Política de Proteção de Dados
Finalidade e Escopo
Esta política interna garante que a FlopHero esteja em conformidade com leis de privacidade como o GDPR e o CCPA. Aplica-se a todos os colaboradores que tratam dados pessoais.
Esta Política de Proteção de Dados estabelece o compromisso da Flophero US LLC com a proteção de dados pessoais em conformidade com as leis de privacidade aplicáveis, incluindo o Regulamento Geral de Proteção de Dados (GDPR), a Lei de Privacidade do Consumidor da Califórnia (CCPA) e outros regulamentos relevantes de proteção de dados.
Esta política aplica-se a todos os empregados, contratados e terceiros que processem dados pessoais em nome da Flophero US LLC.
Princípios de Proteção de Dados
Seguimos seis princípios-chave: licitude, limitação de finalidade, minimização de dados, exatidão, limitação de armazenamento e segurança. Adotamos os seguintes princípios:
- Licitude, Lealdade e Transparência
– Processar dados pessoais de forma lícita, leal e transparente.
– Fornecer informações claras sobre as atividades de processamento.
– Garantir que os titulares compreendam como seus dados são utilizados.
- Limitação de Finalidade
– Coletar dados pessoais para finalidades específicas, explícitas e legítimas.
– Não processar dados de maneira incompatível com as finalidades originais.
– Revisar e atualizar regularmente as finalidades de processamento.
- Minimização de Dados
– Coletar apenas os dados pessoais adequados, pertinentes e necessários.
– Revisar regularmente as práticas de coleta.
– Implementar princípios de privacidade desde a concepção (privacy by design).
- Exatidão
– Assegurar que os dados pessoais sejam exatos e atualizados.
– Adotar medidas para corrigir ou excluir dados inexatos.
– Implementar processos de gestão da qualidade dos dados.
- Limitação de Armazenamento
– Reter dados pessoais apenas pelo tempo necessário às finalidades de processamento.
– Implementar cronogramas de retenção e procedimentos de exclusão.
– Revisar e eliminar regularmente dados desnecessários.
- Integridade e Confidencialidade
– Implementar medidas técnicas e organizacionais adequadas.
– Proteger contra processamento não autorizado, perda ou dano.
– Garantir confidencialidade, integridade e disponibilidade contínuas.
Estrutura Organizacional
Atualmente estamos abaixo dos limiares do GDPR que exigem a nomeação obrigatória de um Encarregado de Proteção de Dados (DPO) (Artigo 37). Nosso volume de dados (< 10.000 titulares da UE/ano) e o escopo de monitoramento não exigem um DPO. Mantemos uma
estrutura de Ponto de Contato de Privacidade para assegurar a conformidade abrangente. Qualquer nomeação futura de DPO será avaliada oportunamente e em linha com o crescimento do negócio.
Nosso Ponto de Contato de Privacidade supervisiona a conformidade e reporta diretamente ao CEO, garantindo independência.
Responsabilidade geral pela conformidade em proteção de dados
E-mail: [email protected]
Reporta a: CEO
Independência: linha direta de reporte para garantir independência em assuntos de privacidade
Responsabilidades:
– Monitorar a conformidade com as leis de proteção de dados
– Conduzir avaliações de impacto em privacidade
– Servir como ponto de contato para autoridades de proteção de dados
– Fornecer treinamento e orientação em proteção de dados
– Investigar e responder a incidentes de proteção de dados
Responsabilidades de Processamento de Dados
– CEO: responsabilização final pela conformidade.
– Equipe de Desenvolvimento: implementação de privacy by design.
– Suporte ao Cliente: atendimento a direitos dos titulares.Todos os
– Colaboradores: cumprimento diário dos procedimentos de proteção de dados.
Registro de Processamento de Dados
Mantemos registros detalhados de todas as atividades de processamento, incluindo finalidade, base legal, períodos de retenção e localização de processadores. Todas as atividades incluem salvaguardas adequadas para transferências internacionais:
- AWS Irlanda: decisão de adequação da UE.
- Stripe/PayPal (EUA): Cláusulas Contratuais Padrão 2021 (SCCs Módulos 1 e 2).
- Google Analytics (EUA): SCCs 2021 (Módulos 1 e 2).
- Zoho (Índia): SCCs 2021 (Módulos 1 e 2).
Informações de Pagamento
- Finalidade: faturamento de assinaturas e processamento de pagamentos.
- Base Legal: execução de contrato e obrigação legal.
- Categorias de Dados: método de pagamento, histórico de transações, endereço de cobrança.
- Titulares: clientes pagantes.
- Destinatários: Stripe, PayPal, equipe financeira interna.
- Período de Armazenamento: 7 anos (exigência legal).
- Local do Processador: Stripe (EUA), PayPal (EUA).
- Transferências Internacionais: SCCs 2021 (Módulos 1 e 2).
- Salvaguardas: PCI DSS, criptografia, tokenização.
Analytics de Uso
- Finalidade: melhoria do serviço e análises.
- Base Legal: interesse legítimo.
- Categorias de Dados: padrões de uso, interações com recursos, métricas de desempenho.
- Titulares: todos os usuários do serviço.
- Destinatários: equipe de desenvolvimento interna, Google Analytics.
- Período de Armazenamento: 2 anos (anonimização após 6 meses).
- Local do Processador: Google (EUA).
- Transferências Internacionais: SCCs 2021 (Módulos 1 e 2).
- Salvaguardas: anonimização, agregação, controles de acesso.
Comunicações de Suporte ao Cliente
- Finalidade: atendimento e suporte.
