Nesse Espaço você encontra informações regulares, orientações, política e como tratamos os dados no Grupo Carrara.

A proteção de dados também está presente nas pequenas atitudes do dia a dia. Deixar documentos expostos sobre a mesa, compartilhar informações em locais públicos, enviar arquivos sem conferir o destinatário ou comentar assuntos internos em ambientes inadequados podem gerar riscos à privacidade e à segurança das informações.

Antes de encaminhar e-mails, documentos ou imagens, revise atentamente quem receberá o conteúdo e avalie se o compartilhamento é realmente necessário. Informações corporativas, dados pessoais de clientes, colaboradores e parceiros devem ser tratados com cuidado e responsabilidade, mesmo em situações rotineiras.

Outro ponto importante é manter atenção ao ambiente ao seu redor. Ao se ausentar da estação de trabalho, bloqueie a tela do computador e evite deixar documentos impressos sem supervisão. Pequenas ações preventivas reduzem significativamente o risco de acessos indevidos e exposição de informações.

A segurança da informação depende do comprometimento de todos. A adoção de hábitos conscientes fortalece a cultura de proteção de dados e contribui para um ambiente mais seguro e confiável para toda a organização.

Em caso de dúvidas sobre o tema, o Benício Advogados, escritório especializado em Privacidade e Proteção de Dados está à disposição para esclarecer, através do e-mail encarregadodedados@grupocarrara.com.br, na pessoa da Encarregada de Dados Pessoais – Sandra Fátima de Sales Oliveira.

POLÍTICA DE PRIVACIDADE E PROTEÇÃO DOS DADOS

 

A CARRARA SERVIÇOS LTDA., pessoa jurídica de direito privado, inscrita no CNPJ sob o n.º 04.826.233/0001-07, com sede em São Paulo – SP, em conformidade com a Lei n. 13.709/2018 (“Lei Geral de Proteção de Dados” ou “LGPD“), apresenta esta Política de Privacidade e Proteção de Dados Pessoais (“Política” ou “PPPD“) com o propósito de orientar a todos aqueles que tratam Dados Pessoais por conta e em nome da CARRARA por meio de diretrizes acerca da proteção e do Tratamento desses dados, fazendo parte, portanto, do programa da Governança de Dados Pessoais da CARRARA.

 

Esta Política abrange todo e qualquer Tratamento de Dados Pessoais realizado pela CARRARA, independentemente do meio, se físico ou eletrônico, do público, se externo ou interno, e da finalidade do Tratamento realizado.

 

Esta Política é complementada pelo Anexo I – Mapa Simplificado de Tratamento de Dados Pessoais, que apresenta as principais atividades de tratamento realizadas pela CARRARA, suas finalidades, categorias de dados tratados, bases legais aplicáveis e hipóteses de compartilhamento, podendo ser atualizado periodicamente em razão de alterações operacionais, contratuais ou regulatórias.

 

NORMAS APLICÁVEIS

 

Esta Política é regida, interpretada e executada de acordo com a legislação nacional, especialmente a LGPD. No entanto, em caso de Transferência Internacional de Dados, serão também observadas as leis internacionais aplicáveis, dos países com os quais ocorrer o compartilhamento de Dados Pessoais, bem como as Normas Corporativas Globais (Binding Corporate Rules) e as soft laws aplicáveis em observância ao caso concreto.

 

DEFINIÇÕES

 

Para os fins da presente Política de Privacidade e Proteção de Dados, os termos abaixo definidos, quando escritos em letra maiúscula, seja no singular ou no plural, terão os seguintes significados:

 

Agentes de Tratamento: o Controlador e o Operador;

 

Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do Tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

 

Autoridade Nacional de Proteção de Dados Pessoais (ANPD): órgão da administração pública federal brasileira responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.

 

Banco de Dados: conjunto estruturado de Dados Pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

 

Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do Dado Pessoal ou do Banco de Dados;

 

Consentimento: manifestação livre, informada e inequívoca pela qual o Titular concorda com o Tratamento de seus Dados Pessoais para uma finalidade determinada;

 

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao Tratamento de Dados Pessoais;

 

Dado Anonimizado: dado relativo a Titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu Tratamento;

 

Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável;

 

Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político; dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

 

Eliminação: exclusão de dado ou de conjunto de dados armazenados em Banco de Dados, independentemente do procedimento empregado;

 

Encarregado de Dados: pessoa indicada pelo Controlador e/ou Operador para atuar como canal de comunicação entre o Controlador, os Titulares dos Dados e a ANPD, sendo o Encarregado de Dados também conhecido, no idioma inglês, como Data Protection Officer (DPO);

 

Lei Geral de Proteção de Dados (LGPD): Lei nº 13.709, de 14 de agosto de 2018, que dispõe sobre o Tratamento de Dados Pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;

 

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o Tratamento de Dados Pessoais em nome do Controlador;

 

Órgão de Pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado, sem fins lucrativos, legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico;

 

Titular: pessoa natural a quem se referem os Dados Pessoais que são objeto de Tratamento;

 

Transferência Internacional de Dados: transferência de Dados Pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;

