DECLARAÇÃO DE PRIVACIDADE
1 - ESCOPO GERAL DA POLÍTICA
Esta política foi elaborada pelo escritório Gustavo Penna Arquiteto & Associados para a prestação de informações claras e transparentes sobre o tratamento dos dados pessoais daqueles que interagem com o nosso escritório, incluindo clientes, colaboradores e fornecedores, bem como sobre o que fazemos para seguir as disposições da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais - LGPD).
Aqui você encontrará detalhes sobre:
-
Os dados pessoais que utilizamos;
-
Os motivos pelos quais são utilizados;
-
Os fundamentos jurídicos que nos autorizam a utilizá-los;
-
As medidas de segurança que adotamos para protegê-los;
-
Nossas práticas de retenção e descarte de dados;
-
Informações quanto aos direitos dos titulares de dados e como exercê-los.
Neste texto, as expressões “GPAA”, “o escritório”, “nosso” e os verbos flexionados na primeira pessoa do plural são utilizados para se referir ao escritório Gustavo Penna Arquiteto & Associados.
2 - DEFINIÇÕES
Para que você possa compreender esta política adequadamente, trazemos abaixo o significado de alguns conceitos importantes, mencionando ainda os textos legais nos quais nos baseamos para defini-los:
Bases legais
(Art. 7º e 11 da LGPD)
Hipóteses previstas na LGPD para justificar o tratamento de dados pessoais e dados pessoais sensíveis. O tratamento de dados pessoais somente poderá ser realizado se tiver como fundamento uma base legal.
Controlador
(Art. 5º, VI, da LGPD)
Pessoa física ou jurídica que toma as decisões relativas ao tratamento de dados pessoais. O controlador pode realizar o tratamento diretamente ou por meio de um terceiro, denominado operador.
Dados pessoais
(Art. 5º, I, da LGPD)
Informação que pode ser associada a uma pessoa física de forma direta ou indireta. A associação indireta é aquela que ocorre por meio de outros dados aos quais o controlador também tenha acesso.
Dados pessoais sensíveis
(Art. 5º, II, da LGPD)
Dados pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.
Operador
(Art. 5º, VII, da LGPD)
Pessoa física ou jurídica que executa as operações de tratamento de dados pessoais em nome do controlador, seguindo suas instruções.
Titular
(Art. 5º, V, da LGPD)
Pessoa física a quem se refere determinado dado pessoal.
Tratamento
(Art. 5º, X, da LGPD)
Qualquer operação realizada com dados pessoais, por exemplo: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
3 - TITULARES ABRANGIDOS POR ESTA POLÍTICA
São tratados os dados pessoais dos seguintes titulares:
a. Clientes (pessoas físicas) e representantes de clientes;
b. Fornecedores (pessoas físicas) e representantes de fornecedores;
c. Colaboradores (incluindo diretores, associados, prestadores de serviço, celetistas e estagiários);
d. Candidatos a vagas de emprego;
e. Leads (clientes em potencial);
f. Jornalistas e demais representantes de veículos de imprensa;
g. Palestrantes e participantes de eventos desenvolvidos pela GPAA.
4 - RESPONSABILIDADES NO TRATAMENTO DE DADOS
Para a maioria dos processos que realizamos, o escritório Gustavo Penna Arquiteto & Associados é quem decide o que acontecerá no tratamento dos dados pessoais. Assim, o escritório assume a posição de controlador dos referidos dados, e é responsável por como ele é utilizado.
Contudo, em algumas situações, o escritório firma contrato com terceiros que também precisam obter maior controle do tratamento de dados para que os serviços fornecidos aos titulares possam ser devidamente executados - como é o caso de empresas gerenciadoras de benefícios dos funcionários da GPAA. Neste caso, a GPAA atua como controladora conjunta dos dados pessoais de clientes, fornecedores e colaboradores vinculados exclusivamente ao contrato firmado entre o terceiro e a GPAA.
