Política de Privacidade de Dados Pessoais

1. INTRODUÇÃO

A presente Política de Privacidade descreve como a G&P Projetos e Sistemas trata, protege e mantém a confidencialidade, integridade e disponibilidade dos dados pessoais sob sua responsabilidade, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD), demais normas aplicáveis e boas práticas de segurança da informação.

A G&P adota medidas técnicas e organizacionais adequadas para prevenir acessos não autorizados, incidentes de segurança, perda, destruição ou qualquer forma de tratamento inadequado ou ilícito de dados pessoais. Esta Política é revisada periodicamente e poderá ser atualizada sempre que houver alterações legais, regulatórias, tecnológicas ou nos processos internos da companhia.

2. OBJETIVO

Estabelecer diretrizes claras, transparentes e acessíveis sobre o tratamento de dados pessoais realizado pela G&P, reforçando a privacidade e a proteção de dados como valores corporativos e orientando titulares, colaboradores, clientes, fornecedores, parceiros e terceiros quanto aos seus direitos, deveres e responsabilidades.

3. ABRANGÊNCIA

Esta Política aplica-se a todas as operações de tratamento de dados pessoais realizadas pela G&P, em meios digitais ou físicos, no contexto de suas atividades empresariais, administrativas, comerciais, contratuais, institucionais e operacionais, abrangendo, entre outros:

candidatos, colaboradores e ex-colaboradores;
clientes, potenciais clientes e usuários;
fornecedores, parceiros e prestadores de serviços;
visitantes de ambientes físicos e digitais (sites, portais, aplicações e redes sociais).

4. DEFINIÇÕES

ANPD: Autoridade Nacional de Proteção de Dados;
Browser: é um programa que permite a navegação pela internet. Também conhecido como navegador web, possibilita visualização e acesso conteúdo de páginas web/sites. Ex.: Google Chrome, Internet Explorer, Mozilla Firefox etc.;
Colaborador: pessoa física que mantém vínculo empregatício com a G&P;
Cookies: são arquivos temporários que contém informações de navegação do usuário que está acessando a rede, website ou aplicações;
Companhia: trata-se da G&P Projetos e Sistemas – matriz e filiais;
Controlador de Dados: entidade legal responsável pelo controle, decisão e comunicação dos propósitos e meios para o realizar o tratamento de dados.
Cloud: traduzido, nuvem. Refere-se à computação em nuvem, tecnologia que permite o uso remoto de recursos computacionais;
Dados Pessoais: qualquer informação relativa a uma pessoa singular identificada ou identificável, direta ou indiretamente, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social;
Dados Sensíveis: informações relacionadas à pessoa natural que possibilita a identificação através de origem racial ou étnica, relacionado à saúde ou vida sexual, convicção ou opinião política, religiosa, filosófica ou de filiação sindical, dado genético ou biométrico.
DPO: Data Protection Officer ou Encarregados de Proteção de Dados – profissional indicado para cuidar de questões referente à proteção de dados dos titulares de dados, na companhia e seus clientes. Também é responsável pela comunicação entre titulares de dados, companhia e a Autoridade Nacional de Proteção de Dados;
Ex-Colaborador: pessoa física que manteve vínculo empregatício com a G&P;
LGPD: Lei de Proteção Geral de Dados, Lei nº 13.709, de 14 de agosto de 2018;
Link: ligação entre um e outro documento. Pode ser usado para direcionar de uma para uma outra página de internet;
Logs: é o registro de eventos que sejam relevantes para um sistema;
IP: ou Internet Protocol (Protocolo de Internet), é a identificação única que cada computador deve utilizar para acesso a uma rede (interna ou externa);
Segurança da Informação: relativo aos proteção de um conjunto de informações e ativos, preservando o valor que estes possuem para a pessoa e/ou organização;
Operador de Dados: pessoa – jurídica ou física , de direito público ou privado, que realiza o tratamento de dados em nome do Controlador;
Titular de Dados: pessoa física que pode ser identificada ou identificável, direta ou indiretamente, através de dados pessoais ou dados pessoais sensíveis, sendo esses tratados e com direitos assegurados pela LGPD.
Tratamento de Dados: toda operação realizada com os dados pessoais podendo ser: acesso, arquivamento, armazenamento, avaliação, coleta, controle da informação, classificação, distribuição, difusão, eliminação, extração, modificação, produção, reprodução, transferência ou transmissão.
Terceiros: prestador de serviços, pessoa jurídica que atua em nome da G&P, fornecendo bens e serviços – direta ou indiretamente, parceiros, fornecedores, clientes.
Usuário: quem utiliza os serviços, ativos ou informações;
Widgets: é um tipo de botão ou atalho que permite acesso rápido a um aplicativo ou endereço web.