- Base Legal: execução de contrato e interesse legítimo.
- Categorias de Dados: chamados, e-mails, resolução de problemas.
- Titulares: usuários que solicitam suporte.
- Destinatários: equipe de suporte, plataforma Zoho.
- Período de Armazenamento: 3 anos após o último contato.
- Local do Processador: Zoho (Índia).
- Transferências Internacionais: SCCs 2021 (Módulos 1 e 2).
- Salvaguardas: controles de acesso, criptografia, trilhas de auditoria.
Direitos dos Titulares
Atendemos solicitações de acesso, correção, exclusão e outros direitos de privacidade em até 30 dias, com procedimentos estabelecidos para o tratamento de direitos dos titulares.
Privacidade desde a Concepção (Privacy by Design)
Todos os novos recursos passam por avaliação de impacto em privacidade antes do desenvolvimento. A proteção de privacidade é incorporada desde o início.
Gate de Avaliação de Impacto em Privacidade:
– Identificar os dados pessoais envolvidos.
– Avaliar riscos e medidas de mitigação.
– Documentar a implementação de privacy by design.
– Obter aprovação de privacidade antes do desenvolvimento.
Práticas exigidas:
– Minimização de dados no desenho de sistemas.
– Criptografia e pseudonimização.
– Controles de acesso e auditoria.
– Retenção e exclusão automatizadas.
– Treinamento em privacidade para a equipe de desenvolvimento.
– Revisões e atualizações regulares.
– Documentação de decisões de privacidade.
– Monitoramento e avaliação contínuos.
Gestão de Fornecedores
Todos os terceiros que processem dados pessoais devem:
– Demonstrar medidas adequadas de proteção de dados.
– Fornecer salvaguardas contratuais apropriadas.
– Passar por avaliações regulares de segurança e privacidade.
– Manter certificações e conformidade atualizadas.
Resposta a Incidentes de Dados
Mantemos um plano de resposta a incidentes com prazo de 72 horas, papéis claros e procedimentos de notificação.
Equipe de Resposta a Incidentes
– Privacy Manager: coordenação do incidente e notificação às autoridades.
– CEO: decisões executivas e comunicações externas.
– Líder Técnico: investigação técnica e remediação.
– Assessoria Jurídica: avaliação legal e orientação regulatória.
Fluxo de Resposta em 72 Horas
- Detecção e Contenção (0–1 hora)
– Identificar e conter o incidente.
– Avaliar escopo e severidade.
– Determinar se há dados pessoais envolvidos.
– Acionar a equipe de resposta. - Investigação e Avaliação (1–24 horas)
– Investigar tecnicamente em detalhe.
– Documentar cronologia e dados afetados.
– Avaliar risco aos titulares.
– Determinar necessidades de notificação. - Notificação à Autoridade (24–72 horas)
– Notificar a autoridade supervisora em até 72 horas (se aplicável).
– Preparar notificações a titulares (se alto risco).
– Coordenar com jurídico e autoridades.
– Documentar todas as ações de notificação. - Remediação e Acompanhamento (contínuo)
– Implementar correções técnicas e organizacionais.
– Monitorar ameaças e impactos.
– Conduzir post-mortem e lições aprendidas.
– Atualizar políticas e procedimentos conforme necessário.
Treinamento e Conscientização
Todos os colaboradores recebem treinamento obrigatório em proteção de dados, com requisitos específicos por função.
Treinamento Obrigatório (todos):
– Princípios e requisitos legais de proteção de dados.
– Políticas e procedimentos da empresa.
– Direitos dos titulares e tratamento de solicitações.
– Reporte de incidentes e resposta.
– Princípios de privacy by design.
Treinamento por Função:
– Suporte ao Cliente: direitos dos titulares, tratamento de solicitações, procedimentos de escalonamento.
– Equipe de Desenvolvimento: privacy by design, salvaguardas técnicas, codificação segura.
– Gestão: supervisão de conformidade, gestão de incidentes, avaliação de fornecedores.
Conscientização Contínua:
– Atualizações regulares sobre privacidade.
– Revisão anual da política e aceite.
– Considerações de privacidade em reuniões de equipe.
– Oportunidades de treinamento externo e certificações.
Monitoramento e Conformidade
Avaliamos regularmente nosso programa de privacidade e acompanhamos KPIs.
Avaliações Regulares:
– Mensal: revisão de pedidos de direitos e prazos de resposta.
– Trimestral: avaliação de conformidade e postura de segurança de fornecedores.
– Anual: revisão abrangente e atualização do programa de privacidade.
– Ad hoc: avaliações e melhorias motivadas por incidentes.
Indicadores-Chave (KPIs):
– Tempo de resposta a direitos dos titulares (meta: < 30 dias).
– Taxa de conclusão do treinamento de privacidade (meta: 100%).
– Conclusão da avaliação de conformidade de fornecedores (meta: 100% anual).
– Tempo de resposta a incidentes (meta: < 72 horas para notificação à autoridade).
Informações de Contato:
Para assuntos de privacidade: [email protected]
Para incidentes de segurança: [email protected]
Nome: Noorul Ilahi – Ponto de Contato de Privacidade
E-mail: [email protected]
Prazo de resposta: até 5 dias úteis
E-mail (segurança): [email protected]
Contato Geral:
Flophero US LLC
30 N Gould St Ste R
Sheridan, WY 82801
E-mail: [email protected]
Esta Política de Proteção de Dados é válida e será revisada anualmente ou conforme necessário para garantir a conformidade contínua com as leis de proteção de dados aplicáveis.