Política de Privacidade

I. INTRODUÇÃO E OBJETIVO

A Política de Segurança da Informação apresentada tem como objetivo orientar sobre o gerenciamento, em amplo aspecto, das atividades e operações de tratamento de dados pessoais existentes nas empresas que compõem o grupo econômico da IEST GROUP Este documento integra o programa de compliance da IEST GROUP à Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e demais legislação/regulamentação que tratam sobre o tema. Por meio do presente documento, a IEST GROUP tem a intenção de adequar suas operações de tratamento de dados pessoais às regulamentações legais sobre o tema e, em especial, à Lei Geral de Proteção de Dados aprovada em agosto de 2018. No desempenho de suas atividades a IEST GROUP realiza operações de tratamento de dados pessoais alinhadas ao melhor interesse e direitos dos titulares dos dados pessoais, podendo ser caracterizada como Controladora de Dados Pessoais, de acordo com as definições da LGPD, reforçando, em todas as posições que ocupar, seu compromisso com o cumprimento das regras de privacidade e proteção de dados pessoais aplicáveis. As adequações referentes ao processo de conformidade à LGPD abrangem um trabalho de interpretação da Lei para definição das obrigações legais, levantamento dos fatos relevantes e pertinentes para sua aplicação e aferição de fluxos e processos que contribuem ou não para os ajustes à norma legal. Assim, esta Política tem o condão de orientar quanto às diretrizes aplicáveis à privacidade e proteção dos dados pessoais dos clientes, colaboradores, terceiros e parceiros dos quais a IEST GROUP tem acesso em função do desempenho de suas atividades, estabelecendo as regras aplicáveis sobre o tratamento dos dados coletados, de acordo com a legislação e regulamentação em vigor. Esta Política deve ser analisada em conjunto com as obrigações previstas nos documentos referidos abaixo, que contenham informações em geral, complementando-a quando for o caso: • Políticas Geral de Segurança da Informação e normas de segurança da informação, assim como termos e condições de uso, que tratem sobre confidencialidade, integridade e disponibilidade das informações da IEST GROUP; • Contratos de trabalho dos empregados da IEST GROUP, termos de confidencialidade e outros documentos similares, que contenham obrigações de confidencialidade em relação às informações mantidas pela Instituição; • Quaisquer normas internas que tratem da proteção de dados pessoais, atuais ou que venham a ser periodicamente elaboradas e atualizadas.

II. TERMOS E DEFINIÇÕES

DADOS PESSOAIS: Informação relacionada a pessoa natural identificada ou identificável. Também são considerados dados pessoais aqueles utilizados para formação do perfil comportamental de determinada pessoa natural.

DADOS PESSOAIS SENSÍVEIS: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico quando vinculado a pessoa natural.

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (“ANPD”): Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo território nacional. A ANPD foi instituída pela LGPD como órgão da administração pública federal com autonomia técnica, integrante da Presidência da República, definido a sua natureza como transitória e passível de transformação pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República.

LEI GERAL DE PROTEÇÃO DE DADOS (“LGPD”): Diploma normativo (Lei nº 13.709, de 14 de agosto de 2018) que dispõe sobre o tratamento de dados pessoais em meios digitais ou físicos realizados por pessoa natural ou por pessoa jurídica, de direito público ou privado, tendo como objetivo defender os titulares de dados pessoais e ao mesmo tempo permitir o uso dos dados para finalidades diversas, equilibrando interesses e harmonizando a proteção da pessoa humana com o desenvolvimento tecnológico e econômico.

AGENTES DE TRATAMENTO DE DADOS PESSOAIS: O controlador e o operador de dados pessoais.

CONTROLADOR DE DADOS PESSOAIS: Pessoa física ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

OPERADOR DE DADOS PESSOAIS: Pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador.

TRATAMENTO DE DADOS PESSOAIS (“TRATAMENTO”): Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, modificação, comunicação, transferência, difusão ou extração.

ANONIMIZAÇÃO: Utilização de meios técnicos, razoáveis e disponíveis no momento do tratamento de dados pessoais, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. O dado anonimizado não é considerado dado pessoal para os fins da LGPD.

