top of page

Política de Privacidade

Faz parte da missão e dos valores do Grupo Faculdades Zarns, respeitar a sua privacidade e este aviso confirma o nosso compromisso com a segurança e a transparência no tratamento dos dados pessoais, conforme previsto nas leis de proteção de dados pessoais vigentes.

Nesta declaração você irá encontrar, de forma simples e clara, como tratamos os seus dados e os seus principais direitos. E, caso após a leitura desta política ainda restem dúvidas sobre o que apresentamos aqui, sinta-se à vontade para entrar em contato conosco pelos canais de atendimento.

 

Objetivo e Abrangência

Artigo 1º. Esta Política Geral de Privacidade e Proteção de Dados (“Política”) tem como objetivo dar as diretrizes gerais e reforçar que a Clariens Educação S.A., suas controladas e mantidas (“Companhia”) está(ão) comprometida(s) com a privacidade e a proteção dos dados pessoais de todas as pessoas que de alguma forma se relacionem com a instituição.

Artigo 2º. Faz parte da nossa missão a construção de uma cultura organizacional voltada para a transparência, privacidade e segurança da informação. Ou seja, a preocupação com esses valores faz parte do nosso dia a dia.

Artigo 3º. Por isso, é muito importante que todas as pessoas que utilizam dados pessoais em nome da Companhia, suas controladas e mantidas, sejam elas colaboradores ou parceiros, sigam rigorosamente as orientações desta Política, que estabelece as diretrizes para boas práticas em proteção de dados pessoais.

Artigo 4º. Entende-se por "Colaborador" todos os funcionários, estagiários e aprendizes vinculados à Companhia, suas controladas e mantidas, independentemente do cargo ou função exercida, enquanto "Parceiro" são todos os prestadores de serviços, trabalhadores terceirizados, parceiros comerciais, fornecedores e representantes com quem a Companhia se relacione.

Artigo 5º. A presente Política foi dividida em 12 capítulos: I. Objetivo e Abrangência; II. Definições; III. Base Legal para Tratamento de Dados; IV. Dados dos Titulares; V. Tratamento de Dados Pessoais na Companhia; VI. Privacidade de Dados Pessoais por Concepção e por Padrão; VII. Obrigação de Confidencialidade; VIII. Padrões de Segurança; IX. Monitoramento do Programa de Proteção dos Dados Pessoais e Auditoria; X. Atribuições e Responsabilidades; XI. Canais de Comunicação; e XII. Disposições Gerais.

Artigo 6º. Importante mencionar que este documento não substitui as regras estabelecidas nos contratos de trabalho, de prestação de serviços ou outros termos de compromisso relativos à privacidade que o colaborador ou parceiro esteja vinculado.

 

Definições

Artigo 7º. Para a melhor compreensão desta Política, os termos nela mencionados possuem as seguintes definições:

  • Base legal: São as hipóteses previstas na LGPD que autorizam o tratamento de dados pessoais. O uso de qualquer dado pessoal necessita se enquadrar em uma dessas hipóteses da lei.

  • Controlador: É quem determina as finalidades e a forma como os dados vão ser tratados. A Companhia é a controladora dos dados pessoais de seus colaboradores, leads e clientes.

  • Dado pessoal: Toda informação relacionada à pessoa física, capaz de torná-la identificada ou identificável. Ou seja, dado pessoal pode se referir a um único dado, como o CPF, RG ou uma foto, ou a um conjunto de informações que, combinadas, podem levar à identificação de determinada pessoa, como número de matrícula, endereço, características físicas, entre outros.

  • Dado pessoal sensível: É um tipo especial de dado pessoal, pois seu uso em determinadas situações pode oferecer mais riscos para as pessoas. São considerados sensíveis os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos.

  • Dado de criança e adolescente: A LGPD dá atenção especial aos dados pessoais de crianças e adolescentes. São consideradas crianças as pessoas até 12 anos de idade (incompletos) e adolescentes as pessoas entre 12 e 18 anos de idade.

  • Dado anonimizado: É o dado que originalmente era pessoal, mas após a aplicação de algumas técnicas, passou a não possibilitar a identificação do titular. Por exemplo, ao trocar os dígitos de um telefone por uma sequência idêntica de caracteres ((xx)xxxxx-xxxx), impossibilitando a identificação da pessoa. Se o dado for anonimizado, a LGPD não se aplica. Para tornar um dado anonimizado, o procedimento deve ser irreversível e suficiente para que não seja possível a identificação do titular, sob orientação do Comitê de Privacidade e do time de Tecnologia da Informação.

  • Encarregado: É a pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

  • Finalidade: É o propósito que a Companhia deseja alcançar com a utilização de determinado dado. Podemos ter várias finalidades para um mesmo dado, contudo, todas elas precisam estar previamente avaliadas. Por exemplo, usamos o nome do aluno para a emissão de boletos, de documentos, como diploma e histórico escolar, entre outros. Cada um desses usos tem uma finalidade específica.

  • Incidente de Segurança da Informação: Qualquer ocorrência relacionada à violação na segurança de dados, seja em meio físico ou digital, como acesso não autorizado, perda, vazamento, destruição ilícita, entre outros.

  • LGPD: Lei Geral de Proteção de Dados Pessoais, que estabelece as regras para a utilização e tratamento de dados pessoais no Brasil.

  • Operador: Pessoa física ou jurídica que realiza o tratamento de dados em nome do Controlador. Na Companhia, trabalhamos com diversos operadores, como empresas de tecnologia, agências de marketing, entre outras. Os operadores devem utilizar os dados pessoais conforme as orientações do controlador.

