Política de Privacidade

Bem-vindo à nossa página de Política de Privacidade! Nesta seção, compartilhamos informações importantes sobre como coletamos, usamos e protegemos seus dados pessoais. Valorizamos a sua privacidade e estamos comprometidos em manter a confidencialidade e segurança das informações que você nos fornece. Nossa política foi elaborada para garantir a transparência nas práticas de coleta e utilização de dados pessoais, de acordo com as leis e regulamentos aplicáveis.

Recomendamos que você leia atentamente esta política para entender como suas informações serão tratadas. Caso tenha alguma dúvida ou preocupação, não hesite em entrar em contato conosco. Estamos aqui para ajudar. Lembre-se de que esta política pode ser atualizada de tempos em tempos para refletir mudanças em nossas práticas de privacidade. Portanto, é importante revisá-la regularmente para estar sempre atualizado.

Agradecemos por confiar em nós e por escolher nosso site. Estamos comprometidos em proteger
sua privacidade e oferecer uma experiência segura em todas as interações que você tiver conosco.

POLÍTICA DE PRIVACIDADE

Esta irá explicar, de maneira clara e acessível, como os seus dados serão coletados e tratados por nossos sistemas. Garantimos que seus dados serão tratados de maneira segura, adequada e apenas para finalidades lícitas.

Está política abrange a proteção de dados de visitantes, usuários, clientes e fornecedores.

Caso tenha dúvidas ou precise tratar de algum assunto relacionado a esta Política, por favor, entre em contato
pelo e-mail lgpd@fortserv.com.br.

1. Objetivo.

Esta política tem por objetivo estabelecer as diretrizes da FortServ para o tratamento de dados pessoais no âmbito de suas atividades, reiterando, dessa forma, seu compromisso com o respeito à privacidade e com a proteção de dados pessoais

1.1 Escopo da Política de Privacidade e Proteção de Dados Pessoais.

Essa Política se aplica a todos os serviços disponibilizados pela FortServ por meio de conteúdo impresso, entrega de produtos, sites, aplicativos, interfaces, portais, produtos e aplicações de Internet, como, dentre outros, sejam eles físicos ou digitais, que exibam e se vinculem a esta Política (“Serviço” ou, em conjunto, “Serviços”).

Todo e qualquer tratamento feito pela FortServ estará fundamentado em uma das hipóteses previstas no artigo 7º da Lei Geral de Proteção de Dados, lei 13.709/2018.

1.2 Quais dados pessoais coletamos, armazenamos e processamos?

Nosso site oferece algumas formas de entrar em contato com a FortServ. Na aba fale conosco coletamos os seguintes dados:

• Nome completo

• E-mail

• Telefone

• Mensagem

O nome completo, e-mail e o telefone são coletados para fins de identificação dos clientes, fornecedores e candidatos para fins de atendimento, fornecimento de orçamentos e para retorno sobre as nossas vagas.

Mensagem é um campo que não demanda nenhum dado pessoal. Contudo quaisquer dados pessoais que possam ser inseridos não serão usados para nenhuma finalidade específica além do entendimento do assunto.

1.3 Para quais finalidades tratamos seus dados?

De maneira geral coletamos os dados para:

Clientes

• Manutenção e promoção do contato e relacionamento com você;

• Atendimento ao cliente;

• Aprimoramento do atendimento ao cliente;

• Desempenho e análise de pesquisas de mercado e estratégias de marketing; e

• Para viabilizar a fornecimento de algum produto ou serviço.

• Monitoramento de sistemas e recursos de tecnologia da FortServ a fim de garantir a segurança da informação e suas funcionalidades, proteger direitos e propriedades da FortServ, de Colaboradores e Candidatos, de terceiros que acessam os sistemas e recursos de tecnologia da empresa, aprimorar a experiência dos Colaboradores e Candidatos no acesso aos sistemas e recursos de tecnologia da FortServ e prevenir atividades ilegais, fraudulentas ou suspeitas que possam provocar danos à empresa ou a terceiros, em meios físicos e digitais.

• Para prover suporte técnico e operacional aos usuários dos sistemas e recursos de tecnologia da FortServ.

• Para produção de conteúdos audiovisuais, com finalidade informativa e de entretenimento, para disponibilização ao público interno e externo.

• Para realização de análises internas: auditorias, pesquisas e estudos estatísticos que buscam monitorar o ambiente de trabalho e o desenvolvimento dos negócios da FortServ.

• Para cumprimento de obrigações: realização das atividades necessárias para cumprimento de contrato de trabalho, obrigações legais e/ou regulatórias e eventuais solicitações de órgãos públicos aplicáveis à FortServ, inclusive em investigações da área de Compliance.

• Outros propósitos legítimos, relacionados com as atividades operacionais cotidianas da FortServ, tais como o planejamento e administração do fluxo de trabalho dos Colaboradores e implantação de novos projetos na FortServ.

Dados de Fornecedores

• Para armazenar (e atualizar quando necessário) as suas informações na nossa base de dados, para que possamos contatá-lo em função de nossa relação comercial/contratual; o Para oferecer-lhe serviços ou para obter apoio e serviços da sua parte; o Para cumprir determinadas obrigações legais; o Para ajudar-nos a direcionar campanhas de marketing apropriadas; e o

Dados de Candidatos

Normalmente utilizamos os dados do Candidato de quatro formas:

• Atividades de Recrutamento;

• Atividades de Marketing;

• Monitorização da Igualdade de Oportunidades; e

• Ajudar-nos à declaração, ao exercício ou à defesa de um direito.

Nesse sentido, os dados pessoais abrangidos por esta política de privacidade são tratados somente:

• Com seu consentimento livre e explícito;

• Quando for indispensável para finalizar uma transação com você;

• Quando for necessário para a FortServ cumprir com suas obrigações legais ou regulatórias;

• De acordo com as demais hipóteses legalmente previstas.

Esclarecemos que o tratamento de Dados Pessoais coletados de colaboradores e candidatos no contexto de suas atividades não está coberto por esta Política. Para acessar a política de privacidade para colaboradores e candidatos, por favor consulte:

Sempre que o tratamento tiver como base o consentimento, você dispõe do direito de remover seus dados a qualquer momento. Isto não afeta a validade do tratamento de dados anterior à remoção. A única decorrência da remoção é que esta pode interferir com a comunicação com a FortServ.

1.4 Comunicação e Marketing.

Baseadas no seu consentimento, você poderá receber informativos de acordo com suas preferências. Tais preferências são baseadas no uso dos serviços e no uso do site da FortServ.

Atualizações e notificações relacionadas aos produtos já contratados podem ser enviadas sem seu consentimento prévio desde que necessárias para o funcionamento adequado do produto ou serviço que você contratou.

1.5 Direitos dos Titulares dos Dados Pessoais.

Os visitantes, usuários e clientes da FortServ podem entrar em contato conosco para valer direitos dos titulares sobre seus dados pessoais através de nosso site acessando a opção LGPD ou pelo contato direto com o nosso encarregado de dados através do e-mail lgpd@fortserv.com.br. Tais direitos incluem:

• Confirmação da existência de Tratamento;

• Acesso aos dados;

• Correção de dados incompletos, inexatos ou desatualizados;

• Solicitação de anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;

• Portabilidade dos dados a outro controlador, observados os segredos comercial e industrial;

• Obtenção de informação das entidades públicas e privadas com as quais a FortServ realizou uso compartilhado de dados;

• Nos casos específicos em que a base legal do tratamento for o seu consentimento, solicitação de eliminação dos Dados Pessoais, informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa e revogação do consentimento.

• Informação das entidades públicas e privadas com as quais o Controlador realizou uso compartilhado de dados;

• Visitantes, usuários, clientes, candidatos e fornecedores poderão exercer estes direitos enviando um e-mail para: lgpd@fortserv.com.br.

Se for solicitar a exclusão dos dados tratados, a FortServ poderá excluir ou torná-los não identificáveis. Todavia, serão mantidos todos os dados necessários ao cumprimento de obrigação legal, ordem judicial, exercício regular do direito da FortServ em processo judicial, administrativo ou arbitral, por deliberação da ANPD – Agência Nacional de Proteção de Dados ou outro órgão de controle.

A FortServ armazenará dados pessoais pelo tempo necessário para o cumprimento das finalidades pelas quais estes foram coletados, pelo cumprimento de obrigação legal ou regulatória, ou ainda, necessária para a execução de contrato. Dados pessoais serão eliminados após o término de seu tratamento, nos limites técnicos das atividades. Pode ser conservado em base de dados desde que aplicadas técnicas de anonimização do titular por meios razoáveis e disponíveis quando foram aplicadas.

1.6 Segurança da Informação.

Temos políticas e ferramentas tecnológicas que objetivam proteger sua privacidade e direitos contra o uso indevido de seus dados pessoais. Podemos utilizar criptografia em alguns de nossos serviços e aplicar um processo de autenticação e verificação para acesso aos produtos e serviços da FortServ. Podemos testar e fazer avaliações periódicas da eficácia das medidas de segurança desenvolvidas.

1.7 Compartilhamento de Dados.

A FortServ não vende dados pessoais de seus clientes, fornecedores e candidatos. Os dados são e continuarão sendo tratados exclusivamente para os objetivos citados nesta Política.

Dados pessoais serão compartilhados apenas nas seguintes situações:

• Mediante solicitação do titular de dados;

• Mediante necessidade estrita com parceiros que sejam clientes da FortServ, garantido que o tratamento acompanhe os limites estabelecidos nesta Política através de meios contratuais e legais;

• Mediante necessidade estrita com agentes autorizados e devidamente licenciados que forneçam serviços a FortServ;

• Autoridades de Estado, Agências Reguladoras ou Fiscais competentes para cumprir função legal ou regulatória.

Utilizamos ainda ferramentas de análise de dados como o Google Analytics, para conhecer melhor o nosso público e aprimorar os nossos serviços. Para saber mais a respeito, consulte: https://policies.google.com/privacy?hl=pt-BR.

Contatos, tanto por e-mail quanto pelo nosso site serão redirecionados para nosso e-mail interno e ao nosso servidor interno, que armazena dados em serviços de hospedagem específicos. Por consequência haverá o compartilhamento de dados com plataforma de hospedagem, prestadores de serviço que façam manutenção na plataforma, prestadores de

serviço de hospedagem de e-mail e prestadores de serviços terceirizados, como por exemplo, serviços jurídicos.

O não consentimento com estes compartilhamentos inviabiliza a concretização de relações com a FortServ.

