Sumário
- 1.Objetivo
- 2.Abrangência
- 3.Definições
- 4.Base Legal
- 5.Princípios da LGPD
- 6.Papéis e Responsabilidades
- 7.Bases Legais para Tratamento
- 8.Direitos dos Titulares
- 9.Tratamento de Dados Pessoais
- 10.Dados Pessoais Sensíveis
- 11.Crianças e Adolescentes
- 12.Compartilhamento de Dados
- 13.Transferência Internacional
- 14.Segurança da Informação
- 15.Incidentes de Segurança
- 16.Término e Retenção de Dados
- 17.Transparência e Comunicação
- 18.Treinamento e Conscientização
- 19.Monitoramento e Auditoria
- 20.Reporte a Clientes
- 21.Mapeamento e Inventário
- 22.Relatório de Impacto (RIPD)
- 23.Sanções
- 24.Disposições Finais
NUVEM — Programa de Integridade e Compliance. Documento de governança que disciplina o tratamento de dados pessoais e o atendimento aos direitos dos titulares.
Quer exercer seus direitos como titular, tirar dúvidas ou registrar uma denúncia? Utilize o nosso formulário de solicitações de privacidade ou fale diretamente com o Encarregado de Dados (DPO).
1. Objetivo
Esta Política de Proteção de Dados Pessoais estabelece as diretrizes e procedimentos para o tratamento de dados pessoais pela NUVEM, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD), a Resolução CD/ANPD nº 15/2024 e demais legislações aplicáveis.
Os objetivos específicos desta Política são:
- Assegurar o cumprimento integral da LGPD e demais legislações de proteção de dados;
- Proteger os direitos fundamentais de liberdade e privacidade dos titulares de dados;
- Estabelecer responsabilidades claras sobre o tratamento de dados pessoais;
- Garantir a segurança, confidencialidade e integridade dos dados pessoais;
- Prevenir incidentes de segurança e vazamento de dados;
- Estabelecer procedimentos para resposta a incidentes e comunicação à ANPD dentro dos prazos legais;
- Atender as obrigações contratuais da NUVEM perante seus clientes.
Esta Política atende às obrigações contratuais assumidas pela NUVEM, especialmente quanto à proibição de tratamento não autorizado de dados pessoais e ao reporte imediato de incidentes de segurança.
2. Abrangência
Esta Política aplica-se a:
- Todos os administradores, diretores e sócios da NUVEM;
- Todos os colaboradores (empregados, estagiários, temporários);
- Prestadores de serviços, consultores e terceiros contratados;
- Parceiros comerciais que tenham acesso a dados pessoais;
- Subcontratados (suboperadores) que realizem tratamento de dados em nome da NUVEM;
- Empresas controladas, coligadas ou afiliadas.
2.1 Tipos de Dados Abrangidos
- Dados pessoais de colaboradores da NUVEM;
- Dados pessoais de clientes e parceiros comerciais;
- Dados pessoais de fornecedores e prestadores de serviços;
- Dados pessoais de titulares pertencentes a clientes (quando a NUVEM atua como operadora);
- Dados pessoais sensíveis;
- Dados de crianças e adolescentes (quando aplicável).
2.2 Aplicação Territorial
Esta Política aplica-se a todas as operações de tratamento de dados realizadas pela NUVEM, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, nos termos do Art. 3º da LGPD.
