abutton
Close menu
Accessibility Menu
Bigger text
bigger text icon
Highlight Links
Links off icon
Text Spacing
Spacing icon
Saturation
saturation icon
Cursor
big cursor icon
Dyslexia Friendly
dyslexia icon
Reset
     

Política corporativa de proteção de dados pessoais

  1. Introdução.

    A SOFTTEK respeita os direitos fundamentais e liberdades dos indivíduos, incluindo o direito à proteção dos seus dados pessoais, e está comprometida em proteger a privacidade dos seus clientes, funcionários e parceiros de negócios, e o tratamento dos seus dados pessoais. Para este fim e como parte de sua responsabilidade corporativa, a SOFTTEK desenvolve todas as suas atividades de acordo com os regulamentos sobre a proteção de dados pessoais em todos os pontos onde opera.

    Como uma organização global que opera em vários países, a SOFTTEK assegura que as informações, incluindo dados pessoais, sejam tratadas de forma segura em todas as empresas, grupos, afiliadas e/ou subsidiárias da SOFTTEK, com um nível adequado e uniforme de proteção, na qual estabelece diretrizes comportamentais comuns que são definidas nesta política.

    O objetivo desta Política Corporativa de Proteção de Dados Pessoais é estabelecer os princípios e diretrizes comuns e gerais de atuação que devem reger todas as entidades relacionadas à SOFTTEK em termos de proteção de dados pessoais, assegurando, em todos os casos, o cumprimento da legislação aplicável.

  2. Escopo.

    Esta Política é aplicável a todas as empresas que integram a SOFTTEK, às empresas investidas não integradas ao grupo sobre as quais a SOFTTEK detém o controle efetivo dentro dos limites legalmente estabelecidos, bem como a todas as pessoas que estejam relacionadas com as empresas e entidades pertencentes ao grupo. Nas empresas investidas nas quais esta Política não se aplica, a SOFTTEK deve promover o alinhamento desta política com as políticas das referidas empresas. Além disso, esta Política também é aplicável, quando aplicável, às joint ventures, uniões temporárias de empresas e outras associações equivalentes quando a SOFTTEK assumir a sua gestão.

    Sem prejuízo ao disposto no parágrafo anterior, as empresas SOFTTEK, no âmbito da sua própria estrutura de autonomia, devem estabelecer uma política equivalente e que deve estar de acordo com os princípios estabelecidos nesta Política.

    A Política de Proteção de Dados Pessoais aplica-se a todos os departamentos e áreas operacionais, bem como aos seus administradores, gerentes, funcionários e todas as pessoas que se relacionam com as entidades pertencentes à SOFTTEK e deve ser conhecida e cumprida por todos os membros do grupo.

    Esta Política de Proteção de Dados Pessoais aplica-se a todos os tratamentos de dados realizados pela SOFTTEK nas suas relações com os seus funcionários, ex-funcionários, contatos, candidatos a emprego, Clientes, Clientes Potenciais e Fornecedores, bem como na prestação dos serviços que a SOFTTEK fornece a terceiros e organizações e que envolvem acesso e processamento de dados em nome de terceiros.

    Todas as pessoas vinculadas à SOFTTEK devem promover os princípios estabelecidos nesta política e leva-los em consideração (i) na concepção e implementação de todos os procedimentos que implicam o tratamento de dados pessoais, (ii) nos produtos e serviços oferecidos, (iii) em todos os contratos e obrigações formalizados com pessoas físicas e (iv) na implementação de quaisquer sistemas e plataformas que permitam o acesso dos profissionais da SOFTTEK ou de terceiros aos dados pessoais e sua coleta ou tratamento.

    Esta política abrange todo o ciclo de vida dos dados pessoais: Geração ou captura, coleta de dados, manutenção e tratamento de dados, uso de dados, troca de dados, armazenamento e destruição de dados. Esta Política não aplica-se ao tratamento de dados anônimos (ex.: informações que incluem nomes aleatórios que não identificam, direta ou indiretamente, uma pessoa real).

