Governança
Corporativa
CISS S.A.

1. Introdução

A proteção dos seus Dados Pessoais é muito importante para a CISS CONSULTORIA EM INFORMÁTICA, SERVIÇOS E SOFTWARE S/A (“CISS”).

A CISS está comprometida em preservar sua privacidade e assumiu o compromisso de tratar seus Dados Pessoais de acordo com a legislação aplicável e com as melhores práticas sobre privacidade e proteção de dados.

Assim, a CISS elaborou a presente Política de Privacidade (“Política”) para explicar, de maneira simples, transparente e objetiva como trata os Dados Pessoais aos quais tem acesso no contexto de desenvolvimento de suas atividades empresariais, incluindo, mas, não somente, Dados Pessoais dos seus clientes e representantes de seus clientes, colaboradores e visitantes de seu website www.ciss.com.br, como candidatos em processos seletivos e treinamentos e pessoas interessadas nos produtos e serviços ofertados pela CISS.

2. Definições

São aplicáveis à presente Política as seguintes definições:

• Controlador: significa a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de Dados Pessoais;
• Dados Pessoais: significa quaisquer informações relacionadas a uma pessoa identificada ou identificável, incluindo identificadores eletrônicos;
• Dados Pessoais Sensíveis: significa Dados Pessoais sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
• CISS: significa a CISS Consultoria em Informática, Serviços e Software S/A, pessoa jurídica de direito privado, inscrita no CNPJ/ME sob o nº 82.213.604/0001-80, com sede Rua Léo Tedesco, 834 - Bairro Das Torres, Dois Vizinhos - PR, 85.660-000;
• LGPD: significa a Lei nº 13.709/2018, denominada Lei Geral de Proteção de Dados Pessoais que prevê, dentre outras providências, os direitos dos Titulares dos dados, as bases legais para o tratamento de Dados Pessoais e as obrigações e requisitos relativos a incidentes de segurança da informação envolvendo Dados Pessoais;
• Operador: significa a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de Dados Pessoais em nome do Controlador;
• Política: significa a presente Política de Privacidade;
• “Titular de Dados Pessoais” ou “Titular: significa a pessoa natural a quem se referem os Dados Pessoais que são objeto de operações de tratamento;
• Tratamento de Dados Pessoais: significa toda e qualquer operação realizada com Dados Pessoais, como as que se referem à coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração

3. A quem esta Política é aplicável?

Esta Política aplica-se a todas as pessoas que acessarem e de qualquer outra forma utilizarem o site da CISS (www.ciss.com.br) e suas respectivas funcionalidades ou a pessoas com as quais a CISS mantenha relações comerciais.

4. Quais Dados Pessoais são coletados?

Para a CISS desenvolver suas atividades empresárias é imprescindível que esta conduza algumas atividades de Tratamento de Dados Pessoais, as quais envolvem os seguintes Dados Pessoais:

• Dados de identificação, como nome, e-mail (profissional e pessoal), endereço, nacionalidade, profissão, telefone (profissional e pessoal), números de documentos de identificação (RG e CPF), dentre outras informações que podem ser solicitadas conforme aplicável à relação contratual existente entre a CISS e o Titular. Tais dados são fornecidos pelos próprios Titulares ou por terceiros, tais como clientes, representantes de clientes, pessoas interessadas em saber mais sobre os nossos serviços ou solicitar uma demonstração, candidatos e representantes de candidatos que participam de nossos processos seletivos e de projetos de formação e/ou de treinamentos que promovemos.
• Dados complementares de candidatos em processos seletivos e programas de capacitação, como idade, data de nascimento, número da CTPS, PIS e CNH, gênero e fotografia (quando incluídas em currículos pelos próprios Titulares).
• Dados coletados pela CISS automaticamente, por meio do acesso ao website da CISS ou outras plataformas digitais por ela disponibilizadas ou nas quais seja possível realizar o contato com a CISS, tais como cookies, beacons, dados de geolocalização, dentre outros.

5. Para quais finalidades os Dados Pessoais são tratados?

A CISS realiza o tratamento dos dados do Item 3 desta Política para as seguintes finalidades:

• Processos seletivos: para participar de processos seletivos divulgados em nosso site ou para disponibilizá-lo em nosso Banco de Talentos para vagas futuras, o interessado pode enviar o seu currículo na página "Trabalhe Conosco";
• Inscrição e divulgação em cursos e treinamentos: para participar dos treinamentos on-line que fornecemos por meio da "Universidade CISS", é necessária a realização de um cadastro de inscrição. Os Dados Pessoais fornecidos no cadastro também são utilizados para a comunicação, divulgação, envio de materiais didáticos e emissão de certificados relacionados aos treinamentos. A Política de Privacidade UniCISS descreve as diretrizes sobre as atividades da Universidade CISS.
• Inscrição no CISSMirim, CISSTrainee e outros programas de capacitação: para viabilizar a participação dos interessados em programas de capacitação promovidos pela CISS, como o "CISSMirim" e o "CISSTrainee", a CISS coleta os dados indicados no Item 3 desta Política conforme sejam necessários para a inscrição, seleção e contato com os participantes. Ainda, caso haja vagas abertas em programas de Jovens Aprendizes ou Estágio relacionados a tais programas de capacitação, a CISS poderá utilizar os Dados Pessoais fornecidos na inscrição para contatá-los e realizar o processo seletivo.
• Envio de newsletters: a CISS também utiliza alguns dos Dados Pessoais indicados no Item 3, como nome e e-mail, para o envio de newsletters aos interessados pelo conteúdo do Blog da CISS e que tenham se inscrito para receber tais conteúdos;
• Atendimento às solicitações de demonstração de produtos: clientes e interessados em obter demonstrações de produtos da CISS podem solicitá-las por meio de um formulário de inscrição no site da CISS, acessado pelo canal “Agendar Demonstração”, que conterá os Dados Pessoais necessários para viabilizar a identificação do pedido e o contato com o solicitante;
• Central de atendimento: para viabilizar o atendimento às diversas formas de contato disponíveis no canal de atendimento da CISS, como "Suporte para Clientes" (“CAC CISS”), "Central de Vendas", e "Fale com outros departamentos", nós coletamos Dados Pessoais indicados no item 3 desta Política por meio do preenchimento de formulários de cadastro e/ou solicitação, conforme a necessidade e a finalidade de cada contato. Para acessar a Política de Privacidade específica de nossa plataforma CAC CISS, clique aqui.
• Autenticação do usuário: uma vez criado o cadastro no site da CISS, seus Dados Pessoais como login e senha são coletados para validação da identidade do usuário;
• Prospecção de novos clientes: A CISS utiliza dados Pessoais para identificar e analisar seu nicho de clientes, com o intuito de encontrar possíveis clientes com perfil similares para entrega de conteúdos;
• Manutenção e aprimoramento: para garantir a qualidade e disponibilidade das plataformas disponíveis por meio do site da CISS, poderemos utilizar seus Dados Pessoais para avaliar as nossas funcionalidades constantemente, visando propor melhorias, como novas funcionalidades e atualizações de segurança;
• Cumprimento de obrigações legais: para atender às obrigações legais decorrentes da legislação vigente aplicável às atividades da CISS;
• Obrigações contratuais: para cumprimento das obrigações contratuais assumidas junto aos nossos parceiros, prestadores de serviços e fornecedores;
• Defesa dos interesses: para defesa dos direitos e interesses da CISS em eventuais demandas judiciais, administrativas e extrajudiciais;
• Atendimento ao Titular: para atender eventuais solicitações do Titular de Dados Pessoais, como, por exemplo, para responder contatos do Titular por meio do formulário Fale com o DPO.
• Outras finalidades: A CISS poderá utilizar os Dados Pessoais coletados também para outras finalidades que não sejam conflitantes ou excessivas em relação às finalidades listadas acima, sempre em conformidade com a legislação brasileira vigente aplicável, com base em interesses legítimos, exceto nos casos em que prevaleçam os direitos e garantias legais do Titular.

