Entendemos a importância crucial da segurança da informação no contexto da Lei Geral de Proteção de Dados (LGPD).
Esta Política de Privacidade e Proteção de Dados é um acordo legal entre você, pessoa natural ou pessoa jurídica, representada, a seguir denominada apenas de “titular” e a DEEP.
A Política de Privacidade da DEEP adota em todos os seus termos os princípios, valores e conceitos estabelecidos na Lei n.º 13.709/2018 (Lei Geral de Proteção de Dados – LGPD)
Agentes de Tratamento de Dados
O Controlador de dados estabelecerá as regras de boas práticas e de governança, demonstrando seu comprometimento em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, das mesmas, objetivando a proteção de dados pessoais, garantindo que:
1 – Sejam aplicáveis a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
2 – Sejam adaptadas à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
3 – As políticas e salvaguardas sejam adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade, por meio do mapeamento anual;
4 – Seja estabelecida uma relação de confiança com o titular dos dados, por meio de atuação transparente e que assegure mecanismos de participação deste titular;
5 – Estejam integradas à sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
6 – Seja mantido e executado devidamente, o plano de resposta a incidente e remediação;
7 – Sejam atualizadas constantemente com base em informações obtidas a partir de monitoramento contínuo e do mapeamento anual;
8 – Seja demonstrada a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento da legislação.
9 – Sejam publicadas e atualizadas periodicamente, consentindo no reconhecimento e divulgação pela autoridade nacional.
Classificação de tipos de dados
Para efeito de aplicação da presente Política de Privacidade e Proteção de Dados, conforme artigo 5º da LGPD (Lei n°13.709/18), considera-se:
Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
Dado pseudoanonimizado: o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.
Princípios da Política de Privacidade da DEEP
A DEEP prima pelo cumprimento da Lei Geral de Proteção de Dados, realizando-se o tratamento dados obtidos, sensíveis ou não, apenas durante o período de tempo necessário e para os fins específicos que declara no momento de sua obtenção com o consentimento do titular nos termos do que especifica a legislação.
A DEEP observará a boa fé e os seguintes princípios norteadores na prática das atividades de tratamento de dados pessoais:
Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular;
Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
Qualidade dos dados: garantia, ao titular, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
Transparência: garantia, ao titular, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Da obtenção dos dados
Os dados são obtidos diretamente por força de contrato estabelecido com empresas públicas e/ou privadas que os transfere mediante o devido compromisso de confidencialidade, resguardando-se a DEEP do limite de sua responsabilidade no âmbito do exercício de seus objetivos sociais e contratuais, classificando-a como controlador ou operador dos dados, conforme o caso.
Quando obtidos diretamente dos titulares dos dados, a DEEP garante a transparência e o livre exercício da vontade dos titulares quando do fornecimento destes dados.
Nas hipóteses do exercício dos direitos reconhecidos ao titular, a DEEP informará, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.
Do armazenamento dos dados
A DEEP mantém um arquivo físico contendo documentos com registro de dados, cujo dispositivo possui segurança de abertura e tem acesso restrito aos funcionários internos, sob a gestão do encarregado de dados.
A DEEP possui um sistema de armazenamento de dados interoperável com entidades da administração pública para fins de cumprimento dos contratos de prestação de serviços que firma, garantindo no âmbito de sua atuação a adoção de protocolos de segurança suficientes.
O período de conservação dos dados armazenados será o equivalente a 3 (três) anos contados de sua coleta ou na data do encerramento do contrato originário, o que ocorrer por último.
Do tratamento dos dados
A DEEP realiza o tratamento dos dados fornecidos mediante consentimento pelos titulares nas seguintes condições:
1 - Apenas no exercício de suas funções sociais e contratuais por força de prestação de serviços de pesquisa ou de atividades necessárias à execução de políticas públicas previstas em leis e regulamentos.
2 - Para a realização de estudos por órgão de pesquisa, procedendo a anonimização dos dados pessoais, quando possível.
3 - Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados, e outras possibilidade prevista na Lei.
