Política de Privacidade

APRESENTAÇÃO DA POLÍTICA DE PRIVACIDADE

Este documento contém a Política de Privacidade da Mandic Cloud Solutions (nome fantasia de Mandic S.A., CNPJ n. 04.700.392/0001-52), a qual busca esclarecer de forma simples e transparente as principais diretrizes aplicadas pela Mandic no tratamento, na segurança e na proteção de dados

Este documento está dividido em duas partes complementares.

A primeira parte (Perguntas Frequentes) contém respostas para as perguntas mais comuns e recorrentes sobre o tema da privacidade e da proteção de dados.

Caso sua dúvida não esteja abordada nas Perguntas Frequentes, a segunda parte deste documento (Diretrizes de Privacidade e Segurança de Dados) contém o detalhamento das diretrizes aplicadas pela Mandic com o objetivo de assegurar a privacidade e a segurança dos dados tratados pela Mandic, bem como daqueles dados tratados por terceiros através dos seus ambientes de Cloud Computing.

Caso tenha dúvidas sobre esta Política de Privacidade, ou ainda sobre outros temas relacionados à proteção e segurança de dados pessoais, entre em contato através do e-mail [email protected] ou, caso já seja nosso cliente, abra um chamado através do seu painel de cliente.

PERGUNTAS FREQUENTES

1) O que é a LGPD?

LGPD é a sigla utilizada para indicar a Lei Geral de Proteção de Dados, Lei Federal nº 13.709, de 14 de agosto de 2018 (acesse aqui). Esta lei regula o tratamento de Dados Pessoais realizados por pessoas físicas e jurídicas, quando o tratamento ocorre no Brasil ou quando o tratamento, mesmo ocorrendo no exterior, ocorre sobre dados coletados no Brasil ou de pessoas localizadas no Brasil.

2) Em linhas gerais, o que a LGPD prevê?

A LGPD regula a forma e os motivos pelos quais as pessoas e empresas podem tratar dados pessoais, dispõe sobre medidas para proteção da segurança e da privacidade destes dados, bem como estabelece direitos e garantias ao titular dos dados pessoais.

3) O que são dados pessoais?

É considerado como dado pessoal toda informação que seja relacionada a uma pessoa física identificada ou identificável. Ou seja, toda a informação que identifique uma pessoa física diretamente (como o nome completo ou o CPF, por exemplo) ou indiretamente (como um número de IP ou de celular, por exemplo) é um dado pessoal para os fins da LGPD.

Dados de pessoas jurídicas (empresas, por exemplo) não são dados pessoais.

4) Quem é o titular dos dados pessoais?

Cada pessoa é titular de todos os dados pessoais que a ela se referem ou que a identifiquem.
Exemplificando, você é titular de todos os dados que lhe identifiquem, como seu nome e CPF.

5) O que é tratamento de dados, segundo a LGPD?

A LGPD adota uma definição bastante ampla sobre o que seria “tratamento” de dados pessoais. Na terminologia técnica, o termo “tratamento” levaria à interpretação de que alguma ação está sendo realizada sobre os dados pessoais. Para a LGPD, contudo, o simples ato de armazenar ou de arquivar os dados pessoais já é considerado como tratamento de dados pessoais.

A lei traz as seguintes atividades como exemplos do que viria a ser “tratamento” de dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais;

6) Quem são os Agentes de Tratamento? Quem é o Controlador e quem é o Operador?

A LGPD define duas figuras que compõem, conjuntamente, os Agentes de Tratamento.
O Controlador é aquele que toma decisões sobre o tratamento dos dados pessoais, ou seja, é o “dono” do banco de dados. Já o Operador é aquele que realiza operações de tratamento de dados pessoais conforme as orientações do Controlador.

Simplificando com um exemplo, imagine o caso de uma floricultura que contrata uma empresa de entregas, para que envie um presente aos seus clientes. Neste caso, a floricultura é a controladora dos dados pessoais dos seus próprios clientes. Já a empresa de entregas atua como operadora destes dados, os utilizando conforme diretrizes e orientações da floricultura, e especificamente para a finalidade indicada pela floricultura.

7) A Mandic é controladora ou operadora de dados pessoais?

A Mandic é tanto controladora quanto operadora de dados pessoais, sendo que o seu papel específico dependerá da situação que se está avaliando.
A Mandic é controladora dos seus próprios bancos de dados, os quais contém, por exemplo, os dados cadastrais dos seus clientes e colaboradores. Portanto, quando a Mandic lhe envia um boleto, ou entra em contato para prestar suporte técnico, ela está atuando como controladora destes dados cadastrais.

Na maior parte dos casos, contudo, a Mandic atuará como operadora de dados pessoais, realizando ações sobre estes dados conforme solicitações e diretrizes dos seus clientes.

8) A Mandic tem acesso aos dados pessoais tratados por seus clientes?

O acesso da Mandic aos dados pessoais tratados por seus clientes dependerá do tipo de soluções contratadas. Em grande parte dos casos, a única operação de tratamento de dados realizada pela Mandic é o seu armazenamento. Isso ocorre, por exemplo, para todas as soluções de tecnologia nas quais a Mandic se encarrega apenas de prover a infraestrutura ao seu cliente (serviços de e-mail, de backup, de hospedagem etc.) e cabe ao próprio cliente a gestão e utilização desta infraestrutura. Nestes casos, a Mandic não tem acesso aos dados pessoais controlados por seus clientes.

Do ponto de vista técnico, tais dados estão criptografados (ou anonimizados) para a Mandic, e apenas o cliente da Mandic, que é o controlador destes dados, é quem tem acesso a eles.

Em casos especiais, contudo, como quando atuamos gerenciando os ambientes de cloud dos nossos clientes, ou no desenvolvimento de novas soluções para nossos clientes, é possível que a Mandic tenha acesso aos dados pessoais controlados por estes clientes. Nestes casos, a Mandic seguirá as políticas de privacidade informadas pelos clientes.