5. PRINCÍPIOS E COMPROMISSOS

A G&P realiza o tratamento de dados pessoais observando os princípios previstos na LGPD e as boas práticas de governança e segurança da informação, em especial:

boa-fé;
finalidade e adequação;
necessidade e minimização de dados;
livre acesso e qualidade dos dados;
transparência;
segurança e prevenção;
não discriminação;
responsabilização e prestação de contas;
privacidade desde a concepção e, sempre que possível, por padrão.

A G&P compromete-se a tratar dados pessoais apenas quando houver finalidade legítima, base legal adequada e necessidade proporcional ao contexto de tratamento.

6. COLETA DE DADOS

A privacidade e a confidencialidade das informações são valores essenciais para a G&P. Os dados pessoais são coletados e tratados exclusivamente em contextos legítimos, necessários e proporcionais às atividades da companhia, em conformidade com a legislação vigente e com esta Política.

A coleta de dados pessoais poderá ocorrer, entre outras hipóteses:

no desenvolvimento de atividades de negócio, de natureza comercial, administrativa, contratual, operacional ou institucional;
na execução de contratos, propostas, processos seletivos, projetos, serviços ou procedimentos preliminares relacionados à contratação;
no cumprimento de obrigações legais, regulatórias ou contratuais, bem como no exercício regular de direitos em processos administrativos, judiciais, arbitrais ou procedimentos correlatos;
no atendimento a interesses legítimos da G&P ou de terceiros, devidamente avaliados e compatibilizados com os direitos e liberdades fundamentais dos titulares;
na proteção da vida, da integridade física, da segurança do titular, de terceiros, do patrimônio e dos ambientes físicos ou digitais da companhia
na tutela da saúde, quando aplicável;
na prevenção a fraudes, incidentes, abusos, acessos indevidos e outros eventos que comprometam a segurança dos serviços e das informações.

Os dados pessoais poderão ser fornecidos diretamente pelo titular, coletados automaticamente em razão do uso de ambientes digitais, recebidos de terceiros legitimados, obtidos de fontes públicas ou manifestamente públicas, ou tratados em razão da execução de relações contratuais e operacionais legítimas.

Ao fornecer seus dados pessoais, o titular declara que:

não praticará falsidade ideológica nem fornecerá informações propositalmente incorretas;
não utilizará os canais da G&P para fins ilícitos, fraudulentos ou abusivos;
não transmitirá arquivos, códigos, scripts ou conteúdos maliciosos, quando houver funcionalidades de upload, integração ou transferência de dados.

Todos os dados pessoais coletados pela G&P observam, no mínimo, os seguintes critérios:

finalidade específica, legítima e previamente informada, sempre que exigido;
utilização de base legal adequada, com solicitação de consentimento quando aplicável, exceto nas hipóteses legais que o dispensam;
tratamento realizado por pessoas autorizadas, no limite de suas atribuições;
adoção de medidas técnicas, administrativas e organizacionais de segurança;
retenção pelo tempo necessário ao cumprimento da finalidade, observadas obrigações legais, regulatórias, contratuais e o exercício regular de direitos, com posterior descarte, bloqueio ou anonimização, quando cabível.

As informações tratadas pela G&P são coletadas por meios éticos e lícitos, com acesso restrito, armazenamento controlado e proteção compatível com os riscos envolvidos.

Os terceiros que atuam em nome da G&P não estão autorizados a coletar, acessar, utilizar ou transferir dados pessoais de forma incompatível com as instruções da companhia, com os contratos firmados e com a legislação aplicável.

Quando houver formulários, campos identificados como obrigatórios deverão ser preenchidos para que a G&P possa concluir cadastros, processar solicitações, prestar serviços, validar identidade, cumprir obrigações legais ou disponibilizar funcionalidades específicas. A ausência dessas informações poderá impedir, total ou parcialmente, a prestação do serviço ou o atendimento da solicitação.

6.1. Do Consentimento para coleta e utilização dos dados

A G&P adota, para cada operação de tratamento, a base legal mais adequada prevista na LGPD. O consentimento não é a única base legal possível, sendo solicitado sempre que necessário ou recomendável, especialmente quando exigido pela legislação ou pela natureza da operação.

O consentimento, quando aplicável, é obtido de forma livre, informada, inequívoca e, quando exigido, específica e destacada, podendo ocorrer, entre outros meios:

Sistêmicos: aceites eletrônicos por meio de botões, caixas de seleção (checkbox), pop-ups, mecanismos de gestão de preferências ou funcionalidades equivalentes;
Documentais: assinatura de termos, fichas, contratos, formulários, aditivos ou declarações físicas ou digitais;
Mensagens eletrônicas: utilização de e-mail ou outros meios digitais, mediante autorização expressa do titular;
Formulários eletrônicos: canais como “Fale Conosco”, cadastro em plataformas, inscrição em eventos, pesquisas de satisfação, boletins informativos, download de materiais e outros formulários disponibilizados em websites, portais e aplicações da G&P.

