Propósito, Escopo e Usuários

A SQUIPP reconhece a necessidade de proteção e de tratamento adequado dos dados pessoais,
principalmente aqueles que nos são compartilhados por nossos clientes para prestação dos nossos serviços.
A presente Política de Privacidade auxiliará a compreender quais os tipos de informações que podemos
coletar, como essas informações poderão ser utilizadas, com quem as informações poderão ser
compartilhadas e quais os direitos dos titulares no que diz respeito à proteção de seus dados pessoais. Todo
o nosso tratamento de dados tem como parâmetro as disposições da Lei Geral de Proteção de Dados n°
13.709/2018.
A LGPD estabelece diversas situações em que é permitido o tratamento de Dados Pessoais
independentemente do consentimento do titular daqueles Dados Pessoais. São as chamadas “bases legais
para o tratamento de dados”.

Isso significa que, se você optar por utilizar os nossos serviços, em alguns casos poderemos coletar e tratar
os seus Dados Pessoais independentemente do seu consentimento (se houver uma “base legal” prevista na
LGPD que nos permita fazer isso). Em outros casos pediremos o seu consentimento para usar os seus Dados
Pessoais.

Nós não vendemos, negociamos ou alugamos as suas informações pessoais coletadas. Quando você nos
fornece informação pessoal identificável nós iremos usar nos seguintes termos:

• Nossos fornecedores de serviços, se for o caso, terão acesso às informações que coletamos para
nos ajudar a fornecer nossos serviços para os nossos clientes.

• Nós poderemos divulgar a informação para terceiros quando tivermos razão para acreditar que a
divulgação desta informação é necessária para identificar, contatar ou realizar quaisquer ações
legais contra alguém que esteja gerando dano ou interferindo nos direitos ou propriedade (seja
intencional ou intencionalmente) da SQUIPP, bem como nossos clientes.

• Nós iremos divulgar as informações afim de cumprir qualquer legislação, ordem judicial ou
solicitação governamental aplicável.

• Nós poderemos divulgar as informações para terceiros quando acreditarmos de boa fé que a lei o
exija, bem como em resposta a solicitações legais feitas por autoridades competentes ou se
exigidas por lei.

Podemos alterar esta política a qualquer momento. Essas alterações se tornarão vigentes no dia de sua
publicação. Encorajamos você a revisar frequentemente a política de privacidade.

Documentos de referência

• Lei no 13.709/2018, que dispõe sobre a Proteção de Dados Pessoais.
• Termo de confidencialidade/empregado
• Atribuições do Encarregado de Proteção de Dados (DPO)
• Diretrizes para o registro de inventário e de atividades de tratamento de dados
• Política de segurança da informação

Definições

As seguintes definições dos termos utilizados neste documento são extraídas do artigo 5.o da LGPD:
Dado pessoal: informação relacionada à uma pessoa natural identificada ou identificável (“titular de
dados”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou
indiretamente.
Dado pessoal sensível: Aqueles que a lei, ao analisá-los, percebeu peculiaridades que os tornavam
vulneráveis, identificando que o seu tratamento traria ao titular risco de discriminação. Ex.: Dados sobre
religião, partido político, dados de saúde, biométricos.
Controlador: a pessoa física ou jurídica de direito privado, a autoridade pública, a agência ou outro
organismo que, individualmente ou em conjunto com outras, determina as finalidades e os meios de
tratamento de dados pessoais.
Processador: a pessoa física ou jurídica de direito privado, a autoridade pública, agência ou outro
organismo que trate os dados pessoais por conta do Controlador.
Tratamento: uma operação ou um conjunto de operações efetuadas sobre dados pessoais, por meios
automatizados ou não automatizados, tais como a colheita, o registo, a organização, a estruturação, a
conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por
transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a
limitação, o apagamento ou a destruição.

Anonimização: atividade de tratamento que desidentifica irreversivelmente dados pessoais de tal forma
que o titular não pode ser reidentificado usando tempo, custo e tecnologia razoáveis, seja pelo controlador
ou por qualquer outra pessoa física ou jurídica. Os princípios básicos do tratamento de dados pessoais não
se aplicam a dados anonimizados, pois não são mais dados pessoais.
ANPD: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta
Lei em todo o território nacional.

Princípios básicos relativos ao tratamento de dados pessoais

Os princípios de proteção de dados descrevem as responsabilidades básicas para as organizações que
tratam dados pessoais. O Art. 7.o – II da LGPD estipula que “o controlador é responsável pelo cumprimento
dos princípios relativos ao tratamento de dados pessoais e tem de poder comprová-lo”. Ademais, o Art. 6o
define que as atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes
princípios: Finalidade; Boa fé e Adequação; Necessidade; Livre Acesso; Qualidade de Dados; Transparência;
Segurança; Prevenção; Não discriminação e Prestação de contas.

Direitos dos Titulares

Os titulares possuem direitos conforme listaremos abaixo, os quais poderão ser exercidos entrando em
contato conosco por meio do e-mail: legal@squipp.com.br, sendo eles:
• Confirmação da existência de tratamento de dados pessoais;
• Acesso aos dados pessoais, nos termos da legislação aplicável;
• Correção de dados pessoais incompletos, inexatos ou desatualizados;
• Portabilidade dos dados pessoais;
• Exclusão de dados pessoais, quando este forem tratados com base no consentimento do titular ou
quando os dados forem desnecessários, excessivos ou tratados em desconformidade com a legislação
aplicável;
• Solicitação de informações sobre o uso compartilhado de dados pessoais;
• Revogação do consentimento, quando aplicável.
A SQUIPP sempre avaliará a melhor forma de cumprir a solicitação de exercício de algum de seus direitos.
No entanto, poderá deixar de atender a sua solicitação, total ou parcialmente, em situações específicas
resguardadas pela legislação.

