Proteção de Dados

Diretrizes obrigatórias para toda a equipe sobre coleta, tratamento, armazenamento e proteção de dados pessoais

1. Apresentação

A Associação Casa Hacker defende os direitos e liberdades civis e, por isso, está comprometida em promover níveis adequados de segurança para assegurar a privacidade e proteger os dados pessoais de todas as pessoas que se relacionam com a organização.

Esta Política Interna de Proteção de Dados estabelece as orientações para toda a equipe (trabalhadores(as), prestadores de serviço, voluntários(as), estagiários(as) e dirigentes estatutários ou não) sobre qual conduta adotar para a coleta, uso, armazenamento, compartilhamento e eliminação de dados pessoais de qualquer pessoa que tenha algum tipo de relação com a nossa organização.

Desta forma, a ASSOCIAÇÃO CASA HACKER, inscrita no CNPJ/MF sob o nº 36.038.079/0001-97, no papel de Controladora de dados, obriga-se ao disposto na presente Política Interna de Proteção de Dados, e todos(as) os(as) profissionais e dirigentes que tenham vínculo com a organização devem cumprir e se atentar às presentes orientações.

O descumprimento das orientações contidas neste documento pode gerar responsabilização individual e sanções administrativas, além de expor a Casa Hacker a riscos legais, financeiros e reputacionais.

2. Objetivo e abrangência

Esta Política tem como objetivos:

a) Estabelecer diretrizes claras e objetivas para o tratamento de dados pessoais na Casa Hacker; b) Assegurar a conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados - LGPD) e demais normas aplicáveis; c) Proteger os direitos fundamentais de liberdade, privacidade e personalidade dos(as) titulares de dados; d) Mitigar riscos de incidentes de segurança e vazamento de dados; e) Promover uma cultura de proteção de dados na organização; f) Definir papéis, responsabilidades e fluxos de trabalho relacionados ao tratamento de dados; g) Orientar a equipe sobre as melhores práticas de segurança da informação.

Esta Política aplica-se a:

  • Todos(as) os(as) trabalhadores(as) da Casa Hacker, independentemente do tipo de vínculo (CLT, PJ, estágio, aprendizagem);

  • Voluntários(as) e colaboradores(as) eventuais;

  • Prestadores(as) de serviço e fornecedores(as) que tenham acesso a dados pessoais sob responsabilidade da Casa Hacker;

  • Membros da Diretoria Executiva e do Conselho de Administração;

  • Qualquer pessoa que, em nome da Casa Hacker, colete, trate, armazene ou compartilhe dados pessoais.

3. Conceitos Fundamentais

Os principais conceitos relacionados à Proteção de Dados são:

Titular: pessoa física a quem se referem os dados pessoais;

Controladora: termo que designa a quem compete as decisões referentes ao tratamento de dados pessoais. No caso da Casa Hacker, a Diretoria Executiva é responsável pelas decisões estratégicas sobre tratamento de dados;

Encarregado(a) de Dados (Data Protection Officer - DPO): pessoa indicada pela Casa Hacker para atuar como canal de comunicação entre a organização, os(as) titulares e a Autoridade Nacional de Proteção de Dados (ANPD). O(A) Encarregado(a) atual é Geraldo Barros ([email protected]);

Operador(a): pessoa física ou jurídica que realiza o tratamento de dados pessoais a partir das instruções da Controladora;

Dados Pessoais: qualquer informação que identifique ou que possa identificar uma pessoa física, como – por exemplo – um nome, um número de identificação (CPF, RG), dados de localização, identificadores por via eletrônica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa;

Dados Pessoais Sensíveis: qualquer dado pessoal que diga respeito a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, bem como dado referente à saúde ou à vida sexual, dado genético ou biométrico, identidade de gênero e orientação sexual;

Tratamento: toda operação realizada com dados pessoais: coleta, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, atualização, comunicação, transferência, compartilhamento e extração de dados pessoais;

Anonimização: processo que quebra a ligação entre o(a) titular de dados e as informações sobre ele(a), de forma que impeça a identificação da pessoa a partir dos dados pessoais;

Consentimento: manifestação livre, informada e inequívoca pela qual o(a) titular autoriza o tratamento de seus dados pessoais para uma finalidade determinada;

Incidente de Segurança: qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, como acesso não autorizado, vazamento, destruição, perda, alteração ou qualquer forma de tratamento inadequado ou ilícito.

4. Princípios do Tratamento de Dados Pessoais

Todo tratamento de dados pessoais na Casa Hacker deve seguir os princípios estabelecidos no art. 6º da LGPD:

1. Finalidade: os dados só podem ser tratados para propósitos legítimos, específicos, explícitos e informados ao(à) titular. Não é permitido tratar dados para finalidades incompatíveis com as informadas;

2. Adequação: o tratamento deve ser compatível com as finalidades informadas ao(à) titular;

3. Necessidade: devem ser coletados e tratados apenas os dados mínimos necessários para o cumprimento da finalidade. Não é permitido coletar dados "por precaução" ou "para uso futuro";

4. Livre Acesso: os(as) titulares têm direito de consultar de forma facilitada e gratuita os seus dados;

5. Qualidade dos Dados: devemos garantir a exatidão, clareza, relevância e atualização dos dados. Dados desatualizados ou incorretos devem ser corrigidos imediatamente;

6. Transparência: devemos fornecer informações claras, precisas e acessíveis sobre o tratamento de dados;

7. Segurança: devemos utilizar medidas técnicas e administrativas para proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas;

8. Prevenção: devemos adotar medidas preventivas para evitar danos decorrentes do tratamento de dados;

9. Não Discriminação: é proibido utilizar dados para fins discriminatórios ilícitos ou abusivos, especialmente dados sensíveis;

10. Responsabilização e Prestação de Contas: devemos ser capazes de demonstrar e comprovar que cumprimos as normas de proteção de dados.

5. Papéis e Responsabilidades

5.1. Diretoria Executiva (Controladora)

A Diretoria Executiva é responsável por:

  • Tomar decisões estratégicas sobre o tratamento de dados pessoais na Casa Hacker;

  • Aprovar e revisar esta Política Interna de Proteção de Dados;

  • Designar o(a) Encarregado(a) de Dados;

  • Garantir recursos para a implementação de medidas de segurança;

  • Responder perante a ANPD e os(as) titulares em caso de incidentes de segurança.

5.2. Encarregado(a) de Dados (DPO)

O(A) Encarregado(a) de Dados é responsável por:

  • Atuar como canal de comunicação entre a Casa Hacker, os(as) titulares e a ANPD;

  • Receber e atender solicitações dos(as) titulares (confirmação de tratamento, acesso, correção, eliminação de dados etc.) em até 15 dias;

  • Receber comunicações da ANPD e adotar providências;

  • Orientar a equipe sobre as práticas de proteção de dados;

  • Monitorar o cumprimento desta Política e da LGPD;

  • Coordenar a resposta a incidentes de segurança;

  • Manter registro das operações de tratamento de dados;

  • Promover treinamentos e capacitações para a equipe.

Encarregado(a) atual: Geraldo Barros Contato: [email protected]

5.3. Gerentes de Projetos e de Operações

São responsáveis por:

  • Garantir que suas equipes conheçam e cumpram esta Política;

  • Identificar e mapear os fluxos de dados em seus projetos e atividades;

  • Solicitar ao(à) Encarregado(a) orientações sobre tratamento de dados em situações específicas;

  • Reportar imediatamente ao(à) Encarregado(a) qualquer incidente de segurança;

  • Garantir que os Termos de Consentimento sejam aplicados corretamente em suas atividades.

5.4. Toda a Equipe

Todos(as) os(as) colaboradores(as), independentemente de cargo ou função, são responsáveis por:

  • Conhecer e cumprir esta Política e a LGPD;

  • Tratar dados pessoais apenas quando necessário e de acordo com as finalidades autorizadas;

  • Manter a confidencialidade dos dados pessoais a que tiverem acesso;

  • Utilizar senhas fortes e não compartilhá-las;

  • Não acessar, copiar ou compartilhar dados pessoais sem autorização;

  • Reportar imediatamente ao(à) Encarregado(a) qualquer incidente ou suspeita de incidente de segurança;

  • Participar de treinamentos sobre proteção de dados quando convocados.

6. Bases Legais para Tratamento de Dados

A Casa Hacker só pode tratar dados pessoais quando houver uma base legal prevista na LGPD (art. 7º e art. 11):

1. Consentimento: quando o(a) titular autoriza expressamente o tratamento de seus dados. É a base legal mais utilizada pela Casa Hacker para dados de participantes de programas, eventos, voluntários(as) e apoiadores(as);

2. Obrigação Legal: quando a lei exige a coleta e o tratamento de dados (ex: dados trabalhistas exigidos pela CLT);

3. Execução de Contrato: quando o tratamento é necessário para cumprir um contrato com o(a) titular (ex: contrato de prestação de serviços);

4. Exercício Regular de Direitos: quando necessário para defender direitos em processos judiciais ou administrativos;

5. Proteção da Vida: quando necessário para proteger a vida ou a integridade física do(a) titular ou de terceiros;

6. Tutela da Saúde: quando necessário para procedimentos relacionados à saúde (restrito a profissionais de saúde);

7. Legítimo Interesse: quando o tratamento é necessário para atender interesses legítimos da Casa Hacker, desde que não violem direitos e liberdades fundamentais dos(as) titulares. Atenção: esta base legal deve ser usada com cautela e sempre documentada.

Para dados sensíveis, a regra é que só podem ser tratados com consentimento específico e destacado do(a) titular, salvo exceções previstas no art. 11 da LGPD.

7. Coleta de Dados Pessoais

7.1. Regras Gerais

  • Minimização: coletar apenas os dados estritamente necessários para a finalidade específica. Evitar coletar "dados extras" ou "por precaução";

  • Transparência: informar ao(à) titular, de forma clara e acessível, quais dados serão coletados, para quê, por quanto tempo serão armazenados e com quem serão compartilhados;

  • Consentimento: sempre que a base legal for o consentimento, este deve ser livre, informado, inequívoco e específico. O consentimento deve ser registrado e comprovável;

  • Linguagem Acessível: utilizar linguagem simples, clara e acessível, especialmente ao coletar dados de crianças, adolescentes ou pessoas com baixa escolaridade.

7.2. Dados de Crianças e Adolescentes

Quando a Casa Hacker coletar dados de menores de 18 anos, é obrigatório:

  • Obter consentimento específico e destacado de pelo menos um dos pais ou responsáveis legais;

  • Informar de forma simples e acessível quais dados serão coletados e para quê;

  • Implementar mecanismos para verificar que o consentimento foi dado pelo responsável legal;

  • Não condicionar a participação em atividades ao fornecimento de dados desnecessários.

7.3. Dados Sensíveis

Dados sensíveis (etnia, identidade de gênero, orientação sexual, deficiências, dados de saúde etc.) só podem ser coletados:

  • Com consentimento específico e destacado do(a) titular;

  • Quando estritamente necessários para finalidades legítimas (ex: programas de diversidade e inclusão, cotas afirmativas, identificação de necessidades especiais);

  • Com medidas reforçadas de segurança para armazenamento e proteção.

7.4. Formulários e Termos de Consentimento

Todos os formulários de coleta de dados (físicos ou digitais) devem:

  • Identificar a Casa Hacker como Controladora;

  • Informar claramente a finalidade da coleta;

  • Listar os dados que serão coletados;

  • Informar o prazo de armazenamento;

  • Informar se haverá compartilhamento e com quem;

  • Incluir um campo para consentimento expresso (caixa de seleção ou assinatura);

  • Informar os direitos do(a) titular e como exercê-los;

  • Informar o contato do(a) Encarregado(a) de Dados.

Modelo: abra uma solicitação no Jira Service Management para obter o Termo de Consentimento padrão disponibilizado pelo(a) Assessoria Jurídica.

8. Armazenamento e Segurança de Dados

8.1. Medidas de Segurança Obrigatórias

Todos(as) os(as) colaboradores(as) devem adotar as seguintes medidas:

Senhas:

  • Utilizar senhas fortes (mínimo 12 caracteres, combinando letras maiúsculas, minúsculas, números e símbolos);

  • Não compartilhar senhas com ninguém, nem mesmo com colegas de equipe;

  • Alterar senhas a cada 90 dias ou imediatamente se houver suspeita de comprometimento;

  • Utilizar autenticação de dois fatores (2FA) sempre que disponível.

Dispositivos e Computadores:

  • Manter antivírus atualizado em todos os dispositivos;

  • Não deixar computadores desbloqueados quando ausente;

  • Bloquear a tela (Windows: Win+L | Mac: Cmd+Ctrl+Q) ao se afastar;

  • Não instalar softwares não autorizados ou de fontes não confiáveis;

  • Manter sistema operacional e aplicativos atualizados.

E-mails:

  • Não abrir anexos ou links de remetentes desconhecidos;

  • Desconfiar de e-mails que solicitem senhas, dados bancários ou informações confidenciais;

  • Reportar imediatamente ao(à) Encarregado(a) e-mails suspeitos de phishing.

Documentos Físicos:

  • Guardar documentos com dados pessoais em locais seguros (armários trancados, pastas protegidas);

  • Não deixar documentos com dados pessoais expostos em mesas ou áreas de circulação comum;

  • Digitalizar e eliminar documentos físicos sempre que possível;

  • Quando for eliminar documentos físicos, utilizar fragmentadora (picotadora de papel).

Backups:

  • Realizar backups periódicos de bases de dados críticas (no mínimo semanalmente);

  • Armazenar backups em locais seguros (preferencialmente em nuvem criptografada e em dispositivo físico externo);

  • Testar a restauração dos backups periodicamente.

8.2. Acesso a Dados Pessoais

  • Apenas colaboradores(as) autorizados(as) e que tenham necessidade para realizar suas funções podem acessar dados pessoais;

  • É proibido acessar dados pessoais por curiosidade ou sem justificativa de trabalho;

  • Dados sensíveis devem ter controle de acesso reforçado;

  • Logs de acesso a bases de dados devem ser mantidos para auditoria.

8.3. Compartilhamento de Dados

  • Não é permitido compartilhar dados pessoais com terceiros sem autorização expressa da Diretoria ou do(a) Encarregado(a);

  • Ao compartilhar dados com parceiros, financiadores ou fornecedores, garantir que exista contrato ou termo de responsabilidade prevendo cláusulas de proteção de dados;

  • Ao enviar dados por e-mail, utilizar criptografia ou senha para proteger anexos;

  • Anonimizar dados sempre que possível antes de compartilhá-los;

  • Ao utilizar ferramentas de inteligência artificial (Perplexity, ChatGPT, Gemini), jamais insira dados pessoais identificáveis de titulares. Utilize apenas dados genéricos, anonimizados ou agregados;

  • Ao utilizar instituições bancárias (Stark Bank, Banco do Brasil, BTG Pactual), compartilhar apenas os dados estritamente necessários para a execução da operação financeira (pagamentos, transferências, emissão de boletos);

  • Ao utilizar o SALIC, compartilhar apenas os dados exigidos pela legislação e normas do Ministério da Cultura para fins de prestação de contas de projetos incentivados.

