Política privacidade

OBJETIVO

Estabelecer os princípios e diretrizes para garantir a segurança e a confidencialidade dos dados pessoais coletados, processados e armazenados pela TAHTO, em conformidade com a Lei nº 13.709/2018 (LGPD), boas práticas da Autoridade Nacional de Proteção de Dados (ANPD), regulamentos aplicáveis, bem como, com os princípios éticos, de integridade, transparência, responsabilidade corporativa e conformidade que integram o Programa de Integridade da organização.

Esta Política integra o sistema de governança corporativa da TAHTO e está alinhada ao seu Código de Ética, às políticas de compliance e anticorrupção.

ESCOPO DE APLICAÇÃO

Esta Política aplica-se a todos os tratamentos de dados pessoais realizados pela Tahto, independentemente do meio ou formato, abrangendo colaboradores, clientes, candidatos, fornecedores, parceiros e demais terceiros com os quais a organização mantenha relação.

A Tahto poderá atuar, conforme o caso, na condição de Controladora e/ou Operadora de dados pessoais.

Aplica-se igualmente a todos os colaboradores, administradores, prestadores de serviços, fornecedores e terceiros que, de qualquer forma, participem ou tenham acesso a operações de tratamento de dados pessoais sob responsabilidade da organização.

DEFINIÇÕES REFERENTES AO TRATAMENTO DE DADOS PESSOAIS

Para fins desta Política, aplicam-se as definições previstas na Lei Geral de Proteção de Dados (LGPD), em especial:

Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável.
Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
Dados de Crianças e Adolescentes: dados pessoais de titulares menores de 18 anos, cujo tratamento observará o melhor interesse do titular, nos termos do art. 14 da LGPD.
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento
Pseudonimização: tratamento pelo qual um dado perde associação direta a um titular sem uso de informação adicional mantida separadamente e sob controles técnicos e organizacionais, reduzindo riscos, mas não tornando o dado anônimo.
Titular: pessoa natural a quem se referem os dados pessoais.
Controlador: pessoa jurídica responsável pelas decisões referentes ao tratamento de dados pessoais.
Operador: pessoa jurídica que realiza o tratamento de dados pessoais em nome do Controlador.
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração
Encarregado de Dados (DPO): pessoa indicada para atuar como canal de comunicação entre a organização, os titulares e a ANPD.
Incidente de Segurança: qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação de segurança que resulte ou possa resultar em acesso não autorizado, destruição, perda, alteração, vazamento ou qualquer forma de tratamento inadequado ou ilícito de dados pessoais.
Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD no território nacional.
Privacy by Design: Privacidade desde a concepção, que visa integrar a proteção de dados pessoais em todas as etapas de um projeto, sistema, produto ou serviço, desde a sua fase inicial de concepção e planejamento.
Privacy by Default: Privacidade por padrão, refere-se à adoção da proteção de dados pessoais como padrão em todos os processos e atividades desenvolvidos pela empresa, por meio da definição de medidas de segurança, técnicas e organizacionais que devem ser aplicadas de forma padronizada e constante, em todas as áreas, projetos, produtos.
CX: (do inglês Customer Experience) Experiência do Cliente.

PRINCÍPIOS

A Tahto realiza o tratamento de dados pessoais em conformidade com os princípios estabelecidos na Lei Geral de Proteção de Dados (LGPD), especialmente os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.

A organização adota medidas técnicas, administrativas e organizacionais apropriadas para assegurar a observância contínua desses princípios em todas as atividades de tratamento de dados pessoais.

TRATAMENTO DE DADOS

Considera-se como tratamento de dados pessoais, toda operação realizada com dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

A Tahto poderá atuar, conforme o contexto e a natureza da atividade de tratamento de dados pessoais, tanto na condição de Controladora quanto de Operadora, observando, em cada situação, as responsabilidades e obrigações aplicáveis previstas na legislação vigente de proteção de dados.

