1. Introdução

A Solução Rybená representa o ápice da acessibilidade web no mercado atual, oferecendo uma abordagem abrangente e inovadora. Composta por um software multifacetado, a Rybená proporciona três ferramentas distintas que visam alcançar um público mais amplo, incluindo pessoas com deficiência e aquelas sem. Essas ferramentas incluem recursos para tradução simultânea em LIBRAS e conversão de texto em voz em diversos formatos, como imagens, links e documentos em PDF, entre outros.

As funcionalidades inovadoras da Rybená têm um impacto significativo na vida de mais de 60 milhões de pessoas no Brasil. Além de promover a inclusão social, a solução possibilita que essas pessoas desfrutem de uma experiência online mais autônoma e enriquecedora.

A Rybená está em plena conformidade com a legislação de acessibilidade, sendo a solução mais alinhada às exigências jurídicas vigentes. Oferece a "Surdos, deficientes visuais, pessoas com deficiência intelectual e cognitivas, com dislexia, daltonismo e suas variações, usuários com TDAH, bem como os Analfabetos Funcionais, Idosos, e outras pessoas com dificuldade de leitura e compreensão de textos" a possibilidade de entender os textos das páginas da WEB de forma não tutelada. Utilizando tecnologia de ponta, 100% nacional, a Rybená é capaz de traduzir textos do português para a Língua Brasileira de Sinais (LIBRAS) e converter textos para voz, com uma narração natural e fluente em três idiomas: português, inglês e espanhol.

2. Conceitos e Definições

  • LGPD: Lei Geral de Proteção de Dados Pessoais, Lei nº 13.709/2018, regula as atividades de tratamento de dados pessoais no Brasil.
  • Parte Divulgadora: Cliente, contratante.
  • Parte Receptora: Rybená Tecnologias Assistivas Ltda.
  • Dado Pessoal: Informação relacionada a pessoa natural identificada ou identificável.
  • Dado Sensível: Dado pessoal relacionado à religião, etnia, opiniões e outras informações que podem gerar constrangimento, exposição ou discriminação do titular.
  • Titular de Dados: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
  • Tratamento: Operações realizadas com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
  • Criptografia: Conversão de dados de um formato legível para um formato codificado, que só pode ser lido após descriptografado.
  • NMT (Neural Machine Translation): Técnica que utiliza redes neurais para tradução automática.

3. Política de Segurança da Informação

3.1. Finalidade e Abrangência

A Rybená Tecnologias Assistivas Ltda. estabelece diretrizes fundamentais em sua Política de Segurança, direcionadas especificamente à Solução Rybená. Esta política é aplicável a todos os níveis da equipe, incluindo Desenvolvimento, Design, Infraestrutura e Suporte Técnico, bem como a todos os terceiros e prestadores de serviços.

A principal finalidade é disseminar as práticas de segurança da informação e estabelecer critérios para a adoção de boas práticas em todos os aspectos relacionados à segurança da solução Rybená, garantindo a proteção dos dados e a integridade do sistema.

3.2. Objetivos

A Rybená estabelece diretrizes para a proteção, preservação e descarte de informações em seu ambiente tecnológico, orientando estrategicamente as questões relacionadas à segurança da informação. Visamos proteger os ativos de informação da Rybená, definindo padrões de comportamento adequados às necessidades do negócio e à proteção legal da organização e de seus colaboradores.

3.3. Princípios da Segurança da Informação

  • Confidencialidade: Assegurar que a informação não será divulgada a indivíduos, entidades ou aplicativos sem autorização prévia dos titulares;
  • Integridade: Assegurar que o conteúdo da informação não seja alterado, mantendo-se íntegro e autêntico;
  • Disponibilidade: Permitir que a informação confidencial seja utilizada apenas quando necessário pelos usuários e destinatários.

