Nesse Espaço você encontra informações regulares, orientações, política e como tratamos os dados no Grupo Carrara.
A proteção de dados também está presente nas pequenas atitudes do dia a dia. Deixar documentos expostos sobre a mesa, compartilhar informações em locais públicos, enviar arquivos sem conferir o destinatário ou comentar assuntos internos em ambientes inadequados podem gerar riscos à privacidade e à segurança das informações.
Antes de encaminhar e-mails, documentos ou imagens, revise atentamente quem receberá o conteúdo e avalie se o compartilhamento é realmente necessário. Informações corporativas, dados pessoais de clientes, colaboradores e parceiros devem ser tratados com cuidado e responsabilidade, mesmo em situações rotineiras.
Outro ponto importante é manter atenção ao ambiente ao seu redor. Ao se ausentar da estação de trabalho, bloqueie a tela do computador e evite deixar documentos impressos sem supervisão. Pequenas ações preventivas reduzem significativamente o risco de acessos indevidos e exposição de informações.
A segurança da informação depende do comprometimento de todos. A adoção de hábitos conscientes fortalece a cultura de proteção de dados e contribui para um ambiente mais seguro e confiável para toda a organização.
Em caso de dúvidas sobre o tema, o Benício Advogados, escritório especializado em Privacidade e Proteção de Dados está à disposição para esclarecer, através do e-mail encarregadodedados@grupocarrara.com.br, na pessoa da Encarregada de Dados Pessoais – Sandra Fátima de Sales Oliveira.
POLÍTICA DE PRIVACIDADE E PROTEÇÃO DOS DADOS
A CARRARA
SERVIÇOS LTDA., pessoa jurídica de direito privado, inscrita no CNPJ sob o
n.º 04.826.233/0001-07, com sede em São
Paulo – SP, em conformidade com a Lei n. 13.709/2018 (“Lei Geral de
Proteção de Dados” ou “LGPD“), apresenta esta
Política de Privacidade e Proteção de Dados Pessoais (“Política”
ou “PPPD“) com o propósito de orientar a todos aqueles que
tratam Dados Pessoais por conta e em nome da CARRARA por meio de
diretrizes acerca da proteção e do Tratamento desses dados, fazendo parte,
portanto, do programa da Governança de Dados Pessoais da CARRARA.
Esta Política
abrange todo e qualquer Tratamento de Dados Pessoais realizado pela CARRARA,
independentemente do meio, se físico ou eletrônico, do público, se externo ou
interno, e da finalidade do Tratamento realizado.
Esta Política é complementada
pelo Anexo I – Mapa Simplificado de Tratamento de Dados Pessoais, que
apresenta as principais atividades de tratamento realizadas pela CARRARA,
suas finalidades, categorias de dados tratados, bases legais aplicáveis e
hipóteses de compartilhamento, podendo ser atualizado periodicamente em razão
de alterações operacionais, contratuais ou regulatórias.
NORMAS
APLICÁVEIS
Esta Política é
regida, interpretada e executada de acordo com a legislação nacional,
especialmente a LGPD. No entanto, em caso de Transferência Internacional de
Dados, serão também observadas as leis internacionais aplicáveis, dos países
com os quais ocorrer o compartilhamento de Dados Pessoais, bem como as Normas
Corporativas Globais (Binding Corporate Rules) e as soft laws
aplicáveis em observância ao caso concreto.
DEFINIÇÕES
Para os fins da
presente Política de Privacidade e Proteção de Dados, os termos abaixo
definidos, quando escritos em letra maiúscula, seja no singular ou no plural,
terão os seguintes significados:
Agentes de
Tratamento: o Controlador e o Operador;
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do
Tratamento, por meio dos quais um dado perde a possibilidade de associação,
direta ou indireta, a um indivíduo;
Autoridade
Nacional de Proteção de Dados Pessoais (ANPD): órgão da administração pública federal brasileira responsável por zelar,
implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.
