8. Resposta a Incidentes

Qualquer incidente, suspeita de infração às normas previstas na lei ou violação de segurança de dados pessoais deve ser reportado ao encarregado de proteção de dados (ou DPO) da Pris, através dos canais de comunicação mencionados nesta política.

4.9. Canal de Comunicação e Direitos do Titular

O encarregado de proteção de dados (ou DPO) é o Especialista em Segurança da Informação que poderá ser contatado através do e-mail seguranca@pris.com.br. Este e-mail destina-se para reclamações ou petições de titulares, violação de normas de segurança, padrões técnicos, obrigações específicas para os envolvidos no tratamento dos dados, ações educativas, mecanismos internos de supervisão e mitigação de riscos, e outros aspectos relacionados ao tratamento dos dados pessoais.

Em cumprimento à regulamentação aplicável, no que diz respeito ao tratamento de dados pessoais, a Pris respeita e disponibiliza ao titular a possibilidade de apresentação de solicitações baseadas nos seguintes direitos:
      •  Confirmação da existência de tratamento.
      •  Acesso aos seus dados.
      •  Correção de dados incompletos, inexatos ou desatualizados.
      •  Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
      •  Portabilidade de seus dados a outro fornecedor de serviço ou produto, mediante requisição expressa pelo titular.
      •  Cópia dos dados tratados do titular quando ainda armazenados, mediante solicitação formal.
      •  Eliminação dos dados tratados com consentimento do titular, salvo nas hipóteses de retenção previstas em lei.
      •  Obtenção de informações sobre as entidades públicas ou privadas com as quais a Pris compartilhou os seus dados.
      •  Informação sobre a possibilidade de não fornecer o seu consentimento, bem como de ser informado sobre as consequências, em caso de negativa.
      •  Revogação do consentimento, salvo nas hipóteses de retenção previstas em lei.
Confirmação da existência de tratamento;
Acesso aos seus dados;
Correção de dados incompletos, inexatos ou desatualizados;
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
Portabilidade de seus dados a outro fornecedor de serviço ou produto, mediante requisição expressa pelo titular;
Cópia dos dados tratados do titular quando ainda armazenados, mediante solicitação formal;
Eliminação dos dados tratados com consentimento do titular, salvo nas hipóteses de retenção previstas em lei;
Obtenção de informações sobre as entidades públicas ou privadas com as quais a Pris compartilhou os seus dados;
Informação sobre a possibilidade de não fornecer o seu consentimento, bem como de ser informado sobre as consequências, em caso de negativa;
Revogação do consentimento, salvo nas hipóteses de retenção previstas em lei.

5. Considerações Finais

Para exercer qualquer um dos seus direitos, ou se você tiver outras dúvidas sobre o uso de seus dados pessoais, entre em contato pelo e-mail seguranca@pris.com.br.
Todas as normativas relacionadas ao tema de segurança da informação ou privacidade de dados, devem ser atualizadas sempre que necessário por solicitação interna, externa e/ou regulatória, cabendo ao Círculo de Segurança da Informação a aprovação da nova versão. Para os casos em que não houve alteração sob demanda, a normativa deve ser revisada, no mínimo, anualmente, conforme calendário definido previamente pela empresa.
Em ambas as situações, as informações sobre a revisão devem ser atualizadas no ‘Histórico de Revisões’, no início deste documento.
Lei nº 13.709/2018 (LGPD) - Lei Geral de Proteção de Dados Pessoais (Privacidade de Dados).
ISO/IEC 27001:2013 – Norma internacional de segurança da informação.
Colaboradores: Consideram-se os funcionários registrados pelo regime CLT, estagiários e jovens aprendizes.
Confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.
Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Dados Pessoais: São os dados que identificam uma pessoa natural (física): nome, endereço residencial, número de telefone, e-mail, data de nascimento, endereço de IP, perfis de redes sociais, dados de localização, entre outros.
Dados Pessoais Sensíveis: São as informações que podem causar alguma forma de discriminação, desrespeito à liberdade individual, honra, dignidade ou privacidade, discriminação ou risco à vida, tais como: convicção religiosa, origem racial ou étnica, filiação a sindicatos ou organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dado genético ou biométrico e opinião política.
Encarregado – Oficial de Proteção de Dados (DPO): Pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Dados (ANPD).
Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Privacidade: É o direito à reserva de informações pessoais e da própria vida pessoal.
Provedores Externos: Consideram-se os Terceiros, Fornecedores e os Parceiros de Negócios.
Titular: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
Tratamento: Qualquer operação realizada com dados pessoais envolvendo coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

6. Sanções Disciplinares

O não cumprimento das diretrizes estabelecidas na POL 003 ou nas demais Políticas de Segurança da Informação implicará em aplicação das sanções disciplinares previamente definidas de acordo com os procedimentos internos da empresa e com a legislação vigente.

7. Políticas, Normas e Regulatórios relacionados

      •  Lei nº 13.709/2018 (LGPD) - Lei Geral de Proteção de Dados Pessoais.
      •  ISO/IEC 27001:2013 - Norma internacional de segurança da informação.

8. Anexos

Não é aplicável.

Equipe e Contato

Bruno Assis
ENCARREGADO DE PROTEÇÃO DE DADOS (DPO)
DPO, ISFS based on ISO/IEC 27001, PDPF, PDPP, ITIL, COBIT, Cyber Security Foundation - CSFPC.
Pós-graduação em Segurança da Informação.
envelopephone-handset linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram