Para exercer suas atividades, a Intelliway Tecnologia necessita reunir e tratar informações obtidas de pessoas naturais como fornecedores, parceiros comerciais, empregados, visitantes e outras com as quais a organização se relacione. Esta política estabelece as diretrizes para esse tratamento, em conformidade com a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018).
1. Introdução
Para exercer suas atividades, a Intelliway Tecnologia necessita reunir e tratar informações obtidas de pessoas naturais como fornecedores, parceiros comerciais, empregados, visitantes e outras com as quais a organização se relacione.
2. Objetivos
- Estabelecer as diretrizes para o tratamento dos dados pessoais coletados pela Intelliway Tecnologia de usuários de seus serviços, estar em conformidade com as legislações (como a Lei Geral de Proteção de Dados – LGPD) e melhores práticas aplicáveis;
- Proteger os direitos dos membros da organização, seus clientes e parceiros comerciais;
- Proteger a companhia do risco em ser vítima de um incidente de segurança.
3. Escopo
Esta política aplica-se a todas as espécies de dados pessoais tratados (nome, números de documentos, endereço postal, endereço de e-mail, número de telefone, dados financeiros e outros), e a todas as espécies de tratamento conduzido pela Intelliway Tecnologia.
4. Documentos complementares
- AN-SGI-001 – Política do SGI.
5. Definições
- LGPD: refere-se à Lei Geral de Proteção de Dados.
- Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
- Encarregado (Data Protection Officer – DPO): pessoa indicada pela empresa para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
- Atividade de Tratamento: toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
- Banco de Dados: conjunto estruturado de dados estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
- Titular: pessoa natural a quem se referem os dados pessoais que são objeto de atividades de tratamento.
- Inventário de Dados e Atividades de Tratamento: registro de todos os sistemas ou contextos em que os dados pessoais coletados são tratados pela empresa.
6. Papéis e responsabilidades
Os papéis e responsabilidades gerais do SGI estão consolidados na AN-SGI-006 – Matriz RACI. As responsabilidades específicas deste procedimento são:
- Encarregado (DPO): atuar como canal com titulares e ANPD, monitorar conformidade e orientar a organização.
- Responsável por TI: implementar e manter controles técnicos de segurança da informação.
- Gestores de Processo: garantir que os tratamentos sob sua responsabilidade estejam em conformidade.
- Colaboradores e Terceiros: cumprir esta política e reportar incidentes ou não conformidades.
7. Princípios de proteção de dados
A Intelliway Tecnologia está empenhada em tratar os dados coletados (inclusive de colaboradores e demais membros da organização) de acordo com as responsabilidades e obrigações trazidas pela LGPD. Os dados pessoais na Intelliway Tecnologia serão:
- tratados somente: I – caso sejam obtidos mediante o consentimento (livre, inequívoco e informado) por parte de seu titular; II – para o cumprimento de obrigação legal ou regulatória; III – para a execução de contrato ou de procedimentos preliminares a ele relacionados; IV – para o exercício regular de direitos em processo judicial, administrativo ou arbitral; V – para a tutela da saúde de indivíduos; VI – para fins de legítimo interesse de terceiros ou da atividade conduzida pela Intelliway Tecnologia, especialmente em benefício de seus clientes;
- tratados em conformidade com a lei, de forma justa e transparente em relação aos indivíduos;
- coletados para fins específicos, explícitos e legítimos, e não serão tratados de forma adicional incompatível com esses fins;
- armazenados de forma a garantir sua exatidão, clareza, relevância e, quando necessário, mantidos atualizados; todos os esforços razoáveis serão destinados a garantir que dados imprecisos sejam prontamente apagados ou corrigidos;
- mantidos de forma a permitir a identificação dos titulares apenas pelo tempo necessário para atender à finalidade para a qual foram coletados; caso armazenados além desse período, será exclusivamente para fins de arquivamento e cumprimento de obrigação legal;
- tratados por meios aptos a garantir a segurança adequada dos dados pessoais, incluindo proteção contra o processamento não autorizado ou ilegal e contra perdas acidentais, destruição ou danos, através de medidas técnicas ou organizacionais apropriadas.
8. Disposições gerais
- Esta política aplica-se a todos os dados pessoais (inclusive de titularidade dos empregados, visitantes e demais membros da organização) tratados pela Intelliway Tecnologia e presentes em suas bases de dados.
