Política de Privacidade
.
Versão: 1.0
Data da versão: 09/12/2024
Criado por: Safecomply Desenvolvimento em Proteção de Dados Ltda.
Aprovado por: Bruno Henrique Moura de Mattos
Nível de confidencialidade: Público
1. ESCOPO E USUÁRIOS
Este documento aplica-se ao projeto de adequação da organização em relação à Lei Geral de Proteção de Dados Pessoais (LGPD), sendo integrante do conjunto de documentações elaboradas e utilizadas como referência para as atividades do projeto, e estará disponível em formato digital para os membros da alta administração e da equipe do projeto, que poderão acessá-lo a qualquer momento.
2. DESCRIÇÃO
Esta política de privacidade refere-se às práticas e processos adotados pela organização para tornar transparente sua relação com os usuários.
Basicamente, informa ao usuário todos os direitos, garantias, formas de uso, dados recolhidos, processamentos e descarte dos dados pessoais.
3. INTRODUÇÃO
Durante a condução dos processos de negócio da organização, dados pessoais de funcionários, contratados, parceiros, fornecedores e clientes podem ser usados para atingir suas finalidades específicas. Em conformidade com Lei Geral de Proteção de Dados Pessoais (LGPD), a Certidoc Tecnologia e Certificação Digital Ltda garante que existem controles e conscientização suficientes para proteger a integridade e a confidencialidade dos dados pessoais tratados.
O escopo de que trata esta política são os dados pessoais conforme definido pela Lei Geral de Proteção de Dados Pessoais (LGPD).
Há uma pessoa designada pela organização para cumprir a função de Encarregado de Proteção de Dados, conforme definido pela LGPD.
A Certidoc Tecnologia e Certificação Digital Ltda pode atuar como controladora ou processadora, conforme definido pela LGPD, dependendo de quais dados estão sendo considerados.
A Certidoc Tecnologia e Certificação Digital Ltda, inscrita no CNPJ sob o nº 12.410.523/0001-95, com sede na Av. Joaquim Pedro Soares, 1099 – sala 103 – Centro, Novo Hamburgo – RS, está empenhada em atender os direitos dos titulares de dados pessoais constantes na LGPD, fornecendo os meios necessários para cumpri-los.
4. INVENTÁRIO DE DADOS PESSOAIS
A Certidoc Tecnologia e Certificação Digital Ltda mantém uma avaliação regular dos seus processos de negócio com o objetivo de manter um inventário dos ativos de dados tratados em toda a organização.
Para cada ativo de dado da organização são documentados:
- Nome do ativo de dados;
- Tipos de dados pessoais que o compõem;
- Responsável pelos dados pessoais;
- Como os dados pessoais são coletados;
- Finalidades para o tratamento dos dados pessoais;
- A base legal para o tratamento dos dados pessoais;
- Se é realizado processamento automático ou manual dos dados pessoais;
- Registro das operações de tratamento dos dados pessoais;
- Quais os riscos decorrentes do tratamento dos dados pessoais;
- Quais controles de segurança existem para proteger os dados pessoais;
- Com quem os dados pessoais são compartilhados;
- Por quanto tempo os dados pessoais são mantidos; e
- Em qual país os dados pessoais são mantidos e processados.
O responsável pelos dados pessoais deve revisar esta avaliação periodicamente.
5. POLÍTICAS DE TRATAMENTOS DE DADOS PESSOAIS
5.1. Coletando Dados Pessoais
- A coleta de dados só deve ser realizada conforme os procedimentos estabelecidos;
- Os funcionários não estão autorizados a coletar dados, a menos que tais protocolos tenham sido comunicados a eles;
- Informaremos o titular dos dados porque os dados pessoais são necessários, por quanto tempo serão usados e se precisam ser compartilhados com terceiros ou não;
- Fora das normas estabelecidas acima, a organização não coletará dados.
5.2. Processando Dados Pessoais
- Funcionários e contratados que lidam com dados pessoais devem fazê-lo de acordo com as normas estabelecidas para cada processo de negócios;
- Os dados só devem ser acessados quando a organização assim o exigir.
