Política de Proteção de Dados

1 Objetivo

Esta Política tem como objetivo estabelecer os requisitos fundamentais, em matéria de segurança e condutas internas, para o tratamento de informações pessoais por parte da empresa Netra e, construir, com base em nosso Sistema de Gestão da Segurança da Informação, um Sistema de Gestão de Proteção de Dados que permita o estabelecimento de uma relação de confiança com o titular, auxiliando-nos a atuar de forma transparente e assegurando mecanismos de participação do titular (Proteção de Dados Pessoais e a Privacidade dos titulares).

Esta Política de Proteção de Dados é uma declaração formal da Netra acerca de seu compromisso com a proteção dos dados sensíveis, incluindo dados pessoais, de sua propriedade e/ou sob sua guarda.

1.1 Aplicações

Esta Política aplica-se à Netra e deve ser cumprida por todos os seus colaboradores, fornecedores, clientes e parceiros.

2 Termos e Definições

Alta Direção: Órgão decisório máximo de uma dada organização. Para os fins desta política pode se referir também a órgãos inferiores imediatamente subordinados a este para os quais o órgão deliberativo máximo tenha delegado os poderes para a tomada de determinadas decisões.
Agência Nacional de Proteção de Dados (“ANPD”): Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados em todo o território nacional.
Colaboradores: Categoria que engloba todos os trabalhadores, prestadores de serviço e representantes, atuais, antigos e potenciais futuros (candidatos) de um dado ente.
Controlador: Aquele que define a finalidade e o meio de tratamento.
Dados Pessoais: Todo e qualquer dado ou informação que possa ser associado direta ou indiretamente a uma pessoa física (humana).
Decisões automatizadas: Decisões tomadas por sistemas de inteligência artificial.
Desequilíbrio de Poderes: Situação fática na qual uma das partes de uma dada relação possui parte de sua liberdade tolhida em decorrência, em regra, de uma relação de subordinação e/ou dependência para com a outra.
Encarregado pela Proteção de Dados/Data Protection Officer (DPO): Responsável por dirigir o Comitê de Proteção de Dados em suas atividades e por servir de intermediário entre as partes interessadas e a Netra.
Entes Reguladores: Pessoas jurídicas e órgãos que possuem como função precípua a fiscalização de uma dada atividade econômica.
Importar Dados: Salvar, copiar, compartilhar, transferir ou, de qualquer modo, inserir em dispositivo, computador, nuvem, ou qualquer outro meio, dados da aplicação.
Incidente de Segurança: Evento confirmado ou sob suspeita relacionado a segurança, que impacte a confidencialidade, integridade, a disponibilidade e a privacidade da informação.
Informação: É o significado extraído de determinado dado quando inserido em um dado contexto.
Operador: Sujeito que trata dados pessoais em nome e por conta dos controladores.
Parceiros Econômicos/Parceiros: Sujeito, pessoa física ou jurídica, com quem uma dada organização tem ou planeja estabelecer negócios, incluindo, mas não se limitando a fornecedores, operadores e representantes contratados;
Relatório de Impacto à Proteção de Dados Pessoais (“RIPD”): Documento a ser confeccionado para operações de tratamento que impliquem em alto risco aos direitos e liberdades dos titulares, visando uma reflexão mais aprofundada sobre as mesmas e um tratamento mais efetivo de seus riscos.
Responsável pelo Tratamento: Sujeito responsável pela operação de tratamento a ser realizada.
Segurança da Informação: Matéria que versa a respeito do conjunto de medidas técnicas, organizacionais e físicas utilizadas para a manutenção da confiabilidade (confidencialidade, integridade, disponibilidade e privacidade) da informação.
Transferência Internacional de Dados Pessoais: Operação na qual se transfere dados pessoais para fora do território nacional, independente do meio em que ocorra.
Tratamento: Qualquer operação feita com dados pessoais.
Titular: Pessoa física a quem os dados pessoais se referem.
Violação de Dados Pessoais: Incidente de segurança que envolva dados pessoais.

3 Dos Princípios Seguidos pela Netra

A Netra realiza o tratamento de dados pessoais em conformidade com os seguintes princípios internos:

Eficiência e necessidade, visando tratar o mínimo de dados pessoais possível para a obtenção dos melhores resultados.
Segurança, implementando medidas físicas, técnicas e organizacionais para garantir a confiabilidade (integridade, confidencialidade e disponibilidade) e a privacidade dos dados pessoais dos titulares.
Legalidade, apenas tratando dados pessoais obedecendo os limites e princípios legais, acobertados por uma base legítima de tratamento, com propósitos específicos e respeitando a boa-fé.
Transparência e confiança, garantindo, ao máximo, que o titular se encontre informado das operações de tratamento praticadas com os seus dados pessoais.

4 Do Tratamento de Dados pela Netra

A Netra entende o valor e a importância dos dados pessoais e da privacidade dos titulares, tratando esses dados de forma legítima, com finalidade expressa, transparente e sempre adotando medidas de segurança adequadas para resguardar os titulares.

4.1 Requisitos Mínimos para o Tratamento de Dados:

Toda operação de tratamento de dados a ser realizado pela Netra deve, no mínimo, atender os seguintes requisitos:

Possuir uma finalidade expressa, legítima e não-discriminatória;
Ser necessária e adequada, isto é, não ser possível alcançar o resultado almejado com uma postura menos invasiva da privacidade;
Se fundamentar na Lei Geral de Proteção de Dados ou outra legislação aplicável;
Ser transparente, fornecendo ao titular informação adequada e prévia ao tratamento;
Encontrar-se resguardada por medidas de segurança adequadas ao potencial danoso dos dados a serem tratados.

