POLÍTICA DE PRIVACIDADE DE DADOS PESSOAIS DA GCOM GESTÃO EM TECNOLOGIA DA INFORMAÇÃO LTDA.


1. Finalidade
A Política de Privacidade de Dados da GCom Gestão em Tecnologia da Informação Ltda. tem como finalidade proteger os dados pessoais dos usuários e as informações coletadas, em conformidade com a Lei nº 13.709/ 2018.

2. Definições
Para fins da presente Política de Privacidade, os termos abaixo serão utilizados com as seguintes definições:
2.1. Controlador de Dados” significa a pessoa natural ou jurídica, autoridade pública, agência ou outro órgão que, sozinho ou em conjunto com outros, determina as finalidades e os meios de processamento de Dados Pessoais.
2.2. “Operador de Dados” significa uma pessoa natural ou jurídica, autoridade pública, agência ou outro órgão que promove o tratamento dos Dados Pessoais.
2.3. “Tratamento de Dados” significa qualquer operação ou conjunto de operações realizadas em Dados Pessoais ou em conjuntos de Dados Pessoais, tais como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou disponibilização de outra forma, alinhamento ou combinação, restrição, exclusão ou destruição.
2.4. “Regulamentação Aplicável de Proteção de Dados” significa a legislação de proteção de dados aplicável no território nacional, ou seja, a Lei Geral de Proteção de Dados (LGPD) - Lei nº 13.709/2018.
2.5. “Dados Pessoais” refere-se a qualquer informação relacionada a uma pessoa natural identificada ou identificável (“Titular dos Dados”). Uma pessoa natural identificável é aquela cuja identidade pode ser diretamente ou indiretamente identificada.
2.6. “Dados Sensíveis” significa
2.7. “Pseudonimização” significa o tratamento de Dados Pessoais de tal maneira que os Dados Pessoais não possam mais ser atribuídos a um Titular de Dados específico sem o uso de informações adicionais, desde que tais informações adicionais sejam mantidas separadamente e estejam sujeitas a medidas técnicas e organizacionais para garantir que os Dados Pessoais não sejam atribuídos e/ou atribuíveis a uma pessoa natural identificada ou identificável.
2.8. “Anonimização” significa a técnica que modifica ou remove informações que possam identificar uma pessoa, tornando-as ilegíveis ou invisíveis. O objetivo é reduzir a probabilidade de associar os dados a um indivíduo específico, de forma direta ou indireta.
2.9. “Dados anonimizados” são dados pessoais dos titulares que foram processados ou manipulados de tal forma que não podem mais ser associadas a um indivíduo específico, nem podem ser revertidas para identificar essa pessoa.
2.10. “Transferências Internacionais” referem-se a qualquer transmissão de Dados Pessoais realizada além do Território nacional do Controlador de Dados.
2.11. "Suboperador de Dados" significa uma pessoa natural ou jurídica, autoridade pública, agência ou outro órgão que concorda em processar Dados Pessoais de acordo com as instruções do Operador de Dados, termos das cláusulas do modelo e termos do subcontrato por escrito.
2.12. "Território" refere-se ao escopo jurisdicional do Controlador de Dados neste processamento.

3. Vigência
3.1. A Política de Privacidade entrará em vigor no momento em que tiver início a relação contratual do CLIENTE com a GCOM e permanecerá válida por tempo indeterminado, enquanto o controle de acesso ao aplicativo da GCOM for necessário. Caso não seja mais necessário o uso do aplicativo, o usuário pode solicitar a exclusão dos seus dados pessoais.

