1. Propósito, Escopo e Usuários

AZULOU TECNOLOGIA LTDA doravante denominada “Azulou”, se esforça para cumprir as leis e regulamentos aplicáveis relacionados à proteção de Dados Pessoais nos países em que atua. Esta Política estabelece os princípios básicos pelos quais a Azulou trata os dados pessoais de consumidores, clientes, fornecedores, parceiros de negócios, colaboradores e outros indivíduos, e indica as responsabilidades de seus departamentos de negócios e colaboradores durante o tratamento de dados pessoais. Os usuários deste documento são todos os colaboradores, permanentes ou temporários, e todos os contratados que trabalham em nome da Azulou.

2. Documentos de referência

- Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais no território brasileiro.

- Política de proteção de dados pessoais dos colaboradores (Em construção)

- Política de retenção de dados (Em construção)

- Atribuições do Encarregado de Proteção de Dados (Em construção)

- Diretrizes para o registro de inventário e de atividades de tratamento de dados (Em construção)

- Procedimento de resposta aos pedidos de acesso a dados (Em construção)

- Diretrizes de avaliação de impacto sobre a proteção de dados (Em construção)

- Procedimento de transferência internacional de dados pessoais (Em construção)

- Política de segurança da informação (Em construção)

- Procedimento de notificação de violação de dados pessoais (Em construção)

3. Definições

As seguintes definições dos termos utilizados neste documento são extraídas da LGPD:

Titular de dados pessoais: pessoa natural que é proprietária dos dados pessoais fornecidos à empresa com quem deseja se relacionar.

Dados pessoais: Todo e qualquer dado que seja capaz de identificar uma pessoa de forma direta (nome e CPF, por exemplo) ou indireta (dados do dispositivo eletrônico, por exemplo).

Dados pessoais sensíveis: "Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural". Apesar dessa lista de dados sensíveis considerados pela lei, em algumas situações outros dados ou conjunto de dados poderão também serem considerados como sensíveis, como é o caso de dados fiscais, por exemplo.

Controlador: Pessoa que toma todas as decisões referentes ao tratamento de dados pessoais. No caso da Azulou será(ão) a(s) pessoa(s) que criou(aram) o projeto com as especificações técnicas para desenvolvimento e tratamento dos dados pessoais. Podem ser também as pessoas responsáveis por cada departamento da empresa.

Operador: Pessoa que realiza as operações de tratamento de dados pessoais. No caso da Azulou são os desenvolvedores que criarão a plataforma, as pessoas do administrativo que ajudam na operação da Azulou.

Encarregado: Pessoa ou empresa que atua de forma independente como canal de comunicação entre a Azulou, os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD).

Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Os princípios básicos do tratamento de dados pessoais não se aplicam a dados anonimizados, pois não são mais dados pessoais. A exceção é quando o processo de anonimização ao qual foram submetidos puder ser revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido.

Pseudonimização: tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo Controlador em ambiente controlado e seguro. A pseudonimização reduz, mas não elimina completamente, a capacidade de vincular dados pessoais a um titular de dados. Como os dados pseudonimizados ainda são dados pessoais, o tratamento de tais dados deve estar em conformidade com os princípios básicos do tratamento de dados pessoais.

Transferência internacional de dados: é quando o tratamento de dados pessoais ocorre em países diversos ao do estabelecimento sede da empresa localizada no Brasil, independente da nacionalidade do titular de dados pessoais. A transferência internacional só poderá ocorrer para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD ou quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados nas condições previstas na LGPD.

Autoridade Nacional de Proteção de Dados: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.

Grupo empresarial: um grupo composto pela empresa que exerce o controle e pelas empresas controladas.

4. Princípios básicos relativos ao tratamento de dados pessoais

Os princípios de proteção de dados descrevem as responsabilidades básicas para as organizações que tratam dados pessoais. Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração todos os princípios previstos na LGPD (art. 50, § 1º, da LGPD)

Finalidade: realização do tratamento para propósitos específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.

Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.

Necessidade (minimização): limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.

Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. A cada nova finalidade é obrigatória a informação aos titulares dos dados.

Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comerciais e industriais.

Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

Accountability (prestação de contas): demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

4.1. Dados coletados

4.1.1. O único dado pessoal que deve ser obrigatoriamente fornecido é um e-mail válido ou um número de telefone, necessário para o seu cadastro no aplicativo. O fornecimento de todas as outras informações e dados pessoais é totalmente opcional.