4.2 Da Aprovação de novas Hipóteses de Tratamento:

Todas as novas hipóteses de tratamento de dados pessoais devem ser aprovadas de forma fundamentada pelo Comitê de Proteção de Dados, após a apresentação de parecer por sua Mesa Diretora.

Caberá ao Responsável pela nova operação de tratamento fazer uma análise prévia de sua exequibilidade e encaminhá-la a mesa diretora.

Considerar-se-á Responsável pelo Tratamento, para os fins deste item, o chefe, líder ou responsável pelo projeto no qual a nova operação de tratamento se insira ou, em sua ausência, o responsável pela Diretoria no escopo da qual se opere o tratamento.

Caberá ao Responsável pelo Tratamento a análise inicial quanto ao cumprimento dos requisitos previstos no ponto “4.1” deste capítulo.

Além do Cumprimento dos requisitos previstos no ponto “4.1”, caberá ao Responsável pelo tratamento analisar se:

Existe uma relação de proporcionalidade entre o grau de violação à privacidade decorrente do tratamento e a finalidade perseguida.
Existe uma relação de proporcionalidade entre o grau dos riscos aos titulares e à empresa, incluindo riscos remanescentes, e a finalidade perseguida.

A necessidade de execução de um RIPD.

Sendo necessária a execução de um RIPD, este poderá ser executado diretamente pelo Responsável, com o apoio de pelo menos um dos membros do comitê ou em conjunto com a Mesa Diretora.

O RIPD poderá substituir o parecer fundamentado da Mesa Diretora.

Caso o RIPD seja executado sem o apoio da Mesa Diretora, caberá a ela sua revisão de forma prévia ao seu encaminhamento para a análise do Comitê.

Todos os documentos produzidos ao longo do processo de aprovação de uma nova operação de tratamento deverão ser armazenados por prazo não inferior a dez anos, contados do encerramento das operações de tratamento de dados pessoais a qual se refiram.

4.3 Tratamento de Dados com Base no Consentimento:

Sempre que um dado pessoal for tratado com base no consentimento, a Netra adota medidas adequadas para garantir que ele seja livre, informado e inequívoco.

Para garantir que o consentimento seja dado livremente, a Netra adota medidas adequadas para evitar (ou mitigar) situações de desequilíbrio de poderes, condicionalidade equivocada, ausência de granularidade e detrimento em sua retirada.

Tratando-se de situação de desequilíbrio de poderes, a Netra toma todas as medidas necessárias para:

Assegurar a ausência de qualquer prejuízo pelo não oferecimento do consentimento, excetuadas as situações em que o tratamento dele dependente seja intrinsicamente necessário ao aferimento de um dado benefício;
Informar ao titular da inexistência de qualquer prejuízo pelo não oferecimento do consentimento, nos termos supracitados;
Permitir, ao Titular, que, sentindo-se coagido, denuncie a prática coativa, inclusive anonimamente;

A Netra apenas impõe o oferecimento do consentimento como condição para o acesso a um produto, um serviço ou um benefício, qualquer que seja a sua natureza, quando o tratamento para o qual este é dirigido se mostrar necessário para a adequada prestação do serviço, o acesso ao produto ou o aferimento do benefício.

Sempre que possível, a Netra permite ao Titular que ofereça seu consentimento apartado para cada finalidade de tratamento perseguida.

A Netra garante que a retirada do consentimento se opere sem qualquer detrimento ao Titular, exceto naquelas situações em que o tratamento dele seja intrinsicamente necessário ao aferimento ou manutenção de um dado benefício.

A Netra adota todas as medidas necessárias para assegurar que o titular foi adequadamente informado e dispõe de meios adequados para o saneamento de quaisquer dúvidas ora existentes.

Sempre que possível a Netra coletará o Consentimento do Titular de forma documentada e que permita a comprovação de sua autenticidade e não-repúdio.

A documentação comprobatória do consentimento deverá ser armazenada por prazo não inferior a dez anos, contados do encerramento das operações de tratamento de dados pessoais a qual se refiram.

4.4 Da Precisão e Qualidade dos Dados:

Todos os Colaboradores, no exercício de suas funções, deverão observar se os dados pessoais e documentos com que tenham contato encontram-se atualizados, íntegros, exatos e relevantes para as finalidades perseguidas pela Netra.

O Responsável pelo tratamento deverá tomar medidas adequadas para garantir que os dados pessoais se encontrem precisos e atualizados.

Os dados pessoais deverão ser revistos (para a verificação periódica da atualidade, integridade, exatidão e relevância dos dados nas respectivas áreas, em acordo com suas particularidades), podendo ser fixados prazos diversos entre dados de diferentes naturezas, de acordo com a necessidade em concreto, com periodicidade mínima anual.

Essa revisão, poderá ser feita diretamente pelo Titular, quando tecnicamente possível. Nessa hipótese, caberá ao Responsável pelo tratamento notificar o titular para que este proceda a atualização de seus dados;

Os procedimentos relativos à manutenção da precisão e da qualidade dos dados pessoais poderão ser automatizados;

4.5 Da Retenção e da Eliminação de Dados:

Os dados pessoais serão retidos pelo período indicado no Inventário de Dados Pessoais e, sendo o caso, no contrato porventura existente com o cliente.

Todos os Colaboradores, no exercício de suas funções, deverão observar se os dados pessoais e documentos com que tenham contato encontram-se em conformidade com as políticas e procedimentos da Netra.

O Responsável pelo tratamento deverá tomar medidas adequadas para garantir que os dados pessoais não sejam armazenados por tempo superior ao necessário e caso ocorra deverá adotar medidas adequadas para elimina-los.

