Skip to main content

Política de Gestão da Privacidade da Informação

 

1.      Introdução

A ARQDIGITAL LTDA, sociedade empresária limitada, inscrita no CNPJ nº 03.274.615/0001-02, com sede na Quadra SCN, Quadra 1, Bloco G, sala 1102 – Asa Norte, CEP 70711-070, Brasília/DF, doravante denominada “ARQDIGITAL”, reafirma seu compromisso com a proteção de dados pessoais e a preservação da privacidade em todas as suas operações. Esta Política de Privacidade e Proteção de Dados Pessoais (ou simplesmente “Política de Privacidade”) reflete nosso compromisso com a ética, a transparência e a segurança no tratamento de dados, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD), o Marco Civil da Internet (Lei nº 12.965/2014) e nossa Política de Segurança da Informação (PSI).

Em consonância com os princípios da LGPD, a ARQDIGITAL poderá atuar, conforme a natureza da relação estabelecida, como Controladora, Controladora Conjunta ou Operadora de dados pessoais:

  • Como Controladora, quando determina as finalidades e os meios de tratamento dos dados pessoais, inclusive na oferta de seus produtos, serviços e plataformas;
  • Como Controladora Conjunta, quando define em conjunto com outros agentes as decisões sobre o tratamento dos dados;
  • E como Operadora, quando realiza o tratamento de dados pessoais sob as orientações e determinações de terceiros, especialmente clientes, conforme estabelecido contratualmente.

Independentemente do papel exercido, a ARQDIGITAL assegura que os dados pessoais serão tratados com responsabilidade, segurança e em estrita conformidade com as bases legais aplicáveis, garantindo os direitos dos titulares.

2.      Objetivo

Estabelecer diretrizes para o tratamento adequado e responsável de dados pessoais, em conformidade com a legislação vigente, em especial a Lei Geral de Proteção de Dados Pessoais (LGPD); assegurar a proteção dos direitos dos titulares, o cumprimento das obrigações legais e a promoção da transparência, da responsabilidade e da confiança na gestão dessas informações, independentemente do meio em que estejam armazenadas ou tratadas — físico, digital, audiovisual ou qualquer outro.

3.      Âmbito

Esta política aplica-se a todos os dados pessoais tratados, abrangendo clientes, fornecedores, prestadores de serviços, parceiros de negócios, colaboradores e qualquer pessoa física cujas informações sejam processadas. Ela cobre todas as atividades de coleta, uso, armazenamento, compartilhamento e descarte de dados pessoais, realizadas de forma manual ou automatizada, em qualquer ambiente ou plataforma.

4.      Termos e Definições

Para os efeitos desta política, aplicam-se as seguintes definições:

Agentes de Tratamento: O Controlador e o Operador, responsáveis pelo tratamento de dados pessoais.

Anonimização: Processo irreversível, realizado por meio da utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, que elimina a possibilidade de associação, direta ou indireta, entre um dado pessoal e seu respectivo titular, tornando impossível sua reidentificação.

Autoridade Nacional de Proteção de Dados – ANPD: Órgão da administração pública direta federal do Brasil, vinculado à Presidência da República, responsável por zelar, implementar e fiscalizar o cumprimento da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD).

Banco de Dados: Conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

Base Legal: Fundamento jurídico que autoriza o tratamento de dados pessoais, conforme previsto pela LGPD.

Bloqueio: Suspensão temporária de qualquer operação de tratamento, mediante a guarda do dado pessoal ou do banco de dados.

Consentimento: Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Controlador Conjunto: Agentes de tratamento que, em conjunto, determinam as finalidades e os meios do tratamento de dados pessoais, compartilhando responsabilidades, obrigações e deveres relacionados à proteção dos dados e aos direitos dos titulares.

Cookies: Arquivos digitais armazenados pelo navegador no dispositivo do usuário durante a navegação na internet, que registram dados e informações sobre sessões, interações ou preferências vinculadas ao uso de sites, aplicativos e plataformas digitais.

Dado Anonimizado: Dado relativo ao titular que não possa ser identificado, direta ou indiretamente, considerando a utilização de meios técnicos razoáveis e disponíveis no momento do tratamento.

Dado Pessoal: Informação relacionada a uma pessoa natural identificada ou identificável, conforme definição da Lei nº 13.709/2018 (LGPD).

Dado Pessoal de Criança e de Adolescente: Dado pessoal relacionado a pessoa natural classificada como criança — até 12 anos incompletos — ou adolescente — entre 12 e 18 anos incompletos —, cujo tratamento está sujeito a requisitos específicos de proteção previstos na legislação aplicável.

Dado Pessoal Sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Data Mapping (Mapa de Dados): Processo de identificação, inventário e documentação estruturada dos dados sob controle da organização, que descreve como são coletados, classificados, armazenados, utilizados, compartilhados, transferidos e descartados, incluindo suas categorias, finalidades, bases legais, fluxos, sistemas e respectivos responsáveis, ao longo de todo o ciclo de vida dos dados.

Eliminação: Exclusão de dado ou conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

Encarregado de Proteção de Dados (DPO): Pessoa natural ou jurídica designada pela organização para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), além de orientar, monitorar e assegurar a conformidade das operações de tratamento de dados pessoais, garantindo o cumprimento das normas, das políticas internas e dos requisitos legais aplicáveis.

Endereço IP: Sequência numérica que identifica um dispositivo de rede na internet, sendo considerado um dado pessoal quando vinculado a um indivíduo específico.

Geolocalização: Dados que indicam a localização geográfica de um dispositivo ou indivíduo, obtidos por meio de tecnologias como GPS, redes móveis ou Wi-Fi.

Governança Corporativa: Sistema por meio do qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, abrangendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle, e demais partes interessadas.

Incidente de Segurança: Evento adverso, confirmado ou sob suspeita, que compromete a confidencialidade, integridade ou disponibilidade de dados pessoais.

LGPD (Lei Geral de Proteção de Dados Pessoais): Lei nº 13.709/2018, legislação brasileira que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica, de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural.

Livre Acesso: Garantia aos titulares de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

Marco Civil da Internet: Lei nº 12.965/2014, que estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil, regulando aspectos como privacidade, segurança e liberdade de expressão na rede.

Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Privacy by Default: Princípio que assegura que as configurações padrão de sistemas e serviços garantam a máxima proteção de dados, permitindo o mínimo tratamento de informações pessoais, a menos que o titular opte por alterá-las.

Privacy by Design: Abordagem que integra a proteção de dados e privacidade desde o início do desenvolvimento de processos, produtos e serviços, garantindo que a privacidade seja um componente fundamental em todas as fases.

Relatório de Impacto à Proteção de Dados Pessoais (RIPD): Documento elaborado pelo controlador que descreve as operações de tratamento de dados pessoais, avalia seus riscos — especialmente aqueles que possam afetar os direitos e liberdades fundamentais dos titulares —, incluindo situações envolvendo dados sensíveis ou transferência internacional, e apresenta as medidas técnicas, organizacionais e jurídicas adotadas para mitigação desses riscos.

