POLÍTICA DE PRIVACIDADE
1. Apresentação
A Digifred Sistemas de Informação é uma empresa especializada em softwares para a Gestão Pública e com mais de três décadas de atuação, que tem o propósito de contribuir com a inovação tecnológica da gestão pública, tornando-a mais eficiente e, a partir disso, promover benefícios para a população. Através da tecnologia, da transformação digital personalizada e de atendimento qualificado, oferecemos soluções para a gestão pública, buscando sempre entregar um serviço próximo e de qualidade.
Para guiar nossas ações diárias, contamos com valores que moldam a maneira como interagimos com nossos clientes, colaboradores, prestadores de serviço terceirizados e demais stakeholders, contribuindo para nosso sucesso e crescimento a longo prazo. São eles:
• Fidelização, comprometimento e confiança: Temos o compromisso de construir relações duradouras com nossos clientes para apoiá-los de forma transparente e segura no alcance dos seus objetivos.
• Empatia, respeito e persistência: entendemos as necessidades e preocupações dos clientes, agimos com respeito e temos persistência para superar dificuldades para alcançar os objetivos.
• Funcionalidade, solução, inovação e eficiência: nossos produtos e serviços atendem às necessidades dos clientes, para os quais desenvolvemos e entregamos soluções adequadas, inovadoras e eficientes.
Desta forma, para que seja possível oferecermos nossos serviços em sites, aplicativos ou redes sociais, é necessária a coleta de alguns dados e informações dos usuários. Esses dados são tratados de forma responsável e transparente em ambiente seguro e protegido, priorizando a proteção dos direitos individuais e a privacidade dos titulares.
Neste sentido, a presente política de privacidade tem o objetivo de apresentar os aspectos relacionados à privacidade e proteção de dados conforme previstos na Lei Geral de Proteção de Dados. Este documento define os destinatários da política, elenca dados tratados, finalidades e hipóteses legais de tratamento respectivas e tempo de tratamento.
1.1 A quem se aplica esta política
No âmbito da aplicabilidade da Lei Geral de Proteção de Dados, esta política de privacidade se aplica a todos os agentes de tratamento de dados, sejam controladores, co-controladores, operadores, usuários, clientes, funcionários, colaboradores, prestadores de serviço terceirizados, demais fornecedores e parceiros da Digifred.
2. Quais dados são coletados
De acordo com a Lei Geral de Proteção de Dados (LGPD) do Brasil, dados pessoais são definidos como informações relacionadas a uma pessoa natural identificada ou identificável. Em outras palavras, são informações que podem, direta ou indiretamente, identificar um indivíduo.
Abaixo seguem os dados pessoais tratados, bem como suas respectivas finalidades:
• Website: Nome completo, RG, CPF, data de nascimento, sexo, e-mail, telefone e endereço.
• Aplicativos: Nome completo, RG, CPF, endereço, email, filiação, dados demográficos, dados referentes à saúde dos titulares de dados pessoais, tais como altura, peso e outros, dados referentes à educação do usuário, como grau de escolaridade, frequência e desempenho escolar, entre outros.
3. Com que finalidade os dados são coletados
Os dados pessoais são utilizados para prestar adequadamente os serviços oferecidos aos clientes, podendo ser utilizados para as seguintes finalidades:
• Prestar os serviços aos clientes da empresa;
• Identificar corretamente os usuários;
• Entregar e manter os produtos implantados nos clientes;
• Entrar em contato com os clientes, colaboradores, terceiros e demais interessados relacionados aos negócios da empresa;
• Auxiliar no diagnóstico e na resolução de problemas técnicos;
• Desenvolver novas funcionalidades, melhorias e correções nos produtos da empresa;
• Exibir anúncios personalizados;
• Criar perfis dos titulares de dados pessoais;
• Enviar mensagens sobre produtos e serviços da empresa;
• Analisar dados, análise de tráfego e análise de segurança;
• Realizar consultas, pesquisas e investigações para prevenção e combate a ilícitos, fraudes, crimes financeiros. crimes financeiros, crimes de lavagem de dinheiro ou de financiamento ao terrorismo, e crimes contra a administração pública;
• Cumprir obrigação legal ou regulatória;
• Executar contratos ou procedimentos preliminares relacionados a contratos dos quais seja parte o titular, a pedido do titular dos dados;
• Praticar o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
• Proteger a vida ou a incolumidade física do titular ou de terceiro;
• Atender, quando necessário, aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecer direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
• Proteger o crédito, inclusive quanto ao disposto na legislação pertinente;
• Executar demais atividades de legítimo interesse do agente de tratamento de dados.
