Objetivo
Esta Política Geral de Privacidade tem como objetivo disciplinar as regras e os procedimentos da Inbazz relacionados à privacidade e proteção de dados pessoais no âmbito de suas atividades.
Introdução
1.1 Premissas e Fundamentos
Para nós da Inbazz, privacidade é um tema de extrema seriedade e importância, e que deve ser visto como uma das bases para as nossas atividades. Para além de dados de negócios que impactam em nossas relações empresariais, lidamos com dados de pessoas e, principalmente, de pessoas que têm como principal fonte de trabalho sua própria imagem e possuem ampla influência e exposição em redes sociais.
Assim, para exercermos nossas atividades, é fundamental termos esta compreensão. Um incidente de privacidade que envolva um endereço, por exemplo, pode ter impacto muito mais severo em nossas atividades do que em outros modelos de negócio, uma vez que influenciadores e criadores de conteúdo enfrentam riscos e possuem alcance distintos de pessoas sem ampla exposição na internet.
Prezamos pela privacidade de todas as pessoas que nos fornecem seus dados pessoais, direta ou indiretamente, sejam estas colaboradoras, parceiras, fornecedoras ou quaisquer outras. Na Inbazz, acreditamos que privacidade é um direito que deve sempre orientar todas as nossas ações.
Diante disso, elaboramos esta Política Geral de Privacidade, para orientar e guiar as ações de todos nós: sócios, prestadores de serviços, estagiários e quaisquer outros que integrem a equipe da Inbazz (“Colaboradores”).
Assim, recomendamos a leitura atenta deste documento. Caso tenha alguma dúvida, não deixe de entrar em contato com o nosso Encarregado de Proteção de Dados Pessoais, o Sr. Matheus Altoé Borges, pelo e-mail (maltoe@inbazz.com.br).
1.2 Objeto da Política Geral de Privacidade
Esta Política Geral de Privacidade (“Política”) tem como objeto estabelecer os conceitos, valores, princípios, normas e práticas que devem orientar a conduta de todos os Colaboradores da Inbazz, em acordo com a legislação brasileira vigente, especialmente com a Lei nº 13.709/2018 (“Lei Geral de Proteção de Dados” ou “LGPD”).
1.3 Abrangência
Esta Política abrange todas as atividades desenvolvidas pela Inbazz e deve ser respeitada por todos os Colaboradores que integram a equipe da Inbazz.
Glossário
2.1 Definições
Quando falamos sobre dados pessoais, é comum pensarmos em dados como nome completo, número de CPF ou algum outro documento oficial. Contudo, dados pessoais são quaisquer dados que possam identificar uma pessoa.
Como exemplo, idade e empresa em que trabalha podem parecer dados que não revelam a pessoa. Porém, a depender do tamanho da empresa e do perfil dos colaboradores, é possível que apenas uma pessoa naquela empresa tenha mais de 70 anos. Assim, apenas com esses dados, é possível identificar sobre quem se fala.
Para esclarecer sobre proteção de dados e facilitar a linguagem dessa Política, esclarecemos abaixo termos importantes para o tema:
Dicionário de Termos
Termo
Significado
Diretrizes
3.1 Direcionamento Geral
A LGPD é a principal lei que trata sobre privacidade e proteção de dados pessoais no Brasil. Com ela, temos o direcionamento que devemos seguir para respeitar a privacidade dos titulares, conforme esclarecemos abaixo:
Os dados precisam ser tratados para alguma finalidade, como para contato por telefone, e essa finalidade precisa estar de acordo com a lei;
Os dados tratados precisam ser compatíveis com a finalidade que se pretende, precisa ser adequado;
Somente podem ser tratados dados pessoais conforme necessário. Tratar dados pessoais para caso algum dia precise, sem uma finalidade certa, é ilegal;
Os titulares têm direito de consultar sobre seus dados que são tratados, sem serem cobrados por isso.
Os titulares têm o direito de que seus dados estejam corretos e atualizados;
Nem sempre precisa de autorização para tratar um dado pessoal, mas sempre é necessário ser transparente, por isso criamos a nosso Aviso de Privacidade e o apresentamos em nosso site;
Para que os titulares tenham seus dados pessoais protegidos, eles têm o direito de exigir que o tratamento seja seguro e com as medidas preventivas adequadas;
Ninguém deve ser discriminado a partir dos seus dados pessoais tratados.
Os dados pessoais dos titulares não podem ser tratados de qualquer forma. Essas informações falam sobre o caráter íntimo dessas pessoas e devem ser tratadas adequadamente.
Diante disso, é nosso dever garantir a privacidade das pessoas, mediante a proteção de seus dados pessoais, assim como termos as evidências necessárias de que fazemos a coisa certa.