Titular dos Dados ou Titular: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Tratamento de Dados: Toda operação realizada com dados pessoais, incluindo, mas não se limitando a, coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, compartilhamento, transferência, difusão ou extração.

Transferência Internacional de Dados: Transferência de dados pessoais ou corporativos para país estrangeiro, organismo internacional ou qualquer forma de acesso remoto realizado a partir de fora do território nacional.

Uso Compartilhado de Dados: Comunicação ou interconexão de dados pessoais entre entidades públicas e privadas.

Violação de Dados Pessoais: Incidente de segurança que resulta em danos à confidencialidade, integridade ou disponibilidade dos dados pessoais.

5.      Papéis e Responsabilidades

Esta seção estabelece os papéis assumidos pela organização no tratamento de dados pessoais, conforme definidos na legislação aplicável, bem como as responsabilidades atribuídas internamente para garantir o cumprimento da Política de Privacidade e das obrigações legais e contratuais.

As responsabilidades estão organizadas em dois grupos principais:

  • Responsabilidades Legais, decorrentes dos papéis que a organização pode assumir como Controladora, Controladora Conjunta e/ou Operadora, nos termos da LGPD e conforme a natureza das atividades desenvolvidas;
  • Responsabilidades Organizacionais, que detalham as obrigações transversais e específicas atribuídas a diferentes áreas, agentes ou funções internas da organização.

5.1 Responsabilidades Legais

5.1.1 Atuação como Controladora

Quando a organização atua como Controladora, ou seja, é responsável por tomar decisões sobre o tratamento de dados pessoais, deve cumprir as seguintes obrigações:

  1. Definir as finalidades e os meios do tratamento de dados pessoais;
  2. Nomear o Encarregado pelo tratamento de dados pessoais (DPO) e assegurar-lhe autonomia, recursos e condições adequadas para o exercício de suas atribuições legais, incluindo a elaboração de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD), quando aplicável;
  • Manter registros atualizados das operações de tratamento realizadas, conforme previsto na legislação;
  1. Realizar avaliações de risco e adotar salvaguardas proporcionais às operações de tratamento;
  2. Implementar e supervisionar medidas técnicas e organizacionais de segurança da informação adequadas, com foco na prevenção, detecção e resposta a incidentes;
  3. Comunicar à Autoridade Nacional de Proteção de Dados (ANPD), sempre que necessário, a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares, com a devida descrição da extensão, natureza e medidas adotadas;
  • Prevenir práticas discriminatórias, ilícitas ou abusivas no tratamento de dados pessoais;
  • Incluir cláusulas de proteção de dados pessoais nos contratos firmados com terceiros;
  1. Garantir o atendimento aos direitos dos titulares de dados pessoais, de forma clara, acessível, gratuita e dentro dos prazos legais;
  2. Assegurar a transparência das atividades de tratamento, por meio da disponibilização de informações claras e atualizadas sobre as operações realizadas.

5.1.2 Atuação como Controladora Conjunta

Quando a organização atua como Controladora Conjunta, compartilhando com outro(s) agente(s) a responsabilidade pelas decisões referentes ao tratamento de dados pessoais, deve observar as seguintes obrigações:

  1. Cumprir todas as obrigações aplicáveis à função de Controladora, no que couber ao contexto da corresponsabilidade;
  2. Formalizar, por meio de contrato ou instrumento equivalente, a definição das finalidades e dos meios de tratamento, as responsabilidades específicas de cada Controladora, as medidas de segurança adotadas e os procedimentos para atendimento aos direitos dos titulares;
  • Garantir transparência aos titulares de dados, informando de forma clara quem são os Controladores envolvidos, quais são suas respectivas atribuições e quais os canais disponíveis para contato e exercício de direitos;
  1. Coordenar ações conjuntas de governança e segurança da informação, incluindo a implementação de políticas, auditorias, medidas de proteção e respostas a incidentes de forma integrada;
  2. Estabelecer mecanismos de cooperação entre os Controladores para assegurar atendimento eficiente e tempestivo às solicitações dos titulares;
  3. Notificar a ANPD e os titulares de dados sobre incidentes de segurança que envolvam o tratamento conjunto, promovendo colaboração entre as partes para mitigação de riscos e cumprimento das obrigações legais;
  • Prevenir práticas ilegais, inconsistências ou divergências no tratamento conjunto, assegurando o alinhamento contínuo às exigências legais, contratuais e regulamentares.

5.1.3 Atuação como Operadora

Quando a organização atua como Operadora, ou seja, realiza o tratamento de dados pessoais em nome e sob as instruções de um Controlador, deve cumprir as seguintes obrigações:

  1. Tratar dados pessoais exclusivamente conforme as instruções documentadas do Controlador, abstendo-se de realizar qualquer operação fora do escopo autorizado;
  2. Adotar medidas técnicas e organizacionais apropriadas para garantir a segurança dos dados pessoais contra acessos não autorizados, vazamentos, perdas, alterações ou qualquer forma de tratamento inadequado ou ilícito;
  • Manter registros das atividades de tratamento realizadas em nome do Controlador, conforme exigido contratualmente ou pela legislação aplicável;
  1. Informar prontamente ao Controlador qualquer incidente de segurança que envolva dados pessoais, fornecendo as informações necessárias para a resposta e contenção do evento;
  2. Cumprir as orientações e determinações da ANPD quando diretamente aplicáveis à sua atuação;
  3. Garantir que contratos com suboperadores ou terceiros envolvidos na cadeia de tratamento estejam em conformidade com os requisitos legais e contratuais estabelecidos pelo Controlador;
  • Comunicar ao Controlador, de forma fundamentada, sempre que entender que uma instrução recebida possa violar disposições legais ou regulamentares aplicáveis, sugerindo alternativas para correção;
  • Disponibilizar ao Controlador informações suficientes para demonstrar conformidade com as obrigações legais e contratuais relativas à proteção de dados;
  1. Apoiar o Controlador no atendimento às solicitações dos titulares de dados pessoais, conforme as diretrizes contratuais e nos prazos legais;
  2. Prevenir práticas discriminatórias, ilícitas ou abusivas no tratamento de dados realizado sob sua responsabilidade.

5.1.4 Titulares dos Dados

  1. Informar dados pessoais corretos, completos e atualizados, comunicando prontamente qualquer alteração que possa impactar seu tratamento;
  2. Conhecer seus direitos previstos na LGPD e exercê-los de forma consciente, por meio dos canais oficiais disponibilizados pela organização;
  • Respeitar as políticas, termos e orientações aplicáveis à privacidade e proteção de dados.

5.2 Responsabilidades Organizacionais

5.2.1 Responsabilidades Gerais

Aplica-se a todas as áreas, unidades, lideranças e profissionais da organização, independentemente de seu nível hierárquico ou função. Parte dessas responsabilidades também pode ser estendida contratualmente a terceiros que tratem dados pessoais em nome da organização.