1.8 Redes Sociais.

Quando você interage com a FortServ por meio de Redes Sociais, seus dados podem ser visíveis para os demais usuários da rede, seguindo as configurações de privacidade de cada rede. Deste modo, a FortServ não é responsável por tratamento de dados pessoais nem pela Política de Privacidade e Proteção de Dados das redes sociais a qual tem presença.

A FortServ tem presença na Rede Social Facebook, seguindo o parágrafo anterior, recomendamos que visitem a Política de Privacidade própria dessa plataforma para compreenderem melhor como esse terceiro utiliza esses dados. Para acessá-la, basta clicar em https://free.facebook.com/privacy/policy/#.

A FortServ tem presença na Rede Social Instagram, seguindo o parágrafo anterior, recomendamos que visitem a Política de Privacidade própria dessa plataforma para compreenderem melhor como esse terceiro utiliza esses dados. Para acessá-la, basta clicar em https://about.instagram.com/pt-br/blog/announcements/instagram-community-data-policy.

A FortServ tem presença na Rede Social LinkedIn, seguindo o parágrafo anterior, recomendamos que visitem a Política de Privacidade própria dessa plataforma para compreenderem melhor como esse terceiro utiliza esses dados. Para acessá-la, basta clicar em https://br.linkedin.com/legal/privacy-policy .

A FortServ tem presença na Rede WhatsApp, seguindo o parágrafo anterior, recomendamos que visitem a Política de Privacidade própria dessa plataforma para compreenderem melhor como esse terceiro utiliza esses dados. Para acessá-la, basta clicar em https://www.whatsapp.com/legal/privacy-policy/?locale=pt_BR .

A FortServ tem presença na Rede YOUTUBE, seguindo o parágrafo anterior, recomendamos que visitem a Política de Privacidade própria dessa plataforma para compreenderem melhor como esse terceiro utiliza esses dados. Para acessá-la, basta clicar em https://policies.google.com/privacy?hl=pt .

Dados que sejam recebidos das redes sociais pela FortServ observaram esta Política de Privacidade e Proteção de Dados Pessoais.

1.9 Transferência Internacional de Dados.

Nos casos em que os Dados Pessoais forem transferidos para Empresas Relacionadas ou terceiros, eventualmente localizados fora do país, a FortServ adotará medidas organizacionais, contratuais e legais para garantir que tais dados sejam tratados estritamente para os objetivos mencionados nesta Política e que níveis adequados de proteção sejam implementados, a fim de salvaguardar a privacidade de seus Colaboradores e Candidatos.

1.10 Proteção dos Dados.

A FortServ manterá os Dados Pessoais de Colaboradores e Candidatos em segurança, adotando medidas administrativas, técnicas, de pessoal e físicas adequadas para protegê-los contra acessos não autorizados e situações acidentais ou ilícitas que venham a causar a destruição, perda, alteração, ou qualquer forma de tratamento inadequado ou ilícito. A FortServ adota práticas alinhadas aos padrões técnicos e regulatórios de mercado para garantir a segurança e privacidade de Dados Pessoais, com ações abrangentes em tecnologia e nos processos organizacionais, incluindo a proteção física e lógica dos ativos, comunicações criptografadas, gestão sobre os acessos, adesão ao desenvolvimento seguro de software e políticas internas de conformidade.

1.11 Reclamação a uma Autoridade de Controle.

Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, os titulares de dados pessoais que se sentirem, de qualquer forma, lesados, podem apresentar reclamação à Autoridade Nacional de Proteção de Dados por meio do seguinte link:

https://www.gov.br/anpd/pt-br/canais_atendimento/cidadao-titular-de-dados/denuncia-de-descumprimento-da-lgpd

2 Disposições Gerais.

A FortServ se reserva o direito de modificar a presente Política de Privacidade a qualquer instante e quantas vezes forem necessárias, de forma a aprimorar suas práticas e atender melhor o público, bem como para adaptar a eventuais mudanças legislativas e orientações da Autoridade Nacional de Proteção de Dados. Logo é fundamental que o usuário acesse a nossa Política periodicamente através do site https://fortserv.com.br/. A FortServ não envia comunicados individuais a seus usuários informando sobre alterações desta Política.

Este documento deve ser interpretado de boa-fé e nos termos da legislação nacional. Fica eleito o Foro da Comarca São Paulo/SP sede da FortServ, como o único competente para dirimir quaisquer questões porventura oriundas do presente documento, com exclusão de qualquer outro foro, por mais privilegiado que seja.

POLÍTICA DE PRIVACIDADE PARA COLABORADORES E CANDIDATOS

Esta política irá explicar, de maneira clara e acessível, como os seus dados serão coletados e tratados por nossos sistemas. Garantimos que seus dados serão tratados de maneira segura, adequada e apenas para finalidades lícitas.

Está política abrange a proteção de dados de colaboradores e candidatos.

Caso tenha dúvidas ou precise tratar de algum assunto relacionado a esta Política, por favor, entre em contato pelo e-mail lgpd@fortserv.com.br.

1. Candidatos e Colaboradores.

A FortServ se compromete a tratar os Dados Pessoais dos seus Colaboradores e Candidatos com respeito à sua privacidade. Tais dados serão tratados de maneira responsável, cumprindo o estabelecido nesta Política e nas leis e regulamentos de privacidade e proteção de dados aplicáveis, incluindo a Lei 13.709/2018 (Lei Geral de Proteção de Dados – “LGPD”).

