R30

# FINALIDADE

Esta Política tem como objetivo estabelecer diretrizes internas para o tratamento adequado de dados pessoais pela **R30 ONLINE**, assegurando a privacidade, a proteção de dados pessoais, a segurança da informação e o cumprimento da legislação aplicável.

A presente Política orienta colaboradores, administradores, terceiros, prestadores de serviços e parceiros quanto às regras que devem ser observadas na coleta, utilização, armazenamento, compartilhamento, retenção e eliminação de dados pessoais tratados no contexto das atividades da **R30 ONLINE**.

Esta Política complementa o Código de Ética e Conduta, as normas internas de segurança da informação, os procedimentos de tecnologia, os instrumentos contratuais e demais documentos corporativos relacionados à governança, compliance, privacidade e proteção de dados.

# NORMAS DE REFERÊNCIA

* Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais — LGPD;
* Lei nº 12.965/2014 — Marco Civil da Internet;
* Decreto nº 8.771/2016 — Regulamentação do Marco Civil da Internet;
* Código de Ética e Conduta da R30 ONLINE;
* Política de Segurança da Informação da R30 ONLINE;
* Política de Controle de Acessos da R30 ONLINE;
* Política de Gestão de Incidentes da R30 ONLINE;
* Contratos, termos, avisos de privacidade e demais documentos aplicáveis;
* Guias, orientações e regulamentos emitidos pela Autoridade Nacional de Proteção de Dados — ANPD.

# ÂMBITO DE APLICAÇÃO

Esta Política deve ser observada de forma integrada com todas as demais políticas, normas e procedimentos da **R30 ONLINE**, sendo aplicável a todos os colaboradores, administradores, conselheiros, estagiários, aprendizes, prestadores de serviços, fornecedores, parceiros comerciais e terceiros que realizem tratamento de dados pessoais em nome da empresa ou em razão de relação contratual, comercial, institucional ou operacional com a **R30 ONLINE**.

Esta Política se aplica ao tratamento de dados pessoais realizado em meio físico ou digital, incluindo sistemas internos, plataformas tecnológicas, ambientes em nuvem, documentos, planilhas, e-mails, aplicativos corporativos, bancos de dados, arquivos impressos e quaisquer outros meios utilizados pela organização.

# DEFINIÇÕES

**Dado Pessoal** — Informação relacionada a pessoa natural identificada ou identificável, como nome, CPF, endereço, e-mail, telefone, dados cadastrais, dados profissionais, identificadores digitais, entre outros.

**Dado Pessoal Sensível** — Dado pessoal relacionado à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

**Titular de Dados** — Pessoa natural a quem se referem os dados pessoais objeto de tratamento.

**Tratamento de Dados Pessoais** — Toda operação realizada com dados pessoais, incluindo coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração.

**Controlador** — Pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais.

**Operador** — Pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.

**Encarregado pelo Tratamento de Dados Pessoais** — Pessoa indicada pela R30 ONLINE para atuar como canal de comunicação entre a empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.

**ANPD** — Autoridade Nacional de Proteção de Dados, órgão responsável por zelar, implementar e fiscalizar o cumprimento da LGPD no Brasil.

**Base Legal** — Fundamento previsto na LGPD que autoriza o tratamento de dados pessoais.

**Consentimento** — Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para finalidade determinada.

**Relatório de Impacto à Proteção de Dados Pessoais** — Documento que descreve processos de tratamento de dados pessoais que possam gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

**Incidente de Segurança da Informação** — Evento adverso confirmado ou suspeito relacionado à violação de segurança, perda, alteração, destruição, acesso não autorizado, vazamento, comunicação indevida ou qualquer forma de tratamento inadequado de dados pessoais.

**Terceiro** — Toda pessoa física ou jurídica que mantenha relação com a R30 ONLINE, incluindo fornecedores, prestadores de serviços, consultores, parceiros comerciais, operadores de dados, subcontratados e demais partes externas.

# DIRETRIZES GERAIS

A **R30 ONLINE** compromete-se a tratar dados pessoais de forma ética, segura, transparente e em conformidade com a legislação aplicável, observando os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.

