Políticas de privacidade e proteção de dados pessoais

Introdução

A LAPDAR - LABORATORIO PEDAGOGICO DIGITAL PARA O APRIMORAMENTO DE ROTINAS LTDA tem como um de seus valores a manutenção do sigilo e proteção dos dados que são confiados à empresa no exercício de suas atividades e está comprometida com a proteção de dados e informações pessoais que são compartilhados pelos usuários conforme definido abaixo.

Essa política define como os dados são protegidos nos processos de coleta, registro, armazenamento, uso, compartilhamento, enriquecimento e eliminação, para além da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados).

A LAPDAR - LABORATORIO PEDAGOGICO DIGITAL PARA O APRIMORAMENTO DE ROTINAS LTDA licencia seu sistema e permite o armazenamento de informações relacionadas ao desempenho acadêmico, assegurando a análise e acompanhamento de alunos, turmas, professores e escolas.

As informações armazenadas na plataforma têm o objetivo exclusivo de:

• Acompanhar o desempenho dos alunos em questões e simulados, permitindo a avaliação e a melhoria contínua do processo de ensino-aprendizagem.
• Analisar o rendimento de turmas e professores, oferecendo insights que contribuam para a melhoria da qualidade do ensino.
• Gerar relatórios e análises de desempenho educacional, com o intuito de identificar tendências e apoiar a tomada de decisões pedagógicas.
• Facilitar a comunicação entre escolas, professores e alunos, incentivando a participação ativa no desenvolvimento educacional dos alunos.

Recomendamos a leitura cuidadosa deste documento.

Tais dados serão tratados em conformidade com a LGPD e outras leis aplicáveis, e serão acessíveis apenas por profissionais autorizados da área, para fins exclusivamente relacionados às finalidades mencionadas. Ademais, a LAPDAR adota medidas técnicas e organizacionais de segurança para garantir a proteção adequada dos dados pessoais, incluindo a criptografia e o controle de acesso.

O sistema de educação é utilizado apenas para processamento e armazenamento de informações de alunos do ensino público com o objetivo acadêmico.

O software é desenvolvido e todos os dados são mantidos para apoiar as atividades públicas com objetivo de atender a Lei 9.394 de 20 de dezembro de 1996.

A coleta de dados é realizada apenas por usuários devidamente cadastrados pelos órgãos públicos que utilizam o sistema de educação da LAPDAR. A responsabilidade de cadastro dos usuários também é responsabilidade destes órgãos públicos.

Definições

Dados pessoais: a lei brasileira define "dado pessoal" como todo aquele que se refira a uma pessoa física identificada ou identificável. Na prática, a expressão compreende todo dado que permite identificar uma pessoa, como por exemplo: nome, CPF, n° de identidade, fotografia, etc. Além disso, os dados pessoais podem ser sensíveis ou não.

Usuário: pessoa física que interaja com o software de educação em situações onde tenha a possibilidade de disponibilizar seus dados pessoais. Exemplos: pessoas que utilizam o sistema através do seu website, funcionários, terceiros ou prestadores de serviços, dentre outros.

Usuário aluno: pessoa física que interaja com o software de educação em situação onde tenha acesso às informações de desempenho e aos conteúdos, simulados e questões disponíveis na plataforma.

Usuário profissional: pessoa física que interaja com o software de educação em situação onde o mesmo alimente o sistema com informações da educação. Este usuário é responsável por alimentar o sistema de educação, este usuário tem acesso a diversas informações no sistema. Quem determina as políticas de acesso deste profissional é o CONTRATANTE do sistema.

Cookies: são arquivos de informação que são armazenados no seu computador ou dispositivos móveis através do navegador de internet (browser). Estes arquivos permitem que, durante um período de tempo, um website “se lembre” das ações e preferências registradas em nome do Usuário. O uso de cookies existe para que o Usuário, ao regressar a um website que já visitou, não tenha, em princípio, que indicar novamente as suas preferências de navegação (idioma, fonte, forma de visualização etc). Os cookies podem ser persistentes ou de sessão.

Cookies persistentes: permanecem no computador do usuário mesmo após fechar a sessão ou até a sua exclusão.

Cookies de sessão: expiram quando o usuário fecha o navegador.

Termo de consentimento: documento que coleta manifestação favorável ao tratamento dos dados pessoais para finalidades determinadas.

