abutton
Close menu
Accessibility Menu
Bigger text
bigger text icon
Highlight Links
Links off icon
Text Spacing
Spacing icon
Saturation
saturation icon
Cursor
big cursor icon
Dyslexia Friendly
dyslexia icon
Reset
     

Política corporativa de proteção de dados pessoais

  1. Introdução.

    A SOFTTEK respeita os direitos fundamentais e liberdades dos indivíduos, incluindo o direito à proteção dos seus dados pessoais, e está comprometida em proteger a privacidade dos seus clientes, funcionários e parceiros de negócios, e o tratamento dos seus dados pessoais. Para este fim e como parte de sua responsabilidade corporativa, a SOFTTEK desenvolve todas as suas atividades de acordo com as normas de proteção de dados pessoais em todos os pontos onde opera.

    Como uma organização global que opera em vários países, a SOFTTEK assegura que as informações, incluindo dados pessoais, estão tratadas de forma segura em todas as empresas SOFTTEK, grupos, afiliadas e/ou subsidiárias, com um nível adequado e uniforme de proteção, na qual estabelece padrões comportamentais comuns que estão definidas nesta política.

    O propósito desta Política Corporativa de Proteção de Dados Pessoais é estabelecer os princípios e diretrizes comuns e gerais de atuação que devem reger todas as entidades relacionadas a SOFTTEK em assuntos de proteção de dados pessoais, assegurando, em qualquer caso, o cumprimento da legislação aplicável.

  2. Escopo.

    Esta Política é aplicável a todas as empresas que compõem a SOFTTEK, às empresas investidas não integradas no grupo sobre o qual a SOFTTEK detém o controle efetivo, dentro dos limites legalmente estabelecidos, bem como a todas as pessoas que estejam relacionadas com as empresas e entidades pertencentes ao grupo. Nas empresas investidas nas quais esta Política não seja aplicável, a SOFTTEK deve promover o alinhamento desta política com as das referidas empresas. Além disso, esta Política também é aplicável, quando aplicável, a joint ventures, uniões temporárias de empresas e outras associações equivalentes, quando a SOFTTEK assumir a sua gestão.

    Sem prejuízo do disposto no parágrafo anterior, as empresas SOFTTEK, no âmbito da sua própria estrutura de autonomia, devem estabelecer uma política equivalente, que deve estar de acordo com os princípios compilados nesta Política.

    A Política de Proteção de Dados Pessoais aplica-se a todos os departamentos, áreas operacionais, bem como aos seus administradores, diretores, colaboradores, e a todas as pessoas que estejam relacionadas com as entidades pertencentes à SOFTTEK e deve ser conhecida e cumprida por todos os membros do grupo.

    A presente política de proteção de dados pessoais aplica-se a todos os tratamentos de dados efetuados pela SOFTTEK nas suas relações com os seus colaboradores, ex-colaboradores, contatos, candidatos a emprego, clientes, clientes potenciais, fornecedores, bem como na prestação dos serviços que a SOFTTEK facilita a terceiros, empresas e organizações terceirizadas e envolve acesso e processamento de dados em nome de terceiros.

    Todas as pessoas vinculadas à SOFTTEK devem promover que os princípios compilados nesta política sejam levados em consideração ( i ) na concepção e implementação de todos os procedimentos que envolvam o tratamento de dados pessoais, (ii) nos produtos e serviços por eles oferecidos, ( iii) em todos os contratos e obrigações formalizados com pessoas singulares e (iv) na implementação de quaisquer sistemas e plataformas que permitam o acesso de profissionais da SOFTTEK ou de terceiros a dados pessoais e a sua coleta ou tratamento.

    Esta política abrange todo o ciclo de vida dos dados pessoais: geração ou captura, coleta de dados, manutenção e processamento de dados, utilização de dados, partilha de dados, arquivo de dados e destruição de dados. Esta Política não se aplica ao processamento de dados anônimos (por exemplo, informações que incluam nomes aleatórios sem identificar, direta ou indiretamente, uma pessoa real).

  3. Referências.

    • GDPR: O Regulamento Geral de Proteção de Dados é o regulamento europeu relativo à proteção das pessoas singulares no que diz respeito ao tratamento dos seus dados pessoais e à livre circulação destes dados na UE e no Espaço Económico Europeu.
    • LFPDPPP: A 'Lei Federal de Proteção de Dados Pessoais detidos por Pessoas Privadas' é um órgão regulador do México, aprovado pelo Congresso da União em 27 de abril de 2010, que visa regular o direito à autodeterminação informacional.
    • CCPA: É a primeira lei moderna e abrangente de proteção de dados nos Estados Unidos. A Lei de Privacidade do Consumidor da Califórnia é uma lei estadual de privacidade que regula como as organizações podem gerenciar as informações pessoais dos residentes da Califórnia.
    • LPDP: Lei de Proteção de Dados Pessoais ou Lei 1.581 de 2012, reconhece e protege o direito de todos os indivíduos de conhecer, atualizar e retificar as informações que foram coletadas sobre eles em bases de dados ou arquivos que estão sujeitos a processamento por entidades públicas ou privadas.
    • LGPD: A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), também conhecida como LGPD, criou regras para a proteção dos dados pessoais de todos os brasileiros, com o objetivo de garantir os direitos de liberdade, privacidade e livre desenvolvimento de personalidade.
    • Política de Segurança da Informação: É o documento aprovado pela administração, que inclui o seu compromisso em garantir a segurança das informações e estabelece as medidas e controles que a empresa deve adotar para assegurar a confidencialidade, integridade, disponibilidade e privacidade das informações.