3. Definições
Para fins desta Política, aplicam-se as definições da LGPD (Lei nº 13.709/2018):
| Termo | Definição |
|---|---|
| Dado Pessoal | Informação relacionada a pessoa natural identificada ou identificável. Ex.: nome, CPF, RG, e-mail, telefone, endereço, IP, cookies etc. |
| Dado Pessoal Sensível | Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dado genético ou biométrico, quando vinculado a pessoa natural. |
| Titular | Pessoa natural a quem se referem os dados pessoais objeto de tratamento. |
| Tratamento | Toda operação realizada com dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração. |
| Controlador | Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. |
| Operador | Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. |
| Suboperador | Pessoa natural ou jurídica subcontratada pelo operador para realizar, em seu nome, parte das atividades de tratamento de dados pessoais. |
| Encarregado (DPO) | Pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD (Art. 41, LGPD). |
| Consentimento | Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. |
| Anonimização | Utilização de meios técnicos pelos quais um dado perde a possibilidade de associação a um indivíduo. |
| Incidente de Segurança | Qualquer evento adverso relacionado à violação na segurança de dados pessoais, como acesso não autorizado, acidental ou ilícito, que resulte em destruição, perda, alteração, vazamento ou tratamento inadequado. |
| RIPD | Relatório de Impacto à Proteção de Dados Pessoais — documento que descreve os processos de tratamento que podem gerar riscos às liberdades civis e aos direitos fundamentais dos titulares (Art. 38, LGPD). |
| LIA | Legitimate Interest Assessment — análise documentada de legítimo interesse, quando a base legal do tratamento for o legítimo interesse do controlador (Art. 7º, IX, LGPD). |
4. Base Legal
Esta Política fundamenta-se em:
- Lei nº 13.709/2018 (LGPD) — Lei Geral de Proteção de Dados Pessoais;
- Resolução CD/ANPD nº 15/2024 — Regulamenta prazos e procedimentos de comunicação de incidentes de segurança à ANPD;
- Constituição Federal — Art. 5º, incisos X, XII e LXXIX (proteção da privacidade, inviolabilidade de comunicações e proteção de dados como direito fundamental);
- Lei nº 12.965/2014 (Marco Civil da Internet) — Princípios, garantias, direitos e deveres para uso da internet;
- Lei nº 8.078/1990 (Código de Defesa do Consumidor) — Proteção de dados de consumidores;
- Obrigações Contratuais — Cláusulas de proteção de dados em contratos com clientes.
5. Princípios da LGPD
A NUVEM compromete-se a observar os seguintes princípios no tratamento de dados pessoais (Art. 6º da LGPD):
| Princípio | Descrição |
|---|---|
| Finalidade | Tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível. |
| Adequação | Compatibilidade do tratamento com as finalidades informadas ao titular. |
| Necessidade | Limitação do tratamento ao mínimo necessário para a realização de suas finalidades. |
| Livre Acesso | Garantia de consulta facilitada e gratuita sobre a forma, duração do tratamento e integralidade dos dados. |
| Qualidade dos Dados | Garantia de exatidão, clareza, relevância e atualização dos dados. |
| Transparência | Informações claras, precisas e facilmente acessíveis sobre o tratamento. |
| Segurança | Medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados e situações acidentais ou ilícitas. |
| Prevenção | Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento. |
| Não Discriminação | Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos. |
| Responsabilização | Demonstração da adoção de medidas eficazes e capazes de comprovar o cumprimento das normas de proteção de dados pessoais. |
6. Papéis e Responsabilidades
6.1 NUVEM como Controladora
Quando a NUVEM determina finalidades e meios de tratamento, compete-lhe:
- Tomar todas as decisões sobre o tratamento de dados;
- Definir finalidades e bases legais;
- Implementar medidas de segurança adequadas;
- Responder por incidentes de segurança perante titulares e ANPD;
- Atender os direitos dos titulares nos prazos legais.
6.2 NUVEM como Operadora
Nos contratos com clientes, a NUVEM atua como OPERADORA e deve seguir rigorosamente as instruções do Controlador (cliente).
Quando a NUVEM realiza tratamento em nome do Controlador:
- Só poderá tratar dados pessoais quando EXPRESSAMENTE AUTORIZADA por escrito pelo Controlador;
- O tratamento deve ser realizado ÚNICA E EXCLUSIVAMENTE para os fins previamente informados pelo Controlador;
- Implementar medidas de segurança adequadas;
- Comunicar IMEDIATAMENTE incidentes de segurança ao Controlador;
- Devolver ou eliminar dados ao término do tratamento, conforme orientação do Controlador;
- Não realizar tratamento para finalidades próprias;
- Não compartilhar dados sem autorização expressa.
6.3 NUVEM e Suboperadores
Quando a NUVEM subcontratar terceiros para realizar atividades de tratamento de dados pessoais em seu nome, aplicam-se as seguintes regras, em conformidade com o Art. 39 da LGPD:
- O suboperador só poderá ser contratado mediante autorização prévia e por escrito do Controlador, quando exigida contratualmente;
- A NUVEM responderá perante o Controlador pelos atos do suboperador na mesma medida de sua própria responsabilidade;
- Deverá ser celebrado contrato específico com o suboperador, contendo cláusulas de proteção de dados equivalentes às desta Política;
- O suboperador fica vedado de realizar tratamento para finalidade diversa da contratada;
- A NUVEM monitorará periodicamente o cumprimento das obrigações pelo suboperador.