Ao conceder o consentimento, o titular autoriza o tratamento de seus dados pessoais de acordo com a finalidade informada, a base legal aplicável e a legislação vigente. A G&P não utiliza dados pessoais para finalidades incompatíveis com aquelas previamente informadas. Na hipótese de nova finalidade incompatível com a originalmente informada, será realizada nova comunicação e, quando exigido, nova solicitação de consentimento.

O titular poderá revogar o consentimento a qualquer tempo, mediante solicitação pelos canais indicados nesta Política, ressalvada a manutenção de tratamentos realizados anteriormente com base válida e as hipóteses legais que autorizem ou determinem a continuidade do tratamento.

Sempre que possível, nas operações que envolvam compartilhamento de dados com clientes, fornecedores ou parceiros, a G&P adota técnicas de anonimização, pseudonimização, segregação de acesso ou outras medidas de mitigação de riscos, observando a necessidade, a proporcionalidade e a segurança do tratamento.

As atividades de tratamento fundamentadas em legítimo interesse são realizadas de forma criteriosa, com avaliação de necessidade, finalidade, contexto e impacto, buscando assegurar que os interesses da companhia não se sobreponham aos direitos e liberdades fundamentais dos titulares.

6.2. Dados para recrutamento e seleção

A G&P poderá coletar dados pessoais para fins de recrutamento e seleção, tais como nome, dados de contato, formação, experiências profissionais, qualificações, histórico acadêmico, pretensão profissional e outras informações constantes de currículos, formulários ou entrevistas.

O tratamento desses dados poderá basear-se, conforme o caso, em procedimentos preliminares relacionados à futura contratação, no legítimo interesse da companhia, no exercício regular de direitos e, quando aplicável, no consentimento do titular, inclusive em situações específicas como manutenção de currículo em banco de talentos ou gravação de entrevistas.

Os dados poderão ser utilizados para:

contato com o candidato;
análise de perfil profissional e compatibilidade com a vaga;
avaliação de aderência aos requisitos técnicos e comportamentais;
condução do processo seletivo;
melhoria dos processos de recrutamento e seleção;
consideração do candidato para outras oportunidades compatíveis, quando aplicável.

Os dados serão mantidos pelo período necessário ao cumprimento dessas finalidades e, quando aplicável, pelo período adicional autorizado pelo titular ou necessário ao exercício regular de direitos.

6.3. Dados para contratação e gestão do vínculo

Para fins de contratação e manutenção do vínculo empregatício, funcional ou contratual, a G&P coleta e trata dados pessoais como nome, telefone, endereço, e-mail, formação, dados bancários, dependentes, dados de identificação e documentos pessoais, conforme exigido pela legislação vigente e pela natureza da relação estabelecida.

O tratamento desses dados poderá ter como bases legais, conforme o caso:

execução de contrato e procedimentos correlatos;
cumprimento de obrigação legal ou regulatória, especialmente trabalhista, previdenciária, fiscal, tributária, securitária e de saúde e segurança no trabalho;
exercício regular de direitos;
legítimo interesse, para comunicações corporativas, gestão administrativa, segurança e organização interna;
proteção da vida e da integridade física, em situações emergenciais.

6.4. Dados para operações de negócio e execução de serviços

A G&P coleta e trata dados pessoais necessários à operação e à gestão de suas atividades de negócio e das operações realizadas para seus clientes.

Nesse contexto, a G&P poderá atuar como controladora ou operadora, a depender da finalidade, da relação contratual e do papel desempenhado em cada atividade de tratamento.

Esse tratamento poderá envolver o compartilhamento de dados com clientes, contratantes, parceiros, fornecedores e prestadores de serviços essenciais à execução das atividades, sempre observadas as bases legais aplicáveis, as salvaguardas contratuais, os controles de segurança e as instruções legítimas recebidas.

6.5. Dados em plataformas, websites, blogs, portais e aplicações G&P

A G&P poderá coletar dados pessoais durante o cadastro, acesso e utilização de suas plataformas, websites, blogs, portais, aplicações e demais ambientes digitais, inclusive quando o usuário:

criar conta ou preencher cadastro;
aderir a termos de uso, contratos ou documentos eletrônicos;
registrar solicitações de atendimento, chamados, ocorrências ou incidentes;
encaminhar informações por formulários, canais eletrônicos ou outros meios de comunicação;
utilizar funcionalidades, áreas autenticadas, integrações, uploads ou demais recursos tecnológicos disponibilizados.

A G&P poderá, ainda, tratar dados fornecidos por outros participantes da plataforma, clientes, parceiros ou terceiros legitimados, bem como complementar informações com dados obtidos de fontes públicas, bases parceiras ou prestadores especializados, sempre observada a legislação aplicável e a compatibilidade com a finalidade informada.