## Tratamento de Dados Pessoais

a) Todo tratamento de dados pessoais realizado pela **R30 ONLINE** deve possuir finalidade legítima, específica, explícita e informada ao titular, quando aplicável.

b) Os dados pessoais devem ser tratados somente na medida necessária para o cumprimento das finalidades previamente definidas.

c) É vedado o tratamento de dados pessoais para finalidades incompatíveis com aquelas originalmente informadas ou autorizadas, salvo quando houver base legal aplicável.

d) O tratamento de dados pessoais deve observar, sempre que aplicável, uma das bases legais previstas na LGPD, tais como consentimento, cumprimento de obrigação legal ou regulatória, execução de contrato, exercício regular de direitos, legítimo interesse, proteção da vida, tutela da saúde, proteção do crédito ou demais hipóteses previstas em lei.

e) A coleta excessiva, desnecessária ou não autorizada de dados pessoais é proibida.

## Dados Pessoais Sensíveis

a) O tratamento de dados pessoais sensíveis deverá ocorrer apenas quando estritamente necessário e mediante base legal adequada.

b) Dados pessoais sensíveis devem receber proteção reforçada, com controles adicionais de acesso, armazenamento, compartilhamento e retenção.

c) É proibida a utilização de dados pessoais sensíveis para fins discriminatórios, abusivos, ilícitos ou incompatíveis com a finalidade informada.

d) Sempre que possível, a **R30 ONLINE** deverá adotar medidas de minimização, anonimização, pseudonimização ou restrição de acesso a dados pessoais sensíveis.

## Dados de Crianças e Adolescentes

a) O tratamento de dados pessoais de crianças e adolescentes deverá observar o melhor interesse do menor e os requisitos legais aplicáveis.

b) A coleta e o tratamento desses dados somente poderão ocorrer quando houver finalidade legítima, necessidade comprovada e base legal adequada.

c) Quando exigido pela legislação, deverá ser obtido consentimento específico e em destaque de pelo menos um dos pais ou responsável legal.

d) A **R30 ONLINE** deverá adotar medidas razoáveis para proteger dados de crianças e adolescentes contra acesso indevido, exposição, uso inadequado ou tratamento incompatível.

## Bases Legais e Finalidades

a) Antes de iniciar novo tratamento de dados pessoais, a área responsável deverá identificar a finalidade, a categoria dos dados tratados, os titulares envolvidos, a base legal aplicável, o prazo de retenção, os sistemas utilizados, os terceiros envolvidos e os riscos associados.

b) A área responsável pelo tratamento deverá consultar o Encarregado ou a área de Compliance/Privacidade sempre que houver dúvida quanto à base legal aplicável.

c) O tratamento baseado em consentimento deverá permitir a comprovação da manifestação do titular, bem como sua revogação quando cabível.

d) O tratamento baseado em legítimo interesse deverá ser avaliado de forma proporcional, considerando os direitos e expectativas dos titulares.

## Direitos dos Titulares

a) A **R30 ONLINE** deverá assegurar mecanismos adequados para atendimento aos direitos dos titulares de dados pessoais, nos termos da legislação aplicável.

b) Os titulares poderão solicitar, conforme aplicável:

* confirmação da existência de tratamento;
* acesso aos dados pessoais;
* correção de dados incompletos, inexatos ou desatualizados;
* anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
* portabilidade dos dados, quando aplicável;
* informação sobre compartilhamento de dados;
* informação sobre a possibilidade de não fornecer consentimento e suas consequências;
* revogação do consentimento;
* revisão de decisões tomadas unicamente com base em tratamento automatizado, quando aplicável.

c) As solicitações de titulares deverão ser encaminhadas ao Encarregado pelo Tratamento de Dados Pessoais ou ao canal oficial definido pela **R30 ONLINE**.

d) Nenhum colaborador deve responder isoladamente a solicitações de titulares sem observar o procedimento interno aplicável.

