Política de Privacidade

O Instituto Nacional de Desenvolvimento de Cidades (INDC) nasceu com a convicção de que a transformação da gestão pública municipal depende da capacitação e formação ética, técnica e responsável de pessoas. Pensando nisso, os cursos de capacitação educacional para agentes públicos, reflete este compromisso: capacitar gestores, servidores e lideranças municipais para atuarem com excelência, integridade e foco no interesse público.

A partir desta finalidade institucional, a proteção de dados pessoais é um valor inegociável. A confiança depositada pela administração pública exige que todos os que atuam junto ao INDC (professores, consultores, fornecedores, colaboradores, curadores, equipes de conteúdo e parceiros institucionais) observem padrões elevados de proteção e privacidade de dados pessoais.

Esta Política de Privacidade estabelece as diretrizes para o tratamento de dados pessoais de servidores públicos participantes de nossos cursos e serviços, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD – Lei 13.709/2018).

A LGPD foi promulgada para proteger direitos fundamentais de liberdade e de privacidade, disciplinando o tratamento de dados pessoais por pessoas físicas ou jurídicas, de direito público ou privado. Assim, o INDC, na condição de controlador dos dados, compromete-se a cumprir todos os seus dispositivos e orientações.

A presente Política de Privacidade de Dados Pessoais estabelece um conjunto de princípios que orientam decisões, comportamentos e relações institucionais, em diretrizes claras, práticas e obrigatórias. Ela deve ser conhecida, internalizada e praticada diariamente.

Inspiramo-nos em melhores práticas adotadas por instituições educacionais e órgãos públicos para garantir transparência e clareza na redação desta Política. Em especial, reafirmamos nosso compromisso ético com a proteção dos dados pessoais, adotando padrões de tratamento transparentes, seguros e responsáveis.

 

1. Princípio da Proteção de Dados

Conforme disposto no artigo 6° da Lei n° 13.709/2018 (LGPD) as atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

  • Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
  • Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
  • Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
  • Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
  • Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
  • Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
  • Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
  • Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
  • Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
  • Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

 

2. Base Legal para o Tratamento

O tratamento dos dados pessoais, nos termos do artigo 7° da Lei n° 13.709/2018 (LGPD), é executado com bases nas bases legais abaixo relacionadas:

  • Concessão de consentimento pelo titular e/ou seu responsável legal; Cumprimento de obrigação legal ou regulatória pelo controlador;
  • Execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres;
  • Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular;
  • Exercício regular de direitos em processo judicial, administrativo ou arbitral; Proteção da vida ou da incolumidade física do titular ou de terceiro;
  • Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;

  • Atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

 

3. Transferência Internacional de Dados Pessoais

Como regra, o INDC busca manter os dados pessoais tratados em seus serviços em infraestrutura localizada no território nacional ou submetida às leis brasileiras. No entanto, poderá haver hipóteses em que o uso de serviços de computação em nuvem ou de plataformas contratadas implique transferência internacional de dados pessoais, especialmente para fins de hospedagem, backup, suporte técnico ou processamento.
Nesses casos, o INDC observará as condições previstas na LGPD para a transferência internacional de dados, garantindo que o país de destino ou o organismo internacional proporcione grau de proteção de dados pessoais adequado ou que existam garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previsto na legislação brasileira.
Ainda, sempre que aplicável, serão adotadas cláusulas contratuais específicas, mecanismos de governança de dados e medidas técnicas e organizacionais adicionais para proteção dos dados pessoais transferidos.

 

4. Dados Pessoais Coletados

A presente política objetiva oferecer segurança jurídica e reputacional, reforça a transparência institucional e fortalece a confiança dos municípios que participam dos cursos de capacitação ofertados.

O INDC coleta apenas os dados pessoais estritamente necessários para a prestação de seus serviços educacionais e cumprimento de obrigações contratuais ou legais. Os dados pessoais podem ser provenientes de três fontes:

  • Se e quando o titular ou terceiro fornecer diretamente as informações;
  • Gerados quando da execução das atividades do INDC;
  • Obtidas de bases de dados públicas;
  • e Compartilhadas por outras fontes governamentais.

