Política de Privacidade
Este documento, denominado Política de Privacidade, possui finalidade de estabelecer as regras sobre o uso, armazenamento e tratamento dos dados e informações coletadas dos usuários no site institutoecofaxina.org.br.
1. Definições
Para fins desta Política de Privacidade, aplicam-se as seguintes definições: designa o site institutoecofaxina.org.br. Instituto EcoFaxina – Limpeza, Monitoramento e Educação Ambiental, associação civil sem fins lucrativos, com sede à Rua Nabuco de Araújo, 71, Boqueirão – Santos (SP), CEP 11025-010 e inscrita no CNPJ sob o nº 10.735.372/0001-10. Cookies: arquivos enviados pelo servidor do site para o computador do Usuário, com a finalidade de identificar o computador e obter dados de acesso, como páginas navegadas ou links clicados, permitindo, desta forma, personalizar a utilização do site, de acordo com o seu perfil, tornando a navegação mais rápida e agradável ao Usuário; IP: abreviatura de Internet Protocol. É um conjunto de números que identifica o computador do Usuário na Internet; Logs: registros de atividades do Usuário efetuadas no site; Session ID: identificação da sessão do Usuário no processo de inscrição ou quando utilizado de alguma forma o site. Usuário: todo aquele que passar a usar o site.
2. Obtenção dos dados e informações
Os dados e informações serão obtidos quando o Usuário: 1. Passar a utilizar o site; 2. Interagir com as diversas ferramentas existentes no site, fornecendo as informações voluntariamente; ou 3. Entrar em contato através dos canais de comunicação disponíveis no site.
3. Armazenamento dos Dados e Informações
Todos os dados e informações coletados dos Usuários serão incorporados ao banco de dados do site, sendo seu responsável e proprietário o Instituto EcoFaxina. Os dados e informações coletados estarão armazenados em ambiente seguro, observado o estado da técnica disponível, e somente poderão ser acessados por pessoas qualificadas e autorizadas pelo Instituto EcoFaxina. Além disso, o Instituto EcoFaxina afirma que não compartilhará, venderá ou apresentará os dados dos Usuários para terceiros, que não sejam seus parceiros. Considerando que nenhum sistema de segurança é absolutamente seguro, o Instituto EcoFaxina se exime de quaisquer responsabilidades por eventuais danos e/ou prejuízos decorrentes de falhas, vírus ou invasões do banco de dados do site, salvo nos casos de dolo ou culpa pela mesma. O Usuário é o proprietário dos dados e está apto a adicionar, excluir ou modificar quaisquer informações que estiverem ligadas ao seu perfil de usuário no Instituto EcoFaxina, e por isso o Usuário declara estar ciente e concorda com a coleta, armazenamento, tratamento, processamento e uso das Informações enviadas e/ou transmitidas pelo Usuário nos termos estabelecidos nestes Termos de Uso e Política de Privacidade.
4. Uso dos Dados e Informações
Os dados e informações coletados dos Usuários poderão ser utilizados para as seguintes finalidades: 1. Efetuar qualquer comunicação resultante de atividade do próprio site ou a identificação do respectivo destinatário; 2. Responder a eventuais dúvidas e solicitações do Usuário; 3. Fornecer acesso à área restrita do site ou suas funcionalidades exclusivas; 4. Cumprimento de ordem legal ou judicial; 5. Constituir, defender ou exercer regularmente direitos em âmbito judicial ou administrativo; 6. Elaborar estatísticas gerais, para identificação do perfil dos Usuários e desenvolvimento de campanhas do Instituto EcoFaxina; 7. Garantir a segurança dos Usuários; 8. Manter atualizados os cadastros dos Usuários para fins de contato autorizado a ser feito por telefone, correio eletrônico, SMS, mala-direta ou por outros meios de comunicação; 9. Informar a respeito de novidades, promoções e eventos do Instituto EcoFaxina e seus parceiros comerciais.
4.1. Sobre os e-mails: Serão enviados e-mails periódicos para os Usuários cadastrados. Os e-mails enviados pelo Instituto EcoFaxina não contêm anexos para serem baixados e tampouco solicitam dados dos usuários.
4.2. Cancelamento: Caso o Usuário não queira mais receber e-mails do Instituto EcoFaxina, ele deve clicar no link de descadastramento presente em todos os e-mails enviados para cancelar o envio de e-mails.
