Política de Privacidade
Objetivo
Esta política mostra como a FINDES protege os dados pessoais de forma segura e transparente. O objetivo é garantir:
- Disponibilidade: os dados estão acessíveis quando necessários.
- Integridade: os dados permanecem corretos e completos.
- Autenticidade: os dados são verdadeiros e confiáveis.
- Legalidade: o uso dos dados segue a lei.
- Sigilo: os dados são mantidos em confidencialidade.
Tudo está alinhado com a Lei Geral de Proteção de Dados (LGPD) e com as normas internas da FINDES.
Para conhecer a nossa Política na íntegra acesse aqui.
Abrangência
Esta política vale para qualquer pessoa que tenha relação com a FINDES e suas entidades:
- Colaboradores e empregados
- Estudantes e menores aprendizes
- Pais e responsáveis de alunos
- Profissionais da indústria
- Parceiros e prestadores de serviços
- Representantes legais de empresas contratantes ou contratadas
- Candidatos em processos seletivos
Também se aplica a quem usa os sites da FINDES e das entidades ligadas (CINDES, SESI-ES, SENAI-ES, IEL-ES, IDEIES e CONEF).
Definições
Para facilitar a leitura, aqui estão alguns termos importantes:
- Consentimento: autorização clara e informada do titular para uso dos seus dados.
- Dado pessoal: informação que identifica uma pessoa, como nome, CPF ou endereço.
- Dado pessoal sensível: informação que pode gerar discriminação, como origem racial, religião, opinião política ou dados de saúde.
- Anonimização: técnica que torna impossível identificar a pessoa a partir dos dados.
- Pseudoanonimização: técnica que dificulta a identificação, mas ainda pode ser revertida com informações adicionais.
- Incidente de segurança: qualquer situação de acesso indevido, vazamento ou perda de dados pessoais.
- Informação: é qualquer conjunto de dados, imagens ou textos que tenham significado dentro de um contexto.
- LGPD: é a Lei Geral de Proteção de Dados (Lei nº 13.709/2018). Ela regula como os dados pessoais podem ser tratados no Brasil e alterou artigos do Marco Civil da Internet.
- Titular de Dados: pessoa a quem os dados se referem.
- Privacidade de dados: é um dos pilares da segurança da informação. O foco é proteger a confidencialidade dos dados de uma organização e de seus clientes, garantindo que o tratamento seja adequado e conforme as normas vigentes.
- Encarregado de Proteção de Dados ou Data Protection Officer (DPO): responsável por garantir que a FINDES cumpra a LGPD e atenda os titulares.
- Tratamento de dados pessoais: qualquer ação feita com dados, como coleta, uso, armazenamento ou exclusão.
- Terceiro ou parceiro: pessoa ou empresa que presta serviços ou atua em nome da FINDES.
- Segurança da informação: práticas para proteger a integridade, confidencialidade e disponibilidade dos dados.
Diretrizes gerais
Na FINDES, toda informação deve ser protegida de acordo com a lei e com a necessidade do serviço. Para isso, colaboradores, estudantes, parceiros e prestadores de serviço devem adotar práticas seguras no dia a dia:
- Não divulgar informações sigilosas sem autorização.
- Evitar modificar ou perder informações de forma indevida.
- Descartar informações com segurança, seguindo os procedimentos internos.
- Não compartilhar conteúdo ilegal ou impróprio nos sistemas da FINDES.
- Obter consentimento quando necessário para tratar dados pessoais.
- Cumprir normas e orientações de segurança da informação publicadas pela instituição.
- Comunicar imediatamente ao DPO qualquer incidente que possa colocar em risco dados pessoais.
Todas as informações geradas ou usadas nas atividades da FINDES são de propriedade da instituição e devem ser utilizadas apenas para fins institucionais.
Proteção de dados pessoais
A proteção de dados na FINDES combina dois pilares:
- Segurança da Informação: medidas técnicas e administrativas para manter os dados íntegros e seguros.
- Privacidade de Dados: regras para garantir que os dados sejam usados de forma adequada e transparente.
A imagem abaixo mostra como essas duas áreas se conectam para garantir a proteção completa dos dados pessoais:
Fundamentos da LGPD
O tratamento de dados pessoais segue os princípios da LGPD, como:
- respeito à privacidade;
- autodeterminação informativa (o titular decide sobre seus dados);
- liberdade e comunicação;
- inviolabilidade da intimidade, honra e imagem;
- desenvolvimento econômico e inovação;
- defesa do consumidor e livre concorrência; e
- direitos humanos e dignidade da pessoa.
Tratamento de dados pessoais
Tratar dados pessoais significa realizar qualquer ação com eles, como:
- coletar
- produzir
- receber
- classificar
- usar
- acessar
- compartilhar
- armazenar
- eliminar
- modificar
- comunicar
Dados coletados e finalidade
A quantidade e o tipo de dados coletados variam conforme a relação da pessoa com a FINDES. Alguns exemplos:
- Informações de contato: nome e e-mail fornecidos em formulários ou canais de atendimento.
- Recrutamento e seleção: dados de currículos, entrevistas e testes (escolaridade, experiência, remuneração).
- Saúde: atestados, relatórios médicos e exames.
- Certidões judiciais: informações sobre processos em andamento ou já julgados.
- Participação em eventos: dados para concursos, treinamentos, pesquisas ou atividades culturais.
- Educação: dados de matrícula de alunos e responsáveis.
- Prestadores de serviços: informações de cadastro e identificação.
