POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS – (“Política”)

PROJECT MANAGEMENT INSTITUTE GOIÁS CHAPTER – PMI GO, entidade com personalidade jurídica de direito privado, inscrita no CNPJ sob o n.º 06.065.645/0001-99, sede em Av. Perimetral Norte, n. 4129, Vila João Vaz, Goiânia-GO, CEP 74445-190, representada na forma de seus atos constitutivos, doravante DECLARANTE.

Para objetivos administrativos, financeiros, comerciais, operacionais, de prestação dos serviços que disponibiliza ao mercado, de gestão de recursos humanos, jurídicos, de marketing e outros atinentes à sua atividade principal, secundárias ou inerentes a DECLARANTE informa que pratica o tratamento de Dados Pessoais.

A presente Política de Proteção de Dados Pessoais respeita a legislação brasileira em especial a Lei 13.709/18 e seus fundamentos previstos no artigo 2º.

Estão sujeitos à Política:

• DECLARANTE: trata-se da pessoa jurídica que produz e declara a presente Política como parte de seu Programa de Proteção de Dados Pessoais e que funciona como Controladora e/ou como Operadora, na forma da legislação incidente;
• Titular (es): trata-se da pessoa natural a quem se referem os Dados Pessoais que são objeto de tratamento pela DECLARANTE ou terceiros a si vinculados, expressamente, discriminados na presta Política de Proteção de Dados Pessoais;
• Controlador: pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, em geral, para fins deste instrumento, a DECLARANTE é a Controladora;
• Operadores: pessoas físicas ou jurídicas com as quais a DECLARANTE compartilha Dados Pessoais, a fim de que cumpram com a prestação de serviços ou fornecimento de produtos na forma contratada com a DECLARANTE.

DEFINIÇÕES:
a) Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional;
b) Contrato: significa qualquer contrato que as Partes celebraram ou possam celebrar no qual haverá tratamento dos dados pessoais pela Contratada compartilhados pela Contratante;
c) Controlador: trata-se da pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento dos dados pessoais, neste Termo representado pela Contratante;
d) Dados Pessoais: trata-se de uma informação relacionada a pessoa natural identificada ou identificável;
e) Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
f) Encarregado ou DPO “Data Protection Officer”: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
g) Incidente de Segurança: trata-se de qualquer incidente de acesso indevido, não autorizado, vazamento, perda de dados pessoais e/ou ofensa a direitos fundamentais dos titulares;
h) Legislação de Proteção de Dados Pessoais: trata-se da Constituição Federal, da Lei Geral de Proteção de Dados Pessoais – LGPD – Lei nº 13.709/2018, do Marco Civil da Internet – Lei nº 12.965/2014, Decreto do Marco Civil da Internet nº 8.771/2016, Código Civil – Lei 10.406/2002 e demais normas setoriais aplicáveis;
i) Legítimo Interesse: hipótese de tratamento de Dados Pessoais que resulta das atividades principais, secundárias ou inerentes à Controladora, Operadora ou de terceiros e que deve no seu exercício privilegiar direitos e liberdades fundamentais do Titular no âmbito da proteção de Dados Pessoais;
j) Operador: trata-se da pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador, neste Termo representado pela Contratada;
k) Parceiros Comerciais: trata-se de empresas relacionadas com a DECLARANTE para prestação de serviços ou fornecimento de produtos na qualidade de Controladores Adjuntos, Operadores ou Suboperadores, com as quais são compartilhados Dados Pessoais. A relação jurídica dos Parceiros Comerciais será com a DECLARANTE ou diretamente com o Titular, conforme o caso;
l) Tratamento: trata-se de toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
m) Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
n) Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
o) Uso compartilhado de Dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;

1. Regras Gerais sobre Tratamento e Proteção de Dados Pessoais

1.1. O Tratamento de Dados Pessoais pela DECLARANTE, dar-se-á mediante Consentimento ou por força de uma das demais hipóteses de tratamento previstas no artigo 7º da LGPD.

1.2. A contratação dos serviços da DECLARANTE implica na aceitação das regras desta Política, bem como no Consentimento à DECLARANTE para Tratamento na forma prevista neste instrumento.

1.3. Sempre que a intenção do Tratamento, ou compartilhamento for diverso dos expressamente identificados na legislação ou nesta Política será solicitado Consentimento específico, o qual explicitará a finalidade almejada e o tempo do tratamento.

1.4. O Titular reconhece que a falta de ou a revogação do Consentimento poderá implicar no impedimento ou limitação de uso ou fruição de determinado serviço, a exclusivo critério da DECLARANTE, sem que importe em sua responsabilização.