 

Tratamento: toda operação realizada com Dados Pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

 

Relatório de Impacto à Proteção de Dados Pessoais: documento do Controlador que contém a descrição dos processos de Tratamento de Dados Pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

 

Uso Compartilhado de Dados: comunicação, difusão, transferência internacional, interconexão de Dados Pessoais ou tratamento compartilhado de Banco de Dados Pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

 

 

 

PRINCÍPIOS DO TRATAMENTO DE DADOS PESSOAIS

 

O Tratamento de Dados Pessoais realizado por conta e em nome da CARRARA deverá observar os seguintes princípios, sempre em observância ao respeito à privacidade, à dignidade e aos direitos dos Titulares, bem como ao respeito à boa-fé na relação entre o Titular e a CARRARA:


I. Finalidade: o Tratamento de Dados Pessoais deverá ocorrer tão somente para propósitos legítimos, específicos, explícitos e informados ao Titular;

 

II. Adequação: o Tratamento deverá ser compatível com as finalidades informadas ao Titular;


III. Necessidade: o Tratamento deverá ser realizado de forma proporcional e pertinente, tratando apenas os dados necessários para o cumprimento da finalidade legítima determinada pela CARRARA;


IV. Livre acesso: o Titular poderá, de forma facilitada e gratuita, consultar a CARRARA acerca da forma e duração do Tratamento de seus Dados Pessoais;

 

V. Qualidade dos dados: os Dados Pessoais tratados pela CARRARA deverão estar sempre atualizados, claros e exatos;

 

VI. Transparência:  o Titular deverá ter fácil acesso a informações claras e precisas sobre o tratamento de seus Dados Pessoais pela CARRARA;


VII. Segurança: a CARRARA deverá tomar todas as medidas técnicas e administrativas aptas a protegerem os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

 

VII. “a”, MEDIDAS DE SEGURANÇA

 

A CARRARA adota medidas técnicas e administrativas aptas a proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas.

 

Entre essas medidas podem estar:

·                     controle de acesso baseado em perfil;

·                     autenticação de usuários;

·                     utilização de senhas seguras;

·                     monitoramento de acessos;

·                     registro de logs;

·                     backups periódicos;

·                     criptografia quando aplicável;

·                     treinamento de colaboradores;

·                     gestão de fornecedores.

 

 

VIII. Incidentes de Segurança: A CARRARA mantém procedimentos internos para identificação, tratamento e mitigação de incidentes de segurança envolvendo dados pessoais.Quando exigido pela legislação aplicável, a empresa comunicará a ANPD e os titulares afetados, observando os requisitos legais e regulamentares vigentes.

 

IX. Prevenção: a CARRARA deverá adotar medidas para prevenir a ocorrência de danos em virtude do Tratamento de Dados Pessoais;


X. Não discriminação: é expressamente proibida a realização do Tratamento de Dados Pessoais para fins discriminatórios ilícitos e/ou abusivos;


XI. Responsabilização e prestação de contas: a CARRARA deverá demonstrar que adota medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de Dados Pessoais.

 

FONTES

 

Os Dados Pessoais que tratamos são provenientes de diversas fontes, como, por exemplo:


I. Plataformas da Empresa: como websites, minisites ou aplicativos voltados para os funcionários, colaboradores, parceiros de negócios e clientes, com domínios e URLs próprios, bem como aqueles voltados para terceiros em geral;

 

II. Mensagens eletrônicas (e-mails, mensagens de texto, formulários, entre outras): todas as comunicações eletrônicas estabelecidas entre o Titular de Dados Pessoais e a Empresa;

 

III. Formulários de registro off-line: formulários impressos ou digitais ou formas análogas nos quais são coletados Dados Pessoais como, por exemplo, correspondências via correios, cadastros de funcionários, colaboradores, clientes e parceiros de negócios, listas de demandantes em processos administrativos e judiciais e quaisquer outras listas, formulários ou cadastros elaborados no legítimo interesse da Empresa;


IV. Interações automatizadas: como, por exemplo, Dados Pessoais coletados por meio de anúncios publicitários da CARRARA em sites terceiros ou de redes sociais, dados obtidos por meio de pesquisas de mercados, entre outras (para saber mais, consulte a “Política de Cookies“);


V. Controladores terceiros: como, por exemplo, Dados Pessoais coletados, compartilhados ou transferidos em razão de fusões, aquisições, incorporações, cisões, joint ventures, ou em razão de outros institutos de empresas;

 

VI. Contratos ou formulários pré-contratuais: como Dados Pessoais de indivíduos que figuram ou que poderão figurar em contratos, de variadas espécies, firmados ou a serem firmados com a CARRARA.