TITULAR DE DADOS PESSOAIS (“TITULAR”): Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

ENCARREGADO OU DATA PROTECTION OFFICER (“DPO”): Pessoa física ou jurídica indicada pelo Agente de Tratamento para atuar como canal de comunicação entre o Controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados.

FORNECEDORES: No contexto da (IEST GROUP) são considerados fornecedores os outros terceiros contratados e subcontratados, pessoa física ou jurídica, não enquadrados como parceiros comerciais.

III. ABRANGÊNCIA

A presente Política de Privacidade e Proteção de Dados Pessoais se aplica (i) aos empregados da IEST GROUP; (ii) a todos os terceiros, sejam eles pessoas físicas ou jurídicas, que atuam para ou em nome da IEST GROUP em operações que envolvam tratamento de dados pessoais que sejam realizadas no escopo das atividades conduzidas pela IEST GROUP; (iii) aos agentes de tratamento de dados pessoais externos à IEST GROUP que de qualquer forma se relacionem com ela; e (iv) aos titulares de dados pessoais, cujos dados são tratados pela IEST GROUP. As informações tratadas por esta Política incluem todos os dados detidos, usados ou transmitidos pela ou em nome da IEST GROUP, em qualquer tipo de mídia. Isso inclui dados pessoais registrados em papel, mantidos em sistemas de computador ou dispositivos portáteis, bem como dados pessoais transmitidos oralmente. IV. PRINCÍPIOS DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS Nos termos da LGPD, a IEST GROUP cumprirá com os seguintes princípios de proteção de dados pessoais quando do tratamento deles: FINALIDADE: a IEST GROUP realizará o tratamento de dados pessoais apenas para propósitos legítimos, específicos, explícitos e informados ao titular de dados pessoais, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; ADEQUAÇÃO: a IEST GROUP realizará o tratamento de dados pessoais de forma compatível com as finalidades informadas ao titular de dados, e de acordo com o contexto do tratamento; NECESSIDADE: o tratamento de dados pessoais realizado pela IEST GROUP será limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento; LIVRE ACESSO: a IEST GROUP garantirá aos titulares de dados pessoais a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados; QUALIDADE DOS DADOS: a IEST GROUP garantirá, aos titulares de dados pessoais, a exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; TRANSPARÊNCIA: a IEST GROUP garantirá aos titulares de dados pessoais informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento de dados pessoais, observados os segredos comercial e industrial; SEGURANÇA: a IEST GROUP utilizará medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; PREVENÇÃO: a IEST GROUP adotará medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; NÃO DISCRIMINAÇÃO: a IEST GROUP garantirá a impossibilidade de realização do tratamento de dados pessoais para fins discriminatórios ilícitos ou abusivos; RESPONSABILIZAÇÃO E PRESTAÇÃO DE CONTAS: a IEST GROUP compromete-se a demonstrar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais, e a eficácia dessas medidas.