- A pessoa responsável assumirá a responsabilidade pela conformidade contínua da empresa com esta política.
- A presente política deverá ser reavaliada periodicamente, em intervalo não maior que doze meses.
- A organização irá promover treinamento adequado a todos os colaboradores para auxiliá-los a compreender suas responsabilidades relacionadas à proteção de dados pessoais.
- Os colaboradores devem requisitar ajuda de seus superiores ou do Encarregado (DPO) para os casos em que possuam dúvidas sobre qualquer aspecto relacionado à proteção de dados.
- Todos os terceiros que tenham acesso e manipulem dados pessoais controlados pela Intelliway Tecnologia deverão ter padrões de segurança adequados e observar os mesmos princípios de privacidade que pautam a conduta da empresa.
9. Processamento legal, justo e transparente
- Para garantir que o processamento de dados seja conduzido em conformidade com a lei, de forma justa e transparente, a Intelliway Tecnologia manterá um registro dos tratamentos conduzidos (Inventário de Dados e Atividades de Tratamento).
- O método e a adequação dos registros deverão ser revisados pelo menos anualmente.
- Os titulares têm o direito de acessar seus dados, e quaisquer pedidos feitos à empresa serão respondidos em até 30 dias.
10. Propósitos legais
- Todas as atividades de tratamento de dados conduzidas pela Intelliway Tecnologia são realizadas em conformidade com uma das seguintes bases legais: consentimento, cumprimento contratual, obrigação legal ou regulatória, defesa legal ou administrativa, ou interesses legítimos.
- A Intelliway Tecnologia identifica as bases legais apropriadas e as registra em seu Inventário de Dados e Atividades de Tratamento.
- Se o consentimento for identificado como a base legal adequada, as evidências que comprovem sua concessão são devidamente documentadas e arquivadas.
- Quando comunicações são enviadas a indivíduos com base em seu consentimento, é garantida a possibilidade de revogá-lo de forma fácil e acessível, por e-mail, telefone ou pelo Assistente Virtual do site da Intelliway Tecnologia.
- Os sistemas operam de forma a garantir que a revogação seja refletida com precisão nos sistemas da Intelliway Tecnologia.
11. Riscos relacionados à privacidade de dados
- Quebra de confidencialidade: por exemplo, quando uma informação é fornecida de forma inapropriada ou ao destinatário equivocado. A permissão de acesso é controlada, os controladores e operadores são treinados, e os acessos são passíveis de auditoria e rastreamento.
- Falha em garantir escolha livre e informada: a todos os titulares deve ser conferida a possibilidade de escolher livremente como a companhia utilizará suas informações. Os consentimentos são sempre livres, inequívocos e informados, e podem ser alterados a qualquer momento pelos nossos canais.
- Dano reputacional: em caso de ataques cibernéticos. Para mitigar, a empresa usa concessão e monitoramento de acessos, firewall, gestão de endpoint e outras técnicas contra acessos maliciosos.
12. Tratamento de dados para fins específicos
A Intelliway Tecnologia poderá coletar dados pessoais de titulares interessados em participar de eventos, campanhas promocionais ou institucionais, organizados ou apoiados pela empresa. Essa coleta será realizada mediante consentimento prévio, livre, informado e específico, e terá por finalidade exclusiva a viabilização da participação e comunicação relacionada a essas iniciativas.
Os dados coletados serão tratados apenas pelo tempo necessário para a finalidade informada e, quando aplicável, poderão ser compartilhados com parceiros diretamente envolvidos na realização do evento ou campanha, sempre com observância dos princípios da LGPD.
12.1. Tratamento de dados de visitantes
A Intelliway trata dados pessoais de visitantes externos para controle de acesso físico, segurança patrimonial e rastreabilidade de acessos, com base no legítimo interesse do controlador (LGPD, art. 7º, IX). Os controles operacionais aplicáveis estão definidos no PR-SGI-011 – Controle de Acesso Físico de Visitante.
13. Armazenamento de dados pessoais
- Qualquer dúvida sobre o armazenamento seguro de dados deve ser encaminhada ao DPO, através dos meios formais disponíveis.
- Os dados armazenados fisicamente são arquivados em local seguro, que impede o acesso de pessoas não autorizadas.
