GOVERNANÇA INSTITUCIONAL Página: 1/7 Rev.: 01 – 07/2025 Elaborado por: NAF POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS DISPÕE SOBRE A POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS INTRODUÇÃO Os valores e padrões éticos sempre foram os pilares da nossa história e de todas as conquistas. O comportamento ético e responsabilidades profissional e social protegem e fortalecem nossa marca e presença na sociedade. Nesse sentido, essa Política de Proteção de Dados Pessoais pretende estabelecer princípios, diretrizes e normas sobre o tratamento de dados pessoais por nós realizado, demonstrando nosso comprometimento com o respeito à privacidade; à transparência; ao direito que cada titular tem de controlar e proteger seus próprios dados pessoais; a liberdade de expressão, de informação, de comunicação e de opinião; o desenvolvimento econômico e tecnológico; à inovação; e, aos direitos humanos, o livre desenvolvimento da personalidade, à dignidade e ao exercício da cidadania pelos titulares. Nossa Política de Proteção de Dados Pessoais foi construída com base nas disposições da Lei nº 13.709, de 14 de Agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD) e abrangerá igualmente a todos os membros da organização, sejam eles conselheiros, superintendentes, gerentes, coordenadores, lideranças ou colaboradores de todos os níveis funcionais, estagiários, trainees, aprendizes e prestadores de serviços terceirizados, além dos demais envolvidos conosco, como prestadores de serviços, autônomos, membros ou representantes de organizações ou empresas parceiras, assim como quaisquer outros indivíduos, grupos ou organizações, doadores, voluntários, beneficiários, jornalistas, celebridades, políticos, órgãos e agentes públicos e demais pessoas que estejam relacionadas ou envolvidas em decisões a serem tomadas por nós. DEFINIÇÕES Para o melhor entendimento dessa política, vamos considerar as seguintes definições: Dado pessoal: qualquer informação ou conjunto de informações de pessoa física que permita sua individualização e identificação, como por exemplo nome; número de documento; endereço físico, de e- mail ou de rede social; número de telefone; número de IP; dados bancários; logins e senhas, entre outros. Dado pessoal sensível: dado pessoal específico sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física. Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Titular: pessoa física a quem se referem os dados pessoais que são objeto de tratamento. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Banco de dados pessoais: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico. Rua Araguari, 835 - 14º andar – Vila Uberabinha – 04514-041 - São Paulo – SP Tel. 55 11 3848-8799 GOVERNANÇA INSTITUCIONAL Página: 2/7 Rev.: 01 – 07/2025 Elaborado por: NAF POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS Controlador: pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; Operador: pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais conforme ordens emanadas pelo controlador; Encarregado: pessoa física indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD); Banco de dados anonimizados: conjunto estruturado de informações e dados, estabelecido em um ou em vários locais, em suporte eletrônico ou físico, cujo não se é possível identificar, de nenhuma forma, quais são os titulares de tais informações e dados; Anonimização: é o processo irreversível em que se transforma um banco de dados pessoais em um banco de dados anonimizados, utilizando-se de meios técnicos razoáveis e disponíveis; LGPD: A Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD). TITULARES Em regra, faz parte da nossa rotina o tratamento de dados pessoais dos seguintes grupos de titulares: Membros da alta administração, como Conselheiros de Administração, Fiscal e Consultivo; Colaboradores; Candidatos a vagas de emprego; Representantes de prestadores de serviços e parceiros institucionais; Público geral; Doadores; Voluntários; Beneficiários participantes de nossos programas e projetos; Stakeholders; e Prospects. TRATAMENTO DE DADOS PESSOAIS Nós poderemos realizar o tratamento de dados pessoais de titulares, sensíveis e não sensíveis, desde que respaldados pela LGPD, independentemente de consentimento sejam para as específicas e determinadas finalidades de: (i) cumprimento de obrigação legal ou regulatória; (ii) realização de estudos, garantida, sempre que possível, a anonimização dos dados