Documentos físicos que contenham dados pessoais devem ser descartados por meio de trituração, incineração ou outro método que permita, com similar eficácia, torná-los indisponíveis para qualquer pessoa.

Os dados e documentos que se encontrem armazenados em formato digital deverão ser descartados de forma apta a torná-los indisponíveis para qualquer pessoa, por meio do uso de meios técnicos, no momento do descarte, que garantam a sobrescrição do arquivo ou outro método de similar eficácia.

Em caso de dúvidas a respeito de quais medidas devem ser adotadas em concreto, o Responsável pelo Tratamento poderá solicitar apoio do Comitê de Proteção de Dados, por intermédio do DPO.

Sempre que possível o titular será comunicado antes de se proceder a eliminação de seus dados para, querendo, exercer seu direito à portabilidade.

As operações de eliminação devem ser adequadamente documentadas e a documentação deverá ser armazenada por prazo não inferior a dez anos, contados da efetiva eliminação dos dados.

Os procedimentos relativos à retenção e eliminação dos dados pessoais poderão ser automatizados.

4.6 Inventário de Dados Pessoais:

A Netra manterá inventário de dados pessoais por meio do qual seja possível visualizar as operações de tratamento por si praticadas e as partes com quem compartilhe dados pessoais ou a quem os divulguem.

A Netra, por questões organizacionais, poderá adotar mais de um inventário, voltado para setores, projetos ou departamentos específicos.

A data de criação de cada inventário deve ser registrada no próprio documento, pelo responsável pelo tratamento, e detalhada no campo “Histórico de Revisões”, disponível na Lista de Inventários.

Ocorrendo a necessidade de revisão do inventário, seja para inclusão, retificação e/ou exclusão de qualquer dado, a data de atualização deve ser registrada no próprio documento, pelo responsável pelo tratamento, e detalhada no campo “Histórico de Revisões”, disponível na Lista de Inventários.

5 Relação com Operadores e Controladores

5.1. Subcontratação de Operadores:

A contratação de operadores se procederá sempre por escrito e será precedido de um background check do potencial contratado.

Sempre que possível, o contrato com o operador conterá:

5.1.1. Cláusulas que definam:

Identificação das partes;
O objeto do Tratamento;
Sua duração;
Sua finalidade;
Uma visão global das operações de Tratamento a serem praticadas;
As espécies de dados pessoais tratados;

5.1.2. Cláusulas que garantam:

Que o operador apenas trata os dados pessoais apenas mediante instruções documentadas da Netra;
Que as pessoas autorizadas a tratar os dados pessoais assumiram um compromisso de confidencialidade ou estão sujeitas a adequadas obrigações legais de confidencialidade;
Que o Operador deverá prestar assistência ao controlador no cumprimento de suas obrigações legais;
Que, findo o contrato, o operador deverá eliminar ou devolver ao controlador todos os dados pessoais relacionados com o tratamento, apagando as cópias existentes, salvo que a conservação dos dados seja exigida ao abrigo do direito;
Comunicar ao controlador, sem demora indevida, a ocorrência de violação de dados pessoais;
Disponibilizar ao Controlador todas as informações necessárias para demonstrar o cumprimento das obrigações previstas.

O background check buscará verificar se o contratado apresenta indícios de conformidade com a Lei Geral de Proteção de Dados e outras normas de privacidade aplicáveis, analisando suas políticas e procedimentos, medidas técnicas adotadas, seu histórico conhecido de incidentes de segurança e eventuais medidas corretivas adotadas.

Antes de se proceder com a subcontratação do operador, será consultado o DPO, que emitirá parecer sobre os pontos elencados no ponto “background check”, bem como os demais pontos que entender relevantes.

Para além dos pontos acima elencados, caso o operador se encontre fora do território nacional, a Netra observará se:

Se o país em que se encontra o operador possui legislação que ofereça proteção aos dados pessoais de forma compatível com as normas nacionais protetivas dos dados pessoais, reconhecida por meio de uma decisão de adequação expedida pela ANPD;
Se, inexistindo legislação adequada, subsistam garantias suficientes de segurança, privacidade e proteção de dados pessoais em nível similar àquele previsto na LGPD, mormente pela possibilidade de edição de cláusulas contratuais padrão, existência de normas corporativas globais e/ou de selo ou certificação que comprove a adoção de boas práticas;

Sempre que possível, se requererá, ao operador, que adira formalmente com a presente política e demais políticas internas da organização aplicáveis.

5.2 Relações com Controladores Conjuntos:

Quando, na condição de Controladora, a Requerente tratar dados pessoais em conjunto com outros Controladores, deverá tomar medidas adequadas para garantir a licitude e segurança do tratamento de dados pessoais.

Para tanto, as Partes deverão celebrar um Contrato escrito que, no mínimo contenha cláusulas que definam:

Identidade das partes;
O objeto do Tratamento;
Sua duração;
Sua finalidade;
Uma visão global das operações de Tratamento a serem praticadas;
As espécies de dados pessoais tratados;
Os papéis e responsabilidades das partes;
A responsabilidade pela implementação das medidas técnicas e organizacionais que garantam a segurança da informação, a proteção de dados pessoais e a privacidade;
Definição de responsabilidades decorrentes da violação de dados pessoais;
As regras de retenção e/ou descarte de dados pessoais;
Responsabilidade cível por inadimplemento das normais contratuais e legais em matéria de proteção de dados;
Responsabilidades relativas ao atendimento das obrigações dos titulares de dados;
Responsabilidades relativas à informação dos titulares;
Definição do ponto de contato com os titulares de dados.

