Política de Segurança e Privacidade
- Introdução
Para a União Brasileira de Educação Católica – UBEC e suas Unidades de Missão,
a privacidade e a segurança dos dados pessoais do titular são uma prioridade,
assim, na condição de agentes de tratamento, e, em observância ao princípio da
transparência, o presente documento descreve as principais diretrizes quanto
ao tratamento dos dados pessoais realizados pelo Grupo UBEC.
Os compromissos de privacidade e proteção de dados previstos nesta Política
estão baseados na Lei no 13.709/2018 - Lei Geral de Proteção de Dados Pessoais
– LGPD, a qual contempla diretrizes de autonomia e garantias aos titulares dos
dados pessoais. - Objetivo
A presente Política tem por objetivo demonstrar o compromisso da UBEC com a
privacidade e proteção dos dados pessoais aos titulares, bem como estabelecer
regras sobre o tratamento das informações coletadas por meio dos serviços
oferecidos pelo Grupo. - Aplicabilidade
Esta Política contempla todas as atividades realizadas pelo Grupo UBEC que
envolvam a coleta de dados pessoais, sejam elas on-line ou off-line, acessos
e/ou utilização dos serviços, ambientes virtuais de aprendizagem, redes sociais,
aplicativos, websites, bem como quaisquer outros recursos oferecidos pelo
Grupo.
Nota: A Lei no 13.709 considera ‘tratamento’ toda operação realizada com dados
pessoais, como as que se referem a coleta, produção, recepção, classificação,
utilização, acesso, reprodução, transmissão, distribuição, processamento,
arquivamento, armazenamento, eliminação, avaliação ou controle da
informação, modificação, comunicação, transferência, difusão ou extração.
As diretrizes aqui descritas se aplicam a todas as Unidades de Missão do Grupo
UBEC, quais sejam:
Colégio Católica de Brasília;
Colégio Católica Padre De Man;
Colégio Católica Curitiba;
Colégio Católica Timóteo;
Colégio Católica Machado de Assis;
Centro Universitário Católica do Leste de Minas Gerais;
Centro Universitário Católica do Tocantins;
Faculdade Católica Imaculada Conceição do Recife;
Universidade Católica de Brasília; e
Escritório Central;
Aplica-se, ainda, a todos os parceiros de negócios e prestadores de serviços
vinculados ao Grupo UBEC. - Glossário *
Agentes de tratamento: o controlador e o operador.
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento
do tratamento, por meio dos quais um dado perde a possibilidade de
associação, direta ou indireta, a um indivíduo.
Antimalware: softwares feito para detectar, proteger e remover softwares
maliciosos, incluindo os vírus.
Autoridade nacional: Autoridade Nacional de Proteção de Dados – ANPD, é a
Autarquia responsável por zelar, implementar e fiscalizar o cumprimento da
LGPD em todo o território nacional.
• Nota: Referência para elaboração do Glossário:
https://www.serpro.gov.br/lgpd/menu/a-lgpd/glossario-lgpd
Backup off-line: o backup pode ser definido como o processo de cópia de uma
estrutura de TI, que inclui banco de dados e diferentes tipos de arquivos do ciclo
operacional da empresa. O fato de estar off-line significa que os dados não
estão acessíveis no momento da realização do backup, evitando o risco de
copiar dados que podem estar em processo de atualização.
Bloqueio: suspensão temporária de qualquer operação de tratamento,
mediante guarda do dado pessoal ou do banco de dados.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular
concorda com o tratamento de seus dados pessoais para uma finalidade
determinada.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem
competem as decisões referentes ao tratamento de dados pessoais.
Cookies: arquivos de texto transferidos para o navegador com a finalidade de
armazenar informações por um tempo limitado.
Dado anonimizado (anonimização): utilização de meios técnicos razoáveis e
disponíveis no momento do tratamento, por meio dos quais um dado perde a
possibilidade de associação, direta ou indireta, a um indivíduo.
Dado pessoal: informação relacionada à pessoa natural identificada ou
identificável.