Banco de Dados: conjunto estruturado de Dados Pessoais, estabelecido em um ou em vários
locais, em suporte eletrônico ou físico;
Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante
guarda do Dado Pessoal ou do Banco de Dados;
Consentimento: manifestação livre, informada e inequívoca pela qual o Titular concorda
com o Tratamento de seus Dados Pessoais para uma finalidade determinada;
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem
competem as decisões referentes ao Tratamento de Dados Pessoais;
Dado
Anonimizado: dado relativo a Titular que não possa ser
identificado, considerando a utilização de meios técnicos razoáveis e
disponíveis na ocasião de seu Tratamento;
Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável;
Dado Pessoal
Sensível: dado pessoal sobre origem racial ou étnica,
convicção religiosa, opinião política, filiação a sindicato ou a organização de
caráter religioso, filosófico ou político; dado referente à saúde ou à vida
sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Eliminação: exclusão de dado ou de conjunto de dados armazenados em Banco de Dados,
independentemente do procedimento empregado;
Encarregado de
Dados: pessoa indicada pelo Controlador e/ou Operador para
atuar como canal de comunicação entre o Controlador, os Titulares dos Dados e a
ANPD, sendo o Encarregado de Dados também conhecido, no idioma inglês, como Data
Protection Officer (DPO);
Lei Geral de
Proteção de Dados (LGPD): Lei nº 13.709, de 14 de
agosto de 2018, que dispõe sobre o Tratamento de Dados Pessoais, inclusive nos
meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou
privado, com o objetivo de proteger os direitos fundamentais de liberdade e de
privacidade e o livre desenvolvimento da personalidade da pessoa natural;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o
Tratamento de Dados Pessoais em nome do Controlador;
Órgão de
Pesquisa: órgão ou entidade da administração pública direta
ou indireta ou pessoa jurídica de direito privado, sem fins lucrativos,
legalmente constituída sob as leis brasileiras, com sede e foro no País, que
inclua em sua missão institucional ou em seu objetivo social ou estatutário a
pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou
estatístico;
Titular: pessoa natural a quem se referem os Dados Pessoais que são objeto de
Tratamento;
Transferência
Internacional de Dados: transferência de Dados
Pessoais para país estrangeiro ou organismo internacional do qual o país seja
membro;
Tratamento: toda operação realizada com Dados Pessoais, como as que se referem a
coleta, produção, recepção, classificação, utilização, acesso, reprodução,
transmissão, distribuição, processamento, arquivamento, armazenamento,
eliminação, avaliação ou controle da informação, modificação, comunicação,
transferência, difusão ou extração;
Relatório de
Impacto à Proteção de Dados Pessoais: documento do
Controlador que contém a descrição dos processos de Tratamento de Dados
Pessoais que podem gerar riscos às liberdades civis e aos direitos
fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de
risco;
Uso
Compartilhado de Dados: comunicação, difusão,
transferência internacional, interconexão de Dados Pessoais ou tratamento
compartilhado de Banco de Dados Pessoais por órgãos e entidades públicos no
cumprimento de suas competências legais, ou entre esses e entes privados,
reciprocamente, com autorização específica, para uma ou mais modalidades de
tratamento permitidas por esses entes públicos, ou entre entes privados;
PRINCÍPIOS DO
TRATAMENTO DE DADOS PESSOAIS
O Tratamento de
Dados Pessoais realizado por conta e em nome da CARRARA deverá observar
os seguintes princípios, sempre em observância ao respeito à privacidade, à
dignidade e aos direitos dos Titulares, bem como ao respeito à boa-fé na relação
entre o Titular e a CARRARA:
I. Finalidade:
o Tratamento de Dados Pessoais deverá ocorrer tão somente para propósitos
legítimos, específicos, explícitos e informados ao Titular;
II. Adequação: o Tratamento deverá ser
compatível com as finalidades informadas ao Titular;
III. Necessidade: o
Tratamento deverá ser realizado de forma proporcional e pertinente, tratando
apenas os dados necessários para o cumprimento da finalidade legítima
determinada pela CARRARA;
IV. Livre acesso: o Titular poderá, de
forma facilitada e gratuita, consultar a CARRARA acerca da forma e
duração do Tratamento de seus Dados Pessoais;
V. Qualidade dos
dados: os Dados Pessoais tratados pela CARRARA
deverão estar sempre atualizados, claros e exatos;
VI. Transparência: o Titular deverá ter
fácil acesso a informações claras e precisas sobre o tratamento de seus Dados
Pessoais pela CARRARA;
VII. Segurança: a CARRARA
deverá tomar todas as medidas técnicas e administrativas aptas a protegerem os
Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas
de destruição, perda, alteração, comunicação ou difusão;
VII. “a”, MEDIDAS DE SEGURANÇA
A CARRARA adota medidas técnicas e administrativas aptas a proteger os
dados pessoais contra acessos não autorizados e situações acidentais ou
ilícitas.
Entre essas medidas podem estar:
·
controle de acesso baseado em perfil;
·
autenticação de usuários;
·
utilização de senhas seguras;
·
monitoramento de acessos;
·
registro de logs;
·
backups periódicos;
·
criptografia quando aplicável;
·
treinamento de colaboradores;
·
gestão de fornecedores.
VIII.
Incidentes de Segurança: A CARRARA mantém procedimentos internos para
identificação, tratamento e mitigação de incidentes de segurança envolvendo
dados pessoais.Quando exigido pela legislação aplicável, a empresa comunicará a
ANPD e os titulares afetados, observando os requisitos legais e regulamentares
vigentes.
IX. Prevenção: a CARRARA deverá
adotar medidas para prevenir a ocorrência de danos em virtude do Tratamento de
Dados Pessoais;
X. Não discriminação: é expressamente
proibida a realização do Tratamento de Dados Pessoais para fins
discriminatórios ilícitos e/ou abusivos;
XI. Responsabilização e prestação de contas: a CARRARA deverá demonstrar que adota medidas
eficazes e capazes de comprovar a observância e o cumprimento das normas de
proteção de Dados Pessoais.
FONTES
Os Dados
Pessoais que tratamos são provenientes de diversas fontes, como, por exemplo:
I. Plataformas da Empresa: como websites,
minisites ou aplicativos voltados para os funcionários,
colaboradores, parceiros de negócios e clientes, com domínios e URLs próprios,
bem como aqueles voltados para terceiros em geral;
II. Mensagens
eletrônicas (e-mails, mensagens de texto, formulários,
entre outras): todas as comunicações eletrônicas estabelecidas entre o Titular
de Dados Pessoais e a Empresa;
III. Formulários
de registro off-line: formulários
impressos ou digitais ou formas análogas nos quais são coletados Dados Pessoais
como, por exemplo, correspondências via correios, cadastros de funcionários,
colaboradores, clientes e parceiros de negócios, listas de demandantes em
processos administrativos e judiciais e quaisquer outras listas, formulários ou
cadastros elaborados no legítimo interesse da Empresa;
IV. Interações automatizadas: como, por
exemplo, Dados Pessoais coletados por meio de anúncios publicitários da CARRARA
em sites terceiros ou de redes sociais, dados obtidos por meio de pesquisas de
mercados, entre outras (para saber mais, consulte a “Política de
Cookies“);
V. Controladores terceiros: como, por exemplo, Dados Pessoais coletados,
compartilhados ou transferidos em razão de fusões, aquisições, incorporações,
cisões, joint ventures, ou em razão de outros institutos de empresas;
VI. Contratos
ou formulários pré-contratuais: como Dados
Pessoais de indivíduos que figuram ou que poderão figurar em contratos, de
variadas espécies, firmados ou a serem firmados com a CARRARA.
