POLÍTICA GERAL DE PRIVACIDADE E PROTEÇÃO DE DADOS 

1. OBJETIVO 

A Aquiris Game Studio (“Nós” ou “Aquiris”), no exercício das suas atividades, realiza operações de tratamento de dados pessoais - seja diretamente ou por meio de seus colaboradores, parceiros ou prestadores de serviços. Esta Política Geral de Privacidade e Proteção de Dados sinaliza o compromisso institucional com o respeito e transparência ao tema. Estabelece, também, as diretrizes seguidas pela Aquiris nas operações de tratamento de dados pessoais.

2. DIRETRIZES

2.1 Aplicabilidade

A Política Geral de Privacidade e Proteção de Dados aplica-se a todos que, de alguma forma, realizam qualquer tipo de operação de tratamento de dados pessoais em nome da Aquiris, sejam colaboradores, freelancers, prestadores de serviço, representantes comerciais, parceiros, entre outros que possuam acesso a informações, dados, serviços, sistemas e recursos de sua propriedade (“Stakeholders”). 

2.2. Da Operacionalização Geral: 

2.2.1. Operação de Tratamento de Dados Pessoais (OTDs): Todo e qualquer novo processo, atividade ou operação da Aquiris que envolva o tratamento de dados pessoais deverá ser previamente reportado por escrito, pelo email dpo@aquiris.com.br, ao Encarregado (Data Protection Officer, ou “DPO”) da Aquiris, o qual poderá formular recomendações de ajuste de conformidade antes da aprovação da OTD. 

2.2.2. Relacionamento com Terceiros: Previamente à pactuação de qualquer contratação com terceiros, a Aquiris deverá exigir que todos os stakeholders envolvidos: 

1. Tenham efetuado o mapeamento de todas as suas operações de tratamento de dados, garantindo que nenhum dado pessoal seja tratado à míngua do devido enquadramento legal aplicável;
2. Possuam meios aptos a recepcionar e atender, de forma adequada, petições e/ou comunicações dos titulares de dados pessoais;
3. Adotem as melhores práticas para garantir a segurança dos dados pessoais tratados;
4. Tenham nomeado um Encarregado do tratamento de dados pessoais;
5. Possuam Plano de Prevenção e Resposta a Incidentes com vazamento de dados.

O não atendimento de qualquer das exigências acima deverá ser objeto de documentação no eventual contrato a ser firmado, a fim de que a Aquiris seja exonerada de também eventual responsabilização cível, criminal ou administrativa que recaia sobre o Terceiro. 

2.3. Da Operacionalização Específica:  

2.3.1. Tratamento de Dados Pessoais: Todo e qualquer tratamento de dados pessoais na ou em favor da Aquiris deverá contar com uma finalidade legítima e específica, sendo que nenhum dado pessoal deverá ser tratado para finalidade diversa daquela informada ao seu titular.

2.3.2. Informação do Titular: Devem ser empreendidos esforços para que o titular seja adequadamente informado acerca do tratamento de seus dados pessoais. Nos casos em que for necessário o compartilhamento de dados pessoais com outras empresas, a Aquiris garantirá a disponibilização, quando solicitado pelos titulares, de informações claras e ostensivas acerca deste compartilhamento, incluindo qual a sua finalidade.

2.3.3. Tratamento de Dados Pessoais em Excesso: É vedado o tratamento de dados pessoais em excesso, devendo: (i.) toda e qualquer operação de tratamento de dados pessoais estar balizada pelo princípio da necessidade e da forma menos invasiva possível ao titular; (ii.) ser estabelecido período de guarda para cada operação de tratamento de dados pessoais; e (iii.) ser criado procedimento técnico específico sobre retenção e expurgo de dados pessoais.

2.3.4. Privacy by Design e by Default: O respeito à privacidade deve se dar “by design” e “by default”, de modo que, desde a sua concepção, todo novo produto ou serviço deverá ser cautelosamente avaliado visando à redução de riscos à proteção de dados pessoais e não se poderá presumir a concessão de qualquer direito pelo titular dos dados pessoais;

2.3.5. Tratamento de Dados de Criança e Adolescente: Os dados pessoais de crianças e adolescentes deverão ser tratados sempre no seu melhor interesse. Quando houver tratamento de dados de crianças e adolescentes, haverá indicação nesse sentido, informando a finalidade que atenderá tal operação. Será necessariamente exigido o consentimento parental em casos de tratamento de dados que sabidamente são oriundos de crianças. O tratamento pode, ainda, decorrer de obrigação legal ou regulatória, oportunidade na qual a Aquiris seguirá diretamente o previsto nos diplomas legais específicos.

2.3.6. Tecnologia e Segurança da Informação: A Aquiris deverá constantemente buscar a adoção das melhores práticas em tecnologia e segurança da informação, visando a garantir a proteção do dado pessoal, incluindo medidas de segurança técnicas e organizacionais para proteger os dados pessoais contra acesso não autorizado, manipulação acidental ou intencional, perda e destruição. 

