POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS
- INTRODUÇÃO
A Coaktion tem como propósito simplificar a complexidade da transformação digital e elevar a experiência do cliente. Sabemos que a confiança é a base de qualquer relacionamento e, por isso, estamos comprometidos em assegurar a privacidade e a proteção dos dados pessoais coletados e tratados no ecossistema de nossas empresas (Aktie Now, Callwe, Droz e Workise e Syntrika).
Esta Política atende às exigências das leis de proteção de dados aplicáveis, incluindo a Lei Geral de Proteção de Dados do Brasil (LGPD), o Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR) e as legislações de privacidade dos Estados Unidos (como a CCPA/CPRA), estando alinhada às melhores práticas internacionais de gestão da privacidade (ISO/IEC 27701) e segurança da informação (ISO/IEC 27001 e 27002).
As dúvidas sobre a legislação aplicável e/ou processos que envolvam a coleta ou utilização de Dados Pessoais devem ser direcionadas ao Encarregado de Proteção de Dados (DPO) da Coaktion exclusivamente através do canal oficial:
- E-mail: dpo@coaktion.com
- DEFINIÇÕES
Para os fins da presente Política de Privacidade e Proteção de Dados Pessoais (“Política”), os termos e expressões utilizados deverão ter os significados definidos abaixo:
- Leis de Proteção de Dados Aplicáveis: Refere-se a toda a legislação vigente sobre privacidade e proteção de dados pessoais nas jurisdições onde a Coaktion opera, incluindo a LGPD (Brasil), o GDPR (União Europeia) e as leis estaduais de privacidade dos EUA.
- Comitê de Segurança da Informação e Compliance: comitê formado por colaboradores da Coaktion, cuja função é apoiar os diretores da Coaktion e seu responsável de dados pessoais (DPO) na tomada de decisões referentes ao Sistema de Gestão de Segurança da Informação e Sistema de Gestão de Privacidade e Proteção de Dados do grupo;
- Colaboradores: inclui colaboradores, sócios, prestadores de serviços e qualquer outra pessoa que possua vínculo direto com a empresa;
- Titular de Dados: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
- Dado Pessoal: dado da pessoa natural, que permita, de qualquer forma (direta ou indireta), sua identificação;
- Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, bem como outros dados específicos considerados sensíveis mediante as leis e regulamentos próprios;
- Dado Direto: dado que remete diretamente a um titular de dados específico sem a necessidade de utilizar informações adicionais para identificá-lo;
- Dado Indireto: dado que não podem ser atribuídos a um titular de dados pessoais sem a utilização de informações adicionais para identificá-lo;
- Dado Pseudonimizado: dado processado com técnicas que mascaram sua atribuição a um titular, no entanto é possível reverter o dado ao seu estado natural;
- Dado Anonimizado: dado relativo a titular que não permita a sua identificação pela utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; Agentes de Tratamento: Referem-se ao Controlador e ao Operador;
- Controlador de Dados: pessoa natural ou jurídica, de direito público ou privado a qual compete as decisões referentes ao tratamento de dados pessoais;
- Operador de Dados: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador;
- Encarregado de Dados ou DPO: pessoa indicada pelo Controlador e/ou Operador para atuar como canal de comunicação com os titulares dos dados e as Autoridades Supervisoras competentes.
- Tratamento de Dados: toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração de dados pessoais;
- Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
- Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
- Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada e específica;
- Base Legal: São Justificativas que são utilizadas para legitimar o tratamento de dados pessoais;
- Cookies: considerados como identificadores, ou seja, são gerados e coletados a partir do navegador, com a finalidade de identificar um perfil de navegação ou facilitar o acesso a uma página web;
- Registro das Operações de Tratamento de Dados Pessoais (ROPA ou ROTDP): documentação que contém como é realizada a atividade de processamento de dados pessoais;
- Relatório de Impacto à Proteção de Dados Pessoais (RIPD ou DPIA): documentação que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais do titular de dados, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
- Autoridade Supervisora ou de Controle: O órgão da administração pública ou entidade governamental responsável por fiscalizar o cumprimento das leis de proteção de dados (como a ANPD no Brasil ou as Autoridades de Proteção de Dados – DPAs na Europa);
- Privacy by Design (Privacidade desde a Concepção): Princípio que determina que a privacidade e a proteção de dados devem ser integradas na fase de desenho e arquitetura de qualquer novo sistema, produto ou processo.
- Privacy by Default (Privacidade por Padrão): Princípio que garante que, por padrão, apenas os dados pessoais estritamente necessários para cada finalidade específica sejam tratados.
