POLÍTICA DE PRIVACIDADE
E PROTEÇÃO DE
DADOS PESSOAIS
Conformidade com a Lei nº 13.709/2018 (LGPD)
Versão 1.0
Documento de caráter público
Aplicável a colaboradores, clientes, fornecedores e parceiros
1. Objetivo
Esta Política estabelece as diretrizes, os princípios e as responsabilidades adotados pela Kogui Tecnologia (“Kogui”) para o tratamento de dados pessoais, em conformidade com a Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (“LGPD”) e demais normas aplicáveis.
O propósito é assegurar que toda operação de tratamento de dados pessoais realizada pela Kogui — ou por terceiros em seu nome — observe a legislação, proteja os direitos dos titulares e preserve a confiança de colaboradores, clientes e parceiros. Como empresa cuja atividade central envolve Inteligência Artificial e Ciência de Dados, a Kogui reconhece a proteção de dados como elemento essencial e indissociável de sua atuação.
2. Abrangência e Aplicação
Esta Política aplica-se a sócios, administradores, colaboradores (independentemente do regime de contratação), estagiários, prestadores de serviço e demais profissionais que tratem dados pessoais em nome da Kogui, bem como, no que couber, a fornecedores e parceiros.
A Política abrange o tratamento de dados pessoais em qualquer suporte ou meio — físico ou digital — e em todas as etapas do ciclo de vida do dado. A Kogui pode atuar em diferentes papéis conforme o contexto:
- Como controladora: quando decide sobre as finalidades e os meios do tratamento — por exemplo, no tratamento de dados de seus colaboradores, candidatos e contatos comerciais.
- Como operadora: quando trata dados pessoais por conta e ordem de um cliente, no âmbito de projetos de IA, Ciência de Dados, automação ou anotação de dados, observando as instruções e os contratos firmados.
A definição do papel em cada relação será formalizada contratualmente, com a correspondente distribuição de responsabilidades.
3. Definições
Para os fins desta Política, aplicam-se as definições da LGPD, dentre as quais:
| Termo | Definição |
| Dado pessoal | Informação relacionada a pessoa natural identificada ou identificável. |
| Dado pessoal sensível | Dado sobre origem racial ou étnica, convicção religiosa, opinião política, saúde, vida sexual, dado genético ou biométrico, entre outros. |
| Titular | Pessoa natural a quem se referem os dados pessoais objeto de tratamento. |
| Tratamento | Toda operação com dados pessoais, como coleta, uso, acesso, armazenamento, compartilhamento e eliminação. |
| Controlador | Quem decide sobre as finalidades e os meios do tratamento. |
| Operador | Quem realiza o tratamento em nome do controlador. |
| Encarregado (DPO) | Pessoa indicada para atuar como canal de comunicação entre controlador, titulares e a ANPD. |
| ANPD | Autoridade Nacional de Proteção de Dados. |
| Anonimização | Processo que torna o dado não associável, direta ou indiretamente, a um indivíduo. |
4. Princípios do Tratamento de Dados
Todo tratamento de dados pessoais pela Kogui observa os princípios estabelecidos no art. 6º da LGPD:
- Finalidade: tratamento para propósitos legítimos, específicos e informados ao titular.
- Adequação: compatibilidade do tratamento com as finalidades informadas.
- Necessidade e minimização: limitação ao mínimo necessário para atingir a finalidade.
- Livre acesso: garantia de consulta facilitada sobre a forma e a duração do tratamento.
- Qualidade dos dados: exatidão, clareza e atualização dos dados conforme a necessidade.
- Transparência: informações claras e acessíveis sobre o tratamento.
- Segurança e prevenção: medidas aptas a proteger os dados e a prevenir incidentes.
- Não discriminação: vedação ao tratamento para fins discriminatórios ilícitos ou abusivos.
- Responsabilização e prestação de contas: demonstração da adoção de medidas eficazes de conformidade.
5. Papéis e Responsabilidades
A governança de proteção de dados na Kogui distribui responsabilidades entre diferentes papéis:
- Alta administração: patrocina o programa de privacidade, aprova esta Política e provê os recursos necessários.
- Encarregado pelo Tratamento de Dados (DPO): atua como canal de comunicação com titulares e ANPD, orienta sobre práticas de conformidade e acompanha o programa.
