Global Site
Argentina Aruba Barbados Bolivia Brazil Canada Cayman Islands Chile Colombia Costa Rica Curacao El Salvador Guatemala Honduras Mexico Paraguay Peru Puerto Rico Saint Martin Suriname United States Uruguay Venezuela
Australia Cambodia China Hawaii Hong Kong India Indonesia Japan Macau Malaysia Maldives Mongolia Myanmar Nepal New Zealand Pakistan Philippines Singapore South Korea Sri Lanka Taiwan Thailand Vietnam
Albania Andorra Armenia Austria Azerbaijan Belgium Bulgaria Croatia Cyprus Czech Republic Denmark Estonia Finland France Georgia Germany Greece Hungary Ireland Italy Kazakhstan Kosovo Latvia Lithuania Luxembourg Malta Moldova Netherlands Norway Poland Portugal Romania Serbia Slovakia Slovenia Spain Sweden Switzerland Tajikistan Turkey Ukraine United Kingdom Uzbekistan
Algeria Angola Bahrain Egypt Ghana Israel Jordan Kenya Kuwait Lebanon Liberia Mauritius Morocco Mozambique Nigeria Oman Qatar Saudi Arabia Senegal Sierra Leone South Africa Tanzania Togo Tunisia Uganda United Arab Emirates Yemen
Fale conosco
home
Yellow pinnacles on a gray background

Política de Privacidade da Crowe Brasil

1. Objetivo

Estabelecer diretrizes que permitam o Grupo Crowe Macro realizar o tratamento de dados pessoais, inclusive nos meios digitais, de modo a proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, em conformidade com a legislação brasileira.

2. Abrangência

A política geral de privacidade e proteção de dados pessoais descrita neste documento tem como abrangência: todos aqueles, pessoa física ou jurídica, que tenham o tratamento de seus dados pessoais em que a empresa Crowe Macro esteja na condição de agente de tratamento de dados como controlador ou operador. 

3. Definições

Agentes de tratamento: o controlador e o operador;
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta lei em todo o território nacional;
Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
Bases legais: fundamentação legal que torna legítimo o tratamento de dados pessoais para uma determinada finalidade prévia;
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Dado anonimizado: dado relativo ao titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
Encarregado pela proteção de dados pessoais (DPO): pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a autoridade nacional de proteção de dados (ANPD);
Encarregado Substituto pela proteção de dados pessoais (DPO Substituto): Pessoa indicada pelo controlador e/ou operador para substituir, temporariamente ou interinamente, o Encarregado titular pelo tratamento de dados pessoais.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do rafa;controlador;
Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Uso compartilhado de dados: comunicação, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes     privados.

4. Responsabilidades

Todos os colaboradores: seguir as disposições da presente política de privacidade e proteção de dados pessoais;
Encarregado pela proteção de dados pessoais (DPO): atuar como canal de comunicação entre o controlador, os titulares dos dados e a autoridade nacional de proteção de dados (ANPD);
Encarregado Substituto pela proteção de dados pessoais (DPO Substituto): Pessoa indicada pelo controlador e/ou operador para substituir, temporariamente ou interinamente, o Encarregado titular pelo tratamento de dados pessoais, atuando como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD), durante os períodos de ausência, impedimento ou vacância do titular da função;
Controlador: determinar as finalidades, condições e meios do processamento de dados pessoais, a quem compete decisões referente ao tratamento de dados pessoais;
Operador: responsável pelo processamento de dados pessoais em nome do controlador;
Grupo Crowe Macro: zelar pela proteção de dados e privacidade dos dados pessoais a ela confiados. Quando controlador, determinar as finalidades, condições e meios do processamento de dados pessoais. Quando operador, tratar os dados pessoais de acordo com as instruções do cliente.