- OBJETIVO
Definir as diretrizes e regras aplicáveis ao Tratamento de Dados Pessoais no ecossistema Coaktion, garantindo um nível adequado de proteção, transparência e conformidade com as Leis de Proteção de Dados Aplicáveis e normativos das Autoridades Supervisoras.. Esta política orienta o comportamento de todos os colaboradores e parceiros, assegurando que os direitos dos titulares sejam respeitados e que os riscos de privacidade sejam mitigados de forma pragmática e contínua.
- APLICABILIDADE E ESCOPO
Esta Política aplica-se a todas as empresas do ecossistema Coaktion (Aktie Now, Callwe, Droz e Workise) , abrangendo todos os colaboradores, prestadores de serviços, fornecedores e parceiros de negócios que utilizem o ambiente de processamento e/ou tenham acesso a informações da Coaktion ou de seus Clientes.
O escopo desta política cobre todas as formas de tratamento, automatizadas ou manuais, e reconhece que a Coaktion atua sob duas perspectivas distintas perante às Leis de Proteção de Dados Aplicáveis:
A Coaktion atua como Controladora de Dados quando toma as decisões sobre o tratamento dos dados pessoais. Isso ocorre em processos internos e administrativos, tais como:
- Recrutamento, seleção e gestão do quadro de colaboradores e prestadores de serviços;
- Contratação de fornecedores e parceiros de negócio;
- Ações próprias de marketing, vendas e relacionamento comercial;
- Cumprimento de obrigações legais, trabalhistas e regulatórias.
A Coaktion atua como Operadora de Dados quando trata dados pessoais em nome e de acordo com as instruções de seus Clientes (que são os Controladores dos dados). Essa é a principal atuação do nosso ecossistema nos serviços prestados, tais como:
- Implementação e sustentação de plataformas parceiras (ex: Zendesk, Salesforce, monday.com) realizadas pela Aktie Now e Workise;
- Tratamento de fluxos de voz e comunicação pela plataforma da Callwe;
- Interações, automações e atendimento guiado por Inteligência Artificial pela plataforma da Droz.
Nestas hipóteses, a Coaktion aplicará as diretrizes desta política aliadas às diretrizes contratuais firmadas com cada Cliente Controlador, garantindo a segurança técnica e organizacional das operações.
Esta Política possui abrangência global. Caso existam conflitos entre as diretrizes aqui estabelecidas e as leis locais de uma jurisdição específica onde a Coaktion opere, prevalecerá a norma que oferecer o maior nível de proteção ao titular dos dados.
- PRINCÍPIOS E DIRETRIZES DE PRIVACIDADE
O Tratamento de Dados Pessoais sob responsabilidade do ecossistema Coaktion é realizado em estrita observância às Leis de Proteção de Dados Aplicáveis, baseando-se nos seguintes princípios e diretrizes organizacionais:
- i) Finalidade e Necessidade: A coleta e o tratamento de dados devem ter propósitos legítimos, específicos e informados. Tratamos apenas os dados estritamente necessários (mínimo privilégio) para o atingimento das finalidades de negócio ou cumprimento de contratos.
- ii) Privacy by Design e by Default (Privacidade desde a Concepção e por Padrão): O desenvolvimento de novos produtos (como as soluções de IA da Droz) e a implementação de projetos em clientes (Aktie Now e Workise) devem considerar a proteção de dados desde a sua arquitetura inicial, garantindo que o nível mais alto de privacidade seja o padrão do sistema.
iii) Transparência e Livre Acesso: Garantimos aos titulares informações claras e acessíveis sobre a realização do tratamento e os respectivos agentes envolvidos.
- iv) Segurança e Prevenção: Implementamos rigorosos controles técnicos e organizacionais (descritos em nossa Política Geral de Segurança da Informação – PGSI) para proteger os dados contra acessos não autorizados, destruição, perda, alteração ou vazamento.
- v) Bases Legais: Nenhum dado pessoal é tratado sem uma base legal válida, conforme definido pelas legislações de cada jurisdição (ex: Art. 7º e 11 da LGPD, Art. 6º do GDPR, ou seções aplicáveis da CCPA/CPRA).
- SUBCONTRATAÇÃO DE OPERADORES (SUBOPERADORES)
Como um ecossistema de tecnologia, a Coaktion utiliza infraestruturas em nuvem e plataformas de terceiros para suportar suas operações e a prestação de serviços aos seus clientes. Portanto:
Utilização de Suboperadores: A Coaktion subcontrata serviços de tecnologia (como provedores de cloud computing e plataformas SaaS) que atuam como suboperadores no tratamento de dados.