Sempre que possível, o contrato entre os controladores conjuntos será precedido pela realização de um background check, que buscará verificar se o controlador conjunto apresenta indícios de conformidade com a Lei Geral de Proteção de Dados e outras normas de privacidade aplicáveis, analisando suas políticas e procedimentos, medidas técnicas adotadas, seu histórico conhecido de incidentes de segurança e eventuais medidas corretivas adotadas.

Caso o Controlador encontre-se situado fora do território nacional, aplicar-se-á em tudo que for cabível àquilo previsto nos já descritos, neste capítulo.

5.3 Relação com Controladores enquanto Operadores:

Quando, na condição de operadora, a Netra tratar dados pessoais em nome e por conta de terceiros, deverá tomar medidas adequadas para garantir a licitude e segurança do tratamento de dados pessoais.

Quando atuar enquanto operadora, a Netra garantirá que:

Apenas tratará dados pessoais para o propósito expresso nas instruções documentadas do cliente;
Adotará boas práticas de segurança da informação, privacidade e proteção de dados;
Não tratará os Dados Pessoais para o propósito de marketing e propaganda, sem o estabelecimento de que um consentimento antecipado foi obtido do titular ou quando da existência de outra base legal adequada;
Informará ao cliente se, em sua opinião, a operação de tratamento de dados contratada é ilícita;
Irá, dentro de seus limites técnicos e organizacionais, fornecer informação adequada ao cliente para que este cumpra com suas obrigações legais;
Notificará o cliente, sem demora indevida, da ocorrência de violação de dados pessoais;
Apenas divulgará dados pessoais quando legalmente obrigada;
Notificará o cliente a respeito do recebimento de uma notificação para proceder a divulgação obrigatória de dados pessoais;

A Netra se compromete a informar ao Cliente os operadores subcontratados de que faça uso.

A contratação de novos subcontratados ou a alteração dos existentes precederá de prévio, expresso e escrito consentimento do cliente.

6 Dos Direitos dos Titulares

A Netra atende e respeita aos direitos dos titulares, nos termos de suas Políticas de Privacidade e procedimentos internos.

Direitos dos Titulares: Cabem aos titulares os seguintes direitos:

Direito a Informação: É o direito do titular dos dados de obter informações claras, precisas e em linguagem simples e inteligível a respeito do tratamento de informações a seu respeito.
Direito de Retificação: É o direito do titular de corrigir eventuais dados que estejam equivocados ou desatualizados sobre si.
Direito de Eliminação: Direito de anonimizar, bloquear ou excluir dados que tenham se tornado desnecessários ou estejam sendo tratados em desconformidade com a Lei Geral de Proteção de Dados.
Direito de Portabilidade: É o direito do titular dos dados de receber uma cópia em formato interoperável de todos os dados pessoais atinentes a sua pessoa que estejam em poder da organização, ou de requerer que a mesma seja encaminhada diretamente a outro controlador.
Direito de Retirada do Consentimento: É o direito do Titular de retirar, sem qualquer detrimento, o consentimento oferecido para a realização de uma dada operação de tratamento e demandar o encerramento da citada operação.
Direito de Revisão: É o direito do titular de obter uma revisão sobre decisões automatizadas que afetem o seu interesse.
Direito de Explicação: é o direito do titular de obter informações claras e adequadas a respeito dos critérios e dos procedimentos utilizados para a decisão automatizada.

6.1 Atendimento das Requisições dos Titulares:

Ao atender as requisições dos titulares de dados, observar-se-á o seguinte:

Sempre que possível, adotar-se-á medidas que permitam o exercício dos direitos pelos titulares de forma direta, isto é, independente de intermediários, por meio de ferramentas adequadas.

Quando não for possível o exercício direto de direitos, o atendimento das requisições dos titulares se fará por meio de procedimento que preveja, no mínimo:

Meio para a confirmação da identidade do titular, podendo incluir a requisição de apresentação de cópia de um documento.
Hipóteses de direcionamento para o controlador, ou requisição de sua permissão, quando a Netra for operadora e se entender que as informações Requeridas envolvem conteúdo sensível e/ou confidenciais dos respectivos controladores.

6.2 Canal de Comunicação e Exercícios de Direitos:

As comunicações entre os titulares de dados e a Netra se darão por intermédio do DPO, operando-se por meio do endereço de e-mail dpo@netra.global ou outro canal de comunicação disponibilizado pela Netra.

7 Ações de Conformidade, Accountability e Cooperação com Autoridades Reguladoras

Ações de Conformidade: A Netra sabe que o resguarde da privacidade e da proteção de dados é uma tarefa diária, que depende do esforço comum de todos aqueles que compõem a nossa organização, razão pela qual adota ações internas adequadas para a manutenção da conformidade e engajamento.

Governança: a Netra reconhece a importância de uma estrutura de governança adequada para o resguarde da Proteção de Dados e Privacidade, em decorrência disso, dispõe de responsabilidades adequadas para toda a organização.

O Comitê de Proteção de Dados, presidido pelo Encarregado pelo DPO, é o órgão responsável pela conformidade pela Netra, às normas de proteção de dados pessoais e privacidade, internas e externas, a que a Netra encontra-se sujeita. Cabendo-lhe, com o apoio da Alta-Direção, implementar, dirigir e aprimorar o Sistema de Gestão em Proteção de Dados.

Caberá aos diretores, coordenadores, responsáveis pelos núcleos e líderes de projetos fiscalizar a conformidade da atuação de seus respectivos subordinados com a presente Política de Proteção de Dados e demais políticas e procedimentos aplicáveis.

Caberá a todos os colaboradores, independente de posição hierárquica, obedecer às políticas e procedimentos da organização, participar dos treinamentos e capacitações e contribuir, no escopo de suas funções, ativamente com a proteção de dados e privacidade.