1.5. A DECLARANTE somente tratará Dados Pessoais no limite das necessidades jurídicas, administrativas, comerciais, técnicas, operacionais, de gestão de recursos humanos, de marketing e outras previstas neste instrumento atinentes à sua atividade principal, secundária ou inerente.

1.6. A DECLARANTE compartilha Dados Pessoais com Operadores, na forma deste instrumento.

1.7. A DECLARANTE impõe a seus Operadores, a presente Política e/ou instrumentos específicos, a fim de que eles desempenhem as atividades para as quais foram contratados em nome da DECLARANTE, com regras expressas acerca das obrigações e responsabilidades de cada um, sempre no interesse de proteção dos dados do Titular e para viabilizar a prestação de serviços em questão.

1.8. Em caso de solicitação ao Titular, de Consentimento ou Tratamento de Dados Pessoais, por empresas que sejam Operadores contratados pela DECLARANTE, mas para finalidades diversas do cumprimento dos contratos que mantém com a DECLARANTE, o Titular é exclusivamente responsável por suas declarações de vontade, bem como por averiguar o nível de adequação à legislação protetiva de Dados Pessoais daquelas empresas, que neste caso, não atuam como Operadores da DECLARANTE, eximindo-a de quaisquer responsabilidades por danos, inclusive morais, perdas, lucros cessantes, ofensa a direitos da personalidade ou outros prejuízos que o Titular possa vir a suportar em virtude do Consentimento oferecido ou contratação realizada, sem a participação da DECLARANTE na cadeia de fornecimento ou prestação.

1.9. O cumprimento de obrigações legais e regulatórias é considerada hipótese de tratamento de Dados Pessoais, conforme artigo 7º, inciso II da LGPD, validando as operações de Tratamento pela DECLARANTE para tais finalidades.

1.10. São direitos dos Titulares respeitados pela DECLARANTE na forma desta Política: (i) confirmação da existência de Tratamento; (ii) Acesso aos Dados Pessoais; (iii) correção de Dados Pessoais incompletos, inexatos ou desatualizados; (iv) Anonimização, bloqueio ou eliminação de Dados Pessoais desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD; (v) Portabilidade dos Dados Pessoais a outro fornecedor; (vi) Eliminação dos Dados Pessoais tratados com o consentimento do Titular, (vi) Informação das entidades públicas e privadas com as quais se realizou uso compartilhado de Dados Pessoais, (viii) Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; (ix) Revogação do Consentimento; (x) Direito de petição; (xi) Oposição ao tratamento de Dados Pessoais realizado com fundamento em uma das hipóteses de dispensa de consentimento. O Titular assume as consequências pela revogação do Consentimento que podem ser de interrupção ou redução de serviços, sendo que em alguns casos, devidamente justificados nesta Política e na legislação aplicável, a DECLARANTE necessita manter os Dados Pessoais para fins de dar cumprimento às determinações legais, mover ou se defender em ações judiciais ou administrativas, dentre outras situações e por legítimo interesse.
1.10.1. O exercício dos direitos expressos nesta cláusula dar-se-á mediante contato do Titular devidamente identificado, junto ao DPO, que dará o devido encaminhamento e resposta. Quando se tratar de exercício de direitos por Titular criança ou adolescente, o contato com o DPO deverá ser feito por pais ou responsáveis, os quais deverão passar por procedimento de identificação.

1.11. Caso o Titular divulgue Dados Pessoais em áreas públicas de sistemas, plataformas, sites, redes sociais ou afins da DECLARANTE que possam ser acessadas por visitantes ou terceiros, a DECLARANTE não detém controle sobre o uso que possa ser feito destas informações e Dados Pessoais por terceiros, eis que tais dados se tornam públicos, portanto, não se responsabiliza por danos materiais, morais, lucros cessantes ou quaisquer outros prejuízos de quaisquer naturezas.

1.12. A DECLARANTE não comercializa bancos de Dados Pessoais, nem tampouco compartilha com terceiros que não sejam Parceiro Comerciais, salvo previsão expressa em contrário e mediante prévia autorização do Titular, ou com fundamento das hipóteses de tratamento da LGPD.

1.13. O Titular é responsável pelos Dados Pessoais que divulgar na medida de que deve fazê-lo de forma consciente, tendo lido e compreendido as implicações da presente Política.

1.14. O Titular é responsável pela guarda e sigilo logins e senhas de acesso utilizadas para fruição de serviços da DECLARANTE.