  1. Conhecer, respeitar e aplicar as políticas internas de privacidade, proteção de dados e segurança da informação;
  2. Tratar dados pessoais de forma ética e responsável, observando os princípios legais da finalidade, necessidade, adequação, segurança e boa-fé;
  • Zelar pela confidencialidade, integridade e disponibilidade dos dados pessoais acessados ou tratados no exercício de suas atividades;
  1. Abster-se de qualquer forma de uso indevido, desnecessário, excessivo ou não autorizado de dados pessoais;
  2. Comunicar de forma imediata ao Encarregado (DPO) ou à área competente qualquer incidente, suspeita de violação ou uso indevido de dados pessoais;
  3. Cooperar com o Encarregado (DPO), com os responsáveis por auditoria e com as equipes de segurança da informação, sempre que solicitado;
  • Participar de treinamentos e ações de conscientização sobre proteção de dados, segurança da informação e privacidade, conforme definidos pela organização;
  • Colaborar, sempre que demandado, com o atendimento aos direitos dos titulares e com atividades de auditoria ou revisão de conformidade.

5.2.2 Responsabilidades Específicas

A seguir, são descritas responsabilidades atribuídas a quem atua diretamente no tratamento de dados pessoais, sem se limitar os exemplos aqui apresentados.

  1. Alta Direção:
    1. Aprovar as políticas e diretrizes de privacidade e proteção de dados pessoais, garantindo seu alinhamento estratégico com os objetivos da organização;
    2. Assegurar a disponibilização de recursos técnicos, financeiros e humanos adequados para a implementação efetiva do programa de privacidade;
    3. Acompanhar relatórios e indicadores apresentados pelo Encarregado (DPO) e demais áreas responsáveis, promovendo a melhoria contínua;
    4. Demonstrar compromisso com a cultura de proteção de dados, promovendo o exemplo e o engajamento institucional em todos os níveis.
  2. Auditoria Interna:
    1. Realizar auditorias periódicas nos processos e controles relacionados ao tratamento de dados pessoais;
    2. Identificar riscos, falhas ou não conformidades e propor ações corretivas e preventivas;
    3. Avaliar a eficácia dos controles de segurança da informação e das práticas de proteção de dados;
    4. Apoiar o Encarregado (DPO) na elaboração de relatórios de conformidade e na avaliação da aderência aos requisitos legais e contratuais;
    5. Verificar o cumprimento de cláusulas contratuais relativas à proteção de dados por terceiros, fornecedores e parceiros, quando aplicável.
  • Colaboradores:
    1. Executar suas atividades de forma compatível com os princípios e diretrizes de privacidade e proteção de dados estabelecidos pela organização;
    2. Utilizar sistemas, ferramentas e recursos organizacionais de forma ética e segura, respeitando os limites de acesso e uso de dados pessoais;
    3. Zelar pela integridade e proteção das informações sob sua responsabilidade, inclusive em comunicações eletrônicas, documentos físicos e ambientes de trabalho compartilhados.
  1. Comitê do Sistema de Gestão Integrado (CSGI):
    1. Estabelecer e revisar diretrizes estratégicas relacionadas à proteção de dados e privacidade;
    2. Aprovar e acompanhar a elaboração de Relatórios de Impacto à Proteção de Dados Pessoais (RIPD), quando exigidos;
    3. Monitorar a eficácia das práticas de proteção de dados adotadas pela organização e propor melhorias contínuas;
    4. Promover a integração entre áreas, assegurando uma abordagem coordenada e transversal para a gestão de privacidade.
  2. Encarregado (DPO):
    1. De acordo com o parágrafo 2º do artigo 41 da LGPD, são responsabilidades legais do Encarregado (DPO):
      1. Aceitar reclamações e comunicações dos titulares de dados, prestar esclarecimentos e adotar providências necessárias;
      2. Receber comunicações da ANPD e adotar as providências pertinentes;
  • Orientar funcionários e contratados sobre as práticas recomendadas para a proteção de dados pessoais;
  1. Executar demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.
  1. Além disso, o DPO é responsável por:
    1. Atuar como canal de comunicação entre os titulares de dados e a organização;
    2. Garantir o tratamento adequado e tempestivo das solicitações de exercício de direitos dos titulares;
  • Manter interação contínua com a ANPD, sempre que aplicável;
  1. Apoiar e monitorar as áreas da organização quanto ao cumprimento das normas internas e obrigações legais em privacidade;
  2. Participar de reuniões com áreas internas e prestar suporte técnico e jurídico sobre temas de proteção de dados, quando solicitado;
  3. Manter o Comitê do Sistema de Gestão Integrado (CSGI) informado sobre os aspectos relevantes da gestão de privacidade e proteção de dados;
  • Acompanhar a atualização das políticas, normas e procedimentos relacionados à proteção de dados;
  • Coordenar auditorias internas e apoiar auditorias externas relativas à privacidade e segurança da informação;
  1. Revisar e aprovar os registros das atividades de tratamento de dados pessoais;
  2. Monitorar, acompanhar e registrar a tratativa de incidentes de privacidade e segurança;
  3. Avaliar riscos associados às operações de tratamento e propor medidas preventivas ou corretivas;
  • Acompanhar o cumprimento das cláusulas contratuais de proteção de dados por parte de terceiros;
  • Promover a cultura de privacidade e proteção de dados na organização, por meio de ações de sensibilização, capacitação e orientação;
  • Manter-se atualizado quanto às legislações, regulamentações e boas práticas nacionais e internacionais em privacidade;
  1. Avaliar fatores internos e externos que impactem o desempenho do programa de privacidade da organização.
  1. Equipe de Tecnologia da Informação (TSI):
    1. Projetar e manter sistemas, aplicações e soluções tecnológicas alinhadas às políticas internas de privacidade e aos requisitos legais aplicáveis;
    2. Adotar medidas técnicas robustas para proteger dados pessoais, incluindo controle de acesso, criptografia, backups, rastreabilidade de operações e segregação de ambientes;
    3. Definir e revisar periodicamente os padrões de segurança aplicáveis aos sistemas que realizam tratamento de dados, com base nos princípios de minimização, necessidade, proporcionalidade e segurança desde a concepção (Privacy by Design);
    4. Monitorar continuamente os ambientes tecnológicos para detectar vulnerabilidades, tentativas de acesso indevido e demais riscos que possam comprometer a confidencialidade, integridade e disponibilidade das informações;
    5. Atuar de forma ágil na investigação, contenção, notificação e correção de incidentes de segurança envolvendo dados pessoais, em articulação com o Encarregado (DPO) e demais áreas;
    6. Documentar e preservar evidências das ações técnicas adotadas, garantindo rastreabilidade e suporte à prestação de contas (accountability);
    7. Prover suporte técnico ao Encarregado (DPO) para atender solicitações dos titulares, possibilitando a localização, restrição, anonimização, exclusão ou portabilidade de dados, conforme aplicável;
    8. Assegurar a segurança dos dados em ambientes físicos, virtuais e em nuvem, inclusive quando utilizados por parceiros e terceiros contratados, observando as diretrizes contratuais de proteção de dados;
    9. Contribuir ativamente para a cultura de proteção de dados na organização, apoiando iniciativas de melhoria contínua e integração entre tecnologia, segurança e governança da informação.
  • Jurídico
    1. Apoiar a definição de bases legais adequadas para o tratamento de dados pessoais em contratos, políticas e demais instrumentos jurídicos da organização;
    2. Revisar cláusulas contratuais relacionadas à proteção de dados pessoais, garantindo conformidade com a LGPD, demais legislações aplicáveis e orientações da ANPD;
    3. Assessorar o Encarregado (DPO), a Alta Direção e demais áreas na interpretação e aplicação da legislação de proteção de dados, especialmente em situações complexas, dúvidas legais e incidentes;
    4. Avaliar riscos jurídicos decorrentes de operações de tratamento, novos projetos, transferências internacionais e relações com terceiros;
    5. Acompanhar processos administrativos ou judiciais envolvendo dados pessoais e apoiar a organização em eventuais comunicações com autoridades reguladoras;
    6. Contribuir para a atualização contínua da organização frente a mudanças regulatórias e decisões jurisprudenciais relevantes no campo da proteção de dados e privacidade.
  • Parceiros, Terceiros e Fornecedores
    1. Tratar dados pessoais exclusivamente conforme as finalidades, limites e instruções previamente acordadas com a organização, abstendo-se de utilizá-los para finalidades próprias ou não autorizadas;
    2. Cumprir integralmente as obrigações contratuais relacionadas à proteção de dados, incluindo cláusulas sobre responsabilidades, medidas de segurança e penalidades aplicáveis em caso de descumprimento;
    3. Assegurar que as atividades de tratamento estejam em conformidade com as políticas internas da organização e com as melhores práticas de segurança e governança da informação;
    4. Submeter-se a avaliações, auditorias ou acompanhamentos periódicos destinados a verificar a conformidade com os requisitos legais, contratuais e normativos aplicáveis;
    5. Assumir responsabilidade objetiva por qualquer incidente de segurança ou violação de dados pessoais ocorrida em seus ambientes, sistemas ou sob sua guarda, inclusive por atos de subcontratados, colaborando com a organização na contenção, apuração e mitigação dos impactos.