TIPOLOGIA DE
DADOS PESSOAIS E BASES LEGAIS
O Tratamento de
Dados Pessoais deverá ocorrer apenas se houver propósitos legítimos,
específicos, explícitos e informados ao Titular, devendo ser tratados apenas os
Dados Pessoais estritamente necessários para o cumprimento da finalidade
informada pela CARRARA. A LGPD dispõe acerca das hipóteses autorizadoras
(“bases legais”) do Tratamento de Dados Pessoais; são elas:
I. A partir do consentimento do Titular;
II. Para o cumprimento de obrigação legal ou regulatória pelo Controlador de
Dados Pessoais;
III. Pela administração pública, para o Tratamento e uso compartilhado de
dados necessários à execução de políticas públicas em conformidade com leis e
regulamentos ou por base em contratos, convênios ou instrumentos análogos;
IV. Para a
realização de estudos por órgãos de pesquisa, devendo ocorrer, sempre que
possível, a Anonimização dos Dados Pessoais;
V. Para execução de contrato ou de procedimentos
preliminares relacionados a contratos;
VI. Para o exercício regular de direitos em processo
judicial, administrativo ou arbitral;
VII. Para a proteção da vida e da incolumidade física do
titular ou de terceiros;
VIII. Para a tutela da saúde em procedimento realizado
por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX. Para atender aos interesses legítimos do
controlador ou de terceiros, observados os direitos e liberdades fundamentais
do Titular;
X. Para a proteção do crédito.
Desse modo,
essas bases legais serão classificadas de acordo com a finalidade do Tratamento
de Dados Pessoais realizado pela Empresa. Abaixo, citamos alguns exemplos dos
tipos de Dados Pessoais que poderão ser tratados pela CARRARA, suas
finalidades e as respectivas bases legais que autorizam seu Tratamento.
As atividades de tratamento
descritas nesta seção possuem caráter exemplificativo. O detalhamento das
principais operações de tratamento realizadas pela CARRARA encontra-se
consolidado no Anexo I – Mapa Simplificado de Tratamento de Dados Pessoais,
integrante desta Política.
|
TIPO |
FINALIDADE |
BASE LEGAIS |
|
Informações de login
e conta. |
Fornecer bens ou serviços
solicitados pelo Titular de Dados. |
Fornecimento de
consentimento pelo Titular (art. 7º, inciso I, da LGPD) |
|
Informações demográficas,
perfil de interesses a partir de pesquisas de mercado ou anúncios
publicitários originados em Plataformas administradas pela CARRARA ou
por controladores terceiros, como redes sociais e websites e aplicativos. |
Coletar Dados Pessoais do
Titular usuário de Plataformas da Empresa ou de terceiros acerca de seus
hábitos de navegação, preferências de consumo, entre outros. |
Necessário para atender
aos legítimos interesses do Controlador ou de Terceiros (art. 7º, inciso IX,
da LGPD); Fornecimento de consentimento pelo Titular (Art. 7º, inciso I, da
LGPD). Para mais informações, consulte nossa “Política de Cookies“. |
|
Conteúdos gerados
voluntariamente pelos próprios Titulares, a partir de canais como
“Trabalhe Conosco” ou envio de e-mails. |
Atender às solicitações
encaminhadas pelo Titular dos Dados. |
Fornecimento de
consentimento pelo Titular (art. 7º, inciso I, da LGPD) |
|
Dados pessoais
pré-contratuais e originados de contratos diversos. |
Gerenciar contratos nos
quais o Titular dos Dados Pessoais faça ou venha a fazer parte |
Execução de contrato ou
de procedimentos preliminares relacionados a contrato (art. 7º, inciso V, da
LGPD) |
|
Dados do setor de RH,
Dados financeiros e análogos. |
Cumprir obrigações
trabalhistas, administrativas, contábeis, tributárias e outras obrigações
legais |
Cumprimento de obrigação
legal ou regulatória (art. 7º, inciso II, da LGPD) |
|
Dados de candidatos, currículos,
formulários de recrutamento e entrevistas |
Avaliação de perfil profissional e
participação em processos seletivos |
Execução de contrato ou
de procedimentos preliminares relacionados a contrato (art. 7º, inciso V, da
LGPD) |
|
Dados de candidatos mantidos para
futuras oportunidades |
Formação de banco de talentos |
Consentimento do titular (art. 7º, I,
LGPD) |
|
Dados biométricos ou
oriundos de reconhecimento facial |
Proteger a segurança dos
funcionários e controlar o acesso às dependências da CARRARA. |
Garantia de prevenção à
fraude e à segurança do Titular (art. 11, inciso II, alínea “g”, da
LGPD). |
|
Dados oriundos de
processos e procedimentos, administrativos ou judiciais, os quais façam parte
o Titular de Dados. |
Gerenciar os processos e
procedimentos em questão. |
Exercício regular de
direitos em processo judicial, administrativo ou arbitral (art. 7º, inciso
VI, da LGPD). |
|
Dados oriundos de fusões,
aquisições, cisões, joint ventures e outras razões que envolvam institutos do
direito das empresas. |
Efetivar operações
empresariais. |
Cumprimento de obrigação
legal ou regulatória (art. 7º, inciso II, da LGPD); Os dados necessários para
atender aos legítimos interesses do Controlador ou de terceiros (art. 7º,
inciso IX, da LGPD) |
CONSENTIMENTO
O consentimento
do Titular de Dados Pessoais é uma das hipóteses autorizadoras de tratamento de
Dados Pessoais, sensíveis ou não. O consentimento deverá ser livre, informado e
inequívoco, devendo o Titular concordar com o Tratamento de seus Dados Pessoais
para uma finalidade legítima e determinada, podendo este ser revogado a
qualquer momento.
