Política de Proteção de Dados para Clientes da Saber5 Comunicação e Design

Histórico de Versões

Descrição do Documento

Contexto: A Saber5 Comunicação e Design, fundada em 2003, é especializada em marketing digital, design e desenvolvimento de plataformas. No desempenho de suas atividades, especialmente em projetos de campanhas, captação de leads e gestão de mailing, a Saber5 pode ter acesso ou tratar dados pessoais de clientes de seus clientes. Este documento estabelece as diretrizes e compromissos da Saber5 em relação à proteção de dados pessoais, atuando como Operadora/Processadora.

Conteúdo: Este documento detalha as práticas da Saber5 em conformidade com a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018), abordando os papéis e responsabilidades, a designação do Encarregado de Proteção de Dados (DPO), as medidas de segurança, a gestão de incidentes, o apoio aos direitos dos titulares, a retenção de dados e a governança de suboperadores.

Destinatários: Este documento é destinado aos clientes da Saber5 Comunicação e Design, bem como a parceiros e fornecedores que necessitem compreender a postura da agência em relação à proteção de dados pessoais.

Fontes: As informações e compromissos aqui contidos são baseados na Lei Geral de Proteção de Dados (LGPD) e nas melhores práticas de segurança da informação e privacidade.

Dúvidas?: Para quaisquer dúvidas ou esclarecimentos sobre esta política, por favor, entre em contato com nosso Encarregado de Proteção de Dados (DPO).

Papéis e Responsabilidades na Proteção de Dados

Em projetos que envolvem a captação de leads, gestão de mailing ou outras atividades de marketing digital, a Saber5 Comunicação e Design atua, em regra, como Operadora (ou Processadora) de dados pessoais. Isso significa que a Saber5 trata os dados pessoais em nome e conforme as instruções documentadas do Cliente (Controlador), que é o responsável por definir a finalidade e os meios do tratamento.

A Saber5 se compromete a tratar os dados pessoais exclusivamente para as finalidades especificadas pelo Cliente e a não utilizá-los para fins próprios ou não autorizados. Todos os colaboradores da Saber5 envolvidos no tratamento de dados pessoais estão sujeitos a obrigações de confidencialidade e recebem treinamento adequado sobre as políticas e procedimentos de proteção de dados.

Encarregado de Proteção de Dados (DPO)

A Saber5 Comunicação e Design designou um Encarregado de Proteção de Dados (DPO), responsável por supervisionar a conformidade com a legislação de proteção de dados e atuar como ponto de contato para titulares de dados, autoridades e para os próprios clientes da Saber5.

Dados do DPO da Saber5: Marcio Stoppa E-mail: marcio@saber5.com - 11 

Este canal é o meio oficial para quaisquer solicitações, dúvidas ou assuntos relacionados à privacidade e proteção de dados pessoais nos projetos conduzidos pela Saber5.

Registros, Adequação e Atualização dos Dados

A Saber5 adota uma abordagem de responsabilidade e prestação de contas (accountability) em suas operações. Para tanto, mantém registros das atividades de tratamento de dados pessoais realizadas em nome de seus clientes, de forma simplificada e por projeto, conforme exigido pela LGPD. Esses registros incluem informações sobre as categorias de dados tratados, as finalidades, as bases legais aplicáveis (definidas pelo Cliente), e as medidas de segurança implementadas.

A Saber5 se compromete a tratar apenas os dados estritamente necessários para a execução dos serviços contratados (princípio da minimização de dados). Quando aplicável e sob instrução do Cliente, a Saber5 pode auxiliar na coleta de evidências de consentimento dos titulares, garantindo que tais registros sejam mantidos e possam ser apresentados ao Cliente quando solicitado. A agência também mantém registros de mudanças relevantes nas configurações de tratamento e documentação das medidas de segurança implementadas. Todas essas informações são disponibilizadas ao Cliente quando solicitado, para fins de auditoria e comprovação de conformidade.

Segurança e Gestão de Violações

A Saber5 implementa medidas técnicas e organizacionais robustas para proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Nossas medidas incluem:

• Controles de Acesso: Implementação de controles de acesso lógico e físico, garantindo que apenas pessoal autorizado tenha acesso aos dados pessoais, com base no princípio do menor privilégio.
• Segregação de Dados: Quando possível, os dados de diferentes clientes são segregados para evitar acessos cruzados indevidos.
• Autenticação Forte: Utilização de mecanismos de autenticação forte (como senhas complexas e, quando aplicável, autenticação de múltiplos fatores) para acesso a sistemas e plataformas que contêm dados pessoais.
• Logs de Acesso e Atividades: Manutenção de registros (logs) de acesso e atividades nos sistemas, permitindo a auditoria e rastreabilidade de operações.
• Backups Regulares: Realização de backups regulares dos dados para garantir a recuperação em caso de incidentes.
• Criptografia: Utilização de criptografia para proteger dados em trânsito (ex: SSL/TLS em comunicações web) e, quando aplicável, em repouso.
• Hardening de Sistemas: Aplicação de configurações de segurança (hardening) em servidores e sistemas para reduzir vulnerabilidades.
• Atualização de Softwares: Manutenção de softwares, sistemas operacionais e aplicações sempre atualizados, com aplicação de patches de segurança.
• Princípios OWASP: Para o desenvolvimento web (incluindo projetos com WordPress e a plataforma Lovable), a Saber5 segue os princípios de segurança da OWASP (Open Web Application Security Project) para mitigar vulnerabilidades comuns.
• Treinamento da Equipe: Treinamento contínuo da equipe sobre as melhores práticas de segurança da informação e proteção de dados.

Suboperadores: Para a execução de seus serviços, a Saber5 pode utilizar suboperadores e fornecedores de tecnologia, como RD Station (automação de marketing), SendGrid (envio de e-mails), Meta Ads e Google Ads (plataformas de publicidade), Hostinger (serviços de hospedagem), WordPress (sistema de gerenciamento de conteúdo) e Lovable (plataforma de desenvolvimento). A escolha desses suboperadores é feita com diligência, buscando parceiros que demonstrem compromisso com a segurança e a proteção de dados. A Saber5 estabelece contratos com esses suboperadores, buscando garantir que eles também cumpram com as obrigações de proteção de dados e sigam as instruções do Cliente.

Gestão de Incidentes: Em caso de qualquer incidente de segurança que possa resultar em risco ou dano relevante aos titulares de dados, a Saber5 se compromete a notificar o Cliente em prazo razoável após a detecção. A agência cooperará plenamente com o Cliente na investigação do incidente e na comunicação às autoridades competentes e aos titulares dos dados, se e quando necessário.

Direitos dos Titulares dos Dados

A Saber5 reconhece e respeita os direitos dos titulares de dados pessoais, conforme estabelecido pela LGPD. Como Operadora, a Saber5 se compromete a apoiar o Cliente (Controlador) no atendimento a eventuais solicitações dos titulares, tais como acesso, correção, exclusão, portabilidade, oposição ao tratamento e revogação de consentimento. A Saber5 atuará conforme as instruções documentadas do Cliente para processar tais solicitações, garantindo a privacidade e a segurança dos dados.

Retenção e Descarte de Dados

Os prazos de retenção e descarte dos dados pessoais tratados pela Saber5 seguem, como regra geral, as instruções fornecidas pelo Cliente. Na ausência de instruções específicas, a Saber5 aplicará critérios mínimos baseados na finalidade do tratamento, nas obrigações legais ou regulatórias aplicáveis, e na necessidade de defesa de direitos em processos administrativos ou judiciais. Após o término do período de retenção ou da finalidade do tratamento, os dados serão descartados de forma segura, garantindo a sua eliminação ou anonimização, conforme acordado com o Cliente.

Tratamento de Dados de Pagamento (PCI-DSS)

A Saber5, como regra, não coleta, armazena ou processa dados completos de cartão de crédito ou outras informações sensíveis de pagamento. Caso um projeto específico do Cliente exija o tratamento de tais dados, a Saber5 garantirá que essa operação seja realizada por provedores de serviços de pagamento certificados (em conformidade com o padrão PCI-DSS - Payment Card Industry Data Security Standard) e sob instrução expressa e documentada do Cliente, que será o responsável pela contratação e gestão desses provedores.

Transferência Internacional de Dados

A utilização de alguns suboperadores e ferramentas tecnológicas pela Saber5 (como Google Ads, Meta Ads, SendGrid, RD Station) pode envolver a transferência internacional de dados pessoais. Nesses casos, a Saber5 se compromete a garantir que tais transferências ocorram em conformidade com a LGPD, utilizando mecanismos legais apropriados, como cláusulas contratuais padrão, normas corporativas globais ou outros instrumentos que garantam um nível adequado de proteção de dados, sempre alinhado e com o conhecimento do Cliente.

Contratualização e Seguro

A Saber5 formaliza suas responsabilidades e compromissos em relação à proteção de dados pessoais por meio de contratos de prestação de serviços com seus clientes, que incluem cláusulas específicas sobre o tratamento de dados. Além disso, a Saber5 possui seguro de responsabilidade civil para cobrir eventuais danos decorrentes de suas atividades, incluindo aqueles relacionados à proteção de dados, reforçando seu compromisso com a segurança e a conformidade.