 

TIPOLOGIA DE DADOS PESSOAIS E BASES LEGAIS

 

O Tratamento de Dados Pessoais deverá ocorrer apenas se houver propósitos legítimos, específicos, explícitos e informados ao Titular, devendo ser tratados apenas os Dados Pessoais estritamente necessários para o cumprimento da finalidade informada pela CARRARA. A LGPD dispõe acerca das hipóteses autorizadoras (“bases legais”) do Tratamento de Dados Pessoais; são elas:


I. A partir do consentimento do Titular;

 

II. Para o cumprimento de obrigação legal ou regulatória pelo Controlador de Dados Pessoais;

 

III. Pela administração pública, para o Tratamento e uso compartilhado de dados necessários à execução de políticas públicas em conformidade com leis e regulamentos ou por base em contratos, convênios ou instrumentos análogos;

 

IV. Para a realização de estudos por órgãos de pesquisa, devendo ocorrer, sempre que possível, a Anonimização dos Dados Pessoais;

 

V. Para execução de contrato ou de procedimentos preliminares relacionados a contratos;

 

VI. Para o exercício regular de direitos em processo judicial, administrativo ou arbitral;

 

VII. Para a proteção da vida e da incolumidade física do titular ou de terceiros;

 

VIII. Para a tutela da saúde em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

 

IX. Para atender aos interesses legítimos do controlador ou de terceiros, observados os direitos e liberdades fundamentais do Titular;

 

X. Para a proteção do crédito.

 

Desse modo, essas bases legais serão classificadas de acordo com a finalidade do Tratamento de Dados Pessoais realizado pela Empresa. Abaixo, citamos alguns exemplos dos tipos de Dados Pessoais que poderão ser tratados pela CARRARA, suas finalidades e as respectivas bases legais que autorizam seu Tratamento.

 

As atividades de tratamento descritas nesta seção possuem caráter exemplificativo. O detalhamento das principais operações de tratamento realizadas pela CARRARA encontra-se consolidado no Anexo I – Mapa Simplificado de Tratamento de Dados Pessoais, integrante desta Política.

 

TIPO

FINALIDADE

BASE LEGAIS

Informações de login e conta.

Fornecer bens ou serviços solicitados pelo Titular de Dados.

Fornecimento de consentimento pelo Titular (art. 7º, inciso I, da LGPD)

Informações demográficas, perfil de interesses a partir de pesquisas de mercado ou anúncios publicitários originados em Plataformas administradas pela CARRARA ou por controladores terceiros, como redes sociais e websites e aplicativos.

Coletar Dados Pessoais do Titular usuário de Plataformas da Empresa ou de terceiros acerca de seus hábitos de navegação, preferências de consumo, entre outros.

Necessário para atender aos legítimos interesses do Controlador ou de Terceiros (art. 7º, inciso IX, da LGPD); Fornecimento de consentimento pelo Titular (Art. 7º, inciso I, da LGPD). Para mais informações, consulte nossa “Política de Cookies“. 

Conteúdos gerados voluntariamente pelos próprios Titulares, a partir de canais como “Trabalhe Conosco” ou envio de e-mails.

Atender às solicitações encaminhadas pelo Titular dos Dados.

Fornecimento de consentimento pelo Titular (art. 7º, inciso I, da LGPD)

Dados pessoais pré-contratuais e originados de contratos diversos.

Gerenciar contratos nos quais o Titular dos Dados Pessoais faça ou venha a fazer parte

Execução de contrato ou de procedimentos preliminares relacionados a contrato (art. 7º, inciso V, da LGPD)

Dados do setor de RH, Dados financeiros e análogos.

Cumprir obrigações trabalhistas, administrativas, contábeis, tributárias e outras obrigações legais

Cumprimento de obrigação legal ou regulatória (art. 7º, inciso II, da LGPD)

Dados de candidatos, currículos, formulários de recrutamento e entrevistas

Avaliação de perfil profissional e participação em processos seletivos

Execução de contrato ou de procedimentos preliminares relacionados a contrato (art. 7º, inciso V, da LGPD)

Dados de candidatos mantidos para futuras oportunidades

Formação de banco de talentos

Consentimento do titular (art. 7º, I, LGPD)

Dados biométricos ou oriundos de reconhecimento facial

Proteger a segurança dos funcionários e controlar o acesso às dependências da CARRARA.

Garantia de prevenção à fraude e à segurança do Titular (art. 11, inciso II, alínea “g”, da LGPD).

Dados oriundos de processos e procedimentos, administrativos ou judiciais, os quais façam parte o Titular de Dados.

Gerenciar os processos e procedimentos em questão.

Exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 7º, inciso VI, da LGPD).

Dados oriundos de fusões, aquisições, cisões, joint ventures e outras razões que envolvam institutos do direito das empresas.

Efetivar operações empresariais.

Cumprimento de obrigação legal ou regulatória (art. 7º, inciso II, da LGPD); Os dados necessários para atender aos legítimos interesses do Controlador ou de terceiros (art. 7º, inciso IX, da LGPD)

 

 

CONSENTIMENTO

 

O consentimento do Titular de Dados Pessoais é uma das hipóteses autorizadoras de tratamento de Dados Pessoais, sensíveis ou não. O consentimento deverá ser livre, informado e inequívoco, devendo o Titular concordar com o Tratamento de seus Dados Pessoais para uma finalidade legítima e determinada, podendo este ser revogado a qualquer momento. 