DIVULGAÇÃO E
COMPARTILHAMENTO DE DADOS PESSOAIS
Os Dados
Pessoais poderão ser divulgados ou compartilhados sempre que necessário para
cumprimento de obrigação legal ou regulatória, para o exercício regular de
direitos sobre os contratos ou processos judiciais e administrativos dos quais
a CARRARA seja parte ou interessada, ou, ainda, para atender a
interesses legítimos próprios ou de terceiros, em observância aos direitos dos
Titulares, como, por exemplo, em casos de proteção ao crédito ou para
finalidades de marketing. Esses dados também poderão ser compartilhados em caso
de decisão judicial ou administrativa de autoridade competente.
Sem prejuízo de
outras formas autorizadas em lei, os Dados Pessoais podem ser divulgados ou
compartilhados nas seguintes hipóteses:
I. Divulgação pela própria Empresa: para cumprir
determinadas obrigações legais e regulatórias, é necessário divulgar, por
exemplo, relatórios, reports, atas, extratos de publicação em diários
oficiais, extratos de contratos, dentre outros tipos de documentos originados
na própria CARRARA, cujos teores poderão conter Dados Pessoais de
diretores, administradores, auditores, profissionais liberais, contratantes e
outras pessoas cuja participação e qualificação se mostravam imprescindíveis
para a prática do ato ou para a elaboração do documento;
II.Colaboradores e parceiros de negócio: a fim de
cumprir deveres ou contratos em forma coligada ou dispostos em redes
contratuais, a CARRARA poderá divulgar ou compartilhar Dados Pessoais a
terceiros;
III.Provedores e prestadores de serviços: A CARRARA
poderá divulgar e compartilhar Dados Pessoais em seu legítimo interesse para
processar dados, operar plataformas, realizar pesquisas de mercado, de marketing
e remarketing, serviços de suporte, promoções, análise de dados,
agências de crédito ou cobrança de dívidas, órgãos prestadores de serviços
públicos, escritórios de auditoria, advocacia, contabilidade e consultoria, de
atendimento à imprensa, ao consumidor, aos fornecedores, aos colaboradores, aos
funcionários e aos parceiros de negócios. Os Dados Pessoais divulgados e/ou
compartilhados deverão, preferencialmente, ser anonimizados.
IV.Ordem emanada de autoridade judicial ou administrativa: caso seja
ordenado por autoridade judicial e/ou administrativa competente a divulgação, a
abertura, a quebra de sigilo ou a transferência de Dados Pessoais de qualquer
indivíduo ou grupo de indivíduos cujos dados estejam em poder da Empresa;
V.Institutos do direito de empresas: Dados Pessoais poderão ser
divulgados, compartilhados ou cedidos em hipóteses concernentes ao direito
empresarial, como em caso de recuperação judicial, falência, fusões,
aquisições, incorporações, cisões, joint ventures, abertura de filiais,
de sucursais etc.
VI.Cliente Contratantes: A CARRARA
poderá compartilhar dados pessoais de seus colaboradores, prestadores de
serviços ou representantes com clientes contratantes sempre que necessário para
execução dos contratos firmados, observadas as bases legais aplicáveis e os
princípios da LGPD.
Registre-se,
entretanto, que a CARRARA não pode se responsabilizar pelo Tratamento de
Dados Pessoais controlados por terceiros, mesmo que sejam seus colaboradores e
parceiros de negócio, responsabilizando-se unicamente por:
I. Aditar seus atuais contratos, auditar e
promover a qualificação de seus provedores e prestadores de serviços, a fim de
que, de acordo com esta Política, adequem seus respectivos Tratamento de Dados
Pessoais às diretrizes da CARRARA;
II. Investigar e
denunciar e, dentro de suas competências privadas, contratuais e legais,
penalizar funcionários, colaboradores e/ou parceiros de negócios que fizerem
uso indevido de Dados Pessoais tratados pela CARRARA;
III. Comprometer-se
com a educação e o treinamento continuado de seus funcionários, relativamente à
governança de dados e ao uso ético, responsável e legítimo dos Dados Pessoais
tratados pela CARRARA;
A
Transferência Internacional de Dados Pessoais pela Empresa, acontece para
o país onde a Matriz da CARRARA está situada, entretanto, caso haja
outros tipos de transferência internacional, ocorrerá apenas para países que
proporcionem ao Titular a proteção adequada de seus Dados Pessoais ou na hipótese
de o Controlador comprovar cumprimento dos princípios e direitos do Titular em
conformidade com a LGPD, e desde que haja disposições específicas acerca do
Tratamento de Dados Pessoais, como, por exemplo, cláusulas contratuais ou
formulários de consentimento que viabilizem o compartilhamento desses Dados.