  3. Referências.

    • GDPR (Comunidade da União Européia): O Regulamento Geral de Proteção de Dados (GDPR — General Data Protection Regulation) é o regulamento europeu sobre a proteção de pessoas físicas no que diz respeito ao tratamento de seus dados pessoais e à livre circulação desses dados na União Européia e na Comunidade Econômica Européia.
    • LFDPPP (México): A 'Lei Federal de Proteção de Dados Pessoais em Posse de Partes Particulares' é um órgão regulador do México, aprovado pelo Congresso da União em 27 de abril de 2010, que visa regulamentar o direito à autodeterminação informativa.
    • CCPA (EUA): É a primeira lei moderna e abrangente de proteção de dados nos Estados Unidos. O Ato de Privacidade do Consumidor da Califórnica (CCPA — California Consumer Privacy Act) é uma lei estadual de privacidade que regulamenta como as organizações podem gerenciar as informações pessoais dos residentes da Califórnia.
    • LGPD (Brasil): A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), também conhecida como LGPD, criou regras para a proteção dos dados pessoais de todos os brasileiros, com o objetivo de garantir os direitos de liberdade, privacidade e livre desenvolvimento de personalidade.
    • LPDP (Colômbia): A Lei de Proteção de Dados Pessoais ou Lei 1.581 de 2012, reconhece e protege o direito de todas as pessoas de conhecer, atualizar e retificar as informações que foram coletadas sobre elas em bancos de dados ou arquivos suscetíveis a tratamento por entidades de natureza pública ou privada.
    • LPDP (Argentina): A Lei de Proteção de Dados Pessoais 25.326 — Disposição Geral — estabelece os princípios gerais relativos à proteção de dados; direitos dos titulares dos dados; usuários e responsáveis por arquivos, registros e bases de dados; controle; sanções; ação para proteção de dados pessoais.
    • DPDPA (Índia): O Ato de Proteção Digital de Dados Pessoais 2023 (DPDPA — Digital Personal Data Protection Act 2023) estabelece uma estrutura legal específica na Índia para proteger os dados pessoais dos cidadãos. Destaca a importância do Conselho de Proteção de Dados da Índia (Data Protection Board of India), suas principais disposições e os direitos e deveres de organizações e indivíduos.
    • Política de Segurança da Informação: Este é o documento aprovado pela Alta Gestão que contempla o compromisso em assegurar e garantir a segurança da informação, bem como estabelece as medidas e controles que a empresa deve adotar para assegurar a confidencialidade, integridade, disponibilidade e privacidade das informações.

  4. Aplicação da política.

    O Information Security Office, em conjunto com o Depto. Jurídico e DPO, devem desenvolver e manter atualizada a Política Corporativa de Proteção de Dados Pessoais, que ora deve ser implementada pelo Information Security Office.

    Da mesma forma, o Information Security Office, Depto. Jurídico e DPO de cada país devem estabelecer procedimentos internos locais que desenvolvam os princípios estabelecidos nesta Política e que especifiquem seu conteúdo com base na legislação aplicável em suas respectivas jurisdições.

    O Depto. Jurídico e/ou DPO de cada país deve ser responsável por reportar ao Information Security Office os desenvolvimentos e as evoluções regulatórias que ocorram no âmbito da proteção de dados pessoais.

    Os Comitês Locais de Segurança e Privacidade ou órgãos equivalentes, em conjunto com os responsáveis pela Infraestrutura Tecnológica (TI), devem ser responsáveis por implementarem nos sistemas de informação das empresas do grupo os controles e desenvolvimentos informáticos adequados para garantir o cumprimento dos regulamentos internos sobre a gestão global da proteção de dados e assegurar que esses desenvolvimentos estejam atualizados continuamente.

    Além disso, as empresas SOFTTEK devem: (i) designar os responsáveis pelos dados (Oficial Local de Privacidade de Dados Pessoais — DPO), que devem atuar em coordenação com o Information Security Office; e (ii) coordenar com o Information Security Office qualquer atividade que envolva ou implique a gestão de dados pessoais, respeitando em todos os casos a estrutura de autonomia das empresas.

    É de responsabilidade da área de Auditoria supervisionar e monitorar o cumprimento e a eficácia das disposições desta Política por cada Empresa do Grupo. O anterior será entendido, em qualquer caso, sem prejuízo das responsabilidades que correspondem a outros órgãos e diretorias da Empresa e, quando for o caso, aos órgãos administrativos e de gestão das empresas SOFTTEK. Para verificar o cumprimento desta Política, devem ser realizadas auditorias de segurança da informação e privacidade de dados pessoais, com Auditores Internos e/ou Externos, dentre outros controles.

    O Information Security Office deve revisar e avaliar, ao menos uma vez por ano, esta Política e manter os Comitês Locais de Segurança e Privacidade ou órgãos equivalentes informados sobre riscos, eventos ou incidentes que possam ocorrer relacionados à privacidade das informações ou qualquer violação relacionada a esta Política, além de fornecer conteúdo educacional e de conscientização sobre Proteção de Dados Pessoais.

  5. Responsáveis pela de Proteção de Dados Pessoais.

    O Oficial Corporativo de Privacidade de Dados Pessoais (Corporate Personal Data Privacy Officer) é responsável por assegurar que a SOFTTEK cumpra com todos os regulamentos internacionais e locais de proteção de dados pessoais aplicáveis, bem como também é responsável por definir e atualizar a Política Corporativa de Proteção de Dados Pessoais e garantir o seu cumprimento e conformidade.

    O Oficial Corporativo de Privacidade de Dados, designado pelo Comitê Executivo de Segurança, é o Diretor do Information Security Office.

    Cada empresa do grupo SOFTTEK deve designar responsáveis pela segurança dos dados pessoais em sua empresa ou localidade (Oficial Local de Privacidade de Dados Pessoais — DPO Local), que devem atuar em coordenação com o Information Security Office e definir os canais de comunicação com as empresas sob sua responsabilidade, de acordo com a regulamentação local, para que os titulares dos dados pessoais possam contatá-los para exercerem os seus direitos.