5.3. Compartilhando Dados Pessoais
- Os funcionários não estão autorizados a compartilhar dados pessoais fora dos acordos estabelecidos no momento em que os dados pessoais foram coletados;
- Compartilhar significa imprimir informações, enviá-las por e-mail, fazer upload para um sistema ou site, compartilhar uma tela, usar um serviço de terceiros para processar dados, etc.
5.3. Armazenando Dados Pessoais
- A organização pode armazenar os dados pessoais conforme necessário e seguir as normas e acordos definidos no momento da coleta;
- Os dados pessoais armazenados devem ser recuperáveis conforme solicitado.
5.3. Excluíndo Dados Pessoais
- Quando tecnicamente viável, deve haver uma maneira de excluir permanentemente os dados pessoais.
6. DADOS PESSOAIS TRATADOS
A Certidoc Tecnologia e Certificação Digital Ltda coleta e utiliza os seguintes dados pessoais, para as seguintes finalidades:
| TITULARES | TIPOS DE DADOS PESSOAIS | FINALIDADE DA RETENÇÃO | PRAZO DE RETENÇÃO | BASE LEGAL PARA RETENÇÃO |
| Cliente | • Dados de contato; • Dados financeiros e bancários; e • Identificação e perfil pessoal. | • Manter histórico de faturamento; • Manter histórico de atendimento de suporte; | Pelo período mínimo de 5 anos, podendo se estender se houver demandas judiciais. | Cumprimento de obrigação legal ou regulatória. |
| Titulares de Certificado Digital | • Dados de contato; • Características físicas; • Dados sensíveis; • Documentos oficiais; • Identificação e perfil pessoal; e • Identificação eletrônica. | Cumprimento de normas da ICP- Brasil para identificação de titular e possíveis investigações sobre fraudes na emissão de Certificados Digitais. | Até 7 anos após o vencimento ou revogação do Certificado Digital. | Cumprimento de obrigação legal ou regulatória. |
| Requerente de Certificado Digital | • Dados de contato; • Documentos oficiais; e • Identificação e perfil pessoal. | • Contato para compra ou renovação de certificados | Até o momento em que o requerente solicitar exclusão. | Atender interesses legítimos do controlador ou de terceiro. |
| Colaboradores (Agentes de Registro) | • Dados de contato; • Dados sensíveis; • Dados financeiros; • Informações de identificação atribuídas por instituições governamentais; e • Identificação e perfil pessoal. | • Comprovação de tempo de serviço para fins de concessão de benefícios previdenciários; • Defesa em eventuais ações judiciais ou administrativas. | Até 30 anos, dependendo do tipo de dado envolvido. | • Cumprimento de obrigação legal ou regulatória; e • Exercício regular de direitos em processo judicial, administrativo ou arbitral. • Execução de contrato |
| Candidatos à vaga de emprego | • Dados de contato; • Dados escolares; • Dados profissionais; • Identificação e perfil pessoal. | • Banco de talentos para futuras vagas. • Processos seletivos. | Enquanto houver interesse do candidato em participar dos processos seletivos. | Atender interesses legítimos do controlador ou de terceiro. |
| Leads (Potenciais clientes) | • Dados de contato; • Identificação e perfil pessoal; • Identificação eletrônica. | Envio de propostas e campanhas. | Enquanto houver interesse do potencial cliente. | Atender interesses legítimos do controlador ou de terceiro. |
7. GUARDA E PROTEÇÃO DE DADOS PESSOAIS
A Certidoc Tecnologia e Certificação Digital Ltda possui um Programa de Governança em Privacidade baseado em políticas e regras relativas à proteção de dados sob a responsabilidade de seu Encarregado pela Proteção de Dados.
A organização adota medidas técnicas e administrativas de segurança e classificação de informações para garantir a confidencialidade, integridade e disponibilidade dos dados pessoais que controla, de acordo com as orientações disponibilizadas pela ANPD.
Os dados pessoais são armazenados apenas pelo tempo necessário para cumprir as respectivas finalidades, inclusive para atender a requisitos legais e regulatórios, cumprimento de contratos e exercício de direitos da Certidoc Tecnologia e Certificação Digital Ltda e de terceiros.