Aqui estão presentes as informações para os colaboradores e para os indivíduos que se cadastraram no banco de currículos e ou participaram do processo seletivo para trabalhar na FortServ. Esta Política fornece informações sobre quais dados são tratados, para quais finalidades e quais são seus direitos.

1.1. Escopo da Política de Privacidade e Proteção de Dados Pessoais.

A Política de Privacidade e Proteção de Dados Pessoais objetiva orientar seus colaboradores, estagiários, aprendizes, bolsistas ou prestadores de serviço, assim como candidatos às vagas, que cadastraram seu currículo em nosso banco de dados ou que participam ou participaram do processo seletivo da FortServ, sobre o tratamento de seus dados pessoais. Se o indivíduo também seja nosso cliente, favor consultar a política de privacidade apropriada. Todo e qualquer tratamento feito pela FortServ estará fundamentado em uma das hipóteses previstas no artigo 7º da Lei Geral de Proteção de Dados, lei 13.709/2018.

1.2. Quais Dados são coletados pela FortServ?

A FortServ poderá coletar Dados Pessoais (i) diretamente de Colaboradores e Candidatos; (ii) por meio de terceiros; (iii) por meio de fontes públicas, conforme necessário, para as finalidades descritas nesta Política e/ou (iv) através do nosso site na aba fale conosco. As seguintes categorias de Dados Pessoais são tratadas no âmbito da relação da FortServ com seus Colaboradores e Candidatos:

• Informações de contato: nome completo, número de identidade, endereço de e-mail, endereço de correspondência, números de telefone, foto, detalhes de contato de emergência.

• Dados demográficos: data de nascimento e sexo.

• Dados Sensíveis: a FortServ poderá coletar e tratar informações pessoais sensíveis relacionadas ao Colaborador e ao Candidato e seus dependentes, incluindo aquelas que revelam sua origem racial ou étnica, convicção religiosa, opinião política, filiação à sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde, à vida ou orientação sexual, dado genético ou biométrico. Tais dados serão coletados somente para fins de cumprimento de obrigação legal ou regulatória, execução de contrato, garantia de segurança ou mediante o expresso consentimento de Colaboradores e Candidatos, para implementação de ações afirmativas e programas de diversidade.

• Identificadores: identificação nacional/passaporte, status de cidadania, status de permissão de residência e trabalho, CPF ou outro número de identificação de contribuinte/governo. Caso seja necessário para o desempenho da função, dados completos da Carteira Nacional de Habilitação (CNH), números de inscrição profissional perante as instituições competentes (tais como OAB e CREA) e outros documentos comprobatórios de requisitos para a função.

• Informações acadêmicas, profissionais e antecedentes: qualificações acadêmica e profissional, currículo, histórico escolar, observações de entrevistas, referências de Candidatos (se registradas), resultados de testes (se aplicáveis), informações sobre seus empregos anteriores ou atuais, ocupação de cargo público, histórico de posição creditícia, antecedentes criminais (a depender da natureza do cargo) ou outras informações reveladas durante avaliações de antecedentes.

• Informações sobre suas funções na FortServ: cargo/posição profissional, local de trabalho, contrato de emprego, data de contratação, data de rescisão, histórico de desempenho, evolução profissional e registros disciplinares, histórico de treinamentos, afastamento, licenças médicas, relatório de acidentes e registros de férias.

• Informações financeiras: detalhes de conta bancária, remuneração, benefícios, planos de aposentadoria, bonificações e outras informações necessárias para administrar a folha de pagamento, registrar a evolução remuneratória do colaborador e os impostos incidentes.

• Informações do cônjuge/parceiro e dependentes (incluindo menores): respectivos nomes e sobrenomes, datas de nascimento e detalhes de contato.

• Vídeo, voz e imagem: a FortServ poderá coletar e tratar dados de vídeo, voz e imagem para confecção de crachás, acesso às instalações da empresa e seu monitoramento, bem como para a produção de conteúdo de informação e entretenimento para disponibilização ao público interno e externo.

• Interações com os recursos de tecnologia da FortServ: conteúdo gerado e histórico de atividades nos sistemas, dispositivos e aplicativos eletrônicos da FortServ, incluindo e-mails e outras mensagens enviadas e recebidas pelas plataformas corporativas, dados de navegação em nossa intranet e informações de acesso e uso dos prédios e edifícios corporativos da FortServ.

• Preferências e opiniões: informações de preferência e opinião fornecidas em pesquisas internas sobre assuntos variados, tais como treinamentos realizados, produtos e serviços ofertados pela FortServ, etc.

1.3. Finalidades do Tratamento.

Os Dados Pessoais descritos no item anterior serão tratados na operação dos negócios da FortServ para as seguintes finalidades:

• Processos internos: organização e implementação de processos de recrutamento, contratação, transferência, rescisão, afastamentos e aposentadoria.

• Performance e desenvolvimento: registro de avaliações de desempenho e treinamentos fornecidos aos Colaboradores.

• Pagamento e concessão de benefícios: realização de pagamento das remunerações e administração de benefícios do Colaborador, seu cônjuge/parceiro e dependentes, incluindo plano de saúde.

• Comunicação proativa: comunicação com o Candidato e Colaborador, avisando sobre novidades, vagas, eventos, pesquisas de opinião e satisfação, oportunidades e outros assuntos de interesse, envolvendo a FortServ e/ou Empresas Relacionadas.

• Comunicação reativa: comunicação com o Candidato e Colaborador, respondendo a eventuais dúvidas e requerimentos.

• Monitoramento tecnológico: monitoramento de sistemas e recursos de tecnologia da FortServ a fim de garantir a segurança da informação e suas funcionalidades, proteger direitos e propriedades da FortServ, de Colaboradores e Candidatos, de terceiros que acessam os sistemas e recursos de tecnologia da empresa, aprimorar a experiência dos Colaboradores e Candidatos no acesso aos sistemas e recursos de tecnologia da FortServ e prevenir atividades ilegais, fraudulentas ou suspeitas que possam provocar danos à empresa ou a terceiros, em meios físicos e digitais.

• Suporte técnico: prover suporte técnico e operacional aos usuários dos sistemas e recursos de tecnologia da FortServ.

• Produção de conteúdo: produção de conteúdos audiovisuais, com finalidade informativa e de entretenimento, para disponibilização ao público interno e externo.

• Realização de análises internas: realização de auditorias, pesquisas e estudos estatísticos que buscam monitorar o ambiente de trabalho e o desenvolvimento dos negócios da FortServ.

• Implementação de programas de diversidade: iniciativas de diversidade têm como objetivo desenvolver um local de trabalho mais plural e inclusivo. Dados Pessoais, inclusive Dados Sensíveis, poderão ser tratados para esta finalidade, mediante seu consentimento específico, tanto nos processos de recrutamento quanto ao longo de seu contrato de trabalho ou prestação de serviço à FortServ. Caso o Colaborador ou Candidato não deseje ser considerado para tais iniciativas, basta não fornecer seu consentimento, quando solicitado. O não fornecimento desses dados não gerará qualquer impacto negativo, seja no processo de recrutamento ou na carreira dentro da FortServ.

• Cumprimento de obrigações: realização das atividades necessárias para cumprimento de contrato de trabalho, obrigações legais e/ou regulatórias e eventuais solicitações de órgãos públicos aplicáveis à FortServ, inclusive em investigações da área de Compliance.

1.4. Compartilhamento dos Dados.

A FortServ poderá compartilhar Dados Pessoais dos Colaboradores e Candidatos com as seguintes categorias de terceiros:

• Empresas Relacionadas: em razão do frequente compartilhamento de infraestrutura, sistemas e tecnologias entre a FortServ e seus clientes, os Dados Pessoais poderão ser compartilhados com estas empresas para realizar uma ou mais finalidades descritas no item 2.3 desta Política.

• Prestadores de serviços: Dados Pessoais poderão ser compartilhados com prestadores de serviços contratados para apoiá-la na consecução das finalidades descritas no item 2.3 desta Política, tais como fornecedores de software para recrutamento de Candidatos, empresas que fazem avaliação e treinamento de Colaboradores, firmas que apoiam o desenvolvimento e implementação de políticas internas de diversidade e companhias que realizam auditorias e pesquisas internas de opinião e satisfação.

• Empresas de benefícios: Dados Pessoais poderão ser compartilhados com as empresas parceiras que fornecem os benefícios ofertados aos Colaboradores da FortServ, como planos de saúde, vale-refeição, vale-alimentação, seguro de vida, descontos, entre outros, sendo tal compartilhamento necessário para viabilizar a própria concessão do benefício ao Colaborador.

• Consultores externos: Dados Pessoais poderão ser compartilhados com consultores externos (exemplo: advogados, para defesa de direitos e representação em processos judiciais).

• Autoridades competentes: Dados Pessoais poderão ser compartilhados com quaisquer autoridades, entes e órgãos estatais, a fim de responder e dar cumprimento à ofícios, requerimentos, decisões, ordens judiciais ou contribuir com investigações, podendo ainda tomar qualquer outra medida que se faça necessária para a defesa da empresa em procedimentos judiciais e administrativos ou para dar cumprimento ao exigido em legislação.

• Potenciais sócios e compradores: Dados Pessoais poderão ser compartilhados com investidores ou quaisquer outras empresas terceiras envolvidas em negociações e/ou operações para constituição de parcerias, novas companhias, realização de investimentos ou alienação de negócios, ativos ou participações societárias da empresa (exemplos: compradores de ativos, assessores financeiros, advogados e notários).

1.5. Transferência internacional.

1.6. Proteção dos dados.

criptografadas, gestão sobre os acessos, adesão ao desenvolvimento seguro de software e políticas internas de conformidade.

1.7. Direitos dos Titulares dos Dados Pessoais.

Com o intuito de garantir a sua privacidade e a proteção de seus dados, a FortServ irá facilitar o exercício dos direitos descritos no artigo 18 da Lei 13.709/2018, Lei Geral de Proteção de Dados Pessoais, conforme aplicável, quais sejam:

• Confirmação da existência de Tratamento;

• Acesso aos dados;

• Correção de dados incompletos, inexatos ou desatualizados;

• Solicitação de anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;

• Portabilidade dos dados a outro controlador, observados os segredos comercial e industrial;

• Obtenção de informação das entidades públicas e privadas com as quais a FortServ realizou uso compartilhado de dados;

• Informação das entidades públicas e privadas com as quais o Controlador realizou uso compartilhado de dados;

• Colaboradores e Candidatos poderão exercer estes direitos enviando um e-mail para: lgpd@fortserv.com.br.

1.8. Anonimização ou Exclusão.

Dados Pessoais de Colaboradores e Candidatos serão conservados pela FortServ pelo prazo requerido ou autorizado em lei. Na ausência de obrigações legais, os Dados Pessoais serão mantidos pelo tempo necessário para a consecução das finalidades de seu Tratamento, até o momento em que tais dados não forem mais necessários ou pertinentes ao alcance destas finalidades. Uma vez findo o período de conservação, os Dados Pessoais serão excluídos ou tornados anônimos. Os Dados Pessoais também serão excluídos ou tornados anônimos se o Colaborador ou Candidato, nos casos em que a base legal aplicável for o consentimento, revogar o consentimento e solicitar o término do Tratamento respectivo.

1.9. Redes Sociais.

Dados que sejam recebidos das redes sociais pela FortServ observaram esta Política de Privacidade e Proteção de Dados Pessoais.

1.10. Reclamação a uma autoridade de controle.

https://www.gov.br/anpd/pt-br/canais_atendimento/cidadao-titular-de-dados/denuncia-de-descumprimento-da-lgpd

2 Disposições Gerais.

POLÍTICA CORPORATIVA DE SEGURANÇA DA INFORMAÇÃO

CAPÍTULO I – DAS DEFINIÇÕES, DIRETRIZES E PRINCÍPIOS

Art. 1º Para os efeitos desta Política de Segurança da Informação consideram-se as seguintes definições:

I. Segurança da Informação: conjunto de ações que tem como principal objetivo a proteção de um grupo de informações, para que seja preservado o valor que estas possuem ante um indivíduo ou empresa;

II. Informação: conjunto de conhecimento adquirido por meio do tratamento de dados;

III. Dados:

a. Dado: todo e qualquer registro existente, englobando, inclusive, os Dados Pessoais;

b. Dado Pessoal: registro relacionado a pessoa natural identificada ou identificável;

c. Dado Pessoal Sensível: registro sobre origem racial/étnica, saúde, vida sexual, caráter religioso, filosófico, político, sindical, e dados genéticos e biométricos;

d. Titular: pessoa a quem se referem os dados objeto de tratamento;

e. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados para uma determinada finalidade.

IV. Tratamento de Dados: qualquer operação realizada com os dados.

V. Risco: riscos associados à violação da confidencialidade, disponibilidade e integridade das informações tratadas pelo escritório;

VI. Incidente: ocorrência ou ameaça fundamentada que afete, de alguma forma, os dados e o seu tratamento.

VII. Comitê de Segurança da Informação: grupo formado pelo Encarregado pelo Tratamento de dados, Sócio da empresa e um profissional do RH, sendo no mínimo 3 e no máximo 5.

VIII. Encarregado de Segurança da Informação: Membro do Comitê de Segurança da Informação responsável por receber e responder quaisquer demandas decorrentes desta Política, ainda que oriundas de órgãos e pessoas externas ao escritório.

Art. 2º Firmam-se como bases desta Política os seguintes princípios:

I. Confidencialidade: garantir que o acesso ao banco de dados e às informações tratadas pelo escritório será feito apenas por pessoal devidamente autorizado;

II. Integridade: garantir que os dados contidos no escritório serão tratados com ética, para a finalidade pela qual foram coletados, e que com segurança quanto à sua qualidade;

III. Disponibilidade: garantir que os dados e as informações estejam disponíveis para acesso do pessoal autorizado sempre que necessário.

Art. 3º Para instruir o processo de tratamento dos dados, devem ser observadas as seguintes diretrizes:

I. Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II. Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III. Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV. Livre Acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados;

V. Qualidade: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI. Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII. Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII. Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX. Não Discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos e/ou abusivos;

X. Responsabilização: adoção de medidas eficazes, capazes de comprovar a observância e cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

CAPÍTULO II – DAS MEDIDAS PREVENTIVAS E DE SEGURANÇA

Art. 4º Estabelece-se a Gestão de Acessos, definindo quem pode acessar, como pode acessar e quando pode acessar o banco de dados do escritório, no intuito de garantir a confidencialidade dos dados ali armazenados.

I. Classificação de Dados: os dados são categorizados de acordo com sua criticidade para o negócio, a fim de abrandar vulnerabilidades, conforme as seguintes classes:

a. Irrestrito

b. Restrito (uso interno)

c. Confidencial

d. Secreto

II. Níveis de Acesso aos Dados: conforme as classificações apontadas acima, o Comitê de Segurança da Informação define e cataloga, deixando saber os colaboradores:

a. Qual(is) colaborador(s) pode(m) acessar o banco de dados;

b. A maneira com que estes dados podem ser acessados pelo pessoal autorizado;

c. A frequência com que estes dados podem ser acessados pelo pessoal autorizado.

III. Controle de Acessos: ratifica-se a necessidade de os acessos serem rastreáveis, para o referido controle destes.

Art. 5º Para garantir a manutenção da capacidade de lidar com cenários de risco, é imprescindível o armazenamento preventivo do banco de dados. Para tanto, cabe ao Setor de Tecnologia da Informação realizar:

I. Cópias diárias e incrementais de forma automatizada;

II. Versionamento dos arquivos;

III. Replicação em duas nuvens;

IV. Backup dos dados e Virtual Machine.

Art. 6º Para assegurar a aplicabilidade dos princípios e diretrizes dispostos nos artigos 2º e 3º desta Política, devem ser observados por todos os colaboradores, no mínimo, os seguintes procedimentos:

I. A troca de senhas (tanto do computador quanto dos softwares utilizados pelo escritório) de todo e qualquer colaborador deverá ser feita, obrigatoriamente, a cada 90 (noventa) dias corridos, ou em prazo menor quando solicitado;

II. O Setor de Tecnologia da Informação será o responsável por atestar que a troca de senhas foi realizada com sucesso junto a todos os colaboradores do escritório;

III. Caberá ao Setor de Tecnologia promover a alteração das senhas do wi-fi do escritório e dos servidores a cada 90 (noventa) dias, não podendo essa senha ser informada a qualquer colaborador. Eventual necessidade de se utilizar o wi-fi deverá ser solicitada ao Setor de Tecnologia da Informação, ao qual caberá anotar a senha diretamente no computador do solicitante;

IV. Os colaboradores não deverão acessar sites que não sejam estritamente vinculados ao trabalho realizado no escritório, sendo vedado, por exemplo, o acesso a e-mails particulares, sites de notícias, músicas, redes sociais, esportivos, entretenimento e quaisquer outros que não tenham justificativa profissional para o acesso;

V. Os colaboradores não deverão utilizar a rede do escritório (inclusive wi-fi) para fins particulares;

VI. Os colaboradores não deverão clicar em links e anexos suspeitos, tanto de sites quanto recebidos em e-mails. Na dúvida, deverão contatar o Setor de Tecnologia da Informação para buscarem maiores informações sobre os links e anexos;

VII. Os colaboradores não deverão disponibilizar o e-mail de trabalho para fins particulares, tendo ciência de que o e-mail profissional poderá ser acessado, a qualquer tempo, pela Diretoria do escritório, sem que isso caracterize violação de sigilo ou privacidade;

VIII. Os colaboradores não poderão, de forma alguma, disponibilizar a terceiros toda a produção realizada pelo escritório, estando cientes que responderão por perdas e danos caso o façam, sem prejuízo de demais penalidades aplicáveis;

IX. Os colaboradores não deverão salvar em arquivos particulares (e inclusive enviar para e-mails particulares) quaisquer dados e informações do escritório e de seus clientes, independente do formato;

X. Os colaboradores não deverão utilizar pendrives ou outros hardwares particulares nos computadores do escritório, visando a evitar eventuais contaminações de vírus;

XI. Os colaboradores não deverão utilizar pendrives ou outros hardwares do escritório para fins particulares, observando que a propriedade deles é do escritório, podendo ser acessados a qualquer tempo pela Diretoria;

XII. Os colaboradores não deverão instalar softwares particulares (ou que não tenham vinculação alguma com o trabalho profissional desenvolvido no escritório) nos computadores do escritório, sendo que toda e qualquer instalação de software deve ser feita exclusivamente pelo Setor de Tecnologia da Informação;

XIII. Os colaboradores deverão armazenar as informações na rede do DC&NC;

XIV. Os colaboradores deverão se assegurar de descartar devidamente informações que não sejam mais necessárias;

XV. Os colaboradores deverão identificar eventuais vulnerabilidades e nomeá-las ao Comitê de Segurança da Informação;

XVI. Os colaboradores deverão denunciar imediatamente incidentes ao Comitê de Segurança da Informação;

XVII. Os colaboradores que utilizarem seus computadores do escritório de forma externa deverão estar cientes da responsabilidade de guarda e conservação sobre o bem, respondendo objetivamente por todo e qualquer problema, vício, perda, extravio, furto ou roubo que ocorrer;

XVIII. Os colaboradores não deverão utilizar o telefone do escritório (fixo ou celular eventualmente disponibilizado) para fins particulares;

XIX. Os colaboradores não deverão deixar carregadores diversos ligados nas tomadas do escritório sem que estejam efetivamente em uso, evitando-se, assim, eventual sobrecarga e ocorrências mais sérias;

XX. Os colaboradores devem evitar deixar líquidos destampados e comidas em suas mesas, evitando, com isso, incidentes nos materiais do escritório;

XXI. Os coordenadores deverão observar o comportamento de sua equipe, além de inspecionar o bom uso de seus recursos.

XXII. Os colaboradores devem se manter cientes do monitoramento integral dos dispositivos fornecidos pelo escritório.

Art. 7º Também visando à implementação de medidas simples de segurança da informação, instaura-se, de imediato, a política da “mesa limpa”, por meio da qual nenhum tipo de dado ou informação pode ser deixado à vista, independente da forma, observando-se, ainda, o seguinte:

I. É obrigação de cada colaborador providenciar o bloqueio do computador sempre que se retirar da sua mesa, ainda que por curto período. Ao se ausentarem do escritório para retorno em outro dia, deverão desligar seu computador e também a tela utilizada se for apartada;

II. É obrigação de cada colaborador providenciar para que papéis, lembretes, documentos e outros sejam guardados sempre que o responsável por estes se retirar da mesa.

Art. 8º Visando à confidencialidade das informações do escritório, de seus colaboradores e de seus clientes, não é permitido utilizar como rascunhos papéis que contenham ou possa conter informações sigilosas ou protegidas por lei, tais como: contratos privados, cópias de documentos pessoais, extratos bancários, documentos que contenham algum dado sobre menores, documentos que contenham dados sensíveis de quaisquer pessoas físicas, informações pessoais de qualquer indivíduo etc.

Parágrafo único. Nas hipóteses previstas neste artigo, os papéis deverão ser previamente rasgados em partes mínimas (preferencialmente em fragmentadora) e posteriormente descartados de forma a impossibilitar seu uso ou a extração de quaisquer dados e informações.

Art. 9º Caberá ao Encarregado de Segurança da Informação, no prazo de até 120 (cento e vinte) dias corridos contados da publicação desta Política, promover um levantamento de todos os Dados Pessoais tratados no escritório, visando a garantir a sua conformidade com a legislação pátria. Esse levantamento deverá ser documentado e atestado por todos os colaboradores que participaram do levantamento.

Art. 10. Caberá ao Comitê de Segurança da Informação, juntamente com o Encarregado de Segurança da Informação, elaborar, documentar e arquivar um Plano de Gerenciamento de Riscos – PGR sempre que algum incidente ocorrer, o qual deverá conter, no mínimo, o seguinte:

I. A identificação do incidente, a data de sua ocorrência, a forma como foi apurada e as pessoas envolvidas;

II. O registro de todos os possíveis riscos/ameaças que o incidente acarretou;

III. A análise de riscos diretos e indiretos que decorram ou possam decorrer do incidente;

IV. A explanação das medidas preventivas que serão adotadas;

V. A explanação da forma de implementação de alternativas seguras;

VI. A explanação de um plano de mitigação e contingência.

Art. 11. Em consonância com o Artigo 5º, XVII, da Lei nº 13.709/2018 (LGPD), é obrigação do Comitê de Segurança da Informação a formulação de um Relatório de Impacto à Proteção de Dados Pessoais – RIPD, sempre que o tratamento de dados pessoais estiver sujeito a algum cenário de risco.

Parágrafo único. O RIPD deverá conter a descrição dos processos de tratamento de dados que podem gerar riscos às liberdades civis e aos direitos fundamentais.

Art. 12. Visando garantir a segurança das nossas informações, devem ser observados os seguintes procedimentos, referentes à Sala do Servidor:

I. O acesso é restrito, sendo liberado apenas para membros da Diretoria e das equipes de TI e Segurança da Informação;

II. Todo acesso à Sala do Servidor deve ser registrado;

III. A temperatura média deve ser mantida a 21ºC.

CAPÍTULO III – DA GARANTIA DA EFICÁCIA

Art. 13. Visando à garantia de eficácia desta PSI, fica estabelecida a obrigatoriedade de todos os colaboradores realizarem um Treinamento Periódico de Segurança da Informação, objetivando garantir a aplicabilidade das diretrizes desta Política no tratamento de dados realizados pelo escritório.

I. A formulação, estruturação e aplicação deste treinamento é de responsabilidade do Comitê de Segurança da Informação;

II. Os treinamentos deverão ser periódicos, sendo que cada colaborador deverá participar, no mínimo, a cada 12 (doze) meses corridos;

III. É obrigatório que cada colaborador tenha um documento que ateste a conclusão do treinamento;

IV. O treinamento abarcará, obrigatoriamente, uma forma de questionário a ser aplicado ao final, o qual tem por objetivo verificar se o colaborador entendeu o treinamento e se encontra suficientemente instruído sobre a Segurança da Informação;

V. Caso o colaborador não atinja a média de 60% no questionário mencionado no tópico anterior, será necessário refazer o treinamento em, no máximo, 15 (quinze) dias corridos.

Art. 14. Obriga-se o registro em Ata de qualquer reunião do escritório em que sejam tomadas decisões baseadas na presente Política, devendo ser destacado:

I. O número da ata de reunião;

II. A data, a hora de início e a hora de término;

III. O nome e a atribuição dos membros presentes;

IV. O que for decidido/estabelecido na reunião.

Art. 15. Os colaboradores declaram-se cientes que toda e qualquer situação que envolva ou tenha o potencial de envolver os pontos tratados nesta Política deverá ser comunicada de imediato ao Comitê de Segurança da Informação ou ao Encarregado de Segurança da Informação, ainda que por meio de aviso anônimo.

Art. 16. A presente Política de Segurança da Informação deverá, obrigatoriamente, ser revista em periodicidade anual, ou, quando necessário, em menor prazo, para que esteja sempre em conformidade com a legislação em vigor, inclusive a Lei Geral de Proteção de Dados.

Art. 17. O descumprimento das normas previstas nesta Política sujeita o responsável às medidas abaixo, cuja aplicação deve ser analisada pelo Comitê de Segurança da Informação e sancionada por maioria simples deste:

I. Advertência, com indicação de prazo para adoção de medidas corretivas;

II. Curso de reciclagem acerca da importância da Segurança da Informação;

III. Desligamento do colaborador.

§1º Estas sanções são aplicáveis a qualquer colaborador, seja funcionário, associado, sócio ou correspondente do escritório.

§2º A aplicação de qualquer das medidas acima não exonera o colaborador de responder por eventuais perdas e danos que causar como decorrência do descumprimento das normas desta Política.

Art. 18. A presente Política deverá ser entregue e esclarecida a todos os colaboradores, que se comprometem a observá-la, cumpri-la e respeitá-la.

São Paulo/SP, 31 de março de 2023.