V. DIRETRIZES

1. Disposições iniciais 1.1. Esta Política visa demonstrar o compromisso da IEST GROUP em: 1.1.1. Zelar pela privacidade e proteção dos dados pessoais coletados dos clientes, dos colaboradores e dos parceiros, em função do desempenho de suas atividades; 1.1.2. Adotar diretrizes que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à privacidade e proteção de dados pessoais; 1.1.3. Promover a transparência sobre a forma pela qual a IEST GROUP trata dados pessoais; e 1.1.4. Adotar medidas de proteção em relação a risco de incidente de segurança que envolva dados pessoais. 2. Informações sujeitas à Política 2.1. Estão sujeitas à esta Política: 2.1.1. Todas os dados e informações fornecidas ou coletadas no contexto da prestação dos serviços pela IEST GROUP aos seus clientes para todos os serviços prestados pela IEST GROUP, contábeis, consultoria, tecnologia, englobando todo e qualquer serviço prestado pela IEST GROUP, além da emissão da Nota Fiscal respectiva e publicidade; e 2.1.2. Todas as informações de colaboradores e parceiros coletadas no contexto de obrigação contratual ou legal. 2.2. Quanto à sua natureza, as informações fornecidas pelo titular do dado são aquelas inseridas ou encaminhadas por ele ou seu representante legal, decorrentes do contato, cadastro e/ou contratação junto à IEST GROUP como: nome completo, CPF, endereço completo, dados bancários, endereço de e-mail e número de telefone. 2.3. As práticas de privacidade específicas em relação a outros produtos e serviços que a IEST GROUP vier a disponibilizar aos seus clientes estarão associadas à aceitação pelo cliente ou terceiro de cada serviço. 3. Dados Coletados, forma e finalidade da coleta 3.1. As informações serão coletadas por meios éticos e legais e armazenadas em ambiente seguro e controlado, pelo prazo exigido na regulamentação vigente. A IEST GROUP compromete-se a tomar todas as medidas cabíveis para manter o absoluto sigilo e a estrita confidencialidade de todas as informações, dados pessoais ou especificações a que tiver acesso ou que porventura venha a conhecer ou ter ciência de seus clientes, bem como dos indivíduos diretamente relacionados aos clientes, a que venha a ter acesso em razão da prestação dos serviços (todos serviços prestados pela IEST GROUP), sendolhe vedado ceder e/ou permitir acesso por terceiros a tais informações, ressalvadas as hipóteses descritas nesta Política. 3.2. O acesso de terceiros às informações coletadas pela IEST GROUP se dá exclusivamente para atendimento das finalidades informadas nesta Política e dentro do limite necessário ao desempenho das atividades relativas ao curso normal dos seus negócios, incluindo: 3.3. Ao aceitar esta política, o titular de dados está ciente e autoriza que todas as empresas do grupo econômico que utilizam a marca e nome fantasia IEST GROUP compartilhem entre si os dados pessoais e informações coletados de seus clientes para fins de cadastro e publicidade. 3.4. A IEST GROUP poderá compartilhar informações de forma agregada, publicamente e/ou com seus parceiros, desde que tais informações não sejam pessoalmente identificáveis. 3.5. Sempre que se fizer necessária a utilização das informações coletadas pela IEST GROUP para outros fins que não os definidos nesta Política ou aquele expressamente autorizado pelo titular dos dados, a IEST GROUP informará diretamente ao titular dos dados sobre esta nova finalidade e, quando necessário, coletará (nova) autorização. 4. Relacionamento com terceiros 4.1. A IEST GROUP exige a todos os terceiros que mantenham a confidencialidade das informações a eles compartilhadas ou que tenham acesso em virtude do exercício da sua atividade, bem como que utilizem tais informações exclusivamente para os fins expressamente permitidos. 5. Segurança das informações 5.1. Visando a segurança das informações fornecidas pelos clientes, a (IEST GROUP dispõe de processos de segurança físicos, lógicos, técnicos e administrativos compatíveis com a sensibilidade das informações coletadas, cuja eficiência é periodicamente avaliada por auditoria independente. 5.2. A IEST GROUP implementa novos procedimentos e melhorias tecnológicas contínuas para proteger todos os dados pessoais coletados dos clientes e terceiros. 5.3 No tratamento das informações coletadas a IEST GROUP utiliza de sistemas estruturados de forma a atender aos requisitos de segurança e transparência, aos padrões de boas práticas e de governança e aos princípios gerais estabelecidos na Lei nº 13.709/2018 Lei Geral de Proteção de Dados Pessoais (“LGPD”). 5.4. Todas as tecnologias utilizadas respeitarão sempre a legislação vigente e os termos desta Política. 6. Cooperação com autoridades reguladoras 6.1. Nas hipóteses em que se fizerem necessárias a divulgação dos dados pessoais de clientes, terceiros, colaboradores ou parceiros, seja em razão de cumprimento de lei, determinação judicial ou de órgão competente fiscalizador das atividades desenvolvidas pela IEST GROUP e/ou terceiros, tais informações serão reveladas somente nos estritos termos e nos limites requeridos para a sua divulgação, sendo que os titulares das informações divulgadas, na medida do possível, serão notificados sobre tal divulgação, para que tomem as medidas protetivas ou reparadoras apropriadas. 7. Alterações 7.1. A presente Política de Privacidade e Proteção de Dados poderá ser modificada a qualquer momento, conforme a finalidade ou necessidade para adequação e conformidade de disposição de legislação/regulamentação ou sempre que a IEST GROUP julgar necessário. As alterações serão divulgadas por meio do website https://www.iestgroup.com/. A continuidade do uso dos serviços da IEST GROUP ou da prestação de serviços para a IEST GROUP, conforme o caso, após divulgação das alterações será considerada aceitação do cliente e terceiros quanto aos novos termos e condições.