## Segurança da Informação

a) A **R30 ONLINE** deverá adotar medidas técnicas e administrativas aptas a proteger dados pessoais contra acessos não autorizados, perda, destruição, alteração, comunicação indevida ou qualquer forma de tratamento inadequado ou ilícito.

b) O acesso a dados pessoais deve ser concedido apenas a pessoas autorizadas, de acordo com a necessidade de execução de suas atividades profissionais.

c) Credenciais de acesso são pessoais, intransferíveis e não devem ser compartilhadas.

d) Documentos físicos ou digitais que contenham dados pessoais devem ser armazenados em locais seguros e acessados somente por pessoas autorizadas.

e) O envio de dados pessoais por e-mail, aplicativos, links, planilhas ou outros meios deve observar os controles internos de segurança da informação.

f) Sempre que possível, devem ser utilizados mecanismos de proteção como controle de acesso, criptografia, autenticação, registro de logs, backup, segregação de funções e gestão de permissões.

## Compartilhamento de Dados Pessoais

a) O compartilhamento de dados pessoais com terceiros somente poderá ocorrer quando houver finalidade legítima, base legal adequada e necessidade comprovada.

b) Terceiros que tratem dados pessoais em nome da **R30 ONLINE** deverão assumir obrigações contratuais de confidencialidade, segurança da informação, proteção de dados e atendimento à legislação aplicável.

c) É proibido compartilhar dados pessoais com terceiros não autorizados ou para finalidades não relacionadas às atividades da **R30 ONLINE**.

d) O compartilhamento internacional de dados pessoais, quando aplicável, deverá observar as hipóteses legais previstas na LGPD e as orientações das áreas responsáveis.

## Terceiros e Operadores

a) A contratação de terceiros que realizem tratamento de dados pessoais em nome da **R30 ONLINE** deverá considerar critérios de segurança, reputação, capacidade técnica e conformidade com a legislação de proteção de dados.

b) Sempre que necessário, deverá ser realizada avaliação prévia de privacidade e segurança da informação do terceiro.

c) Os contratos com terceiros deverão conter cláusulas relacionadas à proteção de dados pessoais, confidencialidade, segurança da informação, subcontratação, incidentes, auditoria, retenção e eliminação de dados.

d) O gestor responsável pela contratação deverá acompanhar a execução dos serviços prestados pelo terceiro e comunicar qualquer suspeita de irregularidade, incidente ou descumprimento desta Política.

## Retenção e Eliminação de Dados

a) Dados pessoais deverão ser mantidos apenas pelo tempo necessário para cumprimento das finalidades que justificaram seu tratamento, observados os prazos legais, regulatórios, contratuais e de exercício regular de direitos.

b) Ao final do prazo de retenção ou quando encerrada a finalidade do tratamento, os dados pessoais deverão ser eliminados, anonimizados ou arquivados conforme a legislação aplicável e os procedimentos internos.

c) É proibido manter cópias desnecessárias, desatualizadas ou não autorizadas de bases de dados pessoais.

d) A eliminação de dados pessoais deve ser realizada de forma segura, considerando o meio em que os dados estão armazenados.

## Incidentes de Segurança e Vazamento de Dados

a) Todo colaborador, terceiro ou prestador de serviço que identificar ou suspeitar de incidente envolvendo dados pessoais deverá comunicar imediatamente o fato à área de Segurança da Informação, Compliance, Jurídico ou ao Encarregado pelo Tratamento de Dados Pessoais.

b) São exemplos de incidentes: envio de dados para destinatário incorreto, perda de equipamento contendo dados pessoais, acesso indevido a sistema, vazamento de planilha, exposição de documentos, uso indevido de credenciais, ataque cibernético ou compartilhamento não autorizado.

c) A **R30 ONLINE** deverá avaliar a natureza, a gravidade, os titulares afetados, os riscos envolvidos e as medidas de contenção e mitigação necessárias.

d) Quando exigido pela legislação, a **R30 ONLINE** realizará as comunicações cabíveis à ANPD e aos titulares afetados.

e) Nenhum colaborador ou terceiro está autorizado a comunicar incidentes externamente sem prévia orientação das áreas responsáveis.