8.4. Fornecedores de Serviços em Nuvem Aprovados

A Casa Hacker utiliza os seguintes fornecedores de serviços em nuvem, plataformas e sistemas para suas operações. Todos os fornecedores listados abaixo foram avaliados quanto à conformidade com a LGPD e possuem políticas de privacidade e segurança adequadas:

Infraestrutura e Hospedagem

  • Google Workspace (Google LLC): e-mails institucionais (@casahacker.org), armazenamento em nuvem (Google Drive), documentos colaborativos (Docs, Sheets, Slides), agendas (Calendar) e videoconferências (Meet);

  • Digital Ocean, LLC: hospedagem de aplicações web e bancos de dados;​

  • Microsoft Azure (Microsoft Corporation): serviços de computação em nuvem e armazenamento;​

  • Amazon Web Services - AWS (Amazon.com, Inc.): infraestrutura em nuvem, armazenamento (S3), processamento e bancos de dados.

Gestão e Produtividade

  • Bússola Social: gestão de projetos sociais, métricas de impacto e relatórios;

  • Jira Software (Atlassian Pty Ltd): gestão de projetos, tarefas, sprints e fluxos de trabalho da equipe;

  • Adobe Inc. (Creative Cloud): design gráfico (Photoshop, Illustrator), edição de vídeos (Premiere Pro) e documentos (Acrobat);

  • Canva Pty Ltd: design gráfico online para peças de comunicação e materiais educacionais.

Inteligência Artificial

  • Perplexity AI: pesquisa assistida por inteligência artificial;

  • ChatGPT (OpenAI, LP): assistente de IA para pesquisa, redação e análise de conteúdo;

  • Gemini (Google LLC): assistente de IA do Google para pesquisa e produção de conteúdo.

ATENÇÃO: Ao utilizar ferramentas de inteligência artificial, NUNCA insira dados pessoais identificáveis de titulares (nomes, CPFs, endereços, e-mails etc.) nos prompts. Utilize apenas dados anonimizados ou genéricos. Estas ferramentas podem armazenar e utilizar os dados inseridos para treinamento de modelos.

Viagens e Logística

  • Reserve / Stabia Viagens Corporativas: plataforma para solicitação, aprovação e gestão de viagens de trabalho e deslocamentos de participantes de projetos.

Serviços Financeiros

  • Stark Bank S.A. (CNPJ: 20.018.183/0001-80): banco digital para gestão financeira, pagamentos, transferências e emissão de boletos;

  • Banco do Brasil S.A. (CNPJ: 00.000.000/0001-91): serviços bancários tradicionais;

  • BTG Pactual S.A. (CNPJ: 30.306.294/0001-45): serviços bancários, investimentos e gestão de recursos.

Sistemas Governamentais

  • SALIC - Sistema de Apoio às Leis de Incentivo à Cultura (Ministério da Cultura / Governo Federal): cadastro de projetos culturais, prestação de contas e comprovação de execução orçamentária para projetos aprovados na Lei Rouanet.

9. Direitos dos Titulares

Os(As) titulares de dados têm os seguintes direitos, assegurados pelo art. 18 da LGPD:

  1. Confirmar a existência de tratamento;

  2. Acessar seus dados;

  3. Corrigir dados incompletos, inexatos ou desatualizados;

  4. Solicitar anonimização, bloqueio ou eliminação de dados desnecessários;

  5. Solicitar portabilidade dos dados;

  6. Solicitar eliminação de dados tratados com base no consentimento;

  7. Obter informações sobre compartilhamento;

  8. Ser informado sobre a possibilidade de não consentir;

  9. Revogar o consentimento.

9.1. Atendimento de Solicitações

Todas as solicitações de titulares devem ser encaminhadas ao(à) Encarregado(a) de Dados ([email protected]).

O(A) Encarregado(a) deve:

  • Responder imediatamente ou em até 15 dias;

  • Verificar a identidade do(a) solicitante antes de fornecer dados;

  • Registrar todas as solicitações em planilha de controle;

  • Adotar as providências necessárias (corrigir, eliminar, fornecer cópia dos dados etc

AnteriorManual AnticorrupçãoPróximoPrivacidade

Atualizado