- Líderes de área: asseguram que as atividades sob sua responsabilidade observem esta Política.
- Colaboradores e prestadores: tratam dados apenas conforme autorizado, comunicam incidentes e seguem as diretrizes de segurança.
Contato do Encarregado (DPO):
| Encarregado (DPO) | [inserir nome do Encarregado] |
| dpo@kogui.com.br |
6. Bases Legais para o Tratamento
A Kogui realiza o tratamento de dados pessoais somente quando amparada por uma das bases legais previstas na LGPD (art. 7º), tais como: o consentimento do titular; o cumprimento de obrigação legal ou regulatória; a execução de contrato ou de procedimentos preliminares; o exercício regular de direitos; a proteção da vida; a tutela da saúde; o legítimo interesse; e a proteção do crédito, entre outras hipóteses aplicáveis.
O tratamento de dados pessoais sensíveis observa as hipóteses específicas do art. 11 da LGPD. A base legal de cada atividade de tratamento é definida previamente e registrada, e o legítimo interesse, quando utilizado, é objeto de avaliação que pondera as expectativas do titular e seus direitos e liberdades fundamentais.
7. Ciclo de Vida e Registro das Operações de Tratamento
A Kogui mantém controle sobre o ciclo de vida dos dados pessoais que trata — coleta, uso, armazenamento, compartilhamento e eliminação — de modo a assegurar que cada etapa atenda à finalidade declarada e às bases legais aplicáveis.
A empresa mantém e atualiza o Registro das Operações de Tratamento de Dados Pessoais (ROPA), contendo, ao menos, as finalidades, as categorias de dados e de titulares, as bases legais, os compartilhamentos e os prazos de retenção, de forma a demonstrar conformidade e apoiar a prestação de contas.
8. Direitos dos Titulares
A Kogui respeita e assegura o exercício dos direitos previstos no art. 18 da LGPD, dentre os quais:
- confirmação da existência de tratamento e acesso aos dados;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
- portabilidade dos dados, observados os limites legais e os segredos comercial e industrial;
- eliminação dos dados tratados com consentimento, ressalvadas as hipóteses de conservação previstas em lei;
- informação sobre compartilhamentos e sobre a possibilidade de não fornecer consentimento e suas consequências;
- revogação do consentimento.
As requisições podem ser encaminhadas ao Encarregado e serão atendidas nos prazos e termos da LGPD. Quando a Kogui atuar como operadora, as solicitações recebidas serão encaminhadas ao respectivo controlador, conforme contrato.
9. Consentimento
Quando o consentimento for a base legal aplicável, ele será coletado de forma livre, informada, inequívoca e para finalidades específicas, sendo vedado o tratamento posterior incompatível com tais finalidades. O titular poderá revogar o consentimento a qualquer momento, por procedimento gratuito e facilitado, sem prejuízo da licitude do tratamento realizado antes da revogação.
10. Dados Sensíveis, de Crianças e de Adolescentes
O tratamento de dados pessoais sensíveis recebe proteção reforçada e ocorre apenas nas hipóteses legais, com medidas de segurança proporcionais ao risco. O tratamento de dados de crianças e de adolescentes, quando ocorrer, observará o melhor interesse do titular e os requisitos específicos da LGPD, incluindo, quando aplicável, o consentimento de um dos pais ou do responsável legal.
11. Compartilhamento com Terceiros e Operadores
A Kogui somente compartilha dados pessoais quando houver base legal e finalidade legítima, e mediante salvaguardas adequadas. Fornecedores e parceiros que tratem dados em nome da Kogui são submetidos a avaliação e a instrumentos contratuais que estabeleçam obrigações de proteção de dados, confidencialidade e segurança.
- Formalização de cláusulas ou acordos de tratamento de dados que definam finalidades, instruções e responsabilidades.
- Limitação do compartilhamento ao estritamente necessário à finalidade.
- Exigência de medidas de segurança compatíveis com as adotadas pela Kogui.
12. Transferência Internacional de Dados
Eventuais transferências internacionais de dados pessoais observarão as hipóteses e as garantias previstas na LGPD, assegurando nível de proteção adequado, por meio de mecanismos como cláusulas contratuais específicas, normas corporativas globais ou outras salvaguardas reconhecidas pela ANPD.