As informações recebidas de terceiros serão tratadas de acordo com esta Política, com os instrumentos contratuais aplicáveis e com as bases legais pertinentes, sem prejuízo das responsabilidades próprias do terceiro pela coleta realizada em seu ambiente de origem.

6.6. Dados de cookies, logs e coleta automática

A G&P poderá utilizar cookies e tecnologias semelhantes para fins de autenticação, segurança, funcionamento, desempenho, estatística, auditoria, personalização e melhoria da experiência do usuário em seus ambientes digitais.

Os dados coletados automaticamente podem incluir, entre outros:

endereço IP;
data e hora de acesso;
identificadores de sessão;
tipo e versão do navegador;
idioma;
dispositivo utilizado, sistema operacional e resolução de tela;
páginas acessadas, interações realizadas e padrões de navegação;
logs de autenticação, segurança, erro, auditoria e desempenho.

Esses dados podem, isolada ou conjuntamente, constituir dados pessoais, a depender do contexto, e serão tratados com fundamento na base legal aplicável a cada finalidade.

Cookies estritamente necessários ao funcionamento, segurança e disponibilização dos serviços poderão ser utilizados com base nas hipóteses legais cabíveis.

Cookies não estritamente necessários, quando aplicável, estarão sujeitos ao consentimento do titular ou a mecanismos de gestão de preferências disponibilizados pela G&P.

Informaões complementares sobre o uso de cookies e tecnologias semelhantes poderão constar de aviso específico ou Política de Cookies, quando disponibilizados.

6.7. Comunicações institucionais, operacionais, comerciais e pesquisas de satisfação

A G&P poderá realizar comunicações institucionais, operacionais, transacionais, comerciais ou pesquisas de satisfação por meio de e-mail, telefone, SMS, aplicativos de mensagens, notificações em plataforma ou outros meios digitais.

Essas comunicações poderão ter como finalidades:

prestar informações sobre serviços contratados, chamados, incidentes e atualizações relevantes;
enviar alertas operacionais e comunicados institucionais;
avaliar a qualidade de serviços e obter feedback;
divulgar eventos, conteúdos, soluções, produtos, serviços ou novidades da G&P, quando permitido pela legislação.

O tratamento dos dados para essas comunicações baseia-se na execução contratual, no legítimo interesse ou no consentimento, quando aplicável. O titular poderá, a qualquer tempo, solicitar o cancelamento do recebimento de comunicações de natureza promocional, por meio dos mecanismos disponibilizados, sem prejuízo do envio de mensagens estritamente necessárias à execução do contrato, à segurança ou ao cumprimento de obrigações legais.

6.8. Dados de clientes e potenciais clientes

A G&P poderá manter bases de dados de relacionamento com clientes, parceiros e potenciais clientes para registrar interações comerciais, histórico de contato, demandas, interesses corporativos, relacionamento contratual e ações de marketing legítimas.

Essas bases poderão conter dados de contato profissional, informações disponibilizadas em ambientes públicos ou corporativos, registros de interações realizadas no contexto comercial e informações necessárias à prospecção, gestão de relacionamento e prestação de serviços, sempre com observância dos direitos dos titulares.

6.9. Visitação on-site (matriz e filiais)

Em visitas às instalações da G&P, poderão ser coletados dados pessoais, como identificação, empresa de origem, imagem, horário de entrada e saída e outras informações necessárias ao controle de acesso, com a finalidade de garantir a segurança patrimonial, das pessoas, das instalações e das informações.

Esse tratamento poderá basear-se no legítimo interesse, na proteção da vida e da integridade física, na prevenção à fraude e no cumprimento de obrigações legais ou regulatórias.

6.10. Dados sensíveis, biometria e validação de identidade

A G&P poderá tratar dados pessoais sensíveis apenas nas hipóteses autorizadas pela legislação, observando finalidade específica, necessidade, proporcionalidade, segurança reforçada e restrição de acesso.

Quando aplicável às operações da companhia, poderão ser tratados dados biométricos, inclusive para validação de identidade, autenticação, controle de acesso, prevenção à fraude ou proteção da segurança dos ambientes e serviços. Nesses casos, o tratamento observará as bases legais cabíveis para dados pessoais sensíveis, medidas técnicas e organizacionais adequadas e retenção pelo prazo estritamente necessário ao cumprimento da finalidade, obrigação legal ou exercício regular de direitos.

A eventual utilização de biometria facial, vídeo selfie, reconhecimento de imagem ou tecnologias correlatas, quando adotada, deverá ser acompanhada de informações claras sobre sua finalidade, necessidade, forma de utilização, retenção e direitos do titular.