Sempre que ocorrer
transferência internacional de dados pessoais, a CARRARA adotará mecanismos
aptos a assegurar grau de proteção adequado, incluindo cláusulas contratuais
específicas, avaliações de risco e demais instrumentos admitidos pela LGPD e
pela regulamentação da ANPD.
TEMPO DE
RETENÇÃO DOS DADOS
Os Dados
Pessoais devem ser armazenados pelo tempo necessário para o exaurimento das
finalidades legítimas para os quais foram coletados e, caso exista disposição
normativa sobre o tema, devem ser mantidos pelo tempo mínimo previsto em lei,
como por exemplo:
|
Categoria |
Prazo |
|
Currículos |
até 12 meses |
|
Imagens de CFTV |
até 90 dias |
|
Registros de acesso |
até 5 anos |
|
Documentos trabalhistas |
conforme legislação
trabalhista e previdenciária |
|
Contratos e documentos
correlatos |
durante a vigência e pelo
prazo prescricional aplicável |
|
Dados necessários ao exercício
de direitos |
enquanto durar o risco
jurídico |
DADOS PESSOAIS
SENSÍVEIS
O Tratamento de
Dados Pessoais Sensíveis pela Empresa deverá ocorrer apenas nas seguintes
hipóteses:
I. Com o consentimento expresso do Titular para finalidade legítima
específica;
II. Para o cumprimento de leis e regulamentos específicos;
III. Para tratamento compartilhado de dados necessários à execução, pela
administração pública, de políticas públicas previstas em leis ou regulamentos;
IV. Para a realização de estudos por órgãos de pesquisa, garantida, sempre
que possível, a anonimização dos Dados Pessoais Sensíveis;
V. Para o exercício regular de direitos, inclusive em contrato e em
processo judicial, administrativo e arbitral;
VI. Para a proteção da vida ou da incolumidade física do Titular ou de
terceiros;
VII. Para a tutela da saúde em procedimento realizado por profissionais de
saúde, serviços de saúde ou autoridade sanitária;
VIII. Para a prevenção à fraude e à segurança do Titular e de seus Dados
Pessoais;
Ressalta-se que
nas hipóteses que não exijam o consentimento do Titular de Dados Pessoais, o
Tratamento dos Dados Pessoais Sensíveis deverá ocorrer apenas em caráter
subsidiário, ou seja, quando inexistentes ou esgotados outros meios igualmente
eficazes para o cumprimento das mesmas finalidades.
DADOS PESSOAIS
DE MENORES DE IDADES OU DE CIVILMENTE INCAPAZES
Se, no
interesse da CARRARA, ou para cumprimento de obrigações legais ou
contratuais, ou mesmo no exercício regular de direitos em processos judiciais,
administrativos ou arbitrais for necessário tratar Dados Pessoais de menores ou
incapazes, estes deverão ser tratados conforme as seguintes regras:
I. Sempre no melhor interesse dos menores ou incapazes;
II. Somente havendo consentimento específico e destacado dado por um dos
pais ou pelo responsável legal (tutor, curador etc.), desde que devidamente
identificados;
III. Utilizando-se tecnologias assistivas e inclusivas, quando evidentemente
necessárias para que o consentimento dos pais ou responsável legal seja
inequívoco;
IV.Por meio de “Formulário de Gestão de Consentimento” ou
cláusula contratual específicos, que traga informações claras e objetivas sobre
os dados que serão coletados, sua forma de utilização e sobre os procedimentos
para o exercício dos direitos dos Titulares.
O consentimento
estará dispensado se a coleta for estritamente necessária para se contatar os
pais ou o responsável legal do menor ou incapaz, estando proibido, nesta
hipótese, o armazenamento dos dados.
CONTROLE DE ACESSO E DADOS
BIOMÉTRICOS
Quando necessário para fins
de segurança patrimonial, controle de acesso físico ou autenticação de
usuários, a CARRARA poderá realizar o tratamento de dados biométricos,
incluindo reconhecimento facial, impressão digital ou outros mecanismos
equivalentes.
O tratamento será realizado
observando-se os princípios da necessidade, adequação e segurança previstos na
LGPD, sendo os dados utilizados exclusivamente para:
MONITORAMENTO
POR IMAGENS
A CARRARA
poderá utilizar sistemas de videomonitoramento em suas instalações e nas
instalações de clientes onde prestar serviços de segurança patrimonial,
portaria ou controle de acesso.
As
imagens poderão ser utilizadas para:
As gravações serão
armazenadas pelo prazo estritamente necessário ao cumprimento dessas
finalidades, observadas as exigências legais e contratuais aplicáveis.
COLETA E
ARMAZENAMENTO DE COOKIES
CONCEITO
Os cookies são
pequenos arquivos de texto que contêm informações e que podem ser baixados e
armazenados em seus dispositivos, como computador ou smartphone, quando
você acessa uma plataforma digital; após, essas informações coletadas retornam
para a plataforma visitada ou são encaminhadas para plataformas terceiras que
reconheçam o cookie, possibilitando o acesso a informações sobre sua navegação.
Nós também
podemos utilizar tecnologias semelhantes para rastreamento e armazenamento de
informações como, por exemplo, os web beacons (também chamados de pixel
tags). Os pixels tags são códigos inseridos em uma plataforma e que
coletam dados a partir de uma ação do usuário, por exemplo quando você clica em
algum conteúdo da plataforma, como um anúncio, ou abre algum e-mail.