4.1.2. Estes são os dados que você pode escolher fornecer ao Azulou e que serão coletados e tratados conforme disposto nestes Termos:

I - Informações de identificação pessoal (nome, endereço, telefone, documentos de identificação, redes sociais, dados bancários, segmento de atuação, assinatura etc.);

II - Informações financeiras, tais como faturamento, valores recebidos, valores a receber, valores em atraso e custos.

III - Informações relacionadas aos clientes da sua empresa, que podem ser importados automaticamente com a sua autorização através da função "Importar Contatos", o qual importa nome e telefone automaticamente, para facilitar o processo de cadastramento.

5. Concretizando a proteção de dados em atividades empresariais

Para demonstrar o cumprimento dos princípios da proteção de dados, uma organização deve concretizar a proteção de dados em todas as suas atividades empresariais que envolvam dados pessoais.

5.1. Notificação aos Titulares de Dados

Periodicamente a Azulou deverá realizar uma avaliação interna para verificar a ocorrência de eventuais incidentes de segurança. Identificada um incidente de segurança, a ISO 27001 e a 27002 recomendam que:

- Se identifique a causa, o seu grau de risco e como a falha será corrigida.

- Quais ações deverão ser realizadas para minimizar as suas consequências.

- Quais titulares de dados pessoais serão atingidos para que recebam um comunicado com orientações sobre como se proteger e quais ações a Azulou está realizando para resolver o incidente.

5.2. Garantia de opção de escolha e obtenção do consentimento do Titular de Dados

Em relação aos clientes, o CTO deverá permitir que eles escolham livremente se desejam que seus dados pessoais sejam utilizados para envio de publicidade, compartilhamento dos seus dados com empresas parceiras e tratamento dos dados para fins estatísticos.
Em relação aos seus colaboradores, o CTO deverá solicitar consentimento para uso de suas imagens e outros dados pessoais para fins de publicidade da empresa

5.3. Coleta de dados pessoais

A Empresa deve se esforçar para coletar a menor quantidade de dados pessoais possível. Se os dados pessoais forem coletados de terceiros, o CTO deve garantir que os dados pessoais são coletados legalmente.

5.4. Uso, retenção e eliminação

As finalidades, métodos, limitação de armazenamento e período de retenção de dados pessoais devem ser consistentes com as informações contidas no Aviso de Privacidade disponibilizado ao titular de dados pessoais. A Empresa deve manter a exatidão, integridade, confidencialidade e relevância dos dados pessoais com base na finalidade do tratamento. Mecanismos de segurança adequados projetados para proteger dados pessoais devem ser usados para evitar que dados pessoais sejam roubados, mal utilizados ou utilizados de maneira desconforme à finalidade, além de serem evitadas violações de dados pessoais. O CTO é responsável pelo cumprimento dos requisitos listados nesta seção.

5.6. Direitos de Acesso por Titulares de Dados

Ao atuar como um controlador de dados, o CTO é responsável por fornecer aos titulares de dados um mecanismo de acesso razoável para permitir que eles acessem seus dados pessoais, e deve permitir que eles atualizem, retifiquem, apaguem ou transmitam seus Dados Pessoais, se apropriado ou exigido por lei. O mecanismo de acesso será mais detalhado no Procedimento de Solicitação de Acesso ao Titular de Dados.

5.7. Portabilidade de dados

Os titulares de dados têm o direito de receber, mediante solicitação, uma cópia dos dados que nos forneceram em formato estruturado e transmitir esses dados para outro controlador, gratuitamente. O CTO é responsável por garantir que tais solicitações sejam tratadas dentro de um mês contado a partir do recebimento do pedido do titular, não sejam excessivas e não afetem os direitos aos dados pessoais de outros titulares.

5.8. Direito ao apagamento

Mediante solicitação, os titulares de dados têm o direito de obter da Azulou o apagamento de seus dados pessoais. Quando a Azulou estiver atuando como controladora, o CTO deve tomar as medidas necessárias (incluindo medidas técnicas) para informar os terceiros que tratam esses dados para atender à solicitação no prazo de um mês contado a partir do recebimento do pedido do titular.

6. Diretrizes de Tratamento Justo

Os dados pessoais só devem ser tratados quando explicitamente autorizados por [Antero Silva – Encarregado].

