POLÍTICA DE GOVERNANÇA DE DADOS – I9 CONSULTORIA
Esta Política de Governança de Dados reflete que a I9 CONSULTORIA LTDA, I9 CONSULTORIA E TREINAMENTOS LTDA e I9 AUDITORIA LTDA, denominadas simplesmente de I9 CONSULTORIA, “nós” ou “nosso”, em compromisso com a privacidade e a proteção de dados.
Criamos uma Política de Proteção de Dados que cobre como gravamos, protegemos, usamos, divulgamos, transferimos e armazenamos as informações de nossos clientes, necessárias para a correta prestação de nossos serviços. Essa política, bem como outros materiais relacionados, está publicamente disponível em nosso website (www.i9ce.com.br).
Os dados coletados pela I9 Consultoria têm por finalidade fornecer a prestação de serviços contratada em seu campo de atuação, nas áreas de consultoria, auditoria e treinamento empresarial. O fornecimento das informações é para a confecção dos contratos de prestações de serviços, bem como para atender as solicitações de órgãos governamentais para a efetiva implantação de algum tipo de sistema, seja na área das ISOs, OEA, entre outros. Há também no website da I9 Consultoria, formulário para coleta de informações e assim fazer as divulgações e envios de matérias que o próprio cliente/usuário queira receber. A recusa por parte do Titular (cliente/usuário) em fornecer as informações ou dados pessoais, poderá impedir que os serviços oferecidos no website não sejam entregues e que os contratos de prestação de serviços não sejam efetivados, já que por questão legal, há total necessidade do uso de tais informações.
Se você não concorda com esta Política de Proteção de Dados, aconselhamos que você não use nossos serviços e não forneça seus dados pessoais à I9 CONSULTORIA.
Definições
As partes concordam que o cliente é um usuário final e que a I9 CONSULTORIA é seu prestador de serviços em relação a esta política. As partes concordam em cumprir a todo momento as disposições legais aplicáveis em relação à coleta, transmissão e processamento de todas as informações pessoais trocadas e compartilhadas de acordo com essa política.
Fontes de dados
Os dados registrados em nosso sistema têm várias fontes que correspondem às pastas de um inventário de acesso confidencial. Cada fonte de dados possui suas próprias políticas de segurança da informação, que estão em conformidade com as políticas da I9 CONSULTORIA.
Todas as informações são extraídas como dados brutos (sem nenhuma modificação) da fonte de dados e são armazenadas em nosso ambiente em nuvem.
Coletamos informações pessoais quando você usa nosso website, ou quando compartilha informações conosco, mediante autorização e aceite de nossos Termos de Uso. Também coletamos informações sobre você usando várias tecnologias (incluindo cookies e armazenamento local do navegador). Maiores informações sobre as formas de coleta estão descritas em nossa Política de Privacidade.
Coleta de dados: Coletamos informações pessoais suas diretamente em nosso website, no preenchimento de seu cadastro. Quando usadas nesta Política, informações pessoais representam “qualquer informação sobre um indivíduo identificável”.
Informações coletadas diretamente de você: As informações coletadas diretamente de você são feitas por meio do formulário em nosso website, o qual você preenche os seus dados, como o endereço de e-mail, o nome, a profissão e o telefone de contato. Outra forma de coleta de dados é na contratação da prestação de serviços, para exercício regular de direito. A coleta neste caso é completa, onde podemos exemplificar com a coleta de seu nome, endereço, profissão, estado civil, CPF, RG/CNH, e-mail e telefone.
Armazenamento de dados
Todas as informações são extraídas “brutas” (sem modificação) das nossas fontes de dados e são armazenadas em nossa nuvem na Microsoft por meio do ONE DRIVE, com acesso restrito. O histórico de informações (uso da plataforma) é mantido por logs. Os logs das aplicações são retidos por todo o tempo, pois tem fins de auditoria dos sistemas.
O sistema de armazenamento utilizados por nós da Microsoft detém todos os meios de segurança digitais, dando conforme e proteção aos dados que ali estejam armazenados.
Gerenciamento das informações pessoais pelo usuário
O Titular de direito tem autonomia para atualizar os dados de registro (incompletos, imprecisos ou desatualizados) através diretamente com nosso DPO (Encarregado) pelo e-mail [email protected].