Essas formas
automatizadas de coleta de dados pessoais têm funções distintas, melhorando a
sua navegabilidade em nossas Plataformas por meio da personalização de sua
experiência, como: direcionamento de publicidade pela qual você pode se
interessar, registro de suas preferências, registro de sua geolocalização,
melhorias em nossos serviços e ofertas de produtos, entre outras.
CLASSIFICAÇÕES
DOS COOKIES
Os cookies
podem ser:
·
Cookies primários: são provenientes de nossas próprias Plataformas;
·
Cookies de terceiros: são provenientes de outras plataformas como, por exemplo, quando
exibimos anúncios publicitários e plugins de redes sociais;
·
Cookies de sessão: são cookies cuja duração está restrita ao período pelo qual você acessa
nossas Plataformas, ou seja, são temporários;
·
Cookies persistentes: são cookies que permanecem no seu dispositivo por um período específico,
mesmo que você não esteja mais em nossas Plataformas.
Ainda, quanto à
sua finalidade, os cookies podem ser assim classificados:
|
Cookies
estritamente necessários |
Os cookies
estritamente necessários são essenciais para que nossas Plataformas funcionem
corretamente, sem os quais a navegabilidade fica impossibilitada.
Esses cookies
possibilitam o acesso a serviços requisitados por você, como, por exemplo, o login. |
|
Cookies de
funcionalidade |
Os cookies de
funcionalidade lembram de suas escolhas em nossas Plataformas para otimizar
sua navegação. As informações coletadas podem ser anonimizadas e esses
cookies não podem rastrear suas atividades em outras plataformas.
Nós os
utilizamos para, por exemplo, configurações de idioma e região e outras
customizações que você tiver feito em nossas Plataformas. |
|
Cookies de
análise e desempenho |
Os cookies de
desempenho coletam informações sobre sua utilização das nossas Plataformas.
As informações coletadas são anônimas, ou seja, não identificam você.
Nós os
utilizamos para, por exemplo, coletar mensagens de erro oriundas de sua
navegação em nossas Plataformas e, assim, aprimorá-las, além de criar
análises sobre as páginas mais acessadas, para entender mais sobre seu
comportamento. |
|
Cookies de
direcionamento |
Os cookies de
direcionamento são normalmente associados a serviços de terceiros que
diferenciam os usuários da plataforma para lhes fornecer opções acuradas de
anúncios publicitários que se encaixem em suas preferências pessoais. Esses
cookies também conseguem mensurar a eficácia de determinado anúncio a partir
de suas atividades. |
GERENCIAMENTO
DE COOKIES
Ao acessar nossas
Plataformas, você poderá concordar com o tráfego de cookies entre nossos
servidores e seus dispositivos. Destacamos que dentre os tipos de cookies acima
classificados, a CARRARA utiliza as modalidades de cookies estritamente
necessários e de funcionalidades. Você poderá desabilitá-los pelas
configurações do seu navegador, mas advertimos que esta ação prejudicará o
funcionamento adequado de nossas Plataformas. Assim, recomendamos sempre o
aceito de todos os cookies ao navegar por nossas Plataformas.
O titular poderá, a qualquer
momento, gerenciar suas preferências de cookies por meio do banner de
consentimento disponibilizado nas plataformas digitais da CARRARA.
DADOS COLETADOS
Nós podemos
coletar seus dados por meio de, por exemplo, cadastros realizados, formulários
preenchidos e contratos firmados conosco, presencialmente ou eletronicamente.
Desse modo, os tipos de dados coletados dependem da relação existente entre
você e a CARRARA.
DIREITOS DOS
TITULARES
Os dados
pessoais somente podem ser coletados e utilizados quando houver propósitos
legítimos, específicos, explícitos e devidamente informados; além disso,
somente podem ser utilizados dados pessoais estritamente necessários para o
cumprimento das finalidades informadas por quem controla ou opera seus dados.
Para a proteção
da sua liberdade, da sua privacidade e do livre desenvolvimento de sua
personalidade, a LGPD assegurou os seguintes direitos:
a) você pode
solicitar a uma empresa se ela, de alguma forma, possui ou utiliza seus dados
pessoais;
b) você pode
solicitar a uma empresa o acesso aos seus dados pessoais detidos por ela;
c) você pode
solicitar a uma empresa que dados pessoais que estejam incompletos,
desatualizados ou inexatos, sejam corrigidos;
d) em alguns
casos, você pode solicitar que seus dados sejam bloqueados ou eliminados, desde
que entenda que eles estão sendo utilizados em desconformidade com a lei ou de
forma a causar-lhe algum dano;
e) em alguns
casos, você pode solicitar a portabilidade dos seus dados, desde que sua
solicitação não venha a causar danos a detentores de direitos de segredos
comerciais e/ou industriais;
f) dar ou
revogar seu consentimento para coleta e uso de seus dados pessoais, a qualquer
tempo, desde que outro fundamento legal, por si só, não autorize uma empresa a
coletar e utilizar seus dados.
g) obter
informações sobre entidades públicas e privadas com as quais seus dados
pessoais tenham sido compartilhados;
h) solicitar
informações acerca da possibilidade de não fornecer consentimento e das
consequências dessa negativa;
i) solicitar
revisão de decisões tomadas exclusivamente com base em tratamento automatizado
de dados pessoais, quando aplicável.