9) Em que medida esta Política de Privacidade se aplica quando a Mandic atua apenas com o armazenamento de dados pessoais para os seus clientes

Nas situações em que a Mandic apenas armazena dados pessoais coletados por seus clientes, a Mandic não terá acesso aos dados pessoais controlados por eles. Nestes casos, portanto, o papel da Mandic se limitará à garantir a segurança e a integridade destes ambientes, conforme as especificações contratadas pelo cliente e em atenção às políticas de segurança da informação da Mandic.

10) Quais são os direitos dos titulares de dados pessoais?

Os direitos dos titulares de dados pessoais estão previstos no Artigo 17 da LGPD, e incluem, dentre outros: (i) a confirmação da existência de tratamento de dados pessoas; (ii) acesso aos dados pessoais tratados; (iii) correção de dados incompletos, inexatos ou desatualizados; (iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD; (v) portabilidade; (vi) revogação do consentimento e eliminação dos dados tratados com base em consentimento anterior, bem como informações sobre a possibilidade de revogar ou de não fornecer consentimento e das consequências desta recusa; e (vii) informação sobre compartilhamento dos dados pessoais com terceiros.

11) Como devo exercer meus direitos?

Para os casos em que a Mandic for controladora dos seus dados pessoais (quando você for cliente da Mandic ou quando a Mandic entrar em contato diretamente com você, por exemplo), todas as requisições sobre dados pessoais podem ser realizadas através do e-mail [email protected] ou através do seu painel de cliente.

Para os casos em que a Mandic for operadora dos seus dados pessoais, com acesso a eles, todas as requisições sobre dados pessoais podem ser realizadas através do e-mail [email protected] ou através do seu painel de cliente. Nestes casos, a Mandic informará sua demanda ao controlador, e o auxiliará na resposta ao seu pedido.

Para os casos em que a Mandic for operadora dos seus dados pessoais, mas não tiver qualquer acesso a eles (quando seus dados estão sendo tratados através de um site ou aplicação hospedado pela Mandic, ou quando estiver recebendo e-mails de clientes da Mandic, por exemplo), sua solicitação deverá ser direcionada diretamente ao controlador dos dados pessoais. Nestes casos, os dados estão criptografados (ou anonimizados) para a Mandic, de modo que a Mandic não está apta a realizar qualquer ação sobre eles que não seja o mero armazenamento.

Caso a Mandic receba diretamente uma solicitação que se enquadre neste terceiro cenário, a Mandic lhe colocará em contato com o controlador, para que este responda diretamente à sua demanda.

12) Posso revogar o meu consentimento a qualquer momento?

Quando o tratamento dos dados se dá com base no seu consentimento prévio ou tácito, sim, você poderá revogar o seu consentimento a qualquer momento. Isso ocorre, por exemplo, quando você se inscreve em nosso website para receber notícias e promoções da Mandic.

Cumpre esclarecer, contudo, que o consentimento é apenas um dos fundamentos que a LGPD estabelece para o tratamento de dados pessoais. Neste sentido, os seus dados pessoais podem ser objeto de tratamento sem o seu consentimento, desde que exista outo fundamento (ou “base legal”) que torne tal tratamento lícito.

Por exemplo, o tratamento de dados pessoais de clientes da Mandic pode ser realizado com o objetivo de dar cumprimento ao contrato entre Mandic e cliente (para emitir um boleto de cobrança ou para entrar em contato a fim de prestar suporte técnico, por exemplo), hipótese em que o consentimento não é obrigatório.

13) Descobri que meus dados pessoais estão sendo tratados por um cliente da Mandic. Quem devo procurar para exercer meus direitos?

Na grande maioria dos casos, a Mandic opera exclusivamente com o armazenamento dos dados pessoais controlados pelos seus clientes, se limitando a garantir a segurança e a integridade destes dados. Estes dados pessoais, portanto, estão criptografados (ou anonimizados) para a Mandic, que não tem acesso a tais dados.

A Mandic está à disposição para lhe ajudar e para lhe colocar em contato com o controlador dos seus dados pessoais. Contudo, como, nestes casos, a Mandic não realizar o tratamento, tampouco se responsabiliza pelo tratamento realizado pelo controlador, sugerimos que entre em contato diretamente com o controlador, a fim de obter uma resposta mais rápida e eficiente para sua demanda.

14) Qual o prazo e a forma de resposta para demandas de titulares?

A ANPD – Autoridade Nacional de Proteção de Dados, ainda não divulgou as regulamentações sobre prazos e formas de atendimento para determinadas demandas de titulares. A Mandic buscará atender a todos os prazos legais e regulamentos aplicáveis, sempre no menor tempo possível e conforme contato direto com os titulares solicitantes.

15) Por que é necessária a coleta de dados para exercício de direitos da LGPD?

A Mandic precisa garantir que a pessoa que está se identificando como titular de dados pessoais é, efetivamente, a titular daqueles dados. Por isso, a Mandic poderá exigir determinadas confirmações a fim de garantir que apenas as informações sobre dados pessoais somente serão repassadas aos seus legítimos titulares.

16) A Mandic se responsabiliza pelo tratamento de dados realizado por seus clientes?

Nos casos em que a Mandic atua como operadora, sua responsabilidade está limitada ao cumprimento da LGPD e das diretrizes lícitas fornecidas por seus clientes. Neste sentido, a Mandic não se responsabiliza por qualquer tratamento de dados realizado diretamente pelo cliente ou por terceiros.

17) A Mandic fiscaliza os dados armazenados pelos seus clientes?

A Mandic, como regra geral, não tem acesso aos dados armazenados por seus clientes, de modo que está tecnicamente impedida de realizar qualquer fiscalização. Contudo, quando a Mandic receber denúncia de armazenamento de materiais ilícitos (pornografia infantil, fake news ou pirataria eletrônica, por exemplo) ou de utilização indevida das suas soluções de tecnologia (como spam ou tratamento de dados pessoais em desconformidade com a LGPD), a Mandic está autorizada, conforme seu Contrato Padrão, a tomar certas atitudes, quem podem variar entre a notificação do cliente até a eliminação dos dados ilícitos.

18) A LGPD já está valendo?