Dado pessoal de criança e de adolescente: o Estatuto da Criança e do
Adolescente (ECA) considera criança a pessoa até 12 anos de idade incompletos
e adolescente aquela entre 12 e 18 anos de idade. Em especial, a LGPD
determina que as informações sobre o tratamento de dados pessoais de
crianças e de adolescentes deverão ser fornecidas de maneira simples, clara e
acessível de forma a proporcionar a informação necessária aos pais ou ao
responsável legal e adequada ao entendimento da criança.
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção
religiosa, opinião política, filiação a sindicato ou à organização de caráter
religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado
genético ou biométrico, quando vinculado a uma pessoa natural.
Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco
de dados, independentemente do procedimento empregado.
Encarregado de Dados (DPO): pessoa indicada pelo controlador e operador para
atuar como canal de comunicação entre o controlador, os titulares dos dados e
a Autoridade Nacional de Proteção de Dados - ANPD.
Garantia da segurança da informação: capacidade de sistemas e organizações
assegurarem a disponibilidade, a integridade, a confidencialidade e a
autenticidade da informação. A Política Nacional de Segurança da Informação
(PNSI) dispõe sobre a governança da segurança da informação aos órgãos e às
entidades da administração pública federal em seu âmbito de atuação.
Garantia da segurança de dados: ver garantia da segurança da informação.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o
tratamento de dados pessoais em nome do controlador.
Relatório de impacto à proteção de dados pessoais: documentação do
controlador que contém a descrição dos processos de tratamento de dados
pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais,
bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Software antivírus: é uma aplicação independente, ou um conjunto de
aplicações, que detecta e remove vírus em computadores e redes.
Titular: pessoa natural a quem se referem os dados pessoais que são objeto de
tratamento.
Transferência internacional de dados: transferência de dados pessoais para país
estrangeiro ou organismo internacional do qual o país seja membro.
Tratamento: toda operação realizada com dados pessoais, a saber:
I. Acesso - possibilidade de comunicar-se com um dispositivo, meio de
armazenamento, unidade de rede, memória, registro, arquivo etc., visando
receber, fornecer, ou eliminar dados;
II. Armazenamento - ação ou resultado de manter ou conservar em repositório
um dado;
III. Arquivamento - ato ou efeito de manter registrado um dado embora já tenha
perdido a validade ou esgotada a sua vigência;
IV. Avaliação - ato ou efeito de calcular valor sobre um ou mais dados;
V. Classificação - maneira de ordenar os dados conforme algum critério
estabelecido;
VI. Coleta - recolhimento de dados com finalidade específica;
VII. Comunicação - transmitir informações pertinentes a políticas de ação sobre
os dados;
VIII. Controle - ação ou poder de regular, determinar ou monitorar as ações
sobre o dado;
IX. Difusão - ato ou efeito de divulgação, propagação, multiplicação dos dados;
X. Distribuição - ato ou efeito de dispor de dados de acordo com algum critério
estabelecido;
XI. Eliminação - ato ou efeito de excluir ou destruir dado do repositório;
XII. Extração - ato de copiar ou retirar dados do repositório em que se
encontrava;
XIII. Modificação - ato ou efeito de alteração do dado;
XIV. Processamento - ato ou efeito de processar dados;
XV. Produção - criação de bens e de serviços a partir do tratamento de dados;
XVI. Recepção - ato de receber os dados ao final da transmissão;
XVII. Reprodução - cópia de dado preexistente obtido por meio de qualquer
processo;
XVIII. Transferência - mudança de dados de uma área de armazenamento para
outra, ou para terceiro;
XIX. Transmissão - movimentação de dados entre dois pontos por meio de
dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos,
pneumáticos etc.;
XX. Utilização - ato ou efeito do aproveitamento dos dados; e
XXI. Uso compartilhado de dados: comunicação, difusão, transferência
internacional, interconexão de dados pessoais ou tratamento compartilhado de
bancos de dados pessoais por órgãos e entidades públicas no cumprimento de
suas competências legais, ou entre esses e entes privados, reciprocamente, com
autorização específica, para uma ou mais modalidades de tratamento
permitidas por esses entes públicos, ou entre entes privados. - Referências
1 Constituição da República Federativa do Brasil de 1988 Carta Magna da
Legislação Brasileira e pilar de nossa democracia.