É importante pontuar que eventual solicitação de eliminação ou bloqueio
de dados pessoais pode ser negada, caso seus dados sejam estritamente
necessários para o cumprimento de obrigações da CARRARA ou mesmo para o
exercício de determinados direitos dela ou, ainda, caso tais dados possam ser
requeridos por autoridade judicial ou administrativa. Assim, deve sempre ser
lembrado que o exercício de direitos, mesmo que garantido por lei, não é
absoluto, podendo ser modificado, caso a caso, conforme as circunstâncias da
solicitação e outras leis e regulamentos igualmente aplicáveis.
Caso você
queira maiores esclarecimentos sobre os seus direitos ou queira solicitar o
exercício destes relativamente aos seus dados pessoais que coletamos ou, de
alguma forma, utilizamos, entre em contato com a CARRARA por meio dos
canais de comunicação informados nesta Política.
CONSENTIMENTO
Nos casos em
que seja necessário seu consentimento para coleta ou qualquer outra forma de
tratamento dos seus dados pessoais pela CARRARA, é seu direito exigir
que nossas Plataformas, contratos, formulários, etc., tragam uma cláusula ou um
Termo de Consentimento, demonstrando a manifestação livre, informada e
inequívoca de sua vontade em relação aos dados coletados e ao tratamento dado a
estes para finalidades legítimas e específicas, lembrando-se de que esse
consentimento poderá ser revogado a qualquer momento por meio de sua
manifestação expressa.
Caso coletemos
ou utilizemos, em algum contexto específicos, dados de menores ou de incapazes,
o consentimento deverá ser dado pelos pais ou responsáveis legais, em cláusula
ou formulário especialmente redigida e destacada para este fim.
RESPONSABILIDADE
DA EMPRESA ENQUANTO CONTROLADORA E/OU OPERADORA DE DADOS PESSOAIS
A CARRARA,
enquanto Controladora ou Operadora, será responsável por quaisquer danos
causados a terceiros provenientes do tratamento de Dados Pessoais ou em caso da
ausência de adoção de medidas de segurança, técnicas e administrativas para
mitigar possíveis incidentes. Ainda, enquanto operadora, a CARRARA
poderá responder solidariamente pelos danos causados junto ao Controlador.
ENCARREGADO PELO TRATAMENTO
DE DADOS PESSOAIS
A CARRARA nomeia como
Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer – DPO):
Nome: Benício
Advogados Associados – responsável Sandra Fátima de Sales Oliveira
E-mail: encarregadodedados@grupocarrara.com.br
Telefone: 11-
3920-8825
O Encarregado atua como
canal de comunicação entre a CARRARA, os titulares dos dados pessoais e a
Autoridade Nacional de Proteção de Dados – ANPD.
DISPOSIÇÕES
FINAIS
A presente
Política será revisada periodicamente ou sempre que houver alterações
legislativas, regulatórias, tecnológicas ou operacionais que impactem o
tratamento de dados pessoais realizado pela CARRARA. O Titular de Dados Pessoais autoriza, entretanto, que a CARRARA
crie canais de comunicação diretos ou indiretos a fim que possa mantê-lo
informado da atualização de suas Políticas e Termos.
Casos de
violação ou de suspeitas de violação à presente Política, bem como dúvidas,
reclamações e/ou sugestões, podem ser reportados à CARRARA através de contrato com o Encarregado de Dados
Pessoais.
Integram esta Política, para todos os
fins, seus anexos e documentos complementares, incluindo o Anexo I – Mapa
Simplificado de Tratamento de Dados Pessoais, os quais deverão ser
interpretados em conjunto e observados por todos os colaboradores, parceiros de
negócios e terceiros que realizem tratamento de dados pessoais em nome da
CARRARA.
Esta Política é
regida pela legislação da República Federativa do Brasil. Fica eleito, desde
já, o Foro da Comarca de São Paulo, para dirimir eventuais controvérsias
oriundas de seus termos, em detrimento de qualquer outro, por mais privilegiado
que seja.
A presente
Política, em sua segunda versão entra em vigor na data de sua publicação, em 11
de junho de 2026.
ANEXO I – MAPA SIMPLIFICADO
DE TRATAMENTO DE DADOS PESSOAIS
1.
OBJETIVO
O presente Anexo tem por
objetivo apresentar, de forma simplificada, as principais atividades de
tratamento de dados pessoais realizadas pela CARRARA, em conformidade
com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD).
Este documento possui
caráter informativo e poderá ser atualizado periodicamente em razão de
alterações legais, regulatórias ou operacionais.