Sistema de educação: software de educação, de propriedade da LAPDAR, que é utilizado pela contratante para realizar o gerenciamento das informações da Educação. É acessado através de um endereço único na internet (link), usando um browser ou através de aplicativo para celular.

Contratante: pessoa jurídica que contrata a licença de uso por tempo determinado do sistema de educação de propriedade da LAPDAR.

Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.

Anonimização: anonimização é a técnica de tornar os dados pessoais irreversivelmente dissociados de uma pessoa, de forma que não seja possível identificá-la a partir desses dados.

Coleta de dados pessoais

A coleta de dados pessoais é realizada pela contratante; isso é necessário para que os usuários possam realizar os atendimentos de educação adequados às necessidades da educação e de seus alunos, armazenando de forma sistemática seus dados da educação.

Ao solicitar dados pessoais, a contratante poderá solicitar, caso seja necessário, o consentimento do usuário por meio do termo de consentimento, seguindo e cumprindo as obrigações legais e regulatórias.

A utilização do sistema de educação, desenvolvido pela LAPDAR, não implica necessariamente a disponibilização de dados pessoais, e deverá ser utilizado apenas para fins acadêmicos com a organização da administração da educação e para a guarda da escrituração do aluno.

Para o registro da escrituração escolar e, para atendimentos virtuais, com objetivo de dar treinamento, aulas e materiais de apoio, é necessário o fornecimento de dados pessoais, que serão coletados por profissionais da contratante, que realizará o registro das informações no sistema de educação.

Os dados pessoais solicitados devem ser informados para que seja possível dar sequência ao funcionamento da educação. Outros dados pessoais e dados pessoais sensíveis poderão ser solicitados de acordo com a necessidade da contratante.

Todo o processo de coleta de dados é de responsabilidade da contratante e de seus funcionários, terceiros ou prestadores de serviços e outros que a mesma utiliza para realizar o trabalho relacionado à educação.

A coleta de dados dos usuários, que são funcionários, terceiros ou prestadores de serviços e outros que a mesma utiliza para realizar os atendimentos no sistema de educação, são realizados pela própria contratante, sendo coletados com o objetivo exclusivo de realizar a escrituração do aluno e da administração da educação, necessários para assegurar a educação do aluno.

Os consentimentos e treinamento em política de segurança dos Usuários são de responsabilidade do contratante, que deverá manter os registros do consentimento armazenados, conforme legislação pertinente.

A contratante deverá manter uma política de segurança da informação alinhada com a legislação vigente, principalmente, mas não tão somente, com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados) de forma a dar toda proteção necessária ao processamento e guarda da informação.

Utilização de dados pessoais

O contratante é a entidade responsável pelo tratamento dos dados pessoais dos seus usuários e alunos; é o agente controlador, a quem compete o poder de decisão do uso dos dados.

A LAPDAR é responsável pelo armazenamento das informações em um banco de dados e também pela manutenção do sistema de educação, onde são aplicadas modernas práticas de segurança da informação em todo o processo de desenvolvimento e armazenamento dos dados.

Os dados pessoais dos seus usuários coletados deverão ser tratados para efeitos de prestação de serviços para a eficiência da administração da educação, incluindo gestão dos sistemas e demais serviços, auditoria e melhoria contínua dos mesmos.

Compartilhamento de dados pessoais

Haverá transmissão e comunicação de dados pessoais entre os departamentos da contratante, com acesso de colaboradores designados, sempre que necessário, para possibilitar a melhor experiência e atendimento à necessidade do aluno e da administração da educação.

A LAPDAR não compartilha nenhum dado pessoal, apenas armazena esses dados em sua estrutura de banco de dados.

A contratante poderá transmitir dados pessoais dos Usuários a terceiros quando tais comunicações de dados se tornem necessárias ou adequadas (i) à luz da lei aplicável, (ii) no cumprimento de obrigações legais/ordens judiciais, (iii) por determinação da Autoridade Nacional de Proteção de Dados ou de outra autoridade de controle competente, (iv) para responder a solicitações de autoridades públicas ou governamentais, ou (v) para assegurar a tutela da educação.

