# Privacidade

**Última atualização: 3 de março de 2026**

### 1. QUEM SOMOS E COMO NOS CONTATAR <a href="#id-1-quem-somos-e-como-nos-contatar" id="id-1-quem-somos-e-como-nos-contatar"></a>

A **Associação Casa Hacker** ("Casa Hacker"), associação privada sem fins lucrativos, inscrita no **CNPJ/MF sob o nº 36.038.079/0001-97**, com sede na **R. Dr. Renato Paes de Barros, 618, Cj 01 - Itaim Bibi, São Paulo - SP, CEP 04530-000**, atua no papel de **Controladora de dados** e obriga-se ao disposto na presente.​

Nossa missão é contribuir para o desenvolvimento da educação e da igualdade de oportunidade entre as pessoas de forma gratuita, mediante a aplicação de novas tecnologias da informação nos processos de aprendizado, com foco na educação STEAM (Ciência, Tecnologia, Engenharia, Artes e Matemática) e inovação social.<br>

**Encarregado de Proteção de Dados (DPO):**\
**Geraldo Barros**\
E-mail: [**privacidade@casahacker.org**](mailto:privacidade@casahacker.org)\
Telefone: +55 11 4200-6060\
Endereço: R. Dr. Renato Paes de Barros, 618, Cj 01 - Itaim Bibi, São Paulo - SP, CEP 04530-000

### 2. A QUEM ESTA POLÍTICA SE APLICA <a href="#id-2-a-quem-esta-poltica-se-aplica" id="id-2-a-quem-esta-poltica-se-aplica"></a>

Esta Política aplica-se a **todos os titulares** cujos dados são tratados pela Casa Hacker, incluindo:

* **Beneficiários dos programas** — crianças, adolescentes e adultos participantes de ações educacionais e sociais
* **Responsáveis legais** de beneficiários menores de 18 anos
* **Colaboradores e contratados** — equipe, prestadores de serviço e estagiários
* **Fornecedores e parceiros** — pessoas físicas e jurídicas com relação contratual
* **Visitantes do site** — quem acessa casahacker.org e plataformas digitais
* **Participantes de eventos** — inscritos via Sympla ou formulários
* **Diretores, conselheiros e associados fundadores**
* **Denunciantes** — usuários do canal confidencial *Abre o Jogo*

### 3. QUAIS DADOS PESSOAIS COLETAMOS <a href="#id-3-quais-dados-pessoais-coletamos" id="id-3-quais-dados-pessoais-coletamos"></a>

### 3.1 Dados Pessoais Comuns <a href="#id-31-dados-pessoais-comuns" id="id-31-dados-pessoais-comuns"></a>

* Identificação: nome civil, nome social, pronome, data de nascimento, naturalidade, nacionalidade, gênero, estado civil
* Documentos: CPF, RG, CTPS, Título de Eleitor, NIS/PIS/PASEP, passaporte
* Contato: e-mail, telefone, WhatsApp, Signal, endereço residencial e CEP
* Financeiros: dados bancários, chave Pix, NF-e, histórico de pagamentos e reembolsos
* Educacionais: série, situação escolar, turno, instituição de ensino, histórico de atividades e notas
* Socioeconômicos: renda, composição familiar, CadÚnico, benefícios sociais, despesas domésticas
* Viagem e mobilidade: origem e destino, horários, histórico de transporte

### 3.2 Dados Sensíveis (Art. 5, II e Art. 11 LGPD) <a href="#id-32-dados-sensveis-art-5-ii-e-art-11-lgpd" id="id-32-dados-sensveis-art-5-ii-e-art-11-lgpd"></a>

Coletados somente com **consentimento específico e destacado**, ou nas hipóteses legais do Art. 11, II:

* Raça, cor e etnia
* Identidade de gênero e orientação sexual
* Religião
* Saúde: condições médicas, alergias, medicações, deficiências, uso de substâncias psicoativas
* **Dados biométricos**: foto facial (cadastro e autenticação), impressão digital (certificados ICP-Brasil)
* Dados de **Pessoas Politicamente Expostas (PPE)**: cargo, vínculo, histórico de relacionamento institucional
* Dados de **denúncias éticas**: fatos, envolvidos, natureza da irregularidade

### 3.3 Dados de Menores de 18 Anos (Art. 14 LGPD) <a href="#id-33-dados-de-menores-de-18-anos-art-14-lgpd" id="id-33-dados-de-menores-de-18-anos-art-14-lgpd"></a>

**Todos os programas de beneficiários envolvem crianças e adolescentes.** Para estes, exigimos **consentimento parental prévio e expresso** do responsável legal. Os dados coletados incluem todos os tipos acima, associados obrigatoriamente ao nome, CPF e contato do responsável.