1.15. Dados Pessoais de crianças e adolescentes serão tratados, exclusivamente, para a finalidade de execução de serviços contratados por pais ou responsáveis, que exijam estas informações, com consentimento específico dos mesmos em documento físico ou eletrônico próprio.

1.16. Ainda, poderão ser coletados e tratados Dados Pessoais de crianças e adolescentes, mediante prévio consentimento, para a finalidade de processamento de benefícios aos mesmos, tais como planos de saúde, previdenciários, financeiros e afins, aos quais os mesmos tenhm direito ou que os pais ou responsáveis lhes concedam.
1.16.1. Poderão ser coletados dados pessoais de crianças sem o consentimento dos pais ou responsáveis, quando a coleta for necessária para contatá-los ou para proteção do menor, utilizados uma única vez e sem armazenamento.

1.17. A eventual transferência internacional de Dados Pessoais pela DECLARANTE dar-se-á nas hipóteses autorizadas pela LGPD para (i) cumprimento de obrigação legal ou regulatória, (ii) quando necessário para a execução do Contrato ou de procedimentos preliminares relacionados a Contrato; (iii) para a proteção da vida ou da incolumidade física do Titular ou de terceiro.
1.17.1. Nestes casos, a transferência internacional de Dados Pessoais, dar-se-á apenas para países com nível similar de proteção ao dispensado pela legislação brasileira e ainda, com atendimento das regras da ANPD.

1.18. O tratamento de Dados Pessoais Sensíveis, se houver, dar-se-á, exclusivamente para fins de viabilizar a prestação de serviços e/ou operações administrativas da DECLARANTE quando: (i) o Titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas; (ii) sem fornecimento de consentimento do Titular, nas hipóteses em que for indispensável para: a) cumprimento de obrigação legal ou regulatória pelo DECLARANTE; b) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; c) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; d) garantia da prevenção à fraude e à segurança do Titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º da LGPD, exceto no caso de prevalecerem direitos e liberdades fundamentais do Titular que exijam a proteção dos Dados Pessoais.
1.19. Os serviços da DECLARANTE quando implicarem em tratamento de Dados Pessoais, observarão medidas de segurança técnicas e administrativas aptas à sua proteção desde a concepção até a execução.

2. Compartilhamento de Dados Pessoais com Parceiros Comerciais

2.1. A DECLARANTE, na forma da legislação incidente, compartilha Dados pessoais com Parceiros Comerciais, mediante consentimento do Titular, salvo hipóteses de tratamento que dispensam consentimento, a saber: para o cumprimento de obrigação legal ou regulatória pelo controlador, para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o Titular ou a pedido do Ttitular; para o exercício regular de direitos em processo judicial, administrativo ou arbitral; para a proteção da vida ou da incolumidade física do Titular ou de terceiro, para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; para atender aos interesses legítimos da DECLARANTE ou de terceiro, respeitados direitos e liberdades fundamentais do Titular e para a proteção do crédito.
2.2. O compartilhamento de Dados Pessoais do Titular respeitará os direitos do mesmo bem como as regras desta Política em especial de que Parceiros Comerciais tratarão os Dados Pessoais para realização de suas atividades principais, secundárias e inerentes à parceria realizada com a DECLARANTE, por prazo condizente com a necessidade ou exigências legais e técnicas.
2.3. O Titular poderá se opor ao tratamento de seus Dados Pessoais por parte do Parceiro Comercial, mediante requisição junto ao DPO da DECLARANTE, porém, reconhece que poderá perder acesso ou fruição adequada de serviços, sem que isso importe em responsabilidade da DECLARANTE ou do Parceiro Comercial.

