# Privacidade
**Última atualização: 3 de março de 2026**
### 1. QUEM SOMOS E COMO NOS CONTATAR
A **Associação Casa Hacker** ("Casa Hacker"), associação privada sem fins lucrativos, inscrita no **CNPJ/MF sob o nº 36.038.079/0001-97**, com sede na **R. Dr. Renato Paes de Barros, 618, Cj 01 - Itaim Bibi, São Paulo - SP, CEP 04530-000**, atua no papel de **Controladora de dados** e obriga-se ao disposto na presente.
Nossa missão é contribuir para o desenvolvimento da educação e da igualdade de oportunidade entre as pessoas de forma gratuita, mediante a aplicação de novas tecnologias da informação nos processos de aprendizado, com foco na educação STEAM (Ciência, Tecnologia, Engenharia, Artes e Matemática) e inovação social.
**Encarregado de Proteção de Dados (DPO):**\
**Geraldo Barros**\
E-mail: [**privacidade@casahacker.org**](mailto:privacidade@casahacker.org)\
Telefone: +55 11 4200-6060\
Endereço: R. Dr. Renato Paes de Barros, 618, Cj 01 - Itaim Bibi, São Paulo - SP, CEP 04530-000
### 2. A QUEM ESTA POLÍTICA SE APLICA
Esta Política aplica-se a **todos os titulares** cujos dados são tratados pela Casa Hacker, incluindo:
* **Beneficiários dos programas** — crianças, adolescentes e adultos participantes de ações educacionais e sociais
* **Responsáveis legais** de beneficiários menores de 18 anos
* **Colaboradores e contratados** — equipe, prestadores de serviço e estagiários
* **Fornecedores e parceiros** — pessoas físicas e jurídicas com relação contratual
* **Visitantes do site** — quem acessa casahacker.org e plataformas digitais
* **Participantes de eventos** — inscritos via Sympla ou formulários
* **Diretores, conselheiros e associados fundadores**
* **Denunciantes** — usuários do canal confidencial *Abre o Jogo*
### 3. QUAIS DADOS PESSOAIS COLETAMOS
### 3.1 Dados Pessoais Comuns
* Identificação: nome civil, nome social, pronome, data de nascimento, naturalidade, nacionalidade, gênero, estado civil
* Documentos: CPF, RG, CTPS, Título de Eleitor, NIS/PIS/PASEP, passaporte
* Contato: e-mail, telefone, WhatsApp, Signal, endereço residencial e CEP
* Financeiros: dados bancários, chave Pix, NF-e, histórico de pagamentos e reembolsos
* Educacionais: série, situação escolar, turno, instituição de ensino, histórico de atividades e notas
* Socioeconômicos: renda, composição familiar, CadÚnico, benefícios sociais, despesas domésticas
* Viagem e mobilidade: origem e destino, horários, histórico de transporte
### 3.2 Dados Sensíveis (Art. 5, II e Art. 11 LGPD)
Coletados somente com **consentimento específico e destacado**, ou nas hipóteses legais do Art. 11, II:
* Raça, cor e etnia
* Identidade de gênero e orientação sexual
* Religião
* Saúde: condições médicas, alergias, medicações, deficiências, uso de substâncias psicoativas
* **Dados biométricos**: foto facial (cadastro e autenticação), impressão digital (certificados ICP-Brasil)
* Dados de **Pessoas Politicamente Expostas (PPE)**: cargo, vínculo, histórico de relacionamento institucional
* Dados de **denúncias éticas**: fatos, envolvidos, natureza da irregularidade
### 3.3 Dados de Menores de 18 Anos (Art. 14 LGPD)
**Todos os programas de beneficiários envolvem crianças e adolescentes.** Para estes, exigimos **consentimento parental prévio e expresso** do responsável legal. Os dados coletados incluem todos os tipos acima, associados obrigatoriamente ao nome, CPF e contato do responsável.