  4. Aplicação da política.

    O Information Security Office, em conjunto com o Depto. Jurídico e DPO, devem desenvolver e manter atualizada a Política Corporativa de Proteção de Dados Pessoais, que ora deve ser implementada pelo referido Encarregado de Proteção de Dados local.

    Da mesma forma, o Information Security Office, Depto. Jurídico e DPO de cada país devem estabelecer procedimentos internos locais que desenvolvam os princípios compilados nesta Política e que especifiquem seu conteúdo com base na legislação aplicável em suas respectivas jurisdições.

    O Depto. Jurídico e/ou DPO de cada país deve ser responsável por reportar ao Information Security Office sobre os desenvolvimentos da proteção de dados pessoais e desenvolvimentos regulatórios que ocorram no âmbito da proteção de dados pessoais.

    Os Comitês Locais de Segurança e Privacidade ou órgãos equivalentes, em conjunto com os responsáveis pelas Infraestruturas Tecnológicas (TI), devem ser responsáveis pela implementação dos controles e desenvolvimentos informáticos adequados nos sistemas de informação das empresas do grupo para garantir o cumprimento dos regulamentos internos de dados globais, gestão da proteção e assegurar que esses desenvolvimentos estejam sempre atualizados.

    Adicionalmente, as empresas SOFTTEK devem: ( i ) designar os responsáveis pelos dados (Gerente Local de Privacidade de Dados Pessoais – DPO), que devem atuar em coordenação e sob a supervisão do Information Security Office; e (ii) coordenar com o Information Security Office quaisquer atividades que impliquem a gestão de dados pessoais, respeitando em todos os casos a estrutura de autonomia das empresas.

    É de responsabilidade da área de Auditoria monitorar o cumprimento e a efetividade das disposições desta Política por cada empresa do grupo. O anterior será entendido, em qualquer caso, sem prejuízo das responsabilidades que correspondem aos demais órgãos e gestão da Empresa e, se for o caso, aos órgãos de administração e gestão das empresas SOFTTEK. Para verificar o cumprimento desta Política, devem ser realizadas auditorias de segurança da informação e privacidade de dados pessoais, com auditores internos e/ou externos, e outros controles.

    O Information Security Office deve rever e avaliar, pelo menos uma vez por ano, esta Política e manter os Comitês Locais de Segurança e Privacidade ou órgãos equivalentes informados sobre riscos, eventos ou incidentes que possam surgir relacionados com a privacidade da informação, informações ou qualquer violação relacionada a esta Política, bem como fornecer conteúdo educativo e de conscientização sobre Proteção de Dados Pessoais.

  5. Responsáveis pela privacidade de dados pessoais.

    O Diretor Corporativo de Privacidade de Dados Pessoais é responsável por assegurar que a SOFTTEK cumpra todos os regulamentos de proteção de dados locais e internacionais aplicáveis. É também responsável por definir e atualizar a Política Corporativa de Proteção de Dados Pessoais e garantir o seu cumprimento.

    O Diretor Corporativo de Privacidade de Dados, designado pelo Comitê Executivo de Segurança, é o diretor do Information Security Office.

    Cada empresa do grupo SOFTTEK deve designar responsáveis pela segurança dos dados pessoais em sua empresa ou localidade (Gerentes Locais de Privacidade de Dados Pessoais – DPO), que devem atuar de forma coordenada e sob supervisão do Information Security Office, e devem definir os canais de comunicação com as empresas sob sua responsabilidade, de acordo com a regulamentação local, para que os titulares dos dados que os necessitem possam contactá-los para exercer os seus direitos.

    O(A) DPO – Data Privacy Officer (Oficial de Proteção de Dados) é uma função cuja responsabilidade é garantir que a SOFTTEK esteja em conformidade com as regulamentações locais e internacionais de proteção de dados, responsável pela Política de Proteção de Dados e para monitorar sua conformidade.

    O(A) Encarregado(a) de Proteção de Dados (DPO – Data Protection Officer) é uma pessoa designada pela Alta Gestão da SOFTTEK.

    Qualquer titular de dados pessoais pode entrar em contato com o(a) Encarregado(a) de Proteção de Dados (DPO – Data Protection Officer) a qualquer momento para levantar preocupações, fazer perguntas, solicitar informações ou enviar reclamações relacionadas à proteção de dados ou quaisquer problemas de segurança de dados.