A organização assegura que o tratamento de dados pessoais seja realizado de forma lícita, transparente, segura e proporcional, observando os princípios da minimização de dados e adotando medidas técnicas e administrativas apropriadas para proteção das informações.

DADOS COLETADOS

A Tahto poderá tratar, conforme a relação e o serviço:

Dados cadastrais e de contato;
Dados contratuais e de faturamento;
Dados de atendimento e operação de CX;
Dados de colaboradores e candidatos;
Dados técnicos e de segurança;
Dados estatísticos.

As finalidades e bases legais específicas de cada operação estarão detalhadas e mantidas atualizadas no Registro de Operações de Tratamento (ROPA) e nos instrumentos contratuais aplicáveis.

FINALIDADE

Os dados pessoais serão tratados exclusivamente para finalidades legítimas, específicas e previamente identificadas, incluindo, entre outras:

Execução de contratos e prestação de serviços;
Atendimento a clientes e usuários;
Gestão de relacionamento e comunicação institucional;
Cumprimento de obrigações legais e regulatórias;
Prevenção a fraudes e segurança da informação;
Gestão de pessoas e processos administrativos;
Exercício regular de direitos em processos administrativos, judiciais ou arbitrais;
Realização de auditorias internas, certificações e atividades de Compliance.

Mudanças relevantes de finalidade observarão os requisitos legais aplicáveis, incluindo, quando necessário, a obtenção de novo consentimento do titular.

USO DE COOKIES

A Tahto poderá utilizar cookies e tecnologias similares em seus portais e aplicações digitais com o objetivo de garantir o funcionamento adequado das plataformas, aprimorar a experiência do usuário, realizar análises estatísticas e implementar medidas de segurança.

As informações detalhadas sobre os tipos de cookies utilizados, suas finalidades, prazos de retenção e formas de gerenciamento encontram-se disponíveis no Aviso de Cookies publicado nos canais digitais da organização.

USO ÉTICO E RESPONSÁVEL DOS DADOS PESSOAIS

A Tahto compromete-se a utilizar dados pessoais de forma ética, íntegra, responsável e transparente, vedando qualquer uso que possa caracterizar corrupção, obtenção de vantagem indevida, manipulação de informações, discriminação, violação de direitos fundamentais ou afronta aos valores institucionais da organização.

O uso indevido de dados pessoais será tratado como violação às normas internas, sujeitando os responsáveis às medidas disciplinares cabíveis, sem prejuízo das sanções legais aplicáveis.

A TAHTO COMO CONTROLADORA DE DADOS PESSOAIS

Quando atuar na condição de Controladora de dados pessoais, a Tahto é responsável por determinar as finalidades e os meios do tratamento, assegurar a definição e a documentação da base legal aplicável, garantir a observância dos princípios de proteção de dados pessoais, implementar medidas técnicas e organizacionais adequadas para a proteção das informações.

A organização assegura a transparência do tratamento, o atendimento aos direitos dos titulares e o compartilhamento de dados pessoais com operadores e terceiros mediante instrumentos contratuais que estabeleçam responsabilidades e obrigações de proteção de dados.

Quando aplicável, a Tahto garantirá a transparência e a possibilidade de revisão de decisões baseadas exclusivamente em tratamento automatizado, nos termos da legislação vigente.

A TAHTO COMO OPERADORA DE DADOS PESSOAIS

Quando atuar na condição de Operadora de dados pessoais, a TAHTO realizará o tratamento de dados pessoais exclusivamente de acordo com as instruções documentadas do Controlador, comprometendo-se a:

Implementar controles de segurança e privacidade compatíveis com os riscos envolvidos, para proteger os dados pessoais contra acesso não autorizado, perda, alteração ou divulgação indevida;
Implementar controles apropriados para proteger a transmissão de dados pessoais, incluindo mecanismos que garantam a confidencialidade, integridade e proteção das informações durante sua transferência;
Garantir que colaboradores e terceiros autorizados a tratar dados pessoais estejam sujeitos a obrigações de confidencialidade;
Apoiar o Controlador, quando aplicável, no atendimento às solicitações dos titulares de dados, nas avaliações de impacto à privacidade e no cumprimento das obrigações legais relacionadas à proteção de dados;
Comunicar ao Controlador, sem atraso indevido, quaisquer incidentes de segurança que possam afetar dados pessoais, bem como cooperar na investigação e mitigação desses incidentes;
Eliminar, transferir ou devolver os dados pessoais ao Controlador ao término da prestação de serviços, conforme estabelecido contratualmente, salvo quando houver obrigação legal que exija sua retenção.

A contratação de suboperadores para o tratamento de dados pessoais deverá ser previamente autorizada pelo Controlador e condicionada à implementação de controles adequados de segurança e privacidade equivalentes aos estabelecidos pela Tahto.

Caso a Tahto receba solicitações de autoridades públicas ou obrigações legais relacionadas aos dados pessoais tratados em nome do Controlador, deverá, quando permitido pela legislação aplicável, informar o Controlador antes de divulgar tais informações.

Quando o tratamento envolver transferência internacional de dados pessoais, a Tahto deverá garantir que tal transferência ocorra em conformidade com a legislação aplicável e com as instruções do Controlador.

A Tahto deverá disponibilizar ao Controlador informações necessárias para demonstrar a conformidade com os requisitos de proteção de dados estabelecidos contratualmente, quando solicitado.

BASES LEGAIS

O tratamento de dados pessoais realizado pela Tahto baseia-se nas hipóteses legais previstas na Lei Geral de Proteção de Dados (LGPD), incluindo, quando aplicável, consentimento do titular, cumprimento de obrigação legal ou regulatória, execução de contratos, legítimo interesse, exercício regular de direitos, proteção ao crédito e demais bases legais previstas na legislação vigente.

A definição da base legal aplicável será realizada de forma específica para cada atividade de tratamento e devidamente registrada no Registro de Operações de Tratamento de Dados (ROPA) e nos instrumentos contratuais aplicáveis, observando os princípios da finalidade, necessidade e proporcionalidade.

DIREITO DOS TITULARES DE DADOS

Nos termos da Lei Geral de Proteção de Dados (LGPD), os titulares de dados pessoais possuem direitos relacionados ao tratamento de seus dados, incluindo confirmação da existência de tratamento, acesso, correção, anonimização, bloqueio ou eliminação de dados, portabilidade, informação sobre compartilhamentos, revogação do consentimento e revisão de decisões automatizadas, conforme aplicável.

A Tahto assegura a disponibilização de canal adequado para o exercício desses direitos, bem como o tratamento das solicitações em conformidade com a legislação vigente e com os procedimentos internos aplicáveis.

As solicitações poderão ser realizadas por meio do canal de comunicação disponibilizado pela organização, atualmente o e-mail PP-LGPDTahto@tahto.com.br, sendo o atendimento conduzido conforme procedimento interno específico de atendimento aos direitos dos titulares.

A Autoridade Nacional de Proteção de Dados (ANPD) poderá entrar em contato com a Tahto para apuração de eventuais incidentes de segurança ou denúncias relacionadas ao tratamento de dados pessoais, cabendo à organização cooperar com as autoridades competentes e adotar as medidas cabíveis conforme a legislação vigente.

COMPARTILHAMENTO DOS DADOS

A Tahto realizará o compartilhamento de dados pessoais apenas quando necessário e mediante base legal aplicável, adotando medidas técnicas e administrativas adequadas para garantir a segurança, confidencialidade e integridade das informações.

Os terceiros que receberem dados pessoais deverão cumprir obrigações contratuais de proteção de dados, observando a legislação vigente e os normativos internos aplicáveis.