  • Relatório de Impacto: Documentação elaborada pelo controlador que contém o levantamento dos processos de tratamento de dados pessoais que podem gerar riscos aos titulares, além das medidas para proteção, mitigação ou eliminação desses riscos.

  • Responsável legal: Pessoa física que recebe, por lei, decisão judicial ou procuração, a atribuição de representar outra pessoa. É importante entender este conceito, pois na LGPD alguns direitos e atos só podem ser exercidos pelo titular ou seu representante legal.

  • Segurança da Informação: Conjunto de regras, metodologias e práticas utilizadas para preservar a informação da empresa, seja ela em meio físico ou digital. Exemplos de medidas de Segurança da Informação incluem o uso de antivírus, senhas fortes, e controle de acesso a arquivos físicos, entre outros.

  • Tratamento de dados pessoais: Qualquer atividade realizada com os dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, modificação, comunicação, transferência, difusão ou extração.

  • Titular: É o dono do dado pessoal que está sendo tratado. No caso da Companhia, suas controladas e mantidas, exemplos de titulares são parceiros, alunos, colaboradores, leads (possíveis clientes), visitantes e usuários de serviços de clínicas, serviços de saúde e núcleos de práticas jurídicas.

Artigo 8º. A Lei Geral de Proteção de Dados Pessoais estabelece princípios que devem ser observados no tratamento de dados pessoais. Esses princípios funcionam como diretrizes para nossa conduta ao utilizar dados pessoais.

Artigo 9º. Esses princípios podem nos auxiliar a tomar decisões que melhor garantam a proteção dos dados, mesmo sem uma regra específica. Vamos conhecê-los?

  • Princípio da finalidade: Realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior incompatível com essas finalidades.

  • Princípio da adequação: Compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento.

  • Princípio da necessidade: Limitação do tratamento ao mínimo necessário para a realização das finalidades.

  • Princípio do livre acesso: Garantia aos titulares de consulta facilitada e gratuita sobre a forma e duração do tratamento, bem como sobre a integralidade de seus dados pessoais.

  • Princípio da qualidade dos dados: Garantia aos titulares de exatidão, clareza, relevância e atualização dos dados.

  • Princípio da transparência: Garantia de informações claras, precisas e acessíveis sobre o tratamento e os agentes de tratamento, observados segredos comerciais e industriais.

  • Princípio da segurança: Utilização de medidas técnicas e administrativas para proteger os dados pessoais.

  • Princípio da prevenção: Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

  • Princípio da não discriminação: Impossibilidade de tratamento para fins discriminatórios ilícitos ou abusivos.

  • Princípio da responsabilização e prestação de contas: Demonstração da adoção de medidas eficazes para cumprir as normas de proteção de dados pessoais.

 

Dados dos Titulares

Artigo 15. Os titulares possuem diversos direitos relacionados aos seus dados pessoais e a Companhia está empenhada em observar e garantir o exercício desses direitos.

Artigo 16. Os principais direitos dos titulares são:

  1. Confirmar se estamos realizando o tratamento dos seus dados;

  2. Ter acesso às informações sobre a forma e a duração de tratamento dos dados pessoais e com quem a Companhia compartilha os seus dados;

  3. Solicitar a atualização ou correção dos seus dados;

  4. Solicitar a anonimização, bloqueio ou eliminação dos dados pessoais tratados;

  5. Portabilidade dos dados a outro fornecedor de serviço ou produto;

  6. Possibilidade de não fornecer o consentimento e, quando fornecer, solicitar a revogação, devendo ser informado das consequências da negativa e/ou revogação.

Artigo 17. Naturalmente, o exercício de alguns desses direitos pode inviabilizar a continuidade da prestação de serviços. Por exemplo, não temos como atender um paciente em uma de nossas clínicas se precisarmos eliminar seus dados de saúde. Além disso, tendo em vista que temos obrigações legais e regulatórias a cumprir, nem sempre poderemos atender todas essas solicitações. Por isso, as solicitações devem ser avaliadas caso a caso pelo Comitê de Privacidade e pelas pessoas por ele designadas.

Artigo 18. Desta forma, caso um titular de dados entre em contato para exercer esses direitos, ele deve ser direcionado para os seguintes canais:

Artigo 19. Se o titular não tiver acesso a canais digitais, deverá fazer a sua solicitação em uma de nossas unidades, com o auxílio de nossos atendentes, conforme o fluxo de atendimento ao titular estabelecido pelo Comitê de Privacidade.

Artigo 20. É importante ressaltar que nossos parceiros devem comunicar imediatamente ao Encarregado se receberem qualquer solicitação de um titular relacionada aos dados pessoais tratados em decorrência do contrato com a Companhia. Eles não devem responder a essa solicitação, salvo se houver disposição expressa no contrato de prestação de serviço, convênio ou parceria comercial em sentido contrário. A notificação deverá ser enviada para: privacidadededados@clariens.com.br

 

Tratamento de Dados Pessoal na Companhia

Artigo 21. A Companhia realiza o tratamento de diversos Dados Pessoais para a execução de atividades regulares de ensino, pesquisa e outras de apoio àquelas.

Artigo 22. É importante que todos os princípios e direitos dos titulares aqui mencionados sejam observados neste tratamento. Portanto, ao realizar qualquer atividade de tratamento, seja a coleta de uma informação, armazenamento de dados ou confecção de uma planilha de controle, sempre verifique se todas as diretrizes de proteção de dados estão sendo cumpridas.