6.     Diretrizes

As diretrizes a seguir têm como objetivo detalhar os princípios e práticas que orientam o tratamento de dados pessoais. Elas visam assegurar a conformidade com a legislação aplicável, garantindo que as operações de coleta, uso, armazenamento e descarte de dados sejam realizadas de forma responsável, protegendo a privacidade dos titulares e cumprindo as obrigações legais estabelecidas.

6.1 Como Tratamos Seus Dados

O tratamento de dados pessoais é realizado de forma responsável e em conformidade com a legislação vigente. Nesta seção, apresentamos os princípios que norteiam o tratamento, as finalidades para as quais os dados são utilizados, as bases legais que fundamentam essas operações e como os dados são coletados e gerenciados ao longo do ciclo de vida.

 6.1.1 Nossos Princípios

Estamos profundamente comprometidos com a proteção da privacidade e a segurança das informações pessoais sob nossa responsabilidade. Todas as atividades que envolvem o uso de dados pessoais seguem rigorosamente os princípios estabelecidos pela LGPD e os fundamentos do Privacy by Design. Nossa prioridade é garantir que as informações sejam tratadas de maneira ética, transparente e responsável, reforçando nosso compromisso com a integridade e confiança dos titulares de dados.

  1. Princípios da LGPD:
    1. Finalidade: O uso de dados ocorre exclusivamente para propósitos legítimos, específicos e explícitos, previamente informados ao titular.
    2. Adequação: O uso de dados é compatível com as finalidades informadas, levando em consideração o contexto e as necessidades do processo.
    3. Necessidade: Limitamos o uso de dados ao essencial para cumprir as finalidades estabelecidas, evitando a coleta e o uso de informações desnecessárias.
    4. Livre Acesso: Garantimos aos titulares o direito de acessar facilmente suas informações, oferecendo uma consulta gratuita e facilitada.
    5. Qualidade das Informações: Mantemos os dados pessoais corretos, claros e atualizados, assegurando sua exatidão e relevância.
    6. Transparência: Fornecemos informações claras e acessíveis sobre como os dados são utilizados e os agentes envolvidos.
    7. Segurança: Adotamos medidas técnicas e administrativas para proteger as informações pessoais contra acessos não autorizados e incidentes de segurança.
    8. Prevenção: Implementamos medidas preventivas para evitar qualquer dano resultante do uso de informações.
    9. Não Discriminação: As informações pessoais nunca são usadas para fins discriminatórios, ilícitos ou abusivos.
    10. Responsabilização e Prestação de Contas: Demonstramos o cumprimento da legislação e garantimos a eficácia das medidas adotadas para proteger as informações pessoais.
  2. Princípios do Privacy by Design:
    1. Proatividade e Prevenção: Nossa abordagem envolve a identificação e prevenção de riscos à privacidade desde o início dos projetos, e não apenas quando surgem problemas.
    2. Privacidade como Padrão (Privacy by Default): Asseguramos que as medidas de proteção à privacidade sejam aplicadas automaticamente em todos os projetos.
    3. Funcionalidade Total: Buscamos o equilíbrio entre a proteção de informações pessoais e a eficiência dos processos, garantindo que a privacidade não comprometa a funcionalidade das operações.
    4. Segurança de Ponta a Ponta: As informações pessoais são protegidas durante todo o ciclo de vida, desde a coleta até o descarte ou anonimização.
    5. Visibilidade e Transparência: Mantemos total transparência sobre as atividades que envolvem dados e as medidas de proteção adotadas, fornecendo informações claras e acessíveis aos titulares.
    6. Respeito pela Privacidade do Titular: Nosso compromisso é garantir que as informações pessoais sejam tratadas com responsabilidade e segurança, respeitando os interesses e direitos dos titulares.

            6.1.2 Finalidades do Tratamento

Somos uma empresa especializada no registro de contratos, credenciada pelos Departamentos Estaduais de Trânsito. Nosso principal serviço consiste na transmissão eletrônica de dados para registrar contratos de financiamento com cláusula de alienação fiduciária, enviados por instituições credoras — nossos principais clientes. Para fornecer nossos produtos e serviços de forma eficiente e segura, utilizamos dados pessoais em diversas atividades essenciais, incluindo operações internas, gestão administrativa e relacionamento com colaboradores. O uso dessas informações é realizado de maneira responsável e em conformidade com a legislação aplicável, sempre com o objetivo de proporcionar a melhor experiência para nossos clientes e partes interessadas.

