POLÍTICA DE PRIVACIDADE DA EUREKA
A EUREKA é comprometida com a proteção de seus dados pessoais e apresenta a sua política de privacidade, aplicando boas práticas de governança em privacidade, visando prestar informações a respeito do trabalho realizado, da coleta, tratamento, armazenamento e compartilhamento de alguns dados pessoais de seus clientes diretos, quando pessoa física, ou dados das pessoas físicas quando estas representam suas empresas, ou de seus colaboradores, estagiários, prestadores de serviço e terceiros, tornando público os procedimentos internos realizados, em pleno atendimento à Lei Geral de Proteção de Dados – LGPD.
Esta política de privacidade, “Política”, presta informações a respeito dos dados coletados que, porventura, poderão ser solicitados ou fornecidos por você, tratados e armazenados, em caso de relacionamento comercial com a EUREKA.
A aceitação desta “Política” é feita quando você tem acesso à Política de Privacidade pelo link disponibilizado no site da EUREKA https://portal.eurekalabs.com.br/politica-privacidade, concordando com todo o seu conteúdo. Essa conduta nos indicará que você está de acordo com o uso de seus dados para as finalidades descritas nesta “Politica”. A aceitação também se dará quando da contratação para prestação de nossos serviços, adesão aos quadros de colaboradores, prestadores de serviço ou vínculo de estágio.
Caso você discorde, no todo ou em parte, da nossa “Política”, não poderemos fornecer nossos serviços e produtos, por não poder colher e tratar determinados dados pessoais. Da mesma forma, se for candidato a estagiário, colaborador, empregado ou prestador de serviços, em não havendo concordância com a coleta dos dados como disposto nesta “Política”, não poderemos firmar vínculo de qualquer natureza.
Assim, se não concordar com nossa “Política”, nos comunique a respeito dos motivos da não concordância, para que possamos sempre melhorar nossas políticas de privacidade.
Para facilitar sua compreensão, esta “Política” está dividida da seguinte forma:
Seus dados poderão ser coletados de algumas formas diferentes. Indicamos abaixo alguns tipos de processos de coleta de dados que realizamos, informando quais dados são coletados e seus respectivos motivos (legais e comerciais), sua sensibilidade perante a Lei, risco de vazamento (matriz de risco), tratamento/arquivamento, prazo de arquivamento, justificativa do prazo de arquivamento, compartilhamento do dano, transferência internacional do dado e segurança do dado coletado:
Recrutamento e seleção de colaboradores ou prestadores de serviços; Interação com os candidatos; Entrevistas:
1.1 Dados coletados: Nome completo, e-mail, telefone celular/whatsapp e redes sociais;
1.2 Fundamento legal da coleta: Candidato ou prestador de serviços envia o currículo com seus dados pessoais de forma voluntária com intenção de busca por emprego ou prestação de serviços – Artigos 10 e 11, inciso I, da Lei 13.709/2018. Legítimo Interesse. Exercício regular de direito. Cumprimento de obrigação legal;
1.3 Justificativa comercial: Necessidade de recebimento dos currículos e correspondentes dados para eventuais contratações de colaboradores internos e prestadores de serviços.
1.4 Sensibilidade: Em geral, não sensível. Quando constante algum dado sensível foi informado voluntariamente pelo próprio titular sem ter sido solicitado expressamente pelo controlador. Presunção de consentimento quanto à coleta do dado sensível informado voluntariamente;
1.5 Risco de vazamento do dado (matriz de risco): Probabilidade: Média. Impacto: Moderado. Matriz: 3C;
1.6 Tratamento / Arquivamento: Buscas pelo Linkedin, indicações, Instagram e Facebook/Meta. Interação com candidatos via whatsapp pessoal, e-mail e chat do Linkedin. Armazenamento dos currículos temporariamente no computador do time de recursos humanos. Armazenamento de dados e informações da entrevista no Google Drive, Notion, computador pessoal e troca de mensagens pelo aplicativo Discord.
1.7 Prazo de arquivamento: Prazo vinculado à vaga pretendida. Com o preenchimento do cargo ou do prestador de serviços, currículos/dados, em geral, são excluídos após 2 anos de arquivamento. (orientações da Dra. Rita para que seja de pelo menos 2 anos de guarda desses dados)
1.8 Justificativa do prazo de arquivamento: Quando houver interesse na retenção dos dados constantes do currículo para futuro contato para preenchimento de vaga ou prestação de serviços.
1.9 Compartilhamento com terceiros: Há compartilhamento dos dados com gestores/líderes e profissionais responsáveis pela área do entrevistado (colaborador ou prestador de serviços). Compartilhamento com time de recursos humanos, podemos haver compartilhamento com jurídico externo e contador externo. (compartilha com contador externo?)