6. Como quem os Dados Pessoais são compartilhados?

A CISS compartilha os Dados Pessoais listados no Item 3 desta Política apenas com empresas como prestadores de serviço, subcontratados e outros fornecedores, dentro do limite do que seja necessário para a disponibilização das funcionalidades promovidas em seu site, e sempre de acordo com a legislação brasileira vigente aplicável e com a adoção das melhores práticas de segurança da informação, visando garantir a segurança e a confidencialidade dos seus Dados Pessoais.

Além disso, a CISS esclarece que o compartilhamento poderá ocorrer com empresas localizadas em território estrangeiro, incluindo data centers terceirizados localizados no exterior. Nesse sentido, a CISS informa que adota todas as medidas técnicas e administrativas necessárias para que os Dados Pessoais sejam transferidos e armazenados dentro dos mesmos parâmetros de segurança utilizados no Brasil pela CISS e em consonância com as disposições da LGPD e da ANPD sobre o tema.

Ademais, na hipótese de alguma autoridade policial, administrativa ou judicial requerer acesso aos dados do Titular, e se este requerimento estiver respaldado na legislação brasileira vigente aplicável, a CISS poderá compartilhar os Dados Pessoais para atender a tal solicitação.

Por fim, a CISS também poderá compartilhar os Dados Pessoais para a proteção de seus interesses, em qualquer tipo de conflito, inclusive demandas administrativas e judiciais.

7. Como os Dados Pessoais são armazenados?

Os Dados Pessoais tratados para as finalidades descritas nesta Política serão armazenados pela CISS apenas pelo período necessário para atingirem a finalidade para os quais foram coletados, conforme o disposto no artigo 15 da LGPD. Assim, a CISS informa que poderá manter os Dados Pessoais que coleta, por exemplo, durante o período em que o Titular de dados estiver participando de um processo seletivo, curso ou treinamento fornecido pela CISS, enquanto viger os contratos com os respectivos clientes e, ainda, pelo tempo necessário para:

• Exercício regular de direitos em processos judiciais, administrativos ou arbitrais, considerando-se, para tanto, os prazos prescricionais aplicáveis;
• Cumprimento de obrigações legais ou regulatórias; e
• Atendimento dos interesses legítimos da CISS, respeitadas as legítimas expectativas do Titular de Dados Pessoais.

8. Quais são os seus direitos?

Em cumprimento à legislação vigente aplicável, no que diz respeito ao tratamento de Dados Pessoais, a CISS informa que respeita e garante a possibilidade de apresentação de solicitações dos Titulares baseadas nos seguintes direitos previstos na LGPD, de acordo com o quanto aplicável:

• Confirmação da existência de tratamento de Dados Pessoais;
• Acesso aos Dados Pessoais;
• Correção de Dados Pessoais incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a legislação vigente aplicável;
• Portabilidade de dados tratados;
• Eliminação de eventuais Dados Pessoais tratados com base no consentimento, exceto nas hipóteses previstas na legislação aplicável;
• Informação sobre as entidades públicas e privadas com as quais compartilhamos os seus Dados Pessoais, se aplicável;
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências de sua negativa; e
• Revogação do seu consentimento, quando eventualmente aplicável.

Caso você queira exercer qualquer um dos direitos acima descritos, ou ainda, acredite que seus Dados Pessoais foram e/ou estão sendo utilizados de maneira incompatível com as finalidades descritas nesta Política, você poderá apresentar sua solicitação por meio de contato informado no item 12 desta Política.

A correção dos seus Dados Pessoais, mediante atualização do seu cadastro no site da CISS, também poderá se dar por meio do “CAC CISS” e pelo "Portal RH Ciss" .

9. Como protegemos os seus Dados Pessoais?

A CISS emprega os melhores esforços para proteger os Dados Pessoais tratados, implementando medidas técnicas e organizacionais apropriadas, como por exemplo o uso de criptografia para dados em transito, afim de proteger essas informações contra o tratamento desautorizado, ilegal ou perda acidental, destruição ou danos, como, por exemplo, por meio do armazenamento dos Dados Pessoais que trata em ambiente operacional seguro, cujo acesso é restrito, além de utilizar páginas seguras com certificado SSL e seguir rígidas políticas de segurança da informação.

Embora a CISS adote medidas de segurança compatíveis com a natureza dos Dados Pessoais que trata e com as melhores práticas disponíveis no mercado brasileiro, a CISS não pode garantir total segurança destes, estando suscetível a falhas técnicas ou eventuais ações mal-intencionadas de terceiros, diante da própria natureza das tecnologias da informação atuais.

10. Como tratamos Dados Pessoais de crianças e adolescentes?

As funcionalidades disponíveis no site da CISS não são destinadas a crianças (menores de 12 anos de idade), de modo que não são coletados e tratados Dados Pessoais de indivíduos dessa idade de modo intencional. Se a CISS tiver conhecimento da coleta ou do recebimento de informações pessoais de uma criança, essas informações serão excluídas imediatamente. Caso o responsável legal ou pai de uma criança identifique que a mesma forneceu Dados Pessoais à CISS, deverá entrar em contato com a CISS, através do formulário Fale com o DPO.

Por meio das plataformas CISSMirim e CISSTrainee, bem como em processos seletivos relacionados a programas de Estágio e de Jovens Aprendizes, a CISS realiza o tratamento de Dados Pessoais de adolescentes entre 14 e 18 anos de idade, dentro dos limites necessários à execução das atividades e sempre observando o melhor interesse do Titular. Nas hipóteses de seleção e contratação de um adolescente para os programas de Estágio ou Jovens Aprendizes, os respectivos contratos de trabalho são assinados por seus representantes legais, nos termos da legislação brasileira vigente aplicável.

11.Atualizações

A CISS busca aperfeiçoar suas atividades cotidianamente, de modo que se reserva o direito de alterar esta Política a qualquer momento, visando, principalmente, fornecer ao Titular de Dados Pessoais um nível de transparência cada vez maior sobre a forma como trata Dados Pessoais.

Além disso, caso esta Política sofra modificações relevantes, a CISS comunicará sobre as novas versões desta Política, para a sua base de dados, de modo a dar ciência aos Titulares de dados acerca das novas condições para o tratamento de seus Dados Pessoais.

12. Legislação e foro

Esta Política é regida, interpretada e executada de acordo com a legislação brasileira vigente aplicável, em especial, a LGPD, independentemente das leis de outros países.

13. Contato

A CISS está à disposição para sanar eventuais dúvidas decorrentes desta Política ou da forma como tratamos seus Dados Pessoais, através do “Formulário Fale com outros departamentos”. Nos casos de solicitações de Titulares ou quaisquer outros assuntos relativos às atividades de Tratamento dos Dados Pessoais conduzidas pela CISS, por meio do canal “Fale com o DPO”.

1. Introdução

Os Cookies são pequenos arquivos de texto enviados e armazenados no seu computador. Estes pequenos arquivos servem para reconhecer, acompanhar e armazenar a sua navegação como usuário na Internet. Essa política estabelece as diretrizes para o uso adequado de cookies pela CISS e apresenta transparência sobre o seu uso.

2. Abrangência

Essa política se aplica a todos os sites da empresa, os quais utilizam cookies, em especial páginas que realizam o tratamento de dados pessoais.

3. Tipos e finalidade dos cookies utilizado pela CISS

Quando o titular de dados visita os websites da CISS, sendo eles: https://ciss.com.br/, https://blog.ciss.com.br/, www.uniciss.com.br e https://meajuda.ciss.com.br/. Este websites podem armazenar informações na forma de cookies em seu navegador. Esta informação pode ser sobre as suas preferências ou o seu dispositivo. A utilidade principalmente é fazer com que o website funcione conforme o esperado. A seguir estão descritos os tipos de cookies que a CISS utiliza em seus websites. A utilização de cookies não prejudica os dispositivos onde são armazenados. A utilização de cookies pode realizar a coleta de algumas informações, dependendo do tipo de cookies, sendo os dados de: endereço IP, dispositivo utilizado, sistema operacional, data e hora de acesso, tipo de conexão de rede, versão de navegador e idioma de preferência.