Ainda, há cenários em que o escritório não será o responsável pelo tratamento de dados, atuando conforme as determinações de terceiro com quem mantém contrato - é o que acontece, por exemplo, quando coletamos assinatura de nossos arquitetos para preencher documentos e pranchas em projetos elaborados para prefeituras, já que as próprias prefeituras indicam quais dados deverão ser coletados, qual a finalidade do tratamento de dados e qual a base legal cabível à situação. Nesse caso, a GPAA será operadora dos dados pessoais.
5 - DADOS PESSOAIS TRATADOS PELA GPAA
Para que possamos realizar nossas atividades empresariais, coletamos diferentes tipos de dados pessoais, os quais podem ser obtidos de distintas formas. Independentemente da forma de coleta ou do tipo de tratamento realizado, sempre garantimos que os titulares recebam as informações adequadas sobre a abrangência da coleta, a forma, a duração e a finalidade do tratamento, entre outros aspectos relevantes associados ao tratamento de dados pessoais.
5.1 - Dados de colaboradores (funcionários, associados e estagiários)
Ao contratar um colaborador, precisamos coletar e verificar uma série de informações para cumprir com as obrigações legais que recaem ao contrato estabelecido entre a GPAA e o colaborador, bem como para cumprir as obrigações contratuais estabelecidas entre nosso colaborador e o escritório.
Em seguida, para viabilizar as operações da GPAA, é necessário que certos dados de nossos colaboradores sejam tratados no dia a dia das atividades empresariais do escritório, permitindo a comunicação e devida execução de tarefas.
Também nos utilizamos de informações dos colaboradores para acompanhar o desempenho de nossas atividades e nos certificar que todas as tarefas estão sendo executadas corretamente e da melhor forma possível, viabilizando melhorias internas como treinamentos ou contratação de serviços que auxiliem a atividade empresarial. Além disso, também realizamos registros de vídeo da área comum do escritório para monitoramento de segurança.
Para tanto, coletamos os seguintes dados pessoais de nossos colaboradores:
-
Dados de identificação como nome, CPF, RG e assinatura;
-
Dados de contato como e-mail, telefone e endereço;
-
Dados de qualificação como nacionalidade, data de nascimento, gênero e estado civil;
-
Dados sobre educação como diplomas, certificados, resultados de exames, vínculos educacionais e qualificações profissionais;
-
Informações sobre trabalho como cargo, data de admissão, atividades exercidas, avaliação de desempenho e disciplina;
-
Informações de atividades eletrônicas como logs de acesso e logs de atividades;
-
Informações de composição familiar como nome dos pais, nome dos filhos e regime de casamento;
-
Informações financeiras como salário, valor de bolsa estágio e dados bancários;
-
Registros em vídeo por meio das gravações de sistemas de vigilância.
Para além destes, também tratamos dados pessoais sensíveis referentes à saúde de nossos colaboradores, como doenças atuais ou pretéritas, CID, ASO e atestado médico, para gestão de atestados médicos (absenteísmo e licenças) e manutenção de obrigações trabalhistas.
5.2 - Dados de clientes ou de representantes de clientes
Dentre os principais dados tratados por pelo escritório, estão os dados de nossos clientes. É preciso destacar que nosso escritório tem como clientes tanto pessoas físicas (“PF”), cujos dados devem ser tratados à luz da LGPD, quanto pessoas jurídicas (“PJ”), cujos dados não são pessoais e, portanto, não exigem a tratativa da LGPD. Ainda assim, os dados pessoais dos representantes de nossos clientes PJs são tratados nos termos da referida lei, contando com todos os recursos que disponibilizamos para a proteção de seus dados pessoais.
No geral, precisamos coletar e tratar informações pessoais de nossos clientes e/ou de seus representantes para elaborar e negociar contratos, estabelecer e manter a comunicação ao longo de toda a relação contratual, desenvolver o projeto arquitetônico junto ao cliente, realizar a tratativa financeira com o cliente e divulgar novos projetos da GPAA.
Além disso, também utilizamos dados de nossos clientes para fins de marketing por meio do envio de nossa newsletter por e-mail e, eventualmente, entrega de brindes. Nestes casos, o cliente sempre terá a opção informar seu desinteresse no recebimento de ações promocionais e descadastrar seu e-mail de nosso mailing.