4. Obrigações do Operador de Dados
4.1. O Operador de Dados deverá, a todo momento, cumprir as instruções razoáveis e documentadas do Controlador de Dados e garantir a aplicação de medidas técnicas e organizacionais. Especificamente, o Operador de Dados concorda em cumprir as seguintes obrigações:
4.1.1. Sem prejuízo do cumprimento das obrigações previstas na presente Política, o Operador de Dados deverá cumprir os regulamentos de proteção de dados que lhe sejam aplicáveis.
4.1.2. O Operador de Dados deverá processar os Dados Pessoais apenas com base em instruções documentadas do Controlador de Dados e não os processará para outros fins, sem a prévia e expressa ciência do Controlador de Dados.
4.1.3. Mediante solicitação prévia, o Operador de Dados deverá fornecer ao Controlador de Dados o seu registro de atividades de processamento, bem como as informações necessárias para que o Controlador de Dados prepare o seu próprio registro de tratamento de Dados. Esse registro deve documentar todas as categorias de atividades de tratamento realizadas em nome do Controlador de Dados no âmbito deste Acordo, incluindo:
i. O nome e os detalhes de contato do Operador de Dados, conforme o caso, bem como os seus representantes ou Data Protection Officers (“DPO”);
ii. As categorias de tratamento de Dados Pessoais realizadas;
iii. No caso de transferências de Dados Pessoais para países terceiros, uma lista desses países e, quando exigido pela Regulamentação Aplicável de Proteção de Dados, a documentação relativa às salvaguardas adequadas para tal transferência;
iv. Uma descrição geral das medidas técnicas e organizacionais de segurança em relação aos Dados Pessoais;
4.2. O Operador de Dados deverá auxiliar o Controlador de Dados no cumprimento das obrigações do Controlador de Dados em resposta a pedidos para exercer os direitos do Titular dos Dados de acordo com a Regulamentação Aplicável de Proteção de Dados. No caso em que os Titulares dos Dados exerçam os direitos anteriormente indicados perante o Operador de Dados, este deverá comunicar imediatamente essa situação ao Controlador de Dados, logo após o recebimento do pedido, juntamente com qualquer outra informação necessária e pertinente ao atendimento da solicitação.
4.3. O Operador de Dados deverá auxiliar o Controlador de Dados na realização das avaliações de impacto de proteção de dados, de acordo com as Regulamentações Aplicáveis de Proteção de Dados.
4.4. O Operador de Dados deverá auxiliar o Controlador de Dados em relação às notificações e comunicações de segurança de Dados Pessoais de acordo com as Regulamentações Aplicáveis de Proteção de Dados à autoridade competente e aos Titulares dos Dados.
4.5. Ao final do Contrato e a critério do Controlador de Dados, o Operador de Dados, com a ciência do Controlador de Dados, deverá apagar os Dados Pessoais dos usuários de todos os suportes onde eles possam estar localizados, nos termos da LGPD.
4.6. O Operador de Dados deverá atender a qualquer solicitação de exclusão de dados pessoais feita pelo Controlador de Dados em até 48 (quarenta e oito) horas contadas a partir da solicitação.
4.7. Adicionalmente, o Operador de Dados deverá fornecer, se assim solicitado pelo Controlador de Dados, um certificado de conformidade assinado por representantes autorizados do Operador de Dados, contendo:
4.7.1. O Operador de Dados deverá garantir que seu pessoal esteja ciente das medidas de segurança utilizadas, como aplicá-las e como responder a incidentes relacionados a violações de segurança.
4.7.2. O Operador de Dados garantirá que as pessoas autorizadas a tratar Dados Pessoais dentro de sua organização, concordaram em cumprir as obrigações de confidencialidade e as medidas de segurança correspondentes. As obrigações de confidencialidade permanecerão em vigor após o término do Contrato firmado com a GCOM.

5. Medidas de segurança técnicas e organizacionais
5.1. O Operador de Dados adotará as medidas técnicas e organizacionais necessárias de acordo com a Análise de Risco realizada no âmbito de suas operações. Ao avaliar o nível apropriado de segurança, o Operador de Dados concorda em levar em consideração especificamente os riscos apresentados pelo tratamento, em particular, devido à destruição, perda e modificação acidental ou ilegal, bem como à comunicação não autorizada ou ao acesso a Dados Pessoais que são transmitidos, armazenados ou estão sujeitos a qualquer outro tipo de tratamento.
5.2. Em todos os casos, o Operador de Dados implementará as medidas de segurança necessárias a proteção dos dados pessoais dos usuários.

6. Subcontratação
6.1. No caso de subcontratação, o subcontratado também será considerado um Operador de Dados nos mesmos termos que o Operador de Dados está no escopo da presente Política de Privacidade com relação aos dados pessoais dos usuários. Para esse fim, o Operador de Dados concorda em assinar com o Suboperador um acordo de confidencialidade e uma Acordo de Tratamento de Dados Pessoais, por meio do qual o subcontratado concordará em cumprir as obrigações desta Política de Privacidade. Além disso, tanto o Operador de Dados quanto o Suboperador concordam em seguir as instruções do Controlador de Dados em relação ao tratamento de Dados Pessoais. Em todos os casos, as mesmas obrigações de proteção de dados impostas ao Operador de Dados serão impostas aos Suboperadores.
6.2. Em todos os casos, o Operador de Dados e o Suboperador serão solidariamente responsáveis perante o Controlador de Dados pelas ações e omissões do Suboperador.