A tabela a seguir descreve os detalhes sobre os dados pessoais retidos pela organização:
| TITULARES | TIPOS DE DADOS PESSOAIS | FINALIDADE DA RETENÇÃO | PRAZO DE RETENÇÃO | BASE LEGAL PARA RETENÇÃO |
| Cliente | • Dados de contato; • Dados financeiros e bancários; e • Identificação e perfil pessoal. | • Manter histórico de faturamento; • Manter histórico de atendimento de suporte; | Pelo período mínimo de 5 anos, podendo se estender se houver demandas judiciais. | Cumprimento de obrigação legal ou regulatória. |
| Titulares de Certificado Digital | • Dados de contato; • Características físicas; • Dados sensíveis; • Documentos oficiais; • Identificação e perfil pessoal; e • Identificação eletrônica. | Cumprimento de normas da ICP- Brasil para identificação de titular e possíveis investigações sobre fraudes na emissão de Certificados Digitais. | Até 7 anos após o vencimento ou revogação do Certificado Digital. | Cumprimento de obrigação legal ou regulatória. |
| Requerente de Certificado Digital | • Dados de contato; • Documentos oficiais; e • Identificação e perfil pessoal. | • Contato para compra ou renovação de certificados | Até o momento em que o requerente solicitar exclusão. | Atender interesses legítimos do controlador ou de terceiro. |
| Colaboradores (Agentes de Registro) | • Dados de contato; • Dados sensíveis; • Dados financeiros; • Informações de identificação atribuídas por instituições governamentais; e • Identificação e perfil pessoal. | • Comprovação de tempo de serviço para fins de concessão de benefícios previdenciários; • Defesa em eventuais ações judiciais ou administrativas. | Até 30 anos, dependendo do tipo de dado envolvido. | • Cumprimento de obrigação legal ou regulatória; e • Exercício regular de direitos em processo judicial, administrativo ou arbitral. • Execução de contrato |
| Candidatos à vaga de emprego | • Dados de contato; • Dados escolares; • Dados profissionais; • Identificação e perfil pessoal. | • Banco de talentos para futuras vagas. • Processos seletivos. | Enquanto houver interesse do candidato em participar dos processos seletivos. | Atender interesses legítimos do controlador ou de terceiro. |
| Leads (Potenciais clientes) | • Dados de contato; • Identificação e perfil pessoal; • Identificação eletrônica. | Envio de propostas e campanhas. | Enquanto houver interesse do potencial cliente. | Atender interesses legítimos do controlador ou de terceiro. |
Tabela 2. Dados pessoais retidos pela organização
8. COOKIES
Os cookies são arquivos digitais com pequenos fragmentos de dados (e geralmente com um identificador único), que são salvos e armazenados no dispositivo do usuário de uma plataforma digital. Eles podem ser classificados como cookies temporários (sendo automaticamente apagados quando o navegador ou aplicativo é encerrado) ou cookies persistentes (que permanecem armazenados no dispositivo até uma data de expiração definida), bem como cookies originais (definidos pelo responsável que opera a plataforma) ou cookies de terceiros (definidos por aplicações sob responsabilidade de terceiros).
Os cookies podem ser categorizados conforme o seu propósito.
Existem cookies que são estritamente necessários para o correto funcionamento das plataformas, enquanto outros coletam dados estatísticos com a finalidade de analisar a utilização da plataforma e seu respetivo desempenho. Há cookies que são utilizados para assegurar a disponibilização de funcionalidades adicionais das plataformas ou para guardar as preferências definidas pelo usuário no uso da plataforma, sempre que utilizar o mesmo dispositivo. Outros cookies podem ainda servir para medir o sucesso de aplicações e a eficácia da publicidade de terceiros.