A Azulou deve decidir se realizará uma Avaliação de Impacto sobre a Proteção de Dados para cada atividade de tratamento de dados de acordo com as Diretrizes de Avaliação de Impacto sobre a Proteção de Dado

6.1. Avisos de privacidade aos Titulares de Dados

No momento da coleta ou antes de coletar dados pessoais em qualquer tipo de atividade de tratamento, incluindo, mas não se limitando à venda de produtos, serviços, ou atividades de marketing, o CTO é responsável por informar adequadamente os titulares de dados dos seguintes: os tipos de dados pessoais coletados, as finalidades do tratamento, os métodos de tratamento, os direitos dos titulares de dados em relação aos seus dados pessoais, o período de retenção, possíveis transferências internacionais de dados, se os dados serão compartilhados com terceiros e as medidas de segurança da Empresa para proteger dados pessoais. Essas informações são fornecidas por meio de um Aviso de Privacidade.

Se sua área tiver várias atividades de tratamento de dados, você precisará desenvolver diferentes Avisos de Privacidade, dependendo da atividade de tratamento e das categorias de dados pessoais coletados – por exemplo, um Aviso de Privacidade pode ser escrito para fins de envio de publicidade em geral e outro para fins de envio de mercadorias físicas.

Quando os dados pessoais estão sendo compartilhados com terceiros, o CTO deve garantir que os titulares de dados tenham sido notificados sobre isso pelo Aviso de Privacidade.

Quando os dados pessoais estão sendo transferidos para um país terceiro de acordo com a Política de Transferência Internacional de Dados, o Aviso de Privacidade deve refletir isso e declarar explicitamente para onde e para qual(is) entidade(s) os dados pessoais estão sendo transferidos.

6.2. Obtenção de Consentimento

Sempre que o tratamento de dados pessoais for baseado no consentimento do titular dos dados, o CTO é responsável por manter um registro de tal consentimento. O CTO deverá fornecer aos titulares de dados opções para fornecer o consentimento e deve informar e garantir que seu consentimento pode ser retirado a qualquer momento.

Quando houver solicitações para corrigir, alterar ou destruir registros de dados pessoais, o CTO deve garantir que essas solicitações sejam tratadas dentro de um prazo razoável. O CTO também deve registrar os pedidos e manter um registro destes.

Os dados pessoais só devem ser tratados para a finalidade para a qual foram originalmente coletados. Caso o CTO queira tratar dados pessoais coletados para outra finalidade, o CTO deve buscar o consentimento dos titulares de dados em redação clara e concisa. Qualquer solicitação desse tipo deve incluir a finalidade original para a qual os dados foram coletados e a(s) finalidade(s) nova(s) ou adicional(is). A solicitação também deve incluir o motivo da mudança de propósito. A Azulou é responsável pelo cumprimento das regras deste parágrafo.

Agora e no futuro, o CTO deve garantir que os métodos de coleta de dados pessoais estejam em conformidade com a lei relevante, as boas práticas e os padrões do setor.

O CTO é responsável pela criação e manutenção de um Registro dos Avisos de Privacidade.

7. Organização e Responsabilidades

A responsabilidade de garantir o tratamento adequado de dados pessoais é de todos que trabalham para ou com a Azulou e que têm acesso a dados pessoais tratados por ela.

As principais áreas de responsabilidades em relação ao tratamento de dados pessoais estão nas seguintes funções organizacionais:

O conselho de administração ou outro órgão decisório relevante toma decisões sobre e aprova as estratégias gerais da Empresa sobre proteção de dados pessoais

O Encarregado ou qualquer outro colaborador relevante é responsável pelo gerenciamento do programa de proteção de dados pessoais e é responsável pelo desenvolvimento e promoção de políticas de proteção de dados pessoais de ponta a ponta, conforme definido na Descrição do Trabalho do Encarregado;

A Assessoria Jurídica, juntamente com o Encarregado, monitora e analisa as leis de dados pessoais e alterações nas regulamentações, desenvolve requisitos de conformidade e auxilia os departamentos de negócios no cumprimento de suas obrigações de proteção de dados pessoais.

O CTO é responsável por:
- Garantir que todos os sistemas, serviços e equipamentos utilizados para armazenar dados pessoais atendam aos padrões de segurança aceitáveis.
- Realizar verificações e varreduras regulares para garantir que o hardware e o software de segurança estão funcionando corretamente com vistas à garantia da confidencialidade, da integridade e da disponibilidade dos dados pessoais.