 

Tratamento dos Dados Pessoais

Artigo 23. A Companhia realiza o tratamento de diversos dados pessoais para viabilizar suas atividades. A relação de dados tratados inclui: dados pessoais comuns, como identificação, contato, dados de navegação (endereço IP e cookies), e dados pessoais sensíveis, como saúde, etnia, raça, biométricos e outros necessários para a execução das atividades, de acordo com a relação existente entre a Companhia e o titular dos dados e com as obrigações legais a serem cumpridas.

Artigo 24. O tratamento de dados pessoais deve se limitar aos dados estritamente necessários para o desenvolvimento das atividades e para o cumprimento das leis e regulamentos aplicáveis.

Artigo 25. A coleta de dados pessoais através de acessos a bases públicas ou privadas (de forma indireta) deve ser previamente avaliada pelo Comitê de Privacidade.

Artigo 26. O tratamento realizado por parceiros em nome da Companhia deve estar documentado por meio de contratos de prestação de serviços, parcerias ou convênios. Isso também se aplica aos dados fornecidos por terceiros à Companhia.

 

Finalidade e Uso dos Dados Pessoais

Artigo 27. A utilização dos dados pessoais está vinculada à expectativa do titular no momento da coleta. Ou seja, o uso dos dados deve se limitar à finalidade informada ao titular.

Artigo 28. A finalidade do uso dos dados é comunicada ao titular por meio de contratos, termos, comunicados e principalmente através do aviso de privacidade e proteção de dados pessoais.

Artigo 29. Caso haja necessidade de alteração da finalidade, o titular deve ser informado previamente. O Comitê de Privacidade também deve ser envolvido para orientar quanto à legalidade do novo tratamento e atualizar os registros.

Artigo 30. O mesmo se aplica aos nossos parceiros. Eles não podem utilizar os dados pessoais tratados em decorrência da atividade exercida para a Companhia para finalidades diferentes das acordadas contratualmente.

Artigo 31. Quando os dados pessoais forem utilizados para análises preditivas ou decisões automatizadas, é necessário documentar a lógica utilizada, os dados empregados e as análises realizadas. Além disso, os modelos precisam ser monitorados para evitar vieses e discriminações.

Artigo 32. O titular tem o direito de obter informações claras sobre os critérios e procedimentos utilizados em decisões automatizadas. A autoridade de proteção de dados pode auditar esses processos para verificar possíveis discriminações.

Artigo 33. Em casos de aquisição de outras empresas ou expansão do negócio, o Comitê de Privacidade deve ser consultado desde as negociações, para garantir que a nova empresa esteja em conformidade com as legislações de privacidade e proteção de dados.

 

Registro de Atividades de Tratamento de Dados Pessoais

Artigo 34. A Companhia é obrigada por lei a registrar todas as atividades de tratamento de dados e manter esse registro atualizado.

Artigo 35. Todos os que tratam dados pessoais em nome da Companhia devem colaborar para a manutenção desse registro, informando inconsistências, alterações, criação ou encerramento de atividades ao Encarregado. Os parceiros também devem informar alterações relevantes na gestão dos dados pessoais.

Artigo 36. O Encarregado é responsável por garantir a atualização e revisão periódica desse registro junto a cada departamento.

Artigo 37. O registro deve conter, no mínimo, as seguintes informações: descrição da atividade, dados tratados, local de armazenamento, compartilhamento, finalidade, tempo de retenção, base legal, idade dos titulares e volume aproximado de registros.

 

Compartilhamento de Dados Pessoais

Artigo 38. No dia a dia, muitos dados pessoais precisam ser compartilhados com colegas e parceiros. No entanto, algumas regras precisam ser observadas.

Artigo 39. Dentro da Companhia, os dados pessoais devem ser compartilhados apenas com pessoas cuja função exija acesso a eles. O compartilhamento deve ocorrer por meios corporativos homologados pelo time de TI, como e-mail e drives corporativos.

Artigo 40. Por exemplo, dados sobre dependentes, como os constantes em formulários de plano de saúde, só podem ser compartilhados com os colaboradores responsáveis pelo tratamento dessas informações, como o departamento de RH, e não com outros colaboradores que não precisem desses dados.

Artigo 41. No compartilhamento de dados com parceiros externos, devem ser compartilhadas apenas as informações estritamente necessárias para a realização da atividade contratada, utilizando meios corporativos seguros, como e-mails e drives corporativos ou sistemas homologados pela TI. Arquivos devem ser preferencialmente protegidos por senha.

Artigo 42. Dados só devem ser compartilhados em meio físico quando inevitável. Nesse caso, o documento deve ser entregue diretamente para o destinatário autorizado.

Artigo 43. Parceiros que tratam dados em nome da Companhia não devem subcontratar operadores sem a autorização prévia da Companhia. Esses subcontratados devem garantir os mesmos níveis de segurança e conformidade.

 

Transferência Internacional de Dados Pessoais

Artigo 44. Alguns serviços exigem a transferência de dados pessoais para outros países, como serviços de armazenamento em nuvem. Nesses casos, os dados devem ser tratados de acordo com a LGPD e outras legislações aplicáveis. A Companhia adota cláusulas contratuais padronizadas para garantir a proteção dos dados.

Artigo 45. O parceiro não pode transferir ou autorizar a transferência de dados para fora do Brasil sem o consentimento prévio e por escrito da Companhia.

 

Armazenamento dos Dados Pessoais

Artigo 46. Dados digitais devem ser armazenados em locais seguros, protegidos por criptografia e com acesso restrito por senha.

