POLÍTICA DE PRIVACIDADE RGK4IT

 

DOCUMENTOS DE REFERÊNCIA

·         ABNT NBR ISO/IEC 27701:2019;

·         Lei Geral de Proteção de Dados (Lei 13.709/2018);

·         Política de Segurança da Informação.

 

IDENTIFICAÇÃO DO CONTROLADOR E ABRANGÊNCIA

 A RGK4IT e suas controladas[1] esclarece que a presente política de privacidade se aplica a todas as informações pessoais coletadas por nossos sistemas e colaboradores, seja off-line ou on-line e tem por objetivo trazer transparência ao titular de dados de como tratamos os dados pessoais dentro da Organização, respeitando seus direitos e as obrigações legais previstas na Lei 13.709/2018 – LGPD. 

 TERMOS E DEFINIÇÕES

·         Cookies:  um pequeno fragmento de dados que nosso site armazena em seu navegador e que contém algumas informações sobre você, como sua preferência de idioma ou informações de login. Em uma nova visita, seu navegador nos envia este fragmento de volta para podermos fornecer uma experiência de navegação mais personalizada;

 

·         Titular de Dados: as pessoas físicas cujos dados pessoais tratados;

 

·         Dados Pessoais: informações fornecidas e/ou coletadas pela Organização, que identificam, ou seja, capaz de identificar uma pessoa natural;

 

·         Finalidade: é o propósito legítimo para o qual a Organização coleta e trata os dados pessoais;

 

·         Bases legais: fundamentação legal que torna legítimo e possível o tratamento de dados pessoais para as finalidades propostas pela organização. E a hipótese de tratamento de dados eleita pela Organização dentre as possíveis trazidas pela LGPD;

 

·         Consentimento: autorização expressa, específica e inequívoca dada pelo titular do dado pessoal para que a organização trate seus dados pessoais para as finalidades previamente descritas, com base legal elencada;

 

·         Controlador: aquele a quem compete as decisões referentes ao tratamento dos dados pessoais;

 

·         Operador: aquele que efetua o tratamento dos dados pessoais em nome do controlador;

 

·         Encarregado ou DPO: aquele que serve como canal de comunicação entre o controlador, os usuários e a Autoridade Nacional de Proteção de Dados – ANPD;

 

·         Tratamento: toda e qualquer ação, conduta ou operação realizada com os dados pessoais, como a coleta, utilização, transmissão, armazenamento etc;

 

·         Anonimização: uso de meios técnicos para fazer com que um dado pessoal perca a possibilidade de associação ou identificação a uma pessoa física;

 

·         Eliminação: exclusão definitiva e irrecuperável dos dados fornecidos;

 

·         Dado anonimizado:  dado pessoal ao qual não se pode mais identificar o titular. Não há reversibilidade na medida de anonimização tomada, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

 

·         Incidente de Segurança: evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de informação e privacidade levando a perda de um ou mais princípios básicos de Segurança da Informação e Privacidade: Confidencialidade, Integridade e Disponibilidade.

 

Exata Tecnologia da Informação Ltda, pessoa jurídica
de direito privado, inscrita no CNPJ nº 73.730.871/0001-34; e A Duarte Rogoski
Ltda, pessoa jurídica de direito privado, inscrita no CNPJ nº
34.037.597/0001-60.

POR QUE E COMO TRATAMOS DADOS PESSOAIS

 Tratamos dados pessoais por diversos motivos e finalidades. Na tabela a seguir são apresentadas as principais atividades de tratamento de dados pessoais de acordo com as principais finalidades, titulares afetados, hipóteses legais e categorias de dados pessoais tratados.

ORIGEM

DADOS

FINALIDADE

BASE LEGAL

Contratos de produtos e serviços 

Nome, e-mail, estado civil, RG ou CPF e endereço do representante legal da empresa

Diligências pré-contratuais e fechamento de novos contratos

Execução de contrato, exercício regular de direitos e obrigação legal

Suporte

Nome, e-mail e telefone do solicitante

Suporte aos clientes da Organização

Execução de contratos

Marketing e Endomarketing

Nome, e-mail, telefone, WhatsApp e imagens. Coletados principalmente pelo site, landing page e eventos internos e externos, na maioria das vezes tratados por meio da plataforma RD Station e Odoo

Prospecção de novos clientes e divulgação de eventos internos e externos da Organização

Consentimento

Recursos Humanos

Dados de admissão e desligamento, perfil do candidato, foto, dados bancários, geolocalização, testes de aptidão técnica, dados para benefício, etc

Admissão, desligamento, pagamentos de salários e férias, benefícios, controle de jornada

Execução de contrato, obrigação legal, prevenção à fraude, interesses legítimos e consentimento

  COMPARTILHAMENTO DE DADOS

 A depender da finalidade para qual o dado pessoal é tratado, compartilhamos o mesmo com nossos parceiros de negócios – operadores de dados, todos comprometidos através de contratos firmados a cumprir as exigências da Lei Geral de Proteção de Dados e da presente política.