2 Lei Federal n. 13.709, de 14 de agosto de 2018 Lei Geral de Proteção de Dados
Pessoais – LGPD.
3 Lei Federal n. 12.965 de 23 de abril de 2014 Marco Civil da Internet.
4 Lei n° 12.527, de 18 de novembro de 2011 Lei de Acesso à Informação.
5 Lei no 8.069, de 13 de julho de 1990 Estatuto da Criança e do Adolescente.
6 Lei no 12.852, de 5 de agosto de 2013 Institui o Estatuto da Juventude e dispõe
sobre os direitos dos jovens, os princípios e diretrizes das políticas públicas de
juventude e o Sistema Nacional de Juventude - SINAJUVE.
7 Medida Provisória no 1.124, de 13 de junho de 2022 Transforma a Autoridade
Nacional de Proteção de Dados em autarquia de natureza especial.
8 Estatuto do Grupo UBEC Regula as relações organizacionais e funcionamento
do Grupo UBEC.
9 Código de Conduta Ética do Grupo UBEC Estabelece um padrão de
relacionamento respeitoso e transparente, com o objetivo de orientar o Grupo
UBEC a proceder de acordo com os princípios humanos, éticos e cristãos.
10 Política de Gestão de Riscos Estabelece conceitos, princípios, diretrizes e
responsabilidades para a Gestão de Riscos da UBEC, de forma a orientar na
adequada identificação, avaliação, tratamento, monitoramento e comunicação
dos riscos inerentes aos processos institucionais que possam afetar o
atingimento dos objetivos estratégicos e execução regular das atividades
operacionais. - Premissas
Os processos que envolvem o tratamento de dados pessoais realizados pelo
Grupo UBEC serão pautados nas seguintes premissas:
Princípio da finalidade: o tratamento de dados pessoais deve ter um objetivo
específico, claro e ser informado ao titular. O tratamento não pode ser realizado
para fins genéricos;
Princípio da necessidade: devem ser tratados apenas os dados pessoais
estritamente necessários para atingir o objetivo inicialmente definido;
Princípio da adequação: o tratamento de dados pessoais deve ser coerente com
a finalidade que o motivou;
Princípio da transparência: o titular deve ser informado de forma clara e
adequada sobre os aspectos e as características relevantes do tratamento de
seus dados;
Princípio do livre acesso: o titular deve ter garantido o acesso aos seus dados
pessoais, a qualquer tempo e de forma gratuita e facilitada;
Princípio da qualidade dos dados: os dados pessoais tratados devem estar
corretos, precisos e atualizados;
Nota: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/arquivos-dedocumentos-de-publicacoes/guia-do-consumidor_como-proteger-seus-dadospessoais-final.pdf
Princípio da segurança: os dados pessoais devem ser tratados com as medidas
físicas e lógicas necessárias à proteção, evitando acessos não autorizados;
Princípio da prevenção: quem trata dados pessoais deve adotar medidas que
evitem o tratamento em desconformidade à LGPD;
Princípio da não-discriminação: nenhum tratamento pode ser realizado para fins
discriminatórios, ilícitos ou abusivos;
Princípio da responsabilização e prestação de contas: o agente de tratamento
deve garantir e demonstrar, de forma documentada, que tomou todas as
medidas necessárias, eficazes e suficientes para adequar o tratamento à
legislação. - Sobre a coleta de dados pessoais
Os dados pessoais serão coletados quando o titular utilizar algum dos serviços
ou interagir com os sites e aplicativos do Grupo UBEC. As informações que
podem ser coletadas, são:
Tabela 1 – Informações cadastrais e de identificação digital. Dados coletados
Finalidades da coleta.
Nome completo - Identificar e autenticar o titular;
- Atender obrigações legais e regulatórias;
- Estreitar o relacionamento da UBEC com os titulares;
- Melhorar a experiência dos titulares, os mantendo informados sobre as novidades
consideradas relevantes e, ainda, promover nossos produtos e serviços.