 

 

 

DIVULGAÇÃO E COMPARTILHAMENTO DE DADOS PESSOAIS

 

Os Dados Pessoais poderão ser divulgados ou compartilhados sempre que necessário para cumprimento de obrigação legal ou regulatória, para o exercício regular de direitos sobre os contratos ou processos judiciais e administrativos dos quais a CARRARA seja parte ou interessada, ou, ainda, para atender a interesses legítimos próprios ou de terceiros, em observância aos direitos dos Titulares, como, por exemplo, em casos de proteção ao crédito ou para finalidades de marketing. Esses dados também poderão ser compartilhados em caso de decisão judicial ou administrativa de autoridade competente.

 

Sem prejuízo de outras formas autorizadas em lei, os Dados Pessoais podem ser divulgados ou compartilhados nas seguintes hipóteses:

 

I. Divulgação pela própria Empresa: para cumprir determinadas obrigações legais e regulatórias, é necessário divulgar, por exemplo, relatórios, reports, atas, extratos de publicação em diários oficiais, extratos de contratos, dentre outros tipos de documentos originados na própria CARRARA, cujos teores poderão conter Dados Pessoais de diretores, administradores, auditores, profissionais liberais, contratantes e outras pessoas cuja participação e qualificação se mostravam imprescindíveis para a prática do ato ou para a elaboração do documento;

 

II.Colaboradores e parceiros de negócio: a fim de cumprir deveres ou contratos em forma coligada ou dispostos em redes contratuais, a CARRARA poderá divulgar ou compartilhar Dados Pessoais a terceiros;

 

III.Provedores e prestadores de serviços: A CARRARA poderá divulgar e compartilhar Dados Pessoais em seu legítimo interesse para processar dados, operar plataformas, realizar pesquisas de mercado, de marketing e remarketing, serviços de suporte, promoções, análise de dados, agências de crédito ou cobrança de dívidas, órgãos prestadores de serviços públicos, escritórios de auditoria, advocacia, contabilidade e consultoria, de atendimento à imprensa, ao consumidor, aos fornecedores, aos colaboradores, aos funcionários e aos parceiros de negócios. Os Dados Pessoais divulgados e/ou compartilhados deverão, preferencialmente, ser anonimizados.

 

IV.Ordem emanada de autoridade judicial ou administrativa: caso seja ordenado por autoridade judicial e/ou administrativa competente a divulgação, a abertura, a quebra de sigilo ou a transferência de Dados Pessoais de qualquer indivíduo ou grupo de indivíduos cujos dados estejam em poder da Empresa;

 

V.Institutos do direito de empresas: Dados Pessoais poderão ser divulgados, compartilhados ou cedidos em hipóteses concernentes ao direito empresarial, como em caso de recuperação judicial, falência, fusões, aquisições, incorporações, cisões, joint ventures, abertura de filiais, de sucursais etc.

 

VI.Cliente Contratantes: A CARRARA poderá compartilhar dados pessoais de seus colaboradores, prestadores de serviços ou representantes com clientes contratantes sempre que necessário para execução dos contratos firmados, observadas as bases legais aplicáveis e os princípios da LGPD.

 

Registre-se, entretanto, que a CARRARA não pode se responsabilizar pelo Tratamento de Dados Pessoais controlados por terceiros, mesmo que sejam seus colaboradores e parceiros de negócio, responsabilizando-se unicamente por:

 

I. Aditar seus atuais contratos, auditar e promover a qualificação de seus provedores e prestadores de serviços, a fim de que, de acordo com esta Política, adequem seus respectivos Tratamento de Dados Pessoais às diretrizes da CARRARA;

 

II. Investigar e denunciar e, dentro de suas competências privadas, contratuais e legais, penalizar funcionários, colaboradores e/ou parceiros de negócios que fizerem uso indevido de Dados Pessoais tratados pela CARRARA;

 

III. Comprometer-se com a educação e o treinamento continuado de seus funcionários, relativamente à governança de dados e ao uso ético, responsável e legítimo dos Dados Pessoais tratados pela CARRARA;

 

 

A Transferência Internacional de Dados Pessoais pela Empresa, acontece para o país onde a Matriz da CARRARA está situada, entretanto, caso haja outros tipos de transferência internacional, ocorrerá apenas para países que proporcionem ao Titular a proteção adequada de seus Dados Pessoais ou na hipótese de o Controlador comprovar cumprimento dos princípios e direitos do Titular em conformidade com a LGPD, e desde que haja disposições específicas acerca do Tratamento de Dados Pessoais, como, por exemplo, cláusulas contratuais ou formulários de consentimento que viabilizem o compartilhamento desses Dados.

 

Sempre que ocorrer transferência internacional de dados pessoais, a CARRARA adotará mecanismos aptos a assegurar grau de proteção adequado, incluindo cláusulas contratuais específicas, avaliações de risco e demais instrumentos admitidos pela LGPD e pela regulamentação da ANPD.