    Os dados de contato do executivo Brasil são os seguintes:
      Nome: Miguel Angel Garcia Antonio – CFO
    • Email: mgarcia@softtek.com
    • Telefone: 11 3066.6000
    • Endereço: Rua Bonnard, nº 980, Bairro Alphaville Empresarial, CEP: 06465-134, Barueri/SP

      Nome: Monica Fatima Cassa – Encarregada de Proteção de Dados (DPO Brasil)
    • Email DPO: dpo.br@softtek.com
    • Email: monica.cassa@softtek.com
    • Telefone: 11 3066.6000
    • Endereço: Rua Bonnard, nº 980, Bairro Alphaville Empresarial, CEP: 06465-134, Barueri/SP

  6. Princípios de tratamento de dados pessoais.

    Qualquer atividade dentro do ciclo de vida dos dados pessoais que possa ser realizada pela SOFTTEK, tanto para atividades de tratamento dentro dos diferentes processos de negócio, para administração e gestão de pessoal, gestão econômica, contabilística e fiscal, ações comerciais, marketing e comunicação, bem como a gestão de clientes, fornecedores e clientes potenciais realizada na SOFTTEK, deve ser realizada de acordo com os seguintes princípios gerais de tratamento de dados pessoais:

    • Princípio da Legalidade, Equidade e Transparência: Os dados pessoais recolhidos devem ser tratados de forma lícita, leal e transparente. Só devem ser solicitadas as informações necessárias, indicando claramente os usos e finalidades do tratamento que se pretende realizar, durante o tratamento os referidos dados pessoais devem ser utilizados apenas para as quais foram recolhidos;
    • Princípio da Limitação da Finalidade: Os dados pessoais recolhidos destinam-se apenas a finalidades específicas, explícitas e legítimas, não sendo posteriormente tratados de forma incompatível com tais finalidades;
    • Princípio de Minimização de Dados: Os dados recolhidos devem ser os estritamente necessários ao cumprimento das finalidades para as quais são solicitados;
    • Princípio de Precisão: Os dados pessoais recolhidos devem ser mantidos completos, corretos e atualizados. Os dados devem ser atualizados sempre que o titular os solicitar ou porque tenha conhecimento direto da desatualização de um determinado dado;
    • Princípio de Limitação de Armazenamento: Os dados pessoais devem ser conservados pelos prazos legais aplicáveis a cada atividade de tratamento realizada. Quando já não forem necessários para os fins para os quais foram recolhidos, devem ser eliminados ou destruídos, salvo se existirem outros motivos para os conservar, caso em que deve ser estabelecido um período de conservação legal mínimo de acordo com as autorizações de tratamento disponíveis;
    • Princípio da Integridade e Confidencialidade: Os dados pessoais recolhidos devem estar sujeitos a medidas técnicas, organizacionais e de segurança para assegurar que as nossas atividades comerciais, informações, documentações e processos em que são utilizados estão protegidos contra acesso não autorizado ou ilegal, perda, destruição ou danos acidentais;
    • Princípio da Legitimidade da Fonte: Os dados pessoais recolhidos não devem ser obtidos de fontes ilegítimas, de fontes que não garantam a sua origem ou de fontes cujos dados tenham sido recolhidos ou transferidos em violação da lei;
    • Princípio da Responsabilidade Proativa: Medidas técnicas e organizacionais de privacidade devem ser estabelecidas desde a concepção e por padrão, apropriadas para assegurar o cumprimento da legislação de dados pessoais e deve ser assegurada a rastreabilidade dos processos de tomadas de decisão relacionados com o seu tratamento.

  7. Direitos do titular dos dados pessoais.

    As empresas do Grupo devem permitir às partes interessadas o exercício dos direitos aplicáveis em cada localidade, estabelecendo, para este propósito, os procedimentos internos necessários para satisfazer, pelo menos, os requisitos legais aplicáveis em cada caso. A SOFTTEK também se compromete a respeitar pelo menos os seguintes direitos:

    • Direito de Acesso: O direito do titular dos dados de obter informações sobre se os seus próprios dados pessoais que estão sendo processados, as categorias de dados que estão sendo processados, a finalidade do processamento, informação disponível sobre a origem dos dados quando os dados não foram originalmente recebidos do titular dos dados, o tempo de retenção dos dados e quaisquer comunicações efetuadas ou previstas.
    • Direito de Retificação: Direito do titular dos dados de corrigir ou modificar quaisquer dados pessoais que se encontrem inexatos ou incompletos. O pedido do requerente deve indicar a que dados se refere e a correção que deve ser feita. Deve incluir, quando necessário, documentação que justifique a inexatidão ou incompletude dos dados tratados.
    • Direito de Exclusão: Direito do titular de eliminar os seus dados quando ocorrerem as seguintes circunstâncias:
      • Os dados pessoais não são necessários para o tratamento efetuado;
      • O titular dos dados retira o consentimento para o tratamento dos dados, se nenhuma outra finalidade legítima for aplicável (relação jurídica ou contrato, interesse legítimo, obrigação legal);
      • Quando os dados pessoais dos titulares tenham sido tratados ilicitamente pela SOFTTEK;
      • O titular dos dados opõe-se ao tratamento para definição de perfis, com base num interesse legítimo;
    • Direito à Limitação do Tratamento: Direito do titular dos dados de limitar o tratamento dos dados da SOFTTEK quando:
      • O titular contesta a exatidão dos seus dados pessoais, por um período que permita verificar a sua exatidão, ou
      • O tratamento for ilegal, mas o titular se opuser à eliminação dos dados pessoais, pode solicitar a limitação do tratamento, ou
      • Já não forem necessários para o tratamento, a pessoa afetada pode solicitar uma eliminação limitada para utilizar os dados para apresentar uma reclamação, ou
      • O proprietário dos dados se opõe a um processo de criação de perfil com base em interesse legítimo.
    • Direito à Portabilidade dos Dados: Direito do titular dos dados de receber os dados fornecidos (nome, apelido, endereço postal e eletrônico, número de telefone, número do documento de identificação), num formato estruturado e de uso corrente, dados que tenham sido obtidos com consentimento expresso ou contratual, e cujo tratamento é realizado por meios automatizados. Além disso, o proprietário pode autorizar a transmissão dos dados diretamente a outra parte, se isso for tecnicamente possível.
    • Direito de não ficar sujeito a uma decisão baseada exclusivamente no Tratamento Automatizado: Direito do titular dos dados de não ser sujeito a uma decisão, com efeitos jurídicos, baseada exclusivamente no tratamento automatizado, incluindo a definição de perfis.
    • Direito de Oposição ao Tratamento de Dados: Direito do titular de evitar o tratamento dos seus dados pessoais ou de cessar se o consentimento para o tratamento não for necessário porque o interesse legítimo é a base legitimadora, ou quando os dados são utilizados para marketing direto.
    • Direito de ser Esquecido: Direito do titular dos dados de solicitar a eliminação dos seus dados tornados públicos pela SOFTTEK e de eliminar qualquer ligação aos mesmos. Este direito pressupõe que os dados foram publicados na internet, redes sociais, blogs e/ou comentários.

    As propriedades comuns a todos esses direitos são:

    1. Direitos Muito Pessoais: Isto significa que só podem ser exercidos pelo titular dos dados, pelo seu representante legal, no caso de menores ou pessoas com deficiência, ou pelo seu representante voluntário especificamente designado para exercer algum destes direitos. Portanto, a SOFTTEK deve negar o exercício destes direitos se forem solicitados por uma pessoa que não seja a titular dos dados ou que não certifique adequadamente que está agindo em seu nome.
    2. Direitos Independentes: Significa que não é necessário exercer nenhum deles previamente para exercer outro, cada um é exercido separadamente e de forma independente.
    3. Obrigações: A SOFTTEK compromete-se a facilitar o exercício destes direitos aos afetados e a responder à sua solicitação nos prazos legalmente estabelecidos, independentemente do procedimento utilizado pelo interessado e mesmo que o responsável pelo arquivo não possua dados pessoais de referido titular dos dados, esta pessoa deve ser capaz de apoiar a resposta ao requerente.
    4. Procedimento: O exercício destes direitos deve ser realizado por meio de procedimentos simples e gratuitos que a SOFTTEK deve disponibilizar aos interessados.
    5. Reclamações perante a Autoridade de Controle: Caso uma solicitação de direito não possa ser atendida, a SOFTTEK deve comunicar os motivos da não atuação e a possibilidade de registrar uma reclamação junto à Autoridade de Controle. Esta notificação deve ser feita nos prazos estabelecidos pela legislação do país onde a reclamação é apresentada ou, nos casos em que não estejam estabelecidos prazos, no máximo um mês a partir da recepção do pedido.

  8. Finalidades de tratamento de dados pessoais.

    A coleta, tratamento e utilização de dados pessoais dentro da SOFTTEK só é permitida para as seguintes finalidades:

    1. Tratamento de Dados de Clientes para uma Relação Contratual Os dados pessoais dos nossos clientes potenciais, parceiros e fornecedores apenas podem ser tratados para estabelecer uma relação comercial ou contratual, geri-la ao longo do tempo, executar ou cumprir obrigações contratuais, fiscais e/ou contabilísticas, bem como resolver um contrato. Assim, os dados pessoais podem ser tratados para:
      1. Acompanhe as atividades de pré-vendas e vendas: Melhorar os procedimentos de atendimento ao usuário e atualizar o catálogo de produtos e serviços, compreendendo a forma como o usuário interage com o grupo Repsol, bem como detectando o seu grau de satisfação;
      2. Para preparar ofertas ou pedidos:Enviar informação comercial sobre atividades, produtos e serviços, bem como ter uma comunicação fluida com os nossos clientes e poder oferecer a melhor oferta ou serviço;
      3. Para enviar informações comerciais: Identificar as pessoas que representam o cliente ou que intervêm como contatos para efeitos de contratação. Este tratamento só é aplicável no caso em que o cliente seja uma pessoa coletiva;
      4. Para a execução de contratos com fornecedores e clientes: Há uma série de tratamentos necessários à execução e desenvolvimento das relações contratuais. Sem o tratamento de dados pessoais para estes fins, a existência das referidas relações contratuais não seria possível porque é inerente. Desenvolver, controlar e manter a relação contratual, gerir a assinatura mesmo através de plataformas de assinatura eletrônica incluindo a emissão de certificado de assinatura eletrônica, realizar e gerir as transações contratadas, contato, faturação, cobrança e gestão de dívidas, serviços de atendimento ao cliente ( mesmo com possibilidade de gravação de ligações telefônicas), envio de informações não comerciais relacionadas ao contrato e gerenciamento de reclamações, solicitações, sugestões e atendimento a possíveis incidentes;
      5. Para cumprimento de obrigações legais: Os dados do cliente podem ser tratados de acordo com a base legítima de tratamento. Por vezes, a base que legitima o tratamento é o cumprimento de obrigações contratuais ou o cumprimento de uma obrigação legal, como é o caso do tratamento de dados para efeitos contabilísticos e fiscais; em outros casos, o tratamento deve ser legitimado unicamente com base no consentimento. Nestes casos, antes do cliente ou cliente potencial consentir, deve ser informado de acordo com a política de privacidade e proteção de dados. A declaração de consentimento deve ser obtida eletronicamente ou por escrito para efeitos de gestão, conservação e rastreabilidade do consentimento. Em algumas circunstâncias, como conversas telefônicas, o consentimento pode ser dado verbalmente. Nestes casos, a SOFTTEK recomenda a utilização de sistemas de gravação de chamadas;
      6. Tratamentos de interesse geral: Estes Tratamentos são necessários para cumprir uma missão de interesse público. Especificamente, são tratamentos que visam garantir condições de segurança e evitar a prática de atos ilícitos. Tais como: captura de imagens através de câmeras de segurança para fins de segurança das instalações e outras ações de segurança ou Gestão de reclamações ou investigações internas por violação pelo Interessado de regulamentos internos ou do Código de Ética, o que implica a gestão do arquivo e a consulta das áreas que são necessários para isso;
      7. Para fins publicitários e de marketing/comunicação: Manter o relacionamento com o cliente cadastrando novos produtos, melhorando as condições dos produtos e/ou serviços contratados e oferecendo informações sobre produtos e/ou serviços similares que possam ser do interesse do cliente. Casos como:
        1. Caso o interessado entre em contato com a SOFTTEK para solicitar informações (por exemplo, uma solicitação para receber material publicitário sobre um produto), o processamento de dados é permitido para atender a essa solicitação. As instruções e políticas específicas adotadas pela SOFTTEK devem ser seguidas para as diferentes ações publicitárias e utilização de meios de contato com potenciais clientes, uma vez que as ações publicitárias estão sujeitas a requisitos legais adicionais;
        2. Os dados podem ser tratados para fins publicitários, mercadológicos ou de opinião, desde que os dados tenham sido recolhidos com consentimento válido e para esses fins específicos. Qualquer potencial cliente ou cliente deve ser informado sobre a utilização dos seus dados para fins publicitários;
        3. No caso de planejamento de qualquer ação relacionada com campanhas publicitárias ou comunicação a potenciais contatos profissionais (contatos profissionais na qualidade de representante ou ponto de contato de um cliente ou potencial cliente), deve ser solicitado o consentimento para o tratamento dos dados para fins publicitários e publicidade durante a primeira comunicação. Caso o interessado rejeite a utilização ou não autorize a utilização dos seus dados para fins publicitários, esses dados não podem mais ser utilizados para tais fins e a sua utilização deve ser bloqueada.

    2. Tratamento de Dados de Clientes para Cumprimento de Interesses Legítimos da SOFTTEK Os Dados Pessoais também podem ser tratados caso seja necessário:
      1. Atender aos interesses legítimos da SOFTTEK: Os interesses legítimos são geralmente de natureza legal (ou seja, cobrança ou recuperação de valores devidos) ou pesquisas de satisfação para melhoria de produtos e serviços;
        1. Os dados pessoais não podem ser tratados com base num interesse legítimo da SOFTTEK se existirem provas de que os interesses e direitos de uma pessoa singular prevalecem sobre os interesses legítimos da SOFTTEK
        2. Portanto, a aplicação do interesse legítimo da SOFTTEK como base legítima para o processamento nem sempre é apropriada. Para cada caso, deve ser realizada uma análise da prevalência entre os interesses legítimos e os direitos das pessoas.
      2. Arquivo Histórico: Manter arquivo das atividades diante de possíveis responsabilidades ou como memória histórica do tempo definido em lei;
      3. Decisões individuais automatizadas: Trata-se de um tratamento de dados realizado de forma automatizada, utilizado para avaliar determinados aspectos (por exemplo, solvência), este tipo de tratamento de dados deve ser comunicado ao interessado;
      4. Tratamento de dados derivados de acessos e visitas a um website:Caso sejam coletados, tratados e utilizados dados pessoais em websites ou aplicações, os interessados devem ser informados dessas finalidades numa declaração de privacidade e, se for caso disso, numa política de utilização de cookies. Esta informação deve ser facilmente identificável, diretamente acessível e constantemente disponível para as partes interessadas. Caso sejam criados perfis de rastreamento para avaliar a utilização de websites e aplicações, os titulares dos dados sempre devem ser informados. O monitoramento somente pode ser realizado se for permitido pela legislação do país ou com o consentimento do interessado.