Para melhor compreensão, destacamos os conceitos trazidos pela LGPD, a respeito:

  • Controlador: a quem compete as decisões referentes ao Tratamento de Dados Pessoais, especialmente relativas às finalidades e aos meios de tratamento;
  • Operador: pessoa jurídica ou física, distinta do controlador, que trata Dados Pessoais de acordo com as instruções do Controlador. No caso do tratamento de dados com foco nos serviços de data center e armazenamento de dados a RGK4IT é operadora de dados, seguindo as instruções de seus clientes no tratamento destas informações, garantindo a segurança e confidencialidade desses, conforme previsão contratual.  Os operadores são, em resumo, terceirizados contratados pelo Controlador.

Em alguns casos a RGK4IT também possui seus operadores, com os quais faz o compartilhamento de dados, são esses:

·         Instituições financeiras, para processamento de pagamentos;

·         Convênios de benefícios como: Caju, DentalUni, Unimed, Santa Casa, Gympass, entre outros;

·         Parceiros comerciais para oferecimento de soluções de tecnologia como Cisco, KAPERSKY, Microsoft, entre outros;

·         Autoridades públicas: temos de cumprir a lei. Assim, existem leis que nos obrigam ao compartilhamento de determinados dados com autoridades públicas, como a Receita Federal, INSS, o portal do E-Social, Polícia Federal, por exemplo. Além da possibilidade de uma autoridade fiscalizatória ou judicial nos exigir compartilhamento de determinados dados pessoais para, por exemplo, uma investigação criminal;

·         Comunicação interna e externa: provedores de e-mail, SharePoint, Webex, celulares e notebooks corporativos.

A solução de acesso remoto que utilizamos para dar suporte aos nossos clientes é o TeamViewer, que possui padrões de criptografia e segurança no transporte dos dados, bem como faz-se necessário o consentimento expresso do cliente que faz o compartilhamento das credenciais necessárias para o acesso das informações.

Em relação à forma como os dados são tratados pelas entidades acima elencadas, recomendamos a consulta às páginas institucionais dessas organizações para obter mais informações sobre suas políticas de segurança da informação e avisos de privacidade.

TRANSFERÊNCIA INTERNACIONAL DE DADOS

 Os dados armazenados em nossos servidores encontram-se localizados no Brasil, não havendo, portanto, transferência internacional de dados pessoais.

PERÍODO DE RETENÇÃO

 Nós manteremos o tratamento dos dados pessoais somente enquanto perdurar a finalidade declarada, por uma obrigação legal ou regulamentar, para o exercício regular de direito (em caso de defesas judiciais, administrativas ou em processo arbitral), em nosso legítimo interesse, ou quando válido o consentimento dado, sendo resguardados sob a égide de nossos sistemas de segurança.

Ressaltamos que o período de retenção nos casos em que somos operadores dos dados é estabelecido pelo controlador, motivo pelo qual as requisições de direitos devem ser feitas em face dessa figura, pelos meios por eles disponibilizados.

 DIREITOS DOS TITULARES

 A Lei Geral de Proteção de Dados resguarda os seguintes direitos aos titulares dos dados pessoais junto ao controlador:

  • Obter a confirmação da existência do tratamento de dados;
  • Acesso aos dados tratados;
  • Correção e atualização do dado;
  • Anonimização, bloqueio ou eliminação dos dados desnecessários;
  • Portabilidade dos dados a outro fornecedor;
  • Revogação do próprio consentimento;
  • Informação sobre o compartilhamento dos seus dados;
  • Informação sobre o não consentimento e suas consequências;
  • Eliminação dos dados pessoais tratados com o consentimento.

O Titular pode fazer as solicitações listadas acima entrando em contato com o nosso Encarregado de Tratamento de Dados por meio do e-mail [email protected] ou através de nosso formulário digital nos nossos sites, os quais serão respondidos em até 15 dias, conforme previsão legal.

 RESPONSABILIDADE

 Como controladores de seus dados, nós nos responsabilizamos por tratá-los na forma declarada nesta política, bem como nos termos da Lei Geral de Proteção de Dados, respondendo por toda e qualquer conduta contrária à LGPD realizada por nós ou por nossos operadores de dados, que resulte em danos ao titular de dados, desde que não causado por culpa do próprio titular ou de terceiros.

Todo e qualquer incidente de segurança será registrado e relatado, e caso necessário comunicado à ANPD e aos titulares de dados envolvidos com o Relatório de Impacto, a prestação de contas e a reparação pertinente, de acordo com o nosso Plano de Resposta e Avaliação de Incidentes de Segurança, aprovado, publicado e implementado.