5. Do Registro de Atividades
O Instituto EcoFaxina poderá registrar as atividades efetuadas pelo Usuário no site, por meio de logs, incluindo: 1. Endereço IP do Usuário; 2. Ações efetuadas pelo Usuário no site; 3. Páginas acessadas pelo Usuário; 4. Datas e horários de cada ação e de acesso a cada funcionalidade do site; 5. Session ID do Usuário, quando aplicável. Os registros mencionados poderão ser utilizados pelo Instituto EcoFaxina em casos de investigação de fraudes ou de alterações indevidas em seus sistemas e cadastros.
6. Cookies
O site poderá fazer o uso de cookies, cabendo ao Usuário configurar o seu navegador de Internet, caso deseje bloqueá-los. Nesta hipótese, algumas funcionalidades do site poderão ser limitadas.
7. Disposições Gerais
As disposições constantes desta Política de Privacidade poderão ser atualizadas ou modificadas a qualquer momento, cabendo ao Usuário verificá-la sempre que efetuar o acesso ao site. O Usuário deverá entrar em contato em caso de qualquer dúvida com relação às disposições constantes desta Política de Privacidade e Uso, elegendo um destes meios de contato: telefone (13) 3301-2391 ou formulário de contato.
8. Lei Aplicável e Jurisdição
A presente Política de Privacidade será interpretada segundo a legislação brasileira, no idioma português, sendo eleito o Foro da Comarca de Santos para dirimir qualquer litígio, questão ou dúvida superveniente, com expressa renúncia de qualquer outro, por mais privilegiado que seja.
9. Cadastro
Para participar e usufruir do site, o Usuário deverá fornecer na ocasião do cadastro as seguintes informações: nome completo, e-mail e telefone celular.
Política de Proteção de Dados Pessoais (PPSI)
Art. 1. Fica instituída a Política de Proteção de Dados Pessoais do Instituto EcoFaxina, com a finalidade de estabelecer princípios e diretrizes para a implementação de ações que garantam a proteção de dados pessoais, e no que couber, no relacionamento com outras entidades públicas ou privadas.
Art. 2. Esta Política de Proteção de Dados Pessoais aplica-se a todas as unidades organizacionais do Instituto EcoFaxina, e deverá ser observada por todos os usuários de informação, seja servidor ou equiparado, empregado, prestador de serviços ou pessoa habilitada pela administração, por meio da assinatura de Termo de Responsabilidade, para acessar os ativos de informação sob responsabilidade do Instituto EcoFaxina.
Art. 3. A aplicação desta Política será pautada pelo dever de boa-fé e pela observância dos princípios previstos no art. 6º da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).
CAPÍTULO I - Das Disposições Gerais
Art. 4. São objetivos da Política de Proteção de Dados Pessoais:
I. estabelecer medidas eficazes para o cumprimento das normas de proteção de dados pessoais e demonstrar a eficácia das mesmas;
II. estabelecer revisões de processos com o objetivo de aferir a diminuição ou aumento de riscos que envolvem o tratamento de dados pessoais;
III. promover a administração dos dados pessoais coletados e tratados, em qualquer meio, físico ou digital, custodiados ou sob orientação direta ou indireta do Instituto EcoFaxina, de acordo com as diretrizes especificadas;
IV. estabelecer a necessidade de criar e manter um registro de todas as operações de tratamento de dados pessoais realizados;
V. promover a adequada gestão do tratamento dos dados pessoais;
VI. promover a criação de programas de treinamento e conscientização para que os colaboradores entendam suas responsabilidades e procedimentos na proteção de dados pessoais;
VII. promover a formulação regras de segurança, de boas práticas e de governança com objetivo de definir procedimentos e outras ações referentes a privacidade e proteção de dados pessoais;
Art. 5. O Instituto EcoFaxina registrará e gravará as preferências e navegações realizadas nas respectivas páginas para fins estatísticos e de melhoria dos serviços ofertados, através de arquivos (cookies), respeitando o consentimento do titular.
Art. 6. São responsabilidades do Instituto EcoFaxina:
I. atender ao disposto nos normativos e publicações da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) que disciplinam o tratamento e a governança dos dados pessoais;
II. elaborar, quando couber, o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) relacionados às operações de tratamento, e atualizá-lo quando necessário;
III. realizar o desenvolvimento e a atualização das políticas/avisos de privacidade, que tem por finalidade o fornecimento de informações sobre o tratamento de dados pessoais em cada ambiente físico ou virtual, bem como, especificar as medidas de proteção de dados adotadas para salvaguardar esses dados pessoais.