CPF e RG
Data de Nascimento
CEP
Endereço
Telefone para contato
E-mail
Dados de interesse
acadêmico
Dados bancários ou de
cartão de crédito ou débito
e de referências financeiras
Dados referentes a
registros acadêmicos
Dados referentes à saúde - Sobre o controle dos dados
Com o objetivo de garantir a confidencialidade e proteção dos dados pessoais
aos quais a UBEC tem acesso, foram implementadas medidas de segurança tais
como o mapeamento dos dados coletados, identificação de eventuais
fragilidades e adoção de planos de ação para saná-las, bem como controle de
acesso aos dados pelos colaboradores, adoção de novas políticas para a
minimização da coleta, regras para o correto descarte de dados, entre outros.
Os colaboradores do Grupo UBEC possuem credencial de acesso (login e senha)
e os dados pessoais coletados somente serão acessados quando houver uma
finalidade específica e necessária à realização de suas atividades ou, ainda, com
vistas a atendimento legal.
Ressalta-se que tais acessos são revisados e revogados quando identificada a
ausência da necessidade de tratamento dos dados. Além disso, os parceiros de
negócios e fornecedores assinam cláusulas de confidencialidade, privacidade e
proteção dos dados compartilhados por parte do Grupo UBEC. - Hipóteses de Tratamento
Os colaboradores, parceiros de negócios e fornecedores do Grupo UBEC
somente são autorizados a realizar o tratamento de dados pessoais para os fins
aos quais foram contratados. Assim, consideradas as bases legais estabelecidas
pela LGPD, são algumas das principais situações em que há possibilidade de
tratamento de dados pessoais:
Consentimento do Titular: serão coletados dados pessoais quando da
manifestação livre, informada e inequívoca pela qual o titular concorda com o
tratamento de seus dados pessoais para uma finalidade determinada;
Execução de contrato: serão coletados dados pessoais com objetivo de cumprir
as disposições contratuais estabelecidas com os usuários de nossos serviços,
conforme o próprio consentimento do titular;
Atendimento à Legislação: serão coletados dados pessoais, individuais ou
coletivos, quando da necessidade de cumprimento de obrigações regulatórias
ou legais;
Aprimoramento da experiência dos usuários: poderão ser coletados dados
pessoais com o objetivo de melhorar a experiência dos usuários dos serviços e
recursos disponibilizados nos sites do Grupo UBEC;
Comunicação para fins comerciais: poderão ser coletados dados pessoais
quando os próprios titulares solicitarem o recebimento de alertas de e-mail,
ligações ou mensagens em aplicativos, com informações sobre notícias, serviços
e eventos relacionados ao Grupo UBEC, bem como para fins estatísticos e
publicitários. Ressalta-se que o titular poderá solicitar o cancelamento de tais
comunicações a qualquer momento; e
Legítimo Interesse: quando necessário para atender aos interesses legítimos do
controlador ou de terceiros, exceto no caso de prevalecerem direitos e
liberdades fundamentais do titular que exijam a proteção dos dados pessoais.
Os dados pessoais coletados pelo Grupo UBEC possuem acesso restrito aos
seus colaboradores autorizados e orientados para o uso adequado. Sendo
assim, o colaborador que faça o uso inadequado ou indevido de dados pessoais,
ferirá esta Política, estando sujeito às penalidades disciplinares e/ou judiciais
cabíveis. - Responsabilidades quanto ao fornecimento e
atualização de dados
O titular, sendo maior e capaz, é o responsável pela atualização e veracidade
dos dados por ele informados.
Menores de 18 anos não devem fornecer seus dados pessoais por meio de
formulários ou serviços, devendo a UBEC orientar o seu representante legal
para que o devido acompanhamento seja realizado. - Sobre a proteção de dados
Em atendimento às recomendações da Autoridade Nacional de Proteção de
Dados – ANDP4, o Grupo UBEC tem pautado sua atuação em conformidade com
as seguintes medidas de segurança:
Elaboração do Relatório de impacto à proteção de dados pessoais, com o
respectivo mapeamento dos dados pessoais coletados e tratados – em cada
área - MDP’s.