2. RH E DEPARTAMENTO
PESSOAL
|
Item |
Descrição |
|
Finalidade |
Administração da relação
de trabalho e cumprimento de obrigações legais, trabalhistas, previdenciárias
e tributárias |
|
Titulares |
Empregados, estagiários,
aprendizes e dependentes |
|
Dados Tratados |
Nome, CPF, RG, CTPS, PIS,
CNH, endereço, telefone, e-mail, dados bancários, dados de dependentes,
informações funcionais |
|
Base Legal |
Art. 7º, II e V da LGPD |
|
Compartilhamento |
eSocial, INSS, Receita
Federal, instituições financeiras, operadoras de benefícios, clientes
contratantes quando necessário |
|
Retenção |
Conforme legislação
trabalhista, previdenciária e fiscal
|
3. RECRUTAMENTO E SELEÇÃO
|
Item |
Descrição |
|
Finalidade |
Recrutamento, seleção e
contratação de candidatos |
|
Titulares |
Candidatos a vagas de
emprego |
|
Dados Tratados |
Nome, CPF, telefone,
e-mail, endereço, formação acadêmica, histórico profissional, currículo |
|
Base Legal |
Art. 7º, V da LGPD |
|
Compartilhamento |
Gestores responsáveis
pela seleção e empresas parceiras de recrutamento |
|
Retenção |
Até 12 meses após
encerramento do processo seletivo ou prazo diverso autorizado pelo titular
|
4. CONTROLE DE ACESSO
|
Item |
Descrição |
|
Finalidade |
Controle de entrada e
saída de pessoas e veículos |
|
Titulares |
Colaboradores,
visitantes, fornecedores e prestadores de serviços |
|
Dados Tratados |
Nome, documento de
identificação, fotografia, biometria, placa de veículo, registros de acesso |
|
Base Legal |
Art. 7º, IX e Art. 11,
II, “g” da LGPD |
|
Compartilhamento |
Clientes contratantes,
autoridades competentes quando legalmente exigido |
|
Retenção |
Conforme política interna
de segurança da informação
|
5. MONITORAMENTO POR CFTV
|
Item |
Descrição |
|
Finalidade |
Segurança patrimonial,
proteção de pessoas e prevenção de incidentes |
|
Titulares |
Colaboradores,
visitantes, fornecedores e terceiros |
|
Dados Tratados |
Imagens captadas por
sistemas de videomonitoramento |
|
Base Legal |
Art. 7º, IX da LGPD |
|
Compartilhamento |
Autoridades policiais,
judiciais ou administrativas quando legalmente exigido |
|
Retenção |
Até 90 dias, salvo
necessidade de preservação para investigação ou obrigação legal |
6. GESTÃO DE CONTRATOS
|
Item |
Descrição |
|
Finalidade |
Celebração, execução e
gestão de contratos |
|
Titulares |
Clientes, representantes
legais, fornecedores e prestadores de serviços |
|
Dados Tratados |
Nome, CPF, RG, cargo,
telefone, e-mail corporativo, assinatura, dados bancários |
|
Base Legal |
Art. 7º, V da LGPD |
|
Compartilhamento |
Escritórios jurídicos,
contabilidade, auditoria e órgãos públicos competentes |
|
Retenção |
Durante a vigência
contratual e pelos prazos prescricionais aplicáveis
|
7. ATENDIMENTO AO CLIENTE
|
Item |
Descrição |
|
Finalidade |
Atendimento de
solicitações, suporte operacional e relacionamento comercial |
|
Titulares |
Clientes e potenciais
clientes |
|
Dados Tratados |
Nome, telefone, e-mail,
cargo, empresa e histórico de atendimento |
|
Base Legal |
Art. 7º, V e IX da LGPD |
|
Compartilhamento |
Áreas internas
responsáveis pelo atendimento e execução contratual |
|
Retenção |
Pelo prazo necessário ao
atendimento da finalidade ou cumprimento de obrigação legal |
8. CANAL DE DENÚNCIAS
|
Item |
Descrição |
|
Finalidade |
Recebimento e apuração de
denúncias e relatos de irregularidades |
|
Titulares |
Colaboradores,
fornecedores, clientes e terceiros |
|
Dados Tratados |
Nome, dados de contato,
relatos e evidências apresentadas |
|
Base Legal |
Art. 7º, II, VI e IX da
LGPD |
|
Compartilhamento |
Comitês internos,
auditoria, assessoria jurídica e autoridades competentes |
|
Retenção |
Conforme exigências
legais e políticas internas de compliance |
9. FORNECEDORES E
PRESTADORES DE SERVIÇOS
|
Item |
Descrição |
|
Finalidade |
Cadastro, contratação e
gestão de fornecedores |
|
Titulares |
Representantes legais,
sócios e prepostos |
|
Dados Tratados |
Nome, CPF, RG, cargo,
telefone, e-mail e dados bancários |
|
Base Legal |
Art. 7º, V da LGPD |
|
Compartilhamento |
Áreas financeiras,
jurídicas, auditoria e órgãos reguladores quando necessário |
|
Retenção |
Durante a relação
contratual e pelos prazos legais aplicáveis
|
10. SAÚDE E SEGURANÇA DO
TRABALHO
|
Item |
Descrição |
|
Finalidade |
Cumprimento das normas de
saúde e segurança ocupacional |
|
Titulares |
Empregados, estagiários e
aprendizes |
|
Dados Tratados |
Atestados, exames
ocupacionais, informações médicas exigidas por lei, registros de treinamentos
obrigatórios |
|
Base Legal |
Art. 7º, II e Art. 11, II
da LGPD |
|
Compartilhamento |
Clínicas ocupacionais,
profissionais de saúde, órgãos fiscalizadores e seguradoras quando necessário |
|
Retenção |
Conforme legislação
trabalhista, previdenciária e normas regulamentadoras aplicáveis |
11. DIRETRIZES GERAIS
A CARRARA adota
medidas técnicas e administrativas aptas a proteger os dados pessoais contra
acessos não autorizados, perda, destruição, alteração ou qualquer forma de
tratamento inadequado ou ilícito.
Os tratamentos descritos
neste Anexo poderão ser revisados periodicamente em razão de alterações
operacionais, contratuais, legais ou regulatórias.
Em caso de dúvidas ou
solicitações relacionadas ao tratamento de dados pessoais, os titulares poderão
entrar em contato com o Encarregado pelo Tratamento de Dados Pessoais por meio
dos canais disponibilizados pela CARRARA.