4. Com quem compartilhamos os dados pessoais
Para que a Digifred execute suas atividades de acordo com as finalidades de tratamento de dados descritas nesta política, é possível que aconteça o compartilhamento de dados pessoais com terceiros, como prestadores de serviço, parceiros, autoridades públicas e órgãos reguladores, conforme abaixo:
• Prestadores de serviços e parceiros: nossa empresa contrata prestadores de serviços para executar funções específicas, como serviços contábeis, serviços de publicidade, planos de assistência à saúde dos colaboradores, etc. Nestes casos, o compartilhamento de dados pessoais é necessário para que esta prestação de serviço seja feita de forma eficaz.
• Autoridades Públicas: em conformidade com a LGPD, podemos compartilhar dados pessoais com autoridades públicas. Isto pode incluir requisitos legais, como cumprimento de ordens judiciais ou atendimento a solicitações de investigações criminais. Além disso, em situações de ameaça à segurança pública ou nacional, as autoridades podem exigir informações para proteger o interesse coletivo.
• Órgão reguladores: Os órgãos reguladores desempenham um papel fundamental na manutenção da supervisão e da segurança em setores altamente regulamentados, como serviços financeiros, saúde, energia, telecomunicações e proteção de dados. Para cumprir o seu mandato, esses órgãos necessitam ter acesso às informações fornecidas sobre as operações e os processos das empresas sob sua supervisão. O compartilhamento de dados pessoais com órgãos reguladores é essencial para permitir que eles monitorem o cumprimento das leis e identifiquem áreas potenciais de não conformidade.
5. Como tratamos os dados pessoais
A Lei Geral de Proteção de Dados (LGPD) considera tratamento como "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração".
Os dados pessoais são tratados de forma segura em servidores localizados em território brasileiro. As medidas legais e técnicas aplicáveis ao caso são adotadas para garantir a privacidade e a proteção dos dados pessoais, buscando impedir acessos não autorizados, destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Para isto, mantemos nossos sistemas atualizados e treinamos nosso pessoal; usamos controles físicos e lógicos, com criptografia, mecanismos de autenticação e controle de acesso, emprego de múltiplos fatores de autenticação e senhas fortes para aumentar a segurança.
5.1 Por quanto tempo os dados pessoais são tratados
No caso de tratamento de dados com base no consentimento, os dados são tratados enquanto forem necessários para atingir a finalidade para a qual o consentimento foi obtido.
No caso de tratamento de dados com base em obrigação legal ou regulatória - quando lidar com dados pessoais é necessário para poder garantir o cumprimento de outras leis ou normativas - os dados são tratados de acordo com a legislação respectiva. Na área da saúde, por exemplo, prontuários médicos devem ser guardados por 20 anos conforme a Resolução CFM n° 1.821, de 11 de julho de 2007. Na retenção de documentos fiscais, o prazo é de 5 anos, conforme art. 195 do Código Tributário Nacional. Na área da educação, dados relativos ao estabelecimento de ensino e ao corpo discente são de manutenção permanente, e dados de gestão educacional, como por exemplo relativos a matrículas e notas, a guarda ocorre por no mínimo 5 anos.
No caso de tratamento de dados com base em outras hipóteses legais, tais como o legítimo interesse, os dados são tratados até que as finalidades para as quais foram coletados tenham sido atingidas.
6. Cookies e tecnologias de monitoramento
Os cookies são rastreadores utilizados com diversos fins: para manter as sessões de usuário, para coletar dados estatísticos de análise de tráfego e melhoria dos serviços, para prover funcionalidades avançadas durante o uso das tecnologias, e para viabilizar ações de publicidade e de marketing.
A coleta de dados por meio de cookies é uma prática comum, e esses dados podem ser classificados em diferentes tipos, como cookies de navegação (essenciais), de desempenho (coletam dados sobre o uso do site), de funcionalidade (lembram escolhas do usuário), de publicidade (criam perfis de interesse), de terceiros (configurados por outros sites), e de redes sociais (habilitam botões de compartilhamento e rastreiam atividade).