Segurança da informação
Entendemos a importância crucial da segurança da informação no contexto da Lei Geral de Proteção de Dados (LGPD). Alinhados aos princípios da lei, temos implementado diversas medidas para garantir a proteção dos dados pessoais conforme as melhores práticas e requisitos legais. A seguir, detalhamos como estamos lidando com cada um dos seis pontos principais de segurança elegidos:
Estratégias de backup & recuperação de desastres: nossa empresa utiliza uma solução de repositório de arquivos em nuvem, utilizando serviço de armazenamento como parte da nossa estratégia de proteção de dados. Este sistema garante que todos os nossos dados críticos sejam copiados automaticamente para Cloud da Microsoft Office 365, proporcionando uma camada adicional de segurança contra desastres locais, como incêndios ou roubos. Além disso, as boas práticas de segurança e retenção de arquivos, permite acesso remoto aos dados, facilitando a recuperação em caso de incidentes e assegurando a continuidade dos negócios;
Políticas de autenticação e controle de acesso: temos políticas de autenticação e controle de acesso em vigor, utilizando autenticação multifator para acessos críticos. Estamos também implementando soluções de controle de gestão de dispositivos para garantir que somente dispositivos corporativos e autorizados possam acessar a rede corporativa. 100% de nossas equipes trabalham apenas em ambiente controlado e não em seus desktops diretamente;
Ferramentas de prevenção contra ameaças: temos soluções de antivírus corporativo e firewalls para proteger nossos sistemas contra ameaças externas. Realizamos testes de phishing para educar nossos colaboradores e identificar vulnerabilidades;
Segurança e acesso ao ambiente físico de TI: nossa empresa possui câmeras de segurança que acompanha 100% do ambiente físico. Realizamos testes de acesso periodicamente para identificar e corrigir possíveis vulnerabilidades. Estamos comprometidos em manter um controle rigoroso de acesso físico para evitar qualquer brecha que possa comprometer nossos resultados;
Atualização de sistemas e softwares: mantemos um processo contínuo de atualização de sistemas e softwares para proteger contra vulnerabilidades. Realizamos análises de vulnerabilidade regulares para identificar e corrigir quaisquer brechas de segurança. Estamos cientes da importância de manter todos os nossos programas atualizados e estamos constantemente aprimorando nossos processos para garantir a conformidade;
Conscientização de segurança para os colaboradores: reconhecemos que a segurança da informação é uma responsabilidade compartilhada. 100% de nossos colaboradores, fornecedores e parceiros, antes de iniciar qualquer relação com nossa empresa, assinam o Termo de Proteção de Dados e o Termo de Confidencialidade e na integração são orientados sobre a importância destes documentos e sobre as atitudes a serem tomadas em relação a eles. A cada contrato, repassamos questões de segurança de dados.
Dos direitos do Titular dos dados
Ao titular dos dados é garantido o direito de a qualquer momento e de forma facilitada entrar em contato com a DEEP pelo canal aqui apresentado para exercer, conforme a Lei Geral de Proteção de Dados, os direitos de:
1 - Confirmação da existência de tratamento;
2 - Acesso aos dados;
3 - Correção de dados incompletos, inexatos ou desatualizados;
4 - Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei;
5 - Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
6 - Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
7 - Eliminação dos dados pessoais tratados com o consentimento do titular, a menos que os dados tenham por fim o cumprimento de obrigação legal ou regulatória ou sejam objeto de estudo em pesquisa, ressalvada a anonimização dos dados pessoais ou tenham sido transferidos a terceiro no cumprimento de dever legal ou contratual ou quando seu uso seja exclusivo do controlador, vedado seu acesso por terceiro, e anonimizados os dados.
8 - Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
9 - Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
10 - Revogação do consentimento;
11 - Peticionar em relação aos seus dados contra o controlador perante a autoridade nacional;
12 - Opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na Lei Geral de Proteção de dados;
A DEEP atenderá às requisições feitas pelo titular dos dados nos termos da Lei, no prazo máximo de 15 (quinze) dias contados da data da solicitação, resguardados os casos em que por força de lei e/ou contratual exercer a função de operadora dos dados, caso em que dependerá de providências junto à controladora.