Após diversas alterações legislativas, a LGPD entrou parcialmente em vigor no dia 18 de setembro de 2020. Cumpre esclarecer, contudo, que parte da LGPD só deverá entrar em vigor em 1º de agosto de 2021, especialmente no que diz respeito à fiscalização da LGPD pelo poder público. Diversos artigos e normas da LGPD ainda dependem de regulamentação pela ANPD – Autoridade Nacional de Proteção de Dados. Esta Política de Privacidade será atualizada para se compatibilizar com novas regulamentações proferidas pela ANPD.

19) O que é o Marco Civil da Internet? Ele tem algo a ver com esta Política de Privacidade?

O Marco Civil da Internet é a Lei Federal nº 12.965, de 23 de abril de 2014 (acesse aqui). Esta lei estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil. O Marco Civil da Internet também traz algumas normas sobre a proteção de dados pessoais no ambiente da internet, bem como estabelece regras para a guarda de registros de conexão à internet e de registros de acesso a aplicações de internet.

Tais registros, por serem potenciais dados pessoais, são arquivados pela Mandic com observância desta Política de Privacidade.

20) O que são dados pessoais sensíveis?

Segundo a LGPD, um dado pessoal sensível é aquele sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

21) Como a Mandic trata dados pessoais sensíveis?

Determinados dados pessoais dos colaboradores da Mandic podem ser considerados como dados pessoais sensíveis, como, por exemplo, a impressão digital para acesso aos ambientes protegidos por trava biométrica, ou atestados médicos fornecidos à Mandic.

Tais dados são tratados de forma especial, em conformidade com as normas trabalhistas, societárias e cíveis aplicáveis.

A Mandic não coleta dados pessoais sensíveis de seus clientes, tampouco tem acesso a dados pessoais sensíveis tratados por seus clientes.

Nas hipóteses em que a Mandic atua como operadora, armazenando dados sensíveis controlados por seus clientes, tais dados estarão criptografados (ou anonimizados) para a Mandic, de modo que a Mandic não terá a capacidade de relacioná-los à identificação dos seus respectivos titulares.

22) Como a Mandic trata dados pessoais de crianças e adolescentes?

A Mandic não coleta dados pessoais de crianças e adolescentes, tampouco tem acesso a dados pessoais de crianças e adolescentes tratados por seus clientes.

Nas hipóteses em que a Mandic atua como operadora, armazenando dados de crianças e adolescentes controlados por seus clientes, tais dados estarão criptografados (ou anonimizados) para a Mandic, de modo que a Mandic não terá a capacidade de relacioná-los à identificação dos seus respectivos titulares.

23) Quais são as políticas de segurança da informação da Mandic?

Quando atua como controladora, os bancos de dados mantidos pela Mandic estão protegidos de acordo com as melhores práticas de mercado, com controles de acesso e proteções tecnológicas que visam impedir o acesso indevido, o vazamento ou a destruição dos dados armazenados.

As regras de segurança de informação aplicáveis aos ambientes dos nossos clientes dependerão da contratação específica entre o cliente e a Mandic.

Contudo, a Mandic estabelece critérios mínimos de segurança, visando garantir uma segurança mínima razoável para todas as soluções de tecnologia que fornece.

Se for nosso cliente, e quiser mais informações sobre segurança da informação, entre em contato através do seu painel de cliente, ou através do e-mail [email protected].

24) A Mandic realiza segregação de dados pessoais e dados não pessoais?

Quando atua como controladora, a Mandic não realiza segregação entre dados pessoais e dados não pessoais, protegendo todos os dados como se pessoais fossem. Aplica-se, portanto, o grau máximo de proteção para todas as informações sobre controle da Mandic.

Quando a Mandic atua como operadora, a Mandic segrega os ambientes dos clientes, de modo que dados controlados por um cliente não são acessíveis, compartilhados ou tratados conjuntamente com os dados controlados pelos demais clientes.

25) A Mandic compartilha dados pessoais com terceiros?

A Mandic compartilha apenas os dados pessoais dos quais é controladora, conforme objetivos e finalidades descritas abaixo nas Diretrizes de Privacidade e Segurança de Dados.

A Mandic apenas compartilhará dados a que tiver acesso quando atuar como operadora se esta for a ordem recebida do controlador e se, na análise da Mandic, tal ordem não violar a LGPD ou esta Política de Privacidade.

26) Mandic realiza transferência internacional de dados?

Como regra, a Mandic não realiza transferência internacional de dados nas suas operações rotineiras. Contudo, transferências internacionais poderão ocorrer, conforme objetivos e finalidades descritas abaixo nas Diretrizes de Privacidade e Segurança de Dados.

Não há mais perguntas frequentes. Se sua dúvida não está respondida acima, pedimos que leia abaixo nossas Diretrizes de Privacidade e Segurança de Dados e, caso ainda restem dúvidas, entre em contato através do e-mail [email protected] ou através do painel de controle, caso seja nosso cliente.
Esta seção de Perguntas Frequentes será atualizada de tempos em tempos, a fim de adicionar novas perguntas que recebermos.


DIRETRIZES DE PRIVACIDADE E SEGURANÇA DE DADOS

1) INTRODUÇÃO ÀS DIRETRIZES

A Mandic Cloud Solutions (“Mandic”) é uma empresa comprometida com a segurança e a privacidade de dados e, portanto, adota medidas de proteção aos dados aplicando controles administrativos e técnicos em conformidade com a LGPD e com as demais legislações e regulações aplicáveis.

A Mandic preza que a coleta e o tratamento de dados seja transparente ao titular do dado e que o uso das informações seja pautado pela responsabilidade.

Por isso, através destas Diretrizes de Privacidade e Segurança de Dados (“Diretrizes”), parte integrante da Política de Proteção de Dados (“Política”) são explicadas as formas como a Mandic utiliza, armazena, compartilha e protege os dados pessoais coletados a partir do uso das nossas soluções de tecnologia (“Soluções”) e da visita aos nossos websites e aplicativos.

Estas Diretrizes de Privacidade e Segurança de Dados também contém esclarecimentos aos titulares de dados pessoais, para que possam se informar e exercer os direitos previstos na LGPD, dentre outras legislações aplicáveis.