Treinamento: A Netra entende a importância de realizar treinamentos regulares e adequados para o resguarde da Proteção de Dados e Privacidade

A realizar, no mínimo, um treinamento anual para os colaboradores, em matéria de proteção de dados e privacidade.
Treinar novos colaboradores após a sua admissão, em matéria de proteção de dados e privacidade.

Controles: Para além dos controles expressamente previstos na presente política, são aplicáveis os controles técnicos, físicos e organizacionais previstos na Política de Segurança da Informação (PSI) e demais políticas e procedimentos de segurança da informação e/ou proteção de dados pessoais.

Accountability: Responsabilidade por todas as ações de conformidade realizadas, requisições recebidas e/ou respondidas, incidentes de segurança identificados e/ou tratados, espécies de operações de tratamento de dados realizadas, revisões nesta e em outras políticas e procedimentos internos, bem como, todas as demais ações que objetivem, que resguardem a proteção de dados e privacidade, devem ser devidamente registrados, de forma adequada a se identificar os fatos e as ações transcorridas, bem como os sujeitos envolvidos.

Cooperação com Autoridades Reguladoras: a Netra presa por uma relação colaborativa com as autoridades reguladoras, nomeadamente a Agência Nacional de Proteção de Dados.

8 Comitê de Proteção de Dados e DPO

Apresentação e Propósito: O Comitê de Proteção de Dados e Privacidade é responsável pela conformidade da Netra, às normas de proteção de dados pessoais e privacidade, internas e externas, a que a Netra encontra-se sujeita. Cabendo-lhe, com o apoio da Alta Direção, implementar, dirigir e aprimorar o Sistema de Gestão em Proteção de Dados.

Autoridade e Poderes: O Comitê é o órgão máximo na organização em proteção de dados e privacidade, encontrando-se diretamente subordinado a Gestão Executiva da Netra. Em razão dessa posição, lhe são conferidos todos os poderes possíveis para a implementação, manutenção e monitoramento de matérias atinentes à proteção de dados e privacidade, incluindo, mas não se limitando a:

Ser consultado em todas as questões envolvendo proteção de dados e privacidade;
Monitorar os projetos, internos e externos, desenvolvidos pela organização para garantir a sua conformidade com as normas aplicáveis em proteção de dados e privacidade;
Formular e modificar regras de boas práticas internas;
Analisar, definir ou recomendar, em conjunto com o Comitê de Qualidade, Segurança, Risco e SEPG, padrões mínimos de segurança, um plano de auditoria interna e/ou externa, um plano de treinamento periódico em proteção de dados e privacidade;
Pré-Aprovar ou Pré-Rejeitar operações de tratamento de dados pessoais, por meio de parecer fundamentado;
Realizar, ou determinar que se realize, e aprovar uma Avaliação de Impacto em Proteção de Dados/ Relatório de Impacto à Proteção de Dados Pessoais;
Apenas ter qualquer de suas decisões afastadas mediante decisão fundamentada da Diretoria Executiva;
Avaliar e responder, em nome da organização, requisições de partes interessadas, incluindo autoridades públicas, titulares de dados pessoais e parceiros econômicos;
Controlar, investigar e responder, junto ao Comitê de Qualidade, Segurança, Risco e SEPG, violação de dados pessoais;
Aplicar sanções ou outra medida adequada aos envolvidos em violação de dados pessoais, separadamente ou em conjunto com outros Comitês empresariais.

8.1 Posição na Hierarquia da Organização e Garantias:

O Comitê de Proteção de Dados encontra-se diretamente subordinado à Diretoria Executiva, encontrando-se no mesmo nível hierárquico do Comitê de Compliance, do Comitê de Qualidade, Segurança, Risco e SEPG e da Coordenação de Orçamento e Controle, devendo trabalhar, em conjunto com esses organismos, para garantir o adequado funcionamento da organização.

É garantida a devida independência técnica aos membros do Comitê de Proteção de Dados, que não poderão ser sancionados por suas opiniões ou votos, desde que resguardem pertinência técnica.

Nenhum dos membros do Comitê de Proteção de Dados poderá, de qualquer modo, ser sancionado pelo regular exercício de suas funções.

8.2 Estrutura, Composição e Membros:

O Comitê de Proteção de Dados é composto da seguinte forma: Uma mesa diretora, responsável por dirigir as atividades do comitê e as atividades diárias da organização em proteção de dados, sendo formada por:

Um Diretor (Encarregado pela Proteção de Dados/Data Protection Officer – DPO), interno ou externo aos quadros empresariais, responsável por dirigir e representar o Comitê, pelo monitoramento e controle da conformidade da organização com as normas aplicáveis e servir de ponto de contato entre a organização e os titulares de dados pessoais e/ou agentes reguladores ou fiscalizadores. Ao DPO incumbe o “voto de qualidade” nas hipóteses de empate entre as deliberações colegiadas.
Dois consultores, internos ou externos aos quadros empresariais, representantes da assessoria jurídica e da Time de Tecnologia e Soluções, responsáveis por assessorar o Encarregado de Proteção de Dados em suas tarefas ordinárias e, em caso de ausência, assumir temporariamente suas atribuições.
Um Conselho, responsável pela implementação, monitoramento e aprimoramento do programa de gestão em proteção de dados e privacidade, pela aplicação de sanções, respostas a violação de dados pessoais, por monitorar, fiscalizar, aprovar, rejeitar ou modificar as decisões, propostas, avaliações, relatórios e Pareceres apresentados pela mesa diretora.

O Conselho será formado pelos membros da Mesa Diretora e por representantes de todas as Diretorias e da Qualidade. A lista com os nomes dos Integrantes do Comitê, está disponível no sistema interno de publicação de documentos da empresa (Sistema DOC), para consulta a qualquer tempo pelos profissionais da Netra.