  6. Princípios de tratamento de Dados Pessoais.

    Qualquer atividade dentro do ciclo de vida dos dados pessoais que possa ser realizada pela SOFTTEK, tanto para atividades de tratamento dentro dos diferentes processos de negócio, para a administração e gestão de pessoal, gestão econômica, contábil e tributária, ações comerciais e de marketing e comunicação, bem como para a gestão de Clientes, Fornecedores e Clientes Potenciais que seja realizada na SOFTTEK, deve ser realizada de acordo com os seguintes princípios gerais de tratamento de dados pessoais:

    • Princípio da Legalidade, Equidade e Transparência: Os dados pessoais coletados devem ser tratados de forma lícita, leal e transparente. Somente informações necessárias devem ser solicitadas, com indicação clara dos usos e finalidades do tratamento que se pretende realizar. Durante o tratamento, os dados pessoais devem ser utilizados somente para os propósitos aos quais foram coletados.
    • Princípio da Limitação da Finalidade: Os dados pessoais coletados devem ser utilizados somente para finalidades específicas, explícitas e legítimas, não sendo posteriormente tratados de forma incompatível com essas finalidades.
    • Princípio da Minimização de Dados: Os dados coletados devem ser os estritamente necessários ao cumprimento das finalidades para as quais são solicitados;
    • Princípio da Precisão: Os dados pessoais coletados devem ser mantidos completos, corretos e atualizados. Os dados devem ser atualizados sempre que o titular dos dados pessoais solicitar ou porque tenha conhecimento direto da desatualização de um determinado dado específico.
    • Princípio da Limitação de Armazenamento: Os dados pessoais devem ser armazenados pelos prazos legais aplicáveis a cada atividade de tratamento realizada. Uma vez que não sejam mais necessários para os fins aos quais foram coletados, estes devem ser excluídos ou destruídos, a menos que haja outras razões para retê-los, caso em que deve ser estabelecido um período mínimo de retenção legal de acordo com as autorizações de tratamento disponíveis.
    • Princípio da Integridade e Confidencialidade: Os dados pessoais coletados devem estar sujeitos a medidas técnicas, organizacionais e de segurança para garantir que as nossas atividades comerciais, informações, documentações e processos nos quais são utilizados estão protegidos contra acesso não autorizado ou ilegal, perda, destruição ou danos acidentais.
    • Princípio da Legitimidade da Fonte: Os dados pessoais coletados não devem ser obtidos de fontes ilegítimas, de fontes que não garantam sua origem ou de fontes cujos dados tenham sido coletados ou transferidos em violação à lei.
    • Princípio da Responsabilidade Proativa: As medidas técnicas e organizacionais de privacidade devem ser estabelecidas por design e por padrão (privacy by design & default), adequadas para garantir a conformidade com a legislação de dados pessoais e deve ser assegurada a rastreabilidade dos processos de tomada de decisão relativos ao seu tratamento.

  7. Direitos Dos Titulares Dos Dados Pessoais.

    As empresas do grupo SOFTTEK devem permitir que os interessados exerçam os direitos que se aplicam em cada localidade, estabelecendo para esse fim os procedimentos internos que sejam necessários para satisfazer, pelo menos, os requisitos legais aplicáveis em cada caso. A SOFTTEK também se compromete a respeitar, pelo menos, os seguintes direitos:

    • Direito de Acesso: O direito do Titular dos Dados Pessoais de obter informações sobre se seus próprios dados pessoais estão sendo tratados, as categorias de dados que estão sendo tratadas, a finalidade do tratamento, informações disponíveis sobre a origem dos dados quando os dados não foram originalmente recebidos do Titular dos Dados Pessoais, o tempo de retenção dos dados e quaisquer comunicações planejadas ou realizadas.
    • Direito de Retificação: O direito do Titular dos Dados Pessoais de corrigir ou modificar quaisquer dados pessoais que sejam considerados imprecisos ou incompletos. A solicitação do requerente deve indicar a que dados se refere e a correção que deve ser realizada. Deve incluir, quando necessário, a documentação que justifique a imprecisão ou a falta dos dados que estão sendo tratados.
    • Direito de Exclusão: Direito do Titular dos Dados Pessoais de eliminar os seus dados quando ocorrerem as seguintes circunstâncias:
      • Dados Pessoais que não são necessários para o tratamento realizado;
      • O Titular dos Dados Pessoais retirar o consentimento para o tratamento dos dados, se nenhuma outra finalidade legítima (relação legal ou contratual, interesse legítimo, obrigação legal) for aplicável;
      • Quando os dados pessoais dos titulares tenham sido tratados ilegalmente pela SOFTTEK;
      • O Titular dos Dados Pessoais opõe-se ao tratamento para criação de perfis, com base num legítimo interesse.
    • Direito à Limitação do Tratamento: Direito do Titular dos Dados Pessoais de limitar o tratamento dos dados da SOFTTEK quando:
      • O titular contesta a exatidão dos seus dados pessoais, por um período de tempo que permita verificar a exatidão dos mesmos, ou;
      • O tratamento for ilegal, mas o titular se opuser à exclusão dos dados pessoais, este pode solicitar a limitação do tratamento, ou;
      • Os Dados Pessoais já não sejam mais necessários para o tratamento, o Titular dos Dados Pessoais pode solicitar uma exclusão limitada para utilizar os dados para registrar uma reclamação, ou;
      • O Titular dos Dados Pessoais se opuser a um processo de criação de perfil com base em legítimo interesse.
    • Direito à Portabilidade dos Dados: Direito do Titular dos Dados Pessoais de receber os dados fornecidos, em um formato estruturado e comumente utilizado, dados que foram obtidos com consentimento expresso ou em um contrato, e que são tratados por meios automatizados. Além disso, o Titular pode autorizar que os dados sejam transmitidos diretamente a outra parte, se isso for tecnicamente possível.
    • Direito de Não Estar Sujeito a uma Decisão baseada unicamente em Tratamento Automatizado: Direito do Titular dos Dados Pessoais de não ser sujeito a uma decisão, com efeitos legais, baseada unicamente em tratamento automatizado, incluindo a criação de perfis.
    • Direito de Oposição ao Tratamento de Dados: Direito do Titular de Dados Pessoais de impedir o tratamento dos seus dados pessoais ou de cessar no caso de o consentimento não ser necessário para o tratamento porque a base legítima é o legítimo interesse, ou quando os dados são utilizados para marketing direto.
    • Direito de Ser Esquecido: Direito do Titular dos Dados Pessoais de solicitar a exclusão dos seus dados pessoais tornados públicos pela SOFTTEK e de excluir qualquer link aos mesmos. Este direito significa que os dados foram publicados na internet, redes sociais, blogs e/ou comentários.