Diligência e Conformidade: A escolha de qualquer suboperador está condicionada à realização de avaliações prévias (due diligence). Exigimos contratualmente que nossos suboperadores adotem medidas técnicas e organizacionais de segurança da informação compatíveis com esta Política, com as Leis de Proteção de Dados Aplicáveis e com as normas ISO 27001 e 27701.
Transparência com o Controlador: Quando a Coaktion atua como Operadora, a relação de suboperadores globais utilizados na prestação do serviço fica à disposição dos nossos Clientes (Controladores) e é governada pelos respectivos acordos e contratos de prestação de serviços
- TRANSFERÊNCIAS INTERNACIONAIS
Devido à natureza global dos serviços em nuvem e das plataformas parceiras utilizadas em nosso ecossistema (ex: provedores de hospedagem, sistemas de CRM e gestão de processos), a Coaktion realiza a transferência internacional de dados pessoais.
Para garantir a legalidade e a segurança destas operações, a Coaktion compromete-se a realizar transferências internacionais exclusivamente nas seguintes hipóteses (conforme diretrizes das Autoridades Supervisoras competentes, como a ANPD no Brasil ou a Comissão Europeia):
- i) Para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado, reconhecido pelas autoridades competentes;
- ii) Mediante a utilização de garantias contratuais válidas, como a adoção de Cláusulas Contratuais Padrão (CCPs), Normas Corporativas Globais (BCRs) ou selos e certificados de conformidade regularmente emitidos.
iii) A Coaktion garante que os parceiros internacionais forneçam salvaguardas de segurança técnica equivalentes às exigidas pelas Leis de Proteção de Dados Aplicáveis.
- DIREITOS DOS TITULARES DOS DADOS PESSOAIS
A Coaktion assegura aos Titulares de Dados o exercício pleno de seus direitos, conforme previsto nas Leis de Proteção de Dados Aplicáveis (como o Art. 18 da LGPD, o Capítulo III do GDPR e regulações dos EUA). Toda solicitação recebida será analisada pelo Encarregado de Dados (DPO) e respondida dentro dos prazos legais aplicáveis. Os direitos garantidos incluem:
- i) Confirmação da existência de tratamento e acesso facilitado aos dados;
- ii) Correção de dados incompletos, inexatos ou desatualizados;
iii) Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
- iv) Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa;
- v) Eliminação dos dados pessoais tratados com o consentimento do titular (exceto nas hipóteses de guarda legal);
- vi) Informação clara sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
vii) Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, bem como o direito de revogação.
viii) Direito de oposição (opt-out) à venda ou ao compartilhamento de dados pessoais, conforme aplicável sob as legislações estaduais de privacidade dos Estados Unidos.
- COOKIES E RASTREADORES
Em seus portais, plataformas e aplicações web, a Coaktion pode utilizar cookies e identificadores (primários ou de terceiros) para otimizar a experiência do usuário, garantir o desempenho das páginas, bem como para finalidades analíticas e de marketing.
- As diretrizes detalhadas, bem como as categorias de cookies utilizados e a forma como o titular pode gerenciá-los, devem estar publicamente descritas no Aviso de Privacidade e Cookies específico de cada site da Coaktion.
- A Coaktion garante a implementação de ferramentas de gestão de consentimento (banners de cookies) em seus portais, permitindo ao usuário escolhas claras sobre seu uso.
- RETENÇÃO DE DADOS
Em alinhamento aos princípios da necessidade e adequação , a Coaktion reterá os Dados Pessoais e Dados Pessoais Sensíveis apenas pelo período estritamente indispensável para o atingimento das finalidades específicas para os quais foram coletados.
- O período de guarda respeitará as obrigações legais, regulatórias, fiscais e contratuais vigentes aplicáveis ao nosso negócio, ou o prazo estritamente necessário para o exercício regular de direitos.
- A definição dos prazos específicos de retenção para cada processo será mapeada, avaliada e documentada em nosso Registro de Operações de Tratamento de Dados Pessoais (ROPA) , garantindo que, após o término da finalidade ou do prazo legal, os dados sejam eliminados ou anonimizados de forma segura.
- REGISTRO DAS OPERAÇÕES DE TRATAMENTO DE DADOS PESSOAIS (ROPA ou ROTDP)
A Coaktion, em cumprimento às Leis de Proteção de Dados Aplicáveis (como a LGPD no Brasil) e às boas práticas de governança, mantém o registro de suas operações de tratamento de dados pessoais (ROPA) devidamente documentado e atualizado.
