1. Introdução

1.1. A Sofist Qualidade de Software S.A. ("Sofist", "nós", "nosso"), com endereço na Avenida Orosimbo Maia 360, Sala 509, Campinas/SP, Brasil, CEP 13010-211, está comprometida em proteger seus dados pessoais e cumprir as leis de proteção de dados aplicáveis, incluindo a Lei Geral de Proteção de Dados do Brasil (LGPD), o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) e a Lei de Privacidade do Consumidor da Califórnia (CCPA). Esta política de privacidade descreve como e por que recolhemos, utilizamos e divulgamos dados pessoais, e como os titulares dos dados podem exercer os seus direitos.

‍2. Escopo‍

‍2.1. Esta política aplica-se a todos os dados pessoais tratados pela Sofist, incluindo dados de clientes, potenciais clientes, visitantes do website e terceiros que interagem conosco, independentemente da sua localização.

‍3. Dados pessoais que coletamos
‍‍
3.1. Poderemos recolher as seguintes categorias de dados pessoais:

- Identificadores: Nome, sobrenome, endereço de e-mail, telefone, ocupação/cargo, país, empresa.
- Informações sobre atividades na Internet ou em outras redes eletrônicas: endereço IP, histórico de navegação e interações com nosso site.
- Informações profissionais ou relacionadas ao emprego: Cargo, empregador e experiência profissional.
- Dados confidenciais: Quando aplicável, dados relacionados a preferências ou comportamentos pessoais, tratados somente com consentimento explícito e em conformidade com o artigo 9 do GDPR e o artigo 11 da LGPD.

4. Finalidades do processamento
‍
4.1. Processamos dados pessoais para as seguintes finalidades:

- Prestação de Serviços: Prestar serviços de consultoria em tecnologia da informação e outros serviços relacionados, preparando relatórios, análises e outros documentos relacionados com as nossas atividades.
- Desenvolvimento de Negócios: Criar oportunidades para apresentar nossas soluções a clientes e potenciais clientes.
- Comunicação: Para enviar convites, publicações e comunicações diversas.
- Apoiar: Para fornecer suporte ao usuário e responder a perguntas.
- Conformidade Legal: Para cumprir obrigações legais em diferentes jurisdições.

‍5. Como os dados pessoais são coletados‍

‍5.1. Os dados pessoais são coletados das seguintes formas:

- Dados pessoais fornecidos pelo titular dos dados: coletamos dados pessoais necessários para dar início e manter uma relação comercial e/ou contratual com o titular dos dados por canal eletrônico, para inclusão em sistemas eletrônicos mantidos pela Sofist ou por parceiros.
- Dados pessoais fornecidos por terceiros: também tratamos dados pessoais que são fornecidos por terceiros. Por exemplo, dados recebidos de nossos clientes pessoas jurídicas em relação aos usuários de seus produtos digitais, funcionários, etc.

5.2. Não coletamos, armazenamos ou de outra forma tratamos intencionalmente dados pessoais excessivos ou desnecessários para a prestação dos nossos serviços. Em função disso, pedimos que você se abstenha de compartilhar dados pessoais sensíveis conosco, como, por exemplo, aqueles relativos à sua origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, saúde ou vida sexual, bem como dado genético.
‍
‍6. Finalidade dos dados pessoais e bases legais para processamento‍

‍6.1. A Sofist atua como operadora para realizar as atividades de tratamento de dados de nossos clientes. 

‍6.2. Todos os dados pessoais coletados são utilizados para a prestação de serviços ou seu fornecimento. A privacidade do titular dos dados é respeitada. Por isso, todos os dados pessoais e informações são tratados como confidenciais e utilizados somente para os fins aqui descritos.

‍6.3. Nosso tratamento de dados pessoais baseia-se nos seguintes fundamentos legais:

- Consentimento: quando você forneceu consentimento para atividades de processamento específicas.
- Necessidade contratual: para celebrar um contrato com você ou tomar medidas a seu pedido antes de celebrar um contrato.
- Obrigação legal ou regulatória: para cumprir as obrigações legais e regulatórias da LGPD, GDPR e CCPA, includindo casos de lavagem de dinheiro ou medidas anticorrupção.
- Interesses legítimos: para efeitos dos nossos interesses legítimos, desde que estes não sejam anulados pelos seus direitos de proteção de dados.
- Exercício regular de direitos: para o exercício regular de direitos em processo judicial, administrativo ou arbitral – por exemplo, em defesas judiciais ou administrativas nos processos em que somos parte.
‍
‍7. Período de retenção dos dados pessoais‍

7.1. Os dados pessoais serão conservados pelo período necessário para atingir os propósitos definidos no momento da coleta. Após o encerramento dessa relação, serão mantidos pelo tempo necessário para cumprimento de obrigações legais ou conforme descrito em acordos contratuais e exercício de seus direitos, inclusive para fins de auditoria de nossas atividades. Os períodos de retenção são revisados ​​periodicamente e estão em conformidade com o Artigo 15 das normas LGPD e GDPR.
‍
7.2. Uma vez cumprida a finalidade do tratamento dos dados pessoais, as informações serão descartadas de forma segura, ressalvadas as hipóteses legalmente previstas no artigo 16 da LGPD. Isto é, informações pessoais sobre você que sejam imprescindíveis para o cumprimento de determinações legais, judiciais e administrativas e/ou para o exercício do direito de defesa em processos judiciais e administrativos serão mantidas, a despeito da exclusão dos demais dados.‍

8. Compartilhamento e divulgação de dados

8.1. Os dados pessoais podem ser compartilhados nas seguintes hipóteses:

- Determinação legal, requerimento, requisição ou ordem judicial, obrigando o compartilhando de dados com autoridades judiciais, administrativas ou governamentais competentes.
- Uso de serviços ou plataformas terceirizadas que apoiam as nossas operações, fazendo com que os dados pessoais sejam armazenados pelos prestadores de serviço, que por sua vez são contratualmente obrigados a proteger seus dados.
- Movimentações societárias, como fusão, aquisição e incorporação, de forma automática, obrigando o compartilhamento de dados com futuros acionistas.
- Proteção dos direitos da Sofist em qualquer tipo de conflito, inclusive os de teor judicial.