6.4 Encarregado de Dados (DPO)
A NUVEM designa como Encarregado de Dados:
| Encarregado (DPO) | Wallacy Santos Ferreira |
| [email protected] | |
| Telefone | (11) 4210-1289 |
| Canal de Privacidade | Formulário de solicitações nesta página |
Compete ao Encarregado:
- Aceitar reclamações e comunicações dos titulares;
- Prestar esclarecimentos sobre tratamento de dados;
- Receber comunicações da ANPD;
- Orientar colaboradores sobre práticas de proteção de dados;
- Coordenar a resposta a incidentes de segurança;
- Realizar treinamentos periódicos;
- Supervisionar o mapeamento de dados e a elaboração do RIPD.
6.5 Diretoria
- Aprovar esta Política e assegurar recursos para sua implementação;
- Definir a estratégia de proteção de dados;
- Tomar decisões sobre incidentes graves;
- Reportar incidentes a clientes quando exigido contratualmente.
6.6 Todos os Colaboradores
- Conhecer e cumprir esta Política;
- Tratar dados apenas quando autorizado;
- Adotar medidas de segurança;
- Reportar imediatamente incidentes ou suspeitas de incidentes de segurança;
- Não compartilhar dados sem autorização.
7. Bases Legais para Tratamento
A NUVEM só realizará tratamento de dados pessoais quando houver base legal, conforme Art. 7º da LGPD:
- Consentimento do titular;
- Cumprimento de obrigação legal ou regulatória;
- Execução de contrato ou procedimentos preliminares;
- Exercício regular de direitos em processo judicial, administrativo ou arbitral;
- Proteção da vida ou incolumidade física do titular ou de terceiros;
- Tutela da saúde (por profissionais ou serviços de saúde);
- Legítimo interesse do controlador ou de terceiro;
- Proteção do crédito.
7.1 Consentimento
Quando o consentimento for a base legal, este deve ser:
- Livre (sem vício de vontade);
- Informado (com informações claras sobre o tratamento);
- Inequívoco (não ambíguo);
- Específico (para finalidades determinadas);
- Documentado e rastreável;
- Revogável a qualquer momento pelo titular.
7.2 Legítimo Interesse
Quando o legítimo interesse for a base legal, a NUVEM deve:
- Elaborar e documentar a Análise de Legítimo Interesse (LIA), sob responsabilidade do Encarregado de Dados, com aprovação da Diretoria;
- Demonstrar que o tratamento é necessário, proporcional e não prevalece sobre os direitos e liberdades fundamentais do titular;
- Garantir transparência ao titular por meio de aviso de privacidade;
- Respeitar o direito de oposição do titular (Art. 18, IX, LGPD);
- Revisar o LIA anualmente ou sempre que houver mudança no tratamento.
8. Direitos dos Titulares
A NUVEM compromete-se a facilitar o exercício dos seguintes direitos pelos titulares, conforme Art. 18 da LGPD:
| Direito | Descrição |
|---|---|
| Confirmação e Acesso | Direito de confirmar a existência de tratamento e acessar seus dados. |
| Correção | Direito de corrigir dados incompletos, inexatos ou desatualizados. |
| Anonimização, Bloqueio ou Eliminação | Direito de solicitar anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD. |
| Portabilidade | Direito de solicitar a portabilidade dos dados a outro fornecedor, mediante requisição expressa. |
| Eliminação | Direito de solicitar eliminação dos dados tratados com base em consentimento. |
| Informação sobre Compartilhamento | Direito de obter informação sobre entidades públicas e privadas com as quais a NUVEM realizou compartilhamento. |
| Informação sobre Não Consentimento | Direito de ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa. |
| Revogação do Consentimento | Direito de revogar o consentimento a qualquer momento, mediante manifestação expressa. |
| Oposição | Direito de se opor ao tratamento realizado com base em legítimo interesse. |
| Revisão de Decisões Automatizadas | Direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado (Art. 20, LGPD). |
8.1 Procedimento para Exercício de Direitos
Os titulares podem exercer seus direitos por meio dos seguintes canais:
- E-mail do Encarregado de Dados: [email protected]
- Formulário de Privacidade: disponível ao final desta página
- Contato direto com a NUVEM, nos endereços e horários divulgados em seu site.