3. Tratamento de Dados Pessoais pela DECLARANTE no exercício de atividades principais, secundárias e inerentes

O Tratamento de Dados Pessoais pela DECLARANTE dar-se-á considerando a privacidade por processo (privacy by design) nas seguintes hipóteses e, para o desempenho das seguintes finalidades, separadas em 2 (dois) grupos: (i) exercício da atividade principal, (ii) exercício de atividades internas inerentes a operação institucional.
Referidas hipóteses estão alinhadas às previsões do artigo 7º da LGPD e decorrem especialmente de contratos, obrigações legais, regulatórias e legítimo interesse da DECLARANTE na execução de suas atividades.
O tratamento de Dados Pessoais do Titular para as finalidades acima identificadas, poderão se dar por meio de ferramentas eletrônicas ou digitais de propriedade da DECLARANTE ou de terceiros, tais como chats, sites, portais e redes sociais.
O Titular consente com o tratamento de seus Dados Pessoais por meio de tais ferramentas, mesmo quando pertencerem a terceiros, que por seu porte não se submetem à presente Política ou outros instrumentos de proteção de Dados Pessoais da DECLARANTE.
3.1. Exercício da atividade principal: A DECLARANTE trata Dados Pessoais para a finalidade de prestar os serviços principais de sua operação, quais seja, realização de eventos (capacitações, workshops, seminários, palestras e afins). Para esta finalidade, os Dados Pessoais serão tratados pelo tempo que durar o contrato com o Titular, somado ao tempo de Tratamento dispensado ao cumprimento de obrigações legais.
3.1.1. As atividades de eventos ensejam o Tratamento de Dados Pessoais para fins de cadastro de interessados e participantes, e pesquisa de satisfação, dentro outras atividades correlatas.

3.1.2. Em caso de contratos de execução instantânea, os Dados Pessoais permanecerão sendo tratados para finalidades vinculadas ao cumprimento de obrigações legais e regulatórias, pelo tempo necessário conforme a legislação incidente.

3.2. Exercício de atividades inerentes da DECLARANTE: Os Dados Pessoais têm seu tratamento principal vinculado à fruição dos serviços contratados, mas, também, para promoção de atividades inerentes como administrativo, financeiro, comercial, recursos humanos e publicidade e marketing e ações administrativas em geral.

3.2.1. Recursos Humanos: A equipe interna contratada da DECLARANTE (se houver), na qualidade de Titulares, têm seus Dados Pessoais tratados para finalidades de gestão de folha de salários, gestão de benefícios, gestão de medicina do trabalho, gestão de recrutamento, seleção e demissão, preenchimento de documentos administrativos e legais exigidos pelas autoridades do trabalho e previdenciárias, dentro outras necessidades de tratamento estritamente vinculadas à relação trabalhista entre os funcionários e a DECLARANTE.
A cada uma das atividades de gestão relacionadas aos Recursos Humanos o tratamento dos Dados Pessoais inerentes pode se dar no setor específico nas dependências da DECLARANTE, ou por Operadores, cujas atividades e responsabilidades são prescritas em documento específico que visa assegurar a proteção dos Dados Pessoais dos Titulares.
Os Operadores no setor de Recursos Humanos, via de regra, são empresas de recrutamento e seleção, agências de emprego, escritórios de contabilidade, operadoras de planos de saúde, INSS e SUS.

3.2.2. Administrativo-Financeiro-Comercial: trata-se de atividade inerente à gestão da DECLARANTE e cujas finalidades são de manter a documentação geral da instituição organizada, bem como o seu funcionamento burocrático, neste âmbito os Dados Pessoais dos titulares, são tratados para a finalidade de emissão de contratos, transferência de titularidade de contratos, termos aditivos contratuais, registros cadastrais, identificação, encaminhamento de demandas, protocolos internos e externos, emissão de documentos de cobrança, emissão de boletos, emissão de Notas Fiscais.
A DECLARANTE poderá compartilhar Dados Pessoais com Operadores para a finalidade de cumprir as atividades acima identificadas, os quais se submetem à presente Política e sempre que possível, a Termos de Proteção de Dados Pessoais.
Os Operadores no setor Administrativo-financeiro-comercial, em regra, são escritórios de contabilidade, empresas de ERP (fornecedores de softwares de gestão).