CAPÍTULO II - Tratamento de Dados Pessoais
Art. 7. O tratamento de dados pessoais deve ser sempre realizado para o atendimento de sua finalidade pública, conforme o interesse público, com o objetivo de executar competências legais e de cumprir as atribuições legais do serviço público.
Art. 8. As unidades organizacionais do Instituto EcoFaxina devem adotar mecanismos para que os titulares de dados pessoais usufruam dos direitos assegurados pela LGPD e normativos correlatos.
Art. 9. O tratamento de dados pessoais sensíveis deve ocorrer somente nos termos da seção II do capítulo II da LGPD e são estabelecidos procedimentos de segurança no tratamento destes dados conforme orientações da LGPD e demais normativos.
Art. 10. O tratamento de dados pessoais de crianças e de adolescentes deve ser realizado nos termos da seção III do capítulo II da LGPD, bem como, pode ser realizado com base nas hipóteses legais previstas no art. 7º ou no art. 11 da mesma lei, desde que observado e prevalecente o seu melhor interesse, a ser avaliado no caso concreto, nos termos do art. 14 da Lei.
Art. 11. O uso compartilhado de dados pessoais deve ocorrer em estrita observância ao art. 26 da LGPD.
Parágrafo Único. As operações remanescentes de uso compartilhado de dados devem seguir o disposto no Art. 27 da LGPD.
Art. 12. A transferência internacional de dados pessoais deve observar o disposto no Capítulo V da LGPD.
CAPÍTULO III - Conscientização, Capacitação e Sensibilização
Art. 13. Os servidores do Instituto EcoFaxina, com acesso a dados pessoais devem participar de programas de conscientização, capacitação e sensibilização em matérias de privacidade e proteção de dados pessoais, objetivando adequar o tema aos seus papeis e responsabilidades.
CAPÍTULO IV - Segurança e Boas Práticas
Art. 14. Considerando a necessidade de mitigar incidentes com dados pessoais, devem ser adotadas as seguintes medidas técnicas e organizacionais de privacidade e proteção de dados:
I. o acesso aos dados pessoais deve estar limitado as pessoas que realizam o tratamento.
II. as funções e responsabilidades dos colaboradores envolvidos nos tratamentos de dados pessoais devem ser claramente estabelecidas e comunicadas;
III. devem ser estabelecidos acordos de confidencialidade, termos de responsabilidade ou termos de sigilo com operadores de dados pessoais;
IV. todos os dados pessoais devem estar armazenados em ambiente seguro, de modo que terceiros não autorizados não possam acessá-los.
Art. 15. Qualquer ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos dados pessoais dos titulares deve ser comunicada a Autoridade Nacional de Proteção de Dados (ANPD) dentro do prazo previsto pela LGPD.
Art. 16. As unidades organizacionais do(a) [Órgão ou entidade] devem manter uma base de conhecimento com documentos que apresentam condutas e recomendações que melhoram o gerenciamento de risco e orientam na tomada de decisões adequadas em casos de comprometimento de dados pessoais.
CAPÍTULO V - Auditoria e Conformidade
Art. 17. O cumprimento desta Política, bem como dos normativos que a complementam devem ser avaliados periodicamente por meio de verificações de conformidade, buscando a certificação do cumprimento dos requisitos de privacidade e proteção de dados pessoais e da garantia das cláusulas de responsabilidade e sigilo constantes de termos de responsabilidade, contratos, convênios, acordos e instrumentos congêneres.
Art. 18. As atividades, produtos e serviços desenvolvidos no Instituto EcoFaxina devem observar os requisitos de privacidade e proteção de dados pessoais constantes de leis, regulamentos, resoluções, normas, estatutos e contratos jurídicos vigentes para estarem em conformidade.
Art. 19. Os resultados de cada ação de verificação de conformidade devem ser documentados em relatório de avaliação de conformidade.
CAPÍTULO VI - Funções e Responsabilidades
Art. 20. Qualquer pessoa natural ou jurídica de direito público ou privado que tenha interação em qualquer fase do tratamento de dados pessoais deve assegurar a privacidade e a proteção de dados pessoais que trata, mesmo após o término do tratamento, observando as medidas técnicas e administrativas determinadas pelo Instituto EcoFaxina.
Art. 21. Compete ao Comitê de Proteção de Dados Pessoais (CPDP):
I. promover a proteção de dados pessoais e a adequação do Instituto EcoFaxina à LGPD;
II. constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre proteção de dados pessoais;
III. participar da elaboração da Política de Proteção de Dados Pessoais e das demais normas internas de privacidade e proteção de dados pessoais, além de propor atualizações e alterações nestes dispositivos;
IV. a responsabilidade por gerenciar a implementação da LGPD dentro da organização e a administração da Política de Proteção de Dados Pessoais
V. incentivar a conscientização, capacitação e sensibilização das pessoas que desempenham qualquer atividade de tratamento de dados pessoais dentro do Instituto EcoFaxina.