8.3 Reuniões:

O Comitê se reunirá, ordinariamente, presencialmente ou por meio eletrônico:

Trimestralmente para monitorar, fiscalizar, aprovar, rejeitar ou modificar as decisões, propostas, avaliações, relatórios e pareceres apresentados pela mesa diretora no mês antecedente.

Anualmente, para:

Avaliar e, sendo o caso, alterar as políticas e procedimentos adotados;
Definir e alinhar o plano de treinamento periódico em proteção de dados e privacidade para o exercício seguinte;
Definir e alinhar o plano de auditoria para o exercício seguinte;

O Comitê se reunirá, extraordinariamente, presencialmente ou por meio eletrônico, mediante convocação do DPO, quando necessário para a implementação, direção, monitoramento e aprimoramento do Sistema de Gestão em Proteção de Dados e/ou for requerido por política ou procedimento interno.

As reuniões do Comitê devem ser regularmente registradas, por qualquer meio que permita a comprovação do conteúdo das suas deliberações.

8.4 Responsabilidades:

Caberá ao Comitê implementar, dirigir, monitorar e aprimorar o Sistema de Gestão em Proteção de Dados e Privacidade, cabendo-lhe, para tanto, dentre outras responsabilidades:

Servir de órgão consultor para toda organização, acompanhando, informando e a aconselhando matérias relativas à privacidade e proteção de dados;
Monitorar internamente a organização, pontuando e investigando eventuais não-conformidades com as normas internas e externas que lhe sejam aplicadas;
Promover orientação e treinamento aos colaboradores da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
Adotar as medidas necessárias para garantir a adequação dos projetos, internos e externos, desenvolvidos pela organização com as normas aplicáveis em proteção de dados e privacidade;
Formular e modificar regras de boas práticas internas;
Avaliar novas operações de tratamento de dados pessoais;
Realizar a due diligence de parceiros econômicos;
Comandar, quando necessário, a realização da Avaliação de Impacto em Proteção de Dados/Relatório de Impacto à Proteção de Dados Pessoais;
Aprovar o resultado da Avaliação de Impacto em Proteção de Dados/ Relatório de Impacto à Proteção de Dados Pessoais;
Definir um plano de auditoria interna e/ou externa;
Responder, em nome da organização, requisições de partes interessadas, incluindo autoridades públicas, titulares de dados pessoais e parceiros econômicos;
Controlar, investigar e responder à violação de dados pessoais;

Contato: o Comitê poderá ser contatado por intermédio do DPO, através do endereço de e-mail dpo@netra.global ou outro canal de comunicação disponibilizado pela Netra.

9 Dos Deveres dos Colaboradores e Parceiros Econômicos, das Sanções e da Revisão

Os colaboradores e parceiros econômicos devem estar cientes de que a proteção de dados pessoais é de responsabilidade de todos, nos limites das atribuições de cada um.

9.1 Da Gestão de Privacidade de Dados:

Os dados pessoais obtidos em razão do exercício das funções, ou, de qualquer outro modo, em razão de seu relacionamento com a Netra, são sigilosos, não podendo ser divulgados a pessoal não autorizado;
Os colaboradores e parceiros econômicos da Netra devem estar cientes que todo e qualquer tratamento de dados pessoais que venham a realizar em nome, por conta ou, de qualquer modo, relacionado com a Netra deve encontrar-se alinhado com os preceitos dessa política e demais leis e regulamentos aplicáveis;
Os colaboradores devem descartar adequadamente documentos, rascunhos e outros materiais que detenham dados pessoais e cujo armazenamento não seja mais necessário ou encontre-se em desconformidade com a presente política;
Sempre que identificarem dados pessoais incorretos, desatualizados ou que se encontrem em violação a presente política, ou a legislação, os colaboradores possuem o dever de informar ao Comitê de Proteção de Dados, por intermédio Encarregado (Data Protection Officer);
Sempre que se aperceba de uma violação de dados pessoais sob a responsabilidade ou guarda da Netra, o colaborador, ou parceiro econômico, deve informar ao Comitê de Proteção de Dados, por intermédio Encarregado (Data Protection Officer);
Caberá, ao colaborador, remeter, ao Comitê, por intermédio do DPO, qualquer dúvida a respeito das normas, procedimentos e políticas internas;
Poderá, o colaborador, remeter ao Comitê, por intermédio do DPO, sugestões fundamentadas para a modificação e/ou aprimoramento de qualquer política ou procedimento interno.

9.2 Sanções:

Nos casos em que houver violação desta Política ou das Normas de Segurança da Informação, privacidade e/ou proteção de dados, sanções administrativas e/ou legais poderão ser adotadas, podendo culminar com o desligamento e eventual responsabilização criminal e cível, se aplicáveis.

Sem prejuízo das sanções previstas no ponto “9.2”, o não cumprimento das normas estabelecidas neste documento, seja isolada ou cumulativamente, poderá causar, de acordo com a infração cometida, as seguintes punições:

Comunicação de descumprimento: Será encaminhado ao funcionário, por e-mail, comunicado informando o descumprimento da norma, com a indicação precisa da violação praticada. Cópia desse comunicado permanecerá arquivada junto à Coordenação Desenvolvimento Humano Organizacional na respectiva pasta do funcionário;
Advertência ou suspensão: A pena de advertência ou suspensão será aplicada, por escrito, somente nos casos de natureza grave ou na hipótese de reincidência na prática de infrações de menor gravidade;
Demissão por justa causa: Nas hipóteses previstas no artigo 482 da Consolidação das Leis do Trabalho.