Informação de contato do encarregado da proteção de dados

Kaio Spacini — Data Protection Officer (DPO) — cpd@lapdar.tec.br

Segurança dos dados pessoais

Para garantir a privacidade e segurança na transmissão dos dados pessoais estamos em constante evolução tecnológica, seguindo as mais modernas políticas de segurança do mercado, utilizando as seguintes estratégias:

Bancos de dados

• Infra-estrutura virtualizada, elástica e automaticamente dimensionada;
• Banco de dados Mysql;
• Todas as comunicações de rede são realizadas sob HTTPS (proteção contra MITM);
• A própria aplicação possui mecanismos contra brute-force;
• Infra-estrutura possui ferramentas contra DDoS;
• Senhas no banco de dados são criptografadas com algoritmos modernos e salt;
• Atualizações automáticas de segurança;
• Controle de falhas com correções automáticas;

Todas as aplicações

• Fazemos uso de bibliotecas open-source, o que nos permite ter livre acesso e uso das mesmas;
• Toda infraestrutura está versionada em repositório privado, facilitando a recuperação do ambiente produtivo com o menor prazo possível;

Sistemas de arquivos

• O armazenamento das informações geradas pelo sistema é realizado em servidores contratados, garantindo a segurança e a integridade dos dados. Todos os arquivos gerados pela plataforma ou enviados pelos usuários são armazenados de maneira segura. O acesso a esses arquivos é restrito e controlado, permitindo apenas a autenticação de usuários autorizados.
• Para assegurar a proteção das informações, a LAPDAR realiza backups regulares no próprio servidor, além de manter um servidor secundário de backup. Essa estratégia assegura a redundância dos dados e contribui para a continuidade das operações, minimizando riscos de perda de informações.

Sistema de educação

• Todos os parâmetros utilizados nos endpoints/urls têm proteção contra SQL Injection;
• Todos os endpoints do sistema contam com autenticação via usuário e senha;
• Os endpoints de integração com os serviços (API do app) são autenticados via chave única de integração;

API do aplicativo/web para alunos e profissionais

• Proteção SSL;
• Todos os endpoints são restritos/autenticados;
• Na API não armazenamos nenhuma informação sobre dados pessoais;
• As senhas são salvas em banco, todas criptografadas (criptografia de mão única);

API do gestor de impressos

• Proteção SSL;
• Todos os endpoints são restritos/autenticados;
• Na API não armazenamos nenhuma informação sobre dados pessoais.

Aplicativo para alunos e profissionais

• Faz uso de câmera apenas para ler o código QR (não armazenando nenhum tipo de dado), correção de gabaritos e realidade aumentada;
• Solicita permissão para envio de push notifications;
• Localmente só armazena temporariamente os dados até o momento da sincronização e o token dinâmico para realizar as requisições;
• Contempla os termos de uso que devem ser aceitos antes de fazer uso do app;
• Caso os termos de uso sejam alterados, podemos solicitar que o usuário leia e aceite novamente a qualquer momento.

Segurança aplicada no sistema de educação

• A senha é armazenada em banco de dados, de forma codificada por algoritmo de hash aberto (público) de no mínimo 160 bits;
• As codificações das senhas de acesso dos usuários são protegidas contra acesso não autorizado. Apenas o usuário do banco de dados, utilizado pela aplicação, tem acesso aos mesmos;
• Qualidade da senha: a qualidade da senha é verificada no momento de sua definição, obrigando a utilização de, no mínimo, 8 caracteres;
• Troca de senha: o usuário do sistema de educação é capaz de efetuar troca de senha de seu usuário no sistema;
• Troca forçada de senha: o sistema de educação é capaz de solicitar a troca de senha de usuário(s) no próximo login por solicitação do administrador ou gestor de acessos (ex. caso de comprometimento da segurança do banco de dados e/ou aplicação);
• Igualdade de senha: os processos de troca de senha exigem que a nova senha seja diferente da imediatamente anterior àquela já utilizada pelo usuário;
• O Sistema de Educação possui mecanismos para bloquear a conta deste usuário no Sistema de Educação após um número máximo configurável de tentativas consecutivas de login com autenticação inválida, que não exceda a 10 tentativas;
• Após o bloqueio de conta de um usuário, o sistema só irá permitir login deste após o desbloqueio de sua conta de usuário;
• A sessão de comunicação remota entre cliente e servidor possui controles de segurança que impedem o roubo ou reuso da sessão do usuário;
• As credenciais de acesso não são transmitidas entre as partes na forma de texto claro;
• Não é possível para qualquer usuário do sistema desativar ou desabilitar tais controles;

Os profissionais, funcionários ou terceirizados da LAPDAR podem ter acesso ao Sistema de Educação, caso a contratante solicite alguma manutenção que, por ventura, necessite da intervenção direta no Sistema de Educação. Porém, nunca será concedido acesso aos usuários da LAPDAR sem o devido log de usuário e será acessado somente em casos de urgência para dar continuidade em processos que visam assegurar o registro das informações.

Todos os profissionais envolvidos na manutenção, evolução e segurança de dados da LAPDAR têm contrato de confidencialidade que prevê responsabilização por tratar de dados sensíveis.

Políticas para recuperação de desastres

Em casos de problemas causados por falhas de hardware, software e/ou desastres naturais, dependendo do nível do problema, as seguintes ações deverão ser tomadas:

• Em casos mais simples, onde a infraestrutura de rede apresenta falha na distribuição da aplicação, causando indisponibilidade nos acessos, o processo consiste na identificação de recursos afetados pela falha e criação de novos, com isso, pode haver interrupções momentâneas durante o processo;
• Em casos onde a infraestrutura de rede e máquinas foi comprometida, causando indisponibilidade completa no sistema, o processo consiste na criação de uma nova estrutura, garantindo o uso de novos recursos em todas as camadas, fazendo uso das mesmas regras e políticas de acesso definidas na estrutura base;
• Em casos onde a infraestrutura completa (exceto dados) foram comprometidos, realiza-se a criação de uma nova estrutura em outra região geográfica, garantindo isolamento e novos recursos para todas as camadas, evitando assim que a aplicação seja impactada por novos eventos e reduzindo a possibilidade de danos maiores;
• Em casos onde a infraestrutura completa e os dados foram comprometidos, o processo consiste em recuperar a última cópia íntegra dos dados (conforme políticas de backups), criação de novos recursos, garantindo total isolamento da estrutura afetada, mantendo a configuração completa da estrutura e políticas de acesso definidas, independente da infraestrutura utilizada para realização da recuperação. Para estes casos, pode haver, também, a necessidade de utilização de outro domínio/subdomínio.

Em todos os casos onde conclui-se que possa haver qualquer nível de impacto na garantia de segurança da informação, todos os seguintes acessos serão alterados:

• Chaves de acesso aos arquivos do sistema;
• Credenciais de acesso ao banco de dados;
• Chaves de integração com sistemas proprietários e/ou de terceiros;
• Tokens de acesso;
• Senhas dos usuários (exigindo a alteração da mesma no próximo acesso).

Transferência internacional de dados

A LAPDAR não aluga, vende e tampouco libera dados a terceiros com a finalidade de permitir qualquer comercialização de seus serviços, mas informa que seus dados poderão ser transferidos e mantidos em ambiente fora do seu município, estado ou país onde as leis de proteção de dados podem ser diferentes das vigentes no Brasil, mas asseguram grau de proteção de dados pessoais adequado ao previsto na Lei Geral de Proteção de Dados.

Tomaremos todas as medidas razoavelmente necessárias para garantir que seus dados sejam tratados de forma confiável, segura e de acordo com esta política de privacidade.

Conservação de dados pessoais

Os dados são conservados pelo período estritamente necessário para cada uma das finalidades descritas acima e/ou de acordo com prazos legais vigentes. Em caso de litígio pendente, os dados podem ser conservados até trânsito em julgado da decisão.

Adicionalmente, a LAPDAR afirma que manterá em funcionamento todos os meios técnicos ao seu alcance para evitar a perda, má utilização, alteração, acesso não autorizado e apropriação indevida dos dados pessoais de seus usuários, pacientes e clientes. Em qualquer caso, note-se que, circulando os dados em rede internet aberta, não é possível eliminar totalmente o risco de acesso e utilização não autorizados, pelo que o usuário deverá programar medidas de segurança adequadas para a navegação no website.

A contratante deverá implementar políticas de segurança da informação de maneira a mitigar a segurança de sua infraestrutura tais como computadores, internet, sistema operacional e, principalmente, ataques sociais, criando ambientes seguros para a utilização do sistema de educação licenciados.

Cookies e tecnologias semelhantes

A LAPDAR utiliza cookies apenas como um token de validação de autenticação e controle de expiração.

Também é utilizado o Web Storage ou armazenamento local para que algumas informações temporárias sejam armazenadas no computador que está sendo utilizado no acesso ao sistema de educação. São usadas para recuperação de dados em caso de perda de energia, perda de internet, entre outros.

Tecnologias de rastreabilidade - Monitoramento de tráfego

A LAPDAR utiliza uma ferramenta que monitora o tráfego do Sistema de Educação. O objetivo principal é saber e entender o comportamento do usuário ao navegar pelas páginas do sistema.

Essa ferramenta é utilizada para corroborar na comprovação da utilização volumétrica do sistema, usada também para entender o comportamento do usuário ao utilizar as funcionalidades do sistema de educação.

Nenhuma informação de dados pessoais ou de dados pessoais sensíveis são passados para essa ferramenta.

Direitos dos usuários

Nos termos da legislação aplicável, os titulares de dados pessoais possuem diversos direitos, tais como:

• Direito de acesso: os titulares de dados têm o direito de solicitar e obter informações sobre o tratamento de seus dados pessoais, incluindo quais dados estão sendo coletados, como estão sendo usados e compartilhados, e por quanto tempo serão mantidos;
• Direito de retificação: os titulares de dados têm o direito de solicitar a correção de dados pessoais incorretos, incompletos ou desatualizados;
• Direito de exclusão ou esquecimento: no sistema de educação as informações coletadas não podem ser excluídas em razão da necessidade legal de manter a escrituração do aluno. Os documentos registrados no sistema têm a característica de documentação permanente, de maneira que devem ser mantidos por um período maior que 20 anos. As informações dos profissionais da educação devem ser mantidas, também, como documentação permanente;
• Direito de oposição: os titulares de dados têm o direito de se opor ao tratamento de seus dados pessoais para certas finalidades, como para fins de marketing direto;
• Direito à portabilidade: os titulares de dados têm o direito de receber uma cópia dos seus dados pessoais em formato estruturado e interoperável, de forma que possam ser transferidos para outro fornecedor de serviços.

A contratante, nos termos da legislação aplicável, poderá disponibilizar ao titular do dado a possibilidade de, a qualquer tempo, solicitar o acesso aos dados que lhe digam respeito. Para tanto, o Sistema de Educação possibilita a impressão da documentação da vida escolar dos alunos, bem como informações administrativas para os profissionais e usuários do sistema, através de funcionalidades específicas para este fim.

Quanto a informações de alunos, como faltas e notas, são disponibilizadas para serem acessadas pelos mesmos em plataformas online.

Para acessar esta funcionalidade é obrigatório ter acesso específico, com proteção de dados, de forma que o aluno ou responsável por este tenha acesso às informações apenas se estiver devidamente cadastrado e corretamente vinculado ao aluno.

Ferramentas de terceiros

Através de seu Sistema de Educação, a LAPDAR disponibiliza conexão para aplicativo de terceiro, como a ferramenta de BI - business intelligence, onde são tratadas outras Políticas de Privacidade de dados e Uso de cookies. Porém, todos os dados pessoais e sensíveis enviados a esta ferramenta têm a garantia de terem sido anonimizados, sem qualquer possibilidade de serem retrocedidos ao estado original.

Reclamações e dúvidas

Caso tenha qualquer dúvida relacionada com o tratamento dos dados pessoais e com os direitos que são conferidos pela legislação aplicável e, em especial, referidos nesta Política, poderá acionar a LAPDAR - LABORATORIO PEDAGOGICO DIGITAL PARA O APRIMORAMENTO DE ROTINAS LTDA, através do e-mail: contato@lapdar.tec.br.

O usuário tem ainda o direito de apresentar uma reclamação à Autoridade Nacional de Proteção de Dados conforme previsto em lei.

Alterações à política de privacidade e cookies

Poderemos alterar esta Política de Privacidade de dados e Uso de Cookies a qualquer momento. Estas alterações serão devidamente disponibilizadas e, caso represente uma alteração substancial relativamente à forma como os seus dados serão tratados, a LAPDAR manterá contato com a contratante, conforme dados disponibilizados.