Minimização da coleta de dados, que resulta no acesso somente das
informações necessárias ao atingimento dos objetivos e finalidades
pretendidos;
Estabelecimento de critérios para a transferência internacional de dados,
quando, em razão de necessidade e requerimento do próprio titular, os dados
necessitem ser compartilhados com empresas estrangeiras.
Proibição quanto à transferência de dados das estações de trabalho para
dispositivos de armazenamento externo, como pendrives e discos rígidos
externos;
Realização de backups off-line, periódicos e armazenamento de forma segura;
Formalização nos contratos de prestação de serviços quanto ao registro da
destruição/descarte;
Atualização periódica dos sistemas e aplicativos utilizados pelo Grupo,
mantendo-os em sua versão atualizada;
Atualização periódica de softwares antivírus e antimalwares;
Realização periódica de varredura antivírus nos dispositivos e sistemas
utilizados.
Nota: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-guia-deseguranca-para-agentes-de-tratamento-de-pequeno-porte
Ressalta-se que o titular também é responsável pelo sigilo de suas informações
pessoais, pois o compartilhamento de dados de acesso ou senhas pelo titular
podem comprometer a segurança de seus dados e violar as disposições desta
Política.
Além disso, quando da utilização de sites ou aplicativos, o titular poderá ser
conduzido para outras páginas que podem coletar dados de acordo com sua
Política específica.
O Grupo UBEC não se responsabilizará pelas Políticas de Privacidade e
Tratamento de Dados de terceiros, bem como conteúdos ou serviços ligados à
ambientes que não pertençam ao Grupo UBEC. Assim, será de responsabilidade
do titular conhecer tais Políticas e aceitá-las ou não. - Sobre os direitos dos Titulares de Dados
A LGPD estabelece garantias aos titulares quanto ao total controle sobre seus
dados pessoais. Em observância ao Princípio da transparência, a Lei garante aos
titulares o acesso à informação, isto é, o direito de ser cientificado, a qualquer
momento durante a existência de vínculo com o Grupo UBEC, sobre como se
dará o tratamento de seus dados pessoais.
Conforme estabelece a LGPD, são alguns dos direitos dos titulares de dados:
Confirmação da existência de tratamento;
Acesso aos dados;
Correção de dados;
Anonimização, bloqueio ou eliminação de dados;
Portabilidade dos dados, mediante requisição expressa;
Eliminação dos dados tratados com consentimento, excetuados os dispostos no
art. 16 da referida lei;
Informações sobre o compartilhamento de dados;
Informação sobre a possibilidade de não fornecer consentimento; e
Revogação do consentimento nos termos do § 5o do art. 8o.
Ressalta-se que os prazos para atendimento dos pedidos realizados pelos
titulares serão estabelecidos em regulamento pela ANPD. - Período de armazenamento dos dados
O Grupo UBEC armazenará e tratará os dados pessoais somente pelo tempo
que se faça necessário para o efetivo cumprimento das finalidades da coleta,
inclusive quanto ao cumprimento de obrigações legais, contratuais ou
regulatórias. - Sobre os cookies
Cookies são arquivos de texto transferidos para o seu navegador para
armazenar informações por um tempo limitado, permitindo que eles sejam
reconhecidos durante sua experiência de interação, possibilitando identificar
preferências e, ainda, auxiliar em eventuais melhorias durante o uso das
plataformas digitais do Grupo UBEC.
Por meio dos cookies é possível que os sites armazenem informações sobre as
visitas, recorrência de sessões, idioma comumente utilizado pelo usuário, entre
outras variáveis consideradas relevantes para tornar sua experiência mais
customizada.
No entanto, o usuário poderá alterar as configurações do navegador para não
permitir o uso de cookies ou solicitar que seja alertado quando um cookie for
enviado para seu dispositivo, porém, caso opte pela desabilitação, o acesso de
algumas áreas dos sites ou aplicativos poderá ser prejudicado, bem como
poderá não receber todas as informações disponibilizadas.