1.10 Transferência internacional do dado: Quando utilizado whatsapp pessoal para troca de mensagens – sede nos Estados Unidos da América. O servidor de e-mail da EUREKA é o Hostgator, com servidor nos Estados Unidos da América e sede no Brasil. Linkedin possui servidor nos Estados Unidos da América. Quando armazenado no Google Drive, sede nos Estados Unidos da América. O servidor do Notion é nos Estados Unidos da América, podendo haver transferência para outros países. O servidor do Discord é nos Estados Unidos da América.
1.11 Segurança do dado coletado: Whatsapp pessoal é criptografado. A segurança do Hostgator (e-mail EUREKA) pode ser verificada por sua política de privacidade (https://newfold.com/privacy-center/privacy). A segurança do Linkedin pode ser verificada por sua política de privacidade (https://br.linkedin.com/legal/privacy-policy). Os computadores onde são armazenados os currículos são acessados apenas pelo pessoal do P&C - controle de acesso. A segurança do Google Drive pode ser verificada por sua política de privacidade (https://policies.google.com/privacy?hl=pt-BR). A segurança do Notion pode ser verificada por sua política de privacidade (https://www.notion.so/Privacy-Policy-3468d120cf614d4c9014c09f6adc9091). A segurança do Discord pode ser verificada por sua política de privacidade (https://discord.com/privacy). A retenção de dados constantes em currículos é de interesse do candidato a colaborador ou prestador de serviços. O armazenamento interno é seguro e somente pessoas interessadas e comprometidas acessam os dados coletados.
Contratação de colaborador pessoa física ou jurídica – Contrato escrito de trabalho ou registro em CTPS:
2.1 Dados coletados: Nome completo, apelido, data de nascimento, sexo, CPF, RG, CNH, naturalidade, estado civil, telefone, endereço, e-mail, dados bancários (banco, agência, conta e PIX), habilidades profissionais, histórico de remuneração, foto 3x4, nome do pai, nome da mãe, dependentes, título de eleitor, PIS/PASEP, reservista.
2.2 Fundamento legal da coleta: Artigos 10 e 11, inciso I, da Lei 13.709/2018. Legítimo Interesse. Exercício regular de direito. Cumprimento de obrigação legal;
2.3 Justificativa comercial: Controlador necessita dos dados pessoais de seus colaboradores para controle interno, registro contábeis e financeiros;
2.4 Sensibilidade: Não sensível, com exceção da foto/imagem, que pode ser considerada sensível, a depender do contexto.
2.5 Risco de vazamento do dado (matriz de risco): Probabilidade: Alta. Impacto: Grave. Matriz: 4C;
2.6 Tratamento / Arquivamento: Coleta de dados pela ficha cadastral, enviada via Whatsapp ou e-mail. Contratos recebidos via correios fisicamente. Arquivamento nas dependências físicas da empresa com acesso autorizado apenas para gestores e recursos humanos. Armazenamento dos contratos em nuvem do Google Drive. Fotocópia do RG, CPF e CNH. Contratos assinados digitalmente via Click Sign, que envia por e-mail após conclusão das assinaturas. Administrativo faz download do contrato assinado e armazena no nextcloud, sistema opensource, hospedado na Digital Ocean. Inserção dos dados no portal Digital Ocean pelo próprio colaborador. Uso da funcionalidade “Thanks” dentro do portal Digital Ocean onde colaboradores com acesso podem visualizar nome e foto do usuário – Rede Social interna. Envio do Kit integração ao endereço do colaborador.
2.7 Prazo de arquivamento: Indeterminado.
2.8 Justificativa do prazo de arquivamento: Manutenção do registro de colaboradores e prestadores de serviços da empresa, mesmo após desligamento ou término do contrato. Necessidade de retenção dos dados para legítimo interesse, exercício regular de direito e cumprimento de obrigação legal perante órgãos públicos.
2.9 Compartilhamento com terceiros: Há compartilhamento integral dos dados com gestores/líderes, P&C, administrativo e diretoria. Há compartilhamento parcial dos dados com todos os demais colaboradores (dados visíveis a todos: nome, foto, habilidades profissionais, data de nascimento). Há compartilhamento com jurídico externo.