 

 

TEMPO DE RETENÇÃO DOS DADOS

 

Os Dados Pessoais devem ser armazenados pelo tempo necessário para o exaurimento das finalidades legítimas para os quais foram coletados e, caso exista disposição normativa sobre o tema, devem ser mantidos pelo tempo mínimo previsto em lei, como por exemplo:

 

Categoria

Prazo

Currículos

até 12 meses

Imagens de CFTV

até 90 dias

Registros de acesso

até 5 anos

Documentos trabalhistas

conforme legislação trabalhista e previdenciária

Contratos e documentos correlatos

durante a vigência e pelo prazo prescricional aplicável

Dados necessários ao exercício de direitos

enquanto durar o risco jurídico

 

 

DADOS PESSOAIS SENSÍVEIS

 

O Tratamento de Dados Pessoais Sensíveis pela Empresa deverá ocorrer apenas nas seguintes hipóteses:

 

I. Com o consentimento expresso do Titular para finalidade legítima específica;

 

II. Para o cumprimento de leis e regulamentos específicos;

 

III. Para tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;

 

IV. Para a realização de estudos por órgãos de pesquisa, garantida, sempre que possível, a anonimização dos Dados Pessoais Sensíveis;

 

V. Para o exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;

 

VI. Para a proteção da vida ou da incolumidade física do Titular ou de terceiros;

 

VII. Para a tutela da saúde em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

 

VIII. Para a prevenção à fraude e à segurança do Titular e de seus Dados Pessoais;

 

Ressalta-se que nas hipóteses que não exijam o consentimento do Titular de Dados Pessoais, o Tratamento dos Dados Pessoais Sensíveis deverá ocorrer apenas em caráter subsidiário, ou seja, quando inexistentes ou esgotados outros meios igualmente eficazes para o cumprimento das mesmas finalidades.

 

DADOS PESSOAIS DE MENORES DE IDADES OU DE CIVILMENTE INCAPAZES

 

Se, no interesse da CARRARA, ou para cumprimento de obrigações legais ou contratuais, ou mesmo no exercício regular de direitos em processos judiciais, administrativos ou arbitrais for necessário tratar Dados Pessoais de menores ou incapazes, estes deverão ser tratados conforme as seguintes regras:

 

I. Sempre no melhor interesse dos menores ou incapazes;

 

II. Somente havendo consentimento específico e destacado dado por um dos pais ou pelo responsável legal (tutor, curador etc.), desde que devidamente identificados;

 

III. Utilizando-se tecnologias assistivas e inclusivas, quando evidentemente necessárias para que o consentimento dos pais ou responsável legal seja inequívoco;

 

IV.Por meio de “Formulário de Gestão de Consentimento” ou cláusula contratual específicos, que traga informações claras e objetivas sobre os dados que serão coletados, sua forma de utilização e sobre os procedimentos para o exercício dos direitos dos Titulares.

 

O consentimento estará dispensado se a coleta for estritamente necessária para se contatar os pais ou o responsável legal do menor ou incapaz, estando proibido, nesta hipótese, o armazenamento dos dados.

 

CONTROLE DE ACESSO E DADOS BIOMÉTRICOS

 

Quando necessário para fins de segurança patrimonial, controle de acesso físico ou autenticação de usuários, a CARRARA poderá realizar o tratamento de dados biométricos, incluindo reconhecimento facial, impressão digital ou outros mecanismos equivalentes.

 

O tratamento será realizado observando-se os princípios da necessidade, adequação e segurança previstos na LGPD, sendo os dados utilizados exclusivamente para:

 

  • identificação dos usuários;
  • controle de acesso às dependências;
  • prevenção de fraudes;
  • proteção do patrimônio e das pessoas.

 

MONITORAMENTO POR IMAGENS

 

A CARRARA poderá utilizar sistemas de videomonitoramento em suas instalações e nas instalações de clientes onde prestar serviços de segurança patrimonial, portaria ou controle de acesso.

 

As imagens poderão ser utilizadas para:

  • proteção patrimonial;
  • segurança de pessoas;
  • investigação de incidentes;
  • cumprimento de obrigações legais;
  • exercício regular de direitos em processos judiciais ou administrativos.

 

As gravações serão armazenadas pelo prazo estritamente necessário ao cumprimento dessas finalidades, observadas as exigências legais e contratuais aplicáveis.

 

COLETA E ARMAZENAMENTO DE COOKIES

 

CONCEITO

 

Os cookies são pequenos arquivos de texto que contêm informações e que podem ser baixados e armazenados em seus dispositivos, como computador ou smartphone, quando você acessa uma plataforma digital; após, essas informações coletadas retornam para a plataforma visitada ou são encaminhadas para plataformas terceiras que reconheçam o cookie, possibilitando o acesso a informações sobre sua navegação.

 

Nós também podemos utilizar tecnologias semelhantes para rastreamento e armazenamento de informações como, por exemplo, os web beacons (também chamados de pixel tags). Os pixels tags são códigos inseridos em uma plataforma e que coletam dados a partir de uma ação do usuário, por exemplo quando você clica em algum conteúdo da plataforma, como um anúncio, ou abre algum e-mail.