Para tanto, tratamos os seguintes dados de nossos clientes:
-
Dados de identificação como nome, CPF, RG e assinatura;
-
Dados de qualificação como nacionalidade, data de nascimento, gênero e estado civil;
-
Dados de contato como e-mail, telefone e endereço;
-
Informações sobre trabalho como cargo, setor e empresa contratante;
-
Informações empresariais como empresas do qual o titular faz parte, CNPJ do titular MEI e atividades realizadas pelo titular MEI;
-
Informações financeiras como dados bancários e valor do contrato;
-
Registros em vídeo por meio das gravações de sistemas de vigilância.
5.3 - Dados de fornecedores ou de representantes de fornecedores
Parte fundamental para a execução de nossas atividades é manter uma boa relação de fornecedores, que nos auxiliem a obter sempre os melhores resultados em nossos projetos.
Para tanto, coletamos informações de fornecedores e, quando necessário, de seus representantes, visando a elaboração e execução de contratos, bem como manter contato e realizar os pagamentos referentes aos serviços prestados.
Parte dos nossos fornecedores são pessoas jurídicas, de forma que o tratamento de seus dados não se enquadram na LGPD; contudo, nessas situações, é comum que precisemos tratar os dados de seus representantes, caso que recai sob a proteção da referida lei. Ainda, também temos fornecedores MEI (Microempreendedor individual), cujos dados devem ser tratados sob as determinações da LGPD.
Assim, tratamos os seguintes dados de nossos fornecedores:
-
Dados de identificação como nome, CPF, RG e assinatura;
-
Dados de contato como e-mail, telefone e endereço;
-
Informações sobre trabalho como cargo, setor e empresa contratante;
-
Informações empresariais como empresas do qual o titular faz parte, CNPJ do titular MEI e atividades realizadas pelo titular MEI;
-
Informações financeiras como dados bancários e valor do contrato;
-
Registros em vídeo por meio das gravações de sistemas de vigilância.
5.4 - Dados de leads e pessoas de interesse (jornalistas e representantes de veículos de imprensa, palestrantes e participantes de eventos promovidos pela GPAA)
Por fim, também tratamos dados de pessoas de interesse para a GPAA, como leads, outros profissionais de arquitetura, jornalistas, palestrantes e ouvintes em eventos promovidos pelo escritório, principalmente para fins de divulgação e marketing.
Em destaque, utilizamos estes dados para envio de e-mail marketing (mailing), envio de newsletter, convite para eventos da GPAA e, em alguns casos, envio de brindes e livros. Além disso, eventualmente realizamos registros fotográficos e filmagens dos participantes de nossos eventos para publicação em nossas redes ou em nossa newsletter.
Tratamos os seguintes dados destes titulares:
-
Dados de identificação como nome, CPF, RG e assinatura;
-
Dados de contato como e-mail, telefone e endereço;
-
Informações sobre trabalho como cargo e atividades exercidas;
-
Registros fotográficos e gravações de vídeo em eventos internos e por meio das gravações de sistemas de vigilância.
6 - BASES LEGAIS PARA O TRATAMENTO DE DADOS
Para que o tratamento de dados seja adequado, a LGPD determina que cada um dos processos realizados pelo controlador que envolvam o tratamento de dados pessoais seja embasado em uma das hipóteses legais listadas no art. 7º desta lei[1]. Quando o tratamento envolve dados pessoais sensíveis, as bases legais são indicadas no art. 11[2] da LGPD.
Essa determinação legal existe como forma de prevenir o tratamento indevido de dados, garantindo que os direitos do titular sejam respeitados e que não haja tratamento invasivo ou injustificado dos dados pessoais.