4.1 Do encarregado pelo tratamento de dados pessoais

A Crowe Macro possui profissional responsável pelo processamento de dados pessoais, interna e externamente, que poderá ser contatado através do e-mail. Sendo assim, através deste instrumento, o Grupo Crowe Macro designa o seguinte como encarregado dos dados

ENCARREGADO TITULAR Rafael Carvalho
ENCARREGADO SUBSTITUTO Giovanna Lacerda
E-MAIL [email protected]

As atividades desenvolvidas pelo encarregado consistirão em:
I. Prestar esclarecimentos e adotar providências quanto a informações solicitadas pelos titulares dos dados;
II. Receber comunicações da autoridade nacional de proteção de dados e adotar as  providências necessárias aos casos concretos;
III. Orientar os colaboradores e contratados sobre as práticas adotadas em relação à proteção de dados pessoais;
IV. Executar as atribuições determinadas pelo controlador ou estabelecidas em normas complementares;
V. Avaliar incidentes, confirmados ou não, de violação da privacidade e proteção de dados pessoais;
VI. Direcionar os responsáveis pelo desdobramento desta política em procedimentos e controles internos;
VII. Promover reuniões com as lideranças internas para garantir o alinhamento sistêmico dos processos internos com as diretrizes desta política.

5. Diretrizes

5.1 Do tratamento de dados pessoais

O Grupo Crowe Macro respeita e valoriza os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da pessoa natural. Desse modo, se compromete para que o tratamento de dados pessoais seja realizado de acordo com a legislação vigente e busca com as diretrizes a seguir, que todos, segundo o escopo e público-alvo desta política, compartilhem deste comprometimento.

5.1.1 Princípios a serem observados

Devem ser observados os seguintes princípios nas atividades de tratamento de dados pessoais:

Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em   relação às finalidades do tratamento de dados;
Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; 
Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
Responsabilização e prestação de contas: demonstração, pelo agente de tratamento, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

5.1.2 Requisitos para o tratamento de dados pessoais

O tratamento de dados pessoais, considerando o escopo desta política, somente poderá ser realizado nas seguintes hipóteses:

a) Mediante o fornecimento de consentimento pelo titular;
b) Para o cumprimento de obrigação legal ou regulatória pelo controlador;
c) Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;
d) Para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
e) Para a proteção da vida ou da incolumidade física do titular ou de terceiros;
f) Quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais ou para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
O Encarregado pela proteção de dados pessoais (DPO) deve ser consultado, antes do tratamento do dado, quando houver qualquer dúvida quanto ao atendimento dos requisitos acima e sempre que um   novo tratamento de dados vier a ser realizado
Cabe ao Encarregado pela proteção de dados pessoais (DPO) a responsabilidade por identificar as hipóteses de tratamento de dados pessoais em que a obtenção de consentimento prévio possa ser dispensada, bem como, os casos em que a hipótese de interesse legítimo é aplicável.

5.1.3 Tratamento de dados pessoais sensíveis

O tratamento de dados pessoais sensíveis, definido nesta política como “dado pessoal sensível”, deve ser limitado às hipóteses em que for indispensável. Cabe ao Encarregado pela proteção de dados pessoais (DPO) avaliar os casos específicos em que isto ocorra e definir, com base na interpretação da Lei Geral de Proteção de Dados – LGPD, a que for mais restritiva, quanto a exigência do consentimento prévio do titular.

5.1.3.1 Bases legais para o tratamento de dados pessoais sensíveis

O Grupo Crowe Macro reconhece que o tratamento de dados pessoais sensíveis representa riscos mais altos ao titular de dados pessoais e por esta razão assume o compromisso de resguardo e cuidados especiais frente ao tratamento de dados pessoais sensíveis. Os dados pessoais de crianças e adolescentes serão tratados com o mesmo nível de cuidado exigido e oferecido aos dados pessoais sensíveis, mas também estarão sujeitos às disposições próprias estabelecidas no Capítulo II, Seção III, da LGPD, e outras normas específicas aplicáveis.