    3. Tratamento de Dados de Funcionários, Ex-Funcionários e Candidatos Na SOFTTEK realizamos diversos tratamentos de dados derivados do relacionamento com os nossos colaboradores, assim, utilizamos dados pessoais para:
      1. Gestão de contratações e “onboarding”;
      2. Identificação dentro da organização e concessão de acesso a instalações e sistemas de informação;
      3. A alocação de recursos de trabalho, como equipamentos de informática, e-mail, aplicativos, telefones, outros recursos;
      4. Gestão e acompanhamento das relações trabalhistas pelo departamento de recursos humanos, como férias e licenças;
      5. Pagamento de salários e indenizações, adiantamentos de folha de pagamento, despesas, retenções, subsídios, benefícios e outras remunerações em espécie;
      6. Programas de prevenção de riscos ocupacionais;
      7. Gestão de serviços de saúde, segurança e saúde ocupacional; contratações e rescisões, absenteísmo;
      8. Para participar do treinamento;
      9. Outros benefícios sociais para o interessado (vouchers restaurantes, gestão de viagens...);
      10. Gestão do processo de “offboarding”;
      11. Gestão de obrigações com ex-funcionários;
      Para determinadas necessidades de tratamento de dados, dados especialmente sensíveis podem ser necessários, tais como dados de saúde para a gestão de tratamentos de saúde e a prevenção de riscos profissionais.

      Também podemos tratar dados de funcionários da gestão corporativa da SOFTTEK, de acordo com autorizações concedidas pelas autoridades nacionais relativas a transferências internacionais e proteção de dados pessoais.

  9. Tratamento de dados por conta do cliente na prestação de serviços SOFTTEK.

    O tratamento de dados em nome e por conta do CLIENTE significa que a SOFTTEK foi contratada para a prestação de um serviço que pode envolver acesso e tratamento de dados pessoais. Nestes casos, o acesso aos dados deve limitar-se ao serviço prestado ao CLIENTE, seguindo as instruções fornecidas pelo próprio CLIENTE e assinando previamente o modelo de contrato de acesso a dados para terceiros no início do serviço, definido pelos Serviços Jurídicos de cada país e validado pelo Diretor Local de Privacidade de Dados.

    Durante a prestação de serviços que envolvam ou possam envolver acesso a dados de responsabilidade do cliente, todo o pessoal da SOFTTEK responsável por esta prestação de serviços e os recursos da SOFTTEK que sejam utilizados para a mesma prestação de serviços, estão sujeitos aos seguintes princípios:

    • Os dados não devem ser retirados do ambiente do CLIENTE a menos que seja estipulado no contrato ou notificado por escrito pelo CLIENTE, caso em que deve prevalecer o que for definido pelo CLIENTE;
    • Os dados apenas devem ser tratados de acordo com as instruções dadas pelo CLIENTE e para a correta prestação dos serviços contratados pelo CLIENTE à SOFTTEK;
    • Os dados pessoais não devem ser utilizados para qualquer outro fim que não seja a prestação do serviço;
    • Os dados pessoais devem ser devolvidos ao CLIENTE uma vez concluídos os serviços contratados, seguindo as instruções recebidas do CLIENTE;
    • No caso de subcontratação de serviços, a subcontratação deve ser regulada de acordo com as autorizações concedidas pelo CLIENTE;
    • Devem ser implementadas medidas de segurança nos dispositivos e recursos para garantir a segurança dos dados pessoais para evitar alteração, perda, acesso ou processamento não autorizado, considerando o estado da tecnologia, a natureza dos dados armazenados e os riscos de exposição, seja por parte humana ação ou perigos ambientais.