Permanecerão apenas os dados necessários para o cumprimento de obrigação legal, cumprimento de contratos, interesse legítimo da I9 Consultoria e para proteção ao crédito, como em contratos de prestação de serviços e afins.
Backup de dados e transferência de dados
Armazenamos apenas dados absolutamente necessários para o uso exclusiva da I9 CONSULTORIA. Já os dados classificados como desnecessários, excessivos ou tratados em violação da legislação, serão excluídos.
Retenção de dados
Mantemos informações pessoais ou dados pessoais pelo tempo necessário para cumprir as prestações de serviços contratadas, cumprir nossas obrigações legais, resolver disputas, cumprir nossos contratos e outros fins comerciais legítimos e legais.
Dessa forma, nossos períodos de retenção reais podem variar significativamente com base em critérios como: expectativas ou consentimento do usuário, sensibilidade das informações, disponibilidade de controles automatizados que permitem que os usuários excluam dados e nossas obrigações legais ou contratuais.
Os dados pessoais derivados dos contratos de prestações de serviços permanecerão armazenados durante um período de 5 (cinco) anos, em conformidade com a lei civil. Os contratos contendo dados pessoais com assinatura física (não eletrônicas) serão armazenados em local seguro, devidamente lacrado, com acesso restrito. Os contratos e documentos contendo dados pessoais digitalizados, serão armazenados na nuvem da Microsoft, no sistema One Drive, onde é protegido por todos os meios de segurança digitais e sob a guarda da maior empresa mundial em tecnologia.
Os dados pessoais contidos em documentação física, como cópias de documentos de identificação ou currículos, por exemplo, serão destruídos por meio de uso de fragmentadora, com o devido termo de ocorrência datado e assinado.
Nós revisaremos os arquivos de nosso escritório trimestralmente, a fim de detectar as possibilidades de descartes de documentos, seja para destruição ou para digitalização, quando possível.
Como regra geral, apenas armazenamos dados pelo tempo necessário para cumprir esse objetivo ou para atender aos requisitos legais. Dessa forma, fazemos o possível para não reter dados desnecessários, mas, ao mesmo tempo, respeitando a retenção de dados para atender aos requisitos legais, se houver.
Mediante solicitação, eliminaremos ou tornaremos anônimos os dados pessoais para impedir a identificação do Titular, a menos que sejamos legalmente autorizados ou obrigados a manter determinados dados pessoais, inclusive nas seguintes situações:
- Se houver litígio judicial ou extrajudicial em curso, procederemos à retenção dos dados pessoais necessários até que a questão seja resolvida;
- Onde seja necessário reter os dados pessoais para efeitos das nossas obrigações legais, fiscais, de auditoria e contabilísticas, procederemos à retenção dos dados pessoais necessários durante o período exigido pela lei aplicável;
- Sempre que necessário em função dos nossos interesses comerciais legítimos, tais como a prevenção de fraudes ou a manutenção da segurança dos nossos clientes.
Finalidades e usos dos dados
Coletamos e usamos informações pessoais e dados pessoais dos visitantes de nosso website para garantir que os nossos materiais de marketing sejam relevantes e seguros e para conduzir nossos negócios. Já os dados coletados pessoalmente, tem por finalidade a realização do negócio jurídico, por obrigação legal e exercício regular de direito.
Os dados de uso da website que são anonimizados (sem identificação pessoal do usuário final) são usados internamente para análise e melhoria dos serviços e produtos e para uma melhor compreensão do uso do website, e são acessíveis de maneira restrita aos funcionários que precisam ter conhecimento destes por meio de login (acesso) individual.
Compartilhamento de Dados
Nós NÃO COMPARTILHAMOS informações pessoais para terceiros, com exceções nos casos descritos abaixo. Seus dados pessoais são para uso exclusivo da I9 Consultoria para a realização do negócio jurídico na contratação da prestação de serviços e a sua guarda segura será pelo tempo necessários as obrigações legais, entre outros.
Excepcionalmente, numa eventual inadimplência contratual, a I9 Consultoria, no uso do exercício regular de direito e proteção ao crédito, compartilhará seus dados pessoais para os órgãos de proteção ao crédito, bem como eventual litígio judicial, utilizar tais dados pessoais para executar o contrato.