7. Consentimento
O consentimento do usuário é obtido mediante o seu aceite no banner de consentimento, que permite a escolha de quais são os cookies utilizados, se for o caso, e que cumpre o dever de informar para garantir transparência no tratamento de dados pessoais realizado nas outras hipóteses legais além da hipótese de consentimento.
8. Responsabilidade dos titulares de dados pessoais
O usuário assume total responsabilidade pela precisão das informações fornecidas durante o registro, estando ciente de que a inconsistência destes dados pode resultar na impossibilidade do acesso aos serviços.
O acesso por meio de login e senha é exclusivo ao usuário cadastrado, que deve observar as boas práticas de segurança da informação, proteção de dados e privacidade, e em especial, preservar o sigilo de sua senha, a qual é de natureza restrita, pessoal e intransferível. Em nenhuma circunstância, é admitida qualquer alegação de uso indevido após a senha ser compartilhada com terceiros.
Ainda, é de responsabilidade do usuário do serviço manter suas informações pessoais atualizadas e arcar com as implicações decorrentes de eventuais omissões ou erros nas informações pessoais registradas.
Não é permitido ao usuário utilizar o sistema com a intenção de burlar os controles, e esta prática é proibida pela legislação e pode resultar em infração criminal e atribuição de responsabilidade civil ao infrator.
9. Direitos dos titulares de dados pessoais
A Lei Geral de Proteção de Dados concede aos titulares diversos direitos, incluindo o de confirmar o uso de suas informações, acessar seus dados, corrigi-los, excluí-los, transferir informações para outros serviços, e ser informado sobre o compartilhamento de dados. A Lei também destaca a importância de informar os titulares sobre a recusa de consentimento e permite que eles revoguem esta permissão a qualquer momento.
Ainda de acordo com a LGPD, os usuários titulares dos dados podem exercer seus direitos por meio de:
I - confirmação da existência de tratamento;
II - acesso aos dados;
III - correção de dados incompletos, inexatos ou desatualizados;
IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na Lei;
V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
VI - eliminação dos dados pessoais tratados com o consentimento do titular;
VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX - revogação do consentimento.
9.1 Direito de petição
O direito de petição, em conformidade com a LGPD, permite que os titulares de dados pessoais façam solicitações ou pedidos às organizações que coletam seus dados, buscando informações, correções, exclusões ou outros pedidos relacionados ao tratamento de seus dados pessoais.
Para exercer este direito, inicialmente o titular fará a identificação do controlador, em nosso caso, a Digifred Sistemas de Informação Ltda. Após, irá redigir uma petição clara e completa, detalhando o pedido e especificando qual direito, conforme preceitua a LGPD.
Por fim, enviará a petição à Digifred, exclusivamente pelo e-mail dpo@digifred.com.br. Após receber o requerimento, a empresa avaliará o pedido e formulará a resposta, fornecendo a mesma sem custos ao titular.
10. Responsabilidades dos agentes de tratamento
Para dados do Website e do Portal do Cliente, a Digifred é controladora, e os agentes de tratamento Google e Atlassian são operadores; para dados dos aplicativos e demais sistemas desenvolvidos e fornecidos pela Digifred aos seus clientes, os Entes Públicos são os controladores e a Digifred é a operadora.
Nos casos em que a Digifred atua como operadora, ela o faz na condição de contratada do Ente Público, e assim a hipótese legal nesses casos é a execução de contrato. Nestes casos, a Digifred é responsável:
• pela gestão de identidades, visando ao controle de acesso aos dados;
• pela gestão de controle de acesso, permitindo auditorias;
• pela prestação de contas sobre as decisões automatizadas executadas por meio dos sistemas eletrônicos;
• pelo atendimento às requisições feitas pelos titulares de dados;
• por manter os sistemas e os ambientes tecnológicos atualizados e seguros conforme a legislação pertinente;
• por manter o ambiente físico em conformidade com as melhores práticas de segurança da informação;
• por treinar e conscientizar periodicamente os funcionários/colaboradores, parceiros e terceiros sobre as melhores práticas de segurança da informação, privacidade e proteção de dados;
• em relação ao suporte técnico: pela manutenção do sigilo dos dados, tratamento dos dados apenas conforme o contrato estabelecido, garantir a integridade dos dados;
• em relação aos sistemas instalados localmente, aos apps e à nuvem: pela garantia de correta implantação e orientação quanto aos requisitos técnicos respectivos, pela responsabilidade pelo armazenamento seguro, integridade, disponibilidade e confidencialidade; garantia do processamento de dados de forma correta, com exatidão; garantia da manutenção de ambiente seguro de armazenamento e processamento de dados; garantia de canal seguro de comunicação de dados;
• enquanto operadora, realizar o tratamento de dados pessoais de acordo com as instruções do controlador, obedecendo rigorosamente às especificações especificadas.
