Esta Política de Proteção de Dados estabelece as formas pelas quais a RAMO SISTEMAS DIGITAIS, sociedade comercial por quotas de responsabilidade limitada, com sede na Cidade de São Paulo, Estado de São Paulo, na Av. Queiroz Filho, 1700, Torre A, cj. 405, Cep: 05319-000, Vila Hamburguesa, inscrita no C.N.P.J sob o n° 51.432.326/0001-29, (“RAMO”) coleta, acessa, processa, armazena, usa, protege, compartilha e de outras formas trata os dados pessoais disponibilizados pelos nossos clientes, fornecedores, parceiros ou outros titulares que, de qualquer forma, possuam relações com a RAMO.

1.    Introdução

Em suas operações diárias de negócios a RAMO faz uso de uma variedade de dados sobre as pessoas, incluindo empregados atuais, antigos e potenciais, clientes, leads, usuários de seus sites, fornecedores e outras partes interessadas.

Ao coletar e usar esses dados, a organização está sujeita a uma variedade de leis que determinam como tais atividades devem ser realizadas e quais as consequências, se essas determinações não são cumpridas.

Dessa forma, a RAMO estabelece sua POLÍTICA GERAL DE PROTEÇÃO DE DADOS PESSOAIS (PGPDP), como parte integrante do seu sistema de gestão corporativa, compatível com os requisitos da legislação brasileira, além de boas práticas e normas internacionalmente aceitas, com o objetivo de garantir níveis adequados de proteção para os dados pessoais tratados pela organização.

Esse controle se aplica a todos as operações, pessoas e processos que constituem o sistema de informações da organização, incluindo membros do conselho, diretores, funcionários, fornecedores e outros terceiros que tenham acesso aos dados tratados pela RAMO.

O objetivo da Proteção de Dados é garantir a gestão sistemática e efetiva de todos os aspectos relacionados à proteção de dados pessoais e dos direitos dos seus titulares, provendo suporte as operações críticas do negócio e minimizando riscos identificados e seus eventuais impactos a organização.

A Diretoria e o Comitê Gestor de Proteção de Dados Pessoais estão comprometidos com uma gestão efetiva da Proteção de Dados Pessoais na RAMO. Desta forma, adotam todas medidas cabíveis para garantir que esta política seja adequadamente comunicada, entendida e seguida em todos os níveis da organização.

2.    Propósito

Esta política tem por proposito estabelecer diretrizes de Proteção de Dados que permitam a RAMO:

• realizar o tratamento de dados pessoais, em conformidade com a legislação brasileira;
• orientar quanto à adoção de controles técnicos e administrativos para atendimento dos requisitos para Proteção de Dados Pessoais, conforme a legislação vigente;
• resguardar os titulares dos dados pessoais que são tratados pela RAMO, garantindo direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;
• prevenir possíveis causas de violações de dados pessoais e incidentes de segurança da informação relacionados ao tratamento de dados pessoais;
• minimizar os riscos de perdas financeiras, de participação no mercado, da confiança de clientes ou de qualquer outro impacto negativo no negócio da RAMO como resultado de violações de dados.

3.    Aplicabilidade

Esta política se aplica a qualquer operação de tratamento de dados pessoais realizada pela RAMO, independentemente do meio ou do país onde estejam localizados os dados. A observância desta Política é obrigatória e reflete a legislação e regulamentação aplicáveis relacionadas à Lei Geral de Proteção de Dados.

 4.    Referências

Lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais.

Lei 12.965/2014 – Marco Civil da Internet.

 5.    Glossário

Há diversas definições listadas na LGPD, no entanto, as definições mais fundamentais em relação a esta política são as seguintes:

Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;

Autoridade Nacional de Proteção de Dados Pessoais: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados Pessoais (LEI Nº 13.709, DE 14 DE AGOSTO DE 2018) em todo território nacional brasileiro;

Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

Comitê Gestor De Proteção De Dados Pessoais – CGPDP: Grupo de trabalho multidisciplinar permanente, efetivado pela diretoria da RAMO e formalizado em ata de reunião de constituição, que tem por finalidade tratar questões ligadas à Proteção de Dados Pessoais;

Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

Dado Anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável;

Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Ramovers: Entende-se como colaboradores da RAMO, prestadores de serviços e terceirizados.