Em especial, podem ser tratados os seguintes tipos de dados dos participantes (servidores públicos).

  • Dados de identificação: nomecompleto, CPF e/ou matrícula funcional, RG, data de nascimento e demais dados cadastrais;
  • Dados de contato: e-mail institucional, telefone ou ramal para comunicação sobre cursos e operações acadêmicas;
  • Dados profissionais: cargo, função, órgão ou unidade de lotação e outras informações administrativas relevantes ao curso;
  • Dados acadêmicos: informações de inscrição nos cursos, histórico de participação em aulas, avaliações, notas e certificados, além de relatório de frequência e desempenho. Esses dados são coletados para viabilizar a prestação dos serviços de ensino, emissão de certificados e geração de relatórios acadêmicos, fazendo parte do escopo intrínseco do serviço educacional.

Dados de acesso à plataforma: registros de login, dados técnicos de acesso (por exemplo, endereço IP e dados de navegação no ambiente de ensino), necessários para manter a segurança da plataforma e autenticar o participante.

Todas as informações acima são armazenadas de forma segura e utilizadas exclusivamente para as finalidades aqui descritas. Os conceitos de dados sensíveis (como crença religiosa, saúde etc.) não se aplicam aos procedimentos normais do INDC, que não os coleta nem trata.

 

5. Finalidades do Tratamento de Dados

O tratamento dos dados pessoais pelos quais o INDC é responsável tem finalidades legítimas e específicas, informadas previamente aos titulares no momento da coleta.

Os dados pessoais obtidos e gerados pelo INDC são tratados para:

  • Prestação de serviço educacional: viabilizar inscrição em cursos, acesso ao conteúdo pedagógico online, interação em aulas virtuais e gerenciamento da plataforma de ensino.
  • Emissão de certificados e diplomas: geração de declarações de participação, certificados de conclusão e outras comprovações de capacitação profissional, mediante conferência dos dados pessoais e de desempenho acadêmico;
  • Comunicações institucionais e contratuais: manter contato com participantes sobre informações administrativas, financeiras ou acadêmicas (e.g. confirmação de matrícula, aviso de início de curso, atualizações de cronograma).
  • Relatórios e estatísticas: elaboração de relatórios de frequência, aproveitamento, desempenho e satisfação dos participantes, utilizados para aprimorar processos e cumprir exigências contratuais com os órgãos públicos contratantes.
  • Cumprimento de obrigações legais e contratuais: atender obrigações fiscais, contábeis e regulatórias, bem como acatar eventuais determinações judiciais ou requisições legais relativas aos dados dos participantes.

Em cada finalidade, o INDC adota bases legais da LGPD condizentes, como o consentimento do participante (quando exigido), a execução de contrato (serviços educacionais) e o cumprimento de obrigação legal ou regulatória. Cabe ressaltar que o tratamento de dados pessoais realizado pelo INDC se pauta sempre pelos princípios da LGPD, garantindo a aplicação mínima necessária dos dados para cada finalidade.

Seus cursos de capacitação educacional envolvem múltiplos atores internos e externos, é essencial que todos sigam os mesmos padrões de comportamento, independentemente da natureza do vínculo.

Isso inclui colaboradores, professores, curadores, consultores externos, fornecedores, parceiros e quaisquer representantes institucionais. Essa uniformidade evita fragilidades, garante previsibilidade e protege a reputação institucional. Não há exceções: todos os que se relacionam com o INDC devem aderir plenamente o disposto nesta Política de Proteção de Dados.

 

6. Compartilhamento de Dados

O INDC não vende, aluga ou comercializa dados pessoais a terceiros. Eventuais compartilhamentos ocorrem apenas quando necessários para a execução das finalidades acima e sempre com proteções adequadas.

Em especial, informamos que os dados pessoais dos participantes podem ser compartilhados exclusivamente com a plataforma de ensino online contratada pelo INDC para disponibilizar as aulas e conteúdo.