Artigo 47. O armazenamento deve ocorrer em locais homologados pela TI conforme a política de Segurança da Informação. Não são autorizados o armazenamento em áreas de trabalho ou HDs de computadores pessoais, e-mails ou contas pessoais, pendrives, CDs ou dispositivos remotos, salvo autorização expressa.

Artigo 48. Dados em meio físico devem ser armazenados em locais protegidos por chave e com controle de acesso. Documentos contendo dados pessoais não devem ser usados como rascunho ou deixados em locais de fácil acesso.

Artigo 49. Documentos temporariamente armazenados na casa de um colaborador devem ser mantidos em locais seguros, preferencialmente fechados à chave.

Artigo 50. Cópias de arquivos contendo dados pessoais só devem ser feitas quando necessárias para cumprir uma atividade ou obrigação legal. Essas cópias devem ser mantidas com o mesmo grau de proteção dos arquivos originais.

 

Eliminação dos Dados Pessoais

Artigo 51. Dados pessoais têm um ciclo de vida. Após a finalidade para a qual foram coletados ser alcançada, e não havendo mais necessidade de mantê-los, eles devem ser eliminados.

Artigo 52. A LGPD regulamenta o direito à eliminação de dados, garantindo ao titular maior controle sobre suas informações pessoais.

Artigo 53. A eliminação de dados deve ser feita de forma segura. Uma Política de Retenção e Descarte será divulgada para orientar o período e a forma de descarte.

Artigo 54. Parceiros também devem devolver à Companhia e eliminar de forma segura todos os dados pessoais tratados após o término da finalidade, conforme monitoramento do gestor do contrato.

Artigo 55. Os prazos para devolução e eliminação constarão na Política de Retenção e Descarte.

 

Tratamento de Dados Pessoais Sensíveis

Artigo 56. Dados pessoais sensíveis serão tratados apenas quando imprescindíveis para a finalidade proposta, geralmente para cumprir obrigações legais e regulatórias, como benefícios ou defesa em processos, ou para tutela da saúde.

Artigo 57. Dados pessoais sensíveis devem receber prioridade na Política de Segurança da Informação. A TI deve garantir a máxima segurança desses dados.

Artigo 58. Algumas práticas podem ser adotadas para proteger dados sensíveis no dia a dia:

  1. Restringir ao máximo o acesso aos dados sensíveis, inclusive dentro do departamento;

  2. Manter arquivos no drive corporativo protegidos por senha;

  3. Priorizar o compartilhamento via drive corporativo e verificar destinatários antes de enviar por e-mail;

  4. Manter dados sensíveis em tabelas separadas de outros dados de identificação;

  5. Coletar dados sensíveis apenas quando estritamente necessário;

  6. Não utilizar ferramentas gratuitas para tratar dados sensíveis sem autorização.

 

Tratamento de Dados de Crianças e Adolescentes

Artigo 59. Dados de crianças e adolescentes devem ser solicitados apenas quando necessário para cumprir contratos, obrigações legais ou garantir direitos.

Artigo 60. Não é permitido o tratamento de dados de menores de 12 anos para envio de publicidade.

Artigo 61. Caso a Companhia precise tratar dados de menores de 12 anos, o consentimento deve ser obtido dos responsáveis legais, salvo em situações excepcionais.

Artigo 62. Qualquer coleta ou tratamento de dados de crianças e adolescentes deve ser previamente aprovada pelo Comitê de Privacidade.

 

Privacidade de Dados Pessoais por Concepção e por Padrão

Artigo 64. A Companhia deve assegurar a proteção dos dados pessoais de forma proativa e preventiva, e não reativa.

Artigo 65. Adotamos o modelo de privacy by design (privacidade desde a concepção). Portanto, desde a criação de serviços, projetos, sistemas, produtos ou processos, a privacidade e proteção de dados devem ser observadas ao longo de todo o ciclo de vida da atividade desenvolvida.

Artigo 66. Segundo a LGPD, medidas de segurança técnicas e administrativas para a proteção de dados pessoais devem ser observadas desde a fase de concepção do produto ou serviço.

Artigo 67. Devemos também empregar o privacy by default (privacidade por padrão). Isso significa que as medidas de privacidade estruturadas na fase de concepção devem ser aplicadas como regra nos nossos produtos ou serviços.

Artigo 68. Todo novo processo ou atividade a ser desenvolvida em qualquer setor da Companhia deve ser comunicado ao Comitê de Privacidade ou ao Encarregado de Proteção de Dados desde o início do planejamento, para que sejam realizadas as avaliações necessárias e desenvolvidos processos adequados à legislação e às metodologias estabelecidas.

 

Obrigação de Confidencialidade

Artigo 69. Para garantir a segurança e privacidade dos dados pessoais, devem ser adotadas medidas que resguardem o sigilo e a confidencialidade das informações.

Artigo 70. Dados confidenciais são aqueles que devem ser protegidos contra revelação pública não autorizada, seja escrita ou falada. Todos os dados pessoais tratados pela Companhia, especialmente os dados pessoais sensíveis e de menores de idade, são considerados confidenciais.

Artigo 71. Colaboradores e parceiros da Companhia com acesso a esses dados devem mantê-los em estrito sigilo, não divulgando, revelando ou mostrando a terceiros, salvo quando autorizado expressamente pela Companhia ou quando necessário ao desenvolvimento da atividade, conforme o contrato de trabalho ou prestação de serviços. Também é proibido usar tais dados pessoais em benefício comercial ou pessoal, direta ou indiretamente.