O compartilhamento poderá ocorrer, quando aplicável, com:

Prestadores de serviços e fornecedores essenciais, incluindo tecnologia, hospedagem, infraestrutura e suporte;
Parceiros comerciais e operacionais, quando necessário à execução de atividades e serviços;
Prestadores de serviços especializados, como auditoria, consultoria e marketing;
Autoridades públicas e órgãos reguladores, quando houver obrigação legal, regulatória ou determinação judicial;
Outros terceiros, mediante consentimento do titular ou outra base legal aplicável.

A organização manterá registros das operações de compartilhamento de dados pessoais, incluindo informações sobre destinatário, finalidade e base legal, conforme os procedimentos internos de governança de dados.

TRANSFERÊNCIA INTERNACIONAL DE DADOS PESSOAIS

A Tahto poderá realizar transferências internacionais de dados pessoais quando necessárias às suas atividades, observando as bases legais aplicáveis e assegurando a adoção de salvaguardas técnicas, organizacionais e contratuais adequadas, de forma a garantir nível de proteção compatível com o exigido pela legislação vigente.

Tais transferências poderão ocorrer, inclusive, em ambientes de computação em nuvem, data centers ou infraestruturas tecnológicas localizadas fora do território nacional, bem como em situações de acesso remoto por entidades ou prestadores de serviços localizados no exterior.

As transferências internacionais observarão mecanismos legalmente reconhecidos, como cláusulas contratuais apropriadas, avaliação do nível de proteção do destinatário, consentimento do titular quando aplicável ou outros instrumentos previstos na legislação, sendo realizadas de forma transparente e limitada às finalidades previamente definidas.

Os critérios e procedimentos específicos aplicáveis encontram-se detalhados na política “POL-GAP-078 – Política de Transferência Internacional de Dados”.

REGISTROS RELATIVOS AO TRATAMENTO DE DADOS PESSOAIS

A Tahto mantém e administra o Registro das Operações de Tratamento de Dados Pessoais (ROPA), como instrumento central de governança, prestação de contas (accountability) e conformidade em matéria de privacidade e proteção de dados pessoais, nos termos da Lei Geral de Proteção de Dados (LGPD).

O ROPA contempla, de maneira clara, completa e rastreável, todas as atividades de tratamento de dados pessoais realizadas pela organização, tanto na condição de Controladora quanto de Operadora, incluindo informações sobre as atividades de tratamento, tipos de dados coletados, finalidades, bases legais, e uma descrição geral das medidas de segurança implementadas.

A atualização do ROPA é realizada de forma contínua, sempre que houver criação de novas atividades de tratamento ou alterações relevantes nas operações existentes, conforme procedimentos internos de governança de dados.

O acesso aos registros é restrito às áreas autorizadas e poderá ser disponibilizado para auditorias, certificações e autoridades competentes, observados os limites legais e contratuais aplicáveis.

AVALIAÇÃO DE IMPACTO DE PRIVACIDADE

A Tahto adota, como instrumento essencial de governança, gestão de riscos e conformidade em privacidade, a Avaliação de Impacto à Proteção de Dados Pessoais (DPIA – Data Protection Impact Assessment), aplicável às atividades de tratamento de dados pessoais que possam gerar riscos relevantes aos direitos e às liberdades fundamentais dos titulares, nos termos da legislação vigente.

As DPIAs serão realizadas sempre que identificadas novas operações de tratamento de dados pessoais ou alterações relevantes que possam impactar o nível de risco, conforme critérios estabelecidos em procedimento interno específico.

As avaliações de impacto serão devidamente documentadas, aprovadas pelas áreas responsáveis e integradas aos registros de tratamento de dados pessoais, podendo ser disponibilizadas, quando aplicável, para auditorias, certificações e autoridades competentes, observados os limites legais e contratuais.

GESTÃO DE CONSENTIMENTO

A Tahto determina e documenta a base legal aplicável para cada atividade de tratamento de dados pessoais, utilizando o consentimento do titular apenas quando não houver outra base legal adequada.