Esse compartilhamento visa unicamente a viabilizar o acesso e a gestão do ambiente virtual de aprendizagem, e está restrito a obrigações contratuais e educacionais. Em consonância com práticas de entidades educacionais, quaisquer informações compartilhadas servem “única e exclusivamente para manutenção da operação da plataforma” educacional.

Além disso, o INDC poderá compartilhar dados pessoais com autoridades ou parceiros quando exigido por lei (ordem judicial, requisição de órgão público competente) ou quando for necessário para cumprir contratos de prestação de serviço (e.g. contabilidade, auditoria). Em qualquer caso, garantimos que os terceiros envolvidos respeitam regras de confidencialidade e segurança da informação, conforme previsto no art. 33 da LGPD.

Não há transferência internacional de dados no escopo dos serviços regulares do INDC, uma vez que todos os registros são mantidos em servidores localizados no Brasil.

 

7. Direito dos Titulares de Dados

Conforme previsto no art. 18 da LGPD, os titulares (servidores públicos participantes dos cursos, colaboradores e professores) têm direito a:

  • Confirmação e acesso: obter do INDC a confirmação da existência de tratamento e ter acesso aos dados pessoais que lhe digam respeito;
  • Retificação: solicitar a correção de seus dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação: requerer a anonimização, o bloqueio ou a eliminação de dados pessoais desnecessários, excessivos ou tratados em desconformidade com a legislação;
  • Exclusão: solicitar a eliminação de seus dados pessoais tratados com seu consentimento, exceto nas hipóteses em que o armazenamento seja exigido por lei;
  • Portabilidade: requerer a transferência dos dados pessoais a outro fornecedor de serviço ou produto, quando tecnicamente viável;
  • Informação: ser informado sobre as entidades públicas e privadas com as quais o INDC compartilhou seus dados;
  • Revogação do consentimento: quando o tratamento estiver baseado em consentimento, o titular pode revogar este consentimento a qualquer momento, mediante manifestação expressa;
  • Não fornecimento de consentimento e suas consequências: ser informado sobre a possibilidade de não fornecer consentimento e as consequências da negativa;
  • Revisãodedecisõesautomatizadas:solicitararevisãodedecisãotomada com base em tratamento automatizado de dados que lhe afete;

Todos esses direitos podem ser exercidos por meio de comunicação direcionada ao INDC. Disponibilizaremos em nosso site institucional um canal específico de privacidade e proteção de dados, no qual o titular poderá registrar suas solicitações (confirmação, acesso, correção, eliminação, revogação de consentimento etc.).

Alternativamente, as requisições podem ser encaminhadas diretamente por e-mail ao Encarregado de Proteção de Dados do INDC (DPO) oficialmente nomeado, para dar suporte a essas solicitações.

 

8. Compromisso e Cumprimento da LGPD

O INDC reafirma seu compromisso com o cumprimento irrestrito da legislação de proteção de dados vigente. Todos os dados pessoais são tratados com responsabilidade e respeito à privacidade, conforme orientam políticas exemplares do setor educacional. Nenhuma decisão que envolva dados pessoais será tomada de forma oculta ou fora do previsto nesta Política.

Caso o titular deseje esclarecer dúvidas ou exercer seus direitos a qualquer tempo, o INDC manterá canais de atendimento claros e acessíveis em nosso site, em consonância com os princípios da boa-fé e da autodeterminação informativa estabelecidos pela LGPD.

Nossa governança de dados está estruturada para assegurar que cada tratamento seja alinhado às finalidades contratadas e à legislação aplicável, refletindo o compromisso institucional do INDC com a ética e a qualidade no serviço público de educação.

A governança envolve o conjunto de estruturas, políticas e práticas que asseguram que o INDC ética, eficiência e transparência.

9. Comitê de Proteção de Dados e do Encarregado de Dados

O Comitê de Proteção de Dados é órgão colegiado responsável por analisar casos complexos, supervisionar riscos críticos, acompanhar investigações relevantes e propor ações de aprimoramento. Atua de forma imparcial, técnica e independente. O comitê delibera sobre casos sensíveis, supervisiona riscos críticos e recomenda ações estruturantes.