1. Cookies estritamente necessários

   Estes cookies são necessários para que o website funcione e não podem ser desligados. Eles só são configurados em resposta a ações que correspondem a uma solicitação de serviços, tais como definir as suas preferências de privacidade, iniciar sessão ou preencher formulários. Você pode configurar o seu navegador para bloquear ou alertá-lo(a), mas algumas partes do website não funcionarão. Estes cookies não armazenam qualquer dado pessoal do titular que possa identificá-lo;

2. Cookies de desempenho

   Estes cookies permitem que a CISS registre visitas e fontes de tráfego, para que possam medir e melhorar o desempenho de seus websites. Eles ajudam a saber quais são as páginas mais e menos populares e a ver como os visitantes se movimentam pelo website. Todas as informações recolhidas por estes cookies são agregadas e, por conseguinte, anónimas;

3. Cookies de funcionalidade

   Estes cookies permitem que os website CISS forneçam funcionalidades e personalizações melhores. Podem ser estabelecidos pela CISS ou por fornecedores cujos serviços são adicionados às nossas páginas;

4. Cookies de publicidade

   Estes cookies podem ser estabelecidos através dos websites da CISS pelos parceiros de publicidade. Podem ser usados por essas empresas para construir um perfil sobre os seus interesses e mostrar-lhe anúncios relevantes em outros websites. Eles não armazenam diretamente dados pessoais do titular, mas são baseados na identificação exclusiva do seu navegador e dispositivo de internet;

5. Cookies nas redes sociais

   Estes cookies são estabelecidos por uma série de serviços das redes sociais que são adicionados aos website da CISS, para permitir que o titular de dados partilhe os conteúdos dos websites CISS com os seus amigos e conhecidos. Eles são capazes de rastrear a sua navegação por outros websites e criar um perfil sobre os seus interesses. Isso pode afetar o conteúdo e as mensagens que vê em outros websites que visita;

4. Diretrizes para a coleta de cookies

• Para os cookies de Desempenho, funcionalidade, publicidade, e redes sociais a CISS realiza a coleta de consentimento através do banner de cookies;
• Para os cookies estritamente necessários, a CISS utiliza a base legal do Legítimo Interesse, e por isso não utiliza opt-in neste tipo de cookies;
• O titular tem liberdade de escolha em relação aos tipos de cookies que prefere permitir a coleta, através do gerenciamento de preferências disponibilizado no banner de cookies;
• O banner permite a rejeição de todos os cookies não necessários;
• O titular de dados deve estar ciente que o bloqueio de alguns tipos de cookies pode afetar a sua experiência no website e os serviços que podemos oferecer.
• Para gerenciar os cookies do navegador, o titular de dados pode fazê-lo diretamente nas configurações do seu navegador, na área de gestão de cookies.

5. Atualizações

A CISS busca aperfeiçoar suas atividades cotidianamente, de modo que se reserva o direito de alterar esta Política a qualquer momento, visando, principalmente, fornecer ao Titular de Dados Pessoais um nível de transparência cada vez maior sobre a forma como trata Dados Pessoais.

Além disso, caso esta Política sofra modificações relevantes, a CISS comunicará sobre as novas versões desta Política, para a sua base de dados, de modo a dar ciência aos Titulares de dados acerca das novas condições para o tratamento de seus Dados Pessoais.

• Não tiver realizado o tratamento de dados potencialmente infringente que lhe é atribuído;
• Não houver violação à legislação de proteção de dados; ou
• Eventual resultado danoso decorreu de culpa exclusiva da vítima.

Além disso, caso a CISS venha a sofrer danos ou prejuízos decorrentes de atividades de tratamento de dados pessoais cuja responsabilidade seja atribuível ao Cliente, nos termos da legislação aplicável, a CISS poderá buscar reparação civil pelos danos por ela suportados, nos termos dos artigos 186 e 927 do Código Civil.

6. Contato

A CISS está à disposição para sanar eventuais dúvidas decorrentes desta Política ou da forma como tratamos seus Dados Pessoais, através do “Formulário Fale com outros departamentos”. Nos casos de solicitações de Titulares ou quaisquer outros assuntos relativos às atividades de Tratamento dos Dados Pessoais conduzidas pela CISS, por meio do canal “Fale com o DPO”.

1. Introdução

O Grupo CISS entende o valor estratégico das informações para seu modelo de negócio. A segurança da informação é determinante para a competitividade e continuidade da empresa. A presente política de segurança e privacidade da informação(“PSI”) tem como objetivo definir as diretrizes para regulamentar e disciplinar os procedimentos adequados para a proteção das informações. Em síntese essa política visa a:

1. Confidencialidade: Garantir que somente pessoas autorizadas tenham acesso às informações e aos ativos da informação que necessitam no âmbito de suas atividades;
2. Integridade: Assegurar a veracidade e a totalidade das informações e os métodos de execução física ou lógica, protegendo a informação, na guarda ou transmissão, contra alterações indevidas, intencionais ou acidentais;
3. Disponibilidade: Garantir o acesso autorizado às informações e aos ativos correspondentes sempre que necessário;
4. Privacidade: Assegurar aos titulares o controle sobre como suas informações pessoais são coletadas e tratadas, bem como o direito de ser deixado em paz, ou a liberdade de interferência ou intrusão.

1.1 Abrangência

Todas as empresas do Grupo CISS, seus respectivos colaboradores, estendendo-se a fornecedores, parceiros, visitantes e terceirizados, devem conhecer e respeitar essa política, sendo que seu descumprimento poderá implicar em medidas disciplinares, administrativas e legais.

2. Objetivos de Segurança da Informação e Privacidade

A fim de nortear os esforços da empresa no que tange à segurança da informação e à proteção dos dados pessoais, a Alta Direção da CISS estabelece um conjunto de objetivos em consonância com os objetivos estratégicos da organização. Os objetivos definidos são:

1. Manter a disponibilidade dos produtos CISSPoder SaaS e CISSLive acima dos níveis acordados contratualmente;
2. Capacitar os colaboradores em segurança da informação e proteção de dados pessoais;
3. Identificar e tratar riscos à privacidade a fim de reduzi-los a níveis aceitáveis;
4. Reduzir os riscos à segurança da informação a níveis determinados pela Alta Direção;
5. Atender às solicitações de titulares dos dados pessoais dentro dos prazos legais.

Cada objetivo possui uma meta estabelecida pela Alta Direção. As metas definidas e os respectivos resultados coletados são divulgados, por diversos meios, em especial na página do Sistema de Gestão Integrado no INTRACISS.

3. Diretrizes de Segurança da Informação e Privacidade

A presente política é regida pelas seguintes diretrizes e complementadas pelas políticas específicas dispostas no item 9 deste documento:

1. Garantir a confidencialidade, disponibilidade e integridade dos dados do Grupo CISS ou sob sua tutela.
2. Proteger a privacidade dos dados pessoais tratados pelo Grupo CISS e garantir os direitos dos titulares.
3. Melhorar continuamente os controles de segurança e privacidade para acompanhar a evolução das novas ameaças e vulnerabilidades.
4. Conscientizar e capacitar continuamente os colaboradores nas políticas, procedimentos e melhores práticas de segurança da informação e privacidade.
5. Utilizar e tratar as informações e ativos de informações de forma ética e profissional.
6. Fornecer acessos físicos e lógicos baseados no princípio do acesso mínimo, ou seja, colaboradores devem possuir apenas os acessos necessários para exercerem suas atribuições. A atribuição de acessos privilegiados deve ser reduzida ao máximo e cuidadosamente avaliada.
7. Identificar, avaliar e tratar riscos à segurança da informação e à privacidade dos dados pessoais a fim de reduzi-los a níveis determinados aceitáveis pela Alta Direção do Grupo CISS.
8. Manter conformidade com requisitos contratuais, regulamentares, normativos e legislações.
9. Gerenciar adequadamente incidentes de segurança da informação. Para isso define-se que:
   • Constituem incidente de segurança da informação: a) O descumprimento desta política e de outras políticas, normas, guias e procedimentos que compõem o SGI; e b) Qualquer ação que coloque em risco a confidencialidade, integridade, disponibilidade ou privacidade das informações do Grupo CISS ou sob sua tutela.
   • Toda pessoa que identificar um Incidente de Segurança da Informação deve reportá-lo imediatamente, para isso deve-se utilizar o procedimento para reportar as ocorrências de segurança da informação.
   • Todos os incidentes de segurança da informação devem ser devidamente analisados e acompanhados até sua resolução, podendo os responsáveis serem submetidos a medidas disciplinares previstas no manual de conduta e à aplicação de sanções previstas em contrato ou na legislação vigente.

