Esta Política de Protección de Datos establece las formas en que RAMO SISTEMAS DIGITAIS, sociedad de responsabilidad limitada, con domicilio social en la Ciudad de São Paulo, Estado de São Paulo, en Av. Queiroz Filho, 1700, Torre A, cj. 405, Código Postal: 05319-000, Vila Hamburguesa, registrada en el CNPJ con el nº 51.432.326/0001-29, (“RAMO”) recopila, accede, procesa, almacena, usa, protege, comparte y de otra manera trata los datos personales proporcionados por nuestros clientes, proveedores, socios u otros titulares que, de cualquier forma, tengan relaciones con RAMO.

1. Introducción

En sus operaciones comerciales diarias, RAMO utiliza una variedad de datos sobre personas, incluidos empleados actuales, anteriores y potenciales, clientes, clientes potenciales, usuarios de sus sitios web, proveedores y otras partes interesadas.

Al recopilar y utilizar estos datos, la organización está sujeta a una variedad de leyes que determinan cómo deben llevarse a cabo dichas actividades y cuáles son las consecuencias si no se cumplen estas determinaciones.

De esta forma, RAMO establece su POLÍTICA GENERAL DE PROTECCIÓN DE DATOS PERSONALES (PGPDP), como parte integral de su sistema de gestión empresarial, compatible con las exigencias de la legislación brasileña, además de las buenas prácticas y estándares internacionalmente aceptados, con el objetivo de garantizar niveles adecuados de protección a los datos personales tratados por la organización.

Este control aplica a todas las operaciones, personas y procesos que conforman el sistema de información de la organización, incluyendo directores, empleados, proveedores y otros terceros que tengan acceso a los datos tratados por RAMO.

El objetivo de la Protección de Datos es asegurar la gestión sistemática y eficaz de todos los aspectos relacionados con la protección de los datos personales y los derechos de sus titulares, proporcionando soporte a las operaciones críticas del negocio y minimizando los riesgos identificados y sus potenciales impactos en la organización.

El Consejo de Administración y el Comité de Gestión de Protección de Datos Personales están comprometidos con la gestión eficaz de la Protección de Datos Personales en RAMO. Por lo tanto, adoptan todas las medidas adecuadas para garantizar que esta política se comunique, comprenda y siga adecuadamente en todos los niveles de la organización.

2. Propósito

Esta política tiene como objetivo establecer pautas de Protección de Datos que permitan a RAMO:

• realizar el tratamiento de datos personales, de acuerdo con la legislación brasileña;
• brindar orientación sobre la adopción de controles técnicos y administrativos para cumplir con los requisitos en materia de Protección de Datos Personales, de conformidad con la legislación vigente;
• proteger a los titulares de los datos personales que sean objeto de tratamiento por RAMO, garantizando los derechos fundamentales de libertad y privacidad y el libre desarrollo de la personalidad de la persona natural;
• prevenir posibles causas de violaciones de datos personales e incidentes de seguridad de la información relacionados con el procesamiento de datos personales;
• minimizar los riesgos de pérdida financiera, pérdida de participación de mercado, pérdida de confianza del cliente o cualquier otro impacto negativo en el negocio de RAMO como resultado de violaciones de datos.

3. Aplicabilidad

Esta política se aplica a cualquier operación de procesamiento de datos personales realizada por RAMO, independientemente del medio o el país donde se encuentren los datos. El cumplimiento de esta Política es obligatorio y refleja la legislación y normativa aplicable relacionada con la Ley General de Protección de Datos.

 4. Referencias

Ley 13.709/2018 – Ley General de Protección de Datos Personales.

Ley 12.965/2014 – Marco de Derechos Civiles en Internet.

