1. Introducción

1.1. Sofist Qualidade de Software S.A. ("Sofist", "nosotros", "nos", "nuestro"), con dirección en Avenida Orosimbo Maia 360, Sala 509, Campinas/SP, Brasil, CEP 13010-211, se compromete a proteger sus datos personales y cumplir con las leyes de protección de datos aplicables, incluyendo la Ley General de Protección de Datos de Brasil (LGPD), el Reglamento General de Protección de Datos de la Unión Europea (GDPR) y la Ley de Privacidad del Consumidor de California (CCPA). Esta política de privacidad describe cómo y por qué recopilamos, utilizamos y divulgamos datos personales, y cómo los interesados pueden ejercer sus derechos.

2. Ámbito de aplicación

2.1. Esta política se aplica a todos los datos personales procesados por Sofist, incluidos los datos de clientes, clientes potenciales, visitantes del sitio web y terceros que interactúan con nosotros, independientemente de su ubicación.

3. Datos personales que recopilamos ‍‍

3.1. Podemos recopilar las siguientes categorías de datos personales:

-  Identificadores: nombre, apellidos, dirección de correo electrónico, número de teléfono, ocupación/cargo, país, empresa.
- Información sobre actividades en Internet u otras redes electrónicas: dirección IP, historial de navegación e interacciones con nuestro sitio web.
- Información profesional o relacionada con el empleo: Cargo, empleador y experiencia profesional.
- Datos sensibles: En su caso, datos relativos a preferencias personales o comportamiento, tratados únicamente con consentimiento explícito y de conformidad con el artículo 9 del GDPR y el artículo 11 de la LGPD.

4. Finalidades del tratamiento‍

4.1. Tratamos los datos personales con las siguientes finalidades:

- Prestación de Servicios: Para prestar servicios de consultoría en tecnologías de la información y otros servicios relacionados, elaborando informes, análisis y otros documentos relacionados con nuestras actividades.
- Desarrollo de negocio: Para crear oportunidades de presentar nuestras soluciones a clientes y clientes potenciales.
- Comunicación: Para enviar invitaciones, publicaciones y comunicaciones varias.
- Soporte: Para proporcionar soporte al usuario y responder a preguntas.
- Cumplimiento legal: Para cumplir con las obligaciones legales en diferentes jurisdicciones.

‍5. Cómo se recogen los datos personales‍

‍5.1.  Los datos personales se recogen de las siguientes maneras:

-  Datos personales proporcionados por el interesado: recogemos los datos personales necesarios para iniciar y mantener una relación comercial y/o contractual con el interesado a través de un canal electrónico, para su inclusión en sistemas electrónicos mantenidos por Sofist o por socios.
-  Datos personales proporcionados por terceros: también procesamos datos personales que nos proporcionan terceros. Por ejemplo, los datos recibidos de nuestros clientes corporativos relativos a los usuarios de sus productos digitales, empleados, etc.

5.2. No recogemos, almacenamos ni tratamos conscientemente datos personales que sean excesivos o innecesarios para la prestación de nuestros servicios. En consecuencia, le pedimos que se abstenga de compartir con nosotros datos personales sensibles, como los relativos a su origen racial o étnico, sus convicciones religiosas, sus opiniones políticas, su afiliación a un sindicato o a una organización religiosa, filosófica o política, su salud o su vida sexual, así como datos genéticos.

6. Finalidad de los datos personales y bases jurídicas del tratamiento‍

‍6.1. Sofist actúa como operador para llevar a cabo las actividades de tratamiento de datos de nuestros clientes.

6.2. Todos los datos personales recogidos se utilizan para prestar o suministrar servicios. Se respeta la privacidad del interesado. Por lo tanto, todos los datos e información personales se tratan de forma confidencial y se utilizan únicamente para los fines aquí descritos.

6.3. Nuestro tratamiento de datos personales se basa en los siguientes fundamentos jurídicos:

- Consentimiento: cuando usted ha dado su consentimiento para actividades de tratamiento específicas.
-  Necesidad contractual: para celebrar un contrato con usted o para tomar medidas a petición suya antes de celebrar un contrato.
- Obligación legal o reglamentaria: para cumplir con las obligaciones legales y reglamentarias de la LGPD, el GDPR y la CCPA, incluidos los casos de blanqueo de capitales o medidas anticorrupción.
-  Intereses legítimos: para los fines de nuestros intereses legítimos, siempre que estos no se vean anulados por sus derechos de protección de datos.
-  Ejercicio regular de derechos: para el ejercicio regular de derechos en procedimientos judiciales, administrativos o de arbitraje - por ejemplo, en defensas judiciales o administrativas en procedimientos en los que somos parte.

7. Período de conservación de los datos personales‍

7.1. Los datos personales se conservarán durante el período necesario para cumplir los fines definidos en el momento de su recogida. Tras la finalización de esta relación, se conservarán durante el tiempo necesario para cumplir las obligaciones legales o descritas en los acuerdos contractuales y ejercer sus derechos, incluidos los fines de auditoría de nuestras actividades. Los periodos de conservación se revisan periódicamente y se ajustan a lo dispuesto en el artículo 15 de la LGPD y en el GDPR.