O Encarrega de Dados coordena, integra e monitora o cumprimento da presente Política. Ele supervisiona riscos, controles, denúncias e auditorias em matéria de proteção de dados, sendo pessoa vinculada à obrigação de sigilo ou de confidencialidade no exercício das suas funções, em conformidade com a Lei Federal n° 13.709 de 2018 e com a Lei Federal n° 12.527/2011. Compete ao encarregado de dados:

  • Receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • Orientar os servidores e os contratados no cumprimento das práticas necessárias à privacidade de dados pessoais;
  • Quando provocado, entregar o Relatório de Impacto de Proteção aos Dados Pessoais, na forma da lei, com o apoio técnico das áreas jurídica e tecnológica da entidade;
  • Atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), cumprindo com atribuições que possam vir a ser estabelecidas pela ANPD;
  • Informar, quando obrigatório, à Autoridade Nacional de Proteção de Dados (ANPD) a comunicação ou o uso compartilhado de dados pessoais de pessoas naturais ou jurídicas de direito privado;
  • Atender às normas complementares da Autoridade Nacional de Proteção de Dados (ANPD);
  • Informar à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares dos dados pessoais eventuais incidentes de privacidade de dados pessoais, dentro da execução de um plano de respostas a incidentes.

A identidade e as informações de contato do encarregado devem ser divulgadas publicamente, de forma clara e objetiva, nos meios oficiais de divulgação do INDC, em seção específica sobre tratamento de dados pessoais.

O Encarregado de dados pode ser contatado das seguintes formas:

  • Site: indc.com.br
  • E-mail: lgpd@indc.com.br

 

10 – Medidas de Segurança

O INDC adota medidas técnicas, administrativas e organizacionais alinhadas às boas práticas para proteger os dados pessoais contra acesso não autorizado, perdas, alterações ou divulgação indevida.

Dentre essas medidas estão: política interna de privacidade, controles de acesso restrito aos dados conforme a função de cada colaborador, uso de ferramentas de criptografia e certificação digital em sistemas sensíveis, firewall, atualizações de segurança de software e auditorias periódicas de acesso aos bancos de dados.

O INDC compromete-se a revisar continuamente essas medidas de segurança, incorporando novas tecnologias que reforcem a proteção dos dados pessoais.

10.1. Gestão de Risco e Incidente de Dados

A gestão de riscos e incidente de dados é parte fundamental da política de privacidade de dados do INDC. Ela assegura que ameaças, vulnerabilidades, oportunidades e mudanças sejam identificadas, avaliadas e tratadas antes que possam impactar negativamente a instituição ou os municípios atendidos.

Identificar riscos significa observar processos, relacionamentos, sistemas, ambientes e legislações para antecipar situações que possam comprometer objetivos ou gerar oportunidades de melhoria. A identificação deve considerar aspectos técnicos, operacionais, comportamentais, reputacionais, jurídicos e tecnológicos.

Os incidentes de segurança envolvendo dados pessoais serão registrados e tratados conforme plano de resposta a incidentes do INDC, que compreende, no mínimo, as etapas de detecção, análise, contenção, erradicação, recuperação e lições aprendidas. Cada incidente deverá ser documentado com a descrição do evento, sistemas e dados afetados, causas prováveis, medidas adotadas e recomendações de melhoria, garantindo rastreabilidade, transparência e prevenção de recorrências.

Riscos classificados como críticos e incidentes relevantes relacionados a dados pessoais serão submetidos ao Comitê de Proteção de Dados e ao Encarregado de Dados, que deverão avaliar os impactos, deliberar sobre as medidas corretivas e preventivas e acompanhar a implementação das ações determinadas. Sempre que necessário, o Comitê poderá recomendar ajustes em processos, controles, contratos ou treinamentos, de forma a fortalecer a governança e a cultura de proteção de dados no INDC e junto aos municípios atendidos.

Quando um incidente de segurança puder acarretar risco ou dano relevante aos titulares de dados pessoais, o INDC poderá comunicar a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados, observando a legislação vigente e as orientações regulatórias aplicáveis. Nesses casos, a comunicação buscará fornecer informações claras e suficientes sobre a natureza do incidente, os dados potencialmente envolvidos, as medidas adotadas para mitigar os efeitos e as orientações aos titulares quanto às providências que podem ser tomadas para sua proteção.