3.2 Nossos Objetivos
No âmbito desta Política, são objetivos da Inbazz:
Garantir ao titular a escolha de permitir ou não o tratamento de seus dados pessoais, excetuando-se casos em que a lei aplicável permita especificamente o tratamento sem o consentimento do titular;
Garantir que o objetivo do tratamento de dados pessoais esteja em conformidade com a legislação vigente e de acordo com uma base legal permitida;
Comunicar, de forma clara e adequadamente adaptada às circunstâncias, o tratamento de dados pessoais ao titular, antes do momento em que os dados são coletados ou usados pela primeira vez para um novo propósito;
Sempre que necessário, fornecer ao titular explicações suficientes sobre o tratamento de seus dados pessoais, conforme previsto na legislação vigente;
Limitar a coleta de dados pessoais estritamente ao que é permitido de acordo com a legislação vigente, e os objetivos especificados na coleta do consentimento do titular dos dados pessoais, minimizando, onde possível, a coleta dos referidos dados pessoais;
Limitar o uso, retenção, divulgação e transferência de dados pessoais ao necessário para cumprir com objetivos específicos, explícitos e legítimos;
Reter dados pessoais apenas pelo tempo necessário para cumprir os propósitos declarados e, posteriormente, destruí-los, bloqueá-los ou anonimizá-los com segurança;
Garantir a precisão e qualidade dos dados pessoais tratados, excetuando-se casos em que exista uma base legal para manter dados desatualizados;
Fornecer aos titulares dos dados pessoais tratados informações claras e facilmente acessíveis sobre as políticas, procedimentos e práticas com relação ao tratamento de dados pessoais realizado pela organização, incluindo quais dados são efetivamente tratados, a finalidade desse tratamento e informações sobre como entrar em contato para obter maiores detalhes;
Notificar os titulares quando ocorrerem alterações significativas no tratamento dos seus dados pessoais;
Garantir que os titulares tenham a possibilidade de acessar e revisar seus dados pessoais, desde que sua identidade seja autenticada com um nível apropriado de garantia, e que não exista nenhuma restrição legal a esse acesso ou a revisão dos dados pessoais;
Garantir a rastreabilidade e prestação de contas durante todo o tratamento de dados pessoais, incluindo quando dados pessoais forem compartilhados com terceiros;
Tratar integralmente violações de dados, garantindo que sejam adequadamente registradas, classificadas, investigadas, corrigidas e documentadas;
Garantir que, na ocorrência de uma violação de dados, conforme aplicável, todas as partes interessadas serão notificadas, em acordo com os requisitos e prazos previstos na legislação vigente;
Documentar e comunicar, conforme apropriado, todas as políticas, procedimentos e práticas relacionadas à privacidade e proteção de dados;
Garantir a existência de um responsável por documentar, implementar e comunicar políticas, procedimentos e práticas relacionadas à privacidade e proteção de dados;
Adotar controles de segurança da informação, tanto técnicos quanto administrativos, suficientes para garantir níveis de proteção adequados para dados pessoais;
Melhorar continuamente a gestão de proteção de dados pessoais por meio de construção e revisão sistemática de objetivos de privacidade e proteção de dados pessoais em todos os níveis da organização;
Garantir a não discriminação no tratamento de dados pessoais, impossibilitando que estes sejam usados para fins discriminatórios, ilícitos ou abusivos;
Garantir a conformidade integral da organização com as leis e regulamentações de proteção de dados pessoais aplicáveis.
3.3 Como Devemos Agir
Como empresa que fornece serviços de tecnologia, tratar dados faz parte da nossa essência. Assim, para que possamos realizar nossas atividades com segurança e respeito à privacidade dos titulares, iniciamos este item esclarecendo três bases que devemos utilizar para conduzir nossas condutas:
Confidencialidade: Salvo se de outra forma especificado pelo seu gestor, trate todos os dados que você lidar na Inbazz como dados confidenciais. Mesmo dentro da empresa, existem dados que não precisam e não devem circular em outras áreas.
Integridade: Devemos ter a certeza de que os dados estão corretos e foram informados e registrados pela pessoa certa. O erro em alguma informação que lidamos pode gerar consequências graves.
Disponibilidade: Os dados que tratamos devem estar disponíveis sempre que precisarmos. Os dados da Inbazz devem ser registrados e armazenamos no local correto, sempre disponíveis para acesso.
Todo tratamento de dados pessoais realizado pela Inbazz ocorre em acordo com a LGPD, o que significa que todos os dados tratados foram avaliados e possuem uma forma e finalidade específica.