Artigo 72. Medidas para preservar a confidencialidade dos dados incluem:

  1. Não imprimir ou fazer cópia de arquivos com informações confidenciais, salvo se necessário para o desenvolvimento das atividades da Companhia.

  2. Quando a impressão ou cópia for necessária, devem ser descartadas com segurança logo após a finalidade e seguir as metodologias de segurança desta Política, da Política de Retenção e Descarte de Dados Pessoais e da Política de Segurança da Informação.

  3. Não circular em ambientes externos com cópias desses dados, salvo quando estritamente necessário.

  4. Não discutir dados confidenciais em ambientes públicos.

Artigo 73. O colaborador ou parceiro que estiver na posse e guarda de arquivos confidenciais é responsável por sua conservação (preservação contra danos e perda), integridade (mantê-los confiáveis e consistentes) e manutenção da confidencialidade (não permitindo a disponibilização ou divulgação a quem não tenha autorização).

Artigo 74. Exceto quando o compartilhamento de informações for inerente à atividade desenvolvida (como envio de informações à Receita Federal, Ministério do Trabalho e Ministério da Educação por contabilidade, RH e Diretoria acadêmica), informações confidenciais ou sigilosas só podem ser enviadas às autoridades públicas após orientação do Departamento Jurídico e de Compliance, em conjunto com o Comitê de Privacidade e/ou Encarregado de Proteção de Dados.

Artigo 75. O colaborador deve respeitar o sigilo e a confidencialidade das informações compartilhadas por parceiros, tratando-as com o mesmo cuidado que as informações sigilosas da própria Companhia.

Artigo 76. Mesmo que as informações se tornem de domínio público e percam seu caráter confidencial, devemos continuar com as medidas de proteção dos dados pessoais e seguir os princípios estabelecidos pela lei, como guarda segura, uso para a finalidade estabelecida e retenção pelo prazo necessário.

Artigo 77. Em caso de dúvida sobre o caráter confidencial e sigiloso da informação, ou sobre a possibilidade de divulgação, consulte o seu gestor, o Departamento Jurídico e de Compliance, o Comitê de Privacidade e/ou o Encarregado de Proteção de Dados. O dever e a obrigação de sigilo e confidencialidade continuarão vigentes mesmo após o término da relação contratual.

 

Padrões de Segurança

Artigo 78. A LGPD estabelece que a empresa deve adotar medidas de segurança técnicas e administrativas aptas a proteger os Dados Pessoais contra os mais diversos tipos de incidentes.

Artigo 79. Para tanto, além do programa de proteção de dados conduzido pelo Comitê de Privacidade, o departamento de Tecnologia da Informação desenvolveu uma Política de Segurança da Informação com as medidas necessárias relativas às boas práticas de segurança da informação.

Artigo 80. Como referência, a Companhia adotou, nesta Política de Segurança da Informação, as medidas previstas nas normas e frameworks da ISO 27001. Um framework de segurança é uma estrutura de processos que tem o objetivo de gerenciar e reduzir riscos de segurança da informação, ajudando a Companhia a proteger os dados em seus ambientes físicos e digitais.

Artigo 81. Contudo, para que a Política de Segurança da Informação seja efetiva, todos devem estar comprometidos com as diretrizes que ela estabelece.

 

Incidentes com Dados Pessoais

Artigo 82. Se houver indicativo de um incidente envolvendo os dados pessoais tratados em nome da Companhia, o colaborador ou parceiro deverá comunicar imediatamente aos Acionadores do Time de Resposta a Incidentes, conforme especificado no Plano de Resposta a Incidentes de Segurança e à Privacidade e Proteção de Dados, com todas as informações requeridas e através dos e-mails: privacidadededados@clariens.com.br.

Artigo 83. A condução do incidente será realizada de acordo com o Plano de Resposta a Incidentes de Segurança e à Privacidade e Proteção de Dados. Os departamentos e parceiros envolvidos devem cooperar com a Companhia e tomar as medidas necessárias para auxiliar na investigação, mitigação e correção de cada violação de dados pessoais.

 

Monitoramento do programa de proteção de Dados Pessoais e Auditoria

Artigo 84. A Companhia fiscalizará as contas corporativas disponibilizadas pela empresa, tais como emails, contas de mensagens instantâneas e de teleconferência, além de registros de acesso à Internet, Intranet, ligações e mensagens de texto, informações e arquivos recebidos ou armazenados nos dispositivos físicos, eletrônicos ou digitais, e sistemas da Companhia.

Artigo 85. A Companhia também utiliza recursos da tecnologia Endpoint, que tem como objetivo garantir que servidores e dispositivos conectados à nossa rede estejam protegidos de ameaças cibernéticas. Para isso, o sistema gerencia permissões de instalação de programas, bem como acessos a aplicativos, páginas de Internet, drives, entre outros.

Artigo 86. O Comitê de Privacidade deverá realizar monitoramento anual para avaliar o nível de conformidade da Companhia em relação à legislação de privacidade, bem como avaliar os processos que precisam ser melhorados, através de auditorias internas e auditorias independentes, sempre que necessário.

Artigo 87. Algumas medidas que devem ser adotadas são:

  1. Aplicação de questionários para avaliação da maturidade da organização;

  2. Avaliação do histórico de solicitações dos titulares, relatórios de incidentes e denúncias sobre violação às normas;

  3. Avaliação do relatório de acessos das contas corporativas e do sistema Endpoint;

  4. Auditoria dos fornecedores e parceiros;

  5. Revisão dos mapeamentos de tratamento de dados pessoais realizados pelas áreas.

Artigo 88. Além disso, o departamento de Tecnologia da Informação, juntamente com o Marketing e o Comitê de Privacidade, deve conduzir anualmente testes de engenharia social, pentestes e testes de phishing dentro da Instituição.

