Política de Privacidade e Proteção de Dados Pessoais da xGB

Sumário

 

  1. Informações iniciais.
  2. Significado de algumas expressões.
  3. Quais os principais tratamentos de dados pessoais realizamos.
  4. Uso de dados pessoais nesse site.
  5. Compartilhamento de dados pessoais.
  6. Por quanto tempo os dados serão armazenados?
  7. Proteção de suas informações pessoais.
  8. Direitos do titular de dados pessoais.
  9. Transferência internacional de dados pessoais.
  10. Atualização periódica desta Política.

 

1. Informações iniciais.

A X GOOD BRAINS TECNOLOGIA DA INFORMAÇÃO LTDA (“xGB”), pessoa jurídica de direito privado, inscrita no CNPJ/MF sob o n° 25.348.605/0001-07,

sediada na Rua Doutor Alfredo de Castro, 200, Conjunto 1.101, Barra Funda, São Paulo/SP, CEP 01155-060, em atenção às normas de privacidade e proteção de dados pessoais, em especial à Lei Geral de Proteção de Dados (Lei nº.13.709/2018) e o Marco Civil da Internet (Lei nº. 12.965/2014), apresenta sua

Política de Privacidade e Proteção de Dados

simplesmente referida como Política, pela qual compromete-se a respeitar e proteger os dados pessoais de seus clientes, colaboradores, terceiros e outras pessoas identificáveis que venham a ter seus dados tratados pela xGB. Recomendamos a leitura atenta a fim de obter plena ciência com os termos aqui estipulados.

Agente de tratamentoX GOOD BRAINS TECNOLOGIA DA INFORMAÇÃO LTDA
Papel no tratamentoControlador e operador
Finalidade como OperadorFornecimento de soluções de serviços tecnologia
CompartilhamentoTerceiros e Órgãos Governamentais
Medidas Empregadas para a Proteção de dados pessoaisElencados no item 7 (Como a xGB protege suas informações e Dados Pessoais) desta Política.
Seus direitosElencados no item 8 (Exercício de Direitos) desta Política.

Esta Política será revisada e atualizada periodicamente e sua versão mais atual estará disponível em nosso site. 

2. Significado de algumas expressões

A xGB traz um breve glossário com o significado de algumas expressões para servir de apoio e facilitar a plena compreensão dessa Política.

  1. Agentes de tratamento: o Controlador e o Operador. São pessoas jurídicas ou físicas (profissionais autônomos) que tratam dados pessoais para oferecimento de produtos ou serviços.
  2. Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. É um processo para tornar um dado pessoal ou dado pessoal sensível em um dado não pessoal, isto é, que não tem o potencial de identificar uma pessoa.
  3. Autoridade Nacional de Proteção de Dados Pessoais (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
  4. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
  5. Controlador: pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
  6. Cookies: mecanismos que permitem certas funcionalidades e garantem uma experiência personalizada à navegação online. Em outras palavras, são pequenos arquivos de texto utilizados para armazenar e recuperar informações do terminal utilizado pela pessoa (computador, tablet, smartphone, dentre outros disponíveis no mercado) identificando a interação entre o dispositivo e um determinado site.
  7. Dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. É aquele que, originariamente, era relativo a uma pessoa, mas que perdeu a possibilidade de associação, direta ou indireta, de forma que a LGPD não se aplica a esses tipos de dados.
  8. Dado pessoal: informação relacionada à pessoa natural identificada ou identificável. Qualquer informação que tenha potencial de identificar uma pessoa física pode ser considerada como dado pessoal. Empresas não têm dados pessoais, só pessoas físicas. O CPF é um dado pessoal, já o CNPJ, não. Para citar alguns exemplos: nome, sobrenome, data de nascimento, informações contidas em documentos pessoais oficiais (como CPF, RG, CNH, Carteira de Trabalho, passaporte e título de eleitor), endereço residencial, telefone fixo ou móvel, endereço de e-mail pessoal e profissional, o endereço de IP, histórico de navegação na internet ou informações coletadas por cookies, todas essas informações podem ser consideradas como dados pessoais.
  9. Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Como se vê, são dados pertencentes a uma esfera mais íntima da pessoa física, que se mal utilizados, podem acarretar prejuízos aos titulares.
  10. Encarregado (DPO – Data Protection Officer): pessoa indicada pelo Agente de tratamento, seja o Controlador ou Operador, para atuar como canal de comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Além dessas funções, o Encarregado orienta um Agente de tratamento e seus principais interessados, internamente.
  11. Internet: rede internacional de computadores conectados entre si, permitindo a troca de informações de toda natureza, em escala mundial, com elevado nível de interatividade.
  12. IP ou Internet Protocol: Internet Protocol ou protocolo de internet. O TCP (Protocolo de Controle de Transmissão) divide os dados que serão transmitidos pela internet, em pequenos pedaços denominados de pacotes. O IP é adicionado a cada pacote de dados, de forma que eles alcancem o destino correto. Cada terminal ou roteador utiliza o endereço de IP, de forma a guiar o encaminhamento dos pacotes de informação. Em outras palavras, o IP relativo à determinada data e hora é capaz de identificar um terminal, seja computador, tablet ou celular, garantindo certo grau de identificação na internet, afastando o anonimato de quem está na rede.
  13. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador;
  14. Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;
  15. Princípio da transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.   
  16. Relatório de impacto à proteção de dados pessoais: documentação do Controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
  17. Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Em outros termos, é o dono do dado pessoal e a pessoa que poderá exercer os direitos em relação aos mesmos, por isso ser chamado de titular.
  18. Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro. Como a Internet, por sua própria definição, é uma rede internacional de computadores conectados entre si, é mais comum do que se imagina a existência de transferência internacional de dados. Por exemplo, ao se contratar um simples serviço de nuvem, a depender de onde estão localizados os servidores e data centers da empresa prestadora do serviço, poderá implicar na existência de transferência internacional de dados pessoais. 
  19. Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, isto é, tratamento é o uso, a utilização do dado pessoal, é alguma ação que está sendo feita com ele, lembrando que o simples ato de armazenar é tratamento.

