POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS
INTRODUÇÃO
A presente Política de Privacidade e Proteção de Dados Pessoais tem como objetivo demonstrar o compromisso da CRP TECH S.A., bem como das empresas que integram o seu grupo econômico, com a transparência, a segurança da informação e a proteção dos dados pessoais de seus usuários, clientes, parceiros comerciais, fornecedores, colaboradores, candidatos a vagas e demais titulares de dados que se relacionam com suas atividades. Esta Política estabelece as diretrizes sobre como os dados pessoais são coletados, utilizados, armazenados, protegidos e eventualmente compartilhados no âmbito das atividades da empresa, incluindo a utilização de seus sites, plataformas digitais, systems corporativos e demais canais institucionais. O tratamento de dados pessoais é realizado em conformidade com a Lei nº 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD), bem como com princípios de governança, segurança da informação e boas práticas adotadas pelo setor de tecnologia. Ao acessar o site institucional, utilizar serviços ou fornecer dados pessoais por qualquer meio disponibilizado pela organização, o titular declara estar ciente das disposições desta Política.ABRANGÊNCIA E APLICAÇÃO
Esta Política aplica-se ao tratamento de dados pessoais realizado pela CRP TECH S.A. e pelas empresas integrantes de seu grupo, abrangendo dados coletados por meio de seus ambientes digitais, sistemas corporativos, canais de comunicação institucionais, contratos, processos administrativos e demais interações realizadas com a organização. Estão abrangidos por esta Política os dados pessoais de clientes, representantes legais, usuários de plataformas digitais, fornecedores, parceiros comerciais, prestadores de serviços, candidatos a oportunidades profissionais e quaisquer terceiros que mantenham relacionamento com a empresa. As disposições aqui descritas aplicam-se tanto aos dados fornecidos diretamente pelo titular quanto àqueles obtidos por meios automatizados ou provenientes de interações realizadas com os serviços disponibilizados pela organização.CONCEITOS E DEFINIÇÕES
Para fins desta Política, adotam-se as definições previstas na legislação brasileira de proteção de dados:- Dado pessoal: corresponde a qualquer informação relacionada a pessoa natural identificada ou identificável. Entre esses dados podem estar informações como nome, CPF, endereço, dados de contato, identificação profissional ou qualquer outra informação que permita identificar um indivíduo.
- Dados pessoais sensíveis: são aqueles que, por sua natureza, exigem maior nível de proteção, como informações relacionadas à origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados referentes à saúde ou vida sexual, bem como dados genéticos ou biométricos.
- Titular dos dados: é a pessoa natural a quem os dados pessoais se referem.
- Controlador e Operador: O controlador é a pessoa jurídica responsável pelas decisões relacionadas ao tratamento de dados pessoais, enquanto o operador corresponde à pessoa ou organização que realiza o tratamento em nome do controlador.
- Tratamento de dados pessoais: corresponde a qualquer operação realizada com essas informações, incluindo coleta, utilização, armazenamento, processamento, compartilhamento, eliminação ou qualquer outra forma de manipulação dos dados.
- ANPD: é a Autoridade Nacional de Proteção de Dados, órgão federal responsável por zelar pela proteção de dados pessoais e por fiscalizar o cumprimento da LGPD.
- Consentimento: é a manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
- Anonimização: é o processo pelo qual um dado perde a possibilidade de associação a um indivíduo, de forma direta ou indireta.
