Política de Privacidade

A presente Política de Privacidade tem por finalidade informar, de modo claro, completo, preciso e juridicamente consistente, como a GovSimplix Governança Empresarial LTDA realiza a coleta, recepção, classificação, utilização, acesso, processamento, armazenamento, compartilhamento, retenção, proteção, anonimização, bloqueio e descarte de dados pessoais e de informações correlatas no contexto de seus canais institucionais, comerciais e tecnológicos.

Esta Política aplica-se ao tratamento de dados pessoais realizado pela GovSimplix em seus sites, páginas institucionais, landing pages, formulários eletrônicos, canais de contato, comunicações digitais, ambientes autenticados, portais, aplicações, plataformas e demais ativos digitais que façam referência a este documento, incluindo contextos relacionados à oferta de soluções de governança empresarial, compliance, gestão de terceiros, due diligence, integridade corporativa, segurança da informação, privacidade e maturidade organizacional.

A GovSimplix atua em um ambiente de elevada criticidade informacional e regulatória, no qual a proteção de dados pessoais, a segurança da informação, a rastreabilidade, a integridade da evidência, a governança documental e a accountability assumem posição central. Por essa razão, esta Política foi concebida para refletir um padrão de diligência compatível com operações corporativas sofisticadas, cadeias de decisão empresariais sensíveis e fluxos de avaliação que podem envolver informações estratégicas, confidenciais e reguladas.

A LGPD dispõe sobre o tratamento de dados pessoais, inclusive em meios digitais, por pessoas jurídicas de direito privado, com o objetivo de proteger os direitos fundamentais de liberdade, privacidade e o livre desenvolvimento da personalidade da pessoa natural. O Marco Civil da Internet, por sua vez, estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil.

A controladora dos dados pessoais tratados no âmbito desta Política é a:

Para assuntos relacionados à privacidade, proteção de dados pessoais, exercício de direitos de titulares, esclarecimentos sobre tratamento de dados e temas correlatos, a GovSimplix disponibiliza o seguinte canal oficial de contato de seu Encarregado pelo Tratamento de Dados Pessoais:

Para assuntos relacionados a ética, integridade, compliance, canal de denúncias, reporte de condutas impróprias, não conformidades ou situações que possam ter interface com governança e proteção de dados:

Para os fins desta Política, aplicam-se, entre outras, as seguintes definições:

a

Dados pessoais:

informação relacionada a pessoa natural identificada ou identificável.

b

Dados pessoais sensíveis:

dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

c

Titular:

pessoa natural a quem se referem os dados pessoais objeto de tratamento.

d

Tratamento:

toda operação realizada com dados pessoais, como coleta, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, comunicação, transferência, modificação, anonimização, bloqueio ou descarte.

e

Controladora:

pessoa jurídica a quem competem as decisões referentes ao tratamento de dados pessoais.

f

Operadora:

pessoa jurídica que realiza o tratamento de dados pessoais em nome da controladora.

g

Encarregado (DPO):

pessoa indicada para atuar como canal de comunicação entre a controladora, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.

h

Incidente de segurança:

evento adverso confirmado ou suspeito que comprometa, ou possa comprometer, a confidencialidade, a integridade, a disponibilidade, a autenticidade ou a segurança de dados pessoais.

i

Anonimização:

utilização de meios técnicos razoáveis e disponíveis no momento do tratamento por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

j

Organização cliente ou solicitante:

pessoa jurídica que contrata, demanda, utiliza ou participa de fluxos de governança, avaliação, due diligence ou gestão de terceiros operados pela GovSimplix.

A GovSimplix poderá tratar dados pessoais de diferentes categorias de titulares, conforme a natureza do relacionamento mantido com a empresa, incluindo, sem limitação:

1. avisitantes do site institucional e de páginas informativas;
2. brepresentantes, administradores, colaboradores, sócios, beneficiários finais, procuradores, pontos focais e demais pessoas vinculadas a clientes, parceiros, fornecedores e terceiros avaliados;
3. cleads, prospects e contatos comerciais;
4. dusuários cadastrados em portais, painéis, áreas restritas ou plataformas da GovSimplix;
5. eparticipantes de eventos, webinários, demonstrações, reuniões, apresentações e interações comerciais;
6. fprofissionais que encaminhem solicitações de contato, materiais, dúvidas ou manifestações por canais oficiais;
7. gpessoas cujos dados constem, legitimamente, em documentos, evidências, cadastros, formulários, relatórios ou trilhas de auditoria submetidos em fluxos de due diligence, homologação, onboarding, monitoramento ou avaliação de terceiros.