2.10 Transferência internacional do dado: Quando recebida ficha cadastral pelo whatsapp pessoal de colaborador autorizado pelo controlador – sede nos Estados Unidos da América. O servidor de e-mail da EUREKA é o Hostgator, com servidor nos Estados Unidos da América e sede no Brasil. Quando armazenado no Google Drive, sede nos Estados Unidos da América. A plataforma Click Sign armazena e processa informações em servidores AWS em São Paulo, Brasil e na Virgínia do Norte, Estados Unidos da América. Plataforma Digital Ocean tem sede nos Estados Unidos da América.
2.11 Segurança do dado coletado: Whatsapp pessoal é criptografado. A segurança do Hostgator (e-mail EUREKA) pode ser verificada por sua política de privacidade (https://newfold.com/privacy-center/privacy). A segurança do Google Drive pode ser verificada por sua política de privacidade (https://policies.google.com/privacy?hl=pt-BR). A segurança da plataforma de assinatura digital Click Sign pode ser verificada por suas diretrizes de segurança e compliance (https://www.clicksign.com/wp-content/uploads/2021/09/Seguranca_e_Compliance_Clicksign_de_13_de_Setembro_de_2021.pdf). A segurança da plataforma Digital Ocean pode ser verificada por sua política de privacidade (https://www.digitalocean.com/legal/privacy-policy). Arquivamento físico de contratos e cópias de RG, CPF e CNH realizado em dependência física segura com acesso restrito apenas aos gestores e pessoal de Recursos Humanos. Apenas parte dos dados é visível à todos os colaboradores. Há disseminação de uma cultura na proteção dos dados pessoais. Todos os colaboradores internos e externos e prestadores de serviços e terceiros assinara termo de responsabilidade pela segurança dos dados a que tiverem acesso (adequar termo e providenciar assinaturas).
Contratação de estagiários:
3.1 Dados coletados: Nome completo, RG, CPF, telefones, curso de graduação, e-mail, endereço, foto, nome da mãe, nome do pai, título de eleitor e reservista; (podem ser pedidos outros dados pela instituição intermediadora. Verificar se P&C consegue verificar se existem outros dados além dos citados)
3.2 Fundamento legal da coleta: Artigos 10 e 11, inciso I, da Lei 13.709/2018. Legítimo Interesse. Exercício regular de direito. Cumprimento de obrigação legal;
3.3 Justificativa comercial: Controlador necessita dos dados pessoais de seus estagiários para controle interno, registros contáveis e financeiros.
3.4 Sensibilidade: Não sensível, com exceção da foto/imagem, que pode ser considerada sensível, a depender do contexto;
3.5 Risco de vazamento do dado (matriz de risco): Probabilidade: Baixa. Impacto: Moderado. Matriz: 3B;
3.6 Tratamento / Arquivamento: Coleta de dados direto com candidato à estágio ou com instituição ABRE. Insere dados no portal Digital Ocean? Concentração dos dados no P&C. Compartilhamento com empresas de estágio como ABRE, e seguro de estágio, como UMBER Seguros. Recebimento de currículos por e-mail (confirmar tudo).
3.7 Prazo de arquivamento: Indeterminado;
3.8 Justificativa do prazo de arquivamento: Manutenção do registro de estagiários da empresa, mesmo após desligamento ou término do contrato de estágio. Necessidade de retenção dos dados para legítimo interesse, exercício regular de direito e cumprimento de obrigação legal perante órgãos públicos;
3.9 Compartilhamento com terceiros: Há compartilhamento dos dados com P&C, empresas relacionadas à estágio, como a ABRE, e empresa de seguro, como a UMBER Seguros.
3.10 Transferência internacional do dado: Plataforma Digital Ocean tem sede nos Estados Unidos da América. O servidor do e-mail da EUREKA é o Hostgator, com servidor nos Estados Unidos da América e sede no Brasil.
3.11 Segurança do dado coletado: A segurança da plataforma Digital Ocean pode ser verificada por sua política de privacidade (https://www.digitalocean.com/legal/privacy-policy). A segurança do Hostgator (e-mail EUREKA) pode ser verificada por sua política de privacidade (https://newfold.com/privacy-center/privacy).
Contratação com clientes – pessoa jurídica ou pessoa física:
4.1 Dados coletados: Nome completo, RG, CPF, endereço residencial, estado civil, telefones, profissão, e-mail dos sócios da pessoa jurídica ou quando contrato como pessoa física.