Artigo 89. O teste de engenharia social simula uma manipulação do usuário para que ele revele informações confidenciais ou execute determinadas atividades que ponham em risco a segurança da informação da empresa. Ou seja, seu foco é testar possíveis falhas humanas. Por exemplo, simular um aluno nos canais de atendimento para conseguir informações sigilosas sobre ele.

Artigo 90. O penteste, ou teste de intrusão, tem como objetivo detectar eventuais fragilidades de um sistema ou estrutura de segurança digital, validar as diretrizes utilizadas e monitorar o tempo de resposta, caso a intrusão aconteça. Ou seja, a pessoa designada para esta atividade irá simular um ataque às redes e sistemas em busca de vulnerabilidades.

Artigo 91. Já o teste de phishing verifica se os colaboradores conseguem distinguir um conteúdo falso de um verdadeiro, como por exemplo, detectar se determinado e-mail é fraudulento e simula ser de um fornecedor conhecido, direcionando o usuário para uma página com o intuito de roubar dados, ou se o e-mail é legítimo.

Artigo 92. Além disso, os parceiros devem disponibilizar ao Comitê de Privacidade, quando solicitado, todas as informações necessárias para demonstrar a conformidade do programa de proteção de dados da instituição em relação aos dados pessoais que tratarem em nome da Companhia.

 

Infrações

Artigo 93. O descumprimento desta Política pode acarretar a aplicação de medidas disciplinares ou demissão por justa causa para os colaboradores envolvidos, conforme a Política de Medidas Disciplinares; aplicação de sanções e rescisão de contrato para os prestadores de serviço; bem como o ajuizamento de ações judiciais cíveis ou criminais, quando aplicável.

 

Atribuições e Responsabilidades

Artigo 94. A responsabilidade pelo tratamento adequado dos dados pessoais dentro da Companhia é comum a todos os colaboradores e parceiros do grupo (terceiros). É fundamental a participação de todos para que a Companhia esteja sempre em conformidade com a lei, oferecendo segurança aos titulares dos dados utilizados.

Artigo 95. Alguns órgãos ou departamentos são responsáveis por estabelecer diretrizes relacionadas à privacidade e proteção de dados e acompanhar o cumprimento efetivo dessas diretrizes no ambiente corporativo. No entanto, é importante lembrar que, independentemente do setor, cada um desempenha um papel importante no programa institucional de privacidade e proteção de dados!

Artigo 96. Atribuições e responsabilidades do Conselho de Administração:

  • Avaliar e aprovar todas as políticas relacionadas ao programa de privacidade, incluindo esta Política e suas futuras alterações.

  • Avaliar e aprovar o orçamento para a implementação das medidas de adequação necessárias, conforme proposta da Diretoria/Comitê de Privacidade.

Artigo 97. Atribuições e responsabilidades do Comitê de Auditoria, Risco, Governança e Compliance:

  • Avaliar todas as políticas relacionadas ao programa de privacidade, incluindo esta Política e suas futuras alterações, e recomendar sua aprovação e/ou modificações ao Conselho de Administração.

  • Avaliar e recomendar ao Conselho de Administração a aprovação do orçamento para a implementação das medidas de adequação necessárias, conforme proposta da Diretoria/Comitê de Privacidade.

Artigo 97. Atribuições e responsabilidades da Diretoria:

  • Deliberar sobre a estrutura do programa de governança em privacidade e proteção de dados.

  • Apoiar o Encarregado de Proteção de Dados em suas atribuições.

  • Participar de reuniões periódicas com o Comitê de Privacidade para alinhar as estratégias relacionadas à privacidade e proteção de dados pessoais.

Artigo 98. Atribuições e responsabilidades do Comitê de Privacidade:

  • Elaborar e revisar os documentos relativos ao Programa de Privacidade e Proteção de Dados, propondo à Diretoria e ao Conselho de Administração para aprovação.

  • Reportar ao Comitê de Auditoria, Risco, Governança e Compliance e ao Conselho de Administração todos os eventos relevantes sobre o Programa de Privacidade e Proteção de Dados, como riscos, ameaças, incidentes e oportunidades de melhoria.

  • Elaborar o orçamento com todos os recursos necessários para a manutenção do programa de privacidade e submeter à aprovação da Diretoria/Conselho de Administração.

  • Assegurar a conformidade da Companhia com as legislações sobre privacidade e proteção de dados pessoais.

  • Acompanhar o cumprimento pelos colaboradores e terceiros das políticas e procedimentos internos sobre privacidade e proteção de dados.

  • Participar de reuniões periódicas com a Diretoria para alinhar as estratégias relacionadas à privacidade e proteção de dados pessoais.

  • Implementar os meios necessários para a preservação dos direitos dos titulares de dados e responder às solicitações, conforme a legislação aplicável.

  • Cooperar e se relacionar com a Autoridade Nacional de Proteção de Dados Pessoais.

  • Estruturar e coordenar a execução de Análise de Impacto de Privacidade de Dados (PIA), Relatório de Impacto de Proteção de Dados (RIPD), testes de proporcionalidade quando o tratamento for baseado no legítimo interesse e formalização de incidentes de Dados Pessoais.

  • Orientar gestores, colaboradores e terceiros quanto à aplicação das leis e diretrizes internas nos projetos que envolvam tratamento ou utilização de dados pessoais.

