1. Objetivo e Escopo

Esta política estabelece as diretrizes para garantir a privacidade, proteção e segurança dos dados pessoais tratados pela EARQ (Earq Consultoria em Projetos e Tecnologia da Informação Ltda). O escopo abrange o nosso Core Business (plataforma Recognition-ia), bem como processos administrativos de suporte, comercial e financeiro.

2. Papéis e Responsabilidades

EARQ como Operadora: No processamento de documentos via OCR/IA para nossos Clientes, atuamos estritamente sob as ordens do Controlador, realizando a extração e entrega dos dados sem retenção.

EARQ como Controladora: Somos Controladores em relação aos dados de nossos colaboradores, fornecedores e logs de acesso dos usuários ao nosso portal administrativo e de suporte.

3. Governança e Nomeação do Encarregado (DPO)

Em conformidade com o Art. 41 da LGPD, a EARQ designa um Encarregado pelo Tratamento de Dados Pessoais (DPO).
Contatos: seguranca@earqconsultoria.com.br

Responsabilidades:

• Aceitar reclamações e comunicações dos titulares de dados;
• Receber comunicações da ANPD e adotar providências;
• Orientar funcionários e contratados sobre as práticas de proteção de dados;
• Liderar o comitê de resposta a incidentes de segurança.

4. Treinamento e Reciclagens

O treinamento referente à segurança da informação é a leitura desta política e reciclagem anual.

5. Princípios de Proteção de Dados Pessoais

Será regido pelos seguintes princípios:

• Finalidade: Os dados pessoais serão tratados para propósitos legítimos, específicos, explícitos.
• Adequação: O tratamento será compatível com o contexto do tratamento. Ex.: Administrativo/RH, Marketing/Comercial, Operação/Processamento de Dados.
• Necessidade: O tratamento será limitado ao mínimo necessário para a realização de suas finalidades, abrangendo a não excessividade dos dados, principalmente para o processamento de dados nas operações de OCR.
• Qualidade dos Dados: Será garantida  exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento.  
• Segurança: Serão utilizadas medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.  
• Prevenção: Serão adotadas medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.
• Não Discriminação: O tratamento de dados pessoais não será realizado para fins discriminatórios ilícitos ou abusivos.
• Responsabilização: O time de segurança da informação adota medidas eficazes e capazes de comprovar o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas. 

6. Tratamento de Dados Pessoais no Processamento das Operações

O Core Business da EARQ trata-se da captura de informações de documentos eletrônicos ou não e a transformação do mesmo em dados. Após isso existe a normalização, padronização, tratamento do dado para entrega ao cliente.

Cada cliente/operação tem um ambiente segregado de processamento, com regras específicas de processamento, validação e transformação dos dados.

O time de Operação e TI tem acesso segregado, onde só temos acesso às operações às quais o colaborador está alocado.

Os dados ficam disponíveis para os nossos clientes em suas respectivas operações por um período pré-definido, após isso é feita a limpeza automática dos dados considerando tanto a origem da informação ( arquivos para processamento de captura) quanto o dado tratado na base de dados.

Esse é o período pré-definido é configurável para cada operação a pedido do cliente.

A entrega dos dados processados para os nossos clientes/operações é definido em tempo de projeto/operacionalização sendo realizado através de APIS com normas de segurança.

Somente a pedido de clientes podemos gerar relatórios com dados processados para envio para o cliente.

É proibido o compartilhamento dos dados entre operações/clientes bem como a transferência de dados.

Por fim não é aplicado a Anonimização dos dados capturados pois não se aplica ao nosso modelo de negócio, uma vez que, capturamos a informação documento e enviamos em dados para processamento dos nosso clientes.

O acesso aos dados é realizado:

• Pelo sistema interno da EARQ o qual é acessado através de login/senha pessoal e intransferível e com segregação de acesso. Existe trilha de auditoria para os dados acessados e editados pelo controle de qualidade.
• Banco de Dados – trata-se de uma situação pontual com acesso restrito a poucas pessoas. Todos acesso é somente de leitura com login e senha pessoal e intransferível.

As nossas APIS tem criptografia e token para acesso e existem sistemas de detecção e prevenção de intrusos.

Todos os funcionários da EARQ tem treinamento e reciclagem dos procedimentos de privacidade e segurança da informação, e quando solicitado pelo cliente, também reciclamos com um conteúdo específico do cliente.

7. Tratamento de Dados Pessoais em processos Administrativos/RH

Nas áreas Administrativa e de Recursos Humanos lidamos com dados pessoais constantemente, sejam de candidatos de processos seletivos, novos funcionários, clientes, funcionários, fornecedores, parceiros, etc.

Em RH, tratamos dados pessoais como nome completo, e-mail, CPF, endereço, histórico profissional, informações de saúde (ASOs), dados bancários para pagamentos, etc.

A finalidade do uso destes dados é estritamente para administração de pessoal, e o acesso a essas informações é segregada apenas à área de RH / escritório contábil e diretoria.

Os dados são mantidos e utilizados apenas enquanto o funcionário faz parte do quadro da empresa, posteriormente sendo arquivados (arquivo morto).

Na área administrativa, coletamos e utilizamos dados de fornecedores e clientes como Razão Social, CNPJ, dados de contato do representante legal ou comercial, informações bancárias para pagamento (quando fornecedor), licenças e certidões obrigatórias (quando necessário).

A finalidade do uso destes dados é estritamente para compra e contratação de produtos e/ ou serviços (no caso de fornecedores), ou para cobranças dos nossos serviços prestados aos clientes.

Estes dados administrativos também são de acesso restrito, à área Financeira/ escritório contábil da empresa, bem como à diretoria.

Os dados não são compartilhados com outras pessoas ou áreas da empresa.

8. Procedimento para Gestão de Incidentes (LGPD Art. 48)

Um incidente de segurança é qualquer evento que comprometa a confidencialidade, integridade ou disponibilidade de dados pessoais.

Fluxo de Notificação do Incidente:

• Detecção: Ao identificar uma suspeita de incidente, o colaborador deve reportar imediatamente ao Encarregado (DPO).
• Avaliação: O Encarregado avaliará se o incidente acarretará risco ou dano relevante aos titulares.
• Notificação à ANPD: Caso o risco seja confirmado, a EARQ (em coordenação com o Cliente, se estiver na função de Operadora) notificará a ANPD em prazo razoável (2 dias úteis após a ciência).
• Notificação aos Titulares: Quando necessário, o comunicado será feito de forma direta ou pelos meios de comunicação da EARQ, contendo a descrição da natureza dos dados afetados, riscos e medidas adotadas.

9. Direitos dos Titulares

A EARQ assegura aos titulares (colaboradores ou clientes diretos) o direito de:

• Confirmar a existência de tratamento;
• Acessar e corrigir dados incompletos ou inexatos;
• Solicitar a anonimização ou exclusão em casos de tratamento desnecessário;
• Revogar o consentimento, quando aplicável.