### 4. POR QUE COLETAMOS SEUS DADOS — FINALIDADES E BASES LEGAIS <a href="#id-4-por-que-coletamos-seus-dados--finalidades-e-base" id="id-4-por-que-coletamos-seus-dados--finalidades-e-base"></a>

| Finalidade                                                                    | Base Legal (LGPD)                             | Artigo                    |
| ----------------------------------------------------------------------------- | --------------------------------------------- | ------------------------- |
| Execução de programas sociais e educacionais                                  | Execução de contrato / Consentimento          | Art. 7, V; 7, I           |
| Gestão financeira, fiscal e contábil                                          | Obrigação legal                               | Art. 7, II                |
| Gestão de bolsas, auxílios e benefícios a participantes                       | Execução do programa / Consentimento parental | Art. 7, V; Art. 14        |
| Assinatura e autenticação de contratos e termos                               | Execução de contrato / Obrigação legal        | Art. 7, II e V            |
| Gestão de viagens corporativas e de beneficiários                             | Execução de contrato / Legítimo interesse     | Art. 7, V e IX            |
| Due diligence de fornecedores (KYS/KYC)                                       | Obrigação legal / Legítimo interesse          | Art. 7, II e IX           |
| Prestação de contas a financiadores e ao governo (SALIC/Lei Rouanet)          | Obrigação legal                               | Art. 7, II; Art. 14       |
| Registro e monitoramento do desenvolvimento de beneficiários (Bússola Social) | Consentimento / Execução do programa          | Art. 11, I; Art. 14       |
| Gestão de eventos e inscrições                                                | Consentimento / Execução de contrato          | Art. 7, I e V             |
| Análise de audiência do site (Google Analytics)                               | Consentimento (cookies) / Legítimo interesse  | Art. 7, I e IX            |
| Comunicação e colaboração interna (Google Workspace)                          | Legítimo interesse / Execução de contrato     | Art. 7, IX                |
| Registro de incidentes de segurança                                           | Obrigação legal / Legítimo interesse          | Art. 7, II; Art. 11, II   |
| Canal de denúncias (*Abre o Jogo*)                                            | Legítimo interesse / Obrigação legal          | Art. 11, II               |
| Certificação digital e validade jurídica de atos                              | Obrigação legal                               | Art. 11 (MP 2.200-2/2001) |
| Cumprimento de obrigações trabalhistas e previdenciárias                      | Obrigação legal                               | Art. 7, II                |

### 5. COMO COLETAMOS SEUS DADOS <a href="#id-5-como-coletamos-seus-dados" id="id-5-como-coletamos-seus-dados"></a>

Coletamos dados por meio de:

* **Formulários de inscrição** nos programas (LimeSurvey — self-hosted)
* **Plataformas de gestão de beneficiários** (Bússola Social — Prontuário Social)
* **Contratos e termos digitais** (ZapSign, Clicksign, ICP-Brasil/VALID)
* **Sistemas de gestão financeira** (Omie ERP)
* **Requisições internas** (Jira Service Management — self-hosted)
* **Inscrições em eventos** (Sympla)
* **Plataforma educacional** (Mão na Massa — Moodle)
* **Benefícios corporativos** (Caju)
* **Transporte** (Uber Business, Transurc, Jaé Carioca)
* **Colaboração digital** (Google Workspace — Gmail, Drive, Meet, Forms)
* **Site institucional** (casahacker.org + Google Analytics)
* **Canal de denúncias** (GlobaLeaks — abreojogo.casahacker.org)
* **Fontes públicas e bases governamentais** (SALIC/MinC, COAF, Receita Federal)

### 6. COM QUEM COMPARTILHAMOS SEUS DADOS <a href="#id-6-com-quem-compartilhamos-seus-dados" id="id-6-com-quem-compartilhamos-seus-dados"></a>

A Casa Hacker não vende dados pessoais. O compartilhamento ocorre apenas nas seguintes hipóteses, com operadores e terceiros devidamente contratados:

**Operadores (tratam dados em nosso nome):**

* Bússola Tecnologia Social Ltda — prontuário social (DPA: Contrato E00513)
* Omie — gestão financeira/ERP
* ZapSign / Clicksign — assinatura digital
* Sympla — gestão de eventos
* Caju — benefícios flexíveis
* Locaweb — hospedagem de infraestrutura (LimeSurvey, Moodle, site)
* Escritório de contabilidade — escrituração e obrigações fiscais
* Reserve / Stabia Viagens — gestão de viagens