Sugerimos que leia a seção de Perguntas Frequentes, acima, a fim de obter informações de forma mais didática e simplificada. Se sua dúvida não está respondida acima, e caso ainda restem dúvidas após a leitura destas Diretrizes, entre em contato através do e-mail [email protected] ou do seu painel de clientes, caso aplicável.

2) CONCEITOS IMPORTANTES

Apresentamos abaixo explicações objetivas sobre os principais conceitos trazidos pela legislação brasileira que versa sobre a proteção de dados pessoais.

2.1) A LGPD

LGPD é a sigla utilizada para indicar a Lei Geral de Proteção de Dados, Lei Federal nº 13.709, de 14 de agosto de 2018 (acesse aqui). Esta lei regula o tratamento de Dados Pessoais realizados por pessoas físicas e jurídicas, quando o tratamento ocorre no Brasil ou quando o tratamento, mesmo ocorrendo no exterior, ocorre sobre dados coletados no Brasil ou de pessoas localizadas no Brasil.
A LGPD regula a forma e os motivos pelos quais as pessoas e empresas podem tratar dados pessoais, dispõe sobre medidas para proteção da segurança e da privacidade destes dados, bem como estende ao titular dos dados pessoais alguns direitos e garantias.

2.2) OS DADOS PESSOAIS

É considerado como dado pessoal toda informação que seja relacionada a uma pessoa física identificada ou identificável. Ou seja, toda a informação que identifique uma pessoa física diretamente (como o nome completo ou o CPF, por exemplo) ou indiretamente (como um número de IP ou de celular, por exemplo) é um dado pessoal para os fins da LGPD.
Dados de pessoas jurídicas (empresas, por exemplo) não são dados pessoais.
Segundo a LGPD, um dado pessoal sensível é aquele sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural

2.3) OS TITULARES

Cada pessoa é titular de todos os dados pessoais que a ela se referem ou que a identifiquem. Exemplificando, você é titular de todos os dados que lhe identifiquem, como seu nome e CPF.

2.4) O TRATAMENTO DE DADOS PESSOAIS

A LGPD adota uma definição bastante ampla sobre o que seria “tratamento” de dados pessoais. Na terminologia técnica, o termo “tratamento” levaria à interpretação de que alguma ação está sendo realizada sobre os dados pessoais. Para a LGPD, contudo, o simples ato de armazenar ou de arquivar os dados pessoais já é considerado como tratamento de dados pessoais.

2.5) OS AGENTES DE TRATAMENTO

A LGPD define duas figuras que compõem, conjuntamente, os Agentes de Tratamento. O Controlador é aquele que toma decisões sobre o tratamento dos dados pessoais, ou seja, é o “dono” do banco de dados. Já o Operador é aquele que realiza operações de tratamento de dados pessoais conforme as orientações do Controlador.

Simplificando com um exemplo, imagine o caso de uma floricultura que contrata uma empresa de entregas, para que envie um presente aos seus clientes. Neste caso, a floricultura é a controladora dos dados pessoais dos seus próprios clientes. Já a empresa de entregas atua como operadora destes dados, os utilizando conforme diretrizes e orientações da floricultura, e especificamente para a finalidade indicada pela floricultura (ou seja, usa o nome e endereço dos clientes com o objetivo específico de realizar as entregas).

3) CATEGORIAS DE DADOS TRATADOS PELA MANDIC

A Mandic realiza o tratamento de dados de diferentes categorias, as quais são aqui apresentadas para facilitar a compreensão destas Diretrizes e para lhe auxiliar a identificar quais normas destas diretrizes são aplicáveis ao seu caso específico.

3.1) DADOS DE CLIENTES CONTRATANTES

São os dados que identificam os clientes da Mandic que mantém (ou mantiveram) contratos com a Mandic. A Mandic atua como controladora destes dados.

3.2) DADOS DE CLIENTES QUE ACESSAM O WEBSITE DA MANDIC

São os dados de titulares que acessam o website da Mandic, sejam eles clientes contratantes ou não. Estão incluídos nesta categoria os dados coletados de forma automática, independentemente do consentimento do titular. A Mandic atua como controladora destes dados.

3.3) DADOS OBTIDOS MEDIANTE CONSENTIMENTO

São os dados obtidos pela Mandic através de consentimento expresso dos titulares. São incluídos aqui os dados obtidos: (i) mediante inscrição em newsletters da Mandic ou de parceiros da Mandic; (ii) mediante inscrição em eventos, congressos, webinars e palestras promovidas pela Mandic. A Mandic atua como controladora destes dados.

3.4) DADOS PARA CONTATO COMERCIAL

São os dados obtidos pela equipe comercial da Mandic, via contato comercial direto, com o objetivo de ofertar soluções da Mandic aos titulares. A Mandic é controladora destes dados.

3.5) DADOS PÚBLICOS

São os dados obtidos junto a fontes públicas, inclusive Redes sociais de terceiros (como Facebook, Instagram e Google), pesquisas de mercado (se o retorno não for dado de forma anônima) e entidades de proteção ao crédito. A Mandic é controladora destes dados.

3.6) DADOS CONTROLADOS POR CLIENTES, SEM ACESSO DA MANDIC

São os dados controlados por clientes contratantes da Mandic, armazenados ou arquivados através das soluções de tecnologia da Mandic, aos quais a Mandic não tem acesso, de modo que, do ponto de vista da Mandic, tais dados estão criptografados e/ou anonimizados. A Mandic é operadora destes dados, atuando exclusivamente na segurança, armazenamento e arquivamento destes dados, conforme previsões contratuais.

3.7) DADOS CONTROLADOS POR CLIENTES, COM ACESSO DA MANDIC

São os dados controlados por clientes contratantes da Mandic, armazenados ou arquivados através das soluções de tecnologia da Mandic, aos quais a Mandic tem acesso em razão da contratação específica do cliente. Nestes casos, a Mandic seguirá as políticas de privacidade informadas pelos clientes e se recusará ao tratamento quando as políticas do cliente se mostrarem manifestamente contrárias à LGPD. A Mandic é operadora destes dados, atuando exclusivamente nos termos das solicitações e diretrizes dos clientes, e conforme as previsões contratuais.