Prazo de resposta: até 15 (quinze) dias corridos, prorrogável por mais 15 (quinze) dias, mediante justificativa ao titular, nos termos da regulamentação da ANPD.
9. Tratamento de Dados Pessoais
9.1 Coleta de Dados
- Coletar apenas o mínimo necessário para a finalidade específica (minimização);
- Informar claramente ao titular sobre a coleta, por meio de aviso de privacidade;
- Obter consentimento específico quando esta for a base legal aplicável;
- Documentar a finalidade da coleta no registro de atividades de tratamento.
9.2 Armazenamento
- Armazenar dados pessoais de forma segura;
- Implementar controles de acesso baseados no princípio do menor privilégio;
- Utilizar criptografia quando apropriado ao nível de risco;
- Manter backup seguro e testado periodicamente;
- Respeitar os prazos de retenção definidos nesta Política (Seção 16).
9.3 Uso e Processamento
- Usar dados APENAS para as finalidades informadas ao titular ou autorizadas pelo Controlador;
- Não usar dados para finalidades incompatíveis;
- Não usar dados para fins próprios quando atuar como Operadora;
- Manter registros atualizados de atividades de tratamento.
9.4 Proibições Específicas
É EXPRESSAMENTE PROIBIDO: tratar dados pessoais sem base legal; tratar dados pessoais de clientes sem autorização expressa e por escrito do Controlador; compartilhar dados sem autorização; usar dados para finalidades diversas das autorizadas; manter dados após o término da necessidade ou do contrato; permitir acesso não autorizado a dados.
10. Dados Pessoais Sensíveis
Dados pessoais sensíveis recebem proteção reforçada e tratamento especial, nos termos do Art. 11 da LGPD.
10.1 Bases Legais Específicas
Dados sensíveis só podem ser tratados nas seguintes hipóteses:
- Consentimento específico e destacado do titular;
- Cumprimento de obrigação legal ou regulatória;
- Compartilhamento necessário para execução de políticas públicas;
- Realização de estudos por órgão de pesquisa;
- Exercício regular de direitos;
- Proteção da vida ou incolumidade física;
- Tutela da saúde, por profissional de saúde ou entidade sanitária;
- Prevenção à fraude e segurança do titular.
10.2 Medidas Adicionais de Proteção
- Criptografia obrigatória para armazenamento e transmissão;
- Controles de acesso mais restritivos;
- Log de todos os acessos, com rastreabilidade;
- Consentimento específico e destacado, quando aplicável;
- Revisão semestral da necessidade de manutenção.
11. Dados de Crianças e Adolescentes
A LGPD (Art. 14) e o ECA (Lei nº 8.069/1990) conferem proteção especial ao tratamento de dados pessoais de crianças (menores de 12 anos) e adolescentes (entre 12 e 17 anos). A NUVEM adota as seguintes regras diferenciadas:
11.1 Dados de Crianças (menores de 12 anos)
- O tratamento deve ser realizado no melhor interesse da criança;
- Requer consentimento específico e destacado de pelo menos um dos pais ou responsável legal;
- As informações sobre o tratamento devem ser fornecidas de maneira simples e clara;
- É vedada a coleta de dados além do estritamente necessário para a prestação do serviço;
- Os dados não poderão ser repassados a terceiros sem nova autorização do responsável legal.
11.2 Dados de Adolescentes (12 a 17 anos)
- O tratamento deve observar o princípio do melhor interesse do adolescente;
- Em regra, o próprio adolescente pode manifestar consentimento, desde que as informações sejam apresentadas em linguagem adequada à sua faixa etária;
- Para tratamentos de dados sensíveis ou de alto risco, recomenda-se o consentimento concomitante do responsável legal;
- É vedada a elaboração de perfis comportamentais para fins de direcionamento de publicidade ou conteúdos potencialmente prejudiciais ao seu desenvolvimento;
- Os dados de adolescentes não poderão ser tratados de forma discriminatória.
11.3 Exceções ao Consentimento
O consentimento parental não é exigido quando:
- O contato for único com pais ou responsáveis, sem armazenamento de dados;
- O tratamento for necessário para proteção da criança ou do adolescente, desde que os dados não sejam repassados a terceiros.