A realização de operações de tratamento de dados pessoais sensíveis pelo Grupo Crowe Macro somente poderá ser realizada:
I. Quando o titular de dados pessoais ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;
II. Sem fornecimento de consentimento do titular de dados pessoais, nos casos em que o tratamento for indispensável para:
a) O cumprimento de obrigação legal ou regulatória pelo Grupo Crowe Macro;
b) O exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral;
c) Proteção da vida ou da incolumidade física do titular de dados pessoais ou de terceiros;
d) Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; ou
e) Garantia da prevenção à fraude e à segurança do titular de dados pessoais, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

5.1.4 Tratamento de dados pessoais de crianças e adolescentes

A LGPD em seu artigo 14, §1º, estabelece que o tratamento de dados de crianças deverá ser realizado com o consentimento específico e em destaque, dado por pelo menos um dos pais ou pelo responsável legal. Conforme definição prevista no Estatuto da Criança e Adolescente (ECA), criança é a pessoa até doze anos de idade incompletas, e adolescente como aquela entre doze e dezoito anos de idade.

O tratamento de dados pessoais de crianças e adolescentes, inclusive quando o titular estiver na condição de aprendiz e estagiário, somente poderá ser realizado mediante consentimento específico e em destaque por pelo menos um dos pais ou pelo responsável legal. É dever do responsável interno pela atividade, onde os dados de crianças e adolescentes são tratados, garantir que o consentimento, nas condições acima, foi obtido antes do efetivo tratamento.

5.1.5 Término do tratamento de dados

O artigo 15 da LGPD enuncia hipóteses que determinam o término do tratamento desses dados pessoais:

I. Quando alcançada a finalidade específica ou quando os dados deixaram de ser pertinentes;
II. Fim do período de tratamento;
III. Interesse do titular;
IV. Por determinação da autoridade nacional.

O Grupo Crowe Macro adota procedimentos para atender os direitos dos titulares ao término do tratamento, quando aplicável, e dispõe um canal de contato através do site: https://app.protegon.com.br/#/external_request/552bbf83 e/ou email [email protected] 

5.1.6 Eliminação de dados pessoais

Os dados pessoais poderão ser eliminados, nos limites técnicos do Grupo Crowe Macro, por solicitação do titular ou pelo término do tratamento. Todavia é autorizado a conservação dos dados para atender os critérios abaixo.

I. Cumprimento de obrigação legal ou regulatória pelo controlador, para o qual deve ser mantido apenas os dados necessários para atender esta finalidade;
II. Consentimento do titular dos dados;
III. Anonimização dos dados para uso exclusivo do Grupo Crowe Macro.
Em situações neste âmbito, o Grupo Crowe Macro não poderá ser responsabilizada, uma vez que cumprirá com dispositivos previstos na legislação brasileira vigente sobre o tema.

5.1.7 Atendimento aos direitos do titular

Devem ser observados os direitos do titular dos dados pessoais na forma descrita no capítulo III da LGPD, considerando os procedimentos internos definidos. Quando não houver procedimento ou o procedimento definido for insuficiente, deve-se imediatamente comunicar o DPO, para que as medidas necessárias possam ser tomadas em tempo hábil.

O titular de dados tem os seguintes direitos em relação aos seus dados:
I. Direito à confirmação da existência do tratamento: o titular de dados pessoais pode questionar se há a realização de operações de tratamento relativos a dados pessoais seus;
II. Direito de acesso: o titular de dados pessoais pode solicitar e receber uma cópia de todos os dados pessoais coletados e armazenados;
III. Direito de correção: o titular de dados pessoais pode requisitar a correção de dados pessoais que estejam incompletos, inexatos ou desatualizados;
IV. Direito de eliminação: o titular de dados pessoais pode requisitar a exclusão de seus dados pessoais de bancos de dados geridos pelo Grupo Crowe Macro, salvo se houver um motivo legítimo para a sua manutenção, como eventual obrigação legal de retenção de dados ou estudo por órgão de pesquisa;
V. Direito de solicitar a suspensão de tratamento ilícito: a qualquer momento, o titular de dados pessoais poderá requisitar do Grupo Crowe Macro o bloqueio ou eliminação de seus dados pessoais que tenham sido reconhecidos por autoridade competente como desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
VI. Direito de oposição a um tratamento: nas hipóteses de tratamento de dados pessoais não baseadas na obtenção do consentimento, o titular de dados pessoais poderá apresentar ao Grupo Crowe Macro uma oposição, que será analisada a partir dos critérios presentes na LGPD;