 

Essas formas automatizadas de coleta de dados pessoais têm funções distintas, melhorando a sua navegabilidade em nossas Plataformas por meio da personalização de sua experiência, como: direcionamento de publicidade pela qual você pode se interessar, registro de suas preferências, registro de sua geolocalização, melhorias em nossos serviços e ofertas de produtos, entre outras.

 

CLASSIFICAÇÕES DOS COOKIES

 

Os cookies podem ser:

·         Cookies primários: são provenientes de nossas próprias Plataformas;

·         Cookies de terceiros: são provenientes de outras plataformas como, por exemplo, quando exibimos anúncios publicitários e plugins de redes sociais;

·         Cookies de sessão: são cookies cuja duração está restrita ao período pelo qual você acessa nossas Plataformas, ou seja, são temporários;

·         Cookies persistentes: são cookies que permanecem no seu dispositivo por um período específico, mesmo que você não esteja mais em nossas Plataformas.

 

Ainda, quanto à sua finalidade, os cookies podem ser assim classificados:

 

Cookies estritamente necessários

Os cookies estritamente necessários são essenciais para que nossas Plataformas funcionem corretamente, sem os quais a navegabilidade fica impossibilitada.

 

Esses cookies possibilitam o acesso a serviços requisitados por você, como, por exemplo, o login.

Cookies de funcionalidade

Os cookies de funcionalidade lembram de suas escolhas em nossas Plataformas para otimizar sua navegação. As informações coletadas podem ser anonimizadas e esses cookies não podem rastrear suas atividades em outras plataformas.

 

Nós os utilizamos para, por exemplo, configurações de idioma e região e outras customizações que você tiver feito em nossas Plataformas.

Cookies de análise e  desempenho

Os cookies de desempenho coletam informações sobre sua utilização das nossas Plataformas. As informações coletadas são anônimas, ou seja, não identificam você.

 

Nós os utilizamos para, por exemplo, coletar mensagens de erro oriundas de sua navegação em nossas Plataformas e, assim, aprimorá-las, além de criar análises sobre as páginas mais acessadas, para entender mais sobre seu comportamento.

Cookies de direcionamento

Os cookies de direcionamento são normalmente associados a serviços de terceiros que diferenciam os usuários da plataforma para lhes fornecer opções acuradas de anúncios publicitários que se encaixem em suas preferências pessoais. Esses cookies também conseguem mensurar a eficácia de determinado anúncio a partir de suas atividades.

 

GERENCIAMENTO DE COOKIES

 

Ao acessar nossas Plataformas, você poderá concordar com o tráfego de cookies entre nossos servidores e seus dispositivos. Destacamos que dentre os tipos de cookies acima classificados, a CARRARA utiliza as modalidades de cookies estritamente necessários e de funcionalidades. Você poderá desabilitá-los pelas configurações do seu navegador, mas advertimos que esta ação prejudicará o funcionamento adequado de nossas Plataformas. Assim, recomendamos sempre o aceito de todos os cookies ao navegar por nossas Plataformas.

 

O titular poderá, a qualquer momento, gerenciar suas preferências de cookies por meio do banner de consentimento disponibilizado nas plataformas digitais da CARRARA.

 

 

DADOS COLETADOS

 

Nós podemos coletar seus dados por meio de, por exemplo, cadastros realizados, formulários preenchidos e contratos firmados conosco, presencialmente ou eletronicamente. Desse modo, os tipos de dados coletados dependem da relação existente entre você e a CARRARA.

 

 

 

DIREITOS DOS TITULARES

 

Os dados pessoais somente podem ser coletados e utilizados quando houver propósitos legítimos, específicos, explícitos e devidamente informados; além disso, somente podem ser utilizados dados pessoais estritamente necessários para o cumprimento das finalidades informadas por quem controla ou opera seus dados.

 

Para a proteção da sua liberdade, da sua privacidade e do livre desenvolvimento de sua personalidade, a LGPD assegurou os seguintes direitos:

 

a) você pode solicitar a uma empresa se ela, de alguma forma, possui ou utiliza seus dados pessoais;

b) você pode solicitar a uma empresa o acesso aos seus dados pessoais detidos por ela;

c) você pode solicitar a uma empresa que dados pessoais que estejam incompletos, desatualizados ou inexatos, sejam corrigidos;

d) em alguns casos, você pode solicitar que seus dados sejam bloqueados ou eliminados, desde que entenda que eles estão sendo utilizados em desconformidade com a lei ou de forma a causar-lhe algum dano;

e) em alguns casos, você pode solicitar a portabilidade dos seus dados, desde que sua solicitação não venha a causar danos a detentores de direitos de segredos comerciais e/ou industriais;

f) dar ou revogar seu consentimento para coleta e uso de seus dados pessoais, a qualquer tempo, desde que outro fundamento legal, por si só, não autorize uma empresa a coletar e utilizar seus dados.

g) obter informações sobre entidades públicas e privadas com as quais seus dados pessoais tenham sido compartilhados;

h) solicitar informações acerca da possibilidade de não fornecer consentimento e das consequências dessa negativa;

i) solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado de dados pessoais, quando aplicável.