### 4. POR QUE COLETAMOS SEUS DADOS — FINALIDADES E BASES LEGAIS
| Finalidade | Base Legal (LGPD) | Artigo |
| ----------------------------------------------------------------------------- | --------------------------------------------- | ------------------------- |
| Execução de programas sociais e educacionais | Execução de contrato / Consentimento | Art. 7, V; 7, I |
| Gestão financeira, fiscal e contábil | Obrigação legal | Art. 7, II |
| Gestão de bolsas, auxílios e benefícios a participantes | Execução do programa / Consentimento parental | Art. 7, V; Art. 14 |
| Assinatura e autenticação de contratos e termos | Execução de contrato / Obrigação legal | Art. 7, II e V |
| Gestão de viagens corporativas e de beneficiários | Execução de contrato / Legítimo interesse | Art. 7, V e IX |
| Due diligence de fornecedores (KYS/KYC) | Obrigação legal / Legítimo interesse | Art. 7, II e IX |
| Prestação de contas a financiadores e ao governo (SALIC/Lei Rouanet) | Obrigação legal | Art. 7, II; Art. 14 |
| Registro e monitoramento do desenvolvimento de beneficiários (Bússola Social) | Consentimento / Execução do programa | Art. 11, I; Art. 14 |
| Gestão de eventos e inscrições | Consentimento / Execução de contrato | Art. 7, I e V |
| Análise de audiência do site (Google Analytics) | Consentimento (cookies) / Legítimo interesse | Art. 7, I e IX |
| Comunicação e colaboração interna (Google Workspace) | Legítimo interesse / Execução de contrato | Art. 7, IX |
| Registro de incidentes de segurança | Obrigação legal / Legítimo interesse | Art. 7, II; Art. 11, II |
| Canal de denúncias (*Abre o Jogo*) | Legítimo interesse / Obrigação legal | Art. 11, II |
| Certificação digital e validade jurídica de atos | Obrigação legal | Art. 11 (MP 2.200-2/2001) |
| Cumprimento de obrigações trabalhistas e previdenciárias | Obrigação legal | Art. 7, II |
### 5. COMO COLETAMOS SEUS DADOS
Coletamos dados por meio de:
* **Formulários de inscrição** nos programas (LimeSurvey — self-hosted)
* **Plataformas de gestão de beneficiários** (Bússola Social — Prontuário Social)
* **Contratos e termos digitais** (ZapSign, Clicksign, ICP-Brasil/VALID)
* **Sistemas de gestão financeira** (Omie ERP)
* **Requisições internas** (Jira Service Management — self-hosted)
* **Inscrições em eventos** (Sympla)
* **Plataforma educacional** (Mão na Massa — Moodle)
* **Benefícios corporativos** (Caju)
* **Transporte** (Uber Business, Transurc, Jaé Carioca)
* **Colaboração digital** (Google Workspace — Gmail, Drive, Meet, Forms)
* **Site institucional** (casahacker.org + Google Analytics)
* **Canal de denúncias** (GlobaLeaks — abreojogo.casahacker.org)
* **Fontes públicas e bases governamentais** (SALIC/MinC, COAF, Receita Federal)
### 6. COM QUEM COMPARTILHAMOS SEUS DADOS
A Casa Hacker não vende dados pessoais. O compartilhamento ocorre apenas nas seguintes hipóteses, com operadores e terceiros devidamente contratados:
**Operadores (tratam dados em nosso nome):**
* Bússola Tecnologia Social Ltda — prontuário social (DPA: Contrato E00513)
* Omie — gestão financeira/ERP
* ZapSign / Clicksign — assinatura digital
* Sympla — gestão de eventos
* Caju — benefícios flexíveis
* Locaweb — hospedagem de infraestrutura (LimeSurvey, Moodle, site)
* Escritório de contabilidade — escrituração e obrigações fiscais
* Reserve / Stabia Viagens — gestão de viagens
**Controladores independentes:**
* Google LLC — Google Workspace e Analytics
* Microsoft Corporation — infraestrutura Azure e backup
* Uber Technologies Inc. — viagens corporativas
* Vivo/Telefônica — linhas corporativas