pessoais; (iii) quando necessário para a execução de contrato ou de seus procedimentos preliminares, do qual o titular tenha interesse em ser parte; (iv) para o exercício regular de direitos em processo judicial, administrativo ou arbitral; e, (v) para a proteção da vida ou da incolumidade física do titular ou de terceiros. Rua Araguari, 835 - 14º andar – Vila Uberabinha – 04514-041 - São Paulo – SP Tel. 55 11 3848-8799 GOVERNANÇA INSTITUCIONAL Página: 3/7 Rev.: 01 – 07/2025 Elaborado por: NAF POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS Também poderemos, respaldados pela LGPD e independentemente de consentimento dos titulares, realizar o tratamento de dados pessoais tornados manifestamente públicos pelo titular. LEGÍTIMO INTERESSE Além das hipóteses acima listadas, nós também poderemos, respaldados pela LGPD, independentemente de consentimento dos titulares, realizar o tratamento de seus dados pessoais quando necessário para atender aos nossos interesses legítimos ou de terceiros. O conceito de legítimo interesse é subjetivo e precisará de uma análise criteriosa e devidamente fundamentada para sua aplicação em cada caso. Por isso, em fevereiro de 2024, a Autoridade Nacional de Proteção de Dados (ANPD) publicou um Guia Orientativo sobre o tema, afim de esclarecer alguns critérios para aplicação do conceito, buscando maior segurança jurídica. Serão passos para análise de sua legitimidade: 1) Dados pessoais sensíveis não podem ser considerados no legítimo interesse, assim, qualquer operação de tratamento de dados pessoais sobre raça ou etnia, religião, política, sindical, filosófica, saúde, sexual, genética ou biométrica não poderá estar autorizada pelo legítimo interesse, sendo necessária autorização por outro embasamento. 2) Dados pessoais de crianças e adolescentes podem ser considerados no legítimo interesse, mas deverão observar a prevalência do princípio do melhor interesse da criança e do adolescente, considerando cada caso, o que significa que o atendimento desse princípio deverá almejar finalidade certa, real, clara, precisa e concreta, afastando qualquer finalidade especulativa ou incerta, bem como o controlador deverá elaborar teste de balanceamento, mantendo o registro da justificativa para a realização do tratamento, que deverá ser adequada ao caso e capaz de demonstrar: (i) qual benefício foi considerado como sendo o melhor interesse da criança ou do adolescente; (ii) com base em quais critérios os seus direitos foram ponderados em face do interesse legítimo do controlador ou de terceiro; e (iii) o tratamento não gerará riscos ou impactos desproporcionais e excessivos, considerando a condição da criança e do adolescente. 3) O interesse deve ser legítimo, o que significa que: (i) a motivação e a finalidade do tratamento de dados não poderão infringir ou contradizer disposições de qualquer ordenamento jurídico; (ii) deverá ter finalidade certa, real, clara, precisa e concreta, afastando qualquer finalidade especulativa ou incerta; (iii) deverá ter o conhecimento e utilização apenas dos dados pessoais minimamente necessários para atingir a finalidade desejada; e (iv) deverá haver a indicação de qual benefício foi considerado, respeitado seus direitos e liberdades fundamentais. 4) O tratamento deve atender à legítima expectativa do titular, ou seja, a finalidade pretendida pelo tratamento dos dados pessoais deverá estar alinhada com a expectativa do titular, devendo ser observado: (i) se já existiu uma relação prévia do controlador com o titular; (ii) se a coleta dos dados pessoais foi feita pelo controlador ou terceiro; (iii) quando ocorreu a coleta de dados e em qual contexto; e, (iv) se o tratamento dos dados pessoais está respeitando os direitos dos titulares. CONSENTIMENTO Além das hipóteses acima listadas, nós também poderemos realizar o tratamento de dados pessoais mediante o prévio fornecimento do consentimento pelo seu titular. Nessa hipótese, o consentimento fornecido pelo titular deverá conter manifestação de vontade válida, podendo esta ser expressa em cláusula destacada, por meio da escrita; ou tácita, por meio do comportamento positivo Rua Araguari, 835 - 14º andar – Vila Uberabinha – 04514-041 - São Paulo – SP Tel. 55 11 3848-8799 GOVERNANÇA INSTITUCIONAL Página: 4/7 Rev.: 01 – 07/2025 Elaborado por: NAF POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS inequívoco do titular, sendo que nessa última hipótese, a omissão não será considerada para fins