Responsabilidades dos Entes Públicos e demais clientes atendidos pela Digifred:
• a garantia da autenticidade dos dados e respectivo não-repúdio;
• a garantia do sigilo dos dados;
• a garantia da gestão de senhas;
• a orientação e conscientização dos usuários quanto às melhores práticas de privacidade, proteção de dados e segurança da informação, especialmente contra ataques de engenharia social e guarda segura de senhas;
• a garantia de gestão das tomadas de decisões quanto ao tratamento de dados enquanto controladora.
Responsabilidades dos Operadores:
• realizar o tratamento de dados pessoais de acordo com as instruções do controlador, obedecendo rigorosamente às especificações especificadas;
• implementar medidas de segurança específicas para proteger os dados pessoais sob sua responsabilidade, incluindo a prevenção de vazamentos, perdas ou acessos não autorizados;
• notificar imediatamente o controlador e, em alguns casos, as autoridades de proteção de dados, caso ocorra um incidente que possa afetar a segurança dos dados pessoais;
• excluir ou devolver os dados pessoais ao controlador quando o tratamento não for mais necessário, a menos que haja hipótese legal que autorize mantê-los;
• colaborar com o controlador e autoridades públicas em relação a auditorias, avaliações de impacto à proteção de dados e outras atividades relacionadas à conformidade com a LGPD.
Responsabilidades dos Funcionários e Colaboradores:
• implementar as orientações dadas em treinamentos e conscientizações sobre as políticas e procedimentos de proteção de dados da organização, bem como sobre as disposições da LGPD;
• cumprir as políticas internas de proteção de dados da organização;
• tomar medidas adequadas para proteger os dados pessoais aos quais têm acesso, incluindo a utilização de senhas seguras e a guarda de sigilo funcional quanto às informações tratadas;
• relatar possíveis incidentes ou violação de dados à equipe responsável, evitando afetar a privacidade das informações;
• manter sigilo quanto às medidas de segurança e às ações de gestão, bem como detalhes sobre incidentes de segurança, sendo vedado divulgar quaisquer detalhes a terceiros;
• colaborar com a equipe de proteção de dados e com as autoridades reguladoras, se necessário, para garantir o cumprimento das obrigações da LGPD.
As requisições sobre dados pessoais tratados pela Digifred, na condição de operadora sob conta e ordem dos Entes Públicos controladores de dados pessoais, devem ser respondidas pelo próprio Ente Público. A Digifred não tem a responsabilidade de responder a essas requisições, as quais são deveres do agente responsável pelos dados. Por exemplo, as requisições sobre dados pessoais de cidadãos de municípios (titulares de dados pessoais) que estiverem presentes em sistemas fornecidos pela Digifred, e que sejam utilizados pelos Entes Públicos, devem ser respondidas pelos respectivos Entes.
As referidas obrigações dos Entes Públicos incluem atender a requisições de acesso, retificação e exclusão de dados, quando feitas pelos titulares dos mesmos. O agente de tratamento de dados também deve considerar requisições de portabilidade, limitação e oposição ao processamento de dados em determinadas situações, além de estar pronta para lidar com reclamações e denúncias relacionadas à proteção de dados, investigando e tomando medidas quando necessário.
Além disso, o papel de controlador de dados pessoais pode variar entre o Ente Público e a Digifred, dependendo do contexto e das atividades envolvidas no tratamento. A Entidade Pública é frequentemente considerada a controladora quando determina como e por que os dados serão processados, geralmente para cumprir obrigações legais ou implementar políticas públicas, assim como para prestar serviços de gestão de saúde. Já a Digifred é considerada controladora ao determinar as especificidades e os meios de tratamento de dados pessoais para suas operações comerciais, como marketing e atendimento ao cliente, assim como para a gestão de pessoal e relacionamento com terceiros.