 5. Glosario

Existen varias definiciones enumeradas en la LGPD, sin embargo, las definiciones más fundamentales en relación con esta política son las siguientes:

Anonimización: utilización de medios técnicos razonables disponibles en el momento del tratamiento, mediante los cuales los datos pierden la posibilidad de asociación, directa o indirectamente, con un individuo;

Autoridad Nacional de Protección de Datos Personales: órgano de la administración pública responsable de supervisar, implementar y monitorear el cumplimiento de la Ley General de Protección de Datos Personales (LEY Nº 13.709, DE 14 DE AGOSTO DE 2018) en todo el territorio nacional brasileño;

Bloqueo: suspensión temporal de cualquier operación de tratamiento, mediante conservación de los datos personales o de la base de datos;

Comité de Gestión de Protección de Datos Personales – CGPDP: Grupo de trabajo multidisciplinario permanente, constituido por el consejo directivo de RAMO y formalizado en acta de la reunión constitutiva, cuyo objeto es abordar cuestiones relacionadas con la Protección de Datos Personales;

Consentimiento: manifestación libre, informada e inequívoca mediante la cual el titular consiente el tratamiento de sus datos personales para una finalidad específica;

Responsable del tratamiento: persona física o jurídica, de derecho público o privado, responsable de decisiones relativas al tratamiento de datos personales;

Datos Anonimizados: datos relativos al titular que no pueden ser identificados, considerando el uso de medios técnicos razonables y disponibles en el momento de su tratamiento;

Datos Personales Sensibles: datos personales sobre el origen racial o étnico, las creencias religiosas, la opinión política, la afiliación a un sindicato u organización de carácter religioso, filosófico o político, datos relativos a la salud o a la vida sexual, datos genéticos o biométricos, cuando estén vinculados a una persona física;

Datos Personales: información relativa a una persona física identificada o identificable;

Supresión: exclusión de un dato o de un conjunto de datos almacenados en una base de datos, independientemente del procedimiento utilizado;

Operador: persona física o jurídica, de derecho público o privado, que trata datos personales por cuenta del responsable del tratamiento;

Ramovers: Se entiende como tales a empleados de RAMO, proveedores de servicios y terceros.

Seguridad de la información: la preservación de las propiedades de confidencialidad, integridad y disponibilidad de la información RAMO.

Titular: persona física a la que se refieren los datos personales que sean objeto de tratamiento;

Tratamiento de datos personales: cualquier operación realizada con datos personales, como las relativas a la recogida, producción, recepción, clasificación, utilización, acceso, reproducción, transmisión, distribución, elaboración, archivo, almacenamiento, eliminación, evaluación o control de la información, modificación, comunicación, transferencia, difusión o extracción;

Usuario de la información: Empleados con relaciones laborales o prestadores de servicios de cualquier área de las empresas que integran RAMO o terceros adscritos a la prestación de servicios, independientemente del régimen jurídico a que se encuentren sujetos, así como otras personas u organizaciones debidamente autorizadas para utilizar o manipular cualquier activo de información de RAMO para el desempeño de sus actividades profesionales;

Violación de datos personales: una situación en la que se procesan datos personales violando uno o más requisitos relevantes de protección de la privacidad.

 6. Directrices

6.1 Ley General de Protección de Datos Personales en el RAMO

De conformidad con la LGPD, proteger, preservar y respetar la privacidad y los derechos de los Titulares de Datos Personales.

Adoptamos las mejores prácticas comerciales y conducta ética, buscando mantener y mejorar el grado de cumplimiento de los procesos relacionados con la protección de Datos Personales para satisfacer las necesidades de los clientes, socios, proveedores y empleados de RAMO.

Como proveedor de software, RAMO se posiciona como un socio de sus clientes en sus procesos de cumplimiento de LGPD, implementando metodologías para garantizar la seguridad de la información y brindando a sus clientes productos y soluciones que tienen como objetivo ayudarlos a mantener y evolucionar su cumplimiento con los requisitos legales y de acuerdo con las mejores prácticas y procesos de gestión relacionados con la protección de Datos Personales.