3.2.3. Publicidade e Marketing: trata-se de atividade inerente à atividade principal cuja finalidade é de comunicar ao mercado os serviços disponibilizados de forma a incrementar os resultados comerciais e alcance de seus objetivos.
3.2.3.1. A DECLARANTE trata Dados Pessoais para finalidades de publicidade e marketing, como Controladora ou por meio de serviços de terceiros, agências, consultorias e prestadores de serviços de publicidade e marketing que atuam como Operadores.
3.2.3.2. Os Operadores que realizam atividades de publicidade e marketing em nome da DECLARANTE são selecionados de forma rígida e sempre que viável assinam o Termo de Proteção de Dados Pessoais Para Operadores, porém, é de conhecimento dos Titulares que a DECLARANTE não controla, administra, fiscaliza ou pratica outras ações afins em relação aos serviços prestados pelos Operadores, que são responsáveis por eventuais prejuízos, que possam causar aos Titulares e à DECLARANTE no tratamento de Dados Pessoais para finalidade de gestão de publicidade e marketing.
3.2.3.3. As principais ações internas de publicidade e marketing, realizadas pela DECLARANTE, são relativas ao tratamento de Dados Pessoais de clientes cadastrados em suas bases por força de relacionamento vigente (“ativo”) ou encerrado (“inativo”) com a DECLARANTE, para pesquisas de satisfação, pesquisas de novos serviços e ofertas de serviços, por meio de diversas ferramentas de comunicação com o cliente, como chats, e-mail marketing, telefone fixo e móvel, inbound marketing. O cliente ativo ou inativo poderá solicitar, por meio de contato com o DPO da instituição, a exclusão de seus Dados Pessoais das bases tratadas para a finalidade de gestão de publicidade e marketing, que poderão seguir sendo tratadas em situações excepcionais que envolvam atividades de publicidade e marketing voltadas à padronização de serviços para toda a base de clientes.
3.2.3.4. As ferramentas de publicidade e marketing poderão ser utilizadas pela DECLARANTE, de forma direta, ou por Operadores, a fim de dar cumprimento à obrigação legal ou regulatória e para cumprimento do contrato ou procedimentos preliminares ao contrato com o Titular.
3.2.3.5. A DECLARANTE, em caso de coleta Dados Pessoais de acesso público, para finalidade de publicidade e marketing, tem dispensado o consentimento do Titular na forma da lei, sendo que ele poderá se opor ao tratamento a qualquer tempo mediante contato com o DPO da instituição, a fim de excluir seus Dados Pessoais das bases de gestão de publicidade e marketing da DECLARANTE.
3.2.3.6. E-mail marketing: A DECLARANTE de forma direta ou por Operadores pode fazer uso de sistema de envio de e-mail marketing do tipo opt-out, para envio de publicidade e oferta de seus serviços e de Parceiros Comerciais.
3.2.3.7. Cookies: a DECLARANTE pode utilizar cookies para fins de funcionamento adequado de alguns de seus serviços, bem como para finalidade de ações de publicidade e marketing identificadas neste instrumento, eis que a ferramenta de cookies possibilita identificar as preferências do Titular em relação aos serviços da DECLARANTE e, assim, aprimorar a experiência do cliente. Os cookies utilizados pela DECLARANTE permitem gerenciar os movimentos e acessos do Titular durante o uso e fruição de seus serviços e, assim, coletar dados para fins estatísticos, gerenciais e de perfil de uso. Os Dados Pessoais coletados por cookies poderão ser compartilhados com Co- controladoras.

4. Término do Tratamento dos Dados Pessoais pela DECLARANTE

4.1. O término do tratamento de Dados Pessoais pela DECLARANTE ocorrerá (i) quando do alcance da finalidade, (ii) com o termo do prazo identificado expressamente como data de finalização do tratamento, (iii) quando o tratamento deixa de ser necessário, inclusive, para finalidades identificadas como legítimo interesse da DECLARANTE, (iv) por revogação do consentimento pelo Titular, (v) por determinação da ANPD.
4.2. Os Dados Pessoais permanecerão sendo tratados pela DECLARANTE, para fins de: (i) cumprimento de obrigação legal ou regulatória pelo controlador, (ii) por motivo de transferência a terceiro, (iv) uso exclusivo do DECLARANTE, de forma anonimizada, (v) para fins de instrução de processos judiciais ou administrativos pelos prazos legais prescricionais e decadenciais.

5. Encarregado (“DPO”) – Responsabilidades e Contato

5.1. A DECLARANTE conta com Encarregado pela proteção dos Dados Pessoais na organização, cujo contato está disponível no site da instituição no endereço eletrônico contato@pmigo.org.br.
5.2. O Encarregado estabelece o canal de comunicação com os Titulares e autoridades, em especial, a ANPD, para: (i) receber comunicações e adotar providências; (ii) orientar os funcionários e os contratados da instituição a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; (iii) executar as atribuições determinadas pela DECLARANTE ou estabelecidas em normas complementares da ANPD.
5.3. Sempre que Titulares ou autoridades desejarem contatar a DECLARANTE, para fins de endereçar quaisquer temas relacionados aos Dados Pessoais, deverão estabelecer o primeiro contato diretamente com o DPO, que dará os devidos encaminhamentos conforme critérios de: (i) urgência, (ii) volume de Dados Pessoais envolvidos, (iii) potencial risco à proteção de Dados Pessoais, (iv) potencial ofensa à legislação.

6. Legislação Aplicável

6.1. Esta Política de Proteção de Dados Pessoais é regida e interpretada de acordo com as leis da República Federativa do Brasil.