- Para garantir maior organização e segurança em auditorias, cada unidade de negócio do ecossistema (Coaktion, Aktie Now, Callwe, Droz e Workise, Syntrika) possuirá o seu próprio ROPA, refletindo as especificidades de seus serviços e sua atuação como Controladora ou Operadora de dados.
- A gestão, o suporte técnico e a validação periódica desses registros serão centralizados no Encarregado de Dados (DPO) e/ou área de Privacidade corporativa da Coaktion.
- RELATÓRIO DE IMPACTO DE PROTEÇÃO DE DADOS PESSOAIS (RIPD ou DPIA)
A Coaktion realiza a avaliação de riscos de privacidade para identificar possíveis impactos aos direitos e liberdades civis dos titulares de dados.
- A elaboração do RIPD é obrigatória em todas as empresas do grupo antes da implementação de novos processos, projetos, sistemas ou políticas que envolvam tratamento de dados de alto risco, tecnologias emergentes (como Inteligência Artificial) ou Dados Pessoais Sensíveis.
- O documento deve descrever a necessidade e finalidade do tratamento, os fluxos de dados, os riscos identificados, as propostas de solução e as salvaguardas adotadas.
- Os riscos residuais evidenciados que não forem imediatamente mitigados deverão ser formalmente registrados e submetidos à aceitação de risco pela Alta Direção.
- AÇÕES PARA IMPLEMENTAÇÃO DA POLÍTICA
Conscientização e Aculturamento: A Coaktion garantirá a aplicação contínua de um programa de educação em privacidade e proteção de dados para todos os seus colaboradores e prestadores de serviço. A relevância do tema será reiterada no dia a dia da operação, desde o onboarding até os treinamentos anuais, cujas diretrizes e métricas de eficácia estão detalhadas em nossa Política de Cultura e Conscientização em Segurança da Informação.
O Encarregado de Dados (DPO): A Coaktion nomeará um Encarregado de Dados (DPO), a quem caberá coordenar as ações operacionais para implementação da estratégia de privacidade, monitorar a conformidade com as Leis de Proteção de Dados Aplicáveis e intermediar a comunicação oficial entre os Titulares de Dados, a organização e às Autoridades Supervisoras competentes.
- As informações de contato do DPO estarão centralizadas e facilmente acessíveis nos canais oficiais e Avisos de Privacidade da Coaktion.
Comitê de Privacidade e Proteção de Dados Pessoais: Para apoiar o DPO na gestão, tomada de decisões estratégicas e controle do Programa de Privacidade, a Coaktion institui um Comitê multidisciplinar. O Comitê será composto por representantes estratégicos das unidades de negócio, tecnologia e operações, garantindo que as decisões de privacidade sejam aplicáveis e não gerem fricções desnecessárias aos serviços prestados pelo ecossistema.
Medidas Técnicas e Auditorias: A Coaktion adotará políticas e recursos técnicos e organizacionais robustos para prevenir, detectar e monitorar potenciais violações à LGPD. A implementação da presente Política e das ações dela decorrentes será objeto de monitoramento contínuo e auditorias internas periódicas, garantindo a conformidade com a ISO 27701.
- CANAL DE ATENDIMENTO E REGISTRO DE RECLAMAÇÕES
A Coaktion centraliza todas as requisições, petições e reclamações referentes ao Tratamento de Dados Pessoais no Encarregado de Dados (DPO).
- Os Titulares de Dados que desejarem exercer seus direitos (conforme descritos no item 8 desta Política) ou registrar eventuais incidentes deverão enviar sua solicitação exclusivamente para o e-mail oficial: dpo@coaktion.com.
- As solicitações serão recebidas, analisadas e respondidas de forma clara e completa dentro do prazo de 15 (quinze) dias, ou conforme exigido pelas Leis de Proteção de Dados Aplicáveis de cada jurisdição.
- INVESTIGAÇÃO E COMUNICAÇÃO DE INCIDENTES DE SEGURANÇA
A Coaktion possui processos rigorosos de segurança da informação. Contudo, em caso de qualquer suspeita ou confirmação de incidente de segurança que envolva dados pessoais (como vazamento, destruição, perda, alteração ou acesso não autorizado), às seguintes diretrizes devem ser estritamente observadas:
- Notificação Interna: Todo colaborador, prestador de serviço ou parceiro deve notificar imediatamente o DPO (dpo@coaktion.com) e a área de Tecnologia Corporativa ao tomar conhecimento de um evento adverso.