Os sites e aplicativos do Grupo UBEC podem utilizar os seguintes cookies:
Cookies de Sessão: permanecem temporariamente arquivados até que o
usuário encerre o acesso ao navegador ou saia do site. Os cookies de sessão são
utilizados pelo Grupo UBEC para armazenar a usabilidade dos seus usuários e
suas movimentações visando identificar quais áreas são mais importantes e
devem ser evidencializados nas páginas, bem como o tempo de uso e eventuais
publicidades nos sites e aplicativos.
Cookies Persistentes: permanecem no dispositivo até que o usuário ou o
navegador os apague. Esses cookies possuem uma data de expiração, mas essa
duração pode variar, assim, é possível que fiquem armazenados no dispositivo
do usuário até que sejam excluídos ou expirem. Os cookies persistentes são
utilizados pelo Grupo UBEC para armazenar dados como e-mail, que são usados
para fins de cadastro ou funções de “autocomplete” nos formulários dos sites.
Os cookies podem ser classificados da seguinte forma:
Cookies Específicos de Publicidade: utilizados com o objetivo de direcionar
publicidade conforme os interesses de cada usuário, medindo a eficácia e o
sucesso no alcance.
Cookies Analíticos: responsáveis por reunir anonimamente informações
estatísticas, com objetivo de analisar o desempenho dos sites durante seu uso.
Cookies de Funcionalidade: utilizados para permitir que os sites acessados
gravem as escolhas feitas durante a navegação. Assim, é possível que um site
lembre de dados como nome de usuário, localização ou idioma, tornando a
experiência mais eficiente e pessoal.
Cookies Estritamente Necessários: imprescindíveis para que o usuário utilize
alguns dos principais recursos, sem a utilização desses cookies os nossos sites
não terão seu funcionamento adequado, não sendo possível, por exemplo,
solicitar serviços e acesso às áreas seguras. - Fale com o DPO
O Encarregado pelo Tratamento de Dados Pessoais, internacionalmente
conhecido como Data Protection Officer (DPO), possui a função de atuar como
um intermediador entre o Grupo UBEC, os titulares dos dados e a Autoridade
Nacional de Proteção de Dados - ANPD.
Assim, em caso de dúvidas, sugestões, críticas ou solicitações referentes ao
tratamento de dados pessoais, favor contatar o DPO do Grupo UEBC pelos
seguintes meios:
E-mail para contato: falecomdpo@ubec.edu.br;
Telefone: (61) 3383-9099;
Endereço para correspondências: SMPW Quadra 05 Conjunto 13 Lote
08, s/n - Núcleo Bandeirante, Brasília - DF, 71735-513. - Aceite da Política na utilização dos sites e aplicativos do
Grupo
Para manutenção do acesso e utilização dos sites e aplicativos do Grupo UBEC, o
titular declara que realizou a leitura integral da presente política, bem como
concorda e aceita integralmente as disposições estabelecidas neste documento.
Além disso, o titular manifesta ciência e concorda com a coleta,
armazenamento, tratamento, processamento e uso dos dados pessoais que nos
forem transmitidos.
Por fim, em caso de não concordância com os termos estabelecidos no presente
documento, o titular deve descontinuar imediatamente o seu acesso ou uso dos
sites e aplicativos do Grupo UBEC. - Prazo para revisão
Esta Política tem vigência de 02 (dois) anos a contar da data de sua publicação,
podendo ser atualizada a qualquer tempo que se faça necessário. - Elaborador, revisor e aprovador
Atividade Responsável
Elaboração Gerenciamento de Riscos
Revisão
Marketing e Comunicação
Pastoralidade
Tecnologia da Informação
Procuradoria Jurídica
Desenvolvimento Humano e Organizacional
Aprovação Conselho de Administração
Histórico de revisões
Versão Data Item modificado Descrição da modificação
1 26/07/2022 -
Criação da versão simplificada da Política de Privacidade para os sites e
aplicativos.
1 12/09/2022
Alterações gerais, sugere-se a leitura integral.
Aprovação da Política de acordo com a Norma de Elaboração e Atualização de
Normativos Internos.