8.2. Nós só compartilharemos os seus dados pessoais com terceiros quando pudermos fazer isso nos termos da lei ou do contrato que celebramos. Quando compartilhamos seus dados com terceiros, tomamos medidas de segurança contratualmente estabelecidas para que sejam adotados mecanismos de proteção dos dados pessoais adequados à legislação e aceitos por nós.

8.3. Uma lista de nossos subprocessadores atuais está disponível em https://www.sofist.co/subprocessadores.

9. Transferências internacionais de dados

9.1. Podemos utilizar terceiros localizados em outros países para realizar alguns serviços prestados por nós. Como resultado disso, alguns dados pessoais podem ser transferidos para fora do país.

9.2. Nós tomamos o cuidado para que todos os dados pessoais compartilhados com agentes no exterior tenham grau de proteção adequado e de acordo com padrões semelhantes aos que adotamos. Se transferirmos seus dados pessoais para fora de sua jurisdição, garantiremos que as salvaguardas apropriadas estejam em vigor, como Cláusulas Contratuais Padrão para conformidade com o GDPR ou mecanismos descritos pela LGPD e CCPA. As transferências obedecem ao Artigo 33 da LGPD e ao Capítulo V do GDPR.‍

‍10. Medidas para segurança dos dados pessoais‍

‍10.1. A Sofist tem uma Política de Segurança da Informação atualizada de forma coerente com as melhores práticas de segurança de informação.

‍10.2. As principais medidas adotadas pela Sofist para proteção de seus dados pessoais são:
‍
- Confidencialidade: Todos os colaboradores da Sofist estão sujeitos a confidencialidade total e quaisquer terceiros contratados são obrigados a assinar um acordo de confidencialidade, caso este não faça parte do acordo principal celebrado entre as partes.
- Transparência: A Sofist sempre mantém os usuários informados sobre as alterações nos procedimentos para tratamento de dados pessoais que visam a proteger a privacidade e a segurança dos dados, incluindo o estabelecimento de práticas e políticas adequadas. O titular de dados pode, a qualquer momento, solicitar informações sobre onde e como os dados pessoais são armazenados, protegidos e usados.
- Isolamento: Todo acesso a dados pessoais é bloqueado por padrão, usando política de privilégios zero. O acesso aos dados pessoais é restrito ao pessoal autorizado individualmente. A área responsável pelos dados concede autorizações quando comprovada necessidade e mantém um registro de autorizações concedidas. O pessoal autorizado recebe acesso mínimo ao banco de dados e sistemas, no nível estritamente necessário para realizar suas atividades.
- Direitos do titular dos dados pessoais: A Sofist viabiliza o exercício dos direitos do titular dos dados em canal acessível e de fácil utilização.
- Monitoramento: A Sofist usa relatórios de auditoria de logs e notificações para monitorar padrões de acesso e identificar e mitigar ameaças em potencial. As operações administrativas, incluindo o acesso ao sistema, são registradas para fornecer uma trilha de auditoria, no caso de alterações não autorizadas ou acidentais.
- Comunicação de incidente de segurança: Na hipótese de incidente de segurança que possa acarretar risco ou dano relevante aos dados do usuário, a Sofist notificará a Autoridade Nacional de Proteção de Dados (ANPD) no caso da LGPD e, conforme o caso, notificará o titular, em ambos os casos, em prazo razoável, com informações sobre a descrição da natureza dos dados pessoais afetados, inclusive com indicação de medidas técnicas e de segurança utilizadas para proteção de dados, riscos relacionados e medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do prejuízo.

10.2.1. Para os fins do disposto no item acima, “incidente de segurança” significa uma quebra de segurança que leva a acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

‍10.3. Mesmo assim, você deve ter ciência que nenhum sistema de segurança na Internet é garantido contra invasões indesejadas, sendo que o compromisso da Sofist se limita à adoção de medidas de proteção recomendáveis de acordo com o atual estado da técnica.

‍10.3.1. Nesse sentido, a Sofist não se responsabiliza por (i) quaisquer consequências decorrentes da negligência, imprudência ou imperícia do titular dos dados em relação a seus dados pessoais. Garantimos e nos responsabilizamos apenas pela segurança dos processos de tratamento de dados e do cumprimento das finalidades descritas no presente instrumento; (ii) ações maliciosas de terceiros, como ataques de hackers, exceto se comprovada conduta culposa ou deliberada da Sofist, e (iii) inveracidade das informações inseridas pelo titular dos dados nos registros necessários para a utilização dos serviços da Sofist; quaisquer consequências decorrentes de informações falsas ou inseridas de má fé são de inteiramente responsabilidade do titular dos dados.