- Coaktion como Operadora: Caso o incidente afete dados tratados em nome de nossos Clientes (Controladores), a Coaktion os notificará formalmente e sem atraso indevido, prestando todo o suporte técnico necessário para a investigação e mitigação dos riscos.
- Coaktion como Controladora: Caso o incidente afete dados sob o controle da Coaktion e possa acarretar risco ou dano relevante aos titulares, a Coaktion fará a comunicação oficial às Autoridades Supervisoras e aos titulares envolvidos dentro do prazo estipulado pela legislação vigente de cada jurisdição (ex: 72 horas conforme o GDPR ou 3 dias úteis conforme a ANPD).
- ASSISTÊNCIA MÚTUA E COOPERAÇÃO COM AUTORIDADES FISCALIZADORAS
A Coaktion atuará de forma colaborativa com as Autoridades Supervisoras e demais autoridades competentes em temas relacionados à privacidade de dados. Nos comprometemos a responder a solicitações de informações, adotar boas práticas e facilitar fiscalizações, sempre dentro dos limites legais e resguardando nossos segredos comerciais e industriais. O DPO é o ponto de contato exclusivo para intermediar essa comunicação.
- REVISÕES E ATUALIZAÇÕES
Esta Política de Privacidade e Proteção de Dados entra em vigor a partir da data de sua aprovação e publicação, vigorando por prazo indeterminado e revogando disposições em contrário. Para garantir sua contínua adequação frente às mudanças tecnológicas, necessidades operacionais ou novas resoluções das Autoridades Supervisoras, este documento será analisado criticamente e atualizado, no mínimo, anualmente, ou sempre que necessário pela área de Privacidade com o apoio do DPO e da Alta Direção.
ANEXO I
Qualificação das Empresas do grupo Coaktion:
AKTIE PARTICIPAÇÕES LTDA. (Coaktion), sociedade empresária limitada com sede na Rua Manoel Coelho, n° 676, sala 710, Centro, cidade de São Caetano do Sul, Estado de São Paulo, CEP 09510-101, inscrita no CNPJ/ME sob o n° 33.108.579/0001-60, com seus atos constitutivos devidamente arquivados na JUCESP sob o NIRE 35231427106 (“Coaktion”)
AKTIE NOW SERVIÇOS TECNOLÓGICOS E EMPRESARIAIS LTDA., sociedade empresária limitada com sede na Rua Manoel Coelho, nº 676, sala 710, Centro, cidade de São Caetano do Sul, Estado de São Paulo, CEP 09510-101, inscrita no Cadastro Nacional de Pessoa Jurídica do Ministério da Economia (“CNPJ/ME”) sob o nº 24.552.976/0001-35, com seus atos constitutivos devidamente arquivados na Junta Comercial do Estado de São Paulo (“JUCESP”) sob o número de Identificação do Registro de Empresas (“NIRE”) 3522978790 (“AKTIE NOW”)
DROZ TECNOLOGIA DA INFORMAÇÃO LTDA., sociedade empresária limitada com sede na Rua Manoel Coelho, nº 676, sala 710, Centro, cidade de São Caetano do Sul, Estado de São Paulo, CEP 09510-101, inscrita no CNPJ/ME sob o nº 30.488.257/0001-03, com seus atos constitutivos devidamente arquivados na JUCESP sob o NIRE 35230962628 (“DROZ”)
MYPBX SERVIÇOS E TECNOLOGIA LTDA., sociedade empresária limitada com sede na Rua Manoel Coelho, nº 676, sala 710, Centro, cidade de São Caetano do Sul, Estado de São Paulo, CEP 09510-101, inscrita no CNPJ/ME sob o nº 10.717.581/0001-30, com seus atos constitutivos devidamente arquivados na JUCESP sob o NIRE 35223070113 (“MYPBX”)
SYNTRIKA SERVICOS TECNOLOGICOS E EMPRESARIAIS LTDA., sociedade empresária limitada com sede na Rua Manoel Coelho, nº 676, sala 710, Centro, cidade de São Caetano do Sul, Estado de São Paulo, CEP 09510-101, inscrita no CNPJ/ME sob o nº 62.029.390/0001-80, com seus atos constitutivos devidamente arquivados na JUCESP sob o NIRE nº 35267576713 (“Syntrika”)
CO.AKTION LLC, sociedade de responsabilidade limitada com sede em 2 S. Biscayne Boulevard, Suite 2450, Miami, FL 33131, Estados Unidos da América, inscrita no Employer Identification Number (EIN) sob o nº 87-1734016.