10.2. Segurança da Informação

A proteção das informações é central para o INDC, especialmente pela sensibilidade dos dados de alunos, municípios, servidores e parceiros. A segurança deve ser tratada de forma estratégica, seguindo a ISSO 27001, boas práticas de segurança cibernética e obrigações legais como a Lei Geral de Proteção de Dados (LGPD).

O instituto adota políticas claras sobre armazenamento, acesso, compartilhamento e proteção de dados, garantindo que informações sejam utilizadas apenas dentro do escopo institucional e de forma segura.

O tratamento inclui ferramentas de proteção como controles de acesso, autenticação, criptografia, backups, ambiente seguro de TI, monitoramento e resposta a incidentes. O INDC mantém padrões rigorosos de segurança e estabelece rotinas para garantir integridade dos dados.

A segurança da informação é responsabilidade coletiva. Todos devem proteger dados, evitar acessos indevidos, usar senhas seguras, evitar compartilhamento fora dos canais oficiais e comunicar incidentes imediatamente.

10.2.1 Controle de acesso a sistemas e informações

O controle de acesso começa com um pedido formal de autorização, vinculado a um

processo oficial (admissão, mudança de função ou desligamento).

  • Autenticação multifator (MFA): Em sistemas com dados pessoais é obrigatório o uso de autenticação multifator, combinando senha com um segundo fator (token, app autenticador ou chave de segurança). O usuário é responsável por manter o segundo fator ativo, com apoio da equipe técnica em caso de problemas.
  • Acessos temporários e revisão periódica: Para prestadores de serviço, consultores ou acessos emergenciais, devem ser usadas contas temporárias, com validade máxima de 7 dias e bloqueio automático após esse prazo. As atividades dessas contas são registradas em logs de auditoria, mantidos por, no mínimo, 180 dias.
  • Mudança de função: Em movimentações internas, o gestor da nova área revisa os acessos já existentes e indica o que deve ser mantido, alterado ou revogado, seguindo o mesmo fluxo de solicitação e aprovação.
  • Desligamento: todos os acessos devem ser revogados antes da rescisão.
  • Monitoramento, senhas e contas administrativas: Em caso de esquecimento ou bloqueio de senha a identidade é validada antes da redefinição. Senhas não são informadas por telefone ou e-mail, e nenhum colaborador pode conhecer a senha de outro.

 

11. Sanções e Consequências

Qualquer violação à Política de Privacidade de Dados pelos colaboradores e terceiros com quem o INDC se relaciona pode resultar em sanções proporcionais à gravidade do ato. O INDC adota medidas corretivas e disciplinares para proteger sua integridade, seus alunos, parceiros e colaboradores.

São medidas sancionatórias:

  • Advertência, suspensão e desligamento.
  • Rescisão de contratos e parcerias.
  • Comunicação às autoridades.
  • Medidas proporcionais à violação.

 

12. Disposições Finais

Esta Política está sujeita a atualizações periódicas, a fim de refletir mudanças legais, institucionais e boas práticas de governança. Todos os integrantes devem participar dos treinamentos obrigatórios e manter-se atualizados sobre as normas internas aplicáveis. Em casos de dúvida interpretativa, devem prevalecer os princípios de proteção de dados.

Após ler atentamente esta política, o usuário declara estar de acordo com esta política e aceita todas as suas disposições.

DPO

Sandro Marcelo de Lima
(54) 9636-3869
sandromarcelo3@gmail.com

Powered by
Necessary cookies enable essential site features like secure log-ins and consent preference adjustments. They do not store personal data.
None
Functional cookies support features like content sharing on social media, collecting feedback, and enabling third-party tools.
None
Analytical cookies track visitor interactions, providing insights on metrics like visitor count, bounce rate, and traffic sources.
None
Advertisement cookies deliver personalized ads based on your previous visits and analyze the effectiveness of ad campaigns.
None
Powered by
Rolar para cima