    As propriedades comuns a todos esses direitos são:

    1. Direitos Muito Pessoais: Significa que só podem ser exercidos pelo Titular dos Dados Pessoais, por seu representante legal, no caso de menores ou pessoas com deficiência, ou por seu representante voluntário especificamente designado para exercer qualquer um desses direitos. Portanto, a SOFTTEK deve negar o exercício desses direitos se forem solicitados por uma pessoa que não seja a titular dos dados ou que não certifique adequadamente que está agindo em nome do titular.
    2. Direitos Independentes: Significa que não é necessário exercer previamente nenhum dos direitos para exercer outro, ou seja, cada direito é exercido de forma separada e independente.
    3. Obrigações: A SOFTTEK compromete-se a facilitar o exercício deste direito aos afetados e a responder à sua solicitação nos prazos legalmente estabelecidos, independentemente do procedimento utilizado pelo Titular dos Dados Pessoais e, mesmo que o responsável pelo arquivo não possua dados pessoais do referido Titular dos Dados Pessoais, este deve ser capaz de dar suporte à resposta do solicitante.
    4. Procedimento: O exercício deste direito deve ser realizado por meio de procedimentos simples e gratuitos (sempre que possível) que a SOFTTEK deve colocar à disposição dos interessados.
    5. Reclamações perante a Autoridade de Controle: Caso uma solicitação de direito não possa ser atendida, a SOFTTEK deve comunicar os motivos da não atuação e deve informar sobre a possibilidade de registrar uma reclamação junto à Autoridade de Controle, se aplicável. Esta notificação deve ser realizada dentro dos prazos estabelecidos pela legislação do país onde a reclamação é apresentada ou, nos casos em que não estejam estabelecidos prazos, no máximo um mês a partir do recebimento da solicitação.

  8. Finalidades de tratamento de dados pessoais

    A coleta, tratamento e utilização de dados pessoais dentro da SOFTTEK são permitidas apenas para as seguintes finalidades:

    1. Tratamento de Dados do Cliente para um Relacionamento Contratual.
      Os dados pessoais dos nossos Clientes, Parceiros, Clientes Potenciais e Fornecedores apenas podem ser tratados para estabelecer uma relação comercial ou contratual, geri-la ao longo do tempo, executar ou cumprir obrigações contratuais, fiscais e/ou contábeis, bem como rescindir um contrato.

