RSVP 1 — Zello

Políticas de Privacidade

1. OBJETIVO

A Política de Privacidade da ZELLO tem como objetivo demonstrar o compromisso da empresa com relação a transparência com que trata os Dados Pessoais dos Titulares, assim, como expressar seu comprometimento com a segurança nos serviços fornecidos relacionados ao tratamento de dados dos Clientes e fornecedores.

Portanto, este documento abrange as informações sobre o tratamento de dados realizado por toda a instituição.

Esta Política é parte do Programa de Governança em Privacidade de Dados da Zello, composto também por outros documentos, diretrizes, normas e procedimentos.

2. ABRANGÊNCIA

Esta Política se aplica a todas as áreas da Zello incluindo terceiros que, de qualquer forma, tratem Dados Pessoais em nome ou a pedido desta, e reflete a governança aplicada aos temas de proteção de Dados Pessoais. A observância desta Política é obrigatória e reflete a legislação e regulamentação aplicáveis relacionadas à Lei Geral de Proteção de Dados Pessoais - LGPD.

3. REFERÊNCIAS

- Lei 13.709/2018 - Lei Geral de Proteção de Dados Pessoais.

- Lei 12.965/2014 - Marco Civil da Internet.

4. DEFINIÇÕES

ANPD - Autoridade Nacional de Proteção de Dados: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD).

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de Dados Pessoais. O Controlador é quem determina a finalidade e os meios de execução da atividade.

Dados Pessoais: toda informação relacionada a uma pessoa natural identificada ou identificável.

Dados Pessoais Sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

DPA - Data Processing Agreement (Termo de Tratamento de Dados): documento que visa regulamentar toda a relação contratual entre agentes de tratamento, quando o contrato principal envolver o tratamento dos Dados Pessoais. Este documento definirá os limites, meios, finalidades e todas as obrigações que os agentes de tratamento terão que cumprir.

DPIA – Data Protection Impact Assessment (Relatório de Impacto): documentação que contém a descrição dos processos de tratamento de Dados Pessoais: (i) enquadrados em legítimo interesse; e (ii) que podem gerar riscos às liberdades civis e aos direitos fundamentais, além de conter as medidas, as salvaguardas e os mecanismos de mitigação de risco.

DPO – Data Protection Officer (ou “Encarregado de Dados”): representante da Zello indicado para atuar como responsável pelo canal de comunicação entre a Zello, os Titulares de Dados Pessoais e a ANPD.

Fornecedor(es) ou Prestador(es) de serviço: São pessoas jurídicas ou físicas que fornecem mercadorias ou serviços a Zello num determinado prazo acordado entre as partes.

GDPR – General Data Protection Regulation: Lei da comunidade europeia que determina como deverão ser tratados os Dados Pessoais de indivíduos localizados nos países da União Europeia.

LGPD – Lei Geral de Proteção de Dados: Lei brasileira que regula todo o tratamento de Dados Pessoais realizado no território brasileiro ou que tenha por objetivo fornecer bens ou serviços para indivíduos localizados no território nacional ou ainda que os Dados objeto do tratamento tenham sido coletados no território brasileiro independentemente de onde estejam localizados os Dados.

Marco Civil da Internet - lei que visa orientar os direitos e deveres dos usuários, provedores de serviços e conteúdos e demais envolvidos com o uso da Internet no Brasil.

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de Dados Pessoais em nome do Controlador.

Parceiro: Empresas com quem a Zello possui relações contratuais com intuito de desenvolver atividades comerciais.

Privacy by Default (Privacidade como padrão): conceito que decorre do privacy by design. Estabelece-se que um produto ou serviço, ao ser lançado no mercado, devem possuir todas configurações de privacidade restritas determinada em seu desenvolvimento e apenas o usuário pode liberar ou desativar o acesso caso seja necessário.

Privacy by Design (Privacidade como Premissa): premissa para desenvolvimento de serviços ou produtos, e softwares, que exige a aplicação de boas práticas relativas à privacidade desde sua concepção. Dessa forma, qualquer nova atividade de tratamento deve atender aos princípios, regras e padrões fornecidos e determinados pela legislação competente durante todo o seu ciclo de vida.

ROPA - Records of Processing Activities (Registro de Operações de Tratamento): registro de atividades para o mapeamento do processamento de Dados Pessoais.