**Controladores independentes:**

* Google LLC — Google Workspace e Analytics
* Microsoft Corporation — infraestrutura Azure e backup
* Uber Technologies Inc. — viagens corporativas
* Vivo/Telefônica — linhas corporativas
* Transurc / Jaé Carioca — transporte público de beneficiários
* Fundação FEAC — projetos sociais parceiros

**Autoridades e obrigações legais:**

* Receita Federal, eSocial, FGTS, INSS
* Ministério da Cultura (SALIC — Lei Rouanet)
* Cartório 5º RTD de São Paulo
* Conselho Tutelar (quando menor em situação de risco — ECA)
* Autoridades judiciais e regulatórias, quando exigido por lei

### 7. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS <a href="#id-7-transferncias-internacionais-de-dados" id="id-7-transferncias-internacionais-de-dados"></a>

Alguns dados são transferidos para servidores no exterior, sempre com mecanismos de proteção compatíveis com a LGPD (Art. 33):

| Operador / Controlador                     | País                     | Mecanismo                           |
| ------------------------------------------ | ------------------------ | ----------------------------------- |
| Microsoft Azure (Jira + backup)            | EUA                      | SCCs (Microsoft DPA Set/2025)       |
| Google LLC (Workspace + Analytics)         | EUA                      | SCCs (Google Workspace DPA)         |
| Uber Technologies Inc.                     | EUA                      | SCCs / BCR Uber                     |
| ZapSign — subprocessadores Veriff e Truora | Estônia / Colômbia / EUA | SCCs (em regularização — Art. 33)   |
| Amadeus / Sabre GDS (via TMC de viagens)   | EUA                      | Contrato com TMC (em regularização) |

A Casa Hacker se compromete a verificar periodicamente que todos os fornecedores internacionais adotam medidas de proteção compatíveis com a LGPD e a priorizar, quando viável, fornecedores com datacenters no Brasil.

### 8. POR QUANTO TEMPO MANTEMOS SEUS DADOS <a href="#id-8-por-quanto-tempo-mantemos-seus-dados" id="id-8-por-quanto-tempo-mantemos-seus-dados"></a>

| Categoria de Dado                    | Prazo de Retenção                           | Fundamento                           |
| ------------------------------------ | ------------------------------------------- | ------------------------------------ |
| Dados financeiros, fiscais e NF-e    | Vigência contratual + 10 anos               | CTN / Obrigação legal                |
| Dados de contratos e assinaturas     | Vigência + 5 anos (societários: indefinido) | Obrigação legal (MP 2.200-2/2001)    |
| Prontuários sociais de beneficiários | Vigência do programa + 5 anos               | Consentimento / Prestação de contas  |
| Dados educacionais (Moodle)          | Duração do programa + 5 anos                | Legítimo interesse                   |
| Registros de incidentes de segurança | Indefinido (enquanto necessário)            | Obrigação legal / Compliance         |
| Dados de eventos (Sympla)            | 2 anos após o evento                        | Legítimo interesse                   |
| Dados de viagens                     | 5 anos                                      | Execução de contrato                 |
| Dados de denúncias (*Abre o Jogo*)   | Prazo de apuração + 5 anos                  | Legítimo interesse / Obrigação legal |
| Dados de certificados digitais       | Vigência do certificado + 10 anos           | MP 2.200-2/2001                      |
| Cookies (Google Analytics)           | 26 meses                                    | Consentimento                        |
| Dados trabalhistas / RH              | Vigência + 10 anos                          | CLT / Obrigação legal                |

### 9. COMO PROTEGEMOS SEUS DADOS <a href="#id-9-como-protegemos-seus-dados" id="id-9-como-protegemos-seus-dados"></a>

Adotamos medidas técnicas e organizacionais proporcionales ao risco de cada tratamento:

* **Controle de acesso**: perfis granulares, autenticação com 2FA/SSO, princípio do mínimo privilégio
* **Criptografia**: em trânsito (HTTPS/TLS) e em repouso (Azure, Oracle, Google Cloud)
* **Logs de auditoria**: rastreabilidade de acessos em todos os sistemas críticos
* **Gestão de backups**: rotatividade de 1–3 anos; backups gerenciados em Azure (EUA) e Oracle Cloud (Valinhos/SP)
* **Segmentação de dados sensíveis**: boards ultra-restritos para PPE, incidentes e prontuários de menores (acesso DPO + diretoria)
* **Treinamento**: equipe e contratados recebem formação periódica sobre LGPD
* **Gestão de fornecedores**: cláusulas de proteção de dados em contratos com operadores (DPA)
* **Resposta a incidentes**: protocolo com notificação à ANPD em até 72h (Art. 48 LGPD)

Mantemos um **Registro de Atividades de Tratamento (RoPA)** atualizado, disponível para consulta mediante solicitação ao DPO e para inspeção pela ANPD, conforme Art. 37 da LGPD.