de consentimento. As informações sobre o tratamento de dados pessoais respaldadas no consentimento deverão ser claras, completas e inequívocas. Também deverá estar previsto no consentimento a finalidade específica para o tratamento dos dados pessoais, bem como o seu prazo para tratamento. Qualquer alteração de finalidade, de prazo para tratamento ou de propriedade desses dados pessoais, com a transmissão, distribuição, comunicação, transferência, difusão ou extração dos dados pessoais, de nós para terceiros ou de terceiros para nós, o proprietário original desses dados pessoais deverá informar aos titulares a respectiva alteração de finalidade, de prazo para tratamento ou de propriedade. Quando houver o tratamento de dados pessoais de crianças e adolescentes, nós utilizaremos todos os esforços razoáveis para verificar que o consentimento foi emanado por, pelo menos, um dos pais ou um dos responsáveis legais. Porém, poderão ser coletados sem o consentimento quando tal coleta for necessária para contatar os pais ou o responsável legal, ou para proteção de crianças e adolescentes, utilizados uma única vez e sem armazenamento, sendo que seus dados pessoais não poderão ser repassados a terceiros, exceto para cumprimento de obrigação legal. FINALIDADE Considerando nossa rotina, destacamos, abaixo, as principais finalidades para o tratamento de seus dados pessoais. Membros da Fundação Abrinq, como conselheiros, superintendentes, gerentes, coordenadores, lideranças ou colaboradores de todos os níveis funcionais, estagiários, trainees, aprendizes e prestadores de serviços terceirizados: Realizaremos o tratamento de seus dados pessoais principalmente para o cumprimento de obrigações legais e regulatórias, quer sejam notariais, administrativas, societárias, trabalhistas, previdenciárias ou fiscais, além de viabilizar o oferecimento de benefícios decorrentes da relação de emprego, conforme dispostos na respectiva Norma Regulamentadora, e de eventuais parcerias institucionais pontuais. Candidatos a vagas de emprego: Realizaremos o tratamento de seus dados pessoais com a estrita finalidade para a realização de processos seletivos e manutenção de banco de talentos, respeitado sempre o prazo para tratamento. Representantes de prestadores de serviço e parceiros institucionais: Realizaremos o tratamento de seus dados pessoais para atender a execução de contrato ou de seus procedimentos preliminares, bem como para o exercício regular de direitos em processo judicial, administrativo ou arbitral, porém, sempre priorizando a utilização de dados coorporativos que não configurem dados pessoais. Comunicação com o público geral: Realizaremos o tratamento de seus dados pessoais com a finalidade de viabilizar o envio, por correio eletrônico, de boletins, informes e newsletters, além de convites para participação em pesquisas, formações, congressos ou campanhas. Também tratamos seus dados pessoais para viabilizar a disponibilização de materiais pedagógicos, como e-books sobre temáticas a nós relacionadas, bem como para viabilizar nossa resposta às suas comunicações realizadas via canal fale conosco. Doadores: Realizaremos o tratamento de seus dados pessoais com a finalidade de efetivar a realização da doação, por qualquer que seja a sua modalidade, bem como para o envio, por correio eletrônico, de boletins, informes e Rua Araguari, 835 - 14º andar – Vila Uberabinha – 04514-041 - São Paulo – SP Tel. 55 11 3848-8799 GOVERNANÇA INSTITUCIONAL Página: 5/7 Rev.: 01 – 07/2025 Elaborado por: NAF POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS newsletters, como forma de prestação de contas das nossas atividades realizadas e viabilizadas por vocês, demonstrando o impacto positivo que suas contribuições, como doadores, proporcionam às crianças e adolescentes. Voluntários: Realizaremos o tratamento de seus dados pessoais principalmente para atender a execução de contrato ou de seus procedimentos preliminares, bem como para o exercício regular de direitos em processo judicial, administrativo ou arbitral. Também realizaremos o tratamento de seus dados pessoais com a finalidade de viabilizar o envio, por correio eletrônico, de boletins, informes e newsletters, para que vocês tenham conhecimento do impacto positivo que suas ações, como voluntários, proporcionam às crianças e adolescentes. Beneficiários: Aqui estamos tratando de todo o público que participa e será beneficiado por nossas ações, programas ou