Política de Privacidade e Proteção de Dados Pessoais do Instituto Dr. Miguel Soeiro

1. Informações iniciais

2. Significado de algumas expressões

3. O Instituto enquanto agente controlador

4. Principais operações de tratamento de dados pessoais

5. Compartilhamentos necessários

6. Segurança de informação

7. Encarregado ou DPO

8. Direitos do titular

9. Transferência internacional de dados pessoais

10. Por quanto tempo armazenamos os dados pessoais?l

11. Cookies

12. Atualização periódica desta política

O INSTITUTO DR. MIGUEL SOEIRO, inscrito no CNPJ/MF sob o nº 33.834.682/0001-97, com sede estabelecida na Cidade de Sorocaba/SP, na Rod. Raposo Tavares, 103670 - Complemento: Km 103 + 670 Metros Regiao Oeste Lote D-2/a-2, CEP 18052-775, daqui em diante denominado simplesmente Instituto, em atenção às normas de privacidade e proteção de dados pessoais, em especial a Lei Geral de Proteção de Dados (Lei nº. 13.709/2018) e o Marco Civil da Internet (Lei nº. 12.965/2014), apresenta sua

Política de Privacidade e Proteção de Dados

simplesmente referida como Política, pela qual compromete-se, por meio deste documento, a respeitar e proteger os dados pessoais a que vier utilizar para o funcionamento e execução de suas atividades.

A privacidade e a proteção de dados é assunto dos mais importantes atualmente e o Instituto se compromete a cumprir as normas de privacidade e proteção de dados aplicáveis.

Sabemos que o tema é novo e ainda pendente de uma série de regulamentações, por isso, o Instituto revisará periodicamente esta Política, buscando aperfeiçoá-la, tornando-a cada vez mais completa, em respeito ao princípio da transparência. Em caso de dúvidas ou sugestões, pedimos a gentileza de entrar em contato com nosso Encarregado (DPO).

Confira abaixo o significado de algumas expressões que serão encontradas nesta Política:

i. Agentes de tratamento: o Controlador e o Operador. São pessoas jurídicas ou físicas que tratam dados pessoais para oferecimento de produtos ou serviços.

ii. Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. É um processo para tornar um dado pessoal ou dado pessoal sensível em um dado não pessoal, isto é, que não tem o potencial de identificar uma pessoa.

iii. Autoridade Nacional de Proteção de Dados Pessoais (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.

iv. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

v. Controlador: pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

vi. Cookies: mecanismos que permitem certas funcionalidades e garantem uma experiência personalizada à navegação online. Em outras palavras, são pequenos arquivos de texto utilizados para armazenar e recuperar informações do terminal utilizado pela pessoa (computador, tablet, smartphone, dentre outros disponíveis no mercado), identificando a interação entre o dispositivo e um determinado site.

vii. Dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. É aquele que, originariamente, era relativo a uma pessoa, mas que perdeu a possibilidade de associação, direta ou indireta, de forma que a LGPD não se aplica a esses tipos de dados.

viii. Dado pessoal: informação relacionada a pessoa natural identificada ou identificável. Qualquer informação que tenha potencial de identificar uma pessoa física pode ser considerada dado pessoal. Empresas não têm dados pessoais, só pessoas físicas. O CPF é um dado pessoal, já o CNPJ, não. Para citar alguns exemplos: nome, sobrenome, data de nascimento, informações contidas em documentos pessoais oficiais (como CPF, RG, CNH, Carteira de Trabalho, passaporte e título de eleitor), endereço residencial, telefone fixo ou móvel, endereço de e-mail pessoal e profissional, o endereço de IP, histórico de navegação na internet, informações coletadas por cookies, todas essas informações podem ser consideradas dados pessoais.

ix. Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Como se vê, são dados pertencentes a uma esfera mais íntima da pessoa física, que se mal utilizados, podem acarretar prejuízos aos titulares.

x. Encarregado (DPO - Data Protection Officer): pessoa indicada pelo Agente de Tratamento, seja o Controlador ou Operador, para atuar como canal de comunicação entre o Controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD). Além dessas funções, o Encarregado orienta um Agente de Tratamento e seus principais interessados, internamente.

xi. Internet: rede internacional de computadores conectados entre si, permitindo a troca de informações de toda natureza, em escala mundial, com elevado nível de interatividade.

xii. IP ou Internet Protocol: Internet protocol ou protocolo de internet. O TCP (Protocolo de Controle de Transmissão) divide os dados que serão transmitidos pela internet, em pequenos pedaços denominados de pacotes. O IP é adicionado a cada pacote de dados, de forma que eles alcancem o destino correto. Cada terminal ou roteador utiliza o endereço de IP, de forma a guiar o encaminhamento dos pacotes de informação. Em outras palavras, o IP relativo à determinada data e hora, são capazes de identificar um terminal, seja computador, tablet ou celular, garantindo certo grau de identificação na internet, afastando o anonimato de quem está na rede.

xiii. Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador;

xiv. Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.

xv. Princípio da transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.

xvi. Relatório de impacto à proteção de dados pessoais: documentação do Controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

xvii. Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Em outros termos, é o dono do dado pessoal e a pessoa que poderá exercer os direitos a ele relacionados, por issoé denominado titular.

xviii. Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro. Como a Internet, por sua própria definição, é uma rede internacional de computadores conectados entre si, é mais comum do que se imagina a existência de transferência internacional de dados. Por exemplo, ao se contratar um simples serviço de nuvem, a depender de onde estão localizados os servidores e data centers da empresa prestadora do serviço, poderá implicar na existência de transferência internacional de dados pessoais.

xix. Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Isto é, tratamento é o uso, a utilização do dado pessoal, é alguma ação está que está sendo feita com ele, lembrando que o simples ato de armazenar é tratamento.