Terceiros: Profissionais contratados para executar determinadas atividades em um período pré- estabelecido.

Titulares: são as pessoas físicas a quem os Dados Pessoais se referem.

Colaboradores: Denominação para se referir aos seus diretores, empregados e estagiários.

5. DIRETRIZES

5.1. Lei Geral de Proteção de Dados Pessoais na Zello

Em consonância com a LGPD, é prioridade da Zello é proteger, preservar e respeitar a privacidade e os direitos dos Titulares de Dados Pessoais.

Adotamos as melhores práticas empresariais e condutas éticas, visando a manutenção e evolução do grau de conformidade dos processos relativos à proteção de Dados Pessoais para atender às necessidades dos clientes, parceiros, fornecedores e colaboradores da Zello.

Como empresa especializada em desenvolvimento de software como serviço, a Zello posiciona-se como parceiro dos clientes em seus processos de adequação à LGPD, implantando metodologias como Privacy by Design e Privacy by Default na prestação de seus serviços.

A Zello aplica durante o desenvolvimento de software como serviço oferecido a seus clientes, recursos que visam auxiliá-los na manutenção e evolução de sua conformidade aos requisitos legais e de acordo com as melhores práticas de gestão e processos relativos à proteção de Dados Pessoais. Ressaltamos que a utilização dos recursos para a proteção de dados pessoais, disponibilizados pela Zello em seus serviços, será uma decisão por parte do cliente, a seu exclusivo critério e integral responsabilidade. O cliente pode decidir, dentro da legislação aplicável, pela melhor forma de tratar os Dados Pessoais de seus usuários, clientes e fornecedores.

A depender da atividade de tratamento realizada, a Zello poderá se enquadrar como Controlador ou Operador de Dados Pessoais:

Como Controlador, a Zello adota medidas técnica de segurança e privacidade para preservar a disponibilidade, a integridade e confidencialidade dos Dados Pessoais que tratam. Para tanto, a Zello mantém um plano de comunicação e conscientização em Proteção de Dados Pessoais e à Privacidade (PD&P) e, no qual todos os colaboradores, sem exceção, devem participar.
Como Operador, a Zello deve cumprir todas as diretrizes contratuais definidas pelos Controladores (seus clientes), a fim de realizar o tratamento de Dados Pessoais, por meio de boas práticas de segurança. Além disso, na Zello são adotadas cláusulas de proteção de Dados Pessoais (por meio dos DPAs) em todos os contratos em que desempenhamos o papel de Operadora, definindo claramente as responsabilidades da Zello. Os DPAs determinam quais atividades de tratamento a Zello realizará em nome do Controlador.

5.2. Coleta e Utilização dos Dados Pessoais

Enquanto Controlador, a Zello coleta os Dados Pessoais de colaboradores e fornecedores das seguintes maneiras:

Informados pelo próprio Titular do Dado Pessoal;
Coletados através de terceiros ou parceiros; e
Coletados por meio de plataformas e sistemas do governo federal.

Os Dados Pessoais podem ser tratados pela Zello para as seguintes finalidades:

Atendimento às solicitações dos titulares;
Funcionamento e gerenciamento dos sites;
Cumprimento de direitos e obrigações relacionados ao seu quadro de empregados;
Comunicação e atividades do endomarketing;
Prestação de serviços por parte de seus operadores;

Enquanto Operador, a Zello utiliza os Dados Pessoais conforme a determinação do Controlador (cliente).

A ZELLO realiza o tratamento de Dados Pessoais necessários à operacionalização dos serviços previstos em Contrato, observando a sua atuação enquanto Operadora, especialmente nas seguintes situações:

Prestação dos serviços: com a finalidade de desenvolvimento de software tendo acesso aos ambientes de desenvolvimento, testes e homologação do cliente sendo executado com a descaracterização das informações sensíveis e pessoais (anonimização). Não há tratamento de dados pessoais no ambiente da Zello.
Comunicação e relacionamento: Dados Pessoais de funcionários e de ex-funcionários dos clientes da ZELLO para prestação dos serviços como atendimento as solicitações, emissão de ordens de serviço, notas fiscais, geração de contas de acesso aos ambientes do cliente, registro e controle de acesso e demais atividades relacionadas ao contrato que podem envolver dados pessoais.
Registro de acesso: Dados Pessoais de funcionários e de ex-funcionários dos clientes da ZELLO;
Controle de acesso: Dados Pessoais de funcionários e de ex-funcionários dos clientes da ZELLO;
Análises de dados estatísticos com a finalidade de estudos para melhorar a performance de seus serviços, com a descaracterização das informações sensíveis e pessoais (anonimização).
Ressalte-se que a ZELLO, enquanto Operadora, é agnóstica quanto aos Dados hospedados no ambiente do cliente, ou seja, a ZELLO não tem conhecimento sobre o conteúdo das informações de propriedade do Cliente hospedadas em Cloud ou On-premise. Em razão disso, a ZELLO não considera o tipo e/ou categoria das informações constantes no Banco de Dados hospedado no ambiente do cliente, mas atua sob a premissa de que, dentre as informações, existem Dados Pessoais (sejam sensíveis ou não) na infraestrutura do Cliente, classificando-os como confidenciais.

5.3. Compartilhamento dos Dados Pessoais

A Zello trata com responsabilidade os Dados Pessoais dos seus clientes e dos seus colaboradores. Os Dados Pessoais dos colaboradores podem ser compartilhados para:

Atender as obrigações legais vigentes e defesa de direitos dos titulares;
Atender obrigações contratuais com os próprios colaboradores;
Atender os benefícios fornecidos para os colaboradores.

Em relação aos clientes, a Zello pode compartilhar os Dados Pessoais: (i) para atender às solicitações feitas pelo próprio cliente; e (ii) para atender as obrigações legais decorrentes da relação comercial. A Zello também pode, quando autorizado e sob condição da conformidade com a LGPD, compartilhar tais Dados Pessoais com os seguintes terceiros:

● Prestadores de serviços caracterizados como operadores;

● Autoridades governamentais.

Quando o compartilhamento é necessário, a Zello adota as medidas adequadas para que as informações compartilhadas sejam tratadas apenas para as finalidades específicas e a luz da LGPD – Lei Geral de Proteção de Dados Pessoais.

5.4. Proteção dos Dados Pessoais

A Zello implementa medidas rígidas para garantir a integridade e segurança dos Dados Pessoais dos Titulares adotando uma política de controle de acesso restrito aos Dados Pessoais. Dessa forma, somente pessoas autorizadas conseguem acessá-los. A autorização de acesso é concedida para que as áreas responsáveis possam atender à necessidade de suas atividades e para possíveis tratativas de suporte. A Zello implementa procedimentos para garantir que as áreas internas e os Operadores da Zello realizem o tratamento dos Dados Pessoais de acordo com as diretrizes de privacidade determinadas pela Zello.

Além disso, a Zello investe em um plano de comunicação e conscientização para os colaboradores. O plano tem o objetivo de apresentar boas práticas que devem ser adotadas no tratamento dos Dados Pessoais.

5.5. Retenção dos Dados Pessoais

Os Dados Pessoais que são necessários para o atendimento do Marco Civil da Internet, são armazenados em ambiente seguro e controlado pelo prazo mínimo de 6 (seis) meses, podendo ser períodos diferentes de acordo com a modalidade de contratos com os clientes.

Os Dados Pessoais de funcionários e de ex-funcionários dos clientes, de colaboradores e titulares vinculados aos seus operadores podem ser armazenados em servidores próprios ou de terceiros contratados para este fim, sejam eles localizados no Brasil ou no exterior, de acordo com a legislação aplicável, podendo ainda ser armazenados por meios de tecnologia de cloud computing e/ou outras tecnologias que surjam futuramente, visando sempre a melhoria e aperfeiçoamento de nossos serviços.

A Zello pode realizar o tratamento dos Dados Pessoais, pelo período em que considerar necessário, quando deve efetuar o cumprimento das finalidades pré-determinadas no momento da coleta, ou enquanto o cadastro do Titular permanecer ativo em nossos ambientes.

Após o término do relacionamento do cliente com a Zello, em alguns casos, pode ser necessário manter o armazenamento de Dados Pessoais por um determinado período, para atender alguma obrigação legal ou ações judiciais.

Com relação ao tratamento de dados realizado com base em consentimento do Titular, a Zello finaliza o tratamento dos Dados Pessoais, caso o titular se oponha ou revogue o consentimento, quando aplicável. Em caso de dúvidas sobre o período exato durante ao qual a Zello tratará os Dados Pessoais após o término contratual, é possível entrar em contato com o nosso canal de atendimento ao direito do Titular: https://www.zello.tec.br/privacidade/ e obter a informação correta.