VII. Direito à portabilidade dos dados: o titular de dados pessoais poderá requisitar ao Grupo Crowe Macro que seus dados pessoais sejam disponibilizados a outro fornecedor de serviço ou produto, respeitados o segredo comercial e industrial, bem como os limites técnicos de sua infraestrutura;
VIII. Direito à revogação do consentimento: o titular de dados pessoais tem direito a revogar o seu consentimento. Entretanto, ressalta-se que isso não afetará a legalidade de qualquer tratamento realizado antes da retirada.

Para fazer perguntas, exercer qualquer um dos seus direitos acima definidos ou retirar o seu consentimento para o processamento dos seus Dados (onde o consentimento é a base legal para o processamento dos Dados), poderá ser realizado através do site: https://app.protegon.com.br/#/external_request/552bbf83 e/ou email: [email protected] 

5.1.8 Transferência internacional de dados

Toda transferência internacional de dados pessoais, inclusive para armazenamento em nuvem, deve ser comunicada com antecedência ao DPO da empresa para que seja avaliada a legalidade da operação.

5.2 Dos deveres para uso o adequado de dados pessoais

Os deveres de cuidado, atenção e uso adequado de dados pessoais se estendem a todos os destinatários desta política no desenvolvimento de seus trabalhos e atividades no Grupo Crowe Macro, comprometendo-se a auxiliar a empresa a cumprir suas obrigações perante a Lei Geral de Proteção de Dados e demais legislações vigentes.

5.2.1 Deveres de todos os destinatários desta política

Todos os destinatários desta política têm o dever de contatar o DPO quando da suspeita ou da ocorrência efetiva das seguintes ações:
I. Acesso aos dados pessoais mantidos pela Crowe Macro por pessoas não autorizadas ou competentes;
II. Operação de tratamento de dados pessoais realizada sem base legal que a justifique;
III. Tratamento de dados pessoais sem a autorização por parte da Crowe Macro no escopo das atividades que desenvolve;
IV. Operação de tratamento de dados pessoais que seja realizada em desconformidade com a Política de Segurança da Informação POL-TI-002;
V. Eliminação ou destruição não autorizada pela Crowe Macro de dados pessoais;
VI. Qualquer violação desta política ou de qualquer um dos princípios de proteção de dados dispostos no item 5.1.1.

5.3 Do compartilhamento e tratamento de informações pessoais

O Grupo Crowe Macro poderá compartilhar a terceiros os dados pessoais coletados, nas seguintes situações e nos limites exigidos e autorizados pela Lei:

I. Com os seus clientes e parceiros quando necessário e/ou apropriado à prestação de serviços relacionados;
II. Com as empresas e indivíduos contratados para a execução de determinadas atividades e serviços em nome da empresa;
III. Com empresas do grupo;
IV. Com fornecedores e parceiros para consecução dos serviços contratados;
V. Para propósitos administrativos como: pesquisa, planejamento, desenvolvimento de serviços, segurança e gerenciamento de risco;
VI. Quando necessário em decorrência de obrigação legal, determinação de autoridade competente, ou decisão judicial.

Nas hipóteses de compartilhamento de dados pessoais com terceiros, todos os sujeitos mencionados nos itens I a VI deverão utilizar os dados pessoais partilhados de maneira consistente e de acordo com os propósitos para os quais foram coletados e conforme o que for determinado por esta política de privacidade.