## Treinamento e Conscientização

a) A **R30 ONLINE** deverá promover ações periódicas de conscientização e treinamento sobre privacidade, proteção de dados pessoais e segurança da informação.

b) Colaboradores que tratem dados pessoais em suas atividades devem conhecer suas responsabilidades e observar as regras previstas nesta Política e nos procedimentos internos aplicáveis.

c) A participação em treinamentos obrigatórios poderá ser exigida como condição para manutenção de determinados acessos, funções ou atividades.

## Privacidade desde a Concepção

a) Novos projetos, sistemas, produtos, processos, campanhas, contratações ou iniciativas que envolvam tratamento de dados pessoais deverão considerar requisitos de privacidade e proteção de dados desde sua concepção.

b) Sempre que houver risco relevante aos titulares, alteração significativa no tratamento de dados ou uso de novas tecnologias, a área responsável deverá consultar o Encarregado, Compliance, Jurídico ou Segurança da Informação.

c) Medidas de minimização, limitação de acesso, transparência, segurança e retenção adequada devem ser avaliadas desde o início do projeto.

## Auditoria e Monitoramento

a) A **R30 ONLINE** poderá realizar avaliações, auditorias e monitoramentos periódicos para verificar o cumprimento desta Política, dos procedimentos internos e da legislação aplicável.

b) Não conformidades identificadas deverão ser tratadas por meio de planos de ação, medidas corretivas, melhoria de controles ou treinamentos adicionais.

c) As áreas responsáveis deverão cooperar com auditorias internas, externas, fiscalizações, solicitações da ANPD ou demais autoridades competentes.

# RESPONSABILIDADES

## Direção

a) Aprovar esta Política e suas atualizações;

b) Garantir a implementação e o cumprimento das diretrizes de privacidade e proteção de dados pessoais;

c) Disponibilizar recursos adequados para manutenção do programa de privacidade e proteção de dados;

d) Apoiar a atuação independente do Encarregado pelo Tratamento de Dados Pessoais;

e) Adotar medidas corretivas em caso de não conformidades, incidentes ou violações.

## Encarregado pelo Tratamento de Dados Pessoais

a) Atuar como canal de comunicação entre a **R30 ONLINE**, os titulares de dados e a ANPD;

b) Receber, analisar e encaminhar solicitações dos titulares de dados;

c) Orientar colaboradores e terceiros quanto às práticas de proteção de dados pessoais;

d) Apoiar a avaliação de riscos, incidentes e novos tratamentos de dados pessoais;

e) Recomendar melhorias nos controles de privacidade e proteção de dados.

## Área de Compliance

a) Apoiar a implementação desta Política e dos procedimentos relacionados;

b) Avaliar, em conjunto com as áreas competentes, riscos de privacidade e proteção de dados;

c) Conduzir ou apoiar apurações relacionadas a violações desta Política;

d) Promover, em conjunto com Recursos Humanos e Segurança da Informação, treinamentos periódicos;

e) Monitorar o cumprimento das diretrizes de privacidade e proteção de dados.

## Área Jurídica

a) Apoiar a interpretação da legislação aplicável;

b) Revisar contratos, cláusulas, termos, avisos de privacidade e documentos relacionados à proteção de dados;

c) Apoiar a análise de incidentes, solicitações de titulares, fiscalizações e comunicações à ANPD, quando aplicável;

d) Orientar a empresa em situações que envolvam risco legal ou regulatório.

## Área de Segurança da Informação / Tecnologia da Informação

a) Implementar controles técnicos e administrativos de segurança da informação;

b) Gerenciar acessos, permissões, logs, backups e controles de proteção dos sistemas;

c) Apoiar a prevenção, detecção, contenção e resposta a incidentes de segurança;

d) Avaliar riscos tecnológicos relacionados ao tratamento de dados pessoais;

e) Apoiar a eliminação segura de dados armazenados em ambientes tecnológicos.

## Área de Recursos Humanos

a) Garantir que colaboradores sejam informados sobre esta Política;

b) Obter, quando aplicável, o aceite ou termo de ciência dos colaboradores;

c) Apoiar ações de treinamento e conscientização;

d) Tratar dados pessoais de colaboradores, candidatos, aprendizes, estagiários e terceiros conforme a legislação e procedimentos internos;

e) Comunicar ao Encarregado, Compliance ou Segurança da Informação qualquer suspeita de tratamento inadequado ou incidente envolvendo dados pessoais.