4. Papéis e Responsabilidades

O Sistema de Gestão Integrado contém um conjunto de papéis e responsabilidades necessários para seu funcionamento e para alcançar os objetivos determinados pela Alta Direção. Os papéis e suas respectivas responsabilidades são descritos abaixo:

4.1 Colaboradores

Todos os colaboradores do Grupo CISS, independentemente de nível hierárquico e modalidade de trabalho, são partes essenciais do Sistema de Gestão Integrado e igualmente responsáveis pela segurança da informação e proteção dos dados pessoais. Suas responsabilidades incluem:

1. Zelar pela confiabilidade da informação e pela proteção dos dados pessoais durante o exercício de suas atividades;
2. Utilizar os ativos da empresa de forma ética e estritamente profissional;
3. Conhecer e respeitar às políticas e procedimentos de segurança da informação e de proteção dos dados pessoais;
4. Comunicar qualquer incidente de segurança ao qual tenha conhecimento;
5. Comunicar qualquer ocorrência de violação de dados pessoais que tenha ciência;
6. Colaborar com a melhoria contínua do SGI, sugerindo melhorias e provendo feedback.

4.2 Comitê Executivo de Segurança da Informação e Privacidade

Este comitê é formado pelos Diretores da CISS representando a Alta Direção do Grupo CISS. Suas responsabilidades incluem:

1. Estabelecer os objetivos de segurança da informação e proteção de dados pessoais;
2. Fornecer os recursos necessários para que o SGI alcance seus objetivos;
3. Aprovar as políticas de segurança da informação e proteção de dados pessoais;
4. Definir o apetite a riscos da organização;
5. Aprovar o tratamento de riscos que estejam acima do apetite a riscos da organização;
6. Realizar a avaliação crítica de desempenho do SGI.

4.3 Comitê de Gestão da Segurança da Informação e Privacidade

Este comitê é formado por representantes das lideranças de cada um dos setores da empresa. As responsabilidades dos seus membros incluem:

1. Apoiar na elaboração e revisão de políticas e procedimentos;
2. Aprovar as políticas de segurança da informação e proteção de dados pessoais;
3. Promover a cultura de segurança da informação e da privacidade em seus respectivos setores;
4. Transmitir à suas equipes informações e decisões importantes tomadas no comitê;
5. Participar das reuniões de monitoramento;
6. Realizar a avaliação crítica de desempenho do SGI;
7. Gerenciar os ativos e atividades de tratamento do seu setor;
8. Identificar, avaliar e tratar os riscos à segurança da informação e privacidade que tenham impacto sobre seu setor.

4.4 Líder do Comitê de Gestão da Segurança da Informação e Privacidade

O Comitê de Gestão da Segurança da Informação e Privacidade é coordenado por um colaborador indicado pelo Comitê Executivo de Segurança da Informação e Privacidade. Suas responsabilidades incluem:

1. Trabalhar junto com a Alta Direção na definição dos objetivos de segurança da informação e proteção de dados pessoais;
2. Reportar o desempenho do SGI ao Comitê Executivo de Segurança da Informação e Privacidade;
3. Planejar e gerenciar as atividades do Comitê de Gestão da Segurança da Informação e Privacidade;
4. Planejar e gerenciar as atividades operacionais do SGI;
5. Representar a empresa durante auditorias de certificação.

4.5 Encarregado de Proteção de Dados Pessoais (DPO)

1. Será responsável pelo desempenho das funções previstas no Anexo I, nos termos do art. 41 da LGPD (“Funções”);
2. Concorda que sua identidade e detalhes de contato corporativo possam ser publicados, divulgados, inclusive no website da CISS, e comunicados à Autoridade Nacional de Proteção de Dados (“ANPD”), conforme requerido pela lei e/ou regulamentação aplicável;
3. Operará de forma independente, sem instrução ou influência de colegas ou gerência, no desempenho adequado de suas Funções; e
4. Receberá informações confidenciais no decorrer do desempenho de suas Funções (incluindo, mas não se limitando, a dados pessoais e outras informações recebidas de indivíduos no contexto do exercício de seus direitos), que não devem ser usadas para fins próprios ou divulgadas a terceiros, exceto conforme estritamente exigido para o desempenho adequado de suas Funções, ou de outra forma exigido pela lei aplicável.

Para apoiá-lo em seu papel como Encarregado, a CISS irá:

1. Envolvê-lo, de maneira oportuna e adequada, em questões relacionadas ao tratamento de dados pessoais;
2. Fornecer os recursos (em termos de pessoal, assessoria de terceiros, tecnologia e orçamento) razoavelmente necessários para que seja possível cumprir suas responsabilidades como Encarregado;
3. Respeitar a sua independência, não o instruindo sobre como deve cumprir suas Funções.

4.6 Proprietários de Ativos de Informação

O colaborador que for designado como proprietário de um ativo de informação é responsável por:

1. Classificar adequadamente o ativo com base no valor das informações contidas nele;
2. Zelar pela segurança do ativo implementando as medidas de segurança adequadas;
3. Identificar e corrigir possíveis vulnerabilidades.

4.7 Proprietários de Atividades de Tratamento

O colaborador que for responsável por qualquer atividade que realiza tratamento de dados pessoais deve:

1. Certificar-se que a atividade está em total conformidade com a LGPD;
2. Garantir que a atividade esteja devidamente registrada no inventário de atividades de tratamento da empresa;
3. Manter o registro da atividade devidamente atualizado;
4. Colaborar com a equipe GRC sempre que necessário.

4.8 Proprietários de Riscos à Segurança da Informação ou Privacidade

O colaborador que for designado como proprietário de um risco à segurança da Informação ou Privacidade é responsável por:

1. Definir adequadamente os níveis de probabilidade e impacto do risco;
2. Monitorar a eficácia dos controles de segurança sobre seus riscos;
3. Implementar os planos de tratamento necessários para redução do risco a níveis aceitáveis;
4. Responsabilizar-se pelas consequências das ocorrências dos seus riscos.

4.9 Auditor Interno

O colaborador ou terceiro que for designado como Auditor Interno do Sistema de Gestão Integrado (SGI), é responsável por:

1. Apoiar a gestão dos planos de auditoria;
2. Desenvolver e manter os checklists de verificação;
3. Preparar e executar as auditorias de conformidade;
4. Reportar, comunicar e acompanhar adequadamente não conformidades;
5. Coletar e comunicar todos os indicadores relacionados à conformidade;
6. Realizar análise causal das não conformidades, quando pertinente;

Apoiar na elaboração de políticas, procedimentos e processos.

5. Conformidade com esta Política

A Equipe GRC verificará a conformidade com esta política por meio de vários métodos, incluindo, entre outros, relatórios de ferramentas de negócios, auditorias internas e externas, e feedback.

6. Exceções

Exceções a esta política ou às políticas específicas que a compõem devem ser submetidas à análise do Comitê de Gestão da Segurança da Informação e Privacidade que por sua vez poderá autorizá-la, negá-la ou escalá-la ao Comitê Executivo de Segurança da Informação e Privacidade.

7. Medidas Disciplinares

Qualquer colaborador que tenha violado esta política, ou causado qualquer outro incidente de segurança ou violação de dados pessoais, seja de forma intencional, por descuido ou imperícia, estará sujeito a aplicação de medidas disciplinares previstas no Manual de Conduta do Grupo CISS.