3.8) DADOS DE COLABORADORES DA MANDIC

São os dados de funcionários, prestadores de serviços e demais colaboradores da Mandic. Estes dados são objeto de diretrizes constantes de documento interno e privado da Mandic. Ficam incluídos nesta categoria os dados pessoais obtidos através da entrega de currículos, seja pessoalmente ou através de empresas de recrutamento. Caso seja titular deste tipo de dado pessoal, entre em contato pelo e-mail [email protected] para obter maiores informações. A Mandic é controladora destes dados.

4) APLICAÇÃO DE OUTROS TERMOS E POLÍTICAS, INCLUSIVE DE TERCEIROS

Determinadas soluções de tecnologia fornecidas pela Mandic estão sujeitas a outros termos e políticas, inclusive de terceiros (Amazon Web Services, Microsoft etc.) Consulte o seu contrato a fim de obter maiores informações e, para quaisquer dúvidas, entre em contato pelo e-mail p[email protected].

5) DADOS COLETADOS E FINALIDADES (“BASES LEGAIS”)

Nesta seção, descrevemos os tipos de dados que podemos coletar e qual é a finalidade da coleta e tratamento destes dados.

5.1. DADOS DE CLIENTES CONTRATANTES DA MANDIC

Coletamos os seguintes dados dos clientes da Mandic que mantém (ou mantiveram) contratos com a Mandic:

5.1.1) Dados fornecidos pelo cliente
  • Dados cadastrais, como o seu nome, cargo, empresa, endereço profissional, número de telefone e endereço de e-mail. Embora dados de empresas não sejam dados pessoais, coletamos dados pessoais relacionados aos nossos clientes pessoas jurídicas, como, por exemplo, os dados pessoas de seus representantes legais e responsáveis técnicos;
  • Credenciais de contas e de usuários, como o seu endereço de e-mail, número de cliente (“CD”), login e senha;
  • Informações de pagamento, como dados de cartão de crédito, dados bancários e endereço (eletrônico ou físico) para fatura;
  • Dados relacionados a suporte técnico e solução de problemas, incluindo os dados obtidos através de chamados de suportes, bem como os fornecidos através da troca de mensagens, e-mails e telefonemas com a nossa equipe de suporte;
    Estes dados incluem dados de contato ou autenticação e o conteúdo das suas comunicações conosco, incluindo gravações telefônicas e trocas de mensagens instantâneas, via chat, e-mail ou ferramenta similar.
5.1.2) Dados coletados de forma automatizada
  • Dados de identificação do dispositivo ou terminal que é utilizado para acessar as soluções fornecidas pela Mandic, incluindo seu endereço de IP, porta de conexão, sistema operacional, geolocalização e número identificador do dispositivo;
  • Registro de Acessos à Aplicações, nos termos do Marco Civil da Internet;
  • Registro de Conexão, nos termos do Marco Civil da Internet, nos casos específicos em que atuamos como provedores de conexão, fornecendo um IP dedicado ao cliente;
  • Dados de navegação, inclusive informações sobre desempenho das aplicações e soluções acessadas, bem como métricas sobre o envio e recebimento de pacotes de dados.
5.1.3) Finalidade da coleta de dados durante a contratação
  • Cumprir os contratos celebrados junto ao cliente;
  • Fornecer as soluções contratadas pelo cliente;
  • Garantir autenticidade das comunicações entre cliente e Mandic;
  • Entrar em contato com o cliente para tratar de temas relacionados aos contratos existentes junto à Mandic;
  • Prestar suporte técnico, bem como realizar pesquisas e testes para aprimoramento das soluções;
  • Procedimentos de segurança e proteção, inclusive para evitar vazamento de dados e garantir a integridade das informações trocadas entre as partes;
  • Ofertar e recomendar outras soluções de tecnologia, inclusive para fins de adequar as soluções prestadas ao uso que o cliente tem feito das ferramentas de computação em nuvem;
  • Realizar pesquisas de satisfação e avaliar a eficiência de nossas áreas de contato com o cliente, inclusive áreas de suporte técnico e de publicidade;
  • Gerenciar riscos e prevenir fraudes e demais atividades ilícitas ou que contrariem os contratos e políticas da Mandic e/ou de terceiros;
5.1.4) Finalidade da coleta de dados durante e após a contratação
  • Estabelecer, exercer e defender direitos em processos judiciais, administrativos ou arbitrais;
  • Entrar em contato para negociação de débitos e realizar cobrança de valores devidos, seja por via judicial ou extrajudicial;
  • Cumprir com obrigações legais ou regulatórias, ou conforme exigido em um processo judicial ou administrativo, por qualquer órgão de aplicação da lei ou do governo com competência sobre a Mandic, sempre respeitando a legislação aplicáveis e apenas atuando no limite das ordens judiciais ou administrativas;
  • Para as demais finalidades para as quais o cliente tenha dado seu aceite prévio, ou ainda nos termos autorizados ou exigidos pela LGPD e demais legislações aplicáveis.

5.2) DADOS DE CLIENTES QUE VISITAM O WEBSITE DA MANDIC

Coletamos os seguintes dados dos clientes que visitam o website da Mandic, sejam contratantes ou não.

5.2.1) Dados coletados de forma automatizada
  • Dados de identificação do dispositivo ou terminal que é utilizado para acessar as soluções fornecidas pela Mandic, incluindo seu endereço de IP, porta de conexão, sistema operacional, geolocalização e número identificador do dispositivo;
  • Registro de Acessos à Aplicações, nos termos do Marco Civil da Internet;
  • Dados de navegação, inclusive informações sobre desempenho das aplicações e soluções acessadas, bem como métricas sobre o envio e recebimento de pacotes de dados.
5.2.2) Finalidade da coleta de dados dos clientes que acessam o website
  • Realizar pesquisas de satisfação e avaliar a eficiência de nossas áreas de contato com o cliente, inclusive áreas de suporte técnico e de publicidade;
  • Gerenciar riscos e prevenir fraudes e demais atividades ilícitas ou que contrariem os contratos e políticas da Mandic e/ou de terceiros;
  • Estabelecer, exercer e defender direitos em processos judiciais, administrativos ou arbitrais;
  • Para as demais finalidades para as quais o cliente tenha dado seu aceite prévio, ou ainda nos termos autorizados ou exigidos pela LGPD e demais legislações aplicáveis.