As principais finalidades incluem:

  1. Formalizar e cumprir contratos, assegurando a entrega de produtos e serviços acordados.
  2. Gerenciar o relacionamento com clientes e partes interessadas, mantendo uma comunicação eficiente, solucionando reclamações, dúvidas e solicitações, e oferecendo suporte necessário para assegurar a satisfação de todos.
  • Enviar comunicações relevantes, incluindo atualizações de serviços, manutenções, alterações de políticas e outras informações importantes.
  1. Gerenciar dados de candidatos e funcionários, abrangendo processos como recrutamento, folha de pagamento, benefícios e desempenho, em conformidade com as exigências legais.
  2. Cumprir obrigações legais e regulatórias, processando dados para atender a requisitos fiscais, contábeis e jurídicos.
  3. Prevenir fraudes e atividades ilícitas, implementando verificação de identidade e monitoramento de transações suspeitas.
  • Garantir a segurança da informação, protegendo nossos sistemas e redes contra-ataques cibernéticos, fraudes e acessos não autorizados.
  • Monitorar o acesso e a vigilância em nossas instalações, garantindo a segurança por meio de controle de acesso e câmeras de vigilância.
  1. Gerenciar pagamentos e faturamento, processando transações financeiras, emitindo faturas e assegurando que as obrigações financeiras sejam cumpridas.
  2. Atender a solicitações de acesso e correção, garantindo que os titulares possam revisar, corrigir ou excluir seus dados conforme permitido pela legislação.
  3. Realizar pesquisas de satisfação, coletando feedback para melhorar nossos serviços e garantir que eles atendam às expectativas e requisitos regulatórios.
  • Desenvolver novos produtos e serviços, utilizando dados anonimizados ou pseudonimizados para entender melhor as necessidades dos nossos clientes.
  • Responder a demandas da ouvidoria, garantindo conformidade com exigências legais em casos sensíveis ou de caráter formal.
  • Exercer o direito de defesa em litígios judiciais ou administrativos, utilizando dados conforme necessário para proteger nossos interesses legais.

         6.1.3 Bases Legais do Tratamento 

Para cada atividade de uso de dados pessoais realizada, é atribuída uma base legal apropriada, conforme estabelecido pela LGPD. Abaixo, apresentamos as bases legais que fundamentam essas operações, aplicadas de acordo com as finalidades descritas anteriormente:

Base Legal

Aplicação (Finalidade)

LGPD

Execução de Contrato

Uso de dados para a formalização e cumprimento de contratos, acordos e obrigações pré-contratuais.

Art. 7º, V

Cumprimento de Obrigação Legal ou Regulatória

Necessário para atender às exigências fiscais, trabalhistas, jurídicas, regulatórias e outras obrigações aplicáveis.

Art. 7º, II

Legítimo Interesse

Aplicável ao recrutamento e seleção de candidatos, melhorias de produtos, serviços, segurança e prevenção de fraudes, desde que respeitados os direitos do titular.

Art. 7º, IX

Consentimento

Necessário para o envio de boletins informativos (newsletter) e comunicações de marketing, ou para recrutamento e seleção, com autorização explícita do titular.

Art. 7º, I

Exercício Regular de Direitos

Necessário para a defesa em processos judiciais, administrativos ou arbitrais.

Art. 7º, VI

Proteção da Vida ou Incolumidade Física

Necessário para proteger a vida ou a integridade física do titular ou de terceiros em situações emergenciais.

Art. 7º, VII

Tutela da Saúde

Uso de dados de funcionários para atender às obrigações de saúde e segurança ocupacional.

Art. 7º, II e Art. 11, II, "f"

Proteção do Crédito

Aplicável em ações relacionadas à cobrança e inadimplência, conforme a Lei do Cadastro Positivo.

Art. 7º, X

 6.1.4 Como Obtemos o Consentimento

Caso o consentimento seja a base legal para o tratamento de seus dados pessoais, ele será obtido de forma livre, informada, específica e inequívoca. Se houver qualquer alteração na finalidade, forma ou duração do tratamento, ou em qualquer aspecto que difira do inicialmente acordado, nós o informaremos, e você poderá revogar seu consentimento a qualquer momento. Respeitamos todos os seus direitos como titular dos dados e garantimos a possibilidade de exercê-los, conforme descrito no tópico "Os Seus Direitos e Como Exercê-los". As instruções para contato estão disponíveis em "Como nos Contactar".

Nas situações em que atuamos como operadora, tratamos os dados pessoais sob as instruções da empresa com a qual você possui contrato, a controladora. Todas as decisões relativas ao consentimento (como revisão, atualização ou revogação) são de responsabilidade dessa empresa. Portanto, qualquer solicitação referente ao consentimento deve ser direcionada diretamente a ela, que é responsável pela gestão dessas demandas.

 6.1.5 Coleta e Recebimento de Dados

Coletamos seus dados pessoais de forma ética e responsável, seja diretamente de você ou por meio de nossos clientes e parceiros, sempre com o objetivo de viabilizar a adequada prestação dos serviços contratados. Limitamo-nos a solicitar as informações estritamente necessárias para finalidades específicas, em conformidade com o princípio da minimização de dados. Garantimos que o volume e o tipo de dados tratados sejam proporcionais e adequados, respeitando seus direitos e observando as obrigações legais aplicáveis.

  1. Os tipos de dados coletados podem incluir:
    1. Dados de Identificação: Nome, sobrenome, CPF, RG, data de nascimento, idade, estado civil, naturalidade, nacionalidade, filiação.
    2. Dados de Contato: E-mail, endereço, números de telefone.
    3. Dados Financeiros: Operação de registro, operação financeira, número do contrato, número do termo aditivo, data do documento, quantidade de parcelas, quantidade de meses, taxa de juros ao mês, taxa de juros ao ano, indicativo de multa, taxa de juros da multa, indicativo de mora, taxa de juros da mora, indicativo de penalidade, descrição da penalidade, indicativo de comissão, valor da comissão, valor da taxa do contrato, valor total do financiamento, valor IOF, valor da parcela do financiamento, data de vencimento da primeira parcela, data de vencimento da última parcela, data de liberação de crédito, UF de liberação de crédito, município de liberação de crédito, código TOM do município de liberação de crédito, índice aplicável ao contrato, data de vigência do contrato, local de assinatura do contrato e data da assinatura.
    4. Informações de Veículos: Chassi, marca, modelo, ano de fabricação, ano do modelo, RENAVAM, número do gravame, cor, combustível, categoria, placa e UF placa.
    5. Dados de Login: Nome de usuário e senha (para autenticação em sistemas ou plataformas).
    6. Dados Técnicos: Registro de endereço IP, tipo de dispositivo, sistema operacional utilizado e geolocalização (latitude e longitude, para fins de segurança e prevenção de fraudes).
    7. Dados de Navegação: Páginas visitadas, tempo de permanência, estatísticas de uso e interação com nossos sites e plataformas, além de cookies (incluindo cookies de terceiros para análises e marketing).
    8. Dados de Interação: Gravações de interações com nosso suporte ao cliente, como chamadas telefônicas ou histórico de chat, quando aplicável.
  2. Além disso, podemos receber seus dados de terceiros autorizados ou de fontes públicas, sempre em conformidade com a legislação aplicável. Esses dados podem incluir:
    1. Informações Cadastrais: Fornecidas por parceiros ou prestadores de serviços.
    2. Dados de Fontes Públicas: Para verificação de identidade ou outros propósitos legítimos.