4.2 Fundamento legal da coleta: Legítimo interesse. Execução de contrato. Exercício regular de direito. Exigência legal.
4.3 Justificativa comercial: Cadastramento e contratação com cliente.
4.4 Sensibilidade: Não sensível;
4.5 Risco de vazamento do dado (matriz de risco): Probabilidade: Média. Impacto: Moderado. Matriz: 3C;
4.6 Tratamento / Arquivamento: Coleta de dados por e-mail e por Whatsapp. Coleta de contrato social apenas em formato digital. Administrativo faz download do contrato assinado e armazena no Nextcloud, sistema opensource hospedado na Digital Ocean. Armazenamento telefone em celulares pessoais de gestores e nos whatsapp pessoais (confirmar). Armazenamento dos contratos no Google Drive. Arquivamento físico de contratos assinados? (ou apenas assinados eletronicamente?)
4.7 Prazo de arquivamento: 16 anos;
4.8 Justificativa do prazo de arquivamento: 16 anos – pena máxima do crime de lavagem de dinheiro com agravante – art. 1º, §4º da Lei 9.613/1998;
4.9 Compartilhamento com terceiros: Eventualmente pode compartilhar com prestadores de serviço específicos como advogados e contadores.
4.10Transferência internacional do dado: Plataforma Digital Ocean tem sede nos Estados Unidos da América. O servidor do e-mail da EUREKA é o Hostgator, com servidor nos Estados Unidos da América e sede no Brasil. A plataforma Click Sign armazena e processa informações em servidores AWS em São Paulo, Brasil e na Virgínia do Norte, Estados Unidos da América. Quando utilizado whatsapp pessoal para coleta de dados – sede nos Estados Unidos da América. Quando armazenado no Google Drive, sede nos Estados Unidos da América.
4.11 Segurança do dado coletado: Whatsapp pessoal é criptografado. A segurança do Hostgator (e-mail EUREKA) pode ser verificada por sua política de privacidade (https://newfold.com/privacy-center/privacy). A segurança da plataforma Digital Ocean pode ser verificada por sua política de privacidade (https://www.digitalocean.com/legal/privacy-policy). A segurança da plataforma de assinatura digital Click Sign pode ser verificada por suas diretrizes de segurança e compliance (https://www.clicksign.com/wp-content/uploads/2021/09/Seguranca_e_Compliance_Clicksign_de_13_de_Setembro_de_2021.pdf). Segurança nos aparelhos celulares pessoais que recebem ou armazenam dados? (Tais informações são armazenadas nos aparelhos? Ou em aplicativos/clouds?). Armazenamento físico em dependência segura com acesso restrito apenas aos gestores e pessoal de recursos humanos. A segurança do Google Drive pode ser verificada por sua política de privacidade (https://policies.google.com/privacy?hl=pt-BR)
Envio de felicitações do aniversário como foto da pessoa:
5.1 Dados coletados: Foto/imagem, data de nascimento, nome completo e apelido.
5.2 Fundamento legal da coleta: Depende de consentimento prévio e expresso do titular. Artigo 7º, inciso I e artigo 11, inciso I, Lei 13.709/2018.
5.3 Justificativa comercial: Política de integração entre os colaboradores;
5.4 Sensibilidade: Sensível;
5.5 Risco de vazamento do dado (matriz de risco): Probabilidade: Alta. Impacto: Grave. Matriz: 4C;
5.6 Tratamento / Arquivamento: Dado extraído do P&C? Envio de felicitações do aniversário ou aviso de contratação de novo colaborador com envio de foto da pessoa e descrição pessoal, via aplicativo do Discord e Whatsapp.
5.7 Prazo de arquivamento: Indeterminado. Prazo vinculado à contratação de colaboradores;
5.8 Justificativa do prazo de arquivamento: Manutenção da foto/imagem do colaborador da empresa, mesmo após desligamento ou término do contrato. Necessidade de retenção dos dados para exercício regular de direito e cumprimento de obrigação legal perante órgãos públicos;
5.9 Compartilhamento com terceiros: Compartilhamento com todos os colaboradores.
5.10 Transferência internacional do dado: Whatsapp possui sede nos Estados Unidos da América. O servidor do Discord é nos Estados Unidos da América.
5.11 Segurança do dado coletado: Todos os colaboradores assinam termo de consentimento quanto à coleta e compartilhamento dos dados em referência, sendo política de integração da empresa. Todos os colaboradores assinam, termo de responsabilidade quanto ao não compartilhamento e proteção á integridade do dado pessoal acessado com finalidade exclusiva de integração dos colaboradores. Whatsapp pessoal é criptografado (criar política interna para que nenhum colaborador interno ou PJ use whatsapp business nos grupos que possam receber esses dados). A segurança do Discord pode ser verificada por sua política de privacidade (https://discord.com/privacy).
A EUREKA não utiliza cookies, nem coleta nenhum dado pessoal através de seu site institucional.
A EUREKA é comprometida com a segurança dos dados que controla, possuindo equipe técnica especializada para garantir que seus dados pessoais sejam tratados com a melhor segurança possível.