 

 

É importante pontuar que eventual solicitação de eliminação ou bloqueio de dados pessoais pode ser negada, caso seus dados sejam estritamente necessários para o cumprimento de obrigações da CARRARA ou mesmo para o exercício de determinados direitos dela ou, ainda, caso tais dados possam ser requeridos por autoridade judicial ou administrativa. Assim, deve sempre ser lembrado que o exercício de direitos, mesmo que garantido por lei, não é absoluto, podendo ser modificado, caso a caso, conforme as circunstâncias da solicitação e outras leis e regulamentos igualmente aplicáveis.

 

Caso você queira maiores esclarecimentos sobre os seus direitos ou queira solicitar o exercício destes relativamente aos seus dados pessoais que coletamos ou, de alguma forma, utilizamos, entre em contato com a CARRARA por meio dos canais de comunicação informados nesta Política.

 

 

CONSENTIMENTO

 

Nos casos em que seja necessário seu consentimento para coleta ou qualquer outra forma de tratamento dos seus dados pessoais pela CARRARA, é seu direito exigir que nossas Plataformas, contratos, formulários, etc., tragam uma cláusula ou um Termo de Consentimento, demonstrando a manifestação livre, informada e inequívoca de sua vontade em relação aos dados coletados e ao tratamento dado a estes para finalidades legítimas e específicas, lembrando-se de que esse consentimento poderá ser revogado a qualquer momento por meio de sua manifestação expressa.

 

Caso coletemos ou utilizemos, em algum contexto específicos, dados de menores ou de incapazes, o consentimento deverá ser dado pelos pais ou responsáveis legais, em cláusula ou formulário especialmente redigida e destacada para este fim.

 

 

RESPONSABILIDADE DA EMPRESA ENQUANTO CONTROLADORA E/OU OPERADORA DE DADOS PESSOAIS

 

A CARRARA, enquanto Controladora ou Operadora, será responsável por quaisquer danos causados a terceiros provenientes do tratamento de Dados Pessoais ou em caso da ausência de adoção de medidas de segurança, técnicas e administrativas para mitigar possíveis incidentes. Ainda, enquanto operadora, a CARRARA poderá responder solidariamente pelos danos causados junto ao Controlador.

 

ENCARREGADO PELO TRATAMENTO DE DADOS PESSOAIS

 

A CARRARA nomeia como Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer – DPO):

Nome: Benício Advogados Associados – responsável Sandra Fátima de Sales Oliveira

E-mail: encarregadodedados@grupocarrara.com.br

Telefone: 11- 3920-8825

 

O Encarregado atua como canal de comunicação entre a CARRARA, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados – ANPD.

 

 

DISPOSIÇÕES FINAIS

 

A presente Política será revisada periodicamente ou sempre que houver alterações legislativas, regulatórias, tecnológicas ou operacionais que impactem o tratamento de dados pessoais realizado pela CARRARA. O Titular de Dados Pessoais autoriza, entretanto, que a CARRARA crie canais de comunicação diretos ou indiretos a fim que possa mantê-lo informado da atualização de suas Políticas e Termos.

 

Casos de violação ou de suspeitas de violação à presente Política, bem como dúvidas, reclamações e/ou sugestões, podem ser reportados à CARRARA  através de contrato com o Encarregado de Dados Pessoais.

 

Integram esta Política, para todos os fins, seus anexos e documentos complementares, incluindo o Anexo I – Mapa Simplificado de Tratamento de Dados Pessoais, os quais deverão ser interpretados em conjunto e observados por todos os colaboradores, parceiros de negócios e terceiros que realizem tratamento de dados pessoais em nome da CARRARA.

 

Esta Política é regida pela legislação da República Federativa do Brasil. Fica eleito, desde já, o Foro da Comarca de São Paulo, para dirimir eventuais controvérsias oriundas de seus termos, em detrimento de qualquer outro, por mais privilegiado que seja.

 

A presente Política, em sua segunda versão entra em vigor na data de sua publicação, em 11 de junho de 2026.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ANEXO I – MAPA SIMPLIFICADO DE TRATAMENTO DE DADOS PESSOAIS

 

 

1.                  OBJETIVO

 

O presente Anexo tem por objetivo apresentar, de forma simplificada, as principais atividades de tratamento de dados pessoais realizadas pela CARRARA, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD).

 

Este documento possui caráter informativo e poderá ser atualizado periodicamente em razão de alterações legais, regulatórias ou operacionais.