5.4 Das bases legais para processamento

O Grupo Crowe Macro trata dados pessoais em situações em que está autorizada legalmente ou mediante o expresso consentimento titular.
Utiliza-se as bases legais para coletar, produzir, receptar, classificar, utilizar, acessar, reproduzir, transmitir, distribuir, processar, arquivar, armazenar, eliminar, avaliar ou controlar a informação, modificar, comunicar, transferir, difundir ou extrair dados pessoais. As bases legais incluem seu consentimento, contratos/procedimentos contratuais e interesses legítimos, de modo que tal processamento não viole seus direitos e liberdades.

Tais interesses incluem proteção de ameaças, cumprir a legislação aplicável, o exercício regular de direitos em processo judicial, administrativo ou arbitral, habilitar a realização ou administração dos negócios, incluindo controle de qualidade, relatórios e serviços oferecidos, gerenciar transações empresariais, entender e melhorar os negócios e relacionamentos com os clientes e permitir que os usuários encontrem oportunidades econômicas.

Caso tenha dúvidas sobre as bases legais para coleta, tratamento e armazenamento de seus dados pessoais, entre em contato com o Grupo Crowe Macro através do site: https://app.protegon.com.br/#/external_request/552bbf83 e/ou email: [email protected] 

5.5 Das medidas de proteção dos dados pessoais

O Grupo Crowe Macro compromete-se a adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

5.5.1 Comunicação interna de incidente de segurança envolvendo dados pessoais

Caso seja verificada a ocorrência de acesso não autorizado e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, todos aqueles afetados por esta política, em seu escopo e público-alvo, devem reportar tão logo quanto possível aos seus responsáveis diretos através do email: [email protected] 
O relator do incidente deve fornecer, sempre que possível, dados que permitam que a ocorrência seja apurada e as medidas necessárias sejam tomadas o mais breve possível.

5.5.2 Comunicação à ANPD e ao titular de dados pessoais de incidentes de segurança

A comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares dos dados pessoais afetados, deve ser realizada sempre que possa acarretar risco ou dano relevante aos titulares.
Sempre que houver suspeita de que a condição acima possa ter ocorrido, deve ser comunicado ao DPO da empresa, que verificará a necessidade de formação de um comitê de gestão de crise para apurar o fato. Verificada a necessidade, a formação do comitê deverá ser realizada tão logo quanto possível para minimizar o agravamento da situação.

5.5.3 Práticas de segurança dos dados e governança

O Grupo Crowe Macro manterá como parte de seu SGSI Sistema de Gestão de Segurança da Informação esta e outras políticas internas específicas, com diretrizes voltadas aos diversos envolvidos no tratamento, nos termos do escopo e público-alvo desta política. Este conjunto de políticas devem assegurar o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados, inclusive pessoais.

A implementação das práticas de segurança e governança previstas nestas políticas são baseadas na norma ISO 27001 voltadas à governança e gestão da segurança da informação, gestão de riscos e controles necessários ao cumprimento. O SGSI implementado deve ser passível de avaliação de efetividade com relação à privacidade e a proteção de dados pessoais de que trata esta política.

6. Descarte de Dados
Os dados pessoais coletados e tratados pelo Grupo Crowe Macro serão mantidos pelo período necessário para cumprimento das finalidades que justificaram sua coleta, bem como para atendimento a obrigações legais ou regulatórias.
No caso de clientes que encerrarem sua relação contratual com o Grupo Crowe Macro, os dados serão armazenados pelo prazo máximo de 5 (cinco) anos após o término da relação, respeitando os prazos legais aplicáveis.
Findo esse período, os dados pessoais serão excluídos de forma segura e irreversível de nossas bases.

7. Vigência e revisão
Esta política entra em vigor ao mesmo tempo que a Lei Geral de Proteção de Dados - LGPD, devendo ser observada a data de início de vigência desta última.
O Grupo Crowe Macro assume o compromisso de revisitar a presente política periodicamente e, a seu critério, promover modificações que atualizem suas disposições de modo a reforçar o compromisso com a privacidade e a proteção de dados pessoais, sendo comunicadas todas as alterações realizadas oportunamente.