8. Revisão e Aprovação

Esta política de segurança da informação deve ser revisada anualmente e sempre que ocorrerem mudanças significativas nas questões internas ou externas. Esta versão da política foi devidamente avaliada e aprovada pelo Comitê Executivo de Segurança da Informação e Privacidade.

9. Políticas Específicas

A fim de estabelecer diretrizes e orientações necessárias para reduzir os mais diversos riscos à segurança da informação e à privacidade foram desenvolvidas uma série de políticas específicas a cada um dos principais temas relevantes. Esse conjunto de políticas está listado abaixo com seus respectivos links.

• Política de Proteção de Dados Pessoais;
• Política de Descarte e Retenção de Dados Pessoais;
• Política de Classificação e Tratamento da Informação;
• Política de Senhas;
• Política de Mesa Limpa e Tela Limpa;
• Política de Controle de Acesso Lógico e Físico;
• Política de Redes;
• Política de Uso Computadores e Notebooks;
• Política de Uso da Internet;
• Política de Uso do E-mail Corporativo;
• Política de Criptografia;
• Política de Backup;
• Política de Trabalho Remoto;
• Política de Relacionamento com Fornecedores;
• Política de Desenvolvimento Seguro de Software;
• Política de Gestão de Ativos e Riscos;
• Política de Uso de Celular Corporativo;

10. Termos e Definições

• Ameaças: evento ou atitude indesejável que danifica dados ou ativos, aproveitando-se das falhas das organizações;
• Ativos de informações: no contexto desta Política, este termo aplica-se a sistemas de informações e a outras informações/outros equipamentos, incluindo documentos em papel, celulares, computadores portáteis, mídia de armazenamento de dados etc. que representem valor para a organização;
• Avaliação e Tratamento de Riscos: aplicação sistemática de políticas de gestão, procedimentos e práticas para as atividades para comunicar, consultar, estabelecer o contexto e identificar, analisar, avaliar, tratar, monitorar e analisar o risco;
• Controles de Segurança: são processos internos específicos que têm o objetivo de reduzir a probabilidade ou o impacto de um risco, caso ele venha a se concretizar;
• Dado Pessoal: informação relacionada à pessoa natural identificada ou identificável;
• Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
• Políticas: intenções e orientações globais expressas formalmente pela diretoria;
• Procedimento: documento especificado para realizar uma atividade ou um processo, também denominadas POP - Procedimento Operacional Padrão;
• Riscos: eventos ou condições que podem causar danos à CISS. É a combinação de probabilidade de um evento acontecer e suas consequências;
• Sistema de Gestão Informação (SGI): estrutura de políticas, procedimentos, guias e recursos associados com foco nos riscos do negócio, cuja finalidade é estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação.
• Vulnerabilidades: consiste em uma fraqueza ou falha de segurança de um ativo de informação ou controle de segurança que pode ser explorado por uma ou mais ameaças;

1. Introdução

A proteção dos dados pessoais tratados em nome dos clientes dos nossos produtos e serviços (“Serviços”) é muito relevante para a CISS.

Por isso, a CISS elaborou esta Política de Tratamento de Dados (“Política”) para informar aos seus clientes, controladores de dados pessoais, acerca de sua atuação como operadora do tratamento de dados pessoais para as finalidades dos Serviços, em conformidade com a legislação vigente aplicável sobre proteção de dados, em especial a Lei 13.709/2019 (Lei Geral de Proteção de Dados, “LGPD”). Todas as atribuições descritas neste documento, portanto, decorrem da alocação legal de responsabilidades entre o controlador e o operador de dados pessoais.

Aplicam-se, na interpretação desta Política, as definições constantes do artigo 5º da LGPD.

2. Aplicação desta Política

Esta Política, que integra o Contrato referente aos Serviços, aplica-se à CISS e aos clientes contratantes dos Serviços (“Clientes”). Ao disponibilizar os softwares licenciados a seus Clientes e prestar os demais Serviços, a CISS tem acesso aos dados pessoais inseridos pelo Cliente em seus sistemas, tratando tais dados apenas nos limites do exercício de suas atribuições contratuais. Desse modo, a CISS atua como operadora dos dados pessoais e os Clientes como controladores.

Portanto, os Clientes devem atuar em conformidade com a legislação vigente aplicável sobre proteção de dados, em especial em relação às suas obrigações de controlador previstas na LGPD.

3. Atuação da CISS como operadora de dados pessoais

A CISS, como operadora, atua exclusivamente:

• Nos limites das instruções lícitas fornecidas por seus Clientes; e
• Em conformidade com suas obrigações decorrentes da legislação aplicável à proteção de dados pessoais.

Nesse sentido, em relação aos Serviços, a CISS:

• Cumpre suas obrigações da legislação de proteção de dados e as regulamentações da Autoridade Nacional de Proteção de Dados (“ANPD”);
• Cumpre as instruções lícitas dos seus Clientes;
• Implementa medidas de segurança, técnicas e administrativas para proteger os dados pessoais dos Clientes de incidentes de segurança da informação;
• Exclui os dados pessoais tratados em decorrência dos Serviços, a critério do Cliente e quando por ele assim solicitado;
• Mantém registro das operações de tratamento de dados pessoais;
• Coopera com os Clientes para o atendimento dos direitos dos titulares dos dados previstos na LGPD;
• Coopera com os Clientes, em caso de eventual incidente de segurança da informação envolvendo dados pessoais, fornecendo as informações necessárias para análise do incidente pelo Cliente e adoção das medidas exigidas por lei.

Portanto, a CISS somente realiza o tratamento de dados pessoais nos limites das finalidades determinadas pelo Cliente e de acordo com a legislação vigente aplicável sobre proteção de dados pessoais.

A CISS pode, eventualmente, transferir dados pessoais para empresas do seu grupo econômico, prestadores de serviços terceirizados ou subcontratados localizados fora do país em que os dados pessoais foram coletados, como, por exemplo, prestadores de serviços de armazenamento de dados em nuvem, na medida necessária para executar e garantir a continuidade dos Serviços contratados pelo Cliente e de acordo com as salvaguardas mínimas previstas na LGPD.

4. Atuação do Cliente como Controlador de Dados Pessoais

Cabe ao Cliente, como controlador dos dados pessoais inseridos e tratados por meio dos Serviços da CISS, nos termos estabelecidos pela LGPD:

• Garantir a licitude do tratamento dos dados pessoais utilizados em conjunto com os Serviços CISS, inclusive com relação à base legal e cumprimento dos princípios estabelecidos pela LGPD;
• Nomear Encarregado de Proteção de Dados;
• Atender às solicitações de exercícios de direitos dos titulares, garantidos pela LGPD;
• Analisar os riscos decorrentes de eventuais incidentes de segurança da informação envolvendo dados pessoais e realizar, quando aplicável, a comunicação prevista no artigo 48 da LGPD à ANPD e ao titular de dados pessoais.

5. Responsabilidade da CISS como operadora

Quanto ao tratamento de dados pessoais por meio dos Serviços, a responsabilidade da CISS, como operadora, é subsidiária a dos Clientes, exceto na eventualidade de descumprimento da legislação aplicável sobre proteção de dados ou das instruções lícitas dos Clientes, como estabelecido pelo artigo 42, §1º, I, da LGPD.

No entanto, a CISS, mesmo que subsidiariamente, não poderá ser responsabilizada por potenciais atividades de tratamento de dados pessoais que violem a legislação, nos termos do artigo 43 da LGPD, quando:

• Não tiver realizado o tratamento de dados potencialmente infringente que lhe é atribuído;
• Não houver violação à legislação de proteção de dados; ou
• Eventual resultado danoso decorreu de culpa exclusiva da vítima.

Além disso, caso a CISS venha a sofrer danos ou prejuízos decorrentes de atividades de tratamento de dados pessoais cuja responsabilidade seja atribuível ao Cliente, nos termos da legislação aplicável, a CISS poderá buscar reparação civil pelos danos por ela suportados, nos termos dos artigos 186 e 927 do Código Civil.