* Transurc / Jaé Carioca — transporte público de beneficiários
* Fundação FEAC — projetos sociais parceiros
**Autoridades e obrigações legais:**
* Receita Federal, eSocial, FGTS, INSS
* Ministério da Cultura (SALIC — Lei Rouanet)
* Cartório 5º RTD de São Paulo
* Conselho Tutelar (quando menor em situação de risco — ECA)
* Autoridades judiciais e regulatórias, quando exigido por lei
### 7. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS
Alguns dados são transferidos para servidores no exterior, sempre com mecanismos de proteção compatíveis com a LGPD (Art. 33):
| Operador / Controlador | País | Mecanismo |
| ------------------------------------------ | ------------------------ | ----------------------------------- |
| Microsoft Azure (Jira + backup) | EUA | SCCs (Microsoft DPA Set/2025) |
| Google LLC (Workspace + Analytics) | EUA | SCCs (Google Workspace DPA) |
| Uber Technologies Inc. | EUA | SCCs / BCR Uber |
| ZapSign — subprocessadores Veriff e Truora | Estônia / Colômbia / EUA | SCCs (em regularização — Art. 33) |
| Amadeus / Sabre GDS (via TMC de viagens) | EUA | Contrato com TMC (em regularização) |
A Casa Hacker se compromete a verificar periodicamente que todos os fornecedores internacionais adotam medidas de proteção compatíveis com a LGPD e a priorizar, quando viável, fornecedores com datacenters no Brasil.
### 8. POR QUANTO TEMPO MANTEMOS SEUS DADOS
| Categoria de Dado | Prazo de Retenção | Fundamento |
| ------------------------------------ | ------------------------------------------- | ------------------------------------ |
| Dados financeiros, fiscais e NF-e | Vigência contratual + 10 anos | CTN / Obrigação legal |
| Dados de contratos e assinaturas | Vigência + 5 anos (societários: indefinido) | Obrigação legal (MP 2.200-2/2001) |
| Prontuários sociais de beneficiários | Vigência do programa + 5 anos | Consentimento / Prestação de contas |
| Dados educacionais (Moodle) | Duração do programa + 5 anos | Legítimo interesse |
| Registros de incidentes de segurança | Indefinido (enquanto necessário) | Obrigação legal / Compliance |
| Dados de eventos (Sympla) | 2 anos após o evento | Legítimo interesse |
| Dados de viagens | 5 anos | Execução de contrato |
| Dados de denúncias (*Abre o Jogo*) | Prazo de apuração + 5 anos | Legítimo interesse / Obrigação legal |
| Dados de certificados digitais | Vigência do certificado + 10 anos | MP 2.200-2/2001 |
| Cookies (Google Analytics) | 26 meses | Consentimento |
| Dados trabalhistas / RH | Vigência + 10 anos | CLT / Obrigação legal |
### 9. COMO PROTEGEMOS SEUS DADOS
Adotamos medidas técnicas e organizacionais proporcionales ao risco de cada tratamento:
* **Controle de acesso**: perfis granulares, autenticação com 2FA/SSO, princípio do mínimo privilégio
* **Criptografia**: em trânsito (HTTPS/TLS) e em repouso (Azure, Oracle, Google Cloud)
* **Logs de auditoria**: rastreabilidade de acessos em todos os sistemas críticos
* **Gestão de backups**: rotatividade de 1–3 anos; backups gerenciados em Azure (EUA) e Oracle Cloud (Valinhos/SP)
* **Segmentação de dados sensíveis**: boards ultra-restritos para PPE, incidentes e prontuários de menores (acesso DPO + diretoria)
* **Treinamento**: equipe e contratados recebem formação periódica sobre LGPD
* **Gestão de fornecedores**: cláusulas de proteção de dados em contratos com operadores (DPA)
* **Resposta a incidentes**: protocolo com notificação à ANPD em até 72h (Art. 48 LGPD)
Mantemos um **Registro de Atividades de Tratamento (RoPA)** atualizado, disponível para consulta mediante solicitação ao DPO e para inspeção pela ANPD, conforme Art. 37 da LGPD.