3.4. Controles Técnicos de Segurança

3.4.1. Criptografia e Proteção de Dados

  • Criptografia em Trânsito: TLS 1.3 para todas as comunicações entre clientes e servidores
  • Criptografia em Repouso: AES-256 para todos os dados armazenados
  • Gerenciamento de Chaves: Sistema HSM (Hardware Security Module) para proteção de chaves criptográficas
  • Hashing: Algoritmos SHA-256 para senhas e dados sensíveis

3.4.2. Controle de Acesso e Autenticação

  • Autenticação Multifator (MFA): Obrigatória para todos os colaboradores com acesso a sistemas críticos
  • Gerenciamento de Identidade: Sistema centralizado com controle de acesso baseado em funções (RBAC)

3.4.3. Segurança de Rede e Infraestrutura

  • Firewall de Aplicação Web (WAF): Proteção contra ataques comuns (SQL Injection, XSS, CSRF)
  • Sistema de Detecção de Intrusão (IDS/IPS): Monitoramento em tempo real de atividades suspeitas
  • Segmentação de Rede: Isolamento de ambientes de desenvolvimento, teste e produção
  • DDoS Protection: Miticação automática de ataques de negação de serviço

3.4.4. Segurança de Aplicações

  • Secure Software Development Lifecycle (SSDLC): Integração de segurança em todas as fases de desenvolvimento
  • Análise Estática de Código: Ferramentas automatizadas para identificação de vulnerabilidades
  • Validação de Entradas: Sanitização rigorosa de todos os dados de entrada

3.5. Procedimentos Operacionais

3.5.1. Gestão de Vulnerabilidades

  • Scanner de Vulnerabilidades: Varredura semanal de todos os sistemas
  • Patch Management: Janela de atualização crítica de 72 horas para vulnerabilidades de alta severidade
  • CVE Monitoring: Monitoramento contínuo de novas vulnerabilidades divulgadas
  • Risk Scoring: Priorização baseada em CVSS (Common Vulnerability Scoring System)

3.5.2. Monitoramento e Logging

  • Retenção de Logs: Mínimo 365 dias para logs de segurança
  • Alertas em Tempo Real: Notificações automáticas para eventos críticos
  • Análise Comportamental: Detecção de anomalias em padrões de acesso

3.5.3. Controle de Mudanças

  • Rollback Procedures: Planos detalhados para reversão de mudanças
  • Testes em Ambiente Isolado: Validação completa antes da produção

3.6. Auditoria e Conformidade

3.6.1. Auditorias Internas

  • Auditorias Trimestrais: Avaliação completa de controles de segurança
  • Testes de Controles: Validação da eficácia das medidas implementadas
  • Relatórios Executivos: Apresentação de resultados à alta gestão
  • Plano de Ação: Correções documentadas com prazos definidos

3.6.2. Conformidade Regulatória

  • LGPD: Programa completo de conformidade com a Lei Geral de Proteção de Dados
  • ISO 27001: Alinhamento com melhores práticas internacionais de segurança

4. Base Legal para o Tratamento de Dados

4.1. Declaração Importante sobre Coleta de Dados

A Rybená não coleta dados pessoais identificáveis. Nossa solução foi desenvolvida para funcionar sem armazenar informações que possam identificar usuários como e-mail, CPF, endereço IP ou qualquer outro dado pessoal.

4.2. Fundamentos Legais Aplicáveis

Embora não realizemos tratamento de dados pessoais, nossa operação fundamenta-se nas seguintes bases legais, conforme Art. 7º da LGPD:

  • Para a realização de estudos por órgão de pesquisa: Utilizamos exclusivamente dados anonimizados de soletramento para aprimorar nossa tecnologia de tradução e reconhecimento de padrões linguísticos.
  • Para o atendimento de interesses legítimos do controlador: Melhoria contínua da tecnologia assistiva, sem prejuízo dos direitos e liberdades fundamentais dos usuários.

4.3. Consentimento

Como não coletamos dados pessoais, não há necessidade de consentimento para tratamento de dados pessoais. O único dado opcionalmente coletado (palavras de soletramento) é:

  • Completamente anônimo
  • Não identificável
  • Coletado apenas quando o usuário não ativa o parâmetro "doNotTrack"

5. Coleta e Tratamento de Dados

5.1. Declaração sobre Coleta de Dados

A Rybená foi projetada para não coletar dados pessoais. Nossa tecnologia funciona processando informações em tempo real sem armazenamento de dados identificáveis.