Os Entes Públicos e a Digifred também podem atuar como operadores de dados em algumas situações, como o processamento de dados pessoais em nome de terceiros - outras entidades ou clientes, no caso da Digifred. Independentemente da função de controlador ou operador, ambos têm obrigações legais para proteção de dados pessoais e devem cumprir as leis de proteção de dados no Brasil.
11. Portabilidade de dados pessoais
A portabilidade de dados pessoais permite que pessoas transfiram suas informações de um serviço ou plataforma para outro, podendo ocorrer nos seguintes casos:
• Troca de Fornecedores de Serviços: Em alguns casos, os usuários podem desejar transferir seus dados pessoais para trocar de provedor de serviços, como serviços de e-mail, armazenamento em nuvem ou serviços online.
• Exercício de Direitos do Titular: Os titulares de dados têm o direito de acessar seus próprios dados pessoais, retificá-los, excluí-los ou obtê-los em um formato estruturado. A portabilidade de dados pode ser uma maneira de exercer esses direitos, permitindo que os dados sejam transferidos para que o titular possa usá-los conforme desejado. A portabilidade de dados pode ser feita apenas nas hipóteses legais permitidas.
• Transição Profissional: Em cenários de transição de emprego ou atividade profissional, um indivíduo pode desejar obter seus dados pessoais armazenados pelo empregador ou contratante do trabalho anterior.
• Transferência de Dados Educacionais: Os estudantes podem solicitar a portabilidade de seus registros e informações educacionais ao mudar de escola ou instituição de ensino.
• Mudança de Plano de Saúde: Quando os segurados desejam mudar de plano de saúde, podem solicitar a transferência de suas informações médicas e de cobertura de saúde para outro agente de tratamento.
Em qualquer caso, apesar da possibilidade de implementar a portabilidade de dados, é possível a manutenção dos mesmos pelo agente controlador ou operador, na condição de que tais dados sejam anonimizados. Há, ainda, outras hipóteses legais previstas na LGPD que autorizam o tratamento de dados pessoais apesar de ser feita a portabilidade para outro agente de tratamento.
12. Usuários menores de 18 anos e dados pessoais sensíveis
O tratamento de dados de crianças e adolescentes, quando realizado, é feito com medidas de proteção de dados e privacidade.
Neste contexto, o tratamento de dados pessoais sensíveis e dados pessoais de menores é limitado somente ao necessário, sendo realizado para as finalidades de cada um dos sistemas respectivos fornecidos aos Entes Públicos, como por exemplo para apoio na prestação de serviços de gestão de saúde e educação, previdência social, assistência social, ou ainda para gestão de dependentes de colaboradores da Digifred em relação a planos de saúde, e para outras finalidades definidas pelo agente controlador.
Os dados pessoais sensíveis e os relacionados a menores de 18 anos são tratados com medidas de segurança e em geral são feitos com base em obrigação legal ou regulatória, tutela da saúde, execução de políticas públicas, legítimo interesse, execução de contratos e consentimento, este último obtido em cláusula destacada quando for o caso.
13. Atualizações da política de privacidade
As alterações na política de privacidade são cruciais para manter a confiança dos usuários, garantir a conformidade com a legislação de proteção de dados e proteger os direitos de privacidade. A Digifred está comprometida em acompanhar as novas regulamentações e as atividades incorporadas à prestação de serviços; portanto, podemos atualizar esta Política periodicamente.
Para acessar a versão mais recente, basta visitar nossa página regularmente e consultar nossa Política para se manter informado sobre quaisquer atualizações.
14. Dados de contato
Em caso de dúvidas ou reclamações relacionadas ao uso dos dados pessoais ou à presente Política de Privacidade, o Titular poderá entrar em contato por meio do seguinte canal:
Dados do controlador:
Nome Empresarial: Digifred Sistemas de Informação Ltda.
CNPJ: 88.659.974/0001-22
Endereço: Avenida Mauricio Cardoso, 806, Bairro Aparecida
CEP: 98400-000, Frederico Westphalen | RS
Canal de solicitações sobre proteção de dados pessoais e privacidade:
Contato: dpo@digifred.com.br