7.2. Una vez cumplida la finalidad del tratamiento de los datos personales, la información será eliminada de forma segura, salvo en los supuestos legalmente previstos en el artículo 16 de la LGPD. Es decir, se conservará la información personal sobre usted que sea imprescindible para el cumplimiento de mandatos legales, judiciales y administrativos y/o para el ejercicio del derecho de defensa en procedimientos judiciales y administrativos, a pesar de la supresión de otros datos.‍

8. Comunicación y divulgación de datos

8.1. Los datos personales podrán ser compartidos en los siguientes casos:

- Determinación legal, solicitud, requerimiento u orden judicial, que obligue a compartir los datos con las autoridades judiciales, administrativas o gubernamentales competentes.
- Utilización de servicios o plataformas de terceros que apoyen nuestras operaciones, provocando que los datos personales sean almacenados por los proveedores de servicios, que a su vez están obligados contractualmente a proteger sus datos.
- Movimientos corporativos, como fusiones, adquisiciones e incorporaciones, que obliguen automáticamente a compartir los datos con futuros accionistas.
- Protección de los derechos de Sofist en cualquier tipo de conflicto, incluidos los de naturaleza judicial.

8.2. Sólo compartiremos sus datos personales con terceros cuando podamos hacerlo en virtud de la ley o del contrato que hayamos suscrito. Cuando compartimos sus datos con terceros, adoptamos las medidas de seguridad establecidas contractualmente para que existan mecanismos de protección de datos personales adecuados a la ley y aceptados por nosotros.

8.3. Puede consultar una lista de nuestros subencargados del tratamiento actuales en https://www.sofist.co/es/subprocesadores.

9. Transferencias internacionales de datos

9.1. Podemos recurrir a terceros ubicados en otros países para realizar algunos de los servicios que prestamos. Como resultado, algunos datos personales pueden ser transferidos al extranjero.

9.2. Cuidamos de que todos los datos personales compartidos con agentes en el extranjero estén adecuadamente protegidos y de acuerdo con normas similares a las que hemos adoptado. Si transferimos sus datos personales fuera de su jurisdicción, nos aseguraremos de que existan las garantías adecuadas, como las Cláusulas Contractuales Tipo para el cumplimiento del GDPR o los mecanismos descritos por la LGPD y la CCPA. Las transferencias cumplen el artículo 33 de la LGPD y el capítulo V del RGPD.‍

‍10. Medidas para la seguridad de los datos personales‍

10.1. Sofist cuenta con una Política de Seguridad de la Información que se actualiza de acuerdo con las mejores prácticas de seguridad de la información.

10.2. Las principales medidas adoptadas por Sofist para proteger sus datos personales son:

- Confidencialidad : Todos los empleados de Sofist están sujetos a total confidencialidad y cualquier tercero contratado está obligado a firmar un acuerdo de confidencialidad, si esto no forma parte del acuerdo principal entre las partes.
- Transparencia: Sofist mantiene siempre informados a los usuarios de los cambios en los procedimientos de tratamiento de datos personales destinados a proteger la privacidad y la seguridad de los datos, incluido el establecimiento de prácticas y políticas adecuadas.
El interesado puede, en cualquier momento, solicitar información sobre dónde y cómo se almacenan, protegen y utilizan los datos personales.
- Aislamiento: Todo acceso a datos personales está bloqueado por defecto, utilizando una política de privilegio cero. El acceso a los datos personales está restringido al personal autorizado individualmente. El área responsable de los datos concede autorizaciones cuando se demuestra que es necesario y mantiene un registro de las autorizaciones concedidas. El personal autorizado recibe un acceso mínimo a la base de datos y a los sistemas, al nivel estrictamente necesario para llevar a cabo sus actividades.
- Derechos de los interesados: Sofist hace posible que los interesados ejerzan sus derechos en un canal accesible y fácil de usar.
- Supervisión: Sofist utiliza informes de auditoría de registros y notificaciones para supervisar los patrones de acceso e identificar y mitigar posibles amenazas. Las operaciones administrativas, incluido el acceso al sistema, se registran para proporcionar una pista de auditoría en caso de cambios no autorizados o accidentales.
- Comunicación de un incidente de seguridad: En caso de producirse un incidente de seguridad que pueda suponer un riesgo o daño relevante para los datos de los usuarios, Sofist lo notificará a la Autoridad Nacional de Protección de Datos (ANPD) en el caso de la LGPD y, en su caso, lo notificará al titular, en ambos casos, en un plazo razonable, con información que describa la naturaleza de los datos personales afectados, incluyendo una indicación de las medidas técnicas y de seguridad utilizadas para la protección de los datos, los riesgos relacionados y las medidas que se han adoptado o se adoptarán para revertir o mitigar los efectos del daño.

10.2.1. A efectos de lo anterior, se entenderá por "incidente de seguridad" una violación de la seguridad que provoque un acceso no autorizado, una destrucción accidental o ilícita, una pérdida, una alteración, una comunicación o cualquier forma de tratamiento indebido o ilícito.

‍10.3. No obstante, debe ser consciente de que ningún sistema de seguridad en Internet está garantizado contra intrusiones no deseadas, y el compromiso de Sofist se limita a la adopción de las medidas de protección recomendadas según el estado actual de la técnica.

10.3.1. En este sentido, Sofist no se responsabiliza de (i) las consecuencias derivadas de negligencia, imprudencia o mala praxis del interesado en relación con sus datos personales. Garantizamos y sólo somos responsables de la seguridad de los procesos de tratamiento de datos y del cumplimiento de las finalidades aquí descritas; (ii) acciones malintencionadas de terceros, como ataques de hackers, salvo que se pruebe la conducta culposa o dolosa de Sofist, y (iii) la inexactitud de la información introducida por el titular de los datos en los registros necesarios para utilizar los servicios de Sofist; las consecuencias derivadas de la falsedad o mala fe en la información introducida son responsabilidad exclusiva del titular de los datos.