9.3 Violação de Dados Pessoais:

Cientificado da ocorrência de uma violação de dados, o Comitê avaliará o risco aos direitos e liberdades dos Titulares, adotando, em consonância com os procedimentos internos, todas as medidas necessárias para mitigá-los.

Sempre que a violação de dados pessoais acarretar risco relevante ao titular, o Comitê procederá à notificação dos Titulares atingidos e dos entes reguladores, nos termos da lei.

A notificação contemplará, no mínimo:

A descrição da natureza dos dados pessoais afetados;
As informações sobre os titulares envolvidos;
A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
Os riscos relacionados ao incidente;
Os motivos da demora, no caso de a comunicação não ter sido imediata; e
As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

9.4 Revisão:

A Netra encontra-se em processo de contínuo melhoramento, razão pela qual nos reserva o direito de rever e atualizar a presente política sempre que assim se mostrar necessário. Além disso comprometemo-nos a revisitá-la e revisá-la, no mínimo, anualmente.

Política de Cookies

LEIA COM ATENÇÃO! A SUA PRIVACIDADE É DE GRANDE IMPORTÂNCIA PARA NÓS, DA NETRA.

O usuário declara a sua ciência a respeito do tratamento de seus dados pessoais nos termos da presente POLÍTICA DE COOKIES. Caso o usuário não concorde com os termos e condições aqui expostos deve interromper imediatamente o uso do website da “Netra”.

INTRODUÇÃO:

O que é uma Política de Cookies? A Política de Cookies é um documento que explica nossos princípios e ações quando se trata da coleta, processamento e armazenamento de suas informações por meio de cookies – pequenos programas de computador que são baixados em seu dispositivo para armazenar suas preferências e outras informações. Outras possíveis formas de tratamento de seus dados pessoais podem ser acessadas por meio de nossa Política de Privacidade .
Para que serve? Esta política busca estabelecer uma relação de transparência e confiança entre nós e nossos usuários, explicando como nós e nossos parceiro implantamos e utilizamos cookies, bem como as opções que você tem para controlá-los.
Abrangência: a presente Política de cookies se aplica ao website da Netra, devendo ser respeitada por todos aqueles que representem, integrem ou mantenham relações com quaisquer dessas organizações.
Nossa postura: em nome do princípio da necessidade, nós buscamos limitar a coleta de seus dados pessoais ao mínimo necessário para a prestação, manutenção e remuneração de nossos serviços na condição website. Para além disso, nós buscamos, em nome do princípio da granularidade e da liberdade de consentimento, possibilitar que você gerencie as configurações

de cookies de nosso website, esvaziando o conteúdo dos cookies que tratem seus dados pessoais e não sejam essenciais.

Atenção ao conteúdo de terceiros e/ou incorporado: A Netra faz uso de diferentes aplicativos e serviços de terceiros para melhorar a experiência dos visitantes. Isso inclui plataformas de mídias sociais tais como Linkedin, WhatsApp, por meio do uso de botões que possibilitam aceder nossos canais nessas redes. Essas plataformas podem tratar seus dados pessoais de forma diversa daquela prevista na presente política. Nós não temos controle direto sobre a informação que é coletada por esses aplicativos e serviços, que é regulada pelas suas respectivas políticas internas, aceitas pelo usuário no momento de sua subscrição aos mesmos.

COMO UTILIZAMOS COOKIES?

Quais cookies podemos utilizar?

1.1. Cookies estritamente necessários: Esses cookies são necessários para o funcionamento do website e a adequada prestação de nossos serviços. Em razão disso, eles não podem ser desativados no nosso sistema. Geralmente, são definidos apenas em resposta as suas ações que constituam uma solicitação de serviços, tais como definir as suas preferências de privacidade, iniciar sessão ou preencher formulários.

1.1.1. São esses cookies:

wordpress_test_cookie: Verifica a possibilidade do uso de cookies.

1.2. Analytics: coletam informações de forma anônima sobre como os usuários interagem com o website da Netra, incluindo quais páginas são mais visitadas, bem como outros dados analíticos. Nós utilizamos essas informações para aprimorar a sua experiência, melhorando o funcionamento do site, e para nossa atividade comercial, demonstrando, para anunciantes, o volume de visitantes de nossas páginas.

1.2.1. São esses cookies:

_ga: usado para distinguir usuários;

_gat_: Usado para distinguir usuários;

_gid: sado para controlar a taxa de solicitação.

1.3. Cookies de Terceiros: são informações definidas por domínios de terceiros (diversos da Netra), permitindo o rastreamento de informações sobre a sua navegação, a apresentação de propagandas direcionadas a suas preferências, dentre outros aspectos.

1.3.1. São esses cookies:

1P_JAR do google.com.br: usado para armazenar informações de acesso e personalizar anúncios;

__Secure-3PAPISID do google.com.br: usado para construir perfil de interesses do usuário e exibir anúncios do Google de forma relevante e personalizada;

__Secure-3PSID do google.com.br: usado para construir perfil de interesses do usuário e exibir anúncios do Google de forma relevante e personalizada;

__Secure-3PSIDCC do google.com.br: usado pelo google reCAPTCHA, estes cookies usam um identificador único para fins de rastreamento;

_GRECAPTCHA do Google reCAPTCHA: usa mecanismo de análise de risco avançado e desafios adaptativos para impedir que software maliciosos se envolvam em atividades abusivas no website. Enquanto isso, usuários legítimos poderão fazer login, fazer compras, visualizar páginas ou criar contas enquanto que usuários falsos serão bloqueados; NID do google.com.br: ao criar uma conta do Google ou fazer login, o cookie NID é armazenado no computador para permanecer conectado à sua conta do Google quando você visitar o serviço novamente. Enquanto você está logado e usa plug-ins de outros sites, como o nosso, o Google usa esses cookies para melhorar a experiência do usuário.