      Assim, os dados pessoais podem ser tratados para:
      1. Acompanhar as atividades de pré-vendas e vendas: Para melhorar os procedimentos de atendimento ao usuário e atualizar o catálogo de produtos e serviços, compreender a forma como o usuário interage com a Softtek, bem como detectar o seu grau de satisfação;
      2. Preparar ofertas ou pedidos: Enviar informações comerciais sobre atividades, produtos e serviços, bem como ter uma comunicação fluída com nossos Clientes e poder oferecer a melhor oferta ou serviço;
      3. Enviar informações comerciais: Identificar as pessoas que representam o Cliente ou que atuam como contato para fins de contratação. Este tratamento só é aplicável no caso em que o Cliente seja uma pessoa jurídica;
      4. Executar contratos com Clientes e Fornecedores: Há uma série de tratamentos necessários à execução e desenvolvimento das relações contratuais. Sem este tratamento de dados pessoais para estas finalidades, a existência de tais relações contratuais não seria possível porque é inerente. Desenvolver, controlar e manter a relação contratual, gerir a assinatura, mesmo por meio de plataformas de assinatura eletrônica incluindo a emissão de certificados de assinatura eletrônica, realizar e gerir as transações contratadas, contactar, faturar, gerir cobranças e dívidas, prestar serviços de atendimento ao Cliente (incluindo a possibilidade de gravar chamadas telefônicas), enviar informações não comerciais relacionadas ao contrato e gerenciar reclamações, pedidos, sugestões e atendimento a possíveis incidentes;
      5. Cumprir obrigações legais: Os dados do Cliente devem ser tratados de acordo com a base legítima de tratamento. Às vezes, a base que legitima o tratamento é o cumprimento de obrigações contratuais ou o cumprimento de uma obrigação legal, como é o caso do tratamento de dados para fins contábeis e fiscais; em outros casos, o tratamento deve ser legitimado unicamente com base no consentimento. Nestes casos, antes do Cliente ou Cliente Potencial consentir, estes devem ser informados de acordo com a Política de Privacidade e Proteção de Dados. A declaração de consentimento deve ser obtida eletronicamente ou por escrito para fins de gerenciamento, manutenção e rastreabilidade do consentimento. Em algumas circunstâncias, como conversas telefônicas, o consentimento pode ser dado verbalmente. Nestes casos, a SOFTTEK recomenda a utilização de sistemas de gravação de chamadas;
      6. Tratamentos de Interesse Geral: Estes tratamentos são necessários para cumprir uma missão de interesse público. Especificamente, são tratamentos que visam garantir as condições de segurança e prevenir a prática de atos ilícitos, tais como: captura de imagens por meio de câmeras de segurança para fins de segurança das instalações e outras ações de segurança ou gerenciar reclamações ou investigações internas por violação do Titular dos Dados Pessoais de regulamentos internos ou do Código de Ética, o que implica a gestão do arquivo e a consulta das áreas que sejam necessárias para esta finalidade;
      7. Fins publicitários e de marketing/comunicação: Para manter o relacionamento com o Cliente por meio do registro de novos produtos, melhoria das condições dos produtos e/ou serviços contratados e oferta de informações sobre produtos e/ou serviços similares que possam ser do interesse do Cliente. Casos como:
        1. Se o Titular dos Dados Pessoais entrar em contato com a SOFTTEK para solicitar informações (por exemplo, uma solicitação para receber material publicitário sobre um produto), o tratamento de dados é permitido para atender a essa solicitação.
        2. As instruções e políticas específicas adotadas pela SOFTTEK devem ser seguidas para as diferentes ações publicitárias e utilização de meios de contato com Clientes Potenciais, uma vez que as ações publicitárias estão sujeitas a requisitos legais adicionais.
        3. Os dados podem ser tratados para fins publicitários, mercadológicos ou de opinião, desde que os dados tenham sido coletados com consentimento válido e para esses fins específicos. Qualquer Cliente ou Cliente Potencial deve ser informado sobre o uso dos seus dados para fins publicitários;
        4. No caso de planejar qualquer ação relacionada a campanhas publicitárias ou de comunicação para potenciais contatos profissionais (contatos profissionais na condição de representante ou ponto de contato de um Cliente ou Cliente Potencial), deve ser solicitado o consentimento para o tratamento dos dados para fins publicitários e de propaganda durante a primeira comunicação. Caso o Titular dos Dados Pessoais rejeitar o uso ou não autorizar a utilização dos seus dados para fins publicitários, esses dados não podem mais ser utilizados para tais fins e o seu uso deve ser bloqueado.

    2. Tratamento de Dados de Clientes para Satisfação de Legítimos Interesses da Softtek.
      1. Os Dados Pessoais também podem estar sujeitos a tratamento se necessário para atender aos legítimos interesses da SOFTTEK. Os legítimos interesses são geralmente de natureza legal (ou seja, cobrança ou recuperação de valores devidos) ou pesquisas de satisfação para melhoria de produtos e serviços;
        1. Os dados pessoais não podem ser tratados com base em um legítimo interesse da SOFTTEK se houver evidências de que os interesses e direitos de uma pessoa individual anulam e prevalecem sobre os legítimos interesses da SOFTTEK.
        2. Portanto, a aplicação do legítimo interesse da SOFTTEK como base legítima para o tratamento nem sempre é apropriada. Para cada caso, deve ser realizada uma análise da prevalência entre os legítimos interesses e os direitos dos indivíduos.
      2. Arquivo Histórico: Manter arquivo das atividades com vistas a eventuais responsabilidades ou como memória histórica pelo tempo definido em lei;
      3. Decisões Individuais Automatizadas: Trata-se de um tratamento de dados realizado de forma automatizada, utilizado para avaliar determinados aspectos (por exemplo, solvência). Este tipo de tratamento de dados deve ser comunicado ao Titular dos Dados Pessoais.
      4. Tratamento de dados derivados de acessos e visitas a um website: Caso sejam coletados, tratados e utilizados dados pessoais em websites ou aplicativos, os Titulares dos Dados Pessoais devem ser informados dessas finalidades em uma declaração de privacidade e, quando apropriado, em uma política de cookies. Estas informações devem ser facilmente identificáveis, diretamente acessíveis e constantemente disponíveis para as partes interessadas.