5.6. Direitos do Titular

O Titular dos Dados Pessoais possui direitos e garantias em relação aos seus Dados Pessoais. Na Zello, disponibilizamos mecanismos detalhados abaixo, para que o Titular tenha clareza e transparência no exercício de seus direitos. Sempre que necessário, o Titular pode entrar em contato solicitando informações a respeito dos seus direitos. Para atender esta demanda, a Zello disponibiliza um canal centralizado (https://www.Zello.tec.br/privacidade/), através do qual o Titular pode entrar em contato para exercer os seguintes direitos:

Confirmação da existência de tratamento: A Zello trata os Dados Pessoais dos seus clientes, colaboradores, visitantes, fornecedores, parceiros, entre outros, mantendo esses Dados armazenados em ambientes de forma segura e controlada. O Titular pode solicitar a confirmação de tratamento em seus Dados Pessoais;
Acesso aos Dados: A qualquer momento, o Titular pode solicitar a Zello que informe quais Dados Pessoais estão sendo tratados;
Correção de Dados Pessoais incompletos, inexatos ou desatualizados: Caso o Titular dos dados verifique que possui informações incompletas, inexatas ou desatualizadas, poderá entrar em contato, solicitando a correção ou o complemento dos Dados Pessoais faltantes ou inexatos;
Anonimização, bloqueio ou eliminação de Dados Pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD: O Titular do dado pode solicitar anonimização, bloqueio ou eliminação dos Dados Pessoais que a Zello esteja tratando quando desprovido de base legal justificadora do tratamento. No entanto, caso a Zello possua justificativa legal ou regulatória para manutenção dos dados, eles serão retidos pelo prazo necessário para o exercício da obrigação legal ou para o direito de defesa em processo judicial, administrativo ou arbitral, ou ainda, em determinadas situações, no legítimo interesse da Zello (como, por exemplo, para evitar infrações e fraudes);
Portabilidade dos Dados Pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa pelo Titular: O Titular do dado poderá solicitar a Zello a portabilidade dos seus Dados Pessoais a outro prestador de serviços ou produto. A solicitação do Titular será atendida no menor prazo possível;
Obtenção de informações sobre as entidades públicas ou privadas com as quais a Zello compartilha os Dados Pessoais do Titular: O Titular pode entrar em contato com a Zello por meio do canal de atendimento aos direitos do Titular (https://www.Zello.tec.br/privacidade/) para informar-se sobre com quem houve o compartilhamento de seus Dados Pessoais;
Informação sobre a possibilidade do Titular não fornecer o consentimento para o tratamento de Dados Pessoais, bem como de ser informado sobre as consequências em caso de negativa: Caso o Titular não queira fornecer seu consentimento para o tratamento específico que a Zello necessite realizar, será esclarecido ao mesmo se é possível prestar os serviços ou fornecer o software de seu interesse sem o tratamento de seus Dados Pessoais, informando ainda as consequências de seu não consentimento;
Revogação do consentimento: quando o tratamento dos Dados Pessoais se basear no consentimento do Titular, o Titular pode revogar o seu consentimento e a eliminação dos seus Dados Pessoais a qualquer momento. A revogação do consentimento poderá implicar na impossibilidade de o Titular utilizar os serviços prestados pela Zello. A interrupção do tratamento dos Dados Pessoais não será efetivada quando, os Dados forem: (i) anonimizados; ou (ii) necessários a Zello e/ou a terceiros envolvidos na prestação dos serviços para fins de defesa judicial, arbitral ou administrativa, bem como para cumprimento de obrigações legais e regulatórias

A Zello, atuando como Operador, não é responsável pelas definições do tratamento dos dados pessoais. Esta atividade é de responsabilidade do cliente (Controlador), por estabelecimento em contrato, assegurando que todas as instruções direcionadas a Zello respeitem a Legislação de Proteção de Dados Pessoais e a privacidade dos titulares.

A Zello compromete-se a atender todas as requisições dos Titulares no menor tempo possível, estando de acordo também com os prazos estipulados pela ANPD.

5.7. Transferência Internacional

Somente há utilização de softwares e serviços de hospedagem localizados em nuvens públicas. Estas nuvens públicas podem conter servidores localizados em outros países e somente são armazenados dados pessoais de colaboradores.