Para nos ajudar a evitar tais incidentes, recomendamos a adoção de boas práticas de segurança em relação aos seus dados (como, por exemplo, não compartilhar senhas com terceiros), e caso você identifique ou tome conhecimento de algo que comprometa a segurança dos seus dados, por favor entre imediatamente em contato conosco por meio do nosso Encarregado (Data Protection Officer), cujos canais de contato se encontram abaixo.

 CANAL DE ACESSO

 A fim de requerer quaisquer dos direitos acima listados, como revisar, corrigir, atualizar, suprimir e apagar seus dados pessoais, sem qualquer custo, por favor, contatar o Encarregado de Proteção de Dados.

 VIGÊNCIA E ATUALIZAÇÕES

 Nós podemos modificar esta Política de Privacidade a qualquer momento. Quaisquer alterações a esta Política de Privacidade se tornarão vigentes quando publicarmos a Política de Privacidade revisada em nosso site. Alterações de caráter substancial que tenham maior impacto serão comunicadas.

 E se, após a leitura de nossa Política de Privacidade, restou alguma dúvida.

Não hesite em nos contatar! Se, por alguma razão, você não concordar com a forma que utilizamos seus dados pessoais, você pode utilizar o canal de comunicação que indicamos na seção “Direito do titular de dados pessoais” ou entrar em contato diretamente com o nosso Encarregado de tratamento de dados pessoais, por meio do canal de contato [email protected]

A Política de Privacidade da RGK4IT foi revisada e entoou em vigor no dia 16 de SETEMBRO de 2024.

 

RGK4IT PRIVACY POLICY (EN-US)

REFERENCE DOCUMENTS

·         ABNT NBR ISO/IEC 27701:2019;

·         General Data Protection Law (Law 13.709/2018);

·         Information Security Policy.

 

IDENTIFICATION OF THE CONTROLLER AND SCOPE

 

RGK4IT and its subsidiaries[1] clarify that this privacy policy applies to all personal information collected by our systems and employees, whether offline or online, and aims to bring transparency to the data subject on how we treat personal data within the Organization, respecting their rights and the legal obligations provided for in Law 13.709/2018 – LGPD.

 

TERMS AND DEFINITIONS

 

·         Cookies: a small piece of data that our website stores in your browser and which contains some information about you, such as your language preference or login information. On a new visit, your browser sends this fragment back to us so that we can provide you with a more personalized browsing experience;

·         Data Subject: the natural persons whose personal data is processed;

·         Personal Data: information provided and/or collected by the Organization that identifies, i.e. is capable of identifying, a natural person;

·         Purpose: the legitimate purpose for which the Organization collects and processes personal data;

·         Legal bases: legal grounds that make the processing of personal data legitimate and possible for the purposes proposed by the organization and the data processing hypothesis chosen by the organization from among the possible ones provided for by the LGPD;

·         Consent: express, specific and unequivocal authorization given by the holder of the personal data for the Organization to process their personal data for the purposes described above, based on the legal grounds listed;

·         Controller: the person responsible for decisions regarding the processing of personal data;

·         Operator: the person who processes personal data on behalf of the controller;

·         DPO: the person who serves as the communication channel between the controller, the users and the National Data Protection Authority (ANPD);

·         Processing: any action, conduct or operation carried out with personal data, such as collection, use, transmission, storage, etc;

·         Anonymization: the use of technical means to make personal data lose the possibility of association or identification with a natural person;

·         Deletion: definitive and irretrievable deletion of the data provided;

·         Anonymized data: personal data for which the data subject can no longer be identified. There is no reversibility in the anonymization measure taken, considering the use of reasonable and available technical means at the time of its processing;

·         Security Incident: adverse event, confirmed or under suspicion, related to the security of information systems and privacy leading to the loss of one or more basic principles of Information Security and Privacy: Confidentiality, Integrity and Availability.

 

WHY AND HOW WE PROCESS PERSONAL DATA

 

We process personal data for various reasons and purposes. The following table shows the main personal data processing activities according to the main purposes, data subjects affected, legal hypotheses and categories of personal data processed.

ORIGIN

DATA

PURPOSE

LEGAL BASIS

Product and service contracts

Name, e-mail, marital status, ID or CPF and address of the company’s legal representative

Pre-contractual due diligence and closing new contracts

Performance of contract, regular exercise of rights and legal obligation

Support

Applicant’s name, e-mail address and telephone number

Support for the organization’s clients

Execution of contracts

Marketing and Endomarketing

Name, e-mail, telephone, WhatsApp and images. Collected mainly through the website, landing page and internal and external events, most often processed through the platform RD Station and Odoo

Prospecting for new clients and publicizing the organization’s internal and external events

Consent

Human Resources

Admission and dismissal data, candidate profile, photo, bank details, geolocation, technical aptitude tests, benefit data, etc

Admission, dismissal, salary and vacation payments, benefits, working hours control

Performance of contract, legal obligation, fraud prevention, legitimate interests and consent

 

DATA SHARING

 

Depending on the purpose for which the personal data is processed, we share it with our business partners – data operators, all of whom are committed through signed contracts to complying with the requirements of the General Data Protection Act and this policy.