6. Atualização

A CISS busca aperfeiçoar suas atividades cotidianamente, de modo que se reserva o direito de alterar esta Política a qualquer momento, visando, principalmente, fornecer aos Clientes um nível de transparência cada vez maior sobre sua atuação como operadora de dados.

Além disso, caso esta Política sofra modificações relevantes, a CISS comunicará sobre as novas versões desta Política, para a sua base de dados, de modo a dar ciência aos Titulares de dados acerca das novas condições para o tratamento de seus Dados Pessoais

7. Contato

A CISS está à disposição para sanar eventuais dúvidas decorrentes desta Política ou da forma como tratamos seus Dados Pessoais, através do “Formulário Fale com outros departamentos”. Nos casos de solicitações de Titulares ou quaisquer outros assuntos relativos às atividades de Tratamento dos Dados Pessoais conduzidas pela CISS, por meio do canal “Fale com o DPO”.

1. Introdução

A proteção dos seus Dados Pessoais é muito importante para a CISS CONSULTORIA EM INFORMÁTICA, SERVIÇOS E SOFTWARE S/A (“CISS”).

A CISS está comprometida em preservar sua privacidade e assumiu o compromisso de tratar seus Dados Pessoais de acordo com a legislação aplicável e com as melhores práticas sobre privacidade e proteção de dados.

Neste sentido, a CISS possui uma Política de Privacidade que engloba todas as atividades de tratamento de Dados Pessoais que realiza por meio das funcionalidades disponíveis em seu website https://ciss.com.br/, e que pode ser acessada a qualquer momento em Política de Privacidade da CISS.

Além da Política de Privacidade da CISS, foi elaborado uma Política de Privacidade CAC CISS, direcionada exclusivamente às atividades de tratamento de Dados Pessoais realizadas por meio do canal de atendimento e suporte aos seus clientes e colaboradores, o Suporte para Clientes, disponível em CAC CISS (https://meajuda.ciss.com.br).

A Política de Privacidade CAC CISS, busca complementar a Política de Privacidade da CISS, explicando, de maneira simples, transparente e objetiva, como e quais Dados Pessoais são tratados no contexto do CAC CISS.

2. Definições

São aplicáveis à Política de Privacidade CAC CISS as mesmas definições apresentadas na Política de Privacidade da CISS.

3. A quem a Política CAC CISS é aplicável?

A Política de Privacidade CAC CISS aplica-se aos clientes e representantes de clientes da CISS que acessarem o CAC CISS, mediante a realização de um cadastro, bem como utilizarem as funcionalidades específicas disponibilizadas por meio desta plataforma, como o “Suporte via chat” e o “Suporte via WhatsApp”. Além disso, esta política também é aplicável aos colaboradores da CISS que prestam os serviços de suporte do CAC CISS.

4. Quais Dados Pessoais são coletados?

Para que a CISS possa prestar o suporte solicitado pelos seus clientes da melhor forma possível, é imprescindível que esta conduza algumas atividades de Tratamento de Dados Pessoais, as quais envolvem os seguintes Dados Pessoais:

• Dados de identificação, como nome, e-mail (comercial ou pessoal), telefone (comercial ou pessoal), e fotografia, dentre outras informações que podem ser solicitadas conforme aplicável à relação contratual existente entre a CISS e o Titular. Tais dados são fornecidos pelos próprios Titulares ou ainda podem ser fornecidos por clientes, representantes de clientes e colaboradores da CISS;ru
• Dados coletados pela CISS automaticamente, por meio do acesso ao website da CISS ou outras plataformas digitais por ela disponibilizadas ou nas quais seja possível realizar o contato com a CISS, tais como cookies, beacons, dados de geolocalização, dentre outros.

5. Para quais finalidades os Dados Pessoais são tratados?

A CISS realiza o tratamento dos dados do Item 3 desta Política de Privacidade CAC CISS para as seguintes finalidades:

• Cadastro de clientes e representantes de clientes no CAC CISS: são coletados Dados Pessoais para cadastro no CAC CISS, mediante preenchimento de formulário ou criação de usuário direto na plataforma para criação de login e senha;
• Prestação dos serviços de suporte: para viabilizar o atendimento às diversas formas de solicitação de suporte e demandas dos clientes por meio do CAC CISS, são coletados Dados Pessoais indicados no item 3 desta Política, conforme a necessidade e a finalidade de cada solicitação, e conforme o canal escolhido pelo Titular;
• Comunicação com clientes e representantes de clientes: é também por meio dos dados disponibilizados no cadastro no CAC CISS que os analistas CISS podem contatar os clientes e representantes de clientes que solicitaram o serviço de suporte, além de realizar toda a comunicação relacionada aos atendimentos;
• Autenticação do usuário: uma vez criado o cadastro no site da CISS, tanto para os colaboradores quanto para os clientes e representantes de clientes, os Dados Pessoais como login e senha são coletados para validação da identidade do usuário;
• Manutenção e aprimoramento: para garantir a qualidade e disponibilidade das plataformas disponíveis por meio do site da CISS, podem ser utilizados Dados Pessoais para avaliar as nossas funcionalidades constantemente, visando propor melhorias, como novas funcionalidades e atualizações de segurança;
• Cumprimento de obrigações legais: para atender às obrigações legais decorrentes da legislação vigente aplicável às atividades da CISS;
• Obrigações contratuais: para cumprimento das obrigações contratuais assumidas junto aos parceiros, prestadores de serviços e fornecedores da CISS;
• Defesa dos interesses: para defesa dos direitos e interesses da CISS em eventuais demandas judiciais, administrativas e extrajudiciais;
• Outras finalidades: A CISS poderá utilizar os Dados Pessoais coletados para outras finalidades que não sejam conflitantes ou excessivas em relação às finalidades listadas acima, sempre em conformidade com a legislação brasileira vigente aplicável, com base em interesses legítimos, exceto nos casos em que prevaleçam os direitos e garantias legais do Titular.

6. Como quem os Dados Pessoais são compartilhados?

A CISS compartilha os Dados Pessoais listados no Item 3 desta Política apenas com empresas como prestadores de serviço, subcontratados e outros fornecedores, dentro do limite do que seja necessário para a disponibilização das funcionalidades promovidas em seu site e prestação do serviços de suporte, e sempre de acordo com a legislação brasileira vigente aplicável e com a adoção das melhores práticas de segurança da informação, visando garantir a segurança e a confidencialidade dos seus Dados Pessoais.

Ademais, na hipótese de alguma autoridade policial, administrativa ou judicial requerer acesso aos dados do Titular, e se este requerimento estiver respaldado na legislação brasileira vigente aplicável, a CISS poderá compartilhar os Dados Pessoais para atender a tal solicitação.

Por fim, a CISS também poderá compartilhar os Dados Pessoais para a proteção de seus interesses, em qualquer tipo de conflito, inclusive demandas administrativas e judiciais.

7. Como os Dados Pessoais são armazenados?

Os Dados Pessoais tratados para as finalidades descritas nesta Política serão armazenados pela CISS apenas pelo período necessário para atingirem a finalidade para os quais foram coletados, conforme o disposto no artigo 15 da LGPD. Assim, a CISS informa que poderá manter os Dados Pessoais que coleta, por exemplo, enquanto viger os contratos com os respectivos clientes ou colaboradores e, ainda, pelo tempo necessário para:

• Exercício regular de direitos em processos judiciais, administrativos ou arbitrais, considerando-se, para tanto, os prazos prescricionais aplicáveis;
• Cumprimento de obrigações legais ou regulatórias; e
• Atendimento dos interesses legítimos da CISS, respeitadas as legítimas expectativas do Titular de Dados Pessoais.

Além disso, a CISS esclarece que o armazenamento poderá ocorrer em território estrangeiro, incluindo data centers terceirizados localizados no exterior. Nesse sentido, a CISS informa que adota todas as medidas técnicas e administrativas necessárias para que os Dados Pessoais sejam transferidos e armazenados dentro dos mesmos parâmetros de segurança utilizados no Brasil pela CISS e em consonância com as disposições da LGPD e da ANPD sobre o tema.