  • Desenvolver o programa de conscientização sobre privacidade e proteção de dados na Companhia, elaborando materiais de apoio, treinamentos e avaliações de maturidade.

  • Elaborar e realizar acordos internacionais de transferência de dados.

  • Acompanhar e auxiliar as áreas na implementação dos planos de ação para correção de falhas que ameacem a segurança e proteção de dados.

  • Garantir a manutenção das evidências de execução e implementação das iniciativas de privacidade, mantendo o registro de todas as atividades realizadas pelo Comitê de Privacidade.

  • Revisar e manter atualizado o mapeamento de Dados Pessoais junto aos departamentos, sempre que ocorrer uma mudança substancial no tratamento ou uso de dados pessoais, ou pelo menos, uma vez por ano.

  • Gerenciar situações de crise envolvendo dados pessoais tratados pela Companhia, reunindo informações sobre o evento, monitorando a repercussão, elaborando o plano de ação para mitigar o impacto e construindo o posicionamento da instituição perante o público interno, externo e reporte às autoridades interessadas.

  • Gerenciar os possíveis riscos e ameaças relacionados aos dados pessoais que possam afetar a Companhia, identificando, avaliando, quantificando, qualificando, definindo plano de ação e monitorando cada risco ou ameaça em conjunto com o Comitê de Privacidade e Proteção de Dados.

Artigo 99. Atribuições e responsabilidades do Marketing:

  • Revisar os documentos elaborados pelo Comitê de Privacidade quando necessário.

  • Apoiar a elaboração e divulgação de treinamentos sobre privacidade e proteção de dados.

  • Publicar avisos de privacidade em websites e programas externos.

  • Monitorar a utilização de cookies nos websites institucionais.

  • Garantir que os dados pessoais, imagem e voz dos nossos alunos e colaboradores, ou de terceiros, sejam utilizados adequadamente nas campanhas realizadas pelas instituições.

  • Garantir a coleta e revogação do consentimento dos titulares, em colaboração com o Comitê de Privacidade, nas atividades de tratamento, quando aplicável.

  • Disseminar a cultura de privacidade e proteção de dados pessoais através de campanhas e e-mails marketing.

Artigo 100. Atribuições e responsabilidades do Departamento de Tecnologia da Informação:

  • Revisar e manter atualizada a Política de Segurança da Informação e anexos, garantindo a aplicação das normas estabelecidas.

  • Elaborar o plano de ação para a implementação das normas de segurança da informação, orientando as respectivas áreas e executando o que diz respeito ao setor de tecnologia da informação.

  • Implementar medidas técnicas e organizacionais apropriadas, de acordo com as melhores práticas de segurança da informação, para garantir um nível de segurança adequado e proporcional ao risco, especialmente em caso de violação de dados pessoais.

  • Avaliar os sistemas e ferramentas de tecnologia, informando ao Comitê de Privacidade as fragilidades do ponto de vista de proteção e segurança dos dados pessoais e as medidas necessárias para a correção desses gaps.

  • Indicar ao Departamento Jurídico e de Compliance as cláusulas necessárias para adequação dos contratos e convênios do ponto de vista de Segurança da Informação.

  • Auxiliar o Comitê de Privacidade no mapeamento de parceiros que fornecem soluções de tecnologia.

  • Acompanhar e realizar a devolução e eliminação de dados pessoais pelos parceiros, conforme prazo e forma acordados em contrato.

  • Identificar e analisar vulnerabilidades dos servidores e sistemas, informando ao Comitê de Privacidade aquelas que possam expor ou tornar vulneráveis dados pessoais.

  • Realizar testes, treinamentos e tomar medidas necessárias para eliminar ou mitigar riscos de violação de dados pessoais.

  • Avaliar incidentes envolvendo dados pessoais, reportando ao Comitê de Privacidade todas as informações relacionadas ao evento, incluindo quantidade e descrição dos dados envolvidos, titulares dos dados afetados, evidências técnicas e medidas adotadas para correção da falha identificada.

Artigo 101. Atribuições e responsabilidades do Departamento de Recursos Humanos:

  • Contribuir com a coleta de evidências que indiquem a aplicação das regras internas de privacidade e proteção de dados pessoais.

  • Colaborar para que os contratos de trabalho e de prestação de serviços contenham cláusulas de privacidade e confidencialidade adequadas à legislação e regulamentação aplicáveis.

  • Contribuir para que os consentimentos dos colaboradores, quando necessários, sejam devidamente coletados e administrados.

  • Apoiar na divulgação de treinamentos sobre privacidade e proteção de dados.

  • Prestar as informações necessárias ao Encarregado de Proteção de Dados para o exercício dos direitos de titular colaborador ou ex-colaborador.

  • Aplicar medidas disciplinares e sanções, ou ajuizar ação, quando provado o descumprimento desta Política.

  • Difundir a cultura de privacidade e proteção de dados pessoais na contratação de novos colaboradores e terceiros.

Artigo 102. Atribuições e responsabilidades da área específica de Contratos:

  • Colaborar para que os contratos ou convênios que contemplem o tratamento de dados pessoais contenham cláusulas de privacidade adequadas, informando ao Comitê de Privacidade sobre a necessidade de revisão desses documentos.

  • Auxiliar na renegociação de contratos com fornecedores e clientes que realizam o tratamento de dados pessoais.

  • Informar ao Comitê de Privacidade sobre o distrato de contratos com parceiros, para análise da necessidade de devolução e eliminação de dados.

  • Manter os contratos e acordos de processamento de dados devidamente armazenados.