13. Segurança da Informação e Medidas Técnicas e Organizacionais
A Kogui adota medidas técnicas e organizacionais aptas a proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Tais medidas são revisadas periodicamente e podem incluir:
- controle de acesso baseado na necessidade de conhecer e no menor privilégio;
- uso de criptografia e de mecanismos de autenticação adequados;
- segregação de ambientes e proteção de redes e dispositivos;
- registros de acesso e trilhas de auditoria;
- políticas de senhas, backup e continuidade;
- conscientização e capacitação periódica das equipes.
14. Gestão de Incidentes de Segurança
A Kogui mantém processo para identificar, registrar, avaliar e responder a incidentes de segurança envolvendo dados pessoais. Qualquer pessoa que tome conhecimento de um possível incidente deve comunicá-lo imediatamente ao Encarregado ou à área responsável.
Diante de incidente que possa acarretar risco ou dano relevante aos titulares, a Kogui avaliará a necessidade de comunicação à ANPD e aos titulares afetados, em prazo razoável, conforme a LGPD e a regulamentação aplicável. Quando atuar como operadora, a Kogui comunicará o incidente ao controlador, conforme contratado, apoiando as medidas cabíveis.
15. Retenção e Eliminação de Dados
Os dados pessoais são mantidos apenas pelo tempo necessário ao cumprimento das finalidades que justificaram sua coleta ou ao atendimento de obrigações legais, regulatórias ou contratuais. Encerrada a necessidade, os dados são eliminados de forma segura ou anonimizados, ressalvadas as hipóteses de conservação previstas em lei.
16. Privacy by Design, by Default e Avaliação de Impacto
A Kogui busca incorporar a proteção de dados desde a concepção (privacy by design) e por padrão (privacy by default) em seus processos, produtos e soluções. Para atividades que possam gerar risco mais elevado aos direitos e liberdades dos titulares, poderá ser elaborado o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), contendo a descrição do tratamento, os riscos e as medidas de mitigação adotadas.
17. Proteção de Dados em Projetos de IA e de Clientes
Em razão de sua atividade, a Kogui frequentemente trata dados pessoais fornecidos por clientes no contexto de projetos de Inteligência Artificial, Ciência de Dados, automação e anotação de dados. Nesses casos, a Kogui atua, em regra, como operadora e observa as seguintes diretrizes:
- tratar os dados estritamente conforme as instruções e finalidades definidas pelo cliente (controlador) e formalizadas em contrato;
- não utilizar dados de clientes para finalidades próprias não autorizadas, incluindo o treinamento de modelos, salvo previsão contratual expressa e base legal adequada;
- aplicar técnicas de minimização, pseudonimização ou anonimização quando compatíveis com a finalidade;
- assegurar a confidencialidade e a segurança dos dados durante todo o ciclo do projeto e na sua devolução ou eliminação ao término.
As diretrizes de uso responsável de Inteligência Artificial da Kogui complementam esta Política no que se refere a transparência, mitigação de vieses e supervisão humana.
18. Treinamento e Conscientização
A Kogui promove ações de capacitação e conscientização sobre proteção de dados, de modo que as pessoas que tratam dados pessoais compreendam suas responsabilidades e as boas práticas aplicáveis. A conscientização é contínua e acompanha a evolução das atividades e da regulamentação.
19. Relacionamento com a ANPD
A Kogui mantém postura cooperativa e transparente perante a Autoridade Nacional de Proteção de Dados, atendendo a solicitações e determinações nos termos da legislação, por intermédio do Encarregado e das áreas responsáveis.
20. Gestão, Revisão e Vigência
Esta Política entra em vigor na data de sua divulgação e permanece válida por prazo indeterminado. Será revisada periodicamente e sempre que houver mudanças legais, regulatórias ou de negócio que o justifiquem. O descumprimento desta Política pode ensejar medidas disciplinares, conforme o Código de Ética e Conduta e a legislação aplicável.
Dúvidas sobre a interpretação e a aplicação desta Política devem ser encaminhadas ao Encarregado (DPO) ou à área responsável pela governança e conformidade da Kogui.