      Caso sejam criados perfis de rastreamento para avaliar o uso de websites e aplicativos, os Titulares dos Dados Pessoais sempre devem ser informados. O rastreamento somente pode ser realizado se permitido pela legislação do país ou pelo consentimento do Titular dos Dados Pessoais.

    3. Tratamento de Dados de Funcionários, Ex-Funcionários e Candidatos.

      Na SOFTTEK, realizamos diversos tratamentos de dados derivados do relacionamento com os nossos funcionários, assim, utilizamos dados pessoais para:
      1. Gestão de recrutamento e integração (“onboarding”);
      2. Identificação dentro da organização e concessão de acesso às instalações e sistemas de informação;
      3. Alocação de recursos de trabalho, como equipamentos de informática, e-mail, aplicativos, telefones, outros recursos;
      4. Gestão e monitoramento das relações trabalhistas pelo departamento de recursos humanos, como férias e licenças;
      5. Pagamento de salários e indenizações, adiantamentos de folha de pagamento, despesas, retenções, subsídios, benefícios e outras remunerações em espécie
      6. Programas de prevenção de riscos ocupacionais;
      7. Gestão de serviços de saúde, segurança e saúde ocupacional; contratações e rescisões, absenteísmo;
      8. Participar de treinamentos;
      9. Outros benefícios sociais para o interessado (vale-refeição, gestão de viagens, etc.);
      10. Gestão do processo de desligamento (“offboarding”);
      11. Gestão de obrigações com ex-funcionários;
      Para certas necessidades de tratamento de dados, dados particularmente sensíveis podem ser necessários, tais como dados de saúde para a gestão de tratamentos de saúde e a prevenção de riscos ocupacionais.

      Também podemos tratar dados de funcionários dentro do endereço corporativo da SOFTTEK, de acordo com as autorizações concedidas pelas autoridades nacionais sobre transferências internacionais e proteção de dados pessoais.

  9. Tratamento de dados em nome do cliente na prestação de serviços da SOFTTEK.

    O tratamento de dados em nome e por conta do CLIENTE significa que a SOFTTEK foi contratada para a prestação de um serviço que pode envolver acesso e tratamento de dados pessoais. Nestes casos, o acesso aos dados deve ser limitado somente ao serviço fornecido ao CLIENTE, seguindo as instruções fornecidas pelo próprio CLIENTE e assinando “ANTES” do início do serviço o modelo de contrato de acesso a dados para terceiros, definido pelo Depto. Jurídico de cada país e validado pelo Oficial Local de Privacidade de Dados Pessoais — DPO Local.

    Durante a prestação de serviços que envolvam ou possam envolver acesso a dados que são de responsabilidade do Cliente, todo o pessoal da SOFTTEK responsável por esta prestação de serviços e os recursos da SOFTTEK que sejam utilizados para a mesma prestação de serviços, estão sujeitos aos seguintes princípios:

    • Os dados não devem ser removidos do ambiente do CLIENTE, a menos que seja estabelecido em contrato ou notificado por escrito pelo CLIENTE, hipótese em que deve prevalecer o que for definido pelo CLIENTE;
    • Os dados somente devem ser tratados de acordo com as instruções fornecidas pelo CLIENTE e para a correta prestação dos serviços contratados pelo CLIENTE à SOFTTEK;
    • Os dados pessoais não devem ser utilizados para nenhuma finalidade que não seja a prestação do serviço;
    • Os dados pessoais devem ser devolvidos ao CLIENTE uma vez concluídos os serviços contratados, seguindo as instruções fornecidas pelo CLIENTE;
    • No caso de subcontratação de serviços, a subcontratação deve ser regulada de acordo com as autorizações concedidas pelo CLIENTE;
    • Devem ser implementadas medidas de segurança em dispositivos e recursos para garantir a segurança dos dados pessoais para evitar a sua alteração, perda, tratamento ou acesso não autorizado, levando em consideração o estado da tecnologia, a natureza dos dados armazenados e os riscos de exposição, sejam de origem humana, ação ou riscos ambientais.

  10. Tratamento de dados pessoais sob responsabilidade da SOFTTEK por prestadores de serviços.

    No caso de contratação de Fornecedores Externos para o tratamento de dados pessoais sob a responsabilidade da SOFTTEK, devem ser seguidas as diretrizes estabelecidas nesta Política, bem como quaisquer instruções ou diretrizes fornecidas para esse fim pelo Depto. Jurídico de cada país ou pelo Oficial Local de Privacidade de Dados Pessoais — DPO Local.