Compartilhamento e transferência dos dados
Os dados pessoais do titular poderão ser compartilhados com autoridades governamentais, por força de cumprimento de contrato de prestação de serviços com a administração pública e empresas privadas, respeitadas as disposições legais, especialmente no que se refere ao compromisso dos princípios da Lei Geral de Proteção de Dados e desde que haja a formalização destes compromissos com o receptor dos dados coletados pela DEEP ou na qualidade de operadora contratualmente nomeada.
As transferências de dados em nível nacional ou internacional somente serão realizadas pela DEEP se for verificado um grau de proteção dos dados pessoais dos titulares e garantindo-se a formalização das salvaguardas correlatas aos protocolos de proteção adotados pela DEEP na forma da presente Política de Privacidade e da Lei.
No caso da transferência de dados ocorrer por força de obrigatoriedade legal ou judicial, a DEEP informará ato contínuo à requisição, aos titulares dos dados e/ou controlador, conforme o caso.
Disposições gerais
O titular confirma a veracidade dos dados informados no momento do fornecimento, sob pena de responsabilização civil e penal.
A DEEP se reserva no direito de modificar o presente instrumento em qualquer de suas disposições, inclusive sem prévia notificação, exceto nos casos exigidos pela legislação.
As informações e direitos decorrentes deste instrumento poderão ser transferidos a terceiros em decorrência da venda, aquisição, fusão, reorganização societária ou qualquer outra mudança no controle da DEEP, ocasião em que publicitará aos titulares por meio de publicação em jornal de grande circulação e em seu website, a fim de possibilitar o exercício de seus direitos.
Caso qualquer disposição deste instrumento seja considerada ilegal, nula ou inexequível por qualquer razão, as demais disposições não serão afetadas e manter-se-ão válidas e aplicáveis.
Qualquer falha da DEEP para impor ou exercer qualquer disposição deste instrumento ou direitos conexos, não constitui uma renúncia a esse direito ou disposição.
A tolerância de uma parte para com a outra quanto ao descumprimento de qualquer uma das obrigações assumidas neste contrato não implicará em novação ou renúncia de direito. A parte tolerante poderá, a qualquer tempo, exigir da outra parte o fiel e cabal cumprimento desta política.
A DEEP incluirá em seu sítio eletrônico ou nas comunicações enviadas, contratos e sítios eletrônicos de terceiros, que possui políticas de privacidade própria.
A DEEP não se responsabiliza pelo tratamento de dados pessoais realizados por terceiros fora do exercício de prestação de serviços contratual ou de suas atribuições sociais.
A DEEP manterá disponível para consulta, a integralidade desta política no seu sítio eletrônico.
As dúvidas relacionadas a presente política serão dirimidas pelo Encarregado acima nominado.
A presente política vigorará enquanto perdurarem os efeitos resultantes da sua adesão.
O presente instrumento é regido de acordo com as leis brasileiras.
Legislação e foro aplicáveis a resolução de conflitos
As partes elegem o foro da Comarca de São Paulo, estado de São Paulo, para dirimir quaisquer dúvidas decorrentes da aplicação deste instrumento, renunciando expressamente a qualquer outro, por mais privilegiado que seja.
Conheça nossos Deepers
Começamos em 1999, atuando nas áreas de Estratégia e Relacionamento com Clientes em empresas de grande e médio porte nos segmentos financeiro, serviços, utilities e tecnologia. Em 2008 nossa equipe passou a atuar em projetos ligados a políticas públicas de sustentabilidade, educação, saúde, energia elétrica e saneamento, expandindo atividades de forma personalizada para cada cliente e seu ecossistema de atuação.
Desde então, Deepers são multidisciplinares: arquitetas, engenheiras, sociólogas, matemáticas, geógrafas, pedagogas, economistas, jornalistas, administradores, assistentes sociais e diversos outros perfis profissionais que, somados, são o que juntos construímos: oportunidades de realizar nossos sonhos e alcançar as metas de nossos clientes.