Em situações em que atuamos como Operadora, processamos seus dados pessoais de acordo com as instruções e finalidades definidas pela empresa com a qual você firmou contrato, a Controladora. Nesses casos, não temos controle sobre os tipos de dados fornecidos, recebendo apenas as informações necessárias para cumprir as finalidades estabelecidas por essa empresa.

 6.1.6 Dados Sensíveis

Estamos comprometidos em garantir o tratamento de Dados Pessoais Sensíveis com a máxima segurança possível e de forma restrita ao mínimo necessário. Em algumas situações, como na proteção de nossas instalações ou na autenticação para confirmar a identidade de uma pessoa, o uso de dados sensíveis, como biométricos ou médicos, é essencial para atender às finalidades operacionais e legais.

  1. Dados Biométricos: Informações como dados faciais e digitais, utilizadas para controle de acesso a instalações ou para autenticação em sistemas, quando for necessário confirmar a identidade.
  2. Dados Médicos: Informações relacionadas à saúde ocupacional, como resultados de exames médicos obrigatórios (admissionais, periódicos e demissionais), bem como atestados médicos eventualmente apresentados, conforme exigido pela CLT e demais normativos aplicáveis, visando garantir a aptidão e o acompanhamento da saúde do trabalhador.

Sempre que o tratamento de Dados Pessoais Sensíveis for necessário, você será informado sobre a finalidade, e, quando aplicável, seu consentimento será obtido de forma clara, específica e em conformidade com a legislação vigente.

 6.1.7 Dados de Crianças e Adolescentes

Embora não ofereçamos produtos ou serviços diretamente a crianças e adolescentes, o tratamento de dados pessoais desse grupo pode ocorrer em algumas situações específicas, como: filhos de colaboradores, programas de jovens aprendizes ou estágios, e em processos judiciais, administrativos ou arbitrais que envolvam menores de idade.

Para filhos de colaboradores, o tratamento de dados é realizado conforme as obrigações legais previstas na CLT e em outras legislações trabalhistas, para a concessão de benefícios como salário-família, auxílio-creche, plano de saúde e declaração de dependentes no Imposto de Renda. Nesses casos, o consentimento não é necessário, pois a base legal para o tratamento é o cumprimento de obrigações legais.

Nos casos de jovens aprendizes e estagiários, além do cumprimento das obrigações legais, é exigido o consentimento formal dos pais ou responsáveis, conforme previsto na Lei da Aprendizagem (Lei nº 10.097/2000).

Em outros contextos, o tratamento de dados de crianças e adolescentes será realizado mediante o consentimento específico e destacado de pelo menos um dos pais ou do responsável legal, conforme as exigências da LGPD.

 6.1.8 Com Quem Compartilhamos

Para viabilizar nossos produtos e serviços com eficiência, podemos compartilhar dados pessoais com terceiros de confiança, previamente avaliados quanto à conformidade com nossas políticas e padrões de segurança. O compartilhamento ocorre com base legal adequada e em conformidade com os princípios da confidencialidade, integridade, disponibilidade e privacidade.

Os dados pessoais podem ser compartilhados com:

  1. Fornecedores e parceiros: Apoiam a continuidade de nossas operações, como provedores de infraestrutura tecnológica (ex.: serviços em nuvem), contábil, e outros serviços especializados. Quando tratam dados pessoais em nosso nome, utilizamos instrumentos contratuais adequados conforme a natureza da relação.
  2. Autoridades e órgãos reguladores: Em cumprimento a obrigações legais, regulatórias ou decisões judiciais. Caso identificada solicitação excessiva ou abusiva, adotaremos as medidas cabíveis para resguardar os direitos dos titulares.
  • Empresas do mesmo grupo econômico: Para fins administrativos, de auditoria ou eficiência operacional, quando necessário ao funcionamento integrado das atividades.
  1. Reestruturações societárias: Em casos de fusão, aquisição, cisão ou venda de ativos, com as partes diretamente envolvidas no processo.

  6.1.9 Onde Armazenamos

Os dados pessoais que coletamos ou recebemos de terceiros são armazenados exclusivamente em serviços de computação em nuvem, administrados por nossa equipe, com infraestrutura mantida por provedores que seguem padrões rigorosos de segurança e conformidade com a legislação aplicável.

O armazenamento pode ocorrer em servidores localizados no Brasil ou no exterior, conforme a natureza do serviço. Para os dados relacionados ao registro de contrato de financiamento com alienação fiduciária, asseguramos que sejam armazenados exclusivamente em servidores no Brasil.

6.1.10 Por Quanto Tempo Retemos os Dados 

Os dados pessoais são retidos apenas pelo tempo necessário para cumprir as finalidades para as quais foram coletados ou conforme exigido por obrigações legais, regulatórias, contratuais ou para resguardo de direitos.

Nos casos em que atuamos como operadora, seguimos as instruções do controlador, inclusive quanto aos prazos de retenção e descarte.

Realizamos avaliações periódicas considerando a natureza das informações, a finalidade do tratamento, os prazos legais aplicáveis e eventuais obrigações contratuais.

Sempre que a retenção deixar de ser necessária, os dados são excluídos ou anonimizados de forma segura e irreversível.

6.2 Uso de Cookies

Para proporcionar uma experiência aprimorada com nossos serviços e produtos, utilizamos cookies. Mas o que são cookies? Cookies são pequenos arquivos salvos no dispositivo do usuário durante a navegação, armazenados em seu navegador, que auxiliam na personalização do acesso e na memorização de preferências.

Para detalhes sobre seu funcionamento, consulte nossa Política de Cookies.

Utilizamos cookies para coletar, tratar, armazenar e/ou compartilhar informações de navegação (com empresas parceiras) com os seguintes objetivos:

  1. Tornar a navegação mais ágil e eficiente;
  2. Melhorar sua experiência e interação com nossos serviços, produtos, sites, aplicativos e comunicações;
  • Oferecer conteúdo e ofertas mais relevantes e alinhados aos seus interesses;
  1. Aumentar a eficácia e continuidade de nossa comunicação com você;
  2. Atender a dúvidas e solicitações;
  3. Conduzir pesquisas de marketing e relacionamento para aprimorar nossos produtos e serviços, além de obter dados estatísticos gerais.

Você pode, a qualquer momento, configurar seu navegador para avisá-lo sobre o uso de cookies ou desativá-los, se preferir. A desativação de cookies não essenciais pode limitar sua experiência e afetar algumas funcionalidades.

Para desativação, consulte as definições específicas de cada navegador:

Internet Explorer / Firefox / Google Chrome / Safari / Microsoft Edge

6.3 Uso de Links e Plataformas de Terceiros

Nossos sites e plataformas podem conter links para websites ou serviços de terceiros. A presença desses links não representa endosso ou patrocínio dessas plataformas, que estão sujeitas a seus próprios termos de uso e políticas de privacidade, sobre os quais não temos controle ou responsabilidade. Recomendamos que você leia os termos e políticas de privacidade desses websites antes de fornecer qualquer dado pessoal.