6.11. Mídias sociais e sites de terceiros

A G&P utiliza sites e plataformas de terceiros como canais de comunicação, divulgação institucional, relacionamento, publicidade e escuta ativa, incluindo, entre outros:

redes sociais como Instagram, Facebook, YouTube, X/Twitter, LinkedIn e plataformas similares;
sites de parceiros, anunciantes, clientes e fornecedores.

O uso dessas plataformas está sujeito às respectivas políticas de privacidade e termos de uso.

6.12. Dados de crianças e adolescentes

A G&P não realiza tratamento de dados de crianças e adolescentes para fins comerciais incompatíveis com a legislação.

Eventuais tratamentos poderão ocorrer para fins administrativos, trabalhistas, assistenciais, previdenciários, securitários, educacionais, de saúde ocupacional, controle de benefícios ou gestão de dependentes, sempre em conformidade com a legislação aplicável e, quando exigido, com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal, observando o melhor interesse da criança ou do adolescente.

7. QUALIDADE DOS DADOS, RETENÇÃO E DESCARTE

Os dados pessoais tratados pela G&P são utilizados exclusivamente de acordo com a finalidade informada no momento da coleta, com a base legal aplicável e com os princípios da necessidade, adequação e minimização.

7.1. Qualidade e Atualização dos Dados

A G&P adota medidas para assegurar que os dados pessoais tratados sejam:

adequados, pertinentes e limitados ao mínimo necessário para a finalidade pretendida;
exatos, claros e, sempre que possível, atualizados;
protegidos contra acessos não autorizados, perda, alteração ou divulgação indevida.

Sempre que houver solicitação do titular, atualização cadastral ou identificação de inconsistências, a G&P poderá proceder à correção, atualização, complementação, bloqueio ou revisão dos dados, observados os limites legais, técnicos e operacionais aplicáveis.

7.2. Retenção dos Dados

Os dados pessoais são mantidos somente pelo período necessário para:

cumprimento da finalidade para a qual foram coletados;
atendimento de obrigações legais, regulatórias, fiscais, trabalhistas, previdenciárias, contratuais ou de auditoria;
exercício regular de direitos da G&P, de clientes ou de terceiros em processos administrativos, judiciais, arbitrais ou procedimentos correlatos;
preservação da segurança, rastreabilidade, continuidade operacional e comprovação de operações legítimas.

A definição do período de retenção considera, entre outros fatores, a natureza do dado, a sensibilidade das informações, a finalidade do tratamento, os riscos envolvidos, os prazos prescricionais e as obrigações de guarda aplicáveis.

Quando não houver mais necessidade de tratamento, os dados deixarão de ser utilizados para novas finalidades, ressalvadas as hipóteses legais de conservação.

7.3. Descarte, Eliminação ou Anonimização dos Dados

Após o encerramento da finalidade ou quando os dados pessoais deixarem de ser necessários, a G&P adota procedimentos para garantir o descarte seguro, que podem incluir:

eliminação definitiva dos dados pessoais;
anonimização, quando tecnicamente viável e adequada à finalidade residual;
bloqueio ou restrição de acesso, quando exigido por lei, regulação, auditoria ou exercício regular de direitos;
devolução ao controlador, quando a G&P atuar como operadora e isso estiver previsto contratualmente.

O descarte é realizado de maneira segura e controlada, de forma a impedir acesso não autorizado, reutilização indevida, vazamento ou recuperação indevida das informações.

8. RELAÇÕES COM TERCEIROS

A G&P poderá compartilhar dados pessoais com terceiros estritamente necessários à execução de suas atividades, tais como fornecedores, clientes, parceiros comerciais, operadores, prestadores de serviços especializados, escritórios profissionais, provedores de tecnologia, segurança, hospedagem, nuvem, comunicação, suporte, recrutamento, auditoria, contabilidade e assessoria jurídica.

Nesses casos, os dados pessoais serão tratados exclusivamente para as finalidades legítimas e informadas pela G&P ou pelo controlador competente, sendo exigido que os terceiros adotem medidas adequadas para garantir a confidencialidade, integridade, disponibilidade e proteção dos dados, bem como os utilizem apenas pelo período necessário ao cumprimento da finalidade, do contrato e da legislação aplicável.

Sempre que pertinente, a G&P celebrará instrumentos contratuais que estabeleçam deveres de confidencialidade, segurança da informação, proteção de dados, limitação de finalidade, subcontratação, cooperação em atendimento a titulares e comunicação de incidentes.

Os dados pessoais compartilhados deverão ser eliminados, anonimizados, devolvidos ou bloqueados após o encerramento da finalidade ou da relação que justificou o tratamento, salvo quando houver obrigação legal, regulatória, contratual ou necessidade legítima de retenção.