Como responsable del tratamiento, RAMO adopta medidas técnicas de seguridad y privacidad para preservar la disponibilidad, integridad y confidencialidad de los Datos Personales que son tratados en la prestación de los servicios. Para ello, RAMO mantiene un programa de concienciación en Privacidad y Protección de Datos, en el que todos los RAMOVERS, sin excepción, deben participar.

Como operador, RAMO debe cumplir con todos los lineamientos contractuales definidos por los Controladores (sus clientes), para procesar Datos Personales, a través de buenas prácticas de seguridad aseguradas por auditorías independientes. Además, RAMO adopta cláusulas de protección de Datos Personales en todos los contratos en los que actuamos como Operador, definiendo claramente las responsabilidades de RAMO.

RAMO adopta los principios de Privacidad by Design, que consiste en proteger la privacidad y los datos personales, en todos los proyectos desarrollados. No está permitido desarrollar ningún proyecto, producto o servicio sin que la protección de la privacidad sea el centro de ese desarrollo, incluida la realización de una o más evaluaciones de impacto de la protección de datos. Esta es una fuente de inspiración para RAMO, que refuerza su compromiso con la ética y la transparencia.

La evaluación de impacto de la protección de datos incluirá la consideración de cómo se procesarán los datos personales y con qué fines; evaluación de si el tratamiento propuesto de datos personales es necesario y proporcionado a los fines; evaluación de los riesgos para las personas en el tratamiento de datos personales y los controles necesarios para abordar los riesgos identificados y demostrar el cumplimiento de la legislación. Destacamos que se aplicará el uso de técnicas como la minimización de datos cuando sea apropiado.

6.2 Recopilación y uso de datos personales

Como Responsable del Tratamiento, RAMO recopila Datos Personales de diversas maneras, incluida información proporcionada directamente por el Titular de los Datos Personales, recopilada a través de terceros, socios o franquiciados, y también de forma automática.

Estos Datos Personales, una vez recabados, son tratados por RAMO para cumplir con una variedad de finalidades, demostrando su compromiso con la transparencia y el respeto a los derechos de los titulares. Estas finalidades incluyen la comercialización y personalización de productos para los clientes, la prestación de servicios, la respuesta a las solicitudes de los clientes, el funcionamiento y gestión del sitio web, el cumplimiento de los derechos y obligaciones relacionados con el personal, las actividades de comunicación y marketing, así como la defensa de los derechos de los titulares.

Es importante resaltar que, como Operador, RAMO utiliza los Datos Personales de acuerdo con las determinaciones del Responsable del Tratamiento (cliente), reforzando el compromiso de la organización en operar de conformidad con los lineamientos y políticas establecidas por los responsables del control de estos datos.

 6.3 Nube

El área CLOUD de RAMO trata Datos Personales necesarios para el funcionamiento de los servicios definidos en el contrato, actuando como Operador. Esto incluye situaciones como el registro de acceso, que cubre datos personales de empleados actuales y anteriores de los clientes, y el control de acceso, que involucra información similar.

Es fundamental resaltar que, como Operador, el área CLOUD de RAMO es agnóstica respecto a los datos alojados en su entorno. Esto significa que no tiene conocimiento sobre el contenido de la información del cliente almacenada en la nube. Por lo tanto, en el contexto de la NUBE, RAMO no considera el tipo o categoría de información de la base de datos alojada en su entorno. Sin embargo, actúa bajo la premisa de que, entre esta información, existen Datos Personales, clasificándolos como confidenciales, independientemente de su sensibilidad. Este enfoque tiene como objetivo garantizar la confidencialidad y seguridad de los datos personales en la infraestructura del cliente durante la prestación de los servicios contratados.

6.4 Intercambio de datos personales

RAMO asume la responsabilidad del tratamiento de los Datos Personales de sus clientes y de RAMOVERS.

Los Datos Personales de RAMOVERS podrán ser compartidos para cumplir diversas finalidades, entre ellas el cumplimiento de obligaciones legales y defensa de los derechos de los titulares, el cumplimiento de obligaciones contractuales establecidas con el propio RAMOVERS y la prestación de beneficios a estos empleados.