Na GPAA, utilizamos das seguintes bases legais para o tratamento de dados:
-
Mediante consentimento do titular de dados ou de seus responsáveis (art. 7º, I; art. 11, I; art. 14, §1º): nestes casos, o consentimento será específico e coletado de forma expressa;
-
Cumprimento de obrigação legal ou regulatória (art. 7º, II): quando o tratamento de dados é necessário para a observância de obrigações legais ou regulamentares impostas ao controlador;
-
Execução de contrato (art. 7º, V): quando requerido pelo titular dos dados para a execução de um contrato ou procedimentos preliminares ao contrato do qual o titular é parte;
-
Exercício regular de direitos (art. 7º, VI): quando necessário para que o controlador atue em processos judiciais, administrativos ou arbitrais;
-
Legítimo interesse (art. 7º, IX): quando o tratamento é realizado para atingir propósitos justos e com motivações legítimas, sem que haja desrespeito aos direitos e liberdade fundamentais do titular de dados.
7 - PRÁTICAS DE SEGURANÇA, RETENÇÃO E DESCARTE DE DADOS
Para o devido cumprimento da LGPD, nosso escritório estabeleceu política de retenção e descarte de dados, elaborada para garantir que os dados pessoais sejam armazenados com segurança, pelo tempo necessário e de acordo com as finalidades específicas para as quais foram coletados.
Sempre que possível, buscamos armazenar nossos documentos por vias digitais, evitando a duplicação desnecessária de dados pessoais neles contidos e de forma que o controle de acesso às informações seja melhor administrado.
Além disso, implementamos diversas práticas de segurança para proteger os dados pessoais, incluindo atribuição de logins de usuário específico a cada colaborador, política de senhas fortes, restrição de acesso aos dados apenas àqueles colaboradores que efetivamente precisam consultá-los para execução de suas atividades e proibição de compartilhamento de perfis entre colaboradores.
Ainda, contamos com práticas de segurança de rede para a proteção do nosso sistema interno, dispondo de programas seguros e confiáveis para execução das atividades, bem como realizando o monitoramento e atualização constante dos nossos sistemas internos de forma a evitar possíveis ataques cibernéticos.
Quando a finalidade do tratamento de dados for atingida sem que haja qualquer obrigação legal ou regulatória para armazená-los, iremos realizar o descarte de dados de forma segura, com eliminação completa do documento, sem chance de recuperação, e/ou anonimização dos dados nele contidos, quando possível.
8 - DIREITOS DOS TITULARES E CANAL DE ATENDIMENTO]
A LGPD confere aos titulares de dados uma série de direitos visando garantir o controle e a transparência no tratamento de dados pessoais. Nos comprometemos a viabilizar o exercício destes direitos de forma acessível, rápida e facilitada aos titulares de dados os quais tratamos.
Assim, garantindo a transparência em nossos processos, destacamos os principais direitos dos titulares sob a LGPD:
-
Informação clara e transparente sobre o tratamento de dados pessoais, incluindo a finalidade, a base legal e a duração do tratamento;
-
Confirmação da existência de tratamento de dados;
-
Acesso aos seus dados pessoais que possuímos;
-
Correção de dados incompletos, inexatos ou desatualizados;
-
Oposição ao tratamento de seus dados pessoais para fins específicos, como marketing direto;
-
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
-
Portabilidade de dados pessoais para outro controlador, quando aplicável e possível;
-
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
-
Revogação do consentimento ou eliminação dos dados pessoais tratados com o consentimento do titular;
-
Informação das entidades públicas e privadas com as quais o controlador compartilhou dados pessoais do titular.
Para exercer estes direitos ou obter mais informações sobre nossa política de privacidade, a requisição deverá ser encaminhada pelo titular de dados ao encarregado de proteção de dados da GPAA, por meio do seguinte endereço de e-mail:
Yuri dos Santos Advocacia
protecaodedados@gustavopenna.com.br
Nosso escritório se compromete a responder a solicitação dos titulares em até 5 dias úteis. Ainda, a GPAA poderá formular exigências para que o requerente comprove ser, de fato, o titular dos dados pessoais objeto da requisição.
[1]Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I - mediante o fornecimento de consentimento pelo titular;
II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;
IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;
V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
VIII - para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;
IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou
X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
[2] Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:
a) cumprimento de obrigação legal ou regulatória pelo controlador;
b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;
e) proteção da vida ou da incolumidade física do titular ou de terceiro;
f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.