A Zello atende a todos os requisitos legais vigentes, escolhendo servidores que estejam localizados em países com o mesmo nível de proteção de dados pessoais e garantia da privacidade que a LGPD.

Caso a prestação de serviço implique compartilhamento internacional dos Dados Pessoais, a Zello deverá executar as suas atividades conforme orientação do Cliente que é o Controlador dos dados enquanto a Zello é a operadora. Neste caso deve ser estabelecido cláusulas contratuais específicas detalhando qual a finalidade de realizar esta transferência e as medidas técnicas de segurança que devem ser adotadas.

5.8. Parceiros

A Zello desenvolve parcerias com empresas a fim de utilizar tecnologias e processos para ampliar sua gama de serviços. Estes parceiros também devem se submeter rigorosamente a todas as diretrizes de segurança contratuais e estabelecidas nesta Política, assegurando que todos os Dados Pessoais de clientes ou de colaboradores sejam tratados como confidenciais.

5.9. Dúvidas

Questionamentos relacionados à Política de Privacidade da Zello ou quaisquer outras dúvidas relacionadas ao tema de segurança e proteção dos Dados Pessoais, devem ser enviadas por meio dos canais de atendimento (https://www.zello.tec.br/privacidade/) ou através do e-mail de contato com o DPO (dpo@zello.tec.br).

6. RESPONSABILIDADES

Diretoria de Administração:

Aprovar a Política de Privacidade da Zello.

Comitê de Governança em Proteção de Dados Pessoais e Privacidade:

Avaliar a presente Política e suas revisões, e apresentar as recomendações a Diretoria de Administração da Zello quanto à sua aprovação.

Encarregado (DPO)

Encarrega-se pela gestão das atividades de Proteção de Dados na Zello;
Receber reclamações e comunicações dos Titulares, solicitações de esclarecimento e adotar medidas corretivas/preventivas;
Receber e tomar as devidas providências com relação às comunicações para a ANPD;
Orientar os colaboradores da Zello a respeito das práticas a serem adotadas em relação à proteção de Dados Pessoais e privacidade;
Responder às consultas das áreas internas da Zello, quanto às dúvidas referentes ao Tratamento e Proteção de Dados Pessoais.
Executar as atribuições determinadas pela Zello ou estabelecidas em normas complementares de Proteção de Dados.

Jurídico

Orientar as áreas internas da Zello, toda vez que for acionado, quanto às dúvidas jurídicas referentes ao Tratamento e Proteção de Dados Pessoais, nos termos da legislação aplicável;
Auxiliar, quando demandado, no entendimento dos processos internos para o atendimento da legislação aplicável quanto ao Tratamento e proteção de Dados Pessoais;
Análise e elaboração de documentos encaminhados ao Jurídico, a fim de garantir que os requisitos e normas da legislação de proteção de Dados Pessoais aplicável esteja endereçada de forma apropriada.

Segurança da Informação

Manter atualizado o plano de respostas a incidentes de Segurança da Informação, devendo, no caso de envolver Dados Pessoais, submeter à aprovação do Encarregado de Proteção de Dados (DPO) da Zello;
Definir controles de Segurança da Informação visando garantir a privacidade dos Dados Pessoais;
Propor medidas para proteção de Dados Pessoais;
Realizar a avaliação de impactos em processos, ações, produtos e serviços com Dados Pessoais;
Garantir o Registro de Atividades de Tratamento que estejam sob responsabilidade da Zello;
Apoiar o controlador na elaboração do Relatório de Impacto à Proteção de Dados Pessoais, quando necessário;
Comunicar eventual incidente de segurança ao Encarregado de Proteção de Dados (DPO) da Zello, quando necessário.

Colaboradores

Cumprir as diretrizes e regras desta Política;
Acionar as áreas competentes no caso de quaisquer dúvidas relacionadas a esta Política;
Realizar os treinamentos obrigatórios sobre Proteção de Dados Pessoais disponibilizados pela Zello.

7. GESTÃO DE CONSEQUÊNCIAS

Em caso de descumprimento desta Política serão adotadas medidas de gestão de consequências trabalhistas, cíveis, criminais e administrativas eventualmente aplicáveis aos responsáveis pelas ilicitudes, incluindo a possibilidade de demissão por justa causa e rescisão contratual por justo motivo nos casos de Terceiros.