Asimismo, los Datos Personales de los clientes podrán ser compartidos para satisfacer solicitudes realizadas por los propios clientes y para cumplir con obligaciones legales derivadas de las relaciones comerciales establecidas.

RAMO, cuando esté autorizado y en cumplimiento de la LGPD, también podrá compartir estos Datos Personales con terceros, como proveedores de servicios, socios y autoridades gubernamentales.

Cuando se produce un intercambio, RAMO toma las medidas adecuadas para garantizar que la información compartida sea tratada exclusivamente para fines específicos, garantizando el cumplimiento y la protección de los datos involucrados.

6.5 Protección de Datos Personales

RAMO implementa medidas estrictas para garantizar la integridad y seguridad de los Datos Personales de los Titulares de Datos mediante la adopción de una política de control de acceso restringido a los Datos Personales. De esta manera sólo las personas autorizadas podrán acceder a ellos.

La autorización de acceso se otorga para que las áreas responsables puedan atender las necesidades de sus actividades y para posibles gestiones de apoyo.

RAMO implementa procedimientos para garantizar que las áreas internas y los Operadores procesen los Datos Personales de acuerdo con los lineamientos de privacidad determinados por RAMO.

Además, RAMO adopta periódicamente un programa de concienciación para RAMOVERS. El programa tiene como objetivo presentar las buenas prácticas que deben adoptarse en el tratamiento de Datos Personales, con la aplicación de un método de prueba y certificación.

6.6 Conservación de datos personales

Los Datos Personales requeridos para cumplir con el Marco de Derechos Civiles de Internet se almacenan en un entorno seguro y controlado por un período mínimo de 6 (seis) meses, pudiendo ser períodos diferentes dependiendo del tipo de contrato con los clientes.

Los Datos Personales podrán ser almacenados en nuestros propios servidores o en servidores de terceros contratados para tal efecto, ya sea ubicados en Brasil o en el exterior, de acuerdo con la legislación aplicable, pudiendo también ser almacenados utilizando tecnología de computación en la nube y/u otras tecnologías que puedan surgir en el futuro, siempre buscando mejorar y perfeccionar nuestros servicios.

RAMO podrá tratar los Datos Personales durante el período que considere necesario, cuando deba cumplir con las finalidades predeterminadas al momento de su recolección, o mientras el registro del Titular se mantenga activo en nuestros entornos.

Una vez finalizada la relación del cliente con RAMO, en algunos casos, puede ser necesario mantener el almacenamiento de los Datos Personales durante un período determinado, para cumplir con alguna obligación legal o acciones legales.

Respecto del tratamiento de datos realizado con base en el consentimiento del Titular de los Datos, RAMO finalizará el tratamiento de los Datos Personales si el titular de los datos se opone o revoca el consentimiento, cuando corresponda.

6.7 Derechos del Titular

El Titular de los Datos Personales tiene derechos y garantías en relación con sus Datos Personales.

En RAMO, ponemos a disposición el correo electrónico dpo@ramo.com.br para que el Titular tenga claridad y transparencia en el ejercicio de sus derechos. Siempre que sea necesario, el Titular podrá dirigirse a nosotros para solicitar información respecto a sus derechos.

Derechos previstos en la LGPD:

Confirmación de la existencia del tratamiento :

RAMO procesa los Datos Personales de sus clientes, RAMOVERS, visitantes, proveedores, socios, entre otros, manteniendo estos datos almacenados en entornos seguros y controlados. El Titular podrá solicitar confirmación del tratamiento de sus Datos Personales;

Acceso a los datos:

En cualquier momento, el Titular podrá solicitar a RAMO que le informe qué Datos Personales están siendo tratados;

Corrección de Datos Personales incompletos, inexactos o desactualizados :