A Certidoc Tecnologia e Certificação Digital Ltda utiliza os seguintes cookies em seu site:
8.1. Analíticos
Cookies analíticos são utilizados para compreender como os visitantes interagem com o site. Estes cookies ajudam a fornecer informações sobre métricas como número de visitantes, taxa de rejeição, origem do tráfego, etc.
| Cookie | Descrição | Duração |
| _gcl_au | O Google Tag Manager define este cookie para testar a eficiência dos anúncios de sites que usam seus serviços. | 3 meses |
| _fbp | O Facebook define este cookie para armazenar e rastrear interações. | 3 meses |
| _ga_* | O Google Analytics define este cookie para armazenar e contar visualizações de páginas. | 1 ano, 1 mês 4 dias |
| _ga | Instalado pelo Google Analytics, calcula dados de visitantes, sessões e campanhas e também rastreia o uso do site para o relatório analítico do site. O cookie armazena informações anonimamente e atribui um número gerado aleatoriamente para reconhecer visitantes únicos. | 1 ano 1, mês 4 dias |
| _gid | Instalado pelo Google Analytics, este cookie armazena informações sobre como os visitantes usam um site, ao mesmo tempo em que cria um relatório analítico do desempenho do site. Alguns dos dados coletados incluem o número de visitantes, sua fonte e as páginas que eles visitam anonimamente. | 1 dia |
| _gat_gtag_UA_* | O Google Analytics define este cookie para armazenar um ID de usuário exclusivo. | 1 minuto |
Tabela 3. Cookies Analíticos
8.2. Outros
| Cookie | Descrição | Duração |
| lastExternalReferrerTime | Não disponível. | Nunca expira |
| lastExternalReferrer | Não disponível. | Nunca expira |
Tabela 4. Cookies não categorizados
9. COMPARTILHAMENTO DE DADOS PESSOAIS
A Certidoc Tecnologia e Certificação Digital Ltda compartilha dados pessoais com os seguintes terceiros:
Autoridades públicas e entidades governamentais: para o cumprimento de obrigações legais e regulatórias, para o cumprimento de ordens e requisições legais e legítimas das autoridades competentes, e para a defesa ou exercício de direitos da organização ou de terceiros.
Prestadores de serviços da organização: para realização das atividades terceirizadas ou descentralizadas da Certidoc Tecnologia e Certificação Digital Ltda, incluindo a operação e hospedagem de sistemas, aplicações, bancos de dados e plataformas utilizados pela organização, sob contrato.
10. DIREITOS DOS TITULARES DE DADOS PESSOAIS
Para cumprir os direitos do titular de dados pessoais conforme estabelecido pela LGPD, foram definidos os seguintes prazos e procedimentos:
| DIREITOS | PROCEDIMENTO PARA SOLICITAÇÃO DO DIREITO | PRAZO |
| Informado | Acionar o Encarregado por e-mail ou telefone, conforme contatos abaixo, detalhando o seu pedido com no mínimo as seguintes informações: a) Nome Completo b) CPF c) Direito a ser exercido (conforme tabela ao lado) d) Qual o vínculo do titular com a empresa (cliente, funcionário, ex-funcionário, terceiro etc.) e) Demais informações pertinentes | O prazo de resposta pode chegar há 15 dias dependendo da complexidade do pedido. |
| Bloqueio dos dados | ||
| Acesso aos dados | ||
| Correção dos dados | ||
| Eliminação dos dados | ||
| Portabilidade dos dados |
Tabela 5. Direitos dos titulares de dados pessoais
Para quaisquer dúvidas acerca das políticas e regras de privacidade e proteção de dados da Certidoc Tecnologia e Certificação Digital Ltda, quanto aos dados que a organização possui sobre você, ou qualquer outra solicitação ou reclamação quanto a sua privacidade ou seus direitos relacionados acima, por favor, entre em contato com nosso Encarregado pelo Tratamento de Dados:
| ENCARREGADO DE PROTEÇÃO DE DADOS | |
| Nome | Bruno Henrique Moura de Mattos |
| bruno@certidoc.com.br | |
| Telefone | (51) 3939.4793 |
11. VIOLAÇÕES DE DADOS
Quando uma violação de dados é detectada, a Certidoc Tecnologia e Certificação Digital Ltda deve acionar o seu Plano de Resposta a Incidentes (PRI).
12. DOCUMENTOS DE REFERÊNCIA
• Norma ISO/IEC 27001;
• Guia do Framework de Segurança (LGPD);
• Controles CIS versão 8.