O CMO é responsável por:
- Aprovar quaisquer declarações de proteção de dados anexadas às comunicações, como e-mails e cartas.
- Abordar quaisquer consultas de proteção de dados feitas por jornalistas ou meios de comunicação, como jornais.
- Quando necessário, trabalhar com o Encarregado para garantir que as iniciativas de marketing da Empresa cumpram os princípios de proteção de dados

A COO é responsável por:
- Melhorar a conscientização de todos os colaboradores a respeito da proteção de dados pessoais dos titulares de dados pessoais, internos e externos.
- Organizar treinamentos para melhorar os conhecimentos técnicos e aumentar a conscientização dos colaboradores que trabalham com dados pessoais.
- Proteger dados pessoais de colaboradores de ponta a ponta. Ele deve garantir que os dados pessoais dos colaboradores são tratados com base em finalidades comerciais legítimas e na necessidade do empregador.
- Repassar as responsabilidades de proteção de dados pessoais aos fornecedores e melhorar os níveis de conscientização dos fornecedores sobre proteção de dados pessoais, bem como diminuir os requisitos de dados pessoais que um fornecedor pretenda utilizar. O Departamento de Compras deve garantir que a Empresa se reserve o direito de auditar os fornecedores.

8. Resposta a incidentes de violação de dados pessoais

Quando a Empresa souber de um incidente de segurança ou de uma violação concreta de dados pessoais, o CTO deve realizar uma investigação interna e tomar as medidas corretivas apropriadas em tempo hábil, de acordo com a Política de Violação de Dados Pessoais

Quando houver qualquer risco para os direitos e liberdades dos titulares de dados, a Azulou deve notificar as Autoridade Nacional de Proteção de Dados brasileira imediatamente ou no prazo máximo de 72 horas.

9. Exclusão de conta

Solicitação de Exclusão de Dados Pessoais

Você pode solicitar a exclusão dos seus Dados Pessoais coletados pela nossa empresa de duas maneiras:

1. Através dos Canais de Atendimento:

- Ao solicitar a exclusão de seus dados pessoais, informe que deseja esta ação.Importante:
- Após a solicitação, seus dados serão anonimizados e mantidos pelo prazo legal estipulado para ações de defesa do consumidor. Essa medida visa proteger tanto o consumidor quanto a empresa em eventuais litígios futuros.

2. Exclusão Direta pelo Aplicativo:

- Siga os passos abaixo para realizar a exclusão diretamente pelo aplicativo:

2.1. Acessar o menu 'Configurações'.
2.2. Vá até 'Minha conta'.
2.3. Em 'Segurança da Conta', selecione 'Excluir Conta'.
2.4. Na página de exclusão, insira seu CPF ou CNPJ cadastrado.
2.5. Clique em 'Excluir Conta' para confirmar.
2.6. Uma vez concluído, o processo de exclusão de conta é finalizado.

Note: A exclusão de conta é um processo irreversível. Certifique-se de que deseja prosseguir antes de confirmar.

10. Auditoria e Prestação de Contas

O Departamento de Auditoria ou outro departamento relevante é responsável por auditar o quão bem os departamentos de negócios implementam esta Política.

Qualquer colaborador que viole esta Política estará sujeito a uma ação disciplinar. O colaborador também poderá estar sujeito a responsabilidades civis ou criminais se sua conduta violar leis ou regulamentos.

11. Conflitos de Direito

Esta Política destina-se a cumprir as leis e regulamentos no local do estabelecimento e dos países em que a Azulou opera. No caso de qualquer conflito entre esta Política e as leis e regulamentos aplicáveis, estes últimos prevalecerão sobre esta Política.

12. Gerenciamento de registros mantidos com base neste documento

Nome do documento

Local de armazenamento

Responsável pelo armazenamento

Controles para proteção de registros

Somente pessoas autorizadas podem acessar os formulários

Formulários de pedido de consentimento para o titular de dados

Google Drive Corporativo

Encarregado

05 anos

Somente pessoas autorizadas podem acessar os formulários

Formulário de retirada de consentimento do titular de dados

Google Drive Corporativo

Encarregado

Somente pessoas autorizadas podem acessar os formulários

05 anos

Somente pessoas autorizadas podem acessar os formulários

Google Drive Corporativo

Encarregado

Somente pessoas autorizadas podem acessar os formulários

05 anos a partir da data de rescisão do contrato

Registro de Avisos de Privacidade

Google Drive Corporativo

Encarregado

Contratos de colaboradores e prestadores de serviços

Permanentemente

Contratos de colaboradores e prestadores de serviços

Google Drive Corporativo

Encarregado

Contratos de colaboradores e prestadores de serviços

03 anos a partir da data de rescisão do contrato

13. Validade e gerenciamento de documentos

Este documento é válido a partir de 30/09/2021.

O proprietário deste documento é o Encarregado, que deve verificar e, se necessário, atualizar o documento pelo menos uma vez por ano.

CEO Antero Silva