Segurança da informação: a preservação das propriedades de confidencialidade, integridade e disponibilidade das informações da RAMO.

Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

Tratamento de dados pessoais: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Usuário da informação: Colaboradores com vínculo empregatício ou prestadores de serviços de quaisquer áreas das empresas que compõem a RAMO ou terceiros alocados na prestação de serviços, indiferente do regime jurídico a que estejam submetidos, assim como outros indivíduos ou organizações devidamente autorizadas a utilizar manipular qualquer ativo de informação da RAMO para o desempenho de suas atividades profissionais;

Violação de dados pessoais: situação em que dados pessoais são processados violando um ou mais requisitos relevantes de proteção da privacidade.

 6.    Diretrizes

6.1        Lei Geral de Proteção de Dados Pessoais na RAMO

Em consonância com a LGPD, proteger, preservar e respeitar a privacidade e os direitos dos Titulares de Dados Pessoais.

Adotamos as melhores práticas empresariais e condutas éticas, visando a manutenção e evolução do grau de conformidade dos processos relativos à proteção de Dados Pessoais para atender às necessidades dos clientes, parceiros, fornecedores e colaboradores da RAMO.

Como fornecedora de software, a RAMO posiciona-se como parceiro dos clientes em seus processos de adequação à LGPD, implantando metodologias para garantir a segurança das informações e disponibiliza em seus produtos e soluções oferecidos a seus clientes, recursos que visam auxiliá-los na manutenção e evolução de sua conformidade aos requisitos legais e de acordo com as melhores práticas de gestão e processos relativos à proteção de Dados Pessoais.

Como controladora, a RAMO adota medidas técnicas de segurança e privacidade para preservar a disponibilidade, a integridade e confidencialidade dos Dados Pessoais que são tratados na prestação dos serviços. Para tanto, a RAMO mantém um programa de conscientização à Privacidade e Proteção de Dados, no qual todos os RAMOVERS, sem exceção, devem participar.

Como operadora, a RAMO deve cumprir todas as diretrizes contratuais definidas pelos Controladores (seus clientes), a fim de realizar o tratamento de Dados Pessoais, por meio de boas práticas de segurança asseguradas por auditorias independentes. Além disso, a RAMO adota cláusulas de proteção de Dados Pessoais em todos os contratos em que desempenhamos o papel de Operadora, definindo claramente as responsabilidades da RAMO.

A RAMO adota os princípios do Privacy by Design, que consiste na proteção da privacidade e dos dados pessoais, em todos os projetos desenvolvidos. Não é permitido desenvolver nenhum projeto, produto ou serviço, sem que a proteção da privacidade esteja no centro desse desenvolvimento, incluindo a realização de um ou mais avaliações de impacto da proteção de dados. Essa é uma fonte de inspiração para a RAMO, reforçando seu compromisso com a ética e transparência.

A avaliação do impacto na proteção de dados incluirá consideração de como os dados pessoais serão processados e com quais objetivos; avaliação se o tratamento de dados pessoais proposto é necessário e proporcional ao(s) objetivo(s); avaliação dos riscos para os indivíduos no tratamento de dados pessoais e os controles necessários para abordar os riscos identificados e demonstrar conformidade com a legislação. Salientamos que o uso de técnicas como a minimização de dados, serão aplicadas quando apropriado.

6.2        Coleta e Utilização dos Dados Pessoais

Como Controladora, a RAMO realiza a coleta de Dados Pessoais de diversas formas, incluindo informações fornecidas diretamente pelo Titular do Dado Pessoal, coletadas por meio de terceiros, parceiros ou franqueados, e também de forma automática.

Esses Dados Pessoais, uma vez coletados, são tratados pela RAMO para atender a uma variedade de finalidades, demonstrando seu compromisso com a transparência e respeito aos direitos dos titulares. Estas finalidades incluem a comercialização e customização de produtos para os clientes, a prestação de serviços, o atendimento às solicitações dos clientes, o funcionamento e gerenciamento do site, o cumprimento de direitos e obrigações relacionados ao quadro de colaboradores, a comunicação e atividades de marketing, bem como a defesa dos direitos dos titulares.

Importante ressaltar que, na condição de Operadora, a RAMO utiliza os Dados Pessoais conforme as determinações do Controlador (cliente), reforçando o compromisso da organização em operar de acordo com as diretrizes e políticas estabelecidas pelos responsáveis pelo controle desses dados.