5.3) DADOS OBTIDOS MEDIANTE CONSENTIMENTO DO TITULAR E DADOS OBTIDOS MEDIANTE CONTATO COMERCIAL

Coletamos os seguintes dados dos clientes nos fornecem dados mediante consentimento, ou através de contato comercial junto à nossa equipe de vendas

5.3.1) Dados fornecidos pelo cliente
  • Dados cadastrais, como o seu nome, cargo, empresa, endereço profissional, número de telefone e endereço de e-mail, conforme fornecidos através de formulários ou pesquisa específicas;
  • O conteúdo de suas respostas aos nossos formulários e pesquisas de opinião;
5.3.2) Finalidade da coleta de dados dos clientes que acessam o website
  • Ofertar e recomendar soluções de tecnologia ao cliente;
  • Convidar o cliente para eventos realizados pela Mandic;
  • Realizar pesquisas de satisfação e avaliar a eficiência de nossas áreas de contato com o cliente, inclusive áreas de suporte técnico e de publicidade;
  • Gerenciar riscos e prevenir fraudes e demais atividades ilícitas ou que contrariem os contratos e políticas da Mandic e/ou de terceiros;
  • Estabelecer, exercer e defender direitos em processos judiciais, administrativos ou arbitrais;
  • Para as demais finalidades para as quais o cliente tenha dado seu aceite prévio, ou ainda nos termos autorizados ou exigidos pela LGPD e demais legislações aplicáveis.

6) TRATAMENTO PELA MANDIC DE DADOS CONTROLADOS PELOS CLIENTES, NOS CASOS EM QUE A MANDIC NÃO TEM ACESSO A ESTES DADOS

Nesta seção, a Mandic esclarece as diretrizes aplicáveis aos dados que não são coletados pela Mandic, mas que são armazenados ou arquivados pela Mandic através dos contratos mantidos junto aos seus clientes. Esta seção trata das hipóteses em que a Mandic não possui qualquer acesso, direto ou indireto, aos dados pessoais controlados pelo cliente. A Mandic atua na posição de Operadora nas hipóteses tratadas nesta seção, quando aplicável.

6.1) TRATAMENTO REALIZADO PELA MANDIC

Nos termos da LGPD, a simples ação de armazenar ou arquivar dados pessoais pode ser considerada como uma atividade de tratamento de dados pessoais. Nos casos tratados nesta seção, as atividades da Mandic se limitam ao armazenamento e arquivamento dos dados coletados e organizados pelos clientes (ou por terceiros contratados pelos clientes), bem como na oferta da infraestrutura computacional (quando aplicável) e das ferramentas e medidas de segurança aplicáveis, conforme contratação realizada pelo cliente.
A Mandic não possui acesso, ingerência ou capacidade de ter acesso e de fiscalizar os dados pessoais controlados por seus clientes, tampouco os tratamentos de dados pessoais realizados pelos seus clientes

6.2) PAPEL DA MANDIC NO EXERCÍCIO DE DIREITOS PELOS TITULARES

Caso você seja titular de dados pessoais que estão sendo tratados pela Mandic nos termos desta seção, a Mandic não tem condições técnicas de identificar você. Os seus dados estão criptografados e/ou anonimizados do ponto de vista da Mandic, e apenas o cliente possui acesso aos seus dados. Os dados, portanto, perdem a natureza de dados pessoais, a medida em que, para a Mandic, não se referem a uma pessoa identificada ou identificável.
Em razão disso, demandas e solicitações de titulares que se enquadrem nesta seção serão respondidas com a indicação do potencial controlador dos dados pessoais, o qual a Mandic atuará com melhores esforços para identificar.

6.3) RELAÇÃO ENTRE A MANDIC E AS POLÍTICAS DE PRIVACIDADE DOS CLIENTES, APLICÁVEIS AOS DADOS POR ELES CONTROLADOS

A Mandic, nos casos que se enquadrem nesta seção, não realiza qualquer revisão ou anuência aos termos e políticas de privacidade dos nossos clientes e que são aplicáveis aos dados por eles controlados. Neste sentido, a Mandic não se responsabiliza pelo tratamento de dados realizado por seus clientes através das soluções de tecnologia ofertadas.
A Mandic, nos casos objeto desta seção, não tem acesso aos dados armazenados por seus clientes, de modo que está tecnicamente impedida de realizar qualquer fiscalização. Contudo, quando a Mandic receber denúncia de armazenamento de materiais ilícitos (pornografia infantil, fake news ou pirataria eletrônica, por exemplo) ou de utilização indevida das suas soluções de tecnologia (como spam ou tratamento de dados pessoais em desconformidade com a LGPD), a Mandic está autorizada, conforme seu Contrato Padrão, a tomar certas atitudes, quem podem variar entre a notificação do cliente até a eliminação dos dados ilícitos.
As atitudes serão tomadas conforme orientações e ordens recebidas das autoridades públicas competentes.

7) TRATAMENTO PELA MANDIC DE DADOS CONTROLADOS PELOS CLIENTES, NOS CASOS EM QUE A MANDIC TEM ACESSO A ESTES DADOS

Nesta seção, a Mandic esclarece as diretrizes aplicáveis aos dados que não são coletados pela Mandic, mas que são armazenados ou arquivados pela Mandic através dos contratos mantidos junto aos seus clientes. Esta seção trata das hipóteses em que a Mandic possui algum acesso, direto ou indireto, aos dados pessoais controlados pelo cliente. A Mandic atua na posição de Operadora nas hipóteses tratadas nesta seção, quando aplicável.