  10. Tratamento de dados pessoais sob responsabilidade da softtek por prestadores de serviços.

    No caso de contratação de fornecedores externos para o tratamento de dados pessoais sob responsabilidade da SOFTTEK, devem ser seguidas as diretrizes estabelecidas nesta Política, bem como quaisquer instruções ou diretrizes fornecidas para esse fim pelos Serviços Jurídicos de cada país ou pelo Depto. Local pela Privacidade de Dados:

    • A área ou departamento responsável por quaisquer dados que possam incluir dados pessoais, enviados para processamento a um fornecedor externo, deve notificar o Information Security Office (security@softtek.com) ou a área determinada pelo Information Security Office, a identidade do serviço provedor, tipo de serviço, categorias de dados ou informações aos quais o provedor tem acesso, tecnologia e quaisquer outras considerações;
    • Deve ser assinado entre a SOFTTEK e o prestador um contrato / anexo regulando o acesso e tratamento de dados para a prestação do serviço;
    • O Processador de Dados só pode acessar e processar os dados, seguindo as instruções da SOFTTEK;
    • O prestador de tratamento de dados deve ser obrigado a apresentar informações sobre a sua capacidade para satisfazer as necessidades técnicas e organizacionais exigidas pelo serviço contratado. Deve-se considerar a segurança da informação e proteção de dados pessoais;
    • Antes de iniciar qualquer tratamento de dados, a Prestadora de Serviços deve compartilhar qualquer documentação que comprove a adoção de medidas técnicas e organizacionais de segurança sobre os processos, procedimentos, aplicações e pessoas que podem acessar e processar as informações da SOFTTEK;
    • Se o tratamento de dados for realizado por subcontratantes, o Fornecedor é obrigado a celebrar contratos de tratamento de dados com tais subcontratantes com base em cláusulas contratuais padrão definidas pelo Depto. Jurídico da SOFTTEK no país para o tratamento de dados pessoais;
    • Ao término dos serviços contratados, o Fornecedor deve seguir as instruções da SOFTTEK para a devolução dos dados ainda nas instalações do Fornecedor, certificando por escrito a devolução total dos dados
    • Devem ser estabelecidas obrigações e responsabilidades contratuais pelas violações de dados por parte do Fornecedor, assumindo expressamente toda a responsabilidade perante os titulares dos dados e perante as Autoridades de Supervisão;
    • A SOFTTEK pode solicitar ao Fornecedor provas do cumprimento das políticas de proteção de dados pessoais.

  11. Obrigações gerais dos colaboradores em relação ao tratamento de dados pessoais.

    Os dados pessoais são classificados como restritos. Qualquer coleta, processamento ou uso não autorizado de dados por funcionários é proibido.

    É proibido qualquer tratamento de dados por parte de um colaborador que não esteja autorizado a realizar no âmbito das suas funções e funções profissionais.

    Os funcionários autorizados podem ter acesso às informações, dados e documentação necessária ao cumprimento e desenvolvimento de suas funções dentro da SOFTTEK. Portanto, nossa organização implementou medidas e recursos para a implementação de funções e responsabilidades dos usuários.

    Os colaboradores estão proibidos de utilizar dados pessoais para fins privados ou comerciais, divulgá-los a pessoas não autorizadas ou disponibilizá-los de qualquer outra forma.

    A política de privacidade e proteção de dados da SOFTTEK deve ser publicada, estar disponível a todos os funcionários e deve informar todos os funcionários sobre a obrigação de proteger a confidencialidade dos dados, obrigação que deve permanecer em vigor mesmo após o funcionário ter encerrado seu relacionamento com a SOFTTEK se as leis locais permitirem.

  12. Transmissão de dados pessoais.

    Em geral, a SOFTTEK não deve transferir os dados dos Interessados, exceto nos seguintes casos:

    • Às autoridades e órgãos competentes, tribunais ou quaisquer outros terceiros legitimados de acordo com a regulamentação aplicável. Caso a transmissão de dados seja necessária para o cumprimento de uma obrigação legal ou contratual, a unidade organizacional que realiza o tratamento atual dos dados deve solicitar assistência ao Encarregado de Privacidade de Dados local para apoio na execução das ações e adoção dos procedimentos adequados;
    • A terceiros titulares de documentos comuns para o cumprimento de obrigações monetárias, quando o cliente incorra em falta de pagamento e existam interesses legítimos;
    • A terceiros proprietários de serviços ou produtos que o usuário solicite voluntariamente (por exemplo, quando o usuário deseja aproveitar uma oferta de outra empresa do grupo ou de um parceiro);
    • A determinadas empresas SOFTTEK para cumprimento dos fins contratados. Em todos os casos, a transferência internacional deve ser feita com salvaguardas adequadas e na condição de que os indivíduos tenham direitos exigíveis e recursos legais eficazes. Com todas elas existem Cláusulas Contratuais Padrão (também chamadas de “CEC” ou “Regras Corporativas Padrão”) assinadas entre os membros do grupo para garantir o cumprimento da regulamentação de cada país em relação à Proteção de Dados Pessoais;
    • É ainda possível que terceiros, fornecedores da SOFFTEK, tenham acesso aos dados pessoais dos titulares dos dados para prestação de serviços à SOFTTEK, (empresas que atuam nos seguintes setores: tecnologia, assessoria jurídica, agências de marketing, serviços de TI, processamento de pagamentos, gestores administrativos para controle de solvência, etc.). Estes fornecedores somente podem acessar os Dados Pessoais para realizar seus serviços em nome e por conta da Softtek, sob a obrigação de confidencialidade e sempre seguindo suas instruções e sem em nenhum momento utilizar tais dados para fins próprios e/ou não autorizados.

