Segurança e a transparência na Zarns
Faz parte da missão e dos valores da Zarns, respeitar a sua privacidade e este aviso confirma o nosso compromisso com a segurança e a transparência no tratamento dos dados pessoais, conforme previsto nas leis de proteção de dados pessoais vigentes.
Nesta declaração você irá encontrar, de forma simples e clara, como tratamos os seus dados e os seus principais direitos. E, caso após a leitura desta política ainda restem dúvidas sobre o que apresentamos aqui, sinta-se à vontade para entrar em contato conosco pelos canais de atendimento.
Artigo 1º. Esta Política Geral de Privacidade e Proteção de Dados (“Política”) tem como objetivo dar as diretrizes gerais e reforçar que a Clariens Educação S.A., suas controladas e mantidas (“Companhia”) está(ão) comprometida(s) com a privacidade e a proteção dos dados pessoais de todas as pessoas que de alguma forma se relacionem com a instituição.
Artigo 2º. Faz parte da nossa missão a construção de uma cultura organizacional voltada para a transparência, privacidade e segurança da informação. Ou seja, a preocupação com esses valores faz parte do nosso dia a dia.
Artigo 3º. Por isso, é muito importante que todas as pessoas que utilizam dados pessoais em nome da Companhia, suas controladas e mantidas, sejam elas colaboradores ou parceiros, sigam rigorosamente as orientações desta Política, que estabelece as diretrizes para boas práticas em proteção de dados pessoais.
Artigo 4º. Entende-se por "Colaborador" todos os funcionários, estagiários e aprendizes vinculados à Companhia, suas controladas e mantidas, independentemente do cargo ou função exercida, enquanto "Parceiro" são todos os prestadores de serviços, trabalhadores terceirizados, parceiros comerciais, fornecedores e representantes com quem a Companhia se relacione.
Artigo 5º. A presente Política foi dividida em 12 capítulos: I. Objetivo e Abrangência; II. Definições; III. Base Legal para Tratamento de Dados; IV. Dados dos Titulares; V. Tratamento de Dados Pessoais na Companhia; VI. Privacidade de Dados Pessoais por Concepção e por Padrão; VII. Obrigação de Confidencialidade; VIII. Padrões de Segurança; IX. Monitoramento do Programa de Proteção dos Dados Pessoais e Auditoria; X. Atribuições e Responsabilidades; XI. Canais de Comunicação; e XII. Disposições Gerais.
Artigo 6º. Importante mencionar que este documento não substitui as regras estabelecidas nos contratos de trabalho, de prestação de serviços ou outros termos de compromisso relativos à privacidade que o colaborador ou parceiro esteja vinculado.
Artigo 7º. Para a melhor compreensão desta Política, os termos nela mencionados possuem as seguintes definições:
Artigo 8º. A Lei Geral de Proteção de Dados Pessoais estabelece princípios que devem ser observados no tratamento de dados pessoais. Esses princípios funcionam como diretrizes para nossa conduta ao utilizar dados pessoais.
Artigo 9º. Esses princípios podem nos auxiliar a tomar decisões que melhor garantam a proteção dos dados, mesmo sem uma regra específica. Vamos conhecê-los?
Artigo 15. Os titulares possuem diversos direitos relacionados aos seus dados pessoais e a Companhia está empenhada em observar e garantir o exercício desses direitos.
Artigo 16. Os principais direitos dos titulares são:
Artigo 17. Naturalmente, o exercício de alguns desses direitos pode inviabilizar a continuidade da prestação de serviços. Por exemplo, não temos como atender um paciente em uma de nossas clínicas se precisarmos eliminar seus dados de saúde. Além disso, tendo em vista que temos obrigações legais e regulatórias a cumprir, nem sempre poderemos atender todas essas solicitações. Por isso, as solicitações devem ser avaliadas caso a caso pelo Comitê de Privacidade e pelas pessoas por ele designadas.
Artigo 18. Desta forma, caso um titular de dados entre em contato para exercer esses direitos, ele deve ser direcionado para os seguintes canais:
Artigo 19. Se o titular não tiver acesso a canais digitais, deverá fazer a sua solicitação em uma de nossas unidades, com o auxílio de nossos atendentes, conforme o fluxo de atendimento ao titular estabelecido pelo Comitê de Privacidade.