COLETA DE DADOS PESSOAIS
A CRP TECH S.A. poderá coletar dados pessoais de diversas formas, sempre observando os princípios da finalidade, necessidade e transparência. Os dados podem ser fornecidos diretamente pelo titular por meio de formulários de contato, cadastros, contratos, comunicações eletrônicas ou interações realizadas com os serviços da empresa. Nessas situações podem ser coletadas informações de identificação, dados de contato, informações profissionais, dados cadastrais e outras informações necessárias para o desenvolvimento das atividades empresariais. Durante a navegação em sites ou plataformas digitais, determinadas informações técnicas podem ser coletadas automaticamente, como endereço de IP, data e horário de acesso, identificação do dispositivo utilizado, tipo de navegador, páginas acessadas e dados relacionados à interação do usuário com o ambiente digital. Interações realizadas por meio de redes sociais, canais de atendimento, comunicações institucionais ou outras ferramentas disponibilizadas pela organização também podem resultar na coleta de dados pessoais fornecidos voluntariamente pelos titulares. Em determinadas situações, a CRP TECH S.A. poderá obter dados pessoais por meio de fontes legítimas de terceiros, tais como órgãos públicos, bureaus de crédito ou parceiros comerciais, sempre em conformidade com as bases legais aplicáveis e observados os limites estabelecidos pela legislação vigente. O tratamento de dados pessoais realizado pela CRP TECH S.A. ocorre exclusivamente com base nas hipóteses legais previstas no art. 7º (dados pessoais) e no art. 11 (dados sensíveis) da LGPD.Dados Pessoais de Crianças e Adolescentes
Os serviços e plataformas digitais da CRP TECH S.A. não são direcionados a crianças (menores de 12 anos) nem a adolescentes (entre 12 e 18 anos). A empresa não coleta intencionalmente dados pessoais desse público sem o consentimento específico e em destaque concedido por pelo menos um dos pais ou pelo responsável legal, conforme exige o art. 14 da LGPD. Caso a empresa tome conhecimento de que dados pessoais de crianças ou adolescentes foram coletados sem o consentimento do responsável legal, providenciará a eliminação dessas informações o mais rapidamente possível, salvo quando sua manutenção for necessária para cumprimento de obrigação legal. Em hipóteses específicas em que o tratamento de dados de menores for necessário (ex: planos de saúde de dependentes de colaboradores), a empresa adotará as salvaguardas adicionais previstas no art. 14 da LGPD e demais regulamentações aplicáveis.USO DE COOKIES E TECNOLOGIAS DE NAVEGAÇÃO
O site da CRP TECH S.A. utiliza cookies e tecnologias semelhantes para coletar informações relacionadas à navegação dos usuários. Cookies são pequenos arquivos armazenados no dispositivo do usuário que permitem reconhecer preferências, melhorar o desempenho e proporcionar uma experiência mais eficiente e personalizada. Essas tecnologias podem ser utilizadas para fins de segurança, funcionamento do site, análise de desempenho, personalização de conteúdo e, quando aplicável, direcionamento de comunicações e anúncios.Tipos de cookies utilizados
| Categoria | Descrição | Base Legal | Requer Consentimento |
|---|---|---|---|
| Estritamente necessários | Indispensáveis para o funcionamento básico do site, incluindo autenticação, segurança e gerenciamento de sessão. Não utilizados para fins de marketing. | Execução de contrato e legítimo interesse, conforme aplicável. | Não |
| De desempenho e analíticos | Coletam informações, preferencialmente de forma anonimizada, sobre como os usuários navegam no site, permitindo identificar melhorias e corrigir falhas. Ex.: ferramentas de análise de acesso. | Consentimento | Sim |
| De funcionalidade | Permitem que o site memorize preferências do usuário, como idioma, região e configurações de exibição, proporcionando experiência personalizada. | Consentimento | Sim |
| De marketing e rastreamento | Utilizados para apresentar conteúdos e anúncios mais relevantes ao perfil do usuário, bem como para mensurar a efetividade de campanhas publicitárias. | Consentimento | Sim |
Gerenciamento de preferências de cookies