- Sobre informações impressas: arquivos físicos são mantidos em local com tranca; colaboradores asseguram que nada seja deixado à vista; dados impressos são inutilizados e eliminados adequadamente quando não mais necessários.
- Dados digitais são protegidos contra acesso não autorizado, eliminação acidental e invasões: mídias removíveis armazenadas com segurança; dados apenas em discos e servidores autorizados e nuvens autorizadas; servidores em local seguro e segregado; sem salvar dados diretamente em laptops ou dispositivos móveis; proteção por softwares de segurança e firewalls.
Tratamento de dados de crianças e adolescentes
A Intelliway Tecnologia declara que não realiza, em nenhuma de suas atividades, o tratamento de dados pessoais de crianças ou adolescentes, conforme o Art. 14 da LGPD. Caso futuramente ocorra qualquer mudança, esta política será atualizada para refletir os requisitos legais aplicáveis.
Tipos de dados, finalidades, bases legais e prazos de retenção
| Tipo de dado pessoal | Finalidade do tratamento | Base legal (LGPD) | Prazo de retenção |
|---|
| Nome completo | Identificação e comunicação com o titular | Art. 7, V – Execução de contrato | Durante a vigência contratual + 5 anos |
| Endereço de e-mail | Comunicação, envio de informações e marketing com consentimento | Art. 7, I – Consentimento | Até revogação do consentimento |
| Telefone | Contato para suporte ou confirmação de cadastro | Art. 7, V – Execução de contrato | Durante a relação contratual |
| Documento de identificação (CPF, RG) | Identificação, prevenção a fraudes e obrigações legais | Art. 7, II – Obrigação legal | Pelo período exigido pela legislação |
| Dados financeiros (ex.: banco, boleto) | Processamento de pagamento | Art. 7, V – Execução de contrato | 5 anos após o término da relação |
| Nome completo (eventos/campanhas) | Inscrição e controle de acesso a eventos/campanhas | Art. 7, I – Consentimento | Até 12 meses após realização do evento |
| E-mail e telefone (eventos/campanhas) | Envio de confirmação e comunicação promocional | Art. 7, I – Consentimento | Até revogação ou 12 meses após o evento |
| Imagem ou voz (eventos/campanhas) | Divulgação institucional e registro audiovisual | Art. 7, I – Consentimento | Até 5 anos após o evento ou revogação |
| Preferências e respostas (eventos) | Personalização de conteúdo e feedback pós-evento | Art. 7, I – Consentimento | Até 12 meses após o evento |
| Dados de visitante do SOC (nome, CPF/RG, empresa, cargo, e-mail, telefone, data/hora de entrada e saída, finalidade e perfil da visita) | Controle de acesso físico ao SOC, credenciamento, registro de conduta e confidencialidade, rastreabilidade e auditoria de acessos, coletados via Termo de Confidencialidade e Conduta para Visitantes (exigido apenas para acesso ao SOC) | Art. 7º, IX – Legítimo interesse do controlador (ISO/IEC 27001:2022 ctrl. 7.2; ISO/IEC 27701:2026) | 5 anos após a visita, seguido de exclusão segura digital conforme PR-SGI-006 |
| Registro de entrada e saída (nome, documento, foto) de visitantes de Área Comum e Área Sensível | Controle de acesso físico ao edifício: registro realizado e mantido pela administradora do condomínio, disponível à Intelliway sob demanda para auditoria ou apuração de incidentes | Art. 7º, IX – Legítimo interesse do controlador | Conforme política da administradora do condomínio; registros da Intelliway, quando solicitados, retidos por 5 anos |
14. Uso de dados pessoais
Dados pessoais só possuem utilidade para a Intelliway caso sejam pertinentes à atividade empresarial que desenvolve. Para mitigar riscos de perda, corrupção e roubo:
- colaboradores devem bloquear a tela sempre que não estiverem utilizando o equipamento;
- dados pessoais não devem ser compartilhados informalmente, especialmente por e-mail;
- dados devem ser adequadamente encriptados antes de qualquer transferência eletrônica;
- dados não devem ser transferidos para países cujas legislações de privacidade não se equiparem às exigências nacionais;
- colaboradores não devem salvar cópias em seus próprios computadores, acessando sempre a cópia central.