For a better understanding, we highlight the concepts introduced by the LGPD in this regard:

·         Controller: the person responsible for decisions relating to the Processing of Personal Data, especially with regard to the purposes and means of processing;

·         Operator: a legal or natural person, other than the controller, who processes Personal Data in accordance with the Controller’s instructions. In the case of data processing focused on data center services and data storage, RGK4IT is a data operator, following the instructions of its clients in the processing of this information, guaranteeing its security and confidentiality, in accordance with contractual provisions. The operators are, in short, third-party contractors hired by the Controller.

 

In some cases, RGK4IT also has its own operators, with whom it shares data:

·         Financial institutions, for payment processing;

·         Benefit agreements such as: Caju, DentalUni, Unimed, Santa Casa, Gympass, among others;

·         Commercial partners to offer technology solutions such as Cisco, Kaspersky, Microsoft, among others;

·         Public authorities: we must comply with the law. Thus, there are laws that oblige us to share certain data with public authorities, such as the Internal Revenue Service, INSS, the E-Social Portal, the Federal Police, for example. There is also the possibility of a supervisory or judicial authority requiring us to share certain personal data for, for example, a criminal investigation;

·         Internal and external communication: e-mail providers, SharePoint, Webex, cell phones and corporate notebooks.

 

The remote access solution we use to support our clients is TeamViewer, which has encryption and security standards for data transportation, as well as the express consent of the client who shares the credentials needed to access the information.

Regarding how data is handled by the entities listed above, we recommend that you consult the institutional pages of these organizations for more information on their information security policies and privacy notices.

 

INTERNATIONAL DATA TRANSFER

 

The data stored on our servers is in Brazil, so there is no international transfer of personal data.

 

RETENTION PERIOD

 

We will only process personal data for the duration of the stated purpose, for a legal or regulatory obligation, for the regular exercise of a right (in the case of judicial, administrative or arbitration defenses), in our legitimate interest, or when the consent given is valid, being protected under the aegis of our security systems.

We would like to point out that the retention period in cases where we are the operators of the data is established by the controller, which is why requests for rights must be made to this figure, by the means provided by them.

 

OWNERS’ RIGHT

The General Data Protection Law protects the following rights for the holders of personal data with the controller:

·         Obtain confirmation of the existence of the data processing;

·         Access to processed data;

·         Correction and updating of data;

·         Anonymization, blocking or deletion of unnecessary data;

·         Data portability to another provider;

·         Revocation of consent;

·         Information on sharing your data;

·         Information on non-consent and its consequences;

·         Deletion of personal data processed with consent.

 

The Data Subject can make the requests listed above by contacting our Data Controller via e-mail at [email protected] or through our digital form on our websites, which will be answered within 15 days, in accordance with the law.

 

RESPONSIBILITY

 

As the controller of your data, we are responsible for treating it in the manner stated in this policy, as well as in the terms of the General Data Protection Law, and we are liable for any and all conduct contrary to the LGPD carried out by us or by our data operators, which results in damage to the data subject, provided that it is not caused by the fault of the data subject or third parties.

Any and all security incidents will be recorded and reported, and if necessary, communicated to the ANPD and the data subjects involved with the relevant Impact Report, accountability and remediation, in accordance with our approved, published and implemented Security Incident Response and Assessment Plan.

To help us avoid such incidents, we recommend that you adopt good security practices regarding your data (such as not sharing passwords with third parties), and if you identify or become aware of anything that compromises the security of your data, please contact us immediately via our Data Protection Officer, whose contact channels are listed below.

 

ACCESS CHANNEL

 

To request any of the rights listed above, such as reviewing, correcting, updating, deleting or erasing your personal data, free of charge, please contact the Data Protection Officer.

 

·         Núbia Carolina B. da Silva

·         E-mail: [email protected]

VALIDITY AND UPDATES

We may modify this Privacy Policy at any time. Any changes to this Privacy Policy will become effective when we post the revised Privacy Policy on our website. Changes of a substantial nature that have a greater impact will be communicated.


And if, after reading our Privacy Policy, you still have any questions…

Don’t hesitate to contact us! If, for any reason, you do not agree with the way we use your personal data, you can use the communication channel indicated in the section “Right of the holder of personal data” or contact our Data Processing Officer directly through the contact channel [email protected]

RGK4IT’s Privacy Policy was revised and entered into force on September 16, 2024.