Ao acessar o site pela primeira vez, o usuário será informado sobre o uso de cookies e poderá gerenciar suas preferências por meio de banner específico de consentimento. Apenas os cookies estritamente necessários serão ativados automaticamente, sendo que os demais dependerão de consentimento prévio e expresso do usuário. O usuário poderá, a qualquer momento, revisar, modificar ou revogar suas preferências por meio da funcionalidade “Gerenciar Cookies”, disponível no rodapé do site, bem como por meio das configurações de seu navegador, que permitem bloquear ou excluir cookies. A desativação de determinados cookies poderá impactar o funcionamento de algumas funcionalidades do site. Para mais informações sobre ferramentas de terceiros eventualmente utilizadas (como ferramentas de análise de navegação), recomenda-se a consulta às respectivas políticas de privacidade disponíveis nos sites dessas plataformas.DADOS PESSOAIS DE CANDIDATOS A VAGAS
Durante processos de recrutamento e seleção, a CRP TECH S.A. poderá coletar e tratar dados pessoais de candidatos interessados em oportunidades profissionais nas empresas do grupo. Essas informações podem incluir dados de identificação, histórico profissional, formação acadêmica, experiências anteriores e demais informações constantes em currículos ou fornecidas durante o processo seletivo. O tratamento desses dados tem como finalidade avaliar a compatibilidade do candidato com as oportunidades disponíveis, conduzir processos seletivos e eventualmente compor banco de talentos para futuras oportunidades. A empresa compromete-se a tratar essas informações com confidencialidade e utilizá-las exclusivamente para finalidades relacionadas ao recrutamento e seleção.FINALIDADES E BASES LEGAIS DO TRATAMENTO DE DADOS
O tratamento de dados pessoais realizado pela CRP TECH S.A. ocorre em conformidade com as hipóteses legais previstas na Lei nº 13.709/2018 (“Lei Geral de Proteção de Dados Pessoais” ou “LGPD”), especialmente aquelas dispostas no art. 7º, observando-se sempre os princípios da finalidade, adequação, necessidade, transparência, segurança e prevenção.Execução de contrato ou de procedimentos preliminares (art. 7º, V, da LGPD)
A CRP TECH S.A. poderá tratar dados pessoais necessários para viabilizar a contratação de serviços, relacionamento comercial, cadastro de clientes, fornecedores e parceiros, bem como para execução das obrigações contratuais assumidas entre as partes. Nessa hipótese, poderão ser tratados dados cadastrais, de identificação, contato e financeiros, tais como nome completo, CPF, RG, endereço, e-mail, telefone e dados bancários, para finalidades como cadastro de clientes e fornecedores, emissão de notas fiscais, formalização de contratos, processamento de pagamentos e execução dos serviços contratados.Cumprimento de obrigação legal ou regulatória (art. 7º, II, da LGPD)
Determinados dados pessoais poderão ser tratados e armazenados pela CRP TECH S.A. para cumprimento de obrigações legais, regulatórias, fiscais, trabalhistas, previdenciárias e contratuais impostas pela legislação vigente ou por autoridades competentes. O tratamento realizado com fundamento nesta base legal independe do consentimento do titular e poderá abranger, entre outras situações, o envio de informações ao eSocial, manutenção de registros fiscais e contábeis, cumprimento de obrigações tributárias, atendimento a requisições de autoridades públicas e armazenamento de documentos pelo prazo legal aplicável.Exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 7º, VI, da LGPD)
A CRP TECH S.A. poderá manter e utilizar dados pessoais quando necessário para resguardar seus direitos, exercer defesa ou atender demandas em processos judiciais, administrativos ou arbitrais. Nessa hipótese, poderão ser tratados dados relacionados ao histórico de comunicações com clientes e fornecedores, registros de acesso e transações, documentos vinculados a contratos encerrados, comprovação de obrigações cumpridas e informações necessárias para resposta a reclamações, auditorias ou fiscalizações.Legítimo interesse do controlador (art. 7º, IX, da LGPD)
A CRP TECH S.A. poderá realizar o tratamento de dados pessoais com fundamento em seu legítimo interesse, desde que respeitados os direitos e liberdades fundamentais do titular e observados os princípios previstos na LGPD. Sempre que aplicável, a CRP TECH S.A. realizará avaliação de proporcionalidade e impacto (“Legitimate Interest Assessment – LIA”), visando verificar a adequação, necessidade e equilíbrio do tratamento realizado. O tratamento baseado em legítimo interesse poderá envolver atividades relacionadas à prevenção a fraudes, garantia da segurança da informação, monitoramento e proteção de ambientes físicos e digitais, melhoria de produtos, serviços e experiência do usuário, bem como controles internos e auditorias.Consentimento do titular (art. 7º, I, da LGPD)