12. Compartilhamento de Dados
12.1 Regra Geral
A NUVEM só compartilhará dados pessoais quando:
- Houver base legal para compartilhamento;
- O titular for devidamente informado;
- Houver autorização do Controlador (quando a NUVEM atuar como Operadora);
- O destinatário garantir nível adequado de proteção.
12.2 Compartilhamento com Terceiros
Antes de compartilhar dados com terceiros, a NUVEM deve:
- Verificar se o terceiro possui medidas adequadas de segurança;
- Formalizar contrato com cláusulas de proteção de dados;
- Definir claramente as finalidades do compartilhamento;
- Limitar o acesso ao mínimo necessário;
- Monitorar periodicamente o uso dos dados pelo terceiro.
12.3 Compartilhamento com Autoridades
Compartilhamento com autoridades públicas é permitido quando houver requisição legal ou judicial, for necessário para cumprimento de obrigação legal ou para proteção de direitos. Sempre que possível e legalmente permitido, o titular deverá ser informado.
13. Transferência Internacional
A transferência internacional de dados pessoais só é permitida quando (Art. 33, LGPD):
- O país de destino proporcionar grau de proteção adequado, reconhecido pela ANPD;
- O controlador oferecer garantias suficientes (cláusulas contratuais padrão, normas corporativas globais — BCR, certificações aprovadas pela ANPD);
- Houver consentimento específico e destacado do titular;
- For necessária para cooperação jurídica internacional;
- For necessária para proteção da vida ou incolumidade física;
- For autorizada pela ANPD.
13.1 Medidas de Garantia
Quando realizar transferência internacional, a NUVEM deve:
- Documentar as garantias de proteção adotadas;
- Informar o titular sobre a transferência no aviso de privacidade;
- Incluir cláusulas específicas de proteção de dados em contratos com destinatários;
- Verificar regularmente a adequação da proteção no país ou organização de destino.
14. Segurança da Informação
A NUVEM implementará medidas técnicas e administrativas para proteger dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas.
14.1 Medidas Técnicas
- Controles de acesso (autenticação, autorização por perfil);
- Criptografia de dados em trânsito e em repouso;
- Firewall e sistemas de detecção de intrusão (IDS/IPS);
- Antivírus e proteção contra malware;
- Backup regular, seguro e com testes periódicos de restauração;
- Logs e monitoramento contínuo de acessos;
- Segregação de ambientes (produção, desenvolvimento, homologação);
- Gestão de atualizações e patches de segurança.
14.2 Medidas Administrativas
- Políticas de segurança da informação;
- Procedimentos formais de controle de acesso;
- Gestão de senhas (complexidade, troca periódica, vedação de compartilhamento);
- Termos de confidencialidade e sigilo assinados por colaboradores e terceiros;
- Procedimentos documentados de resposta a incidentes;
- Auditorias regulares de segurança;
- Gestão de vulnerabilidades.
14.3 Controle de Acesso
- Princípio do menor privilégio (acesso mínimo necessário para a função);
- Segregação de funções;
- Revisão periódica de permissões (mínimo semestral);
- Desativação imediata de acessos ao término do vínculo;
- Autenticação multifator (MFA) para sistemas críticos.
14.4 Política de Mesa Limpa e Tela Limpa
- Documentos com dados pessoais não devem ser deixados sobre mesas ou em locais de acesso irrestrito;
- Telas devem ser bloqueadas ao se ausentar do posto de trabalho;
- Impressões contendo dados pessoais devem ser retiradas imediatamente da impressora;
- Descarte seguro de documentos físicos (fragmentação).
15. Incidentes de Segurança
ATENÇÃO: Esta seção atende obrigação contratual crítica da NUVEM de comunicar IMEDIATAMENTE incidentes de segurança ao Controlador e de notificar a ANPD dentro dos prazos da Resolução CD/ANPD nº 15/2024.
15.1 O que é Incidente de Segurança
Qualquer evento adverso que resulte em:
- Acesso não autorizado a dados pessoais;
- Vazamento ou divulgação não autorizada;
- Perda, destruição ou alteração acidental de dados;
- Sequestro de dados (ransomware);
- Uso indevido de dados pessoais;
- Qualquer violação de segurança que afete dados pessoais.