projetos, diretamente ou indiretamente, quer sejam crianças, adolescentes, familiares, profissionais da saúde, educação, assistência social, entre outros. Nesse contexto, cada ação, programa ou projeto possui sua dinâmica específica, sendo que o tratamento de seus dados pessoais será realizado para viabilizar a execução das atividades da ação, programa ou projeto que você participou ou participará. Entre as principais finalidades para o tratamento de seus dados pessoais podemos destacar a viabilização de marcação de consultas e encaminhamentos com voluntários e parceiros; a viabilização de acesso à ambientes digitais para formações e disponibilização de material pedagógico; a viabilização para realização de atividades externas pedagógicas, como passeios e excursões; a realização de prestação de contas, possibilitando verificar e comprovando o número de pessoas que foram, realmente, beneficiadas por nossas ações, programas ou projetos; bem como para viabilizar nossa comunicação com os participantes de nossas ações, programas e projetos. Stakeholders e Prospects: Realizaremos o tratamento de seus dados pessoais para viabilizar nossa comunicação, visando a criação de relacionamento e convidando-os para apoiar nossa causa, quer seja com o apoio financeiro ou técnico às nossas ações, programas e projetos. Nesse sentido, é possível verificar que existem atividades que, para que seja possível sua realização, será indispensável o compartilhamento de seus dados pessoais com terceiros. Nesses casos, ressalvadas as hipóteses em que seu consentimento não será necessário, conforme estabelecido nessa política e na LGPD, deveremos obter seu consentimento específico. Assim, sempre que o tratamento de seus dados pessoais for necessário para a realização da atividade, você será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer seus direitos. Não será permitida a transmissão, distribuição, comunicação, transferência, difusão, extração ou o uso compartilhado de dados pessoais sensíveis com terceiros com o objetivo de se obter vantagem econômica, assim como também será determinantemente proibido condicionar a participação de titulares crianças e adolescentes em jogos, aplicações de internet ou outras atividades ao fornecimento de dados pessoais além dos estritamente necessários para a realização das atividades. Pessoas jurídicas de direito público poderão compartilhar conosco dados pessoais constantes em seus bancos de dados ou naqueles que tenham acesso, desde que tal compartilhamento tenha previsão legal ou for respaldado em contratos, convênios ou instrumentos congêneres. Essa Política de Proteção de Dados Pessoais e a LGPD não se aplicam ao tratamento de dados pessoais realizado por conselheiros, superintendentes, gerentes, coordenadores, lideranças, colaboradores, estagiários, trainees, aprendizes, prestadores de serviços, autônomos, membros ou representantes de organizações ou empresas parceiras, doadores, voluntários, beneficiários, jornalistas, celebridades, políticos ou agentes públicos realizados para fins exclusivamente particulares e não econômicos, assim como não se aplicam ao tratamento de dados pessoais realizado para fins exclusivamente jornalístico e artísticos. Rua Araguari, 835 - 14º andar – Vila Uberabinha – 04514-041 - São Paulo – SP Tel. 55 11 3848-8799 GOVERNANÇA INSTITUCIONAL Página: 6/7 Rev.: 01 – 07/2025 Elaborado por: NAF POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS COOKIES E GOOGLE ANALYTICS Aos visitantes de nossos sites, não realizaremos o tratamento de seus dados pessoais. Os cookies são recursos em que o próprio navegador de internet do visitante armazena informações sobre seus dados de navegação, independentemente se o visitante deseja compartilhar esses dados com terceiros. Já o Google Analytics é uma ferramenta que identifica como os visitantes do site interagem com a página, sendo que, essa identificação se restringe apenas a informações de quais sites foram visitados e por quanto tempo os visitantes permaneceram no ambiente. No entanto, tanto o Google Analytics como nossos sites não utilizam cookies que armazenam dados pessoais. Ambas as funcionalidades armazenam um banco de dados anonimizado, ou seja, não é possível identificar, de nenhuma forma, quais são os titulares das informações e dados. A finalidade desse armazenamento de informações é para o monitoramento estatístico da performance de nossos sites, permitindo, assim, a implementação de melhorias