Em determinados contextos, a GovSimplix poderá tratar não apenas dados fornecidos diretamente pelo titular, mas também dados pessoais inseridos por empresas-clientes, fornecedores, organizações avaliadas ou usuários corporativos, desde que tal inserção esteja amparada por base jurídica legítima e seja compatível com a finalidade do processo.

A GovSimplix poderá tratar, conforme a natureza do serviço, do relacionamento e do ambiente digital utilizado, as seguintes categorias de dados pessoais:

Os dados pessoais tratados pela GovSimplix podem ser coletados de diferentes formas, conforme o contexto de relacionamento:

1. adiretamente do titular, por meio de formulários, cadastros, contatos, reuniões, demonstrações, eventos, newsletters, propostas, contratos e interações em canais digitais;
2. bautomaticamente, por meio de cookies, pixels, tags, logs, identificadores, ferramentas de monitoramento técnico, autenticação, métricas de uso e outros recursos semelhantes;
3. cde forma indireta, por intermédio de clientes, parceiros, fornecedores, organizações avaliadas, representantes legais, procuradores ou usuários corporativos que legitimamente submetam dados em fluxos empresariais;
4. da partir de fontes públicas, bases abertas, registros públicos, juntas comerciais, cadastros regulatórios, diários oficiais, repositórios de transparência, cadastros sancionatórios ou outras fontes cuja consulta seja juridicamente autorizada;
5. emediante integração com sistemas, APIs, fornecedores de infraestrutura, autenticação, comunicação, analytics, CRM ou ferramentas de produtividade, sempre dentro do escopo necessário à operação.

A GovSimplix trata dados pessoais para finalidades legítimas, específicas, proporcionais e compatíveis com sua atuação institucional e empresarial. Entre as principais finalidades, destacam-se:

1. adisponibilizar, operar, manter, proteger e aprimorar o site, o portal, a plataforma e demais ambientes digitais da GovSimplix;
2. bresponder solicitações de contato, demonstrações, propostas, reuniões, consultas e interações institucionais ou comerciais;
3. cidentificar usuários, autenticar acessos, gerenciar perfis e proteger ambientes restritos;
4. drealizar onboarding, cadastro, habilitação, homologação, due diligence, reavaliação, monitoramento e gestão de terceiros;
5. ereceber, organizar, classificar, validar, cruzar, consolidar e analisar informações e documentos submetidos em processos de governança corporativa, integridade, compliance, segurança da informação, privacidade, riscos, controles internos e demais trilhas de avaliação empresarial;
6. fgerar relatórios, dashboards, indicadores, pareceres, recomendações, alertas, classificações, trilhas de auditoria, evidências de processo e históricos de conformidade;
7. gatender obrigações legais, regulatórias, contratuais, fiscais, auditoriais, de segurança e de defesa de direitos;
8. hprevenir fraudes, abusos, uso indevido da plataforma, acessos não autorizados, incidentes de segurança e condutas contrárias à boa-fé;
9. isustentar mecanismos de governança, accountability, segurança, rastreabilidade, continuidade operacional e resposta a incidentes;
10. jviabilizar comunicações institucionais, comerciais e técnicas, respeitadas as bases legais aplicáveis;
11. kcumprir solicitações de titulares, autoridades competentes, órgãos fiscalizadores ou instâncias de supervisão;
12. lmanter registros necessários à prova do consentimento, do aceite, da ciência contratual, da execução de serviços e do exercício regular de direitos.

O tratamento de dados pessoais realizado pela GovSimplix observará as bases legais previstas na LGPD, selecionadas conforme a natureza da operação, a finalidade específica do tratamento, a categoria do dado tratado e o contexto da relação jurídica existente. Dependendo do caso concreto, a GovSimplix poderá fundamentar o tratamento, entre outras hipóteses, nas seguintes bases legais:

1. aconsentimento do titular, quando exigido ou adotado como fundamento adequado;
2. bcumprimento de obrigação legal ou regulatória;
3. cexecução de contrato ou de procedimentos preliminares relacionados a contrato do qual o titular seja parte, ou a pedido do titular;
4. dexercício regular de direitos em processo judicial, administrativo, arbitral ou em procedimentos preparatórios correlatos;
5. elegítimo interesse da GovSimplix ou de terceiro, observados os direitos e liberdades fundamentais do titular e a avaliação de proporcionalidade do tratamento;
6. fproteção do crédito, quando aplicável;
7. gprevenção à fraude e à segurança do titular, nos processos de identificação e autenticação;
8. houtras hipóteses legalmente admitidas.

Quando houver tratamento de dados pessoais sensíveis, ele ocorrerá exclusivamente nas hipóteses legalmente autorizadas e com salvaguardas reforçadas de necessidade, proporcionalidade e segurança, nos termos da LGPD.

A GovSimplix poderá atuar, conforme o contexto, como:

1. acontroladora, quando definir os meios e finalidades do tratamento em seus próprios canais, processos comerciais, institucionais, operacionais, de relacionamento, segurança, compliance, marketing corporativo e governança da plataforma;
2. boperadora, quando tratar dados pessoais em nome de clientes corporativos ou organizações contratantes, em estrita observância às instruções legítimas recebidas, aos contratos aplicáveis e às obrigações legais pertinentes;
3. cagente de tratamento com atribuições compartilhadas ou coordenadas, em operações complexas que envolvam múltiplos atores empresariais e fluxos de governança, desde que isso esteja formalizado em instrumento contratual, operacional ou institucional apropriado.

Nos casos em que a GovSimplix atue em nome de clientes empresariais em fluxos específicos de due diligence ou avaliação de terceiros, determinados pedidos de titulares poderão demandar atuação coordenada com a organização contratante ou, quando juridicamente cabível, redirecionamento ao agente que detenha competência decisória principal sobre os dados.

A GovSimplix poderá compartilhar dados pessoais, sempre de forma proporcional, legítima e limitada ao mínimo necessário, com as seguintes categorias de destinatários:

1. aclientes, organizações contratantes ou solicitantes do processo, quando o compartilhamento for inerente à execução do serviço de governança, due diligence, monitoramento, homologação ou gestão de terceiros;
2. bprestadores de serviços especializados, como provedores de nuvem, hospedagem, backup, segurança, analytics, autenticação, suporte, comunicação corporativa, assinatura eletrônica, gestão documental e infraestrutura tecnológica;
3. cassessores jurídicos, auditores independentes, consultores, contadores, seguradoras, instituições financeiras e outros parceiros profissionais, quando necessário ao suporte das atividades da GovSimplix;
4. dautoridades públicas, órgãos reguladores, autoridades judiciais, policiais, administrativas ou fiscalizatórias, quando houver obrigação legal, ordem válida ou necessidade de exercício regular de direitos;
5. epartes envolvidas em operações societárias, reorganizações, fusões, aquisições, due diligences corporativas internas ou transações extraordinárias, observadas as salvaguardas cabíveis;
6. fempresas do mesmo grupo econômico, afiliadas ou coligadas, caso existentes, desde que o compartilhamento seja compatível com a finalidade, base legal e governança interna aplicável.

A GovSimplix não comercializa dados pessoais como ativo mercantil, base de prospecção indiscriminada ou produto autônomo de marketing. Sempre que possível e juridicamente viável, o compartilhamento será precedido ou acompanhado da adoção de instrumentos contratuais, cláusulas de confidencialidade, deveres de segurança, regras de tratamento, controles de acesso e obrigações de não uso indevido.

A GovSimplix poderá realizar transferência internacional de dados pessoais quando isso for necessário para a operação de sua infraestrutura tecnológica, uso de serviços de nuvem, armazenamento, backup, segurança, autenticação, comunicação corporativa, analytics, suporte ou demais atividades operacionais legítimas.

Quando houver transferência internacional, a GovSimplix buscará adotar mecanismos jurídicos, contratuais, organizacionais e técnicos aptos a preservar o nível de proteção adequado dos dados pessoais, nos termos da legislação aplicável, observando a natureza do dado, a criticidade do fluxo, o fornecedor envolvido e os riscos da operação.

Os dados pessoais serão armazenados pelo tempo necessário ao cumprimento das finalidades que justificaram sua coleta, ao atendimento de obrigações legais ou regulatórias, à preservação de evidências, à defesa de direitos da GovSimplix ou de terceiros, ao cumprimento de contratos e à manutenção de trilhas de auditoria e governança.

A duração da retenção poderá variar conforme a natureza da relação existente, o tipo de dado, a finalidade do tratamento, a criticidade do ambiente, as exigências regulatórias e o risco associado ao descarte prematuro. Uma vez esgotada a necessidade de retenção, os dados pessoais poderão ser:

1. aeliminados de forma segura;
2. banonimizados, quando útil e juridicamente cabível;
3. cbloqueados para tratamento ativo, permanecendo apenas para finalidades legais, auditoriais ou probatórias;
4. dmantidos em backup ou contingência por prazo tecnicamente razoável e restrito, sem uso corrente, quando necessário à integridade do ambiente ou à continuidade operacional.

Nos ambientes em que a GovSimplix atue em nome de clientes empresariais, a retenção também poderá observar instruções contratuais, cronogramas de projeto, regras de auditoria, obrigações de compliance e requisitos de prestação de contas.

A GovSimplix adota abordagem de segurança compatível com a natureza sensível de seus serviços e com o padrão de diligência esperado em ambientes empresariais voltados à governança e à excelência operacional. Sem prejuízo de medidas adicionais adotadas conforme o risco, a GovSimplix poderá empregar controles como:

1. agestão de acessos baseada em perfil e necessidade;
2. bsegregação de ambientes e de privilégios;
3. cautenticação e monitoramento de acessos;
4. dcriptografia, quando aplicável;
5. etrilhas de auditoria e registros de eventos;
6. fcontrole de versões e integridade documental;
7. gbackups e mecanismos de resiliência operacional;
8. hrevisão de permissões, gestão de credenciais e confidencialidade contratual;
9. iprocedimentos de resposta a incidentes;
10. jtreinamentos, conscientização e governança interna;
11. kavaliação de fornecedores e suboperadores sob a ótica de risco e segurança;
12. lmedidas de prevenção, detecção, contenção, remediação e registro de incidentes.

Nos termos da LGPD e da regulamentação da ANPD, incidentes de segurança que possam acarretar risco ou dano relevante aos titulares podem demandar comunicação à ANPD e aos próprios titulares, conforme a natureza do evento, a criticidade dos dados afetados e as exigências normativas aplicáveis. A regulamentação da ANPD também prevê a manutenção de registros de incidentes de segurança com dados pessoais por ao menos cinco anos.

Embora a GovSimplix adote controles técnicos e organizacionais robustos, nenhum ambiente digital é absolutamente invulnerável. Por essa razão, a proteção de dados é tratada como processo contínuo de governança, aperfeiçoamento, monitoramento e resposta.

Nos termos da LGPD e das orientações da ANPD, o titular pode exercer, conforme o caso e observadas as limitações legais aplicáveis, direitos como:

1. aconfirmação da existência de tratamento;
2. bacesso aos dados pessoais;
3. ccorreção de dados incompletos, inexatos ou desatualizados;
4. danonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
5. eportabilidade dos dados, observados os segredos comercial e industrial e a regulamentação aplicável;
6. feliminação dos dados tratados com base em consentimento, ressalvadas as hipóteses legais de conservação;
7. ginformação sobre o compartilhamento de dados;
8. hinformação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa, quando o consentimento for a base legal pertinente;
9. irevogação do consentimento;
10. jrevisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses.

Para exercer seus direitos, o titular poderá contatar a GovSimplix pelo canal: dpo@govsimplix.com. A GovSimplix poderá solicitar informações adicionais para confirmação da identidade do solicitante, comprovação de legitimidade, representação válida e delimitação adequada do pedido, como forma de prevenir fraude, acesso indevido e violação de direitos de terceiros.

Determinadas solicitações poderão ser parcial ou temporariamente limitadas quando houver obrigação legal de retenção, necessidade de preservação de segredo comercial ou industrial, confidencialidade de terceiros, proteção da segurança do ambiente, exercício regular de direitos ou impossibilidade técnica justificada.

Em razão da natureza dos serviços prestados pela GovSimplix, é possível que usuários corporativos, clientes, parceiros, fornecedores ou organizações avaliadas insiram na plataforma dados pessoais de terceiros, tais como administradores, sócios, representantes legais, beneficiários finais, responsáveis por compliance, segurança, privacidade, jurídico, tecnologia, finanças ou outros profissionais vinculados à estrutura organizacional analisada.

Nesses casos, a pessoa jurídica que submeter os dados declara e se responsabiliza por:

1. apossuir fundamento jurídico legítimo para a coleta e o compartilhamento dos dados;
2. bobservar os princípios da necessidade, adequação, finalidade e minimização;
3. cgarantir a exatidão, pertinência e atualização das informações encaminhadas;
4. devitar a inserção de dados excessivos, irrelevantes ou desproporcionais;
5. eadotar os deveres de transparência e governança aplicáveis aos titulares envolvidos.

A GovSimplix poderá, a seu critério, solicitar confirmação de legitimidade, complementar informações ou exigir adequação do conteúdo submetido, sempre que identificar excesso, inadequação, inconsistência ou risco jurídico relevante.

A GovSimplix poderá utilizar cookies, pixels, tags, SDKs e tecnologias semelhantes para fins de funcionamento técnico do site, segurança, autenticação, preservação de sessão, medição de desempenho, analytics, personalização de preferências, geração de estatísticas agregadas e, quando aplicável e juridicamente permitido, comunicações e mensuração de campanhas.

Os cookies podem ser classificados, entre outras categorias, como:

1. aestritamente necessários;
2. bfuncionais;
3. cde desempenho e analytics;
4. dde preferências;
5. ede publicidade ou mensuração, quando aplicável.

Os detalhes específicos sobre categorias, finalidades, duração, terceiros envolvidos e mecanismos de gestão de consentimento são disciplinados em documento próprio, denominado Política de Cookies, que complementa esta Política de Privacidade. O titular poderá gerenciar preferências por meio do banner ou painel de cookies disponibilizado pela GovSimplix, sem prejuízo dos controles oferecidos pelo próprio navegador.

A GovSimplix poderá utilizar dados de contato para envio de comunicações necessárias à execução de relacionamento contratual, suporte técnico, segurança da conta, atualização de políticas, alertas relevantes, convites para reuniões, retorno de solicitações, conteúdos institucionais e materiais técnicos.

Comunicações de natureza promocional, comercial ou de relacionamento poderão ser enviadas com base jurídica adequada, especialmente em contexto B2B, respeitando-se a legislação aplicável, os limites do legítimo interesse, os mecanismos de oposição e, quando exigível, o consentimento do titular.

O destinatário poderá solicitar o descadastramento de comunicações promocionais ou o ajuste de preferências pelos canais disponibilizados pela GovSimplix, ressalvadas as mensagens estritamente necessárias ao relacionamento vigente, à segurança ou ao cumprimento de obrigação legal.

Os ambientes digitais, conteúdos e serviços da GovSimplix são direcionados prioritariamente a público corporativo, profissional e institucional, não sendo estruturados como produto voltado a crianças ou adolescentes.

Caso, em situação excepcional, haja necessidade de tratamento de dados pessoais de crianças ou adolescentes, tal operação observará a legislação aplicável, os requisitos de proteção reforçada, o melhor interesse do menor e as bases legais cabíveis.

A GovSimplix poderá empregar mecanismos automatizados de apoio à organização de dados, triagem documental, classificação preliminar, priorização de pendências, geração de alertas, correlação de evidências, composição de indicadores, scorecards internos, detecção de inconsistências e suporte à análise de riscos.

Quando tais mecanismos envolverem dados pessoais, a GovSimplix buscará assegurar governança, explicabilidade proporcional, revisão humana quando aplicável e respeito aos direitos dos titulares, especialmente em situações que possam afetar de forma relevante seus interesses.

Nos termos divulgados pela ANPD, o titular possui o direito de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses, bem como explicações sobre os critérios e procedimentos adotados.

Solicitações relacionadas a dados pessoais, privacidade, exercício de direitos, dúvidas sobre esta Política ou requerimentos formais de titulares devem ser encaminhadas para:

Denúncias, manifestações de compliance, comunicações de conduta imprópria, eventos de integridade ou situações que demandem apuração sob a ótica de governança e ética corporativa podem ser encaminhadas para:

A presente Política poderá ser atualizada, revisada, substituída ou complementada a qualquer tempo, para refletir mudanças legais, regulatórias, tecnológicas, operacionais, contratuais ou estratégicas, bem como evolução das práticas de governança, segurança e privacidade da GovSimplix.

A versão vigente será sempre aquela disponibilizada no site ou no ambiente digital correspondente, com a indicação de sua data de atualização. Em caso de alterações substanciais que impactem significativamente a forma de tratamento de dados pessoais, a GovSimplix poderá adotar medidas razoáveis de ciência, comunicação adicional ou coleta de novo consentimento, quando juridicamente necessário.

Esta Política será interpretada de acordo com a legislação da República Federativa do Brasil, especialmente a Lei Geral de Proteção de Dados Pessoais (Lei n. 13.709/2018), o Marco Civil da Internet (Lei n. 12.965/2014) e a regulamentação expedida pela Autoridade Nacional de Proteção de Dados — ANPD.