- Execução de contratos: dados necessários para cumprir obrigações contratuais.
- Comunicação: informações fornecidas por telefone, e-mail ou plataformas online.
- Cookies: dados coletados por tecnologias de navegação.
Cookies e links para outros sites
Cookies
- O que são: pequenos arquivos de texto gravados no computador, celular ou outro dispositivo. Eles guardam informações sobre a navegação e preferências do usuário.
- Tipos usados pela FINDES:
- Cookies permanentes: ficam no dispositivo por um período definido ou até serem excluídos.
- Cookies de sessão: expiram quando o navegador é fechado.
- Consentimento: ao acessar os sites da FINDES e aceitar os cookies, o usuário concorda com a coleta de dados de navegação.
- Impacto: se alguns cookies não forem aceitos, certos serviços podem não funcionar corretamente.
Links para outros sites
- Os sites da FINDES podem conter links para páginas externas.
- Ao clicar nesses links, o usuário passa a estar sujeito às políticas de privacidade e termos do site de destino.
- A FINDES não tem controle sobre essas plataformas externas.
Descarte de informações físicas e digitais
O descarte deve ser feito de forma segura:
- Documentos impressos com dados pessoais ou financeiros devem ser destruídos antes de ir para o lixo.
- Arquivos digitais devem ser apagados com cuidado, pois podem ser recuperados.
- Dispositivos de armazenamento (CDs, DVDs, HDs, pen-drives) devem seguir o procedimento interno de descarte de mídia (PRO-GETI-001).
- Periodicamente, os usuários devem revisar seus diretórios e eliminar informações que não sejam mais relevantes.
Tratamento de dados sensíveis
Dados sensíveis são informações que podem gerar discriminação ou constrangimento, como: origem racial ou étnica, religião, opinião política, filiação sindical, dados genéticos, biométricos, de saúde ou sobre a vida sexual.
Na FINDES, esses dados só podem ser tratados em situações específicas:
- Com consentimento expresso do titular ou responsável legal, para finalidades determinadas.
- Sem consentimento, apenas quando for indispensável para:
- Cumprir obrigação legal ou regulatória.
- Executar políticas públicas pela administração pública.
- Realizar estudos por órgãos de pesquisa, com anonimização sempre que possível.
- Exercício regular de direitos em processos judiciais, administrativos ou arbitrais.
- Proteger a vida ou a integridade física do titular ou de terceiros.
- Tutela da saúde, em procedimentos feitos por profissionais ou entidades da área.
- Garantir prevenção à fraude e segurança em processos de identificação e autenticação.
Tratamento de dados pessoais de crianças e adolescentes
Segundo o Estatuto da Criança e do Adolescente (ECA):
Criança: pessoa até doze anos incompletos.
Adolescente: pessoa entre doze e dezoito anos.
Na FINDES, o tratamento de dados de crianças e adolescentes só ocorre quando:
- Consentimento obrigatório: os dados só podem ser tratados com autorização clara e destacada de pelo menos um dos pais ou responsável legal.
- Exceções sem consentimento: os dados podem ser coletados sem autorização apenas em duas situações:
- Para entrar em contato com os pais ou responsáveis.
- Para proteger a criança ou o adolescente.
Compartilhamento de dados
Segundo a LGPD, o compartilhamento de dados pessoais pode acontecer de várias formas: comunicação, difusão, transferência internacional ou interconexão de dados.
Regra geral
- O compartilhamento só pode ocorrer com o consentimento do titular, que deve ser informado de forma clara sobre como seus dados serão usados.
- Nesses casos, a FINDES adota medidas de segurança para evitar alteração, perda, uso indevido ou acesso não autorizado.
- São usadas cláusulas contratuais específicas e outros mecanismos legalmente aceitos para proteger os dados pessoais.
Exceções (quando não é necessário consentimento)
A lei prevê situações em que o compartilhamento pode ocorrer sem autorização do titular:
- Para cumprir obrigações legais ou regulatórias.
- Para executar contratos, processos judiciais ou administrativos.
- Para proteger a vida ou a segurança física do titular ou de terceiros.
- Para a proteção de créditos.
- Quando houver legítimo interesse da FINDES, respeitando os direitos do titular.
- Quando o próprio titular tiver tornado seus dados públicos.
Do término do tratamento de dados pessoais
O tratamento de dados pessoais deve terminar quando:
- A finalidade foi cumprida: os dados não são mais necessários para o objetivo informado ao titular.
- Acabou o prazo legal ou regulatório: não existe mais obrigação de manter os dados armazenados.
- O titular pediu a exclusão: e não há motivo legal para mantê-los.
- Os dados foram anonimizados: ou seja, passaram a não identificar mais o titular.
Como acontece o término
- Os dados devem ser eliminados de forma segura, para evitar recuperação indevida.
- Quando não for possível eliminar imediatamente, os dados devem ser bloqueados e ficar indisponíveis para uso até o descarte definitivo.
- A FINDES deve garantir que o término seja feito com transparência, informando ao titular quando seus dados forem excluídos ou anonimizados.
Incidente de segurança da informação com dados pessoais
Todos os incidentes envolvendo dados pessoais devem ser comunicados ao Encarregado de Dados Pessoais (DPO) pelo e-mail [email protected].
Nesses casos, a FINDES segue o procedimento PRO-GECOMP – Plano de Resposta a Incidentes com Dados Pessoais.
Disposições finais
Os casos omissos, bem como ajustes na presente Política Corporativa devem ser submetidos à apreciação e aprovação do Conselho de Administração da FINDES.