Por motivos de segurança, para as requisições que sejam feitas por meio do e-mail legal@squipp.com.br a
solicitação será atendida quando tivermos certeza da identidade do usuário. Sendo assim, poderemos
solicitar dados ou informações adicionais para a confirmação da identidade e da autenticidade do titular.
Estes dados e informações serão protegidos durante período de armazenamento e eliminados, tão logo
esgotada a finalidade de confirmação da identidade do titular.

Avisos de privacidade aos Titulares de Dados

No momento da coleta ou antes de coletar dados pessoais em qualquer tipo de atividade de tratamento,
incluindo, mas não se limitando a serviços, o DPO ou Comitê Gestor da SQUIPP são os responsáveis por
informar adequadamente os titulares de dados dos seguintes: os tipos de dados pessoais coletados, as
finalidades do tratamento, os métodos de tratamento, os direitos dos titulares de dados em relação aos
seus dados pessoais, o período de retenção, se os dados serão compartilhados com terceiros e as medidas
de segurança da SQUIPP para proteger dados pessoais.
Quando dados pessoais sensíveis estiverem sendo coletados, o DPO deve certificar-se de que o Aviso de
Privacidade indique explicitamente a finalidade para a qual esses dados pessoais sensíveis estão sendo
coletados.

Obtenção de Consentimento

Sempre que o tratamento de dados pessoais for baseado no consentimento do titular dos dados, o DPO ou
Comitê Gestor SQUIPP são responsáveis por manter um registro de tal consentimento. Também são
responsáveis por fornecer aos titulares de dados opções para fornecer o consentimento e devem informar
e garantir que seu consentimento (sempre que o consentimento for usado como base legal para o
tratamento) pode ser retirado a qualquer momento.
Quando houver solicitações para corrigir, alterar ou destruir registros de dados pessoais, o DPO ou Comitê
Gestor SQUIPP devem garantir que essas solicitações sejam tratadas dentro de um prazo razoável. O DPO
ou Comitê Gestor SQUIPP também devem registrar os pedidos e manter um registro destes.
Os dados pessoais só devem ser tratados para a finalidade para a qual foram originalmente coletados. Caso
a SQUIPP queira tratar dados pessoais coletados para outra finalidade, deverá buscar o consentimento dos
titulares de dados em redação clara e concisa. Qualquer solicitação desse tipo deve incluir a finalidade
original para a qual os dados foram coletados e a(s) finalidade(s) nova(s) ou adicional(is). A solicitação
também deve incluir o motivo da mudança de propósito. O DPO é responsável pelo cumprimento das regras
deste parágrafo.

Agora e no futuro, o DPO deverá garantir que os métodos de coleta de dados pessoais estejam em
conformidade com a lei relevante, as boas práticas e os padrões do setor.
O DPO é responsável pela criação e manutenção de um Registro dos Avisos de Privacidade.

Organização e Responsabilidades

A responsabilidade de garantir o tratamento adequado de dados pessoais é de todos que trabalham para
ou com a SQUIPP e que têm acesso a dados pessoais tratados pela empresa.
As principais áreas de responsabilidades em relação ao tratamento de dados pessoais estão nas seguintes
funções organizacionais:
O Data Protection Officer (DPO) ou colaborador(es) do Comitê Gestor SQUIPP é responsável pelo
gerenciamento do programa de proteção de dados pessoais e é responsável pelo desenvolvimento e
promoção de políticas de proteção de dados pessoais de ponta a ponta.
O Departamento de Assuntos Jurídicos/Assessoria, juntamente com o DPO, monitora e analisa as leis de
dados pessoais e alterações nas regulamentações, desenvolve requisitos de conformidade e auxilia os
departamentos de negócios no cumprimento de suas obrigações de proteção de dados pessoais.
O suporte de TI é responsável por:
• Garantir que todos os sistemas, serviços e equipamentos utilizados para armazenar dados pessoais
atendam aos padrões de segurança aceitáveis.
• Realizar verificações e varreduras regulares para garantir que o hardware e o software de segurança
estão funcionando corretamente com vistas à garantia da confidencialidade, da integridade e da
disponibilidade dos dados pessoais.

Resposta a incidentes de violação de dados pessoais

Quando a SQUIPP souber de um incidente de segurança ou de uma violação concreta de dados pessoais, o
DPO deverá realizar uma investigação interna e tomar as medidas corretivas apropriadas em tempo hábil.
Quando houver qualquer risco para os direitos e liberdades dos titulares de dados, a SQUIPP deve notificar
as Autoridades de Proteção de Dados relevantes sem atrasos indevidos e, quando possível, no prazo de 72
horas.

Auditoria e Prestação de Contas

O Comitê Gestor de Privacidade de Dados da SQUIPP é responsável por auditar o quão bem os
departamentos de negócios implementam esta Política.
Qualquer colaborador que viole esta Política estará sujeito a uma ação disciplinar. O colaborador também
poderá estar sujeito a responsabilidades civis ou criminais se sua conduta violar leis ou regulamentos.

Conflitos de Direito

Esta Política destina-se a cumprir as leis e regulamentos no local do estabelecimento em que a SQUIPP
opera. No caso de qualquer conflito entre esta Política e as leis aplicáveis, estes últimos prevalecerão sobre
esta Política.

Validade e gerenciamento de documentos

Se, apesar do nosso compromisso e esforços para proteger seus dados você achar que seus direitos de
proteção de dados não foram atendidos, solicitamos que entre em contato com a nossa DPO. Além disso,
você tem o direito, a qualquer momento, de registrar uma queixa diretamente com a Autoridade Nacional
de Proteção de Dados, caso entenda que os direitos sobre os seus dados pessoais foram infringidos.