A EUREKA somente utiliza plataformas digitais e servidores com reconhecida segurança internacional, tais como a Digital Ocean, Discord, Notion, Google Drive e Hostgator.
Os dados coletados sempre são concentrados em colaboradores e prestadores de serviços específicos, sem disseminação dos dados, cumprindo normativa interna disposta em Política Interna de Governança de Privacidade.
A EUREKA não vende ou comercializa seus dados. Todos os tratamentos de seus dados constam nesta “Política” e no Relatório de Impacto à Proteção de Dados – RIPD, expedido anualmente (definir periodicidade e agendar atualizações futuras), ou quando houver alteração de procedimento ou coleta de dados.
A Política Interna de Governança de Privacidade, o Mapeamento de Dados, o Relatório de Impacto à Proteção de Dados e demais documentos de controle poderão ser disponibilizados aos órgãos públicos, caso solicitados.
A EUREKA presta serviços específicos para seus clientes, desenvolvendo e disponibilizando soluções tecnológicas para alcance de resultados pretendidos por seus clientes.
A prestação dos serviços pela EUREKA faz com que seja enquadrada na condição de operadora de dados pessoais perante a Lei Geral de Proteção de Dados. O tratamento dos dados pela EUREKA como operadora de dados traduz-se de forma técnica por haver o acesso aos dados inseridos em suas soluções tecnológicas ou plataformas compartilhadas com o cliente (confirmar e complementar questões técnicas), entretanto, em nenhum momento a EUREKA passa a ser controladora dos dados inseridos ou compartilhados pelos seus clientes, em razão de não possuir qualquer poder decisório sobre o tratamento de referidos dados pessoais (não incidência do inciso VI, art. 5º da LGPD).
Em termos práticos, a EUREKA possui o mero acesso aos dados pessoais dos clientes de seus clientes, em razão da especificidade de sua prestação de serviços, mas por não decidir a respeito do tratamento dos dados, não se enquadra como controladora dos dados dos clientes de seus clientes, e sim como operadora dos dados.
No próprio desenvolvimento das tecnologias dos produtos entregues aos seus clientes, a EUREKA desenvolve a segurança da aplicação para que não haja risco de incidente de segurança quanto ao dado inserido ou compartilhado. Cada aplicação e desenvolvimento de tecnologia é feita de forma específica para cada cliente conforme sua necessidade operacional, sempre visando as melhores práticas em segurança da informação.
A EUREKA possui política interna e ampla disseminação de uma cultura e governança em privacidade dos dados (art. 50 da LGPD), possuindo o mapeamento da estrutura de operação realizada em cada cliente, mesmo enquanto na condição de operadora de dados.
O mapeamento da operação, enquanto operador de dados, não é requisito da Lei Geral de Proteção de Dados, mas é realizado pela EUREKA e pode ser solicitado pelo seu cliente para demonstração da segurança e controles internos realizados.
A EUREKA realiza medidas de salvaguarda dos dados enquanto operadora dos dados, desde segurança dos computadores, antivírus atualizados e proativos e procedimentos de pentest com periodicidade definida em política interna, variável para cada operação, cujos certificado poderá ser solicitado pelo cliente. (manter se for realizar o pentest)
O serviço de hospedagem também é oferecido pela EUREKA na condição exclusiva de operadora de dados, por não ter qualquer poder decisório sobre o tratamento dos dados inseridos ou compartilhados pelos seus clientes. A EUREKA possui mapeado seus processos internos quanto ao serviço de hospedagem e pode ser solicitado pelo seu cliente para demonstração da segurança e controles internos realizados.
O cliente ou o titular dos dados pessoais possui direitos e garantias em relação aos seus dados pessoais, podendo entrar em contato com o “encarregado” do tratamento dos dados pessoais mencionado nesta política de privacidade para:
O “encarregado” mencionado pela Lei Geral de Proteção de Dados, Lei 13.709/2018, em seu art. 5º, inciso VIII, e art. 41, por parte dos serviços prestados pela EUREKA é o Sr. Jhonatan Catabriga, que poderá ser acessado pelo titular dos dados ou por qualquer órgão público, através do e-mail dpo@eurekalabs.com.br ou pelo telefone (+55-44-3035548).
Comprometemo-nos a manter esta política de privacidade atualizada. Qualquer dúvida, você poderá entrar em contato com o “encarregado”, através do telefone e e-mail comerciais disponibilizados nesta “Política”.
Consulte periodicamente a última versão disponível e verifique se ocorreu alguma alteração. A presente versão é datada de 18.05.2022.