Neste sentido, toda coleta, transferência, exclusão e qualquer outra forma de tratamento deve ser realizada somente conforme e nos limites do indicado pela sua gestão. Isto significa, por exemplo, que não devem ser encaminhadas informações por aplicações não autorizadas pela empresa, compartilhadas informações nas redes sociais sobre dados pessoais relacionados à sua atividade na Inbazz, ou mesmo para seus parentes ou cônjuge.
Privacidade e proteção de dados pessoais é um tema que está em constante evolução no Brasil, muitas questões têm sido esclarecidas aos poucos pela ANPD. Para que a Inbazz permaneça aderente às leis de privacidade, é importante que suas práticas sejam constantemente reavaliadas e aprimoradas.
Assim como a tecnologia que operamos, nossas práticas e procedimentos evoluem a cada dia e contamos com todos para que possamos progredir juntos. Todas as sugestões e preocupações são bem-vindas e podem ser comunicadas diretamente à sua gestão ou ao Encarregado de Proteção de Dados, fique à vontade para compartilhar suas opiniões e saiba que elas são muito importantes para nós.
É importante seguir todas as orientações desta e das outras políticas estabelecidas pela Inbazz. A Dúvida nunca é uma opção, caso ela exista, procure sua gestão direta ou o Encarregado de Proteção de Dados, e nunca tome uma decisão com incerteza se isto poderá ou não violar esta Política.
Em alguns casos, é possível que você seja confrontado ou confrontada por um usuário da plataforma ou cliente para cumprir com os direitos previstos na LGPD. Nestes casos, lembre-se: nem sempre a pessoa é quem realmente diz ser, atividades desse tipo somente podem ser executadas após devidamente documentadas e aprovadas pelo Encarregado de Proteção de Dados.
3.4 O Que Não Deve Ser Feito
Durante o exercício de nossas atividades na Inbazz, devemos sempre ter em mente sobre o tipo de informação que estamos lidando. A indiferença ou negligência em relação à privacidade ou às práticas de segurança estabelecidas pela Inbazz podem ser o elemento chave para um incidente que pode representar mais que uma perda financeira.
Esperamos que as regras e orientações informadas nesta Política sejam fielmente seguidas por todos nós. Qualquer ação ou omissão que seja contrária a elas configuram uma grave falha no dever profissional e violação a esta Política. Conforme a gravidade da violação, a Inbazz poderá notificar as autoridades competentes e tomar as providências cabíveis.
Papéis e Responsabilidades
4.1 Equipe de Privacidade
Composição: A Equipe de Privacidade da Inbazz é composta por 3 (três) membros, o Encarregado de Proteção de Dados Pessoais (DPO), e 1 (um) assistente: Daniel Barcelos Sattler, Tech Lead.
Responsabilidades. São responsabilidades da Equipe de Privacidade:
Analisar, revisar e aprovar políticas e normas relacionadas à proteção de dados pessoais;
Garantir a disponibilidade dos recursos necessários para uma efetiva gestão da proteção de dados pessoais;
Garantir que o tratamento de dados pessoais seja realizado em conformidade com esta Política e a legislação vigente;
Promover a divulgação desta Política e tomar as ações necessárias para disseminar uma cultura de proteção de dados pessoais no ambiente corporativo da Inbazz.
4.2 Encarregado de Proteção de Dados (DPO)
Atribuição: O Encarregado de Proteção de Dados Pessoais da Inbazz é o Sr. Matheus Altoé Borges.
Responsabilidades. São responsabilidades da Equipe do DPO:
Aceitar reclamações e comunicações dos titulares de dados pessoais, prestar esclarecimentos e adotar as providências necessárias;
Receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar as providências necessárias;
Orientar os Colaboradores da Inbazz em questões que envolvam a proteção de dados pessoais;
Atender as demais atribuições, conforme orientação da Autoridade Nacional de Proteção de Dados (ANPD), definidas em normas complementares publicadas pela referida autarquia;
Apoiar a Equipe de Privacidade em suas deliberações;
Apoiar a Equipe de Segurança da Informação no ajuste das normas e procedimentos de segurança da informação necessários para se fazer cumprir esta Política;
Identificar e avaliar as principais ameaças à proteção de dados, bem como propor e, quando aprovado, apoiar a implantação de medidas corretivas para reduzir os riscos;
Tomar as ações cabíveis para se fazer cumprir os termos desta Política;
Apoiar na gestão das violações de dados pessoais, garantindo tratamento adequado e comunicando, em prazo razoável, a autoridade nacional e titulares afetados pela violação sempre que esta representar risco ou dano relevante aos titulares, conforme previsto na Política de Resposta a Incidentes da Inbazz.