7. Transferências Internacionais
7.1. O Operador de Dados realizará as atividades de tratamento de Dados Pessoais em países com um nível adequado de proteção, de acordo com as Regulamentações Aplicáveis de Proteção de Dados.
7.2. Será necessária a autorização prévia por escrito do Controlador de Dados no caso de o Operador de Dados pretender tratar os Dados Pessoais em um terceiro país que não cumpra o requisito anterior.

8. Violação de Segurança de Dados Pessoais
8.1. Em caso de incidente que possa envolver uma violação de segurança dos Dados Pessoais, o Operador de Dados notificará imediatamente essa violação ao Controlador de Dados e, em qualquer caso, no prazo máximo de 24 (vinte e quatro) horas, contadas a partir do momento em que tiver qualquer evidência do incidente.
8.2. O Operador de Dados concorda em cumprir as Regulamentações Aplicáveis de Proteção de Dados relativas às violações de segurança dos Dados Pessoais.
8.3. O Operador de Dados implementará e manterá um processo documentado de gerenciamento de incidentes de segurança que incluirá, no mínimo, a identificação, data de detecção, classificação, priorização, escalonamento, pesquisa e diagnóstico, resolução e recuperação, e encerramento.
8.4. O Operador de Dados cooperará com o Controlador de Dados em qualquer investigação e gerenciamento realizado em relação a qualquer violação de segurança, incluindo, sem limitação: apoiar qualquer investigação, facilitar entrevistas com o pessoal do Operador de Dados e outras pessoas envolvidas ou com informações sobre o incidente, disponibilizar todos os registros, logs, arquivos, relatórios de dados e outros materiais relacionados à violação de segurança de dados.
8.5. O Operador de Dados garantirá que um de seus contatos de segurança esteja disponível para ajudar e prestar suporte ao Controlador de Dados em relação a qualquer violação de segurança de Dados Pessoais.
8.6. Assim que tiver conhecimento do incidente, o Operador e o Controlador de Dados tomarão as medidas necessárias para remediar a violação de segurança dos Dados Pessoais, incluindo, se apropriado, medidas para mitigar quaisquer efeitos negativos.
8.7. Sem prejuízo do exposto, o Operador executará, o mais rápido possível, qualquer instrução que o Controlador possa dar em relação a uma violação de segurança que lhe seja notificada.

9. Responsabilidades
9.1. O Operador de Dados será responsável pelos danos causados pelo tratamento de Dados Pessoais quando as ações possam levar a:
9.1.1. sanções ou multas que sejam atribuíveis a uma violação das obrigações do Operador de Dados estabelecidas neste Acordo, às instruções legítimas fornecidas pelo Controlador de Dados e/ou ao não cumprimento das obrigações das Regulamentações Aplicáveis de Proteção de Dados especificamente direcionadas ao Operador de Dados;
9.1.2. reivindicações de terceiros por danos decorrentes do acima mencionado.
9.1.3. O Operador de Dados deverá compensar o Controlador de Dados pelos os custos decorrentes de danos relativos aos dados pessoais tratados, incluindo despesas legais e extrajudiciais e custos incorridos na defesa do Controlador de Dados.
9.1.4. O Controlador de Dados poderá repassar diretamente ao Operador de Dados ou ao Suboperador quaisquer multas econômicas que lhe sejam impostas por qualquer autoridade competente de proteção de dados.

10. Direitos dos Titulares dos Dados Pessoais
10.1. Os titulares de dados têm o direito de solicitar a exclusão dos dados pessoais coletados do seu aparelho. Para isso, o usuário deve entrar em contato com a GCOM por meio dos seus canais de atendimento disponíveis.
10.2. O sistema da GCOM não é destinado para crianças. O uso é exclusivo para clientes da GCOM, devidamente identificados em Contratos.
10.3. O sistema da GCOM não coleta dados sensíveis dos usuários, como informações de saúde, orientação sexual ou crenças religiosas.

11. Direito Material Aplicável, Atualizações e Foro de Eleição
11.1. A presente Política será regida e interpretada de acordo com as leis do Brasil.
11.2. A presente Política de Privacidade pode ser atualizada periodicamente. As alterações serão publicadas em nosso site oficial, onde estarão disponíveis para consulta a qualquer momento.
11.3. As Partes elegem o Foro da Comarca de São Paulo - SP com exclusão de qualquer outro, por mais especial que seja, para processar e julgar qualquer ação ou dirimir questões decorrentes ou relacionadas à presente Política de Privacidade.

São Paulo/SP, 19 de novembro de 2024.