VI. GESTÃO DE CONSEQUÊNCIAS

Colaboradores, fornecedores ou outros stakeholders/públicos de interesse que observarem quaisquer desvios às diretrizes desta Política, poderão relatar o fato ao seguinte e-mail: rcorinti@iestgroup.com, podendo ou não se identificar. Internamente, o descumprimento das diretrizes desta Política enseja a aplicação de medidas de responsabilização dos agentes que a descumprirem conforme a respectiva gravidade do descumprimento. Quando um incidente reportado envolver dados pessoais e/ou dados pessoais sensíveis, deverá ser prontamente informado ao Data Protection Officer (“DPO”) / Encarregado em Privacidade e Proteção de Dados.

VII. DIREITOS DOS TITULARES

Você pode sempre solicitar a correção ou remoção de seus dados e informações pessoais ou relatar eventual uso indevido por meio do e-mail rcorinti@iestgroup.com. Em caso de obrigações legais, regulatórias, proteção de eventuais ações judiciais futuras ou para manutenção e prosseguimento dos serviços ofertados, a IEST GROUP não irá remover os dados pessoais, tratando-os nessas bases legais expostas e para os fins informados nessa Política de Privacidade e demais documentos complementares.

VIII. RESPONSABILIDADES

Cumpre aos administradores, colaboradores e terceiros: Observar e zelar pelo cumprimento da presente Política e, quando assim se fizer necessário, acionar o Encarregado em Privacidade e Proteção de Dados (DPO) para consulta sobre situações que envolvam conflito com esta Política ou mediante a ocorrência de situações nela descritas. Cumpre a Comitê Gestor de Proteção de Dados Pessoais (Encarregado / DPO): – Manter atualizada esta Política, de forma a garantir que quaisquer alterações regulatórias/legais das diretrizes e regras gerais aqui estabelecidas sejam observadas; – Esclarecer dúvidas relativas a esta Política e à sua aplicação; – Aceitar reclamações e comunicações dos titulares dos dados, prestar esclarecimentos e adotar providências; – Receber comunicações da Autoridade Nacional de Proteção de Dados (“ANPD”) e adotar providências; – Orientar os colaboradores e os terceiros da IEST GROUP a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e – Adotar iniciativas para compartilhamento de informações sobre incidentes contendo dados pessoais com a ANPD e com os titulares dos dados, quando necessário.

IX. DOCUMENTAÇÃO COMPLEMENTAR

Artigo 5º da Constituição Federal de 1988; Política Geral de Segurança da Informação e Anexos da IEST GROUP; Regimento Interno de Criação do Comitê Gestor de Proteção de Dados Pessoais da IEST GROUP; Contrato de Prestação de Serviços da IEST GROUP; Lei Complementar nº 105/2001; Lei nº 13.709/2018; Normas e procedimentos internos aperfeiçoados constantemente, aprovados pelas alçadas competentes e disponibilizadas a todos os colaboradores.

X. DISPOSIÇÕES GERAIS

É competência do Comitê Gestor de Proteção de Dados Pessoais alterar esta Política sempre que se fizer necessário. Esta Política entra em vigor na data de sua aprovação pelos Comitê Gestor de Proteção de Dados Pessoais da IEST GROUP e revoga quaisquer documentos em contrário. São Paulo, 12 de abril de 2022.