### 10. DADOS DE CRIANÇAS E ADOLESCENTES
A Casa Hacker trata dados de crianças e adolescentes em **todos os seus programas sociais e educacionais**, incluindo dados sensíveis como saúde, raça/etnia e identidade de gênero.
Comprometemos-nos a:
* **Exigir consentimento parental expresso** antes de qualquer coleta (Art. 14 LGPD)
* Coletar apenas os dados **estritamente necessários** para a execução do programa
* **Nunca utilizar** dados de menores para fins comerciais, publicitários ou de marketing
* Garantir ao responsável legal o **direito de acesso, correção e exclusão** dos dados a qualquer momento
* Aplicar **medidas de segurança reforçadas** aos prontuários e dados educacionais de menores
* Comunicar ao **Conselho Tutelar** quando identificado risco à integridade de menor, conforme ECA e Política de Proteção à Criança (docs.casahacker.org)
### 11. CANAL DE DENÚNCIAS — *ABRE O JOGO*
Operamos o canal confidencial **Abre o Jogo** (abreojogo.casahacker.org), desenvolvido sobre a plataforma open-source GlobaLeaks, para recebimento de denúncias sobre irregularidades, assédio e violações éticas.
* A identificação do denunciante é **sempre opcional** — o sistema permite anonimato total
* Não há registro de IP do denunciante
* Os dados são criptografados ponta a ponta
* Acesso ultra-restrito: DPO + máximo 2 gestores autorizados
* Dados do denunciante **jamais são acessados pelo denunciado**
* A política de não retaliação está publicada em casahacker.org/conduta
### 12. COOKIES E TECNOLOGIAS SIMILARES
O site casahacker.org utiliza **Google Analytics** (Google LLC, EUA) para análise de audiência, com as seguintes características:
* IPs anonimizados antes do processamento
* Retenção de cookies: 26 meses (configuração padrão GA)
* Transferência internacional via SCCs (Google Analytics DPA)
* **Banner de consentimento** exibido na primeira visita, conforme Art. 7, I
Você pode recusar ou revogar o consentimento para cookies a qualquer momento pelo banner do site ou pelas configurações do seu navegador.
### 13. SEUS DIREITOS COMO TITULAR (Art. 18 LGPD)
Você tem direito a:
1. **Confirmação** da existência de tratamento dos seus dados
2. **Acesso** aos seus dados pessoais
3. **Correção** de dados incompletos, inexatos ou desatualizados
4. **Anonimização, bloqueio ou eliminação** de dados desnecessários ou tratados em desconformidade
5. **Portabilidade** dos seus dados a outro fornecedor, mediante requisição
6. **Eliminação** dos dados tratados com base no consentimento, salvo hipóteses legais de retenção
7. **Informação** sobre compartilhamento com terceiros
8. **Revogação do consentimento** a qualquer momento, sem prejuízo ao tratamento já realizado
9. **Oposição** ao tratamento baseado em legítimo interesse
10. **Petição à ANPD** (Autoridade Nacional de Proteção de Dados)
**Como exercer seus direitos:**\
Envie sua solicitação para e respondemos em até **15 (quinze) dias** corridos (Art. 19 LGPD).
### 14. ALTERAÇÕES NESTA POLÍTICA
Esta Política pode ser atualizada periodicamente. Alterações relevantes serão comunicadas por e-mail aos titulares cadastrados e/ou publicadas com destaque no site. A versão vigente estará sempre disponível em casahacker.org/politica-de-privacidade.