Cada agente de tratamento responderá pelos atos que praticar, nos termos da legislação aplicável, sem prejuízo das responsabilidades contratuais e legais da G&P quando atuar como controladora ou operadora.

8.1. Mídias sociais e sites

A G&P utiliza plataformas de terceiros como canais de comunicação, divulgação institucional e escuta ativa relacionada à marca, incluindo, entre outros:

redes sociais, como Facebook, Instagram, YouTube, X/Twitter, LinkedIn e plataformas similares;
sites de parceiros, anunciantes, clientes e demais ambientes externos relacionados às atividades da companhia.

Os ambientes digitais da G&P podem conter links, widgets, plugins, integrações ou redirecionamentos que direcionem os usuários para websites, aplicações ou serviços que não pertencem à G&P. Esses ambientes são regidos por políticas de privacidade próprias, sendo de responsabilidade de seus operadores o tratamento de dados pessoais realizado nesses contextos.

A G&P é responsável pelos dados pessoais que coleta e trata diretamente em seus próprios ambientes. Caso o usuário acesse sites de terceiros ou forneça informações nesses ambientes, inclusive por meio de links disponibilizados pelos canais da G&P, o tratamento passará a ser regido pelas regras do respectivo terceiro.

Ao interagir em mídias sociais, incluindo comentários, curtidas, compartilhamentos, menções, mensagens ou outras funcionalidades públicas, o usuário reconhece que suas informações poderão ser visualizadas por outros usuários da plataforma e utilizadas de acordo com as regras do serviço correspondente.

Embora a G&P possa realizar monitoramento, moderação e gestão de seus canais oficiais, não controla integralmente as plataformas de terceiros nem se responsabiliza por operações de tratamento realizadas por elas fora do escopo de sua atuação direta.

A G&P poderá realizar atividades de escuta social por meio da análise de conteúdos publicamente acessíveis que mencionem a empresa, sua marca ou suas operações, com o objetivo de compreender percepções, tendências, riscos reputacionais e oportunidades de melhoria, sem prejuízo da observância dos princípios da necessidade e da proporcionalidade.

Recomenda-se que os usuários consultem os termos de uso e as políticas de privacidade dos sites e plataformas de terceiros antes de fornecer quaisquer dados pessoais.

9. PROTEÇÃO E SEGURANÇA DE DADOS

A G&P adota medidas para proteger os dados pessoais sob sua responsabilidade, com o objetivo de preservar a confidencialidade, integridade, disponibilidade, autenticidade e rastreabilidade das informações tratadas.

Para isso, são implementadas e revisadas periodicamente medidas organizacionais, administrativas e técnicas de segurança, que incluem, entre outras:

controle de acesso aos dados, restrito a pessoas autorizadas e conforme necessidade de conhecimento;
gestão de credenciais, perfis e privilégios;
monitoramento de ambientes, sistemas e eventos relevantes;
registro de logs e trilhas de auditoria, quando aplicável;
uso de mecanismos de proteção para prevenir acessos não autorizados, perda, alteração, indisponibilidade ou divulgação indevida;
gestão de vulnerabilidades, atualização tecnológica, backups e continuidade operacional, quando aplicável;
conscientização e orientação de colaboradores e terceiros sobre segurança da informação e proteção de dados.

Os dados pessoais são armazenados somente pelo tempo necessário ao cumprimento de sua finalidade e protegidos durante todo o seu ciclo de vida. Após esse período, os dados são descartados, eliminados, bloqueados ou anonimizados de forma segura, conforme descrito nesta Política.

Na hipótese de incidente de segurança envolvendo dados pessoais que possa acarretar risco ou dano relevante aos titulares, a G&P adotará as medidas cabíveis para contenção, avaliação, tratamento, registro e, quando exigido, comunicação à ANPD e aos titulares, nos termos da legislação e da regulamentação aplicáveis.

A G&P atua de forma transparente e alinhada às boas práticas de proteção de dados. Ainda assim, nenhum ambiente é totalmente imune a eventos de segurança, razão pela qual a companhia mantém esforços contínuos de prevenção, detecção, resposta e melhoria de controles.

10. TRANSFERÊNCIA INTERNACIONAL

Os dados pessoais tratados pela G&P poderão ser armazenados, acessados ou processados em outros países, inclusive por meio de provedores de tecnologia, infraestrutura, serviços em nuvem, softwares corporativos, ferramentas de suporte, plataformas de comunicação, parceiros ou fornecedores localizados fora do território nacional.

Nessas situações, a G&P adota medidas para assegurar que a transferência internacional ocorra de forma segura e em conformidade com a LGPD e com as normas da ANPD, garantindo que os dados pessoais permaneçam protegidos e sejam tratados exclusivamente para as finalidades legítimas e informadas ao titular.