O Instituto realizará operações de tratamento de dados pessoais, preponderantemente, na posição de Controlador, seja de forma exclusiva ou em conjunto com outros Controladores. Enquanto agente de tratamento de dados pessoais, seja como Controlador ou Operador, o Instituto se compromete a respeitar as disposições da LGPD e das demais normas aplicáveis.

O Instituto Dr. Miguel Soeiro é pessoa jurídica sem fins econômicos ou lucrativos que realiza projetos, ações e campanhas sociais, o que só é possível mediante o uso de dados e informações das pessoas envolvidas, observando-se, para tanto, os princípios da Lei Geral de Proteção de Dados:

• Boa-fé : Observância de elevado padrão ético de conduta, lealdade e justiça.
• Finalidade : Uso de dados pessoais para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades.
• Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto deste tratamento.
• Necessidade : limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
• Livre acesso : garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais.
• Qualidade dos dados : garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.
• Transparência : garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.
• Segurança : utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
• Prevenção : adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
• Não discriminação : impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos.
• Responsabilização e prestação de contas : demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

O Instituto trata dados pessoais dos membros e colaboradores que fazem parte de seu funcionamento, para o cumprimento dos contratos firmados; atendimento de requisitos e exigências legais; e para o exercício regular de direito.

Também são utilizados dados pessoais de terceiros , prestadores ou fornecedores de produtos ou serviços, para o controle de acesso e para o cumprimento de obrigações previstas em contrato ou na legislação pertinente.

Visto que o Instituto recebe doações em geral, poderá haver o tratamento de algumas informações e dados dos doadores. Os dados pessoais aqui tratados são os necessários para formalizações e emissões de recibos.

O Instituto publiciza em seu site oficial informações e dados pessoais como, por exemplo, nome efoto dos membros participantes do Instituto, fotos de participantes das campanhas, projetos e ações sociais. Esses dados são publicados no site por transparência e boa-fé.

Para operar, o Instituto coletará e armazenará dados bancários de seus colaboradores ou de terceiros, pessoas físicas, prestadores de serviços, para pagamentos ou reembolsos em geral, em estrito cumprimento aos contratos firmados.

O Instituto poderá selecionar, sem discriminação, colaboradores para determinadas vagas, o que envolverá uso de dados pessoais, de forma legítima, respeitados os princípios da Lei Geral de Proteção de Dados Pessoais.

Dados e informações pessoais de representantes legais de empresas fomentadoras e patrocinadores de projetos podem ser utilizados, sempre para fins lícitos, para prestação de contas e comunicações em geral, relativas aos projetos, ações e campanhas sociais.

A depender do projeto, ação ou campanha social, poderá implicar no uso de informações e dados pessoais de crianças, assim considerado qualquer indivíduo com idade entre 0-12 anos incompletos, ou deadolescentes. O Instituto terá especial atenção às regras do Estatuto da Criança e do Adolescente (Lei Federal n° 8.069/1990), tendo como premissa o objetivo de trazer benefício a estes indivíduos, nunca em seu prejuízo.

O Instituto armazena, em ambiente protegido, informações e dados pessoais, em papel ou digital, em geral, pelo período de 5 (cinco) anos, ou outro período, podendo variar, para cumprimento de obrigação legal específica, para o exercício regular de um direito, sempre de maneira lícita.

Essas são as formas como o Instituto poderá utilizar dados pessoais, não sendo este tópico taxativo, mas exemplificativo, podendo ser incluídas novas operações de tratamento de dados pessoais, conforme necessidade de atualização.

Como o Instituto trabalha com leis de incentivos fiscais, que permitem que pessoas físicas e jurídicas efetuem doação para um determinado projeto, abatendo o valor correspondente do que seria recolhido ao Poder Público, a título de tributos, deve existir uma gama de dados e informações que são compartilhados, regularmente, com o Poder Público, por meio do Ministério da Cidadania.

Para executar suas operações o Instituto utiliza os serviços deprestadores de serviços de tecnologia, tais como Microsoft ( https://www.microsoft.com/pt-br/ ) e Soul MV ( https://mv.com.br/) para finalidades como, por exemplo, armazenamento de dados em nuvem, organização e gerenciamento de informações, prestação de contas, realização de reuniões, gestão de projetos, comunicação entre equipes, entre outras informações necessárias.