2.3.7. Gestão de Acesso: O acesso aos dados pessoais coletados será restrito aos colaboradores autorizados e que necessitarem realizar o tratamento desses dados para o desempenho de suas funções na empresa. Os colaboradores que utilizarem as informações coletadas de forma indevida ou inadequada, em descumprimento à Política, estarão sujeitos às consequências de um processo disciplinar. Caso, para viabilizar o cumprimento de obrigações legais ou contratuais, haja necessidade de tratamento de dados pessoais por terceiros (“Operadores”), será exigido destes o mesmo grau de rigorosidade que o desempenhado pela Aquiris nas suas operações de tratamento de dados pessoais.

2.3.8. Coleta e Armazenamento de Dados Pessoais: O armazenamento das informações coletadas de usuários, sejam elas fornecidas pelo próprio usuário ou automaticamente obtidas pelos sistemas eletrônicos da Aquiris, deve observar todos os padrões de segurança necessários para a preservação da confidencialidade e integridade dos dados pessoais.  

2.3.9. Ferramentas Seguras e Centralizadas: Todas as transmissões de dados pessoais realizadas através de sistemas eletrônicos deverão ser realizadas utilizando-se conexões seguras e ferramentas adequadas para tal finalidade. Os dados referentes às senhas e assinaturas eletrônicas dos usuários deverão ser armazenados na base de dados da Aquiris e criptografados por algoritmos que garantam um alto nível de segurança.  

2.3.10. Direito de Acesso: Sujeito às exceções legais, qualquer funcionário, parceiro ou prestador de serviço poderá obter, mediante solicitação, informações sobre seus próprios dados pessoais. Ainda, é assegurado o direito de revogar o consentimento previamente fornecido para tratamento de dados, respeitadas as exceções previstas em lei. 

2.3.11. Tratamento de Dados de Colaboradores e outros: Os dados pessoais de colaboradores, parceiros e prestadores de serviços só serão utilizados para dar suporte às operações da empresa e administrar programas de remuneração, benefícios, recursos humanos ou, ainda, quando for necessário para cumprimento de obrigações legais. Excepcionalmente, será necessária a obtenção de consentimento dos referidos titulares para tratamento de dados cuja finalidade seja diferente daquelas descritas nesta Política.

3. PAPÉIS E RESPONSABILIDADES 

A Aquiris deverá informar em sua página oficial na Internet o nome e os meios de contato do seu Encarregado pelo tratamento de dados pessoais, ao qual caberá:

(i) Receber requerimentos, reclamações e comunicações em geral dos titulares de dados pessoais, coordenando o seu endereçamento;

(ii) Ser ponto de contato com as autoridades fiscalizatórias;

(iii) Coordenar a elaboração e atualização do Registro de Operações de Tratamento de Dados (ROPA) para averiguar o risco no uso de dados pessoais e a conformidade regulatória da empresa, especialmente no desenvolvimento de novos produtos, serviços e práticas;

(iv) Realizar auditorias internas e proativamente estabelecer estratégias de compliance e prevenção de riscos envolvendo dados pessoais;

(v) Orientar e organizar treinamentos aos colaboradores da empresa a respeito das melhores práticas de proteção de dados pessoais;

(vi) Coordenar as medidas de resposta a incidentes com vazamento ou furto de dados pessoais, incluindo o reporte às autoridades ou aos titulares respectivos.

(vii) Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares, priorizando o monitoramento e a adequação da empresa às exigências e à conformidade legal.

(viii) Acompanhar o processo de desenvolvimento de novos produtos e serviços, a fim de que seja assegurado o modelo Privacy by Design – “PbD” em todos os níveis de concepção de inovações na empresa.

(ix) Coordernar a revisão e atualização das políticas de privacidade de dados aplicáveis aos processos de tratamento de dados da Aquiris.

4. MONITORAMENTO E CONTROLE

Para assegurar o efetivo cumprimento da Política Geral de Privacidade, a Aquiris se reserva o direito de monitorar, inspecionar ou auditar a informação que esteja armazenada nos computadores, de sua propriedade, ou que trafegue pela rede da empresa. 

5. DISPOSIÇÕES FINAIS

A presente Política deve ser revisada a cada 12 meses. A decisão de revisão pode ser tomada com base em critérios próprios ou a partir de um dos seguintes acontecimentos:

(i) Incidentes de vazamento de dados considerados significativos;

(ii) Novas vulnerabilidades identificadas na empresa;

(iii) Mudanças na estrutura técnica ou organizacional da empresa;

(iv) Relatórios de Impacto de Risco.

Para sua conveniência, esta Política está disponível em português e inglês. Em caso de dúvida com relação à interpretação destas duas versões, a versão em português deverá prevalecer para todos os fins.

A Política Geral de Privacidade é um documento controlado. O controle de versões deve ser cuidadosamente observado.