Nas hipóteses em que não houver outra base legal aplicável, o tratamento de dados pessoais dependerá do consentimento livre, informado, inequívoco e destacado do titular. O consentimento poderá ser revogado a qualquer momento pelo titular, mediante solicitação pelos canais disponibilizados pela CRP TECH S.A., sem prejuízo da legalidade do tratamento realizado anteriormente à revogação. Essa hipótese poderá ser aplicada em situações relacionadas ao envio de comunicações promocionais e marketing, inscrição em newsletters, utilização de cookies não essenciais, ações de publicidade personalizada e coleta de dados para análises comportamentais.Proteção da vida ou da incolumidade física do titular ou de terceiros (art. 7º, VII, da LGPD)
Em situações excepcionais e emergenciais, a CRP TECH S.A. poderá tratar dados pessoais quando necessário para proteção da vida, segurança ou integridade física do titular dos dados ou de terceiros. O tratamento poderá ocorrer, por exemplo, para comunicação de acidentes envolvendo colaboradores, acionamento de contatos de emergência, compartilhamento de informações médicas em situações emergenciais e adoção de medidas relacionadas à segurança física em ambientes corporativos.TRATAMENTO AUTOMATIZADO
Em determinadas situações, a CRP TECH S.A. poderá utilizar ferramentas tecnológicas que realizem tratamento automatizado de dados pessoais para fins de análise de informações, prevenção a fraudes, segurança da informação, melhoria de serviços, personalização da experiência do usuário e avaliação de riscos operacionais. Esse tratamento poderá envolver análise automatizada de informações destinadas à identificação de padrões de comportamento, autenticação de acessos, detecção de atividades suspeitas ou aprimoramento de processos internos. Nos termos do art. 20 da Lei Geral de Proteção de Dados Pessoais (LGPD), o titular poderá solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, inclusive decisões destinadas à definição de perfil pessoal, profissional, de consumo ou de crédito, quando aplicável. A CRP TECH S.A. compromete-se a disponibilizar, sempre que tecnicamente possível e legalmente aplicável, informações claras e adequadas sobre os critérios e procedimentos utilizados nos processos automatizados, resguardados os segredos comercial e industrial eventualmente envolvidos. O titular também poderá solicitar esclarecimentos adicionais por meio dos canais oficiais disponibilizados pela empresa para exercício de seus direitos relacionados à proteção de dados pessoais.COMPARTILHAMENTO DE DADOS PESSOAIS
Os dados pessoais tratados pela CRP TECH S.A. poderão ser compartilhados com terceiros quando necessário para a execução de atividades empresariais, prestação de serviços ou cumprimento de obrigações legais. Esse compartilhamento pode ocorrer com prestadores de serviços, parceiros comerciais, fornecedores, instituições financeiras, órgãos reguladores ou autoridades públicas, sempre respeitando os limites legais e adotando medidas adequadas de segurança e confidencialidade. Em situações relacionadas a reorganizações societárias, fusões, aquisições ou outras operações corporativas, os dados pessoais também poderão ser transferidos para as empresas envolvidas, desde que observados os princípios de proteção de dados e as obrigações legais aplicáveis.TRANSFERÊNCIA INTERNACIONAL DE DADOS
Em determinadas situações, os dados pessoais tratados pela CRP TECH S.A. poderão ser armazenados ou processados em servidores localizados fora do território nacional, especialmente quando utilizados serviços de computação em nuvem ou plataformas tecnológicas fornecidas por empresas internacionais. Nesses casos, a empresa adotará as medidas necessárias para assegurar que a transferência internacional de dados ocorra em conformidade com a legislação aplicável e que os provedores envolvidos adotem níveis adequados de proteção das informações.SEGURANÇA DA INFORMAÇÃO
A CRP TECH S.A. adota medidas técnicas e administrativas destinadas a proteger os dados pessoais contra acessos não autorizados, perda, alteração, divulgação ou destruição indevida, sendo eles:- Criptografia de dados em trânsito e em repouso;
- Controle de acesso baseado em função (RBAC), com acesso restrito a profissionais autorizados;
- Autenticação em dois fatores para sistemas críticos;
- Monitoramento contínuo de sistemas e registros de auditoria (logs);
- Políticas internas de segurança da informação e treinamento periódico de colaboradores;
- Testes regulares de segurança (vulnerability assessment e penetration testing);
- Gestão de incidentes com equipe responsável e procedimentos documentados.