A transferência internacional poderá ocorrer, conforme o caso, com base em mecanismos legalmente admitidos, incluindo decisões de adequação, cláusulas-padrão contratuais, cláusulas contratuais específicas, normas corporativas globais ou demais hipóteses autorizadas pela legislação aplicável.

A G&P busca assegurar que os terceiros envolvidos na transferência e no tratamento internacional de dados adotem práticas adequadas de proteção, compatíveis com esta Política, com os contratos firmados e com a legislação aplicável.

Quando solicitado pelo titular e observados segredos comercial e industrial, a G&P poderá disponibilizar informações adicionais sobre os mecanismos utilizados para a transferência internacional de dados, na forma da legislação e regulamentação aplicáveis.

11. DIREITOS DOS TITULARES

A G&P assegura aos titulares de dados pessoais o exercício dos direitos previstos na legislação aplicável de proteção de dados, de forma transparente, facilitada e não discriminatória.

Para esse fim, a G&P disponibiliza canais por meio dos quais podem ser realizadas solicitações relacionadas ao tratamento de dados pessoais.

O atendimento ao titular poderá ser realizado pelos seguintes canais:

E-mail: dpo@gpnet.com.br

Endereço postal:

Alameda Campinas, 579 – 9º andar – Conjuntos 91 e 92 – Jardim Paulista – São Paulo/SP – CEP 01404-100

Nos termos da legislação vigente, o titular poderá solicitar, entre outros direitos:

confirmação da existência de tratamento de seus dados pessoais;
acesso aos dados pessoais tratados pela G&P;
correção de dados incompletos, inexatos ou desatualizados;
anonimização, bloqueio ou eliminação de dados pessoais, quando aplicável;
eliminação de dados pessoais tratados com base no consentimento, observadas as hipóteses legais de conservação;
portabilidade dos dados a outro fornecedor de serviço ou produto, observados os limites legais, regulatórios, técnicos e os segredos comercial e industrial;
informações sobre o compartilhamento de dados pessoais com terceiros;
informações sobre a possibilidade de não fornecer consentimento e sobre as consequências dessa decisão, quando aplicável;
revogação do consentimento, quando esta for a base legal do tratamento;
oposição ao tratamento realizado com fundamento em hipótese legal de dispensa de consentimento, quando cabível e nos termos da lei;
revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses, bem como solicitação de informações e explicações sobre os critérios e procedimentos adotados, quando aplicável;
petição perante a ANPD e, quando cabível, perante órgãos de defesa do consumidor.

Para o atendimento das solicitações, a G&P poderá solicitar informações adicionais e documentos razoáveis para a comprovação da identidade do titular ou da legitimidade de seu representante, com o objetivo de garantir a segurança e a confidencialidade dos dados pessoais.

A solicitação poderá ser recusada, parcialmente atendida ou ter seu atendimento limitado, nos termos da lei, nas seguintes hipóteses:

quando não for possível confirmar a identidade do solicitante ou a legitimidade da representação;
quando o atendimento da solicitação contrariar obrigação legal ou regulatória;
quando os dados forem necessários para o cumprimento de contrato, exercício regular de direitos, preservação de segredo comercial ou industrial, ou para outras hipóteses legais de conservação;
quando o pedido for manifestamente improcedente, excessivo ou incompatível com o escopo legal do direito exercido, na forma permitida pela legislação aplicável.

As solicitações serão analisadas e respondidas dentro dos prazos legais e regulatórios. Para pedidos de confirmação da existência de tratamento e acesso aos dados, a G&P buscará observar o fornecimento de resposta imediata em formato simplificado, quando possível, ou declaração completa no prazo legal aplicável. Caso não seja possível o atendimento integral ou imediato, o titular será informado de forma clara e objetiva sobre os motivos e eventuais limitações.

12. AUTORIDADES REGULADORAS E ÓRGÃOS COMPETENTES

A G&P poderá compartilhar dados pessoais com autoridades reguladoras, administrativas, fiscalizatórias ou judiciais sempre que houver obrigação legal, determinação judicial, requisição de autoridade competente ou necessidade de defesa de direitos, no âmbito de suas atividades e responsabilidades legais.

A divulgação de dados pessoais poderá ocorrer, entre outros casos, para fins de:

cumprimento de leis, regulamentos e normas aplicáveis;
atendimento a fiscalizações, auditorias, inspeções ou solicitações de órgãos competentes;
cumprimento de ordens judiciais, administrativas ou arbitrais;
prevenção, investigação ou resposta a fraudes, incidentes ou ilícitos, quando permitido por lei.

O compartilhamento de dados será realizado de forma limitada, proporcional e segura, restrito às informações estritamente necessárias para o atendimento da obrigação, requisição ou finalidade legítima, sempre em conformidade com a legislação vigente.