8. Política de Segurança da Informação - Síntese para Consulta 

No Grupo Crowe Macro, a segurança da informação é um valor essencial para garantir a confiança de nossos clientes, parceiros e colaboradores. Nosso compromisso é proteger dados e ativos digitais contra acessos indevidos, perdas ou alterações não autorizadas, assegurando a confidencialidade, integridade e disponibilidade das informações.

Objetivos
Garantir o uso seguro de sistemas, redes e dispositivos;
Proteger dados pessoais e corporativos em conformidade com a Lei Geral de Proteção de Dados (LGPD);
Reduzir riscos de incidentes por meio de controles técnicos, normas de conduta e conscientização dos profissionais.

Diretrizes Gerais
Todos os recursos de TI devem ser utilizados apenas para fins profissionais;
O acesso às informações é restrito, controlado e monitorado;
Senhas são pessoais, sigilosas e devem ser trocadas periodicamente;
Softwares, sistemas e equipamentos só podem ser utilizados se homologados pela área;
Todos os colaboradores são responsáveis por manter a segurança da informação e comunicar incidentes imediatamente.

Conformidade com a LGPD
Respeitamos a privacidade e os direitos dos titulares de dados, garantindo:
Consentimento informado quando aplicável;
Transparência no uso das informações;
Direitos de acesso, exclusão e portabilidade dos titulares;
Segurança com medidas técnicas e organizacionais adequadas.

Uso de Recursos Tecnológicos
Internet e e-mail: devem ser usados exclusivamente para atividades profissionais, com proibição de conteúdos ilegais, ofensivos ou não autorizados;
Microsoft Teams: ferramenta oficial de comunicação e colaboração, sujeita às mesmas regras de uso ético e seguro;
Notebooks e smartphones corporativos: fornecidos para atividades profissionais, devendo ser mantidos protegidos e utilizados com responsabilidade;
Telefonia e impressoras: restritos ao uso corporativo, com controles de acesso e monitoramento.

Controle de Acesso e Senhas
O acesso aos sistemas é concedido somente mediante necessidade e autorização;
Senhas devem ter no mínimo 12 caracteres, ser trocadas a cada 90 dias e não podem ser compartilhadas;
Em caso de desligamento ou afastamento, os acessos são imediatamente revogados.

Home Office e BYOD
O trabalho remoto é permitido desde que o colaborador mantenha um ambiente seguro, siga as mesmas regras do escritório e utilize recursos homologados;
O uso de dispositivos pessoais (BYOD) é autorizado apenas em situações excepcionais, mediante aprovação e com medidas de segurança.

Inteligência Artificial
O uso de ferramentas de IA generativa (como ChatGPT, Copilot, Bard, etc.) é permitido, desde que não envolva dados confidenciais, sensíveis ou estratégicos, salvo em ambientes autorizados pela área de TI.
Todo uso deve ser responsável, ético e em conformidade com a legislação e políticas internas.

Auditoria e Monitoramento
O Grupo Crowe Macro realiza auditorias periódicas para verificar a conformidade com esta política.
O uso de e-mails, internet, sistemas e dispositivos pode ser monitorado para garantir segurança e integridade.

Compromisso Final
O cumprimento desta política é obrigatório para todos os colaboradores e prestadores de serviço. Violações podem resultar em medidas disciplinares e legais.
Nosso compromisso é manter práticas alinhadas às melhores referências do mercado, incluindo a ISO 27001, garantindo um ambiente digital seguro e confiável para todos.

9. Natureza das alterações

Tabela 1 – Histórico de revisões

Data

Revisão

Descrição

Alterado por

Aprovado por

29/05/2025

000

Elaboração inicial

Giovanna Lacerda

Rafael Carvalho

09/09/2025

001

Inclusão de Síntese para Consulta da PSI

Giovanna Lacerda

Rafael Carvalho

10. Documentos relacionados

Tabela 2 – Lista de documentos relacionados nesta política.

Tipo documento

Código

Título

Política

POL-TI-002

Política de Segurança da Informação