O Instituto poderá compartilhar dados pessoais com patrocinadores, investidores e fomentadores em geral dos projetos, desde que necessário, para prestação de contas, respeitadas as hipóteses legais da LGPD.

O Instituto poderá divulgar informações consideradas sigilosas somente mediante ordem judicial válida, de juízo competente e legítimo para julgamento da causa, podendo, assim, excepcionalmente, revelar informações pessoais em Juízo ( Poder Judiciário).

Esses são alguns compartilhamentos necessários para que o Instituto execute o previsto em seu Estatuto Social.

O Instituto toma algumas medidas para garantir a proteção dos dados pessoais, tais como: controle de acesso a ambiente virtual e físico; uso de criptografia para armazenamento e transmissão de informações; quando necessário, a utilização de vpn (rede privada virtual); uso de firewall (defesa de sistema de rede); programa de antivírus e antispam; e processos contínuos de backup de dados para recuperar e manter as informações íntegras, disponíveis e protegidas.

O Encarregado de Proteção de Dados do Instituto Dr. Miguel Soeiro, nomeado para servir de canal de comunicação é a pessoa qualificada abaixo.

Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e Autoridade Nacional de Proteção de Dados (ANPD)

Encarregado do IMS:
Cleidiane Fidelis Romero de Souza

Contato:
instituto@institumoms.org.br

O titular, dono dos dados pessoais, pessoa natural, tem os seguintes direitos:

1. A confirmação da existência de operações de tratamento envolvendo dados pessoais. Em outras palavras, o dono dos dados pode saber se seus dados pessoais, são, de alguma forma, tratados pelo Instituto.

2. No caso de a resposta à questão anterior ser positiva, o titular terá direito de acesso aos próprios dados pessoais.

3. Na hipótese de o Instituto tratar dados pessoais mediante obtenção do consentimento, o titular tem o direito de revogá-lo, e ser informado acerca das consequências da revogação.

4. Solicitação da portabilidade de dados pessoais a terceiros, por exemplo, outro instituto.

5. Requisição de correção de dados incompletos, inexatos ou desatualizados.

6. Direito à eliminação dos dados pessoais tratados com o seu consentimento, exceto nas seguintes hipóteses:

(i) cumprimento de obrigação legal ou regulatória pelo Instituto;

(ii) estudo por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

(iii) transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos na LGPD;

(iv) uso exclusivo pelo Instituto, vedado seu acesso por terceiro, e desde que anonimizados os dados.

7. Informação das entidades públicas e privadas com as quais o Instituto realizou uso compartilhado de dados.

8. Petição à Autoridade Nacional de Proteção de Dados Pessoais (ANPD) para se manifestar sobre o Instituto e eventual direito não atendido.

9. Oposição às operações de tratamento de dados pessoais realizadas com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na Lei Geral de Proteção de Dados Pessoais.

10. Revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as destinadas a definir o seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

O Titular poderá exercer seus direitos, sem custos, mediante requerimento expresso, por escrito, a ser enviado ao DPO ou Encarregado.

É preferível que o próprio titular exerça seus direitos. Mas se o titular tiver que ser representado, é necessária a apresentação de instrumento de mandato específico para esse fim, com reconhecimento de firma por autenticação em qualquer cartório.

Em caso de impossibilidade de adoção imediata da providência requisitada, o Instituto enviará resposta ao titular, em prazo razoável.

Por fim, o titular deve estar ciente que sua requisição poderá ser legalmente rejeitada, seja por motivos formais (a exemplo de sua incapacidade de comprovar sua identidade) ou legais (o direito do usuário não pode ser atendido, pois se enquadra em alguma exceção legal ou regulatória).

Como o Instituto utiliza de tecnologia de provedores de serviços de atuação internacional, como os fornecidos pela Microsoft, pela Soul MV, poderá implicar em eventual transferência internacional de dados, para países que proporcionem grau de proteção de dados pessoais equivalente ao do Brasil.

Em regra, o Instituto armazena os dados pessoais, de forma legítima, pelo prazo de 5 (cinco) anos, contados da coleta dos dados, podendo ser armazenados por período superior, desde que justificável em alguma das hipóteses legais previstas na Lei Geral de Proteção de Dados Pessoais.

O Instituto possui seu site institucional acessível pelo URL http://www.institutoms.org.br/ e cookies necessários poderão ser utilizados para guardar informações do usuário e permitir uma navegação mais personalizada. Para mais informações sobre como proceder em relação à gestão dos cookies nos navegadores:

• Internet Explorer:

https://support.microsoft.com/pt-br/help/17442/windows-internetexplorer-delete-manage-cookies

• Mozilla Firefox:

https://support.mozilla.org/pt-BR/kb/ative-e-desative-os-cookies-queos-sites-usam

• Google Chrome:

https://support.google.com/accounts/answer/61416?co=GENIE.Platform%3DDesktop&hl=pt-BR

• Safari:

https://support.apple.com/pt-br/guide/safari/sfri11471/mac

Esta Política estará em constante aperfeiçoamento, acompanhando as boas práticas, as orientações da Autoridade Nacional de Proteção de Dados (ANPD) e, é claro, sempre atendendo às suas sugestões.