Si el Titular de los Datos considera que tiene información incompleta, inexacta o desactualizada, podrá contactarnos, solicitando la corrección o compleción de los Datos Personales faltantes o inexactos;

Anonimización, bloqueo o eliminación de Datos Personales innecesarios, excesivos o tratados en incumplimiento de la LGPD:

El Titular de los Datos podrá solicitar la anonimización, el bloqueo o la eliminación de los Datos Personales que RAMO esté tratando cuando no exista una base legal que justifique el tratamiento. Sin embargo, si RAMO tiene una justificación legal o reglamentaria para mantener los datos, estos se conservarán durante el período necesario para ejercer la obligación legal o para el derecho de defensa en procedimientos judiciales, administrativos o arbitrales, o incluso, en determinadas situaciones, en interés legítimo de RAMO (como, por ejemplo, para prevenir infracciones y fraudes);

Portabilidad de Datos Personales a otro proveedor de servicios o productos, a solicitud expresa del Titular de los Datos:

El Titular de los Datos podrá solicitar a RAMO que transfiera sus Datos Personales a otro proveedor de servicios o productos. La solicitud del Titular será atendida a la mayor brevedad posible;

Obtención de información sobre las entidades públicas o privadas con las que RAMO comparte los Datos Personales del Titular de los Datos:

El Titular podrá contactar a RAMO a través del correo electrónico del DPO ( dpo@ramo.com.br ).

Información sobre la posibilidad de que el Titular no preste el consentimiento para el tratamiento de Datos Personales, así como de ser informado sobre las consecuencias en caso de negativa:

Si el Titular de los Datos no desea prestar su consentimiento para el tratamiento específico que RAMO necesita llevar a cabo, se le informará si es posible prestar los servicios o proporcionar el software de interés sin tratar sus Datos Personales, y también se le informará de las consecuencias de su no consentimiento;

Revocación del consentimiento :

Cuando el tratamiento de Datos Personales se base en el consentimiento del Titular de los Datos, éste podrá revocar su consentimiento y la supresión de sus Datos Personales en cualquier momento. La revocación del consentimiento podrá suponer la imposibilidad para el Titular de utilizar los servicios prestados por RAMO. La interrupción del tratamiento de los Datos Personales no será efectiva cuando los Datos sean:

(i) anonimizados; o

(ii) necesarios para RAMO y/o terceros involucrados en la prestación de los servicios a

fines de defensa judicial, arbitral o administrativa, así como para cumplir con obligaciones legales y reglamentarias.

RAMO, actuando como Operador, no es responsable de las definiciones de tratamiento de datos. Esta actividad es responsabilidad del cliente (Responsable), según lo establecido en el contrato, garantizando que todas las instrucciones dirigidas a RAMO respeten la Legislación de Protección de Datos y la privacidad de los titulares de los datos personales.

RAMO se compromete a atender todas las solicitudes de los Titulares lo más rápidamente posible.

tiempo posible, también de acuerdo con los plazos estipulados por la ANPD.

6.8 Transferencia internacional

Respecto de los Datos Personales que se comparten internacionalmente, RAMO cumple con todos los requisitos legales vigentes en los países involucrados y adopta medidas de ciberseguridad y protección de datos asegurando la integridad, transparencia y confidencialidad de los Datos Personales.

Para la prestación de servicios que impliquen intercambio internacional de Datos Personales, RAMO establece cláusulas contractuales específicas que detallan la finalidad de realizar esta transferencia.

Asimismo, la posible transferencia internacional de Datos Personales de RAMOVERS está prevista en el contrato de trabajo de cada empleado.

6.9 Socios

RAMO desarrolla alianzas con empresas con el fin de utilizar tecnologías y procesos para ampliar su gama de servicios. Estos socios también deben cumplir estrictamente con todas las pautas de seguridad contractuales establecidas en esta Política, garantizando que todos los Datos Personales de los clientes o empleados sean tratados como confidenciales.