Artigo 20. É importante ressaltar que nossos parceiros devem comunicar imediatamente ao Encarregado se receberem qualquer solicitação de um titular relacionada aos dados pessoais tratados em decorrência do contrato com a Companhia. Eles não devem responder a essa solicitação, salvo se houver disposição expressa no contrato de prestação de serviço, convênio ou parceria comercial em sentido contrário. A notificação deverá ser enviada para: privacidadededados@clariens.com.br
Artigo 21. A Companhia realiza o tratamento de diversos Dados Pessoais para a execução de atividades regulares de ensino, pesquisa e outras de apoio àquelas.
Artigo 22. É importante que todos os princípios e direitos dos titulares aqui mencionados sejam observados neste tratamento. Portanto, ao realizar qualquer atividade de tratamento, seja a coleta de uma informação, armazenamento de dados ou confecção de uma planilha de controle, sempre verifique se todas as diretrizes de proteção de dados estão sendo cumpridas.
Artigo 23. A Companhia realiza o tratamento de diversos dados pessoais para viabilizar suas atividades. A relação de dados tratados inclui: dados pessoais comuns, como identificação, contato, dados de navegação (endereço IP e cookies), e dados pessoais sensíveis, como saúde, etnia, raça, biométricos e outros necessários para a execução das atividades, de acordo com a relação existente entre a Companhia e o titular dos dados e com as obrigações legais a serem cumpridas.
Artigo 24. O tratamento de dados pessoais deve se limitar aos dados estritamente necessários para o desenvolvimento das atividades e para o cumprimento das leis e regulamentos aplicáveis.
Artigo 25. A coleta de dados pessoais através de acessos a bases públicas ou privadas (de forma indireta) deve ser previamente avaliada pelo Comitê de Privacidade.
Artigo 26. O tratamento realizado por parceiros em nome da Companhia deve estar documentado por meio de contratos de prestação de serviços, parcerias ou convênios. Isso também se aplica aos dados fornecidos por terceiros à Companhia.
Artigo 27. A utilização dos dados pessoais está vinculada à expectativa do titular no momento da coleta. Ou seja, o uso dos dados deve se limitar à finalidade informada ao titular.
Artigo 28. A finalidade do uso dos dados é comunicada ao titular por meio de contratos, termos, comunicados e principalmente através do aviso de privacidade e proteção de dados pessoais.
Artigo 29. Caso haja necessidade de alteração da finalidade, o titular deve ser informado previamente. O Comitê de Privacidade também deve ser envolvido para orientar quanto à legalidade do novo tratamento e atualizar os registros.
Artigo 30. O mesmo se aplica aos nossos parceiros. Eles não podem utilizar os dados pessoais tratados em decorrência da atividade exercida para a Companhia para finalidades diferentes das acordadas contratualmente.
Artigo 31. Quando os dados pessoais forem utilizados para análises preditivas ou decisões automatizadas, é necessário documentar a lógica utilizada, os dados empregados e as análises realizadas. Além disso, os modelos precisam ser monitorados para evitar vieses e discriminações.
Artigo 32. O titular tem o direito de obter informações claras sobre os critérios e procedimentos utilizados em decisões automatizadas. A autoridade de proteção de dados pode auditar esses processos para verificar possíveis discriminações.
Artigo 33. Em casos de aquisição de outras empresas ou expansão do negócio, o Comitê de Privacidade deve ser consultado desde as negociações, para garantir que a nova empresa esteja em conformidade com as legislações de privacidade e proteção de dados.
Artigo 34. A Companhia é obrigada por lei a registrar todas as atividades de tratamento de dados e manter esse registro atualizado.
Artigo 35. Todos os que tratam dados pessoais em nome da Companhia devem colaborar para a manutenção desse registro, informando inconsistências, alterações, criação ou encerramento de atividades ao Encarregado. Os parceiros também devem informar alterações relevantes na gestão dos dados pessoais.