 6.3        Cloud

A área de CLOUD da RAMO desempenha o tratamento de Dados Pessoais necessários para a operacionalização dos serviços definidos em contrato, atuando como Operadora. Isso inclui situações como o registro de acesso, que abrange dados pessoais de funcionários e ex-funcionários dos clientes, e o controle de acesso, que envolve informações semelhantes.

É fundamental destacar que, enquanto Operadora, a área de CLOUD da RAMO é agnóstica quanto aos dados hospedados em seu ambiente. Isso significa que não tem conhecimento sobre o conteúdo das informações de propriedade do cliente armazenadas na nuvem. Portanto, no contexto da CLOUD, a RAMO não considera o tipo ou categoria das informações no banco de dados hospedado em seu ambiente. No entanto, age sob a premissa de que, entre essas informações, existem Dados Pessoais, classificando-os como confidenciais, independentemente de sua sensibilidade. Esse enfoque visa assegurar a confidencialidade e segurança dos dados pessoais na infraestrutura do cliente durante a prestação dos serviços contratados.

6.4        Compartilhamento dos Dados Pessoais

A RAMO assume com responsabilidade o tratamento dos Dados Pessoais de seus clientes e RAMOVERS.

Os Dados Pessoais dos RAMOVERS podem ser compartilhados para atender diversas finalidades, incluindo o cumprimento de obrigações legais e a defesa dos direitos dos titulares, atendimento a obrigações contratuais estabelecidas com os próprios RAMOVERS, e fornecimento de benefícios a esses colaboradores.

Da mesma forma, os Dados Pessoais dos clientes podem ser compartilhados para satisfazer solicitações feitas pelos próprios clientes e para cumprir obrigações legais decorrentes das relações comerciais estabelecidas.

A RAMO, quando autorizada e em conformidade com a LGPD, pode também compartilhar esses Dados Pessoais com terceiros, como prestadores de serviços, parceiros e autoridades governamentais.

Quando ocorre o compartilhamento, a RAMO toma medidas adequadas para garantir que as informações compartilhadas sejam tratadas exclusivamente para as finalidades específicas, assegurando a conformidade e proteção dos dados envolvidos.

6.5        Proteção dos Dados Pessoais

A RAMO implementa medidas rígidas para garantir a integridade e segurança dos Dados Pessoais dos Titulares adotando uma política de controle de acesso restrito aos Dados Pessoais. Dessa forma, somente pessoas autorizadas conseguem acessá-los.

A autorização de acesso é concedida para que as áreas responsáveis possam atender à necessidade de suas atividades e para possíveis tratativas de suporte.

A RAMO implementa procedimentos para garantir que as áreas internas e os Operadores realizem o tratamento dos Dados Pessoais de acordo com as diretrizes de privacidade determinadas pela RAMO.

Além disso, a RAMO adota periodicamente um programa de conscientização para os RAMOVERS. O programa tem o objetivo de apresentar boas práticas que devem ser adotadas no tratamento dos Dados Pessoais, com aplicação de uma prova e certificação.

6.6        Retenção dos Dados Pessoais

Os Dados Pessoais que são necessários para o atendimento do Marco Civil da Internet, são armazenados em ambiente seguro e controlado pelo prazo mínimo de 6 (seis) meses, podendo ser períodos diferentes de acordo com a modalidade de contratos com os clientes.

Os Dados Pessoais podem ser armazenados em servidores próprios ou de terceiros contratados para este fim, sejam eles localizados no Brasil ou no exterior, de acordo com a legislação aplicável, podendo ainda ser armazenados por meios de tecnologia de cloud computing e/ou outras tecnologias que surjam futuramente, visando sempre a melhoria e aperfeiçoamento de nossos serviços.

A RAMO pode realizar o tratamento dos Dados Pessoais, pelo período em que considerar necessário, quando deve efetuar o cumprimento das finalidades pré-determinadas no momento da coleta, ou enquanto o cadastro do Titular permanecer ativo em nossos ambientes.

Após o término do relacionamento do cliente com a RAMO, em alguns casos, pode ser necessário manter o armazenamento de Dados Pessoais por um determinado período, para atender alguma obrigação legal ou ações judiciais.

Com relação ao tratamento de dados realizado com base em consentimento do Titular, a RAMO finaliza o tratamento dos Dados Pessoais, caso o titular se oponha ou revogue o consentimento, quando aplicável.