Artigo 103. Atribuições e responsabilidades do Departamento Jurídico e de Compliance:

  • Colaborar para que os contratos ou convênios que contemplem o tratamento de dados pessoais contenham cláusulas de privacidade adequadas, informando ao Comitê de Privacidade sobre a necessidade de revisão desses documentos.

  • Prestar apoio jurídico para que as medidas adotadas pelo Comitê de Privacidade não entrem em conflito com outras legislações ou regulamentações aplicáveis ao negócio da Companhia.

  • Apoiar na aplicação de medidas disciplinares e sanções, ou ajuizar ação, quando provado o descumprimento desta Política.

  • Prestar apoio jurídico em incidentes envolvendo dados pessoais.

  • Apoiar na interação com a Autoridade Nacional de Proteção de Dados Pessoais e outros órgãos fiscalizadores.

Artigo 104. Atribuições e responsabilidades dos Gestores:

  • Participar das reuniões com o Comitê de Privacidade, sempre que convocados.

  • Transmitir aos outros colaboradores as ações necessárias para a conformidade de cada departamento ao programa de privacidade elaborado pelo Comitê de Privacidade.

  • Apoiar no acompanhamento e na implementação dos planos de ação para correção de falhas das iniciativas de privacidade.

  • Contribuir com a fiscalização, auditoria e elaboração dos indicadores de desempenho e avaliações de maturidade, relacionados à proteção de dados e privacidade, auxiliando na correção de gaps remanescentes ou novos que forem identificados.

  • Disseminar a cultura de privacidade e proteção de dados pessoais.

  • Garantir o uso adequado de dados pessoais nas atividades desempenhadas pela sua área, por colaboradores ou terceiros.

  • Informar ao Comitê de Privacidade os requisitos da legislação e regulamentação aplicáveis no respectivo setor, para a conciliação destes com as medidas adotadas no Programa de Governança e Privacidade.

  • Consultar o Comitê de Privacidade na contratação de parceiros que irão tratar dados pessoais.

  • Informar previamente ao Comitê de Privacidade sobre novas atividades de tratamento ou uso de dados pessoais, bem como qualquer mudança nas atividades já mapeadas.

  • Revisar e manter atualizado o mapeamento de dados pessoais junto ao Comitê de Privacidade, sempre que ocorrer uma mudança substancial no tratamento ou uso de dados pessoais, ou pelo menos, uma vez por ano.

  • Orientar as áreas de atendimento quanto ao procedimento para solicitação dos direitos dos titulares.

  • Assegurar que a coleta de dados com uso de consentimento seja devidamente documentada e cumpra os requisitos da legislação, gerenciando e respeitando as opções do titular caso a caso.

Artigo 105. Atribuições e responsabilidades de todos os colaboradores e parceiros da Companhia:

  • Disseminar a cultura de privacidade e proteção de dados pessoais.

  • Responsabilizar-se pelo uso adequado de dados pessoais em suas atividades.

  • Observar e aplicar a legislação e políticas da Companhia sobre privacidade e proteção de dados pessoais, bem como as cláusulas sobre o tema constantes nos convênios, termos, contratos de trabalho, de parceria e prestação de serviço.

  • Comunicar ao Comitê de Privacidade qualquer incidente com dados pessoais ou segurança de dados que tenha conhecimento, assim como falhas de processos ou procedimentos que possam implicar em riscos de privacidade.

  • Comunicar ao Comitê de Privacidade caso tenha conhecimento de potencial conduta que viole as diretrizes desta Política ou outra norma de proteção de dados.

  • Participar dos treinamentos sobre privacidade e proteção de dados pessoais, quando convocados.

 

Canais de Comunicação

Artigo 106. Ficou com dúvida sobre esta política? Você pode entrar em contato conosco pelo e-mail privacidadededados@clariens.com.br.

 

Disposições Gerais

Artigo 107. Qualquer ato contrário ao disposto nesta Política deverá ser reportado à área de LGPD por meio do formulário web disponível no website da Companhia ou através do Canal de Denúncia, para adoção das medidas cabíveis.

Artigo 108. O colaborador que descumprir quaisquer das determinações previstas nesta Política estará sujeito às sanções previstas no Código de Ética e Conduta e na Política de Medidas Disciplinares, incluindo a rescisão contratual.

Artigo 109. A Companhia se reserva o direito de alterar esta Política. Sempre que isso ocorrer, informaremos a você para renovarmos o nosso compromisso com a privacidade e proteção de dados.

Artigo 110. Esta Política será revisada a cada 2 (dois) anos, podendo ser alterada sempre que necessário ou pertinente, conforme governança da Companhia.

Artigo 111. Os casos omissos e dúvidas de interpretação relativos a essa Política serão tratados por meio de reuniões com o Comitê de Privacidade ou o Comitê de Auditoria, Risco, Governança e Compliance.

Artigo 112. No caso de conflito entre:

  • a) As disposições desta Política e do Estatuto, prevalecerá o disposto no Estatuto;

  • b) As disposições desta Política e de acordos de acionistas arquivados na sede da Companhia, prevalecerá o disposto no respectivo acordo de acionistas;

  • c) Em caso de conflito entre as disposições desta Política e da legislação e regulamentação vigentes, prevalecerá o disposto na legislação e regulamentação vigentes.

Artigo 113. Caso qualquer disposição desta Política venha a ser considerada inválida, ilegal ou ineficaz, essa disposição será limitada na medida do possível para que a validade, legalidade e eficácia das disposições remanescentes desta Política não sejam afetadas ou prejudicadas.

bottom of page