7.1) TRATAMENTO REALIZADO PELA MANDIC

Nos termos da LGPD, a simples ação de armazenar ou arquivar dados pessoais pode ser considerada como uma atividade de tratamento de dados pessoais. Nos casos tratados nesta seção, as atividades da Mandic incluem (mas não se limitam) ao armazenamento e arquivamento dos dados coletados e organizados pelos clientes (ou por terceiros contratados pelos clientes), bem como na oferta da infraestrutura computacional (quando aplicável) e das ferramentas e medidas de segurança aplicáveis, conforme contratação realizada pelo cliente.
Os demais tratamentos realizados pela Mandic dependerão sempre de orientações e diretrizes fornecidas pelo cliente, e serão realizados: (i) em respeito às políticas, diretrizes e orientações do cliente e; (ii) em observância à LGPD e demais legislações aplicáveis.
A Mandic sempre se reservará no direito de interromper ou recusar o tratamento de dados que, na visão da Mandic, se mostrar manifestamente contrário à LGPD.

7.2) PAPEL DA MANDIC NO EXERCÍCIO DE DIREITOS PELOS TITULARES

A Mandic poderá ser responsável pela solução e resposta de pedidos de titulares de dados pessoais, na medida em que tais pedidos se dirijam: (i) aos dados pessoais aos quais a Mandic tem acesso e; (ii) aos processos de tratamento realizados diretamente pela Mandic.
Nestes casos, a Mandic procederá à resposta e solução do pedido do titular, sempre deixando o controlador ciente dos pedidos recebidos e das respostas apresentadas pela Mandic.
Nos demais casos, demandas e solicitações de titulares que não se enquadrem nesta seção serão respondidas com a indicação do potencial controlador dos dados pessoais, o qual a Mandic atuará com melhores esforços para identificar.

7.3) RELAÇÃO ENTRE A MANDIC E AS POLÍTICAS DE PRIVACIDADE DOS CLIENTES, APLICÁVEIS AOS DADOS POR ELES CONTROLADOS

A Mandic, nos casos que se enquadrem nesta seção, apenas realiza uma revisão dos termos e políticas de privacidade dos seus clientes e que são aplicáveis aos dados por eles controlados com o objetivo de avaliar a sua compatibilidade, num primeiro olhar (prima facie), com as normas da LGPD.
Neste sentido, a Mandic não se responsabiliza pelo tratamento de dados realizado por seus clientes através das soluções de tecnologia ofertadas, se responsabilizando, exclusivamente, pelos tratamentos realizados na condição de operadora de dados pessoais.
Quando a Mandic verificar no caso concreto, ou receber denúncia sobre, o armazenamento de materiais ilícitos (pornografia infantil, fake news ou pirataria eletrônica, por exemplo) ou de utilização indevida das suas soluções de tecnologia (como spam ou tratamento de dados pessoais em desconformidade com a LGPD), a Mandic está autorizada, conforme seu Contrato Padrão, a tomar certas atitudes, quem podem variar entre a notificação do cliente até a eliminação dos dados ilícitos.
As atitudes serão tomadas conforme orientações e ordens recebidas das autoridades públicas competentes, ou nos termos dos contratos celebrados entre as Partes.

8) COMPARTILHAMENTO DE DADOS PESSOAIS

Esta seção tratará das hipóteses em que a Mandic pode compartilhar dados pessoais com terceiros. A Mandic poderá compartilhar os dados pessoais coletados com terceiros e parceiros de negócio, que sejam relevantes ou necessários para fornecer as soluções de tecnologia ofertadas. A Mandic também poderá realizar compartilhamento com o objetivo de cumprir determinações legais, judiciais ou administrativas O referido compartilhamento ocorre com base nos seguintes critérios e para as finalidades descritas abaixo.

  • Compartilhamento para prestadores de serviço terceirizados e consultores, inclusive advogados e contadores, seja com o objetivo de auxiliar no fornecimento das soluções de tecnologia e cumprimento dos contratos celebrados junto aos clientes, seja para cumprimento de obrigações legais e administrativas. Nestes casos, a Mandic exige que estes prestadores de serviço cumpram com políticas de segurança e de proteção de dados pessoais compatíveis com esta Política de Privacidade, e o tratamento de dados por estes terceiros deverá se ater restritivamente às instruções da Mandic. Quando necessário, o seu consentimento será solicitado antes de qualquer compartilhamento;
  • Compartilhamento com entidades de Proteção ao Crédito a fim de validar as informações fornecidas pelo cliente e realizar análises de crédito ou informar débitos inadimplidos. Inclui-se neste grupo a possibilidade de envio de informações a cartórios de protesto;
  • Compartilhamento para órgãos reguladores, autoridades judiciais ou administrativas para os fins de prestar às autoridades competentes todas as informações que forem solicitadas com relação ao titular e operações por ele executadas através do uso das soluções da Mandic. Ademais, podemos compartilhar os seus dados pessoais com autoridades públicas ou entidades privadas para combate à fraude e abuso no uso das soluções, para investigação de suspeitas de violação da lei, ou para combater qualquer outra suspeita de descumprimento das nossas políticas e contratos.
  • Compartilhamento no caso de operações societárias ou de venda de ativos, quando uma empresa ou unidade de negócio da Mandic seja reorganizada ou vendida e sejam transferidos todos ou substancialmente todos os ativos a um novo proprietário, sua informação pessoal pode ser transferida ao comprador independentemente de sua autorização para garantir a continuidade dos negócios e a manutenção das soluções;
  • Nos demais casos, sempre mediante o consentimento do titular dos dados;
  • Nos casos em que a Mandic for operadora, o compartilhamento será realizado conforme as políticas dos controladores aplicáveis.

9) TRANSFERÊNCIA DE DADOS PESSOAIS PARA OUTROS PAÍSES

A Mandic poderá transferir alguns dados pessoais a prestadores de serviços localizados no exterior, ou que realizem o tratamento de dados pessoais em servidores localizados no exterior, incluindo prestadores de serviços em nuvem.
Quando seus dados pessoais forem transferidos para fora do Brasil, a Mandic adotará medidas apropriadas para garantir a proteção adequada de seus dados pessoais em conformidade com os requisitos da legislação aplicável de proteção de dados, incluindo por meio da celebração de contratos apropriados de transferência de dados com terceiros de dados pessoais quando exigidos.