8. Quais são os seus direitos?

Em cumprimento à legislação vigente aplicável, no que diz respeito ao tratamento de Dados Pessoais, a CISS informa que respeita e garante a possibilidade de apresentação de solicitações dos Titulares baseadas nos seguintes direitos previstos na LGPD, de acordo com o quanto aplicável:

• Confirmação da existência de tratamento de Dados Pessoais;
• Acesso aos Dados Pessoais;
• Correção de Dados Pessoais incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a legislação vigente aplicável;
• Portabilidade de dados tratados;
• Eliminação de eventuais Dados Pessoais tratados com base no consentimento, exceto nas hipóteses previstas na legislação aplicável;
• Informação sobre as entidades públicas e privadas com as quais compartilhamos os seus Dados Pessoais, se aplicável;
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências de sua negativa; e
• Revogação do seu consentimento, quando eventualmente aplicável.

Caso o Titular queira exercer qualquer um dos direitos acima descritos, ou ainda, acredite que seus Dados Pessoais foram e/ou estão sendo utilizados de maneira incompatível com as finalidades descritas nesta Política, poderá apresentar sua solicitação por meio de contato do formulário Fale com o DPO.

Nós esclarecemos, também, que é de responsabilidade do Titular manter quaisquer Dados Pessoais que sejam utilizados para comunicações relacionadas à prestação dos serviços de suporte, número de telefone, principalmente quando o Titular tiver optado por fornecer Dados Pessoais não comerciais.

No mesmo sentido, caso o Titular tenha informado um e-mail ou número de telefone pessoal para contato no momento do cadastro e, por qualquer motivo, queira deixar de receber as comunicações sobre os serviços de suporte nestes canais, o Titular deverá comunicar a CISS para que esta deixe de utilizar os canais previamente informados.

9. Como protegemos os seus Dados Pessoais?

A CISS emprega os melhores esforços para proteger os Dados Pessoais tratados, implementando medidas técnicas e organizacionais apropriadas, como por exemplo o uso de criptografia para dados em transito, afim de proteger essas informações contra o tratamento desautorizado, ilegal ou perda acidental, destruição ou danos, como, por exemplo, por meio do armazenamento dos Dados Pessoais que trata em ambiente operacional seguro, cujo acesso é restrito, além de utilizar páginas seguras com certificado SSL e seguir rígidas políticas de segurança da informação.

Embora a CISS adote medidas de segurança compatíveis com a natureza dos Dados Pessoais que trata e com as melhores práticas disponíveis no mercado brasileiro, a CISS não pode garantir total segurança destes, estando suscetível a falhas técnicas ou eventuais ações mal-intencionadas de terceiros, diante da própria natureza das tecnologias da informação atuais.

10. Como tratamos Dados Pessoais de crianças?

As funcionalidades disponíveis no CAC CISS não são destinadas a crianças (menores de 12 anos de idade), de modo que não são coletados e tratados Dados Pessoais de indivíduos dessa idade de modo intencional. Se a CISS tiver conhecimento da coleta ou do recebimento de informações pessoais de uma criança, essas informações serão excluídas imediatamente. Caso o responsável legal ou pai de uma criança identifique que a mesma forneceu Dados Pessoais à CISS, deverá entrar em contato com a CISS, através do formulário Fale com o DPO.

11. Atualizações

A CISS busca aperfeiçoar suas atividades cotidianamente, de modo que se reserva o direito de alterar esta Política a qualquer momento, visando, principalmente, fornecer ao Titular de Dados Pessoais um nível de transparência cada vez maior sobre a forma como trata Dados Pessoais.

12. Legislação e foro

A Política de Privacidade CAC CISS é regida, interpretada e executada de acordo com a legislação brasileira vigente aplicável, em especial, a LGPD, independentemente das leis de outros países.

Além disso, caso esta Política sofra modificações relevantes, a CISS comunicará sobre as novas versões desta Política, para a sua base de dados, de modo a dar ciência aos Titulares de dados acerca das novas condições para o tratamento de seus Dados Pessoais.

12. Contato

A CISS está à disposição para sanar eventuais dúvidas decorrentes desta Política ou da forma como tratamos seus Dados Pessoais, através do “Formulário Fale com outros departamentos”. Nos casos de solicitações de Titulares ou quaisquer outros assuntos relativos às atividades de Tratamento dos Dados Pessoais conduzidas pela CISS, por meio do canal “Fale com o DPO”.

1. Introdução

A proteção dos seus dados pessoais é muito importante para a CISS CONSULTORIA EM INFORMÁTICA, SERVIÇOS E SOFTWARE S/A (“CISS”).

Desta forma, a CISS está comprometida em preservar sua privacidade e assumiu o compromisso de tratar seus dados pessoais de acordo com a legislação aplicável e com as melhores práticas sobre privacidade e proteção de dados.

Neste sentido, a CISS possui uma Política de Privacidade que engloba todas as atividades de tratamento de Dados Pessoais que realiza por meio das funcionalidades disponíveis em seu website, e que pode ser acessada a qualquer momento em Política de Privacidade da CISS.

A Política de Privacidade UniCISS tem o objetivo de descrever como a CISS coleta, compartilha, armazena e/ou de outra forma trata os seus dados pessoais ao utilizar a Universidade Corporativa CISS (“UniCISS”), disponível em “www.uniciss.com.br/plataforma” (“Plataforma”).

2. A quem esta Política é aplicável?

Esta Política aplica-se às pessoas que acessarem, participarem de treinamentos e programas ou de qualquer forma utilizarem a Plataforma.

Além da Plataforma, as seguintes páginas vinculadas ao “ciss.com.br/universidade” também estão sujeitas a esta Política:

• “ciss.com.br/universidade/treinamentos”; Treinamentos Online para clientes e colaboradoresCISS,
• “ciss.com.br/universidade/cissmirim”; CISSMirim, programa de aprimoramento e capacitação de jovens para auxiliar no ingresso ao mercado de trabalho;
• “ciss.com.br/universidade/cisstrainee”; CISSTrainee, programa de capacitação e estágio remunerado para jovens estudantes de cursos técnicos e/ou graduação;

O acesso e uso das páginas acima estão sujeitos aos Termos e Condições de Uso.

3. Quais dados são coletados?

Ao acessar e utilizar a Plataforma, a CISS coletará seus dados pessoais, em especial seu usuário e senha, bem como outros sobre sua navegação, obtidos por meio de cookies de sessão, conforme descrito na Política de Cookies da CISS>

Para reservar uma vaga em treinamentos online, é necessário preencher o formulário, o qual exige alguns dados cadastrais: nome completo, número do Cadastro de Pessoas Físicas (CPF), número do celular (WhatsApp), e-mail, empresa, número do Cadastro Nacional da Pessoa Jurídica (CNPJ), cargo, cidade e estado.

Caso tenha interesse nos programas CISSMirim ou CISSTrainee, no momento da inscrição, os seguintes dados pessoais serão solicitados para permitir sua participação: nome completo, e-mail, data de nascimento, telefone celular, CEP, cidade, instituição de ensino, nome do curso e período.

Para treinamento EAD (e-learning) os clientes terão acesso a plataforma através do acesso disponível através do CAC CISS (meajuda.ciss.com.br), o qual segue as diretrizes de coleta de dados descritas na Política de Privacidade CAC CISS.

No caso de colaboradores CISS o acesso a Plataforma ocorre pela intranet, IntraCISS, e os dados são coletados conforme as diretrizes internas da CISS.