Caso opte por nos contatar por meio de plataformas de terceiros (como LinkedIn, Instagram, Telegram ou WhatsApp), o tratamento de seus dados seguirá também os termos e políticas de privacidade dessas plataformas, sendo de inteira responsabilidade dessas empresas. Não assumimos qualquer responsabilidade pelo uso das informações compartilhadas nessas plataformas externas.

6.4 Uso de Decisões Automatizadas

Em determinadas situações, a ARQDIGITAL pode empregar tecnologias automatizadas para processar dados pessoais com o objetivo de tomar decisões de forma mais rápida e eficiente. Isso pode incluir, entre outros, análise de perfil de clientes, otimização de processos, recomendações personalizadas ou verificação de segurança.

As decisões automatizadas baseadas nessas tecnologias serão conduzidas de maneira transparente, permitindo que os titulares compreendam os critérios utilizados. Quando essas decisões afetarem direitos ou interesses do titular, ele terá o direito de solicitar a revisão dessas decisões por uma pessoa física, conforme previsto no artigo 20 da Lei Geral de Proteção de Dados (LGPD).

Para exercer esse direito, o titular pode entrar em contato por meio dos canais de atendimento indicados nesta política.

6.5 Transferências Internacionais 

Alguns dados pessoais podem ser armazenados ou processados fora do Brasil, especialmente por meio de serviços em nuvem. Nessas situações, garantimos que a transferência internacional seja realizada em conformidade com a LGPD, adotando salvaguardas adequadas para assegurar um nível de proteção compatível com o exigido pela legislação brasileira.

Essas salvaguardas podem incluir mecanismos contratuais, políticas corporativas ou outras medidas reconhecidas, conforme o contexto da transferência e as diretrizes aplicáveis, inclusive aquelas emitidas pela ANPD.

6.6  Gestão de Riscos e Avaliação de Impacto

Adotamos o Relatório de Impacto à Proteção de Dados (RIPD) como ferramenta para identificar riscos, aplicar medidas de segurança e garantir conformidade com a LGPD. O relatório é elaborado com o apoio do Encarregado (DPO) e da equipe de segurança da informação, sendo revisado periodicamente para garantir aderência à legislação vigente e às boas práticas de governança e privacidade.

O RIPD é exigido em situações que possam representar alto risco à privacidade dos titulares, incluindo, mas não se limitando a:

  1. Uso de novas tecnologias no tratamento de dados pessoais;
  2. Tratamento de dados sensíveis;
  • Monitoramento contínuo ou decisões automatizadas que impactem os titulares;
  1. Transferências internacionais de dados pessoais.

6.7 Como Mantemos os Dados Seguros 

Para nós, a proteção de dados pessoais é tratada como prioridade. Adotamos medidas organizacionais, técnicas e administrativas para garantir a segurança da informação, com base nos princípios de confidencialidade, integridade, disponibilidade e privacidade.

Entre nossas principais práticas, destacam-se:

  1. Política de Segurança da Informação: Estabelece diretrizes e controles para proteger dados pessoais em todos os processos, conforme padrões legais e técnicos aplicáveis.
  2. Classificação e Controle da Informação: As informações são classificadas de acordo com seu nível de sensibilidade, e os controles são aplicados de forma proporcional ao seu grau de risco.
  • Gestão de Ativos e Dispositivos: Adotamos controles sobre ativos e dispositivos utilizados no tratamento de dados, assegurando o uso autorizado e seguro dos recursos corporativos.
  1. Controles de Acesso e Capacitação: Utilizamos controles de acesso baseados em perfis e promovemos treinamentos contínuos em segurança e privacidade.
  2. Criptografia: Empregamos criptografia em trânsito e em repouso para evitar acessos não autorizados.
  3. Anonimização e Pseudonimização: Aplicamos essas técnicas, quando apropriadas, para reduzir riscos e proteger a identidade dos titulares.
  • Monitoramento e Auditorias: Realizamos monitoramento constante e auditorias periódicas para detectar e corrigir eventuais vulnerabilidades.
  • Plano de Resposta a Incidentes: Mantemos plano específico para contenção, mitigação e notificação de incidentes relacionados à segurança e à privacidade.
  1. Gestão de Terceiros: Avaliamos e contratamos terceiros com base em critérios de segurança e privacidade, exigindo o cumprimento de padrões equivalentes aos adotados internamente.

6.8 Notificação de Incidentes de Segurança 

Adotamos medidas técnicas e organizacionais para prevenir incidentes que possam comprometer a confidencialidade, integridade, disponibilidade ou privacidade dos dados pessoais. Em caso de violação, seguimos nosso Plano de Gestão de Incidentes de Dados Pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) e com as boas práticas reconhecidas de segurança da informação.

  1. Identificação e Avaliação do Incidente: O incidente é detectado, classificado e analisado para determinar sua origem, extensão, impacto e os dados pessoais eventualmente comprometidos.
  2. Registro Inicial e Documentação Contínua: Desde a identificação do incidente, realizaremos o registro estruturado de todas as evidências, decisões, ações tomadas e comunicações realizadas. Esse processo contempla, sempre que aplicável, a inclusão de outras partes interessadas relevantes, como autoridades competentes — incluindo órgãos de investigação, nos casos em que houver indícios de crime. Toda a documentação será mantida para fins de auditoria, prestação de contas e aprimoramento contínuo dos controles.
  • Contenção e Mitigação: Implementamos medidas imediatas para conter o incidente, corrigir vulnerabilidades identificadas e mitigar riscos aos titulares dos dados.
  1. Comunicação aos Titulares de Dados: Caso o incidente represente risco relevante aos direitos e liberdades dos titulares, realizaremos comunicação direta, clara e transparente, com informações sobre a natureza do incidente, os dados afetados, medidas adotadas e orientações de mitigação.
  2. Notificação à ANPD: Quando aplicável, notificaremos a Autoridade Nacional de Proteção de Dados (ANPD), fornecendo todos os elementos previstos em lei, como: descrição do incidente, dados afetados, medidas técnicas e administrativas adotadas e os efeitos do ocorrido.
  3. Análise Pós-Incidente e Lições Aprendidas: Após a resolução do incidente, realizamos uma revisão crítica para identificar suas causas, registrar as lições aprendidas e aprimorar nossos controles de segurança, processos internos e políticas, promovendo a melhoria contínua.
  • Comunicação Imediata à Controladora: Quando atuarmos como operadora, realizaremos a notificação imediata à controladora responsável pelo tratamento, respeitando os prazos e condições estabelecidos contratualmente. A comunicação será feita de forma clara, tempestiva e completa, contendo todas as informações relevantes sobre o incidente, a fim de viabilizar a avaliação dos riscos, a adoção das medidas cabíveis e o cumprimento das obrigações legais por parte da controladora, incluindo, quando necessário, a notificação à ANPD e aos titulares dos dados.