 


2. RH E DEPARTAMENTO PESSOAL

Item

Descrição

Finalidade

Administração da relação de trabalho e cumprimento de obrigações legais, trabalhistas, previdenciárias e tributárias

Titulares

Empregados, estagiários, aprendizes e dependentes

Dados Tratados

Nome, CPF, RG, CTPS, PIS, CNH, endereço, telefone, e-mail, dados bancários, dados de dependentes, informações funcionais

Base Legal

Art. 7º, II e V da LGPD

Compartilhamento

eSocial, INSS, Receita Federal, instituições financeiras, operadoras de benefícios, clientes contratantes quando necessário

Retenção

Conforme legislação trabalhista, previdenciária e fiscal

 


3. RECRUTAMENTO E SELEÇÃO

Item

Descrição

Finalidade

Recrutamento, seleção e contratação de candidatos

Titulares

Candidatos a vagas de emprego

Dados Tratados

Nome, CPF, telefone, e-mail, endereço, formação acadêmica, histórico profissional, currículo

Base Legal

Art. 7º, V da LGPD

Compartilhamento

Gestores responsáveis pela seleção e empresas parceiras de recrutamento

Retenção

Até 12 meses após encerramento do processo seletivo ou prazo diverso autorizado pelo titular

 


4. CONTROLE DE ACESSO

Item

Descrição

Finalidade

Controle de entrada e saída de pessoas e veículos

Titulares

Colaboradores, visitantes, fornecedores e prestadores de serviços

Dados Tratados

Nome, documento de identificação, fotografia, biometria, placa de veículo, registros de acesso

Base Legal

Art. 7º, IX e Art. 11, II, “g” da LGPD

Compartilhamento

Clientes contratantes, autoridades competentes quando legalmente exigido

Retenção

Conforme política interna de segurança da informação

 


5. MONITORAMENTO POR CFTV

Item

Descrição

Finalidade

Segurança patrimonial, proteção de pessoas e prevenção de incidentes

Titulares

Colaboradores, visitantes, fornecedores e terceiros

Dados Tratados

Imagens captadas por sistemas de videomonitoramento

Base Legal

Art. 7º, IX da LGPD

Compartilhamento

Autoridades policiais, judiciais ou administrativas quando legalmente exigido

Retenção

Até 90 dias, salvo necessidade de preservação para investigação ou obrigação legal


6. GESTÃO DE CONTRATOS

Item

Descrição

Finalidade

Celebração, execução e gestão de contratos

Titulares

Clientes, representantes legais, fornecedores e prestadores de serviços

Dados Tratados

Nome, CPF, RG, cargo, telefone, e-mail corporativo, assinatura, dados bancários

Base Legal

Art. 7º, V da LGPD

Compartilhamento

Escritórios jurídicos, contabilidade, auditoria e órgãos públicos competentes

Retenção

Durante a vigência contratual e pelos prazos prescricionais aplicáveis

 


7. ATENDIMENTO AO CLIENTE

Item

Descrição

Finalidade

Atendimento de solicitações, suporte operacional e relacionamento comercial

Titulares

Clientes e potenciais clientes

Dados Tratados

Nome, telefone, e-mail, cargo, empresa e histórico de atendimento

Base Legal

Art. 7º, V e IX da LGPD

Compartilhamento

Áreas internas responsáveis pelo atendimento e execução contratual

Retenção

Pelo prazo necessário ao atendimento da finalidade ou cumprimento de obrigação legal


8. CANAL DE DENÚNCIAS

Item

Descrição

Finalidade

Recebimento e apuração de denúncias e relatos de irregularidades

Titulares

Colaboradores, fornecedores, clientes e terceiros

Dados Tratados

Nome, dados de contato, relatos e evidências apresentadas

Base Legal

Art. 7º, II, VI e IX da LGPD

Compartilhamento

Comitês internos, auditoria, assessoria jurídica e autoridades competentes

Retenção

Conforme exigências legais e políticas internas de compliance


9. FORNECEDORES E PRESTADORES DE SERVIÇOS

Item

Descrição

Finalidade

Cadastro, contratação e gestão de fornecedores

Titulares

Representantes legais, sócios e prepostos

Dados Tratados

Nome, CPF, RG, cargo, telefone, e-mail e dados bancários

Base Legal

Art. 7º, V da LGPD

Compartilhamento

Áreas financeiras, jurídicas, auditoria e órgãos reguladores quando necessário

Retenção

Durante a relação contratual e pelos prazos legais aplicáveis

 


10. SAÚDE E SEGURANÇA DO TRABALHO

Item

Descrição

Finalidade

Cumprimento das normas de saúde e segurança ocupacional

Titulares

Empregados, estagiários e aprendizes

Dados Tratados

Atestados, exames ocupacionais, informações médicas exigidas por lei, registros de treinamentos obrigatórios

Base Legal

Art. 7º, II e Art. 11, II da LGPD

Compartilhamento

Clínicas ocupacionais, profissionais de saúde, órgãos fiscalizadores e seguradoras quando necessário

Retenção

Conforme legislação trabalhista, previdenciária e normas regulamentadoras aplicáveis

 

 

11. DIRETRIZES GERAIS

 

A CARRARA adota medidas técnicas e administrativas aptas a proteger os dados pessoais contra acessos não autorizados, perda, destruição, alteração ou qualquer forma de tratamento inadequado ou ilícito.

 

Os tratamentos descritos neste Anexo poderão ser revisados periodicamente em razão de alterações operacionais, contratuais, legais ou regulatórias.

 

Em caso de dúvidas ou solicitações relacionadas ao tratamento de dados pessoais, os titulares poderão entrar em contato com o Encarregado pelo Tratamento de Dados Pessoais por meio dos canais disponibilizados pela CARRARA.