Sempre que permitido por lei e pelas determinações aplicáveis, a G&P adotará medidas razoáveis para informar os titulares sobre a divulgação de seus dados pessoais, especialmente quando houver necessidade de adoção de medidas de proteção ou reparação.

13. PAPÉIS E RESPONSABILIDADE

A G&P define papéis e responsabilidades claros para garantir que o tratamento de dados pessoais ocorra de forma adequada, segura e em conformidade com a legislação aplicável.

13.1. Encarregado de Dados

O Encarregado de Proteção de Dados (DPO – Data Protection Officer) é a pessoa indicada pela G&P para atuar como responsável pelas atividades relacionadas à proteção de dados pessoais, bem como como canal de comunicação entre a companhia, os titulares de dados e as autoridades competentes.

São atribuições do Encarregado de Proteção de Dados, entre outras:

orientar a companhia quanto à aplicação das disposições legais e boas práticas relacionadas à proteção de dados pessoais;
apoiar a implementação e a melhoria contínua das práticas de privacidade adotadas pela G&P;
prestar esclarecimentos e responder às solicitações dos titulares de dados, conforme previsto nesta Política;
apoiar as áreas internas na avaliação de processos, projetos, serviços ou produtos que envolvam tratamento de dados pessoais;
atuar de forma coordenada na análise e no tratamento de incidentes de segurança que envolvam dados pessoais;
comunicar às autoridades competentes e, quando aplicável, aos titulares de dados, a ocorrência de incidentes de segurança, nos termos da legislação vigente.

13.2. Gestores e Áreas internas

Os gestores e as áreas internas da G&P, incluindo áreas de negócio, administrativas e de suporte, são responsáveis por adotar práticas compatíveis com esta Política no exercício de suas atividades.

Compete aos gestores e às áreas internas:

observar e cumprir as diretrizes estabelecidas nesta Política;
considerar a proteção de dados pessoais desde a concepção e durante a execução de processos, projetos, serviços ou produtos;
adotar medidas razoáveis para proteger os dados pessoais sob sua responsabilidade;
orientar colaboradores quanto à importância da privacidade e da proteção de dados pessoais;
encaminhar ao Encarregado de Proteção de Dados dúvidas ou situações relacionadas ao tratamento de dados pessoais que não possam ser solucionadas com base nesta Política.

14. SANÇÕES

O descumprimento das disposições previstas nesta Política poderá resultar na adoção de medidas administrativas, contratuais ou legais, conforme a natureza da infração, a gravidade do ocorrido e a legislação aplicável.

As medidas poderão ser aplicadas a colaboradores, terceiros, parceiros ou prestadores de serviços, de acordo com a relação mantida com a G&P, podendo incluir, conforme o caso:

medidas administrativas internas;
aplicação de sanções contratuais;
rescisão de contratos;
adoção de medidas legais cabíveis nas esferas cível, administrativa ou penal.

Antes da aplicação de qualquer medida, a G&P compromete-se a avaliar e apurar os fatos, de forma proporcional e adequada, considerando as circunstâncias e evidências relacionadas à eventual violação.

Qualquer pessoa poderá comunicar indícios de descumprimento desta Política ou esclarecer dúvidas relacionadas à sua aplicação por meio do canal de atendimento ao titular, disponível pelo e-mail dpo@gpnet.com.br.

15. ALTERAÇÕES NA POLÍTICA

A G&P poderá alterar esta Política de Privacidade a qualquer tempo, sempre que necessário para refletir mudanças legais, regulatórias, operacionais, tecnológicas ou de boas práticas relacionadas à proteção de dados pessoais.

As atualizações poderão ocorrer em razão de ajustes nos processos, nos serviços, nas tecnologias utilizadas ou em decorrência de alterações na legislação aplicável.

Sempre que esta Política for atualizada, a versão vigente será publicada nos canais oficiais da G&P, com a indicação da data da última atualização. As versões anteriores poderão ser mantidas para fins de histórico e transparência.

Recomenda-se que os titulares consultem periodicamente esta Política para se manterem informados sobre eventuais alterações.

16. REFERÊNCIAS

Lei Geral de Proteção de Dados Pessoais – LGPD (Lei nº 13.709, de 14 de agosto de 2018)

https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

Lei do Marco Civil da Internet (Lei nº 12.965, de 23 de abril de 2014)

https://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho (GDPR)

https://eur-lex.europa.eu/eli/reg/2016/679/oj?locale=pt

Resolução CD/ANPD nº 15, de 24 de abril de 2024 – Regulamento de Comunicação de Incidente de Segurança

https://dspace.mj.gov.br/handle/1/12879

Resolução CD/ANPD nº 18, de 16 de julho de 2024 – Regulamento sobre a atuação do Encarregado pelo tratamento de dados pessoais

https://dspace.mj.gov.br/handle/1/13151