6.9 Auditorias

Realizamos auditorias regulares para verificar se o tratamento de dados pessoais está em conformidade com esta política, com a Lei Geral de Proteção de Dados Pessoais (LGPD) e com os controles internos estabelecidos. Essas auditorias avaliam a eficácia das medidas técnicas e organizacionais implementadas, identificam eventuais não conformidades e promovem a melhoria contínua dos processos de privacidade e proteção de dados.

6.10 Direito dos Titulares de Dados

A proteção de dados pessoais é um direito fundamental, e na ARQDIGITAL esse princípio é tratado com seriedade e responsabilidade. Nosso compromisso vai além do cumprimento da Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD): atuamos para garantir que cada direito previsto na legislação seja respeitado na prática, de forma clara, segura e acessível.

A seguir, apresentamos quais são esses direitos e como podem ser exercidos no contexto das atividades de tratamento de dados conduzidas pela organização:

  1. Confirmação da Existência de Tratamento: Confirmar se dados pessoais estão sendo tratados pela organização. (Art. 18, I);
  2. Acesso aos Dados: Acessar os dados pessoais em posse da organização. (Art. 18, II);
  • Correção de Dados: Solicitar a correção de dados pessoais incompletos, inexatos ou desatualizados. (Art. 18, III);
  1. Anonimização, Bloqueio ou Eliminação de Dados: Solicitar anonimização, bloqueio ou eliminação de dados considerados desnecessários, excessivos ou tratados em desconformidade com a LGPD. (Art. 18, IV);
  2. Portabilidade dos Dados: Solicitar que seus dados sejam transferidos para outro fornecedor de serviço ou produto, conforme regulamentação da Autoridade Nacional de Proteção de Dados (ANPD), observados os segredos comercial e industrial. (Art. 18, V).
  3. Eliminação dos Dados Tratados com Consentimento: Solicitar a eliminação dos dados tratados com base no consentimento, conforme prevê o Art. 18, VI da LGPD, exceto nas hipóteses de conservação previstas no Art. 16, que incluem:
    1. Cumprimento de obrigação legal ou regulatória. (Art. 16, I);
    2. Estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais. (Art. 16, II);
    3. Transferência a terceiro, desde que respeitados os requisitos legais. (Art. 16, III);
    4. Uso exclusivo do controlador, desde que os dados estejam devidamente anonimizados e vedado o acesso por terceiros. (Art. 16, IV).
  • Informação sobre Compartilhamento de Dados: Acesso à informação sobre as entidades públicas ou privadas com as quais os dados pessoais foram compartilhados. (Art. 18, VII);
  • Informação sobre a Possibilidade de Não Consentir: Garantia de ser informado sobre a possibilidade de recusar o consentimento e sobre as eventuais consequências dessa escolha. (Art. 18, VIII);
  1. Revogação do Consentimento: Revogar o consentimento previamente fornecido, a qualquer momento, nos termos do §5º do Art. 8º da LGPD. (Art. 18, IX);
  2. Oposição ao Tratamento de Dados: Opor-se ao tratamento de dados pessoais realizado com base em hipóteses legais de dispensa de consentimento, quando houver descumprimento do disposto na LGPD. (Art. 18, §2º);
  3. Revisão de Decisões Automatizadas: Solicitar a revisão de decisões tomadas exclusivamente com base em tratamento automatizado de dados pessoais, quando tais decisões afetarem interesses, incluindo definição de perfis pessoais, profissionais, de consumo, de crédito ou outros aspectos da vida do titular. (Art. 20).

O exercício desses direitos é gratuito, simples e pode ser realizado a qualquer tempo, mediante solicitação formal, segura e documentada, feita pelo titular dos dados ou por um representante seu legalmente constituído. As solicitações serão atendidas no menor prazo possível, dentro dos prazos legais e considerando eventuais limitações técnicas, operacionais ou regulatórias.

Sempre que os dados tiverem sido compartilhados com terceiros, também será realizada a devida comunicação sobre a correção, eliminação, anonimização ou bloqueio realizado, com o objetivo de manter a integridade, a atualização e a qualidade das informações. Essa comunicação será dispensada apenas quando houver comprovada impossibilidade técnica ou esforço desproporcional.

Para exercer qualquer um dos direitos previstos, entre em contato com o Encarregado de Proteção de Proteção de Dados (DPO) por meio dos canais indicados nesta Política.

6.10.1 Atendimento aos Titulares – Papel de Operadora

Quando a ARQDIGITAL atuar como operadora — ou seja, tratando dados sob as instruções de outra organização, que exerce o papel de controladora — a responsabilidade por analisar e responder às solicitações dos titulares cabe exclusivamente à controladora.

Caso receba uma solicitação de exercício de direitos nessa condição, a ARQDIGITAL comunicará o controlador responsável para que tome as providências cabíveis, conforme previsto na legislação aplicável. Além disso, informará ao titular que não é o agente de tratamento dos dados e, sempre que possível, indicará a identidade do controlador, nos termos do Art. 18, §4º, I da Lei Geral de Proteção de Dados (LGPD).

Essa conduta assegura transparência, respeito aos limites contratuais e o devido atendimento dos direitos dos titulares.

 6.11 Como nos Contactar

Se você tiver dúvidas sobre esta Política de Privacidade, desejar fazer uma solicitação relacionada aos seus direitos como titular de dados pessoais, ou quiser registrar uma reclamação sobre o tratamento dos seus dados, entre em contato com nosso Encarregado de Proteção de Dados (DPO) ou utilize os canais de atendimento disponíveis em nosso site:

  • Nome do DPO: INOVECON CONSULTORIA E SERVIÇOS DE TI LTDA (CNPJ 11.162.243/0001-42);
  • Representante Titular: Rômulo Mateus Castro Prates;
  • Representante Suplente: Lucas Silva de Sena;
  • E-mail: Este endereço de email está sendo protegido de spambots. Você precisa do JavaScript ativado para vê-lo.
  • Formulário de Contato: https://arqdigital.com.br/contato

Todos os esforços serão envidados para atender às solicitações do titular no menor prazo possível. Quando a solicitação envolver consultas adicionais ou maior complexidade, o prazo de resposta poderá ser de até trinta (30) dias.

Lembre-se: para garantir sua identidade e a legitimidade do seu pedido, poderemos solicitar o fornecimento de alguns dados pessoais e documentos para o processo de autenticação. Esses dados serão armazenados em nossas bases de dados para atender a possíveis demandas legais e regulatórias, comprovando que seu pedido foi feito e atendido. Nós não utilizaremos seus dados para outros fins.

7.    Lei Aplicável e Resolução de Conflitos

Esta Política de Privacidade é regida pelas leis da República Federativa do Brasil, em especial pela Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD).

Eventuais disputas ou controvérsias entre as partes, relacionadas ao tratamento de dados pessoais aqui disposto, serão preferencialmente resolvidas de forma amigável, com foco em soluções consensuais. Na ausência de acordo, fica eleito o foro da Comarca de Brasília/DF como o competente para dirimir quaisquer questões decorrentes, com renúncia expressa a qualquer outro, por mais privilegiado que seja.

Revisão 05 - Data: 20/06/2025