3. Quais os principais tratamentos de dados pessoais realizamos.

A xGB poderá coletar dados pessoais das seguintes maneiras: i) automaticamente por meio aplicações de internet; ii) dos clientes; iii) por terceiros; iv) dos pais ou responsáveis legais dos dependentes e v) fornecido pelos próprios usuários das soluções de aplicações de internet da xGB. Vejamos alguns dos principais tratamentos de dados pessoais.

  1. Uso de cookies.A xGB pode utilizar a tecnologia de cookies em seu site para otimizar a sua experiência de navegação.
  2. Colaboradores e prestadores de serviços.A xGB poderá realizar o tratamento de dados pessoais, tais como, o nome completo, e-mail, telefone, endereço, data de nascimento, foto, dados dos sócios das pessoas jurídicas prestadoras de serviços e de seus dependentes, dados bancários, entre outros que se mostrarem necessários para a referida finalidade, tendo como base legal, a depender da operação de tratamento, o cumprimento do contrato com os prestadores, para o cumprimento de obrigação legal ou regulatória, para o exercício regular de direito, para atender legítimo interesse do agente de tratamento, do titular ou de terceiro ou ainda mediante a obtenção do consentimento livre, informado e inequívoco.
  3. Atividades funcionais administrativas.A xGB poderá realizar o tratamento de dados pessoais para a finalidade de possibilitar o seu gerenciamento administrativo, financeiro e institucional, tais como, nome completo, dados cadastrais de documentos oficiais (RG, CPF, CNH entre outros necessários), endereço, telefone fixo e móvel, profissão, data de nascimento, nacionalidade, entre outros que se mostrarem necessários para a finalidade apontada, tendo como base legal, a depender da operação de tratamento, a execução de contratos, cumprimento de obrigações legais ou regulatórias, para o exercício regular de um direito previsto em lei ou contrato.
  4. Marketing/Vendas. A xGB poderá realizar o tratamento de dados pessoais tais como o nome, telefone, e-mail e informações profissionais e outros estritamente necessários para a finalidade de entrar em contato com pessoas para oferecer os seus produtos e serviços, tendo como base legal, a depender da operação de tratamento, o legítimo interesse do agente, do titular ou terceiros, ou mediante o consentimento do titular.
  5. Gestão de projetos.A xGB poderá realizar o tratamento de dados pessoais para a gestão e execução dos projetos e serviços contratados, tais como nome, telefone, celular, e-mail, endereço e informações profissionais, dados analíticos, entre outros necessários para a finalidade apontada, tendo como bases legais, a depender da operação de tratamento, a execução de contratos, cumprimento de obrigações legais ou regulatórias, para o exercício regular de um direito previsto em lei ou contrato, o legítimo interesse de titular ou de terceiros.
  6. Para as soluções de realidade aumentada ou realidade virtual.A xGB poderá realizar o tratamento dos dados pessoais fornecidos por seus usuários para possibilitar o funcionamento de suas aplicações, dados como: IP, relativo à determinada data e hora; e dados cadastrais, como nome e e-mail, podendo vir a coletar a imagem da face da pessoa, que permitirá oferecer solução de realidade aumentada ou virtual para os usuários de suas aplicações na internet, por exemplo, de óculos, joias, maquiagens, dentre outras possibilidades. Importa ressaltar que a xGB não utiliza sua tecnologia para reconhecimento facial, mas unicamente detecção facial, de forma anonimizada, para a finalidade destacada, tendo como base legal, a depender da operação de tratamento, a execução de contrato, consentimento e legítimo interesse.
  7. Dados anonimizados. A xGB poderá realizar o tratamento de dados analíticos, de forma anonimizada, para análises métricas e estatísticas.