15. Integridade dos dados pessoais armazenados
É responsabilidade de todos que manuseiam dados pessoais tomar os cuidados adequados para assegurar que sua integridade seja preservada. Os dados devem ser armazenados no menor número possível de locais. Somente pessoas autorizadas devem ter acesso, controlado por login, senha e permissionamento por grupos. Qualquer pessoa que acesse dados fora do escopo de seu trabalho deve avisar imediatamente o DPO.
16. Requisição de acesso pelo titular
Todo titular de dados pessoais armazenados pela organização tem o direito de:
- questionar quais informações a Intelliway possui sobre ele, e por quê;
- questionar como poderia ter acesso a tais informações;
- ser informado sobre como se manter atualizado quanto ao andamento de seu pedido;
- ser informado sobre os esforços da companhia para se manter em conformidade com suas obrigações de proteção de dados;
- solicitar alterações ou exclusão dos dados, quando enquadrados no que rege a lei.
O Encarregado (DPO) empregará o máximo de esforços para responder à solicitação em no máximo 30 dias e, para prevenir compartilhamento indevido, sempre verificará a identidade do requerente antes de conceder acesso a qualquer informação.
17. Compartilhamento de dados com autoridades públicas
Em algumas circunstâncias, a LGPD permite que dados pessoais sejam compartilhados com autoridades públicas sem o consentimento do titular. Quando exigido, a Intelliway Tecnologia realizará o compartilhamento pertinente, assegurando-se da legitimidade do requerimento, com apoio de consultoria em privacidade e assessoria jurídica quando necessário.
18. Fornecimento de informações
A Intelliway Tecnologia garante que os titulares tenham ciência de que seus dados estão sendo tratados e de como podem exercer seus direitos. Para tanto, conta com uma Declaração de Privacidade e Termos de Serviço detalhando como os dados são utilizados.
19. Minimização de dados pessoais
- A Intelliway trabalha para garantir que os dados sejam precisos, relevantes e limitados ao necessário conforme os propósitos para os quais são tratados.
- Quando cabível, técnicas de anonimização e pseudoanonimização serão utilizadas.
- Quando não mais persistir a finalidade e não houver obrigação ou interesse jurídico, o dado será prontamente excluído.
20. Arquivamento / remoção
Para garantir que os dados não sejam mantidos por mais tempo do que o necessário, a organização mantém uma política de arquivamento/retenção para cada área, revisada ao menos anualmente. Prazos mínimos observados incluem:
- pelo menos 5 anos após o término da relação contratual com os consumidores dos serviços (art. 27 do Código de Defesa do Consumidor);
- enquanto a finalidade da coleta perdurar e, nos casos de consentimento, enquanto este não for retirado; nos casos de legítimo interesse, enquanto o titular não exercer seu direito de oposição.
21. Segurança
- A Intelliway investe continuamente em tecnologia e processos para armazenar os dados com segurança, mantendo o ambiente monitorado e atualizado.
- O acesso é limitado aos empregados e parceiros que efetivamente necessitem dele.
- Dados pessoais não devem ser compartilhados informalmente; o acesso a informação confidencial é requisitado ao superior.
- A exclusão de dados é feita de modo a torná-los irrecuperáveis.
- Senhas fortes são utilizadas e nunca compartilhadas; quando possível, adota-se OTP (duplo fator).
- Soluções de recuperação de desastre e back-up são implementadas e têm sua eficácia avaliada periodicamente.
22. Quebra de segurança
No caso de uma quebra de segurança que conduza à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais, a empresa avaliará prontamente o risco aos direitos e liberdades dos titulares, reportando, se aplicável, o incidente à Autoridade Nacional de Proteção de Dados (ANPD) ou à autoridade pertinente.
23. Disposições finais
Este documento será avaliado anualmente, podendo ser alterado a qualquer tempo e critério. As pessoas que violarem esta política estarão sujeitas às medidas legais e/ou disciplinares cabíveis. Esta política entra em vigor na data de sua publicação, revogando disposições em contrário.
Canais de atendimento
Para esclarecer dúvidas sobre como a Intelliway Tecnologia trata os dados pessoais:
24. Documento de referência
- Lei nº 13.709/2018 – Lei Geral de Proteção de Dados (LGPD).