Artigo 36. O Encarregado é responsável por garantir a atualização e revisão periódica desse registro junto a cada departamento.
Artigo 37. O registro deve conter, no mínimo, as seguintes informações: descrição da atividade, dados tratados, local de armazenamento, compartilhamento, finalidade, tempo de retenção, base legal, idade dos titulares e volume aproximado de registros.
Artigo 38. No dia a dia, muitos dados pessoais precisam ser compartilhados com colegas e parceiros. No entanto, algumas regras precisam ser observadas.
Artigo 39. Dentro da Companhia, os dados pessoais devem ser compartilhados apenas com pessoas cuja função exija acesso a eles. O compartilhamento deve ocorrer por meios corporativos homologados pelo time de TI, como e-mail e drives corporativos.
Artigo 40. Por exemplo, dados sobre dependentes, como os constantes em formulários de plano de saúde, só podem ser compartilhados com os colaboradores responsáveis pelo tratamento dessas informações, como o departamento de RH, e não com outros colaboradores que não precisem desses dados.
Artigo 41. No compartilhamento de dados com parceiros externos, devem ser compartilhadas apenas as informações estritamente necessárias para a realização da atividade contratada, utilizando meios corporativos seguros, como e-mails e drives corporativos ou sistemas homologados pela TI. Arquivos devem ser preferencialmente protegidos por senha.
Artigo 42. Dados só devem ser compartilhados em meio físico quando inevitável. Nesse caso, o documento deve ser entregue diretamente para o destinatário autorizado.
Artigo 43. Parceiros que tratam dados em nome da Companhia não devem subcontratar operadores sem a autorização prévia da Companhia. Esses subcontratados devem garantir os mesmos níveis de segurança e conformidade.
Artigo 44. Alguns serviços exigem a transferência de dados pessoais para outros países, como serviços de armazenamento em nuvem. Nesses casos, os dados devem ser tratados de acordo com a LGPD e outras legislações aplicáveis. A Companhia adota cláusulas contratuais padronizadas para garantir a proteção dos dados.
Artigo 45. O parceiro não pode transferir ou autorizar a transferência de dados para fora do Brasil sem o consentimento prévio e por escrito da Companhia.
Artigo 46. Dados digitais devem ser armazenados em locais seguros, protegidos por criptografia e com acesso restrito por senha.
Artigo 47. O armazenamento deve ocorrer em locais homologados pela TI conforme a política de Segurança da Informação. Não são autorizados o armazenamento em áreas de trabalho ou HDs de computadores pessoais, e-mails ou contas pessoais, pendrives, CDs ou dispositivos remotos, salvo autorização expressa.
Artigo 48. Dados em meio físico devem ser armazenados em locais protegidos por chave e com controle de acesso. Documentos contendo dados pessoais não devem ser usados como rascunho ou deixados em locais de fácil acesso.
Artigo 49. Documentos temporariamente armazenados na casa de um colaborador devem ser mantidos em locais seguros, preferencialmente fechados à chave.
Artigo 50. Cópias de arquivos contendo dados pessoais só devem ser feitas quando necessárias para cumprir uma atividade ou obrigação legal. Essas cópias devem ser mantidas com o mesmo grau de proteção dos arquivos originais.
Artigo 51. Dados pessoais têm um ciclo de vida. Após a finalidade para a qual foram coletados ser alcançada, e não havendo mais necessidade de mantê-los, eles devem ser eliminados.
Artigo 52. A LGPD regulamenta o direito à eliminação de dados, garantindo ao titular maior controle sobre suas informações pessoais.
Artigo 53. A eliminação de dados deve ser feita de forma segura. Uma Política de Retenção e Descarte será divulgada para orientar o período e a forma de descarte.
Artigo 54. Parceiros também devem devolver à Companhia e eliminar de forma segura todos os dados pessoais tratados após o término da finalidade, conforme monitoramento do gestor do contrato.
Artigo 55. Os prazos para devolução e eliminação constarão na Política de Retenção e Descarte.
Artigo 56. Dados pessoais sensíveis serão tratados apenas quando imprescindíveis para a finalidade proposta, geralmente para cumprir obrigações legais e regulatórias, como benefícios ou defesa em processos, ou para tutela da saúde.