## Gestores de Área

a) Garantir que suas equipes observem esta Política;

b) Identificar tratamentos de dados pessoais realizados em suas áreas;

c) Comunicar novos projetos, mudanças de processo ou contratações que envolvam dados pessoais;

d) Zelar pela correta utilização, armazenamento e compartilhamento de dados pessoais;

e) Reportar incidentes, riscos ou não conformidades às áreas responsáveis.

## Colaboradores e Terceiros

a) Cumprir esta Política e demais documentos internos relacionados;

b) Utilizar dados pessoais apenas para finalidades profissionais legítimas e autorizadas;

c) Não compartilhar dados pessoais com pessoas não autorizadas;

d) Proteger documentos, sistemas, senhas, equipamentos e informações sob sua responsabilidade;

e) Comunicar imediatamente suspeitas de incidente, vazamento, acesso indevido ou tratamento inadequado de dados pessoais.

# VIOLAÇÕES E SANÇÕES APLICÁVEIS

a) O descumprimento desta Política poderá resultar em medidas disciplinares, contratuais, administrativas, civis e/ou criminais, conforme a gravidade do caso e a legislação aplicável.

b) São exemplos de violações:

* acesso indevido a dados pessoais;
* compartilhamento não autorizado de informações;
* coleta excessiva ou sem finalidade legítima;
* uso de dados pessoais para fins particulares;
* manutenção de bases desatualizadas ou desnecessárias;
* omissão na comunicação de incidentes;
* descarte inadequado de documentos;
* descumprimento de orientações do Encarregado, Compliance, Jurídico ou Segurança da Informação.

c) A **R30 ONLINE** não tolera retaliação contra qualquer pessoa que comunique, de boa-fé, suspeitas de violação desta Política ou da legislação aplicável.

d) Terceiros que descumprirem esta Política poderão estar sujeitos à rescisão contratual, bloqueio de acesso, aplicação de penalidades contratuais e responsabilização pelos danos causados.

# TERMO DE COMPROMETIMENTO COM A POLÍTICA INTERNA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

a) A área responsável poderá solicitar aos colaboradores, terceiros e prestadores de serviços a assinatura física ou eletrônica do Termo de Comprometimento com esta Política.

b) A assinatura do termo representa ciência e compromisso com as diretrizes de privacidade, proteção de dados pessoais e segurança da informação estabelecidas pela **R30 ONLINE**.

c) Sempre que houver atualizações relevantes nesta Política, poderá ser exigida nova ciência ou assinatura do termo.

d) A área responsável deverá manter arquivados os termos preenchidos, conforme o prazo de retenção aplicável.

**Declaração de Novos Colaboradores**

a) Sempre que um novo colaborador for admitido, a área de Recursos Humanos deverá disponibilizar esta Política para ciência.

b) A assinatura do Termo de Comprometimento com a Política Interna de Privacidade e Proteção de Dados Pessoais poderá ser condição para início ou continuidade do vínculo com a **R30 ONLINE**.

c) A área de Recursos Humanos deverá manter evidência da ciência ou aceite do colaborador.

# DISPOSIÇÕES FINAIS

Todos os colaboradores, administradores, terceiros, fornecedores, prestadores de serviços e parceiros que realizem tratamento de dados pessoais em nome da **R30 ONLINE** devem observar as disposições desta Política.

Casos omissos, dúvidas de interpretação ou situações não previstas deverão ser encaminhados ao Encarregado pelo Tratamento de Dados Pessoais, Compliance, Jurídico ou área responsável definida internamente.

Esta Política deverá ser divulgada internamente e permanecer disponível aos públicos abrangidos, conforme os meios oficiais de comunicação da **R30 ONLINE**.

# APROVAÇÃO/VIGÊNCIA

Esta Política entra em vigor a partir de sua aprovação pela Diretoria e será revisada periodicamente ou sempre que houver alterações legais, regulatórias, organizacionais, tecnológicas ou operacionais que justifiquem sua atualização.

---