Quando aplicável, o consentimento é obtido de forma livre, informada e inequívoca, mediante manifestação clara do titular, com indicação das finalidades específicas do tratamento. Para dados pessoais sensíveis, o consentimento é solicitado de forma específica e em destaque.

O titular poderá revogar o consentimento a qualquer momento, por meio dos canais disponibilizados pela organização, sendo assegurado que a revogação não comprometerá a legalidade dos tratamentos realizados anteriormente.

A gestão do consentimento e a observância das bases legais aplicáveis ocorrerão conforme os procedimentos internos de governança de dados, sob supervisão do Encarregado de Proteção de Dados (DPO), quando aplicável.

ARMAZENAMENTO DE DADOS E SEGURANÇA

A Tahto assegura que os dados pessoais são armazenados e tratados de forma segura, adotando-se medidas técnicas e organizacionais apropriadas para proteger as informações contra acesso não autorizado, uso indevido, alteração, divulgação, perda ou destruição.

O acesso aos dados pessoais é restrito exclusivamente a colaboradores e terceiros devidamente autorizados, de acordo com suas atribuições e com o princípio do menor privilégio.

Os dados pessoais devem ser mantidos apenas pelo tempo necessário ao atendimento das finalidades do tratamento, ao cumprimento de obrigações legais e regulatórias, ao exercício regular de direitos ou a requisitos legítimos de auditoria e segurança, sendo posteriormente eliminados, anonimizados ou bloqueados, conforme aplicável.

A organização adota princípios de privacy by design e privacy by default, incorporando requisitos de proteção de dados pessoais desde a concepção de processos, sistemas, produtos e serviços.

Os controles técnicos e operacionais específicos de segurança da informação e privacidade encontram-se definidos nos normativos internos de Segurança da Informação e Gestão de Incidentes, aplicáveis a colaboradores, fornecedores e terceiros.

RETENÇÃO E TÉRMINO DO TRATAMENTO DE DADOS

A Tahto manterá os dados pessoais pelo período estritamente necessário ao atendimento das finalidades do tratamento, ao cumprimento de obrigações legais ou regulatórias, ao exercício regular de direitos em processos administrativos, judiciais ou arbitrais, bem como às demais hipóteses previstas na legislação aplicável, incluindo o art. 16 da Lei Geral de Proteção de Dados (LGPD).

Encerradas as finalidades do tratamento e inexistindo fundamento legal que justifique a retenção, os dados pessoais serão eliminados, anonimizados ou bloqueados, conforme aplicável, observados os procedimentos internos de retenção e descarte seguro de informações.

Os critérios específicos de retenção e descarte de dados pessoais encontram-se definidos nos normativos internos de gestão de retenção e descarte de dados, aplicáveis às atividades de tratamento realizadas pela organização.

TREINAMENTO E CONSCIENTIZAÇÃO

A Tahto promoverá treinamento e conscientização adequados aos seus colaboradores e prestadores de serviços sobre a importância da proteção de dados pessoais, privacidade e a conformidade com esta Política. Os colaboradores serão instruídos sobre as melhores práticas de manuseio dos dados pessoais e a importância de manter sua confidencialidade e segurança.

Os treinamentos contemplarão orientações sobre boas práticas de tratamento de dados pessoais, confidencialidade, segurança da informação e responsabilidades individuais, contribuindo para o fortalecimento da cultura organizacional de proteção de dados.

Os critérios e diretrizes específicas de capacitação encontram-se detalhados na política “POL-GTR-003 – Treinamentos Institucionais”.

ENCARREGADO DE DADOS PESSOAIS – DPO

Questões relacionadas à proteção e privacidade dos dados pessoais deverão ser tratadas diretamente com o Encarregado de Dados Pessoais (DPO), por meio do canal PP-LGPDTahto@tahto.com.br, responsável por atuar como ponto de contato entre a organização, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Os titulares podem entrar em contato com o ponto de contato para fazer perguntas, exercer seus direitos de privacidade ou relatar preocupações relacionadas aos dados pessoais coletados e processados pela organização.