Art. 22. O Comitê de Proteção de Dados Pessoais (CPDP) é constituído no mínimo por:
I. diretor-presidente;
II. diretor de comunicação;
III. um representante do departamento de tecnologia da informação;
IV. um representante do departamento jurídico.
Art. 23. A presidência do Comitê de Proteção de Dados Pessoais (CPDP) será exercida por um dos membros da Diretoria Executiva do Instituto EcoFaxina;
Art. 24. A responsabilidade pelas decisões relacionadas ao tratamento de dados pessoais é do Instituto EcoFaxina que no exercício das atribuições típicas de controlador determina as medidas necessárias para executar a Política de Proteção de Dados Pessoais dentro de sua estrutura organizacional.
Art. 25. Compete ao controlador:
I. observar os fundamentos, princípios da privacidade e proteção de dados pessoais e os deveres impostos pela LGPD e por normativos correlatos no momento de decidir sobre um futuro tratamento ou realizá-lo;
II. considerar o preconizado pelos art. 7º, art. 11 e art. 23 antes de realizar o tratamento de dados pessoais;
III. cumprir o previsto pelos art. 46 e art. 50 da LGPD buscando à proteção de dados pessoais e sua governança;
IV. indicar um encarregado pelo tratamento de dados pessoais, divulgando a identidade e as informações de contato do encarregado de forma clara e objetiva, preferencialmente no sítio institucional;
V. elaborar o inventário de dados pessoais a fim de manter registros das operações de tratamento de dados pessoais;
VI. reter dados pessoais somente pelo período necessário para o cumprimento da hipótese legal e finalidade utilizadas como justificativa para o tratamento de dados pessoais;
VII. criar e manter atualizados os avisos ou políticas de privacidade, que informarão sobre os tratamentos de dados pessoais realizados em cada ambiente físico ou virtual, e como os dados pessoais neles tratados são protegidos; e
VIII. requerer do titular a ciência com o termo de uso para cada serviço ofertado, informatizado ou não, que trate dados pessoais.
§ 1º É vedado qualquer tratamento de dados pessoais para fins não relacionados com as atividades desenvolvidas pela organização ou por pessoa não autorizada formalmente pelo Instituto EcoFaxina.
Art. 26. São considerados operadores de dados pessoais as pessoas naturais ou jurídicas de direito público ou privado, que realizam operações de tratamento de dados pessoais em nome do Controlador.
Parágrafo único. Quaisquer fornecedores de produtos ou serviços, que por algum motivo, realizam o tratamento de dados pessoais a eles confiados, são considerados operadores e devem seguir as diretrizes estabelecidas nesta política, em especial o capítulo VII.
Art. 27. Compete ao operador:
I. observar os princípios estabelecidos no art. 6º da LGPD, ao realizar tratamento de dados pessoais;
II. seguir as diretrizes estabelecidas pelo controlador;
III. antes de efetuar o tratamento, verificar se as diretrizes estabelecidas pelo controlador cumprem os requisitos legais presentes nos art. 7º, art. 11 e art. 23 da LGPD;
Parágrafo único. Não é competência do operador decidir unilateralmente quanto aos meios e finalidades utilizados para o tratamento de dados pessoais.
Art. 28. Compete ao encarregado de proteção de dados:
I. receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II. receber comunicações e requisições da ANPD e adotar providências;
III. orientar os colaboradores da organização a respeito das práticas a serem adotadas em relação à proteção de dados pessoais; e
IV. executar as demais atribuições determinadas pelo agente de tratamento ou estabelecidas em normas complementares.
Parágrafo único: Ao receber comunicações da ANPD, o encarregado adotará as medidas necessárias para o atendimento da solicitação e para o fornecimento de informações pertinentes, adotando, dentre outras, as seguintes providências:
I. encaminhar internamente a demanda para as unidades competentes;
II. fornecer orientação e a assistência necessárias ao agente de tratamento; e
III. indicar expressamente o representante do agente de tratamento perante a ANPD para fins de atuação em processos administrativos, quando esta função não for exercida pelo próprio encarregado.