    • A área ou departamento responsável por quaisquer dados que possam incluir dados pessoais enviados para tratamento a um Provedor Terceirizado, deve notificar o Information Security Office (security@softtek.com) ou a área determinada pelo Information Security Office com a identidade do provedor de serviços, o tipo de serviço, as categorias de dados ou informações às quais o provedor tem acesso, a tecnologia e quaisquer outras considerações;
    • Deve ser assinado entre a SOFTTEK e o Prestador de Serviços um contrato / anexo regulando o acesso e tratamento de dados para a prestação do serviço;
    • O prestador de tratamento de dados somente pode acessar e tratar os dados seguindo as instruções da SOFTTEK;
    • O prestador de tratamento de dados deve ser obrigado a enviar informações sobre a sua capacidade em cobrir e atender as necessidades técnicas e organizacionais exigidas pelo serviço contratado, bem como devem ser consideradas a segurança da informação e proteção de dados pessoais;
    • Antes de iniciar qualquer tratamento de dados, o Prestador de Serviços deve compartilhar qualquer documentação que comprove a adoção de medidas de segurança, técnicas e organizacionais sobre os processos, procedimentos, aplicações e pessoas que podem acessar e tratar as informações da SOFTTEK;
    • Caso o tratamento de dados seja realizado por subcontratados, o Prestador é obrigado a celebrar contratos de tratamento de dados com tais subcontratados com base em cláusulas contratuais padrão estabelecidas pelo Depto. Jurídico da SOFTTEK no país para o tratamento de dados pessoais;
    • Ao término dos serviços contratados, o Prestador deve seguir as instruções da SOFTTEK para a devolução dos dados que ainda estiverem nas instalações do Prestador, certificando por escrito a devolução total dos dados;
    • Devem ser estabelecidas obrigações e responsabilidades contratuais por violações de dados por parte do Prestador, assumindo expressamente toda a responsabilidade perante aos Titulares dos Dados Pessoais e perante as Autoridades de Controle;
    • A SOFTTEK pode solicitar ao Prestador evidências de conformidade e cumprimento com as Políticas de Proteção de Dados Pessoais.

  11. Obrigações gerais dos colaboradores em relação ao tratamento de dados pessoais.

    Os dados pessoais são classificados como restritos. É proibida qualquer coleta, tratamento ou uso não autorizado de dados pessoais por funcionários.

    É proibido qualquer tratamento de dados realizado por um colaborador não autorizado a exercer como parte das suas funções e deveres do trabalho.

    Funcionários autorizados podem ter acesso às informações, dados e documentação necessários ao cumprimento e desenvolvimento de suas funções de trabalho dentro da SOFTTEK. Por esse motivo, nossa organização implementou medidas e recursos para a implementação de funções e responsabilidades do usuário.

    Os colaboradores estão proibidos de usar dados pessoais para fins privados ou comerciais, divulgá-los a pessoas não autorizadas ou disponibilizá-los de qualquer outra forma.

    A Política Corporativa de Proteção de Dados Pessoais da SOFTTEK deve ser publicada e disponibilizada a todos os funcionários. Todos os funcionários devem ser informados sobre a obrigação de proteger o sigilo e a confidencialidade dos dados, uma obrigação que deve permanecer em vigor mesmo após o funcionário ter encerrado seu relacionamento com a SOFTTEK, caso seja permitido pelas leis locais.

  12. Transmissão de Dados Pessoais

    Em geral, a SOFTTEK não deve transferir os dados dos Titulares de Dados Pessoais, exceto nos seguintes casos:

    • Às autoridades e órgãos competentes, tribunais ou qualquer outra terceira parte autorizada de acordo com a regulamentação aplicável. Caso a transmissão de dados seja necessária para o cumprimento de uma obrigação legal ou contratual, a unidade organizacional que realiza o tratamento real dos dados deve solicitar assistência ao Oficial Local de Privacidade de Dados Pessoais — DPO Local para suporte na execução das ações apropriadas e adoção dos procedimentos adequados;
    • A terceiros titulares de documentos comuns para o cumprimento de obrigações pecuniárias, quando o Cliente incorre em inadimplência e existam legítimos interesses;
    • A terceiros proprietários de serviços ou produtos que o usuário solicite voluntariamente (por exemplo, quando o usuário deseja se beneficiar de uma oferta de outra empresa do grupo ou de um parceiro);
    • A determinadas empresas da SOFTTEK para cumprir com as finalidades contratadas. Em todos os casos, a transferência internacional deve ser realizada com garantias adequadas e sob a condição de que os indivíduos tenham direitos executáveis e ações legais efetivas. Com todas elas existem Cláusulas Contratuais Padrão (também chamadas de “RCP” ou “Regras Corporativas Padrão”) assinadas entre os membros do grupo para garantir o cumprimento das regulamentações de cada país em relação à proteção de dados pessoais;
    • Da mesma forma, também é possível que Terceiros, Fornecedores da SOFFTEK, tenham acesso aos dados pessoais dos Titulares de Dados Pessoais para prestar serviços à SOFTTEK (empresas que atuam nos seguintes setores: tecnologia, assessoria jurídica, agências de marketing, serviços de TI, processamento de pagamentos, gerentes administrativos para controle de solvência, etc.). Estes fornecedores somente podem acessar os Dados Pessoais para realizar seus serviços em nome e por conta da Softtek, sob a obrigação de confidencialidade e sempre seguindo suas instruções e sem que em nenhum momento possam utilizar tais dados para seus próprios fins e/ou fins não autorizados.