Compete ao DPO, entre outras atribuições:

Orientar a organização quanto ao cumprimento da legislação de proteção de dados pessoais;
Acompanhar a conformidade das atividades de tratamento de dados pessoais;
Apoiar ações de conscientização e treinamento em privacidade;
Auxiliar na gestão de incidentes de privacidade e avaliações de impacto à proteção de dados;
Atuar como canal de comunicação com titulares de dados e autoridades competentes.

As responsabilidades detalhadas do DPO encontram-se definidas nos normativos internos de governança de privacidade e proteção de dados.

CONFORMIDADE LEGAL

A Tahto está comprometida em cumprir todas as leis e regulamentos aplicáveis à proteção dos dados pessoais, incluindo, mas não se limitando a leis de proteção de dados, como a Lei Geral de Proteção de Dados (LGPD).

Do mesmo modo, a Tahto adota o princípio da prestação de contas (accountability), mantendo evidências documentais das atividades de tratamento de dados pessoais, das decisões tomadas, dos controles implementados e das ações corretivas adotadas, assegurando transparência perante autoridades, clientes e demais partes interessadas.

A empresa cooperará com as autoridades reguladoras e responderá prontamente a qualquer violação de dados pessoais, conforme exigido por lei.

ATUALIZAÇÃO DA POLÍTICA

A política será revisada periodicamente, no mínimo a cada 18 meses.

Revisões extraordinárias ocorrerão em caso de:

Alterações na legislação aplicável ou em regulamentações da Autoridade Nacional de Proteção de Dados (ANPD);
Mudanças relevantes nas operações de tratamento de dados pessoais da organização;
Identificação de novos riscos, incidentes de privacidade ou necessidades de melhoria dos controles de proteção de dados.

CANAL DE COMUNICAÇÃO

A Tahto disponibiliza canal específico para esclarecimento de dúvidas, recebimento de solicitações e registro de manifestações relacionadas ao tratamento de dados pessoais e à aplicação desta Política de Privacidade.

A organização compromete-se a receber, avaliar e responder às solicitações e reclamações apresentadas em prazo razoável, conforme a legislação vigente e os procedimentos internos aplicáveis.

As comunicações relacionadas à proteção de dados pessoais poderão ser encaminhadas por meio do canal: PP-LGPDTahto@tahto.com.br.

ATRIBUIÇÕES

Elaboradores V2:

Anna Laura Teles Medeiros

Analista de Compliance

Layssa Paulina da Silva

Especialista de Compliance

Data: XX/XX/2026

Validadores:

Cecilia Dayane da Silva Martins

Gerente de auditoria de Riscos e processos

Aprovador:

Luciana de Oliveira Carmo

Superintendente Jurídica e Compliance

CONTROLE DE VERSÕES

Versão	Itens	Alterações	Aprovado por	Data
001	–	Elaboração	Luciana de Oliveira Carmo	14/09/2024
002	–	Atualização Geral	Luciana de Oliveira Carmo	XX/XX/2026

Encarregado pelo Tratamento de Dados Pessoais (DPO)

Luciana de Oliveira Carmo

E-mail para contato: PP-LGPDTahto@tahto.com.br

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 meses	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Analytics".
cookielawinfo-checkbox-functional	11 meses	O cookie é definido pelo consentimento do cookie GDPR para registrar o consentimento do usuário para os cookies na categoria "Funcional".
cookielawinfo-checkbox-necessary	11 meses	Este cookie é definido pelo plug-in GDPR Cookie Consent. Os cookies são usados para armazenar o consentimento do usuário para os cookies na categoria "Necessário".
cookielawinfo-checkbox-others	11 meses	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Outros.
cookielawinfo-checkbox-performance	11 meses	Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Desempenho".
viewed_cookie_policy	11 meses	O cookie é definido pelo plug-in GDPR Cookie Consent e é usado para armazenar se o usuário consentiu ou não com o uso de cookies. Não armazena nenhum dado pessoal.