Incidentes de Segurança
A empresa mantém procedimentos internos de resposta a incidentes de segurança. Em caso de ocorrência de incidente que possa acarretar risco ou dano relevante aos titulares, a CRP TECH S.A. adotará as seguintes providências, em conformidade com o art. 48 da LGPD:- Realizará a contenção do incidente e identificação da sua extensão e impacto;
- Comunicará a Autoridade Nacional de Proteção de Dados (ANPD) no prazo estabelecido pela regulamentação vigente;
- Notificará os titulares afetados, quando o incidente puder lhes causar risco ou dano relevante, com informações sobre a natureza dos dados afetados, as medidas adotadas e os canais de contato para esclarecimentos;
- Adotará medidas corretivas e preventivas para evitar a recorrência do incidente.
RETENÇÃO DE DADOS PESSOAIS
Os dados pessoais tratados pela CRP TECH S.A. são mantidos apenas pelo período necessário para o cumprimento das finalidades para as quais foram coletados, observando também eventuais obrigações legais ou regulatórias que exijam sua manutenção. Informações relacionadas a contratos, registros administrativos, comunicações institucionais e processos seletivos podem ser mantidas pelo prazo necessário para atendimento de obrigações legais, defesa de direitos ou manutenção de registros corporativos. Após o término do período de retenção aplicável, os dados poderão ser eliminados ou anonimizados, salvo quando sua manutenção for necessária para cumprimento de obrigações legais ou exercício regular de direitos.TABELAS COMPLEMENTARES
Categorias de Dados Coletados
| Categoria de Dados | Exemplos | Forma de Coleta |
|---|---|---|
| Dados de identificação | Nome, usuário | Cadastro |
| Dados de contato | Email, telefone | Formulários |
| Dados técnicos | IP, navegador, dispositivo | Coleta automática |
| Dados de navegação | Páginas visitadas, tempo de navegação | Cookies |
| Dados de comunicação | Mensagens enviadas | Contato direto |
Bases Legais para Tratamento
| Tipo de Dado | Finalidade | Base Legal |
|---|---|---|
| Dados de identificação | Criação de conta | Execução de contrato |
| Dados de contato | Comunicação com usuário | Legítimo interesse |
| Dados técnicos | Segurança e prevenção de fraude | Legítimo interesse |
| Dados de navegação | Análise e melhoria do serviço | Consentimento |
| Dados de preferências | Personalização da experiência | Consentimento |
DIREITOS DOS TITULARES DE DADOS
Nos termos da legislação aplicável, especialmente da Lei Geral de Proteção de Dados Pessoais (LGPD), os titulares de dados pessoais possuem direitos relacionados às suas informações e poderão exercê-los a qualquer momento, observados os limites legais e regulatórios aplicáveis. Entre os direitos assegurados aos titulares estão:- Confirmação da existência de tratamento de dados pessoais;
- Acesso aos dados pessoais tratados pela empresa;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a legislação;
- Portabilidade dos dados pessoais a outro fornecedor de serviço ou produto, observados os segredos comercial e industrial e a regulamentação aplicável;
- Eliminação dos dados pessoais tratados com base no consentimento, ressalvadas as hipóteses legais de manutenção;
- Obtenção de informações sobre as entidades públicas e privadas com as quais a empresa realizou uso compartilhado de dados;
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, quando aplicável;
- Revogação do consentimento anteriormente concedido, nos termos da legislação vigente;
- Solicitação de revisão de decisões tomadas exclusivamente com base em tratamento automatizado de dados pessoais, quando aplicável;
- Direito de peticionar perante a Autoridade Nacional de Proteção de Dados (ANPD).

