Documento de Compliance - LGPD
Empresa: Contacta
Data de emissão: 02/10/2025
Versão: 1.0
1. Objetivo
Este documento estabelece o framework de conformidade da Contacta com a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018). Tem por objetivo descrever princípios, responsabilidades, processos e controles para garantir o tratamento adequado de dados pessoais, protegendo direitos dos titulares e reduzindo riscos legais, reputacionais e operacionais.
2. Escopo
Aplica-se a todos os colaboradores, prestadores de serviço, parceiros e terceiros que realizem atividades de tratamento de dados pessoais em nome da Contacta, incluindo ambientes locais, cloud, sistemas, bases de dados, dispositivos corporativos e quaisquer canais de coleta ou transmissão de informação.
3. Princípios de tratamento
- Finalidade: tratamento compatível com as finalidades informadas ao titular.
- Adequação: compatibilidade entre o tratamento realizado e as finalidades.
- Necessidade: limitação do tratamento ao mínimo necessário.
- Livre acesso: transparência e facilidade de consulta sobre o tratamento.
- Qualidade dos dados: precisão, pertinência e atualização.
- Segurança: adoção de medidas técnicas e administrativas para proteção dos dados.
- Prevenção: ações proativas para evitar danos.
- Não discriminação: sem tratamento injusto ou ilícito.
- Responsabilização e prestação de contas: demonstração de conformidade.
4. Bases legais aplicáveis
As bases legais para o tratamento de dados pessoais pela Contacta incluem (mas não se limitam a): consentimento do titular; execução de contrato; cumprimento de obrigação legal ou regulatória; exercício regular de direitos; proteção da vida ou da incolumidade física; tutela da saúde; interesses legítimos da empresa; proteção do crédito.
5. Papéis e responsabilidades
A Contacta define os seguintes papéis relacionados à proteção de dados:
- Controlador (Data Controller): Contacta — responsável por determinar as finalidades e meios do tratamento.
- Operador (Data Processor): terceiros que realizam tratamento em nome da Contacta.
- Encarregado pelo Tratamento / DPO (Data Protection Officer): responsável por receber comunicações de titulares e autoridades, orientar a organização e supervisionar a conformidade. (Preencher nome e contato do encarregado).
6. Inventário e registros de atividades de tratamento (ROPA)
A Contacta manterá um inventário atualizado das atividades de tratamento de dados pessoais (Registro de Operações de Tratamento - ROPA), incluindo: finalidade, categorias de dados, base legal, período de retenção, medidas de segurança aplicadas, transferência internacional, e terceiros envolvidos.
| Atividade / Sistema | Finalidade | Categorias de Dados | Base Legal | Retenção | Terceiros / Operadores |
|---|---|---|---|---|---|
| Ex.: Gestão de RH (Folha) | Administração de pessoal | Nome, CPF, dados bancários, função | Execução de contrato / obrigação legal | 5 anos | Fornecedor de RH (ex.: Folha) |
| Ex.: CRM Comercial | Prospecção e gestão de clientes | Nome, e-mail, telefone, cargo | Interesse legítimo / consentimento | Enquanto necessário | Plataforma CRM (SaaS) |
7. Direitos dos titulares
Os titulares poderão exercer seus direitos por meio do canal: dpo@contacta.com.br.
- Confirmação da existência de tratamento
- Acesso aos dados
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos
- Portabilidade dos dados
- Eliminação dos dados tratados com consentimento
- Informação sobre compartilhamento de dados
- Revogação do consentimento
- Oposição ao tratamento
8. Tratamento de dados sensíveis
Dados pessoais sensíveis (origem racial, convicção religiosa, opinião política, saúde, vida sexual, dados genéticos, biométricos para identificação, filiação sindical) serão tratados somente quando houver base legal específica e medidas adicionais de proteção, além de avaliação de impactos quando aplicável.
9. Transferências internacionais
Transferências de dados para fora do Brasil serão permitidas apenas em conformidade com a LGPD, mediante garantias adequadas (cláusulas contratuais, certificações, mecanismos reconhecidos) ou bases legais previstas na legislação.
10. Segurança e controles técnicos
- Classificação da Informação e inventário de ativos
- Controles de acesso baseados em privilégios mínimos e gestão de identidade (IAM/PAM quando aplicável)
- Criptografia em trânsito e em repouso quando aplicável
- Registro e monitoramento de logs (SIEM) e detecção de incidentes
- Backups regulares e testes de restauração
- Patch management e ciclo de atualização de software
- Gestão de vulnerabilidades e testes de penetração periódicos
- Controle de endpoint e proteção anti-malware
- Políticas de uso aceitável e proteção de dispositivos móveis
- Treinamento e conscientização contínuos
11. Gestão de incidentes e comunicação de violação de dados
Em caso de incidente de segurança com potencial risco aos direitos dos titulares, a Contacta seguirá seu Plano de Resposta a Incidentes que inclui: identificação, contenção, erradicação, recuperação, lições aprendidas, registro do incidente e comunicação às autoridades e titulares conforme previsto na LGPD e regulamentos aplicáveis.
12. Avaliação de Impacto à Proteção de Dados (DPIA)
A Contacta realizará Avaliações de Impacto à Proteção de Dados (Privacy Impact Assessment / DPIA) sempre que novos projetos, produtos ou mudanças significativas possam implicar riscos elevados aos direitos e liberdades dos titulares.
13. Contratos e due diligence com terceiros
Todos os contratos com provedores que tratem dados pessoais em nome da Contacta devem incluir cláusulas de proteção de dados, requisitos de segurança, obrigação de notificação de incidentes e auditoria. A empresa realizará due diligence de segurança antes da contratação e auditorias periódicas quando necessário.
14. Retenção e eliminação de dados
Os dados serão retidos apenas pelo período necessário para a finalidade informada ou conforme exigência legal. Procedimentos de eliminação segura e anonimização serão aplicados quando o dado não for mais necessário.
15. Capacitação e governança
A Contacta promoverá programas de treinamento e conscientização para colaboradores, incluindo módulos obrigatórios sobre LGPD e segurança da informação. A governança contempla comitê de privacidade, auditorias internas e revisões periódicas deste documento.
16. Indicadores e monitoramento
Indicadores de conformidade serão definidos (ex.: número de solicitações de titulares, tempo médio de resposta, tempo de detecção e mitigação de incidentes, % de fornecedores com cláusulas adequadas) e apresentados à liderança em base periódica.
17. Responsabilidade e sanções
O não cumprimento desta política poderá resultar em medidas disciplinares internas, suspensão de acessos, rescisão contratual com terceiros e demais ações previstas na legislação aplicável.
18. Revisões e versão
Este documento será revisado pelo menos anualmente ou sempre que houver mudanças regulatórias, organizacionais ou tecnológicas relevantes. Histórico de versões deve ser mantido.
Anexos (modelos e templates)
Anexo A — Modelo de Registro de Operações de Tratamento (ROPA)
Anexo B — Template de Notificação de Incidente
Anexo C — Checklist de Due Diligence para Fornecedores
Anexo D — Política de Classificação de Informação (resumo)