  13. Segurança.

    Os dados pessoais devem ser protegidos contra acesso não autorizado, tratamento ilegal ou divulgação não autorizada, bem como contra perda acidental, modificação ou destruição. Isto aplica-se independentemente de os dados serem processados eletronicamente ou em mídia física.

    Mediante a introdução de novos métodos de tratamento de dados na SOFTTEK, o Oficial Local de Privacidade de Dados Pessoais — DPO Local, em conjunto com o Information Security Office e a área de Tecnologia de Informação, devem definir e documentar o processo a ser realizado, suas características e medidas de segurança para proteger os dados pessoais. Estas medidas devem ser baseadas na tecnologia atual, nos riscos potenciais de processamento e nos requisitos de proteção de dados (conforme definido pelo padrão de classificação de dados da SOFTTEK).

    As medidas técnicas e organizacionais para proteger os dados pessoais fazem parte do Information Security Office da SOFTTEK e devem ser continuamente ajustadas aos desenvolvimentos tecnológicos e às mudanças organizacionais.

  14. Controle de proteção de dados

    A conformidade da SOFTTEK com a Política de Proteção de Dados Pessoais e as leis de proteção de dados é continuamente verificada por meio de auditorias de segurança da informação e outros controles.

    Essas ações são de responsabilidade do Oficial Corporativo de Privacidade de Dados, dos Oficiais Locais de Privacidade de Dados — DPOs Locais, dos Auditores Internos ou dos Auditores Externos contratados para essa finalidade. Os resultados da avaliação desses controles devem ser compartilhados com os Comitês de Segurança Local ou órgãos equivalentes.

    Mediante solicitação, os resultados das verificações de proteção de dados devem ser disponibilizados à autoridade competente de proteção de dados. A autoridade de proteção de dados pode conduzir sua própria inspeção de conformidade com as regras desta Política, conforme permitido pela legislação local.

  15. Incidentes de proteção de dados.

    Todos os colaboradores devem informar imediatamente ao seu Líder e ao Oficial Local de Privacidade de Dados — DPO Local sobre casos de violação desta Política, bem como registrar o incidente ou evento de segurança, dependendo do caso, na ferramenta corporativa HELP.

    Os seguintes casos de incidendentes de segurança de dados, incluem, mas não estão limitados, a:

    • Transmissão acidental de dados pessoais a Terceiros;
    • Acesso indevido de Terceiros aos dados pessoais, ou
    • Perdas de dados pessoais.

    Os seguintes eventos de segurança de dados, incluem, mas não estão limitados, a:

    • Em geral, qualquer tratamento indevido ou perigoso de dados pessoais.

    O Oficial Local de Privacidade de Dados — DPO Local deve elaborar um relatório em conjunto com o Information Security Office, o departamento de Infraestrutura Tecnológica e outras áreas e departamentos envolvidos no incidente de segurança de dados para determinar as ações a serem tomadas.

    No caso de Incidentes de Privacidade de Dados, estes devem ser comunicados e documentados imediatamente, seguindo o Gerenciamento de Incidentes de Segurança da Informação da SOFTTEK, para que as obrigações de reporte previstas na legislação local à Autoridade Supervisora possam ser cumpridas dentro do prazo estipulado pelas leis aplicáveis a partir da data do conhecimento do incidente.

  16. Sanções e responsabilidades.

    As Gerências da SOFTTEK são responsáveis pelo tratamento de dados realizados nas suas áreas de responsabilidade, estando assim, portanto, obrigada a garantir que sejam cumpridos os requisitos legais e os conteúdos definidos na Política Corporativa de Proteção de Dados (ou documento local equivalente).

    A equipe de gestão é responsável por garantir que a Organização, os recursos humanos e técnicos tenham controles adequados para garantir que o tratamento de dados seja realizado de acordo com esta Política Corporativa de Proteção de Dados Pessoais.

    Qualquer departamento ou área responsável pelo desenvolvimento de processos e projetos que envolvam a coleta de dados pessoais deve compartilhar esse processo com o Oficial Local de Privacidade de Dados — DPO Local para análise e aprovação. Para que quaisquer dados pessoais sejam tratados, a privacidade e quaisquer outras obrigações para a SOFTTEK devem ser consideradas desde o projeto inicial, incluindo uma avaliação inicial dos riscos aos direitos dos Titulares de Dados Pessoais individuais “ANTES” que quaisquer dados sejam tratados.

    Caso as operações de tratamento de informações envolvam a coleta e o tratamento de dados particularmente sensíveis, deve ser realizada uma avaliação de risco adicional pelo Oficial Local de Privacidade de Dados — DPO Local, que deve analisar: os riscos decorrentes do tratamento e da conformidade dos dados e as medidas de segurança que devem ser adotadas para minimizar os riscos que possam surgir do tratamento dessas categorias de dados.

    O tratamento indevido de dados pessoais ou outras violações das leis de proteção de dados podem ser processados criminalmente, incluindo sanções administrativas ou multas por violações, permitindo ao Titular dos Dados Pessoais reivindicar indenização por danos.


Última modificação: março de 2025.