4. Para quais finalidades os dados são tratados?

A CISS realiza o tratamento dos dados do Item 2 desta Política para as seguintes finalidades:

• Autenticação: incluindo usuário e senha, para validação da identidade do usuário e prevenção de fraudes;
• Comunicações: para enviarmos comunicações, inclusive materiais didáticos, sobre o treinamento ou programa de capacitação, através de e-mails e grupos de whatsApp;
• Emissão de certificados: para emitirmos os certificados dos treinamentos concluídos;
• Emissão de relatórios: para emitirmos relatórios sobre os treinamentos concluídos;
• Manutenção e aprimoramento: para garantir a qualidade e disponibilidade da Plataforma, utilizaremos dados pessoais para avaliá-la constantemente, visando propor melhorias, como novas funcionalidades e atualizações de segurança;
• Cumprir obrigações legais: para atender às obrigações legais decorrentes da legislação vigente aplicável às atividades da CISS;
• Obrigações contratuais: para cumprimento das obrigações contratuais assumidas junto com parceiros, prestadores de serviços e fornecedores da CISS;
• Defesa de direitos e interesses: para defesa dos direitos e interesses da CISS em eventuais demandas judiciais ou extrajudiciais;
• Atendimento: para atender eventuais solicitações, como, por exemplo, para responder contatos por meio dos meios de comunicação disponibilizados pela CISS;
• Outras finalidades: a CISS poderá utilizar os dados pessoais coletados também para outras finalidades que não sejam conflitantes ou excessivas em relação às finalidades listadas acima, sempre em conformidade com a legislação brasileira vigente aplicável, com base em interesses legítimos, exceto nos casos em que prevaleçam os direitos e garantias legais do titular.

5. Com quem os dados são compartilhados?

A CISS compartilha os dados pessoais listados no Item 2 desta Política com os subcontratados responsáveis pela disponibilização da Plataforma, dentro do limite do que seja necessário para a sua disponibilização e sempre de acordo com a legislação brasileira vigente aplicável e com a adoção das melhores práticas de segurança da informação, visando garantir a segurança e a confidencialidade dos seus dados pessoais.

Além disso, quanto aos dados de colaborador CISS, relatórios informando os cursos concluídos poderão ser acessados por seu respectivo gestor para fins de acompanhamento da evolução do colaborador.

Ademais, na hipótese de alguma autoridade policial, administrativa ou judicial requerer acesso aos dados do titular e, este requerimento estiver respaldado na legislação brasileira vigente aplicável, a CISS poderá compartilhar os dados pessoais para atender a tal solicitação.

Por fim, é relevante destacar que a CISS poderá compartilhar os dados pessoais para a proteção de seus interesses, em qualquer tipo de conflito, inclusive demandas administrativas e judiciais.

6. Quando realizamos a transferência internacional dos dados pessoais?

A CISS poderá, quando necessário, e de acordo com a legislação aplicável, transferir seus dados pessoais a prestadores de serviços e/ou fornecedores localizados no exterior, em especial prestadores de serviços e fornecedores relacionados à Plataforma, como os de armazenamento em nuvem.

Quando os dados pessoais forem transferidos para fora do Brasil pela CISS, medidas apropriadas serão adotadas para garantir a proteção adequada de seus dados pessoais em conformidade com os requisitos da legislação aplicável de proteção de dados.

7. Como os dados são armazenados?

Os dados pessoais tratados para as finalidades descritas nesta Política serão armazenados pela CISS apenas pelo período necessário para atingirem a finalidade para os quais foram coletados, como, por exemplo, durante o período que o titular de dados possuir uma conta de usuário da Plataforma ou, ainda, pelo tempo necessário para:

• exercício regular de direitos em processos judiciais, administrativos ou arbitrais, considerando-se, para tanto, os prazos prescricionais aplicáveis;
• cumprimento de obrigações legais ou regulatórias; e
• atendimento dos interesses legítimos da CISS, respeitadas as legítimas expectativas do titular de dados pessoais.

8. Quais são os seus direitos?

Em cumprimento à legislação vigente aplicável, no que diz respeito ao tratamento de dados pessoais, a CISS informa que respeita e garante a possibilidade de apresentação de solicitações baseadas nos seguintes direitos previstos na LGPD, de acordo com o quanto aplicável:

• Confirmação da existência de tratamento de dados pessoais;
• Acesso aos dados pessoais;
• Correção de dados pessoais incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
• Portabilidade dos dados tratados;
• Eliminação de eventuais dados pessoais tratados com base no consentimento, exceto nas hipóteses previstas no art. 16 da LGPD;
• Informação sobre as entidades públicas e privadas com as quais compartilhamos dados pessoais, se aplicável;
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências de sua negativa; e
• Revogação do consentimento, quando eventualmente aplicável.

Caso seja necessário exercer qualquer um dos direitos acima descritos, ou ainda, o Titular de Dados acredita que seu dados pessoais foram e/ou estão sendo utilizados de maneira incompatível com as finalidades descritas nesta Política,o mesmo poderá apresentar realizar uma solicitação através do meio de contato informado no Item 12 desta Política.

9. Como protegemos os seus dados pessoais?

A CISS emprega os melhores esforços para proteger os Dados Pessoais tratados, implementando medidas técnicas e organizacionais apropriadas, como por exemplo o uso de criptografia para dados em transito, afim de proteger essas informações contra o tratamento desautorizado, ilegal ou perda acidental, destruição ou danos, como, por exemplo, por meio do armazenamento dos Dados Pessoais que trata em ambiente operacional seguro, cujo acesso é restrito, além de utilizar páginas seguras com certificado SSL e seguir rígidas políticas de segurança da informação.

Embora a CISS adote medidas de segurança compatíveis com a natureza dos Dados Pessoais que trata e com as melhores práticas disponíveis no mercado brasileiro, a CISS não pode garantir total segurança destes, estando suscetível a falhas técnicas ou eventuais ações mal-intencionadas de terceiros, diante da própria natureza das tecnologias da informação atuais.

10. Como tratamos dados de crianças ou de adolescentes?

As funcionalidades disponíveis na Plataforma da CISS não são destinadas a crianças (menores de 12 anos de idade), de modo que não são coletados e tratados Dados Pessoais de indivíduos dessa idade de modo intencional. Se a CISS tiver conhecimento da coleta ou do recebimento de informações pessoais de uma criança, essas informações serão excluídas imediatamente. Caso o responsável legal ou pai de uma criança identifique que a mesma forneceu Dados Pessoais à CISS, deverá entrar em contato com a CISS, através do formulário Fale com o DPO.

Por meio das plataformas CISS Mirim e CISS Trainee, bem como em processos seletivos relacionados a programas de Estágio e de Jovens Aprendizes, a CISS realiza o tratamento de Dados Pessoais de adolescentes entre 14 e 18 anos de idade, dentro dos limites necessários à execução das atividades e sempre observando o melhor interesse do Titular. Nas hipóteses de seleção e contratação de um adolescente para os programas de Estágio ou Jovens Aprendizes, os respectivos contratos de trabalho são assinados por seus representantes legais, nos termos da legislação brasileira vigente aplicável.

11. Atualizações

A CISS busca aperfeiçoar suas atividades cotidianamente, de modo que se reserva o direito de alterar esta Política a qualquer momento, visando, principalmente, fornecer a você um nível de transparência cada vez maior sobre a forma como trata seus dados pessoais.

Além disso, caso esta Política sofra modificações relevantes, a CISS comunicará sobre as novas versões desta Política, para a sua base de dados, de modo a dar ciência aos Titulares de dados acerca das novas condições para o tratamento de seus Dados Pessoais.

12. Legislação e foro

A Política de Privacidade CAC CISS é regida, interpretada e executada de acordo com a legislação brasileira vigente aplicável, em especial, a LGPD, independentemente das leis de outros países.

Além disso, caso esta Política sofra modificações relevantes, a CISS comunicará sobre as novas versões desta Política, para a sua base de dados, de modo a dar ciência aos Titulares de dados acerca das novas condições para o tratamento de seus Dados Pessoais.

12. Contato

A CISS está à disposição para sanar eventuais dúvidas decorrentes desta Política ou da forma como tratamos seus Dados Pessoais, através do “Formulário Fale com outros departamentos”. Nos casos de solicitações de Titulares ou quaisquer outros assuntos relativos às atividades de Tratamento dos Dados Pessoais conduzidas pela CISS, por meio do canal “Fale com o DPO”.