6.7        Direitos do Titular

O Titular dos Dados Pessoais possui direitos e garantias em relação aos seus Dados Pessoais.

Na RAMO, disponibilizamos o e-mail dpo@ramo.com.br para que o Titular tenha clareza e transparência no exercício de seus direitos. Sempre que necessário, o Titular pode entrar em contato solicitando informações a respeito dos seus direitos.

Direitos previstos na LGPD:

Confirmação da existência de tratamento:

A RAMO trata os Dados Pessoais dos seus clientes, RAMOVERS, visitantes, fornecedores, parceiros, entre outros, mantendo esses dados armazenados em ambientes de forma segura e controlada. O Titular pode solicitar a confirmação de tratamento em seus Dados Pessoais;

Acesso aos Dados:

A qualquer momento, o Titular pode solicitar a RAMO que informe quais Dados Pessoais estão sendo tratados;

Correção de Dados Pessoais incompletos, inexatos ou desatualizados:

Caso o Titular dos dados verifique que possui informações incompletas, inexatas ou desatualizadas, poderá entrar em contato, solicitando a correção ou o complemento dos Dados Pessoais faltantes ou inexatos;

Anonimização, bloqueio ou eliminação de Dados Pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD:

O Titular do dado pode solicitar anonimização, bloqueio ou eliminação dos Dados Pessoais que a RAMO esteja tratando quando desprovido de base legal justificadora do tratamento. No entanto, caso a RAMO possua justificativa legal ou regulatória para manutenção dos dados, eles serão retidos pelo prazo necessário para o exercício da obrigação legal ou para o direito de defesa em processo judicial, administrativo ou arbitral, ou ainda, em determinadas situações, no legítimo interesse da RAMO (como, por exemplo, para evitar infrações e fraudes);

Portabilidade dos Dados Pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa pelo Titular:

O Titular do dado poderá solicitar à RAMO a portabilidade dos seus Dados Pessoais a outro prestador de serviços ou produto. A solicitação do Titular será atendida no menor prazo possível;

Obtenção de informações sobre as entidades públicas ou privadas com as quais a RAMO compartilha os Dados Pessoais do Titular:

O Titular pode entrar em contato com a RAMO por meio do e-mail do DPO (dpo@ramo.com.br).

Informação sobre a possibilidade do Titular não fornecer o consentimento para o tratamento de Dados Pessoais, bem como de ser informado sobre as consequências em caso de negativa:

Caso o Titular não queira fornecer seu consentimento para o tratamento específico que a RAMO necessite realizar, será esclarecido ao mesmo se é possível prestar os serviços ou fornecer o software de seu interesse sem o tratamento de seus Dados Pessoais, informando ainda as consequências de seu não consentimento;

Revogação do consentimento:

Quando o tratamento dos Dados Pessoais se basear no consentimento do Titular, o Titular pode revogar o seu consentimento e a eliminação dos seus Dados Pessoais a qualquer momento. A revogação do consentimento poderá implicar na impossibilidade de o Titular utilizar os serviços prestados pela RAMO. A interrupção do tratamento dos Dados Pessoais não será efetivada quando, os Dados forem:

(i) anonimizados; ou

(ii) necessários a RAMO e/ou a terceiros envolvidos na prestação dos serviços para

fins de defesa judicial, arbitral ou administrativa, bem como para cumprimento de obrigações legais e regulatórias.

A RAMO, atuando como Operadora, não é responsável pelas definições do tratamento do dado. Esta atividade é de responsabilidade do cliente (Controlador), por estabelecimento em contrato, assegurando que todas as instruções direcionadas a RAMO respeitem a Legislação de Proteção de Dados e privacidade dos titulares de dados pessoais.

A RAMO compromete-se a atender todas as requisições dos Titulares no menor

tempo possível, estando de acordo também com os prazos estipulados pela ANPD.

6.8        Transferência Internacional

Quanto aos Dados Pessoais que são compartilhados internacionalmente, a RAMO atende a todos os requisitos legais vigentes nos países envolvidos e adota medidas de segurança cibernética e de proteção de dados assegurando a integridade, transparência e confidencialidade dos Dados Pessoais.

Para a prestação de serviço, que implique compartilhamento internacional dos Dados Pessoais, a RAMO estabelece cláusulas contratuais específicas detalhando qual a finalidade de realizar esta transferência.