Quais bases legais utilizamos para tratar seus dados?

2.1. Nós tratamos os dados pessoais eventualmente coletados por meio de cookies estritamente necessários para que seja possível a prestação de nossos serviços, assim o fazemos com base na necessidade para a execução de contrato e legítimo interesse.

2.2. Nós apenas coletamos e utilizamos os cookies de Analytics de forma anonimizada, isto é, fazendo uso de medidas técnicas que impossibilitem a sua identificação. Assim, nenhuma base legal é necessária. Contudo, por boa prática, permitimos que você gerencie o uso desses cookies

2.3. Nós apenas utilizamos cookies de terceiros com base em seu expresso consentimento.

Por quanto tempo armazenamos seus dados?

3.1. Os Cookies estritamente necessários são, em regra, cookies de Sessão, e se expiram tão logo você saia de nosso website.

3.2. Em relação ao analytics:

_ga: ele expira no prazo de 02 (dois) anos;

_gat_: ele expira no prazo de 01 (um) minuto;

_gid: ele expira no prazo de 24 (vinte e quatro) horas.

3.3. Em relação aos cookies de terceiros:

1P_JAR do google.com.br: ele expira no prazo de 28 (vinte e oito) dias;

__Secure-3PAPISID do google.com.br: ele expira no prazo de 02 (dois) anos; __Secure-3PSID do google.com.br: ele expira no prazo de 02 (dois) anos;

__Secure-3PSIDCC do google.com.br: ele expira em 01 (um) ano;

_GRECAPTCHA da Google reCAPTCHA: ele expira em 06 (seis) meses;

NID do google.com.br: ele expira no prazo de 06 (seis) meses.

SEUS DIREITOS E COMO EXERCÊ-LOS:

Nós, da Netra, respeitamos os direitos conferidos aos titulares como necessários para o bom funcionamento da democracia em um mundo digital e buscamos sempre informá-los a respeito desses direitos, bem como facilitar o seu exercício seguro.

Quais Direitos assistem aos Titulares? A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) rearmou ao Titular dos dados pessoais uma série de direitos, os quais poderão ser exercidos nos termos presentes nesta política, quais sejam:

Direito à Informação: é o direito do titular dos dados de obter informações claras, precisas e em linguagem simples e inteligível a respeito do tratamento de informações a seu respeito. Inclui o direito de confirmar a existência de um tratamento, de acessar os dados que a organização contenha a seu respeito, de ser informado sobre a transferência desses dados para terceiros e as consequências de uma vez solicitado o seu consentimento, este recusar. Direito de Retificação: é o direito do titular de corrigir eventuais dados que estejam equivocados ou desatualizados sobre si.

Direito ao Esquecimento: concede ao titular o direito de anonimização, bloqueio ou exclusão de dados que tenham se tornado desnecessários ou estejam sendo tratados em desconformidade com a Lei Geral de Proteção de Dados.

Direito de Portabilidade: é o direito do titular dos dados de receber uma cópia de todos os dados pessoais atinentes a sua pessoa que estejam em poder da organização, ou de requerer que citada cópia seja enviada diretamente a um dado controlador. Direito de Retirada do Consentimento: garante ao Titular que, caso o tratamento de dados seja pautado em seu consentimento, este possa, a qualquer tempo e de modo não mais complexo do que aquele com o qual seu consentimento foi colhido, retirar o citado consentimento e demandar a eliminação, bloqueio ou anonimização de seus dados pessoais tratados com base neles.

Como o titular pode exercer seus direitos? Os titulares podem alterar suas configurações de privacidade por meio de nosso gerenciados de cookies, clicando em [settings] . Ao optar por desativar uma dada opção de cookies, o conteúdo dos respectivos cookies será esvaziado, de modo que, muito embora os cookies continuem a existir, seus dados pessoais não serão tratados por eles. Caso o gerenciador de cookies não seja suficiente para o adequado exercício de seus Direitos, você pode entrar em contato com o Comitê de Proteção de Dados, através do endereço de e-mail “dpo@netra.global”. Nosso DPO, o Sr. Alano Correia, irá atendê-lo.

2.1. Solicitamos que o pedido, e as informações que o fundamentem, sejam apresentados de forma clara e precisa, de modo a possibilitar um atendimento célere e efetivo.

2.2. Com o m de evitar fraudes, pode ser solicitado ao titular-requerente que anexe, junto ao pedido, cópia de documento comprobatório de sua identidade.

2.3. Citada cópia do documento será descartada uma vez que atendida a requisição do titular, contudo dados contidos no mesmo podem ser mantidos em registro para fins de demonstração da conformidade.

CONTATO:

Em caso de outras dúvidas relativas ao uso e a segurança de seus dados, você pode entrar em contato com o nosso Comitê, por intermédio de nosso DPO, o Sr. Alano Correia, através do endereço de e-mail “dpo@netra.global”.

REVISÃO DA POLÍTICA:

Nós da Netra, nos encontramos em processo de contínuo aperfeiçoamento, razão pela qual nos reservamos o direito de rever e atualizar a presente política sempre que for necessário. Além disso, nos comprometemos a visitá-la e revisá-la, no mínimo, anualmente.

Destaques do nosso blog

Post de teste 30/07/25

Stefanini se torna estudo de caso

Uma jornada de Crescimento e Inovação

Reconhecimento Facial: O que é e como funciona

Destaques do nosso blog

Post de teste 30/07/25

Stefanini se torna estudo de caso

Uma jornada de Crescimento e Inovação

Reconhecimento Facial: O que é e como funciona

Canal de comunicação