  13. Segurança.

    Os dados pessoais devem ser protegidos contra acesso não autorizado, tratamento ilícito ou divulgação não autorizada, bem como contra perda, alteração ou destruição acidental. Isto aplica-se independentemente de os dados serem processados eletronicamente ou em suporte físico.

    Mediante a introdução de novos métodos de tratamento de dados na SOFTTEK, o Diretor Local de Privacidade de Dados, em conjunto com o Information Security Office e a área de Tecnologia de Informação, devem definir e documentar o processo a ser realizado, suas características e medidas de segurança para proteção dos dados pessoais. Estas medidas devem basear-se na tecnologia atual, nos riscos potenciais de processamento e nos requisitos de proteção de dados (conforme definido pelo padrão de classificação de dados da SOFTTEK).

    As medidas técnicas e organizacionais de proteção de dados pessoais fazem parte do Information Security Office da SOFTTEK e devem ser continuamente ajustadas à evolução tecnológica e às mudanças organizacionais.

  14. Controle de proteção de dados pessoais.

    A conformidade da SOFTTEK com a política de proteção de dados e as leis de proteção de dados é continuamente verificada através de auditorias de segurança da informação e outros controles.

    Essas ações são de responsabilidade do Diretor Corporativo de Privacidade de Dados, dos Diretores Locais de Privacidade de Dados, dos auditores internos ou dos auditores externos contratados para esse fim. Os resultados da avaliação destes controlos devem ser partilhados com os Comitês Locais de Segurança ou órgãos equivalentes.

    Mediante pedido, os resultados das verificações de proteção de dados devem ser disponibilizados à autoridade competente em matéria de proteção de dados. A autoridade de proteção de dados pode realizar sua própria inspeção de conformidade com as regras desta Política, conforme permitido pela legislação local.

  15. Incidentes de proteção de dados pessoais.

    Todos os colaboradores devem informar imediatamente ao seu líder e ao Diretor Local de Privacidade de Dados sobre casos de violação desta política, bem como reportar o incidente ou evento, dependendo do caso, no HELP.

    A seguir estão, entre outros, incidentes de segurança de dados:

    • Transmissão acidental de dados pessoais a terceiros,
    • Acesso indevido de terceiros a dados pessoais, ou
    • Perda de dados pessoais

    A seguir estão, entre outros, eventos de segurança de dados:

    • Em geral, de qualquer tratamento arriscado ou indevido de dados pessoais.

    O Encarregado de Privacidade de Dados local deve elaborar um relatório em conjunto com o Information Security Office, o departamento de Infraestrutura Tecnológica e outras áreas e departamentos envolvidos no incidente de segurança, para determinar as ações a serem tomadas.

    No caso de Incidentes de Privacidade de Dados, os mesmos devem ser comunicados e documentados imediatamente, seguindo a Gestão de Incidentes de Segurança da Informação da SOFTTEK, para que as obrigações de reporte previstas na legislação local à Autoridade de Supervisão possam ser cumpridas dentro do prazo estipulado pelas leis aplicáveis a partir da data de conhecimento do incidente.

  16. Sanções e responsabilidades.

    A Administração da SOFTTEK é responsável pelo tratamento de dados realizado na sua área de responsabilidade, estando, portanto, obrigada a garantir o cumprimento dos requisitos legais e dos conteúdos definidos na Política Corporativa de Proteção de Dados (ou documento local equivalente).

    A equipe de gestão é responsável por garantir que a organização, os recursos humanos e técnicos, dispõem de controlos adequados para garantir que o tratamento de dados é realizado de acordo com esta política de proteção de dados.

    Qualquer departamento ou área responsável pelo desenvolvimento de processos e projetos que envolvam coleta de dados pessoais deve compartilhar esse processo com o Diretor Local de Privacidade de Dados para análise e aprovação. Para que quaisquer dados pessoais sejam processados, a privacidade e quaisquer outras obrigações para com a SOFTTEK devem ser consideradas desde o projeto inicial, incluindo uma avaliação inicial dos riscos para os direitos dos proprietários de dados individuais antes de quaisquer dados serem processados.

    Caso as operações de tratamento de informação envolvam a coleta e tratamento de dados particularmente sensíveis, deve ser realizada uma avaliação de risco adicional pelo Responsável Local pela Privacidade de Dados, que deve analisar: os riscos decorrentes do tratamento e conformidade dos dados e as medidas de segurança para ser adotadas para minimizar os riscos que possam surgir do tratamento destas categorias de dados.

    O processamento indevido de dados pessoais ou outras violações das leis de proteção de dados podem ser processados criminalmente, incluindo sanções administrativas ou multas por violações, permitindo ao titular dos dados reclamar danos.


Última modificação: abril de 2024.