10) SITE E LINKS DE TERCEIROS

Quando a Mandic disponibilizar links para sites e aplicativos de terceiros, a Mandic não se responsabiliza ou dá qualquer aval ou validação quanto ao tratamento de dados pessoais realizados por estes terceiros. O titular dos dados deve consultar a política de privacidade destes terceiros a fim de se informar acerca das regras e diretrizes aplicáveis.

11) SEGURANÇA DA INFORMAÇÃO

Os Dados Pessoais tratados pela Mandic são protegidos por medidas físicas, técnicas e organizacionais de segurança para reduzir riscos de perda, mau uso e acesso não autorizado, divulgação e alteração, tais como firewalls e criptografia de dados, controles de acesso físico a data centers, além de controles de autorização de acesso à informação.
As práticas de segurança da informação aplicáveis aos seus dados pessoais podem depender da contratação do cliente, sempre que um cliente da Mandic for o controlador destes dados pessoais.

Cumpre destacar que a ANPD – Autoridade Nacional de Proteção de Dados, ainda não regulamentou determinados aspectos da LGPD que versam sobre segurança da informação. Enquanto a ANPD não publicar tais regulações, a Mandic cumprirá a LGPD em atenção aos seus princípios gerais e às melhores práticas de mercado, buscando soluções eficientes e que garantam padrões mínimos de segurança a todos os dados pessoais tratados pela Mandic, seja como controladora ou operadora.

12) DIREITOS DOS TITULARES E O SEU EXERCÍCIO

Os direitos dos titulares de dados pessoais estão previstos no Artigo 17 da LGPD, e incluem, dentre outros: (i) a confirmação da existência de tratamento de dados pessoas; (ii) acesso aos dados pessoais tratados; (iii) correção de dados incompletos, inexatos ou desatualizados; (iv) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD; (v) portabilidade; (vi) revogação do consentimento e eliminação dos dados tratados com base em consentimento anterior, bem como informações sobre a possibilidade de revogar ou de não fornecer consentimento e das consequências desta recusa; e (vii) informação sobre compartilhamento dos dados pessoais com terceiros.

Para os casos em que a Mandic for controladora dos seus dados pessoais (quando você for cliente da Mandic ou quando a Mandic entrar em contato diretamente com você, por exemplo), todas as requisições sobre dados pessoais podem ser realizadas através do e-mail [email protected] ou através do seu painel de cliente.

Para os casos em que a Mandic for operadora dos seus dados pessoais, com acesso a eles, todas as requisições sobre dados pessoais podem ser realizadas através do e-mail [email protected] ou através do seu painel de cliente. Nestes casos, a Mandic informará sua demanda ao controlador, e o auxiliará na resposta ao seu pedido.

Para os casos em que a Mandic for operadora dos seus dados pessoais, mas não tiver qualquer acesso a eles (quando seus dados estão sendo tratados através de um site ou aplicação hospedado pela Mandic, ou quando estiver recebendo e-mails de clientes da Mandic, por exemplo), sua solicitação deverá ser direcionada diretamente ao controlador dos dados pessoais. Nestes casos, os dados estão criptografados (ou anonimizados) para a Mandic, de modo que a Mandic não está apta a realizar qualquer ação sobre eles que não seja o mero armazenamento.

Caso a Mandic receba diretamente uma solicitação que se enquadre neste terceiro cenário, a Mandic lhe colocará em contato com o controlador, para que este responda diretamente à sua demanda.

Cumpre destacar que a ANPD – Autoridade Nacional de Proteção de Dados, ainda não regulamentou determinados aspectos da LGPD que versam sobre estes direitos. Enquanto a ANPD não publicar tais regulações, a Mandic cumprirá a LGPD em atenção aos seus princípios gerais e às melhores práticas de mercado, buscando soluções eficientes e em prazo razoável.

13) VIGÊNCIA DA POLÍTICA DE PRIVACIDADE E EXCLUSÃO DE DADOS

Esta Política de Privacidade se aplica às circunstâncias acima mencionadas durante todo o período em que a Mandic armazenar os dados pessoais. Nós armazenamos e mantemos suas informações: (i) pelo tempo exigido por lei; (ii) até o término do tratamento de dados pessoais; ou (iii) pelo tempo necessário a preservar o legítimo interesse da Mandic. Assim, trataremos seus dados, por exemplo, durante os prazos prescricionais aplicáveis ou enquanto necessário para cumprimento de obrigação legal ou regulatória.
Nos casos de término de tratamento de dados pessoais, ressalvadas as hipóteses estabelecidas pela legislação aplicável ou pela presente Política de Privacidade, os dados pessoais serão eliminados e esta Política não será mais aplicável ao seu relacionamento com a Mandic.
Considerando que a Mandic realiza cópias de segurança recorrentes dos seus sistemas, há a possibilidade de um dado pessoal eliminado ainda constar em cópias de segurança passadas. Nestes casos: (i) tais dados pessoais serão armazenados de forma criptografada e anonimizada, bem como com as proteções de segurança da informação aplicáveis e; (ii) a Mandic assegurará a pronta eliminação destes dados pessoais sempre que a utilização da cópia de segurança se fizer necessária.
O término do tratamento de dados pessoais ocorrerá nos seguintes casos: (i) quando a finalidade para qual o dado pessoal foi coletado for alcançada, e/ou os dados pessoais coletados deixarem de ser necessários ou pertinentes ao alcance de tal finalidade; (ii) quando o Titular solicitar a exclusão de seus dados; e (iii) quando houver uma determinação legal, judicial ou administrativa neste sentido.

14) VIGÊNCIA DA POLÍTICA DE PRIVACIDADE E EXCLUSÃO DE DADOS

A Mandic poderá alterar esta política de privacidade a qualquer momento, mediante publicação da versão revisada em seu website e publicidade da atualização. Em especial, mas sem limitação, a Mandic realizará revisões para: (i) incluir novas perguntas frequentes; (ii) se adequar às alterações legislativas e/ou às novas regulações emitidas pela ANPD; ou (iii) adequar a política de privacidade a novas políticas, certificações ou soluções da Mandic.