Artigo 57. Dados pessoais sensíveis devem receber prioridade na Política de Segurança da Informação. A TI deve garantir a máxima segurança desses dados.
Artigo 58. Algumas práticas podem ser adotadas para proteger dados sensíveis no dia a dia:
Artigo 59. Dados de crianças e adolescentes devem ser solicitados apenas quando necessário para cumprir contratos, obrigações legais ou garantir direitos.
Artigo 60. Não é permitido o tratamento de dados de menores de 12 anos para envio de publicidade.
Artigo 61. Caso a Companhia precise tratar dados de menores de 12 anos, o consentimento deve ser obtido dos responsáveis legais, salvo em situações excepcionais.
Artigo 62. Qualquer coleta ou tratamento de dados de crianças e adolescentes deve ser previamente aprovada pelo Comitê de Privacidade.
Artigo 64. A Companhia deve assegurar a proteção dos dados pessoais de forma proativa e preventiva, e não reativa.
Artigo 65. Adotamos o modelo de privacy by design (privacidade desde a concepção). Portanto, desde a criação de serviços, projetos, sistemas, produtos ou processos, a privacidade e proteção de dados devem ser observadas ao longo de todo o ciclo de vida da atividade desenvolvida.
Artigo 66. Segundo a LGPD, medidas de segurança técnicas e administrativas para a proteção de dados pessoais devem ser observadas desde a fase de concepção do produto ou serviço.
Artigo 67. Devemos também empregar o privacy by default (privacidade por padrão). Isso significa que as medidas de privacidade estruturadas na fase de concepção devem ser aplicadas como regra nos nossos produtos ou serviços.
Artigo 68. Todo novo processo ou atividade a ser desenvolvida em qualquer setor da Companhia deve ser comunicado ao Comitê de Privacidade ou ao Encarregado de Proteção de Dados desde o início do planejamento, para que sejam realizadas as avaliações necessárias e desenvolvidos processos adequados à legislação e às metodologias estabelecidas.
Artigo 69. Para garantir a segurança e privacidade dos dados pessoais, devem ser adotadas medidas que resguardem o sigilo e a confidencialidade das informações.
Artigo 70. Dados confidenciais são aqueles que devem ser protegidos contra revelação pública não autorizada, seja escrita ou falada. Todos os dados pessoais tratados pela Companhia, especialmente os dados pessoais sensíveis e de menores de idade, são considerados confidenciais.
Artigo 71. Colaboradores e parceiros da Companhia com acesso a esses dados devem mantê-los em estrito sigilo, não divulgando, revelando ou mostrando a terceiros, salvo quando autorizado expressamente pela Companhia ou quando necessário ao desenvolvimento da atividade, conforme o contrato de trabalho ou prestação de serviços. Também é proibido usar tais dados pessoais em benefício comercial ou pessoal, direta ou indiretamente.
Artigo 72. Medidas para preservar a confidencialidade dos dados incluem:
Artigo 73. O colaborador ou parceiro que estiver na posse e guarda de arquivos confidenciais é responsável por sua conservação (preservação contra danos e perda), integridade (mantê-los confiáveis e consistentes) e manutenção da confidencialidade (não permitindo a disponibilização ou divulgação a quem não tenha autorização).
Artigo 74. Exceto quando o compartilhamento de informações for inerente à atividade desenvolvida (como envio de informações à Receita Federal, Ministério do Trabalho e Ministério da Educação por contabilidade, RH e Diretoria acadêmica), informações confidenciais ou sigilosas só podem ser enviadas às autoridades públicas após orientação do Departamento Jurídico e de Compliance, em conjunto com o Comitê de Privacidade e/ou Encarregado de Proteção de Dados.
Artigo 75. O colaborador deve respeitar o sigilo e a confidencialidade das informações compartilhadas por parceiros, tratando-as com o mesmo cuidado que as informações sigilosas da própria Companhia.
Artigo 76. Mesmo que as informações se tornem de domínio público e percam seu caráter confidencial, devemos continuar com as medidas de proteção dos dados pessoais e seguir os princípios estabelecidos pela lei, como guarda segura, uso para a finalidade estabelecida e retenção pelo prazo necessário.