4.3 Equipe de Segurança da Informação
Composição: A Equipe de Segurança da Informação da Inbazz é composta por 3 (três) membros, o Encarregado de Proteção de Dados Pessoais (DPO), e 1 (um) assistente Daniel Barcelos Sattler, Tech Lead.
Responsabilidades. Em acordo com o previsto na Política de Segurança da Informação, são responsabilidades da Equipe de Segurança da Informação:
Garantir que políticas, normas e procedimentos de Segurança da Informação sejam ajustados de forma a atender os requisitos da Política Geral de Privacidade;
Adotar medidas de segurança, tanto técnicas quanto administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme padrões mínimos recomendados pela Autoridade Nacional de Proteção de Dados Pessoais.
Realizar o tratamento de incidentes de Segurança da Informação, garantindo sua detecção, contenção, eliminação e recuperação dentro de um prazo razoável, conforme a Política de Resposta a Incidentes da Inbazz.
Apoiar o DPO na comunicação à ANPD e ao titular dos dados pessoais em casos de ocorrência de incidente de segurança que possam acarretar risco ou dano relevante aos titulares.
Direitos dos Titulares
5.1 Direitos de Privacidade e Proteção de Dados Pessoais
Cada pessoa natural, enquanto titular de dados pessoais, possui direitos sobre seus dados. Abaixo, apresentamos os previstos na LGPD:
Obter o acesso aos seus dados que estão sendo tratados;
Anonimizar, bloquear ou eliminar seus dados pessoais, quando desnecessários, excessivos ou tratados em desconformidade.
Obter a confirmação do tratamento.
Corrigir seus dados pessoais que estejam incompletos, inexatos ou desatualizados.
Ser informado sobre com quais entidades públicas ou privadas é realizado o tratamento de seus dados pessoais.
Opor ao tratamento realizado, nas hipóteses de descumprimento da LGPD.
Migrar seus dados pessoais para outro fornecedor de serviço, ou até mesmo de produto, de acordo com a regulamentação da ANPD.
Solicitar a revisão das decisões tomadas unicamente com base em tratamento automatizado, que afetem os seus interesses como titular.
Ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
Revogar o seu consentimento a qualquer momento mediante manifestação expressa, por procedimento gratuito e facilitado.
Os titulares possuem direitos, mas precisa ser seguido um procedimento correto para cumpri-los. Qualquer direito de titular precisa ser previamente avaliado e aprovado pelo Encarregado de Proteção de Dados.
Além disso, todas as provas de interação, como e-mail, mensagem de WhatsApp e outras similares devem ser preservadas. Assim, um simples pedido de exclusão de dados com base na LGPD não deve ser motivo para que se apague algo antes de contatar o DPO da Inbazz para receber a instrução adequada.
Comunicação de Incidente
6.1 Reporte de Incidente
Caso constate ou suspeite que tenha ocorrido algum incidente que envolva dados pessoais, como vazamentos, perda de dados, alteração indevida ou qualquer outra circunstância relacionada a dados pessoais que coloque em risco o titular dos dados ou a operação da Inbazz, siga as instruções contidas em nossa Política de Resposta a Incidentes.
Qualquer incidente ou suspeita de incidente deve ser tratado com extrema confidencialidade e não deve ser realizada qualquer comunicação sobre o fato. Caberá ao Encarregado tomar as medidas necessárias junto aos Administradores da Inbazz. Qualquer ação diversa, por mais que bem-intencionada, pode agravar a situação.
Capacitação profissional
7.1 Treinamento e Capacitação
A capacitação profissional em Privacidade e Proteção de Dados Pessoais será promovida anualmente pela Inbazz e em caráter obrigatório para todos os Colaboradores.
Atualizações
8.1 Atualização e Modificação
Esta Política será atualizada mediante aprovação dos Administradores da Inbazz e se tornará válida a partir do momento em que for disponibilizada em nossa nuvem de dados, com notificação nos canais oficiais de comunicação.
Pequenos ajustes nesta Política podem ocorrer sem afetar significativamente as suas disposições, não sendo necessária qualquer notificação. Esta Política permanecerá disponível para consulta na nuvem da Inbazz.
Documentação relacionada
9.1 Documentos Relacionados
Outros documentos devem ser lidos e interpretados em conjunto com esta Política. Você pode acessá-los pelos links abaixo:
Política de Segurança da Informação;
Política de Resposta a Incidentes;
Aviso de Privacidade.
Disposições Gerais
A pessoa que violar esta Política deverá indenizar a Inbazz por todas as perdas e danos suportados pela Inbazz em razão de sua violação.
Política de Segurança da Informação;
Política de Resposta a Incidentes;
Aviso de Privacidade.