Da mesma forma, a eventual transferência internacional dos Dados Pessoais dos RAMOVERS está prevista no contrato de trabalho de cada colaborador.

6.9 Parceiros

A RAMO desenvolve parcerias com empresas a fim de utilizar tecnologias e processos para ampliar sua gama de serviços. Estes parceiros também devem se submeter rigorosamente a todas as diretrizes de segurança contratuais e estabelecidas nesta Política, assegurando que todos os Dados Pessoais de clientes ou de colaboradores sejam tratados como confidenciais.

6.10 Dúvidas

Questionamentos relacionados à Política de Privacidade da RAMO ou quaisquer outras dúvidas relacionadas ao tema de segurança e proteção dos Dados Pessoais, devem ser enviadas através do e-mail de contato com o DPO (dpo@ramo.com.br)

6.11 Papéis e Responsabilidades

Comitê Gestor de Proteção de Dados Pessoais – CGPDP

Fica constituído o COMITÊ GESTOR DE PROTEÇÃO DE DADOS PESSOAIS (CGPDP), contando com a participação de, pelo menos, um representante da diretoria e um membro sênior das seguintes áreas: Tecnologia da Informação, Segurança da Informação, Recursos Humanos, Jurídico, Compliance, Marketing, e Escritório de Proteção de Dados Pessoais.

É responsabilidade do CGPDP:

• Analisar, revisar e aprovar políticas e normas relacionadas à proteção de dados pessoais;
• Garantir a disponibilidade dos recursos necessários para uma efetiva Gestão da Proteção de Dados Pessoais;
• Garantir que o tratamento de Dados Pessoais seja realizado em conformidade com a POLÍTICA GERAL DE PROTEÇÃO DE DADOS PESSOAIS (PGDP) e a legislação vigente;
• Promover a divulgação da PGPDP e tomar as ações necessárias para disseminar uma cultura de proteção de Dados Pessoais no ambiente corporativo da RAMO.

 Responsabilidade do Encarregado pelo Tratamento de Dados Pessoais

• Aceitar reclamações e comunicações dos titulares de dados pessoais, prestar esclarecimentos e adotar as providências necessárias;
• Receber comunicações da autoridade nacional de proteção de dados e adotar as providências necessárias;
• Orientar os empregados, terceiros contratados e demais partes da RAMO a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
• Atender as demais atribuições, conforme orientação da Autoridade Nacional de Proteção de Dados, definidas em normas complementares publicadas pelo referido órgão;
• Apoiar o CGPDP em suas deliberações;
• Atuar junto ao time de Segurança da Informação no ajuste das normas e procedimentos de segurança da informação, necessários para se fazer cumprir a PGPDP;
• Identificar e avaliar as principais ameaças à proteção de dados, bem como propor e, quando aprovado, apoiar a implantação de medidas corretivas para reduzir o risco;
• Tomar as ações cabíveis para se fazer cumprir os termos desta política;
• Apoiar a gestão das violações de dados pessoais, garantindo tratamento adequado e comunicando, em prazo razoável, a autoridade nacional e titulares afetados pela violação sempre que esta representar risco ou dano relevante aos titulares.

Responsabilidade da Equipe de Segurança da Informação

• Garantir que políticas, normas e procedimentos de Segurança da Informação sejam ajustados de forma a atender os requisitos da Política Geral de Proteção de Dados Pessoais;
• Adotar medidas de segurança, tanto técnicas quanto administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme padrões mínimos recomendados pela autoridade nacional de proteção de dados pessoais.
• Realizar o tratamento de incidentes de segurança da informação que envolvam o tratamento de dados pessoais, garantindo sua detecção, contenção, eliminação e recuperação dentro de um prazo razoável.
• Apoiar o Encarregado pelo tratamento de dados pessoais na comunicação à autoridade nacional e ao titular dos dados pessoais em casos de ocorrência de incidente de segurança que possam acarretar risco ou dano relevante aos titulares.

Em caso de descumprimento desta política serão adotadas medidas de gestão de consequências trabalhistas, cíveis, criminais e administrativas eventualmente aplicáveis aos responsáveis pelas ilicitudes, incluindo a possibilidade de demissão por justa causa e rescisão contratual por justo motivo nos casos de Terceiros.