Numa eventual transação societária que envolva venda ou transferência de todo ou parte de nossos negócios ou ativos ou adesão de novos sócios. Se outra empresa adquirir nossa empresa, negócio ou ativos, ela possuirá as informações pessoais coletadas por nós e assumirá os direitos e obrigações referentes às suas informações pessoais, conforme descrito nesta política.
Temos um processo interno estabelecido que determina quais indivíduos têm acesso a dados pessoais (sejam internos ou externos), com possibilidade de controle de nível de permissão e com auditoria das ações relacionadas a compartilhamento de dados.
Compartilhamos os seus dados pessoais para atividades como análise estatística e estudos acadêmicos de maneira anonimizada, quando e se solicitados, a fim de atender as solicitações em nível de pesquisa acadêmica, conforme previsto na LGPD.
Compartilharemos qualquer categoria de dados pessoais necessários para cumprir uma obrigação legal nos termos da legislação aplicável, ou responder a um procedimento legal válido, como um mandado de busca, ordem judicial ou intimação. Também compartilharemos dados pessoais quando, em boa-fé, acreditamos que é necessário fazê-lo para efeitos do nosso próprio interesse legítimo ou do interesse legítimo de terceiros em relação à segurança nacional, observância da lei, litígio, investigação criminal, segurança ou integridade de qualquer pessoa, desde que consideremos que tal interesse não seja anulado pelos seus interesses ou direitos e liberdades fundamentais que exijam a proteção dos dados pessoais, tudo conforme os Termos de Uso e a Política de Privacidade, devidamente aceitos pelo Usuário ao se cadastrar no website da I9 Consultoria ou contratar um dos serviços por nós oferecidos.
Políticas de Segurança
Todos os dados pessoais catalogados em nossos bancos de dados são restritos e confidenciais. Somente os colaboradores autorizados poderão visualizar e editar tais informações.
Na remota hipótese de ocorrer o vazamento de informações, tanto a autoridade nacional de supervisão (Supervisor Nacional de Proteção de Dados) quanto os titulares de direito serão notificados dentro do prazo de até 72 (setenta e duas) horas.
Plano de Gestão de Incidentes
Implementamos medidas técnicas e organizacionais para proteger as informações que coletamos contra perda, uso indevido e acesso, divulgação, alteração e destruição não autorizados. Essas medidas incluem medidas físicas, administrativas e eletrônicas (digitais) de segurança que são proporcionais, dada a sensibilidade das informações pessoais coletadas, a quantidade, a distribuição e o formato das informações pessoais e os métodos de armazenamento. No entanto, sempre há um certo nível de risco envolvido quando as informações pessoais são coletadas, processadas e armazenadas e não podemos garantir a totalidade de segurança de suas informações pessoais.
Violações de dados e/ou vazamentos serão tratados da mesma maneira que outros incidentes de segurança da informação, com a necessidade adicional de comunicação antecipada com as partes interessadas.
O nosso plano de resposta a incidentes é capaz de incluir o uso legal e permitido de dados forenses e técnicas de análise, e contém procedimentos e diretrizes para ajudar as áreas a identificar, monitorar, relatar e resolver incidentes de violação de dados, além de categorizar os incidentes com relação à criticidade. As etapas listadas abaixo pressupõem que exista um esforço coletivo para sempre proteger os seus dados pessoais e que todas as medidas anteriores relacionadas à segurança dos dados foram tomadas.
Notificação Interna
Se qualquer incidente for identificado, seja pelos colaboradores da I9 Consultoria ou por uma pessoa externa, o primeiro passo é registrar esse incidente em nosso monitoramento interno. Se foi notificado por um colaborador, este é responsável por comunicar ao DPO para registrar o incidente. Se for detectado e informado pelo próprio titular ou terceiros, o DPO registrará o incidente. A notificação deve incluir as pessoas responsáveis pela identificação do incidente, detalhes adicionais sobre o assunto e classificação de criticidade com base em critérios específicos.