Art. 29. O encarregado de proteção de dados prestará assistência e orientação ao agente de tratamento na elaboração, definição, e implementação de:
I. registro e comunicação de incidente de segurança;
II. registro das operações de tratamento de dados pessoais;
III. relatório de impacto à proteção de dados pessoais;
IV. mecanismos internos de supervisão e de mitigação de riscos relativos ao tratamento de dados pessoais;
V. medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
VI. processos e políticas internas que assegurem o cumprimento da LGPD, e dos regulamentos e orientações da ANPD;
VII. instrumentos contratuais que disciplinem questões relacionadas ao tratamento de dados pessoais;
VIII. transferências internacionais de dados;
IX. regras de boas práticas e de governança e de programa de governança em privacidade, nos termos do art. 50 da LGPD.
X. produtos e serviços que adotem padrões de design compatíveis com os princípios previstos na LGPD, incluindo a privacidade por padrão e a limitação da coleta de dados pessoais ao mínimo necessário para a realização de suas finalidades; e
XI. outras atividades e tomada de decisões estratégicas referentes ao tratamento de dados
pessoais.
Art. 30. Compete ao agente de tratamento:
I. prover os meios necessários para o exercício das atribuições do encarregado, neles compreendidos, entre outros, recursos humanos, técnicos e administrativos;
II. solicitar assistência e orientação do encarregado quando da realização de atividades e tomada de decisões estratégicas referentes ao tratamento de dados pessoais;
III. garantir ao encarregado a autonomia técnica necessária para cumprir suas atividades, livre de interferências indevidas, especialmente na orientação a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
IV. assegurar aos titulares meios céleres, eficazes e adequados para viabilizar a comunicação com o encarregado e o exercício de direitos; e
V. garantir ao encarregado acesso direto às pessoas de maior nível hierárquico dentro da organização, aos responsáveis pela tomada de decisões estratégicas que afetem ou envolvam o tratamento de dados pessoais, bem como às demais áreas da organização.
CAPÍTULO VII - Contratos, Convênios, Acordos e Instrumentos Congêneres
Art. 31. Os contratos, convênios, acordos e instrumentos similares atualmente em vigor, que de alguma forma envolvam o tratamento de dados pessoais, precisam incorporar cláusulas específicas em total conformidade com a presente Política de Proteção de Dados Pessoais e que contemplem minimamente:
I. requisitos mínimos de segurança da informação;
II. determinação de que o operador não processe os dados pessoais para finalidades que divergem da finalidade principal informada pelo controlador;
III. requisitos de proteção de dados pessoais que os operadores de dados pessoais devem atender;
IV. condições sob as quais o operador deve devolver ou descartar com segurança os dados pessoais após a conclusão do serviço, rescisão de qualquer contrato ou de outra forma mediante solicitação do controlador
V. diretrizes especificas sobre o uso de subcontratados pelo operador para execução contratual que envolva tratamento de dados pessoais;
Art. 32. As unidades organizacionais do Instituto EcoFaxina devem adotar medidas rigorosas com o propósito de assegurar que os terceiros e processadores de dados pessoais contratados estejam plenamente em conformidade com as cláusulas contratuais estabelecidas no momento da celebração do acordo entre as partes envolvidas.
CAPÍTULO VIII - Penalidades
Art. 33. Ações que violem a Política de Proteção de Dados Pessoais poderão acarretar, isolada ou cumulativamente, nos termos da legislação aplicável, sanções administrativas, civis e penais, assegurados aos envolvidos o contraditório e a ampla defesa.
Art. 34. Casos de descumprimento desta Política serão registrados e comunicados ao controlador para ciência e tomada das providências cabíveis.
CAPÍTULO IX - Disposições Finais
Art. 35. Os integrantes do Comitê de Proteção de Dados Pessoais (CPDP) ou estrutura equivalente] poderão expedir instruções complementares, no âmbito de suas competências, que detalharão suas particularidades e procedimentos relativos à Proteção de Dados Pessoais alinhados às diretrizes emanadas pelo Comitê de Proteção de Dados Pessoais (CPDP) e aos respectivos Planos Estratégicos Institucionais do Instituto EcoFaxina.
Art. 36. As dúvidas sobre a Política de Proteção de Dados Pessoais e seus documentos serão submetidas ao Comitê de Proteção de Dados Pessoais (CPDP).
Art. 37. Esta política será revisada no período de dois anos, a partir do início de sua vigência.
Art. 38. Os casos omissos serão resolvidos pelo Controlador.
Art. 39. Esta política entra em vigor na data de sua publicação.
Atualizado em 11/10/2023.