Artigo 77. Em caso de dúvida sobre o caráter confidencial e sigiloso da informação, ou sobre a possibilidade de divulgação, consulte o seu gestor, o Departamento Jurídico e de Compliance, o Comitê de Privacidade e/ou o Encarregado de Proteção de Dados. O dever e a obrigação de sigilo e confidencialidade continuarão vigentes mesmo após o término da relação contratual.
Artigo 78. A LGPD estabelece que a empresa deve adotar medidas de segurança técnicas e administrativas aptas a proteger os Dados Pessoais contra os mais diversos tipos de incidentes.
Artigo 79. Para tanto, além do programa de proteção de dados conduzido pelo Comitê de Privacidade, o departamento de Tecnologia da Informação desenvolveu uma Política de Segurança da Informação com as medidas necessárias relativas às boas práticas de segurança da informação.
Artigo 80. Como referência, a Companhia adotou, nesta Política de Segurança da Informação, as medidas previstas nas normas e frameworks da ISO 27001. Um framework de segurança é uma estrutura de processos que tem o objetivo de gerenciar e reduzir riscos de segurança da informação, ajudando a Companhia a proteger os dados em seus ambientes físicos e digitais.
Artigo 81. Contudo, para que a Política de Segurança da Informação seja efetiva, todos devem estar comprometidos com as diretrizes que ela estabelece.
Artigo 82. Se houver indicativo de um incidente envolvendo os dados pessoais tratados em nome da Companhia, o colaborador ou parceiro deverá comunicar imediatamente aos Acionadores do Time de Resposta a Incidentes, conforme especificado no Plano de Resposta a Incidentes de Segurança e à Privacidade e Proteção de Dados, com todas as informações requeridas e através dos e-mails: privacidadededados@clariens.com.br.
Artigo 83. A condução do incidente será realizada de acordo com o Plano de Resposta a Incidentes de Segurança e à Privacidade e Proteção de Dados. Os departamentos e parceiros envolvidos devem cooperar com a Companhia e tomar as medidas necessárias para auxiliar na investigação, mitigação e correção de cada violação de dados pessoais.
Artigo 84. A Companhia fiscalizará as contas corporativas disponibilizadas pela empresa, tais como emails, contas de mensagens instantâneas e de teleconferência, além de registros de acesso à Internet, Intranet, ligações e mensagens de texto, informações e arquivos recebidos ou armazenados nos dispositivos físicos, eletrônicos ou digitais, e sistemas da Companhia.
Artigo 85. A Companhia também utiliza recursos da tecnologia Endpoint, que tem como objetivo garantir que servidores e dispositivos conectados à nossa rede estejam protegidos de ameaças cibernéticas. Para isso, o sistema gerencia permissões de instalação de programas, bem como acessos a aplicativos, páginas de Internet, drives, entre outros.
Artigo 86. O Comitê de Privacidade deverá realizar monitoramento anual para avaliar o nível de conformidade da Companhia em relação à legislação de privacidade, bem como avaliar os processos que precisam ser melhorados, através de auditorias internas e auditorias independentes, sempre que necessário.
Artigo 87. Algumas medidas que devem ser adotadas são:
Artigo 88. Além disso, o departamento de Tecnologia da Informação, juntamente com o Marketing e o Comitê de Privacidade, deve conduzir anualmente testes de engenharia social, pentestes e testes de phishing dentro da Instituição.
Artigo 89. O teste de engenharia social simula uma manipulação do usuário para que ele revele informações confidenciais ou execute determinadas atividades que ponham em risco a segurança da informação da empresa. Ou seja, seu foco é testar possíveis falhas humanas. Por exemplo, simular um aluno nos canais de atendimento para conseguir informações sigilosas sobre ele.
Artigo 90. O penteste, ou teste de intrusão, tem como objetivo detectar eventuais fragilidades de um sistema ou estrutura de segurança digital, validar as diretrizes utilizadas e monitorar o tempo de resposta, caso a intrusão aconteça. Ou seja, a pessoa designada para esta atividade irá simular um ataque às redes e sistemas em busca de vulnerabilidades.