Notificação Externa
Em até 72 (setenta e duas) horas, em caso de vazamento de informações, as autoridades de supervisão (Supervisor Nacional de Proteção de Dados) deverão ser notificadas, bem como os titulares de dados vazados.
Esta notificação deve incluir a identidade e o contato do DPO; descrição das possíveis consequências ou riscos da violação de dados; descrição da natureza da violação, informando quem e quantos titulares foram afetados; medidas técnicas e organizacionais que estão sendo tomadas para alterar as consequências da violação. Como todo processo de dados pessoais é registrado, isso pode gerar relatórios adicionais para as autoridades de dados.
Atualizações Periódicas
As notificações internas e externas devem ser atualizadas regularmente com relação ao status do problema até a sua resolução.
Consentimento e Exclusão
Contamos com o consentimento como base legal para processar seus dados. Você pode revogar ou alterar esse consentimento a qualquer momento.
Para exclusão de dados (ou transferência / portabilidade), é necessário contato por e-mail, com um período de resolução de 15 dias.
Reforçamos que estamos comprometidos com a integridade e a proteção dos dados pessoais e tomamos todas as medidas razoáveis para garantir que os dados pessoais que processamos, mantemos, usamos e divulgamos. Adotamos as melhores práticas ao nosso alcance, incluindo políticas de anonimização, criptografia, acesso e retenção para proteger os usuários de acesso não-autorizado e retenção desnecessária de dados pessoais nos nossos sistemas.
Para obter mais informações, incluindo finalidade, escopo, declaração de política, responsabilidades e definições, além desta política, consulte nossa Política de Privacidade e nossos Termos de Uso.
Política de Solicitação de Dados
Criamos uma Política de Solicitação de Dados que define como lidamos com o processo em resposta a uma violação de privacidade ou a uma solicitação de revisão de um Titular.
Se um indivíduo acreditar que suas informações pessoais não foram tratadas de acordo com as políticas estabelecidas, poderá fazer uma reclamação à I9 Consultoria buscando uma revisão interna. Uma solicitação de revisão interna deve ser feita por escrito e dentro de seis meses a partir da data em que a violação foi suspeita. Os pedidos podem ser enviados por e-mail em nome de nosso DPO (Encarregado) pelo e-mail [email protected].
Processo de Solicitação de Dados
Ao receber uma solicitação de revisão, os seguintes procedimentos devem ser seguidos:
- Confirmação de recebimento por escrito em até 3 (três) dias úteis, sendo que qualquer notificação a ser fornecida sob esta política ao Titular deve ser enviada por e-mail para o endereço de e-mail registrado no cadastro do cliente na I9 Consultoria. Poderá ser necessário que o Titular envie uma cópia de um documento de identificação válido para comprovar a autenticidade da sua solicitação. Nesse caso, o Titular pode mascarar o número do documento e a foto e qualquer outro dado confidencial para que o documento apresenta somente o necessário, como nome, data de nascimento e país (ou abreviação do país);
- Processar a solicitação em até 15 (quinze) dias. Tentamos responder a todas as solicitações legítimas dentro do menor prazo possível. Caso a solicitação seja particularmente complexa, ou se forem feitas diversas solicitações por um mesmo Titular, esse tempo poderá ser maior. Neste caso, iremos notificar o Titular e mantê-lo atualizado sobre o andamento de cada solicitação;
- Se solicitado, os dados do Titular podem ser exportados e / ou excluídos. Para exclusão de dados (ou transferência / portabilidade), o período máximo de resolução é de 15 (quinze) dias;
- Se o candidato não considerar a resposta de revisão da I9 Consultoria uma resposta adequada, ele poderá apresentar uma reclamação a própria I9 Consultoria ou aos órgãos competentes;
Talvez seja necessário que solicitemos algumas informações específicas adicionais a seu respeito para que possamos confirmar sua identidade e garantir seu direito de acessar seus dados pessoais (ou de exercer seus outros direitos). Esta é uma medida de segurança adotada para garantir que os dados pessoais não sejam divulgados a uma pessoa que não tenha direito de recebê-los. Podemos, também, contatá-lo para obter mais informações em relação à sua solicitação, a fim de acelerar nossa resposta.