### 10. DADOS DE CRIANÇAS E ADOLESCENTES <a href="#id-10-dados-de-crianas-e-adolescentes" id="id-10-dados-de-crianas-e-adolescentes"></a>

A Casa Hacker trata dados de crianças e adolescentes em **todos os seus programas sociais e educacionais**, incluindo dados sensíveis como saúde, raça/etnia e identidade de gênero.

Comprometemos-nos a:

* **Exigir consentimento parental expresso** antes de qualquer coleta (Art. 14 LGPD)
* Coletar apenas os dados **estritamente necessários** para a execução do programa
* **Nunca utilizar** dados de menores para fins comerciais, publicitários ou de marketing
* Garantir ao responsável legal o **direito de acesso, correção e exclusão** dos dados a qualquer momento
* Aplicar **medidas de segurança reforçadas** aos prontuários e dados educacionais de menores
* Comunicar ao **Conselho Tutelar** quando identificado risco à integridade de menor, conforme ECA e Política de Proteção à Criança (docs.casahacker.org)

### 11. CANAL DE DENÚNCIAS — *ABRE O JOGO* <a href="#undefined" id="undefined"></a>

Operamos o canal confidencial **Abre o Jogo** (abreojogo.casahacker.org), desenvolvido sobre a plataforma open-source GlobaLeaks, para recebimento de denúncias sobre irregularidades, assédio e violações éticas.

* A identificação do denunciante é **sempre opcional** — o sistema permite anonimato total
* Não há registro de IP do denunciante
* Os dados são criptografados ponta a ponta
* Acesso ultra-restrito: DPO + máximo 2 gestores autorizados
* Dados do denunciante **jamais são acessados pelo denunciado**
* A política de não retaliação está publicada em casahacker.org/conduta

### 12. COOKIES E TECNOLOGIAS SIMILARES <a href="#id-12-cookies-e-tecnologias-similares" id="id-12-cookies-e-tecnologias-similares"></a>

O site casahacker.org utiliza **Google Analytics** (Google LLC, EUA) para análise de audiência, com as seguintes características:

* IPs anonimizados antes do processamento
* Retenção de cookies: 26 meses (configuração padrão GA)
* Transferência internacional via SCCs (Google Analytics DPA)
* **Banner de consentimento** exibido na primeira visita, conforme Art. 7, I

Você pode recusar ou revogar o consentimento para cookies a qualquer momento pelo banner do site ou pelas configurações do seu navegador.

### 13. SEUS DIREITOS COMO TITULAR (Art. 18 LGPD) <a href="#id-13-seus-direitos-como-titular-art-18-lgpd" id="id-13-seus-direitos-como-titular-art-18-lgpd"></a>

Você tem direito a:

1. **Confirmação** da existência de tratamento dos seus dados
2. **Acesso** aos seus dados pessoais
3. **Correção** de dados incompletos, inexatos ou desatualizados
4. **Anonimização, bloqueio ou eliminação** de dados desnecessários ou tratados em desconformidade
5. **Portabilidade** dos seus dados a outro fornecedor, mediante requisição
6. **Eliminação** dos dados tratados com base no consentimento, salvo hipóteses legais de retenção
7. **Informação** sobre compartilhamento com terceiros
8. **Revogação do consentimento** a qualquer momento, sem prejuízo ao tratamento já realizado
9. **Oposição** ao tratamento baseado em legítimo interesse
10. **Petição à ANPD** (Autoridade Nacional de Proteção de Dados)

**Como exercer seus direitos:**\
Envie sua solicitação para <privacidade@casahacker.org> e respondemos em até **15 (quinze) dias** corridos (Art. 19 LGPD).

### 14. ALTERAÇÕES NESTA POLÍTICA <a href="#id-14-alteraes-nesta-poltica" id="id-14-alteraes-nesta-poltica"></a>

Esta Política pode ser atualizada periodicamente. Alterações relevantes serão comunicadas por e-mail aos titulares cadastrados e/ou publicadas com destaque no site. A versão vigente estará sempre disponível em casahacker.org/politica-de-privacidade.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.casahacker.org/governanca/tecnologia/privacidade.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.