4. Uso de dados pessoais nesse site.

A xGB usa suas informações e dados pessoais para adequar o site às suas preferências e para prover os serviços e soluções de realidade aumentada e realidade virtual.

5. Compartilhamento de dados pessoais.

Como parte normal da condução de negócios e serviços aos nossos clientes, compartilharemos os dados pessoais dos titulares com os nossos profissionais devidamente autorizados para fornecer o(s) serviço(s) solicitado(s), respeitando os princípios previstos na legislação aplicável. Todo acesso aos dados pessoais preservará sua confidencialidade, conforme os termos desta Política.

Também podemos compartilhar os dados pessoais com órgãos governamentais para o cumprimento de obrigações acessórias, por exemplo, com órgãos públicos para a emissão de notas fiscais, entre outros.

Também haverá compartilhamento de dados pessoais com prestadores de serviços de tecnologia, por exemplo, softwares de gestão de marketing, vendas e projetos, serviços de cloud. Vejamos:

  1. Amazon Web Service.
  2. Google Cloud Platform.
  3. Microsoft Azure.
  4. Microsoft Onedrive.
  5. Google Drive.
  6. Dropbox.
  7. Pipz.
  8. Pipedrive.
  9. Firebase.
  10. AR Core.
  11. AR Quick Look.

Sempre que esses prestadores vierem a tratar seus dados, deverá se dar em conformidade com as normas de privacidade e proteção de dados pessoais.

6. Por quanto tempo os dados serão armazenados?

Os dados pessoais armazenados pela xGB permanecem retidos por um prazo que poderá variar de acordo com a finalidade do tratamento dos dados pessoais, variando, conforme alguns critérios, por exemplo, pelo tempo exigido por lei, ou após o término ou esgotamento do objetivo ou finalidade de cada operação de tratamento.

Após esses prazos, eliminamos os dados pessoais da nossa base de dados, a não ser que, justificadamente, possam ser anonimizados, sem prejuízo das regulamentações que tratam – ou venham a tratar – acerca do tema, em especial, no que diz respeito ao cumprimento de obrigação legal ou regulatória pelo Controlador.

7. Proteção de suas informações pessoais.

A xGB emprega medidas técnicas de segurança e organizacionais para proteger suas informações e seus dados pessoais. 

Os dados serão armazenados em um ambiente operacional seguro que não é acessível ao público, de modo que para acesso aos nossos sistemas sempre haverá uma validação por parte da nossa área de Tecnologia da Informação (TI) para o compartilhamento de algum diretório ou acesso ao portal.

Cabe informar que a xGB investe em segurança da informação por padrão, com o objetivo de manter ambiente seguro, adotando medidas como as arroladas a seguir, em rol exemplificativo e não taxativo: 

  1. controle de acesso;
  2. criptografia;
  3. programa de antivírus e antiSpam; e
  4. processos contínuos de backup de dados para recuperar e manter dados.

A xGB se esforça para proteger a privacidade dos dados pessoais e demais informações que são armazenadas, contudo não se pode garantir total segurança. O uso não autorizado de contas, falha de hardware ou de software, bem como outros fatores podem comprometer a segurança de seus dados pessoais a qualquer momento. Neste sentido, nenhuma transmissão pela Internet pode ser garantida como completamente segura.

Por isso, caso você identifique ou tome conhecimento de algo que comprometa a segurança dos dados pessoais, a xGB pede que entre em contato por meio do seguinte endereço de e-mail: dpo@xgb.com.br.