5.2. Dados Processados (Não Armazenados)

Para o funcionamento de nossos serviços, os seguintes dados são processados temporariamente e não armazenados:

  • Frase/Sentença a ser traduzida: Processada em tempo real para tradução imediata e descartada após a conclusão
  • Conteúdo de páginas web: Lido apenas para tradução simultânea, sem retenção

5.3. Único Dado Opcionalmente Coletado: Soletramento

O que é coletado

Apenas quando uma palavra não possui sinal correspondente em nossa base de LIBRAS e o usuário não ativou o parâmetro "doNotTrack":

  • Apenas a palavra soletrada (sem contexto, sem frases, sem números)
  • Totalmente anônimo: Sem identificação de usuário, IP, site de origem ou qualquer dado pessoal
  • Criptografado: Armazenado com criptografia AES-256

Finalidade exclusiva

  • Identificar palavras que necessitam de sinais específicos em LIBRAS
  • Priorizar o desenvolvimento de novos sinais para expansão do vocabulário
  • Melhorar a tecnologia assistiva para toda a comunidade

5.4. Controle Total do Usuário

Os usuários têm controle absoluto sobre a coleta de dados:

  • Parâmetro "doNotTrack": Quando ativado, impede completamente o armazenamento de palavras soletradas
  • Controle imediato: A atuação é instantânea, sem coleta futura

5.5. Estatísticas de Uso

Mantemos apenas estatísticas agregadas e completamente anônimas:

  • Número total de traduções realizadas
  • Frequência de uso por região (sem identificação individual)
  • Estatísticas de desempenho do sistema

Nenhuma estatística contém dados pessoais ou identificáveis.

6. Sigilo e Confidencialidade

6.1. Informações Confidenciais

Cada parte poderá ter acesso a informações confidenciais da outra para a execução da prestação dos serviços. São consideradas informações confidenciais quaisquer elementos de programação do Serviço; dados e/ou informações das partes trocadas em virtude do Serviço; e quaisquer informações de constituição ou de negócios das partes fornecidas na execução do objeto deste contrato.

6.2. Exceções

Não será considerada Informação Confidencial aquela que:

  • Seja ou se torne publicamente conhecida sem que tal conhecimento tenha advindo da outra parte;
  • Já era possuída pela outra parte antes do fornecimento nos termos do contrato;
  • Seja desenvolvida de forma independente pela outra parte, desde que comprovado;
  • Tenha sua divulgação exigida por lei, ordem judicial ou autoridade administrativa competente.

6.3. Compromissos

  • Guardar de forma segura as Informações Confidenciais recebidas e não divulgar a terceiros;
  • Não usar Informações Confidenciais para fins estranhos à execução do objeto da contratação;
  • Implantar procedimentos necessários para evitar divulgação indevida das informações confidenciais por funcionários e/ou prepostos.

Nenhuma parte será responsável por qualquer comprometimento ou divulgação de informações confidenciais causadas por terceiros estranhos a este contrato.

7. Classificação e Proteção de Informações

7.1. Níveis de Classificação

  • Pública: Uso livre e conteúdo pode ser divulgado publicamente;
  • Interna: Transita internamente pela Rybená;
  • Secreta: Acessível apenas por um grupo restrito de pessoas.

7.2. Diretrizes da Classificação dos Dados

  • Proteger informações de acordo com sua importância e consequências caso sejam comprometidas;
  • Atender regulamentações e exigências legais;
  • Cumprir obrigações contratuais;
  • Classificação independente do formato, local e mídia de armazenamento.

7.3. Ciclo de Vida da Informação

  1. Criação da conexão e solicitação de tradução;
  2. Aceitação e autenticação da solicitação;
  3. Realização da tradução na NMT (Neural Machine Translation);
  4. Envio dos frames de vetorização como resposta;
  5. Descarte automático se a tag "doNotTrack" estiver habilitada;
  6. Persistência dos dados em log se a tag não estiver habilitada;
  7. Geração de conhecimento para a NMT a partir dos dados registrados.

7.4. Retenção de Dados

  • Informação Secreta: Durante a relação contratual ou pelo tempo necessário para cumprimento da finalidade do tratamento ou requisitos legais;
  • Informação Interna: Mesmas condições da Informação Secreta;
  • Informação Pública: Mesmas condições da Informação Secreta.

A classificação pode mudar durante o ciclo de vida, respeitando o ciclo de vida da reclassificação. O tratamento das informações pessoais deve ser feito de forma transparente e com respeito à contratante, com acesso restrito independentemente da classificação de sigilo.

8. Backup e Recuperação de Dados

8.