Direito dos Titulares dos Dados
Os Titulares sempre terão o direito de ter acesso aos mesmos ou solicitar o seu devido tratamento, seja para retificar, excluir, entre outros, porém sempre na observância das peculiaridades da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD).
Cita-se alguns direitos:
- Direito de acesso;
- Direito de retificação;
- Direito de exclusão;
- Direito de restringir o processamento;
- Direito de objeção a um processamento;
- Direito a explicação lógica das razões da coleta dos seus dados pessoais;
- Direito de retirar o seu consentimento.
Explica-se cada um para facilitar o seu entendimento:
- Requisição de acesso aos seus dados pessoais: esse direito significa que o Titular pode requisitar e receber uma cópia de todos os dados pessoais que a I9 Consultoria possui em seu nome;
- Requisição de retificação dos seus dados pessoais: esse direito permite que o Titular possa solicitar a qualquer momento a correção/retificação dos seus dados pessoais, caso identifique que estão incorretos, incompletos ou desatualizados. Para isso, basta entrar em contato diretamente com o DPO (Encarregado) da I9 Consultoria por meio do e-mail [email protected];
- Requisição de exclusão dos seus dados pessoais: esse direito possibilita que o Titular solicite a exclusão dos seus dados pessoais do banco de dados da I9 Consultoria. Todos os dados coletados serão excluídos de todas as plataformas, servidores e meios físicos (caso se tenha armazenado documentos físicos), com exceção os dados necessários ao cumprimento da Lei, ou para salvaguardar os direitos da I9 Consultoria. As solicitações serão feitas diretamente por contato com o DPO (Encarregado) da I9 Consultoria por meio do e-mail [email protected];
- Direito de objeção a um processamento de dados: o Titular tem o direito de se opor a um tratamento de dados, caso julgue que está sendo impactado em seus direitos e liberdades fundamentais, sempre que a I9 Consultoria esteja embasando esse processamento no seu legítimo interesse. O Titular também tem o direito de contestar onde está sendo processado os seus dados pessoais, para fins de marketing direto, por exemplo. Em alguns casos, a I9 Consultoria poderá mostrar que tem os interesses legítimos para processar seus dados, ainda que sobreponha ao direito do Titular, contando que esse processamento seja essencial para o fornecimento do serviço oferecido;
- Restringir o processamento dos seus dados pessoais: esse direito permite que todo Titular solicite a suspensão do processamento de seus dados pessoais. Nesse caso, esses dados só poderão ser processados (exceto seu armazenamento) com o seu consentimento ou para exigir o cumprimento, exercer ou defender reivindicações legais ou proteger os direitos de outro titular de direito, seja pessoa física ou pessoa jurídica;
- Direito à explicação da lógica das razões de coleta dos seus dados: a I9 Consultoria disponibilizou em seu website (i9ce.com.br) textos explicativos, as políticas de coleta de dados, de forma a tornar o processo de governança de dados o mais transparente possível. Caso algum fluxo não tenha ficado claro para o Titular, a I9 Consultoria está a disposição para explicar as bases legais e esclarecer os porquês das coletas de dados dos seus clientes;
- Direito de retirar o consentimento a qualquer momento: o Titular sempre terá o direito de retirar o seu consentimento, no entanto, a retirada de seu consentimento poderá afetar a prestação de serviços, o que neste poderá estar interligado diretamente ao contrato de prestação de serviços, impedindo por questão legal e contratual. Neste caso, a I9 Consultoria irá explicar diretamente ao Titular os motivos impeditivos ou não.
Fale com nosso DPO (Encarregado pela Proteção de Dados)
Caso algo nesta política não esteja condizente com a legislação de proteção de dados (LGPD – Lei nº 13.709/2018), o seu pedido não foi corretamente atendido ou o Titular poderá entrar em contato com o nosso DPO (Encarregado) por meio do e-mail [email protected].
Considerações Finais
Quando realizarmos alterações relevantes na presente política, você será devidamente notificado em nosso website ou por e-mail informado em nossos bancos de dados.
Agradecemos a sua atenção.
André Monteiro
DPO
Contato por e-mail: [email protected]
Contato por telefone: (47) 2122-5092
Horário de atendimento: de segunda a sexta, das 8:00h as 18:00h
Atualizada em 25/03/2022 – versão