8. Direitos do titular de dados pessoais.

A Lei Geral de Proteção de Dados traz uma série de direitos aos titulares:

  1. A confirmação da existência de operações de tratamento envolvendo seus dados pessoais. Em outras palavras, você pode saber se tratamos ou não tratamos seus dados pessoais.
  2. E se a resposta anterior for positiva, ou seja, se tratamos seus dados pessoais, você tem direito de acesso aos próprios dados pessoais.
  3. Se a base legal utilizada para justificar o tratamento for o consentimento, você tem o direito de revogar (retirar) o consentimento dado, e ainda tem direito a saber das consequências desta retirada.
  4. Direito de solicitar a portabilidade de dados pessoais a terceiros, em outras palavras, você pode solicitar que enviemos seus dados pessoais a outras empresas, como por exemplo, no caso de contratação de outra operadora de plano de saúde, observados os segredos comercial e industrial, de acordo com a regulamentação da Autoridade Nacional de Proteção de Dados Pessoais (ANPD), exceto os dados que já tenham sido anonimizados pela xGB.
  5. Direito à correção de dados incompletos, inexatos ou desatualizados. Ajude-nos a manter seus dados completos, dentro do necessário, exatos e atuais, na medida do possível e razoável. Também é do nosso interesse que nosso banco de dados seja preciso e atual, para uma melhor prestação dos serviços pela xGB.
  6. Direito à eliminação dos dados pessoais tratados com o seu consentimento, exceto nas seguintes hipóteses:

(a) cumprimento de obrigação legal ou regulatória pelo Controlador; 

(b) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

(c) transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD; 

(d) uso exclusivo pelo Controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados.

       7. Informação das entidades públicas e privadas com as quais o Controlador realizou uso compartilhado de dados.

       8. Informação sobre a possibilidade de não fornecer o consentimento e sobre as consequências da negativa.

9. Revogação do consentimento, a qualquer tempo mediante manifestação expressa, por procedimento gratuito e facilitado, ratificados os tratamentos realizados sob amparo do consentimento anteriormente manifestado

10. Petição à Autoridade Nacional de Proteção de Dados Pessoais (ANPD) para se manifestar sobre o Controlador e eventual direito não atendido.

11. Oposição às operações de tratamento de dados pessoais realizadas com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na Lei Geral de Proteção de Dados Pessoais.

12. Revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

Importante que o titular tenha ciência de que a exclusão de informações essenciais para a prestação dos serviços implicará no término de seu cadastro, com consequente cancelamento dos serviços então prestados.

Você poderá exercer seus direitos, sem custos, mediante requerimento expresso, por escrito, a ser enviado ao e-mail dpo@xgb.com.br. A xGB empreenderá esforços para responder no menor tempo possível respeitando-se os prazos de guarda estabelecidos pela legislação, e poderá requerer informações adicionais para viabilizar o atendimento.

É preferível que o próprio titular exerça seus direitos. Mas se o titular tiver que ser representado, é necessária a apresentação de instrumento de mandato específico para esse fim, com reconhecimento de firma por autenticação em qualquer cartório.

Em caso de impossibilidade de adoção imediata da providência requisitada, a xGB, enviará resposta ao Titular, em prazo razoável.

Por fim, o titular deve estar ciente que sua requisição poderá ser legalmente rejeitada, seja por motivos formais (a exemplo de sua incapacidade de comprovar sua identidade) ou legais (o direito do usuário não pode ser atendido, pois se enquadra em alguma exceção legal ou regulatória).

9. Transferência internacional de dados pessoais

É possível que algumas das operações de tratamento de dados pessoais realizadas pela xGB, ou pelas empresas que prestam serviços para a xGB, envolva a transferência internacional de dados pessoais. 

A xGB se compromete a cumprir o disposto na Lei Geral de Proteção de Dados, em observância às orientações da ANPD sobre o tema, procurando garantir que as transferências ocorram somente para países que proporcionem grau de proteção de dados pessoais equivalente ao do Brasil, ou mediante a utilização de garantias e salvaguardas, como cláusulas específicas, cláusulas-padrão, normas corporativas globais, entre outras que se mostrarem necessárias.

10. Atualização periódica desta Política.

Esta Política estará em constante aperfeiçoamento, acompanhando as boas práticas, as orientações da Autoridade Nacional de Proteção de Dados (ANPD) e, é claro, sempre atento às suas sugestões. Entre em contato conosco pelo e-mail oficial: dpo@xgb.com.br. Ajude-nos a melhorar nossas Políticas.