6.10 Preguntas

Las preguntas relacionadas con la Política de Privacidad de RAMO o cualquier otra pregunta relacionada con el tema de seguridad y protección de Datos Personales deben enviarse a través del correo electrónico de contacto al DPO (dpo@ramo.com.br)

6.11 Roles y responsabilidades

Comité de Gestión de Protección de Datos Personales – CGPDP

Se constituye el COMITÉ DE GESTIÓN DE PROTECCIÓN DE DATOS PERSONALES (CGPDP), en el que participarán al menos un representante del consejo de administración y un vocal de alto nivel de las siguientes áreas: Tecnologías de la Información, Seguridad de la Información, Recursos Humanos, Jurídico, Compliance, Marketing y Oficina de Protección de Datos Personales.

Es responsabilidad del CGPDP:

• Analizar, revisar y aprobar políticas y normas relacionadas con la protección de datos personales;
• Garantizar la disponibilidad de los recursos necesarios para una gestión eficaz de la Protección de Datos Personales;
• Garantizar que el tratamiento de los Datos Personales se realice de conformidad con la POLÍTICA GENERAL DE PROTECCIÓN DE DATOS PERSONALES (PGDP) y la legislación vigente;
• Promover la difusión del PGPDP y tomar las acciones necesarias para difundir una cultura de protección de Datos Personales en el entorno corporativo de RAMO.

 Responsabilidad del Responsable del Tratamiento de Datos Personales

• Recibir quejas y comunicaciones de los titulares de datos personales, proporcionar aclaraciones y adoptar las medidas necesarias;
• Recibir comunicaciones de la autoridad nacional de protección de datos y adoptar las medidas necesarias;
• Orientar a los empleados, terceros contratados y otras partes de RAMO sobre las prácticas a adoptar en relación con la protección de datos personales;
• Cumplir otras funciones, conforme a las directrices de la Autoridad Nacional de Protección de Datos, definidas en normas complementarias publicadas por dicho organismo;
• Apoyar al CGPDP en sus deliberaciones;
• Trabajar con el equipo de Seguridad de la Información para ajustar los estándares y procedimientos de seguridad de la información necesarios para cumplir con el PGPDP;
• Identificar y evaluar las principales amenazas a la protección de datos, así como proponer y, en su caso, apoyar la implementación de medidas correctivas para reducir el riesgo;
• Tomar las medidas apropiadas para hacer cumplir los términos de esta política;
• Apoyar la gestión de las violaciones de datos personales, garantizando el tratamiento adecuado y comunicando, en un plazo razonable, a la autoridad nacional y a los interesados ​​afectados por la violación siempre que represente un riesgo o daño relevante para los interesados.

Responsabilidad del Equipo de Seguridad de la Información

• Garantizar que las políticas, estándares y procedimientos de Seguridad de la Información se ajusten a los requisitos de la Política General de Protección de Datos Personales;
• Adoptar medidas de seguridad, tanto técnicas como administrativas, capaces de proteger los datos personales de accesos no autorizados y de situaciones accidentales o ilícitas de destrucción, pérdida, alteración, comunicación o cualquier forma de tratamiento inadecuado o ilícito, de conformidad con los estándares mínimos recomendados por la autoridad nacional de protección de datos personales.
• Realizar el tratamiento de los incidentes de seguridad de la información que involucren el tratamiento de datos personales, garantizando su detección, contención, eliminación y recuperación en un plazo razonable.
• Apoyar al Responsable del Tratamiento en la comunicación con la autoridad nacional y el titular de los datos en caso de un incidente de seguridad que pueda suponer un riesgo o daño significativo para los titulares de los datos.

En caso de incumplimiento de esta política, se adoptarán medidas para gestionar las consecuencias laborales, civiles, penales y administrativas que pudieran corresponder a los responsables de las ilegalidades, incluyendo la posibilidad de despido por justa causa y terminación del contrato por justa causa en el caso de Terceros.

Historial de revisiones