em sua estrutura e funcionalidades. DIREITO DOS TITULARES Será direito dos titulares dos dados pessoais que nós tratamos: I - A confirmação se seus dados pessoais são ou não objeto de tratamento; II - O direito de acesso facilitado e disponibilização de cópia de seus dados pessoais e demais informações sobre o seu tratamento, como a finalidade, o prazo para tratamento, informações do controlador, informações sobre eventual transmissão, distribuição, comunicação, transferência, difusão ou extração, responsabilidades e direitos; III - A correção de seus dados pessoais incompletos, inexatos ou desatualizados; IV - A eliminação de seus dados pessoais desnecessários; V - A portabilidade de seus dados pessoais à outro controlador; VI - A eliminação de seus dados pessoais após o alcance ou perda da finalidade específica ou pelo final do prazo para tratamento; VII - A identificação das pessoas físicas e jurídicas com quem transmitimos, distribuímos, comunicamos, transferimos ou difundimos seus dados pessoais; VIII - A informação sobre a possibilidade de não fornecer seu consentimento e quais as consequências dessa negativa; IX - A discordância à decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluídas as decisões destinadas a definir o seu perfil pessoal, profissional, de consumo ou de crédito (profiling) ou ainda aspectos de sua personalidade; X - A comunicação em caso de ocorrência de incidente de segurança que lhe possa acarretar risco ou dano relevante; e XI - A revogação de seu consentimento pelo tratamento de seus dados pessoais, a qualquer momento, mediante sua manifestação expressa, por procedimento gratuito e facilitado. REGISTRO DAS OPERAÇÕES Rua Araguari, 835 - 14º andar – Vila Uberabinha – 04514-041 - São Paulo – SP Tel. 55 11 3848-8799 GOVERNANÇA INSTITUCIONAL Página: 7/7 Rev.: 01 – 07/2025 Elaborado por: NAF POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS Para garantir aos titulares o exercício e respeito aos seus direitos, nós manteremos em nossos bancos de dados pessoais os registros das operações de tratamento que realizamos, e, para isso, será necessário o processamento, arquivamento e armazenamento de dados pessoais mínimos que viabilizem a identificação do titular, mesmo após a eliminação dos dados pessoais ou da revogação do consentimento pelo titular. SOLICITAÇÕES E ENCARREGADO Os titulares ou seus representantes legalmente constituídos poderão nos enviar toda e qualquer solicitação sobre seus direitos, de forma gratuita, conforme explícitos nessa política, mediante envio de comunicação por e-mail para o endereço dpo@fadc.org.br, ou por meio de correspondência, a ser enviada para o endereço Rua Araguari, 835, 14º andar, Vila Uberabinha, São Paulo-SP, 04514-041, especificando: (i) nome completo ou razão social; (ii) número de CPF ou CNPJ; (iii) e-mail do titular ou representante legal; e (iv) direito que deseja exercer. Para administrar as solicitações e comunicações junto aos titulares e à Autoridade Nacional de Proteção de Dados, indicamos o encarregado Sr. Kleber Silva, que poderá ser contatado pelo endereço de e-mail dpo@fadc.org.br. OPERADORES Às pessoas físicas e jurídicas que realizarem o tratamento de dados pessoais sob nosso nome e ordens será exigido a observância e cumprimento de todos os princípios, diretrizes e normas estabelecidos nessa Política de Proteção de Dados Pessoais e na LGPD, resguardado nosso eventual direito de regresso. PADRÃO TÉCNICO DAS MEDIDAS DE SEGURANÇA Destaca-se que é nosso compromisso, junto aos titulares, na realização do tratamento de seus dados pessoais, quer ocorram de forma nacional ou internacional, a utilização das melhores medidas técnicas, administrativas e organizacionais de segurança da informação e recursos digitais, computacionais e de informática, buscando-se evitar acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer outra forma de tratamento inadequado ou ilícito. Nesse sentido, todo e qualquer tratamento de dados pessoais que utilize de servidores localizados no estrangeiro deverão ser realizados junto a países ou organismos internacionais que proporcionem adequado grau de proteção de dados pessoais, sendo que o servidor, do controlador ou operador, deverá oferecer e comprovar garantias de cumprimento aos princípios, diretrizes e normas estabelecidos nessa Política de Proteção de Dados Pessoais. Rua Araguari, 835 - 14º andar – Vila Uberabinha – 04514-041 - São Paulo – SP Tel. 55 11 3848-8799