15.2 Obrigação de Reportar
TODOS os colaboradores TÊM A OBRIGAÇÃO de reportar IMEDIATAMENTE qualquer incidente ou suspeita de incidente de segurança ao Encarregado de Dados e à Diretoria.
15.3 Procedimento de Resposta a Incidentes
| Fase | Prazo | Ações Obrigatórias |
|---|---|---|
| Detecção e Reporte | 0 a 1 hora | Reportar IMEDIATAMENTE ao Encarregado de Dados e Diretoria. Não tentar corrigir antes de reportar. Preservar evidências. |
| Avaliação Inicial | 1 a 2 horas | Encarregado de Dados avalia gravidade e extensão, identifica dados pessoais e titulares afetados, avalia riscos. |
| Contenção | Imediato | Isolar sistemas afetados. Bloquear acessos não autorizados. Interromper vazamento em curso. Preservar evidências. |
| Comunicação ao Controlador | Até 2 horas* | Comunicar ao cliente/Controlador. Fornecer todas as informações disponíveis. Atualizar continuamente sobre a evolução. (*Salvo prazo diverso em contrato.) |
| Comunicação à ANPD | Até 3 dias úteis | Comunicar incidentes relevantes à ANPD no prazo preliminar (Res. CD/ANPD nº 15/2024). Relatório complementar no prazo fixado pela ANPD. |
| Comunicação aos Titulares | Conforme risco | Comunicar titulares quando o incidente puder acarretar risco ou dano relevante (Art. 48, §1º, LGPD). |
| Investigação | Após contenção | Determinar causa raiz. Identificar todos os dados afetados. Avaliar impactos. Documentar toda a investigação. |
| Remediação | Contínua | Implementar correções. Reforçar controles. Prevenir recorrência. Atualizar políticas e procedimentos. |
| Documentação Final | Até 30 dias | Elaborar relatório completo. Identificar lições aprendidas. Arquivar documentação por 5 anos. |
15.4 Comunicação à ANPD
A comunicação preliminar à ANPD, em até 3 dias úteis da detecção, deve conter:
- Descrição da natureza dos dados pessoais afetados;
- Informações sobre os titulares envolvidos (número estimado e categorias);
- Indicação das medidas técnicas e de segurança adotadas;
- Riscos relacionados ao incidente;
- Motivos da demora na comunicação, se houver;
- Medidas para reverter ou mitigar os efeitos do incidente.
16. Término do Tratamento e Retenção de Dados
16.1 Quando Encerrar o Tratamento
O tratamento de dados pessoais deve ser encerrado quando:
- A finalidade for alcançada;
- Os dados deixarem de ser necessários ou pertinentes;
- O titular revogar consentimento (se esta for a base legal);
- O titular exercer direito de eliminação;
- A ANPD determinar;
- O contrato com cliente terminar (quando a NUVEM atua como Operadora).
16.2 Prazos de Retenção por Categoria de Dados
| Categoria de Dados | Prazo de Retenção | Fundamento Legal |
|---|---|---|
| Dados trabalhistas e de colaboradores | 5 anos após término do vínculo | CLT / Art. 7º, XXIX, CF |
| Dados fiscais e contábeis | 10 anos | Código Tributário Nacional / Lei nº 9.430/1996 |
| Dados de clientes (contratos) | 5 anos após término do contrato | Código Civil, Art. 206, §5º, I |
| Dados de consumidores | 5 anos | Código de Defesa do Consumidor, Art. 27 |
| Dados de incidentes de segurança | 5 anos | Boas práticas / ANPD |
| Dados tratados com base em consentimento | Enquanto o consentimento estiver vigente ou até revogação | Arts. 15 e 16, LGPD |
| Logs de acesso a sistemas | 6 meses (mínimo) | Art. 13, Lei nº 12.965/2014 (Marco Civil) |
| Dados de crianças e adolescentes | Pelo período estritamente necessário à finalidade | Art. 14, LGPD |
Os prazos acima são mínimos legais e podem ser ampliados por obrigação contratual ou regulatória específica. Após o término do prazo de retenção, os dados devem ser eliminados ou anonimizados de forma irreversível.
16.3 Procedimentos de Eliminação (NUVEM como Operadora)
Ao término do contrato com cliente, a NUVEM deve:
- Devolver, excluir ou destruir todos os dados pessoais, conforme instrução do Controlador;
- Eliminar cópias, backups e dados derivados;
- Certificar a eliminação por escrito, no prazo acordado contratualmente.
16.4 Métodos de Eliminação
- Exclusão definitiva e irrecuperável de sistemas;
- Destruição física de mídias de armazenamento;
- Fragmentação de documentos físicos;
- Anonimização tecnicamente irreversível.
17. Transparência e Comunicação
17.1 Avisos de Privacidade
A NUVEM disponibilizará Avisos de Privacidade claros, contendo:
- Finalidades do tratamento;
- Forma e duração do tratamento;
- Base legal aplicável;
- Dados coletados e categorias de titulares;
- Compartilhamento com terceiros;
- Direitos dos titulares e como exercê-los;
- Informações de contato do Encarregado de Dados.
17.2 Linguagem Clara
Comunicações sobre privacidade devem usar linguagem clara, simples e acessível ao titular, evitando termos técnicos desnecessários.
17.3 Atualização
Avisos de privacidade devem ser revisados e atualizados sempre que houver alteração no tratamento ou na legislação aplicável, e no mínimo anualmente.
18. Treinamento e Conscientização
- Treinamento inicial: todos os colaboradores devem receber treinamento sobre LGPD na admissão;
- Treinamento periódico: reciclagens realizadas no mínimo anualmente;
- Treinamento específico: colaboradores que tratam dados pessoais receberão treinamento aprofundado sobre princípios da LGPD, direitos dos titulares, medidas de segurança, procedimentos de resposta a incidentes e obrigações contratuais como Operadora;
- Campanhas de conscientização: realizadas regularmente pela NUVEM, abrangendo todos os colaboradores e terceiros relevantes.
19. Monitoramento e Auditoria
19.1 Monitoramento Contínuo
A NUVEM realizará monitoramento contínuo de:
- Atividades de tratamento de dados pessoais;
- Conformidade com esta Política;
- Incidentes e violações;
- Solicitações de titulares e prazos de atendimento;
- Efetividade das medidas de segurança implementadas.
19.2 Registros de Atividades de Tratamento
A NUVEM manterá registros detalhados de todas as atividades de tratamento, incluindo: identificação do controlador/operador, finalidades, categorias de dados e de titulares, destinatários de compartilhamento, transferências internacionais, medidas de segurança adotadas e prazos de retenção por categoria.
19.3 Auditorias
Auditorias internas de privacidade serão realizadas semestralmente. A NUVEM disponibilizará informações e registros para auditorias de clientes e parceiros contratuais e cooperará com inspeções da ANPD.
20. Reporte a Clientes
20.1 Reporte Imediato de Incidentes
Quando a NUVEM atuar como OPERADORA, deve reportar IMEDIATAMENTE ao Controlador (cliente) qualquer incidente de segurança — PRAZO PADRÃO: até 2 horas da detecção, salvo prazo diverso expressamente previsto em contrato.
O reporte obrigatório abrange qualquer incidente de segurança, tratamento indevido de dados, acesso não autorizado ou suspeita fundada de violação.
20.2 Conteúdo do Reporte
O reporte inicial deve conter:
- Data e hora da detecção;
- Descrição do incidente;
- Dados pessoais potencialmente afetados;
- Titulares afetados (número estimado e categorias);
- Causa (quando conhecida);
- Medidas de contenção adotadas;
- Avaliação preliminar de riscos;
- Plano de ação.
20.3 Atualizações e Cooperação
A NUVEM compromete-se a fornecer atualizações contínuas ao cliente sobre a evolução da investigação e a cooperar totalmente para investigação do incidente, mitigação de danos, comunicação à ANPD e comunicação aos titulares, quando necessário.
21. Mapeamento e Inventário de Dados
O mapeamento de dados pessoais (data mapping) é instrumento essencial para a conformidade com a LGPD e para a gestão de riscos de privacidade.
21.1 Obrigações de Mapeamento
- A NUVEM manterá inventário atualizado de todos os fluxos de dados pessoais que processa, indicando: origem, finalidade, base legal, categorias de dados, titulares, destinatários, prazo de retenção e medidas de segurança adotadas;
- O inventário será revisado semestralmente e sempre que houver novo projeto, contrato ou mudança significativa nas operações;
- O Encarregado de Dados é responsável pela coordenação e atualização do mapeamento;
- O mapeamento é pré-requisito para a elaboração do RIPD (Seção 22) e para o atendimento de auditorias.
21.2 Instrumento de Registro
O inventário deve ser mantido em formato acessível e auditável, preferencialmente em sistema eletrônico, e disponibilizado à ANPD e a clientes contratantes sempre que solicitado.
22. Relatório de Impacto à Proteção de Dados (RIPD)
Conforme o Art. 38 da LGPD, a ANPD poderá determinar ao controlador a elaboração do Relatório de Impacto à Proteção de Dados Pessoais (RIPD/DPIA), especialmente para tratamentos que possam gerar riscos às liberdades civis e aos direitos fundamentais dos titulares.
22.1 Quando Elaborar o RIPD
A NUVEM elaborará o RIPD preventivamente quando:
- Realizar tratamento de dados pessoais sensíveis em larga escala;
- Realizar monitoramento sistemático de titulares em áreas públicas;
- Implementar novos sistemas ou processos de tratamento de alto risco;
- Realizar tratamento de dados de crianças e adolescentes;
- For exigido por cliente/Controlador ou pela ANPD.
22.2 Conteúdo Mínimo do RIPD
O RIPD deve conter:
- Descrição do tratamento e suas finalidades;
- Bases legais aplicáveis;
- Avaliação de necessidade e proporcionalidade;
- Identificação e avaliação dos riscos aos direitos dos titulares;
- Medidas de mitigação adotadas;
- Avaliação residual de riscos após mitigação.
22.3 Responsabilidade e Revisão
O Encarregado de Dados coordena a elaboração e revisão do RIPD, com aprovação da Diretoria. O RIPD deve ser revisado sempre que houver mudança significativa no tratamento avaliado.
23. Sanções
23.1 Sanções Internas
Para colaboradores:
- Advertência verbal;
- Advertência escrita;
- Suspensão sem remuneração;
- Demissão por justa causa (Art. 482, "h", CLT);
- Responsabilização civil por danos causados.
Para terceiros e suboperadores:
- Rescisão contratual por inadimplemento;
- Inclusão em lista restritiva;
- Responsabilização civil.
23.2 Sanções Administrativas da ANPD
A LGPD (Art. 52) prevê as seguintes sanções administrativas:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples de até 2% do faturamento do grupo econômico no Brasil, limitada a R$ 50.000.000,00 por infração;
- Multa diária, observado o limite total;
- Publicização da infração;
- Bloqueio ou eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial ou total do banco de dados;
- Proibição parcial ou total do exercício de atividades de tratamento.
23.3 Responsabilização de Terceiros e Suboperadores
A NUVEM pode ser responsabilizada por atos de terceiros e suboperadores que atuem em seu nome. Por isso, todos devem cumprir rigorosamente esta Política, os contratos celebrados e a legislação aplicável.
24. Disposições Finais
24.1 Vigência
Esta Política entra em vigor na data de sua aprovação pela Diretoria da NUVEM.
24.2 Revisão e Atualização
Esta Política será revisada periodicamente (no mínimo anualmente) ou sempre que:
- Houver alteração na legislação ou regulamentação de proteção de dados;
- Houver mudança significativa nas operações da NUVEM;
- For identificada necessidade de melhoria após incidente ou auditoria;
- Houver novas exigências de clientes ou autoridades regulatórias.
24.3 Comunicação de Alterações
Qualquer alteração será comunicada a todos os colaboradores e terceiros relevantes, com antecedência razoável.
24.4 Dúvidas
Dúvidas sobre esta Política devem ser dirigidas ao Encarregado de Dados, por meio dos canais indicados na Seção 6.4.
24.5 Integração com Outras Políticas
Esta Política integra o Programa de Integridade da NUVEM e deve ser lida em conjunto com:
- Código de Ética e Conduta;
- Política Anticorrupção;
- Política de Segurança da Informação;
- Política de Gestão de Terceiros e Suboperadores;
- Demais políticas de compliance.
24.6 Conformidade Legal e Contratual
Esta Política atende às exigências da Lei nº 13.709/2018 (LGPD), da Resolução CD/ANPD nº 15/2024 e às obrigações contratuais da NUVEM perante clientes e parceiros.
REPORTE INCIDENTES IMEDIATAMENTE! Contato: [email protected]