Artigo 91. Já o teste de phishing verifica se os colaboradores conseguem distinguir um conteúdo falso de um verdadeiro, como por exemplo, detectar se determinado e-mail é fraudulento e simula ser de um fornecedor conhecido, direcionando o usuário para uma página com o intuito de roubar dados, ou se o e-mail é legítimo.
Artigo 92. Além disso, os parceiros devem disponibilizar ao Comitê de Privacidade, quando solicitado, todas as informações necessárias para demonstrar a conformidade do programa de proteção de dados da instituição em relação aos dados pessoais que tratarem em nome da Companhia.
Artigo 93. O descumprimento desta Política pode acarretar a aplicação de medidas disciplinares ou demissão por justa causa para os colaboradores envolvidos, conforme a Política de Medidas Disciplinares; aplicação de sanções e rescisão de contrato para os prestadores de serviço; bem como o ajuizamento de ações judiciais cíveis ou criminais, quando aplicável.
Artigo 94. A responsabilidade pelo tratamento adequado dos dados pessoais dentro da Companhia é comum a todos os colaboradores e parceiros do grupo (terceiros). É fundamental a participação de todos para que a Companhia esteja sempre em conformidade com a lei, oferecendo segurança aos titulares dos dados utilizados.
Artigo 95. Alguns órgãos ou departamentos são responsáveis por estabelecer diretrizes relacionadas à privacidade e proteção de dados e acompanhar o cumprimento efetivo dessas diretrizes no ambiente corporativo. No entanto, é importante lembrar que, independentemente do setor, cada um desempenha um papel importante no programa institucional de privacidade e proteção de dados!
Artigo 96. Atribuições e responsabilidades do Conselho de Administração:
Artigo 97. Atribuições e responsabilidades do Comitê de Auditoria, Risco, Governança e Compliance:
Artigo 97. Atribuições e responsabilidades da Diretoria:
Artigo 98. Atribuições e responsabilidades do Comitê de Privacidade:
Artigo 99. Atribuições e responsabilidades do Marketing:
Artigo 100. Atribuições e responsabilidades do Departamento de Tecnologia da Informação:
Artigo 101. Atribuições e responsabilidades do Departamento de Recursos Humanos:
Artigo 102. Atribuições e responsabilidades da área específica de Contratos:
Artigo 103. Atribuições e responsabilidades do Departamento Jurídico e de Compliance:
Artigo 104. Atribuições e responsabilidades dos Gestores:
Artigo 105. Atribuições e responsabilidades de todos os colaboradores e parceiros da Companhia:
Artigo 106. Ficou com dúvida sobre esta política? Você pode entrar em contato conosco pelo e-mail privacidadededados@clariens.com.br.
Artigo 107. Qualquer ato contrário ao disposto nesta Política deverá ser reportado à área de LGPD por meio do formulário web disponível no website da Companhia ou através do Canal de Denúncia, para adoção das medidas cabíveis.
Artigo 108. O colaborador que descumprir quaisquer das determinações previstas nesta Política estará sujeito às sanções previstas no Código de Ética e Conduta e na Política de Medidas Disciplinares, incluindo a rescisão contratual.
Artigo 109. A Companhia se reserva o direito de alterar esta Política. Sempre que isso ocorrer, informaremos a você para renovarmos o nosso compromisso com a privacidade e proteção de dados.
Artigo 110. Esta Política será revisada a cada 2 (dois) anos, podendo ser alterada sempre que necessário ou pertinente, conforme governança da Companhia.
Artigo 111. Os casos omissos e dúvidas de interpretação relativos a essa Política serão tratados por meio de reuniões com o Comitê de Privacidade ou o Comitê de Auditoria, Risco, Governança e Compliance.
Artigo 112. No caso de conflito entre:
Artigo 113. Caso qualquer disposição desta Política venha a ser considerada inválida, ilegal ou ineficaz, essa disposição será limitada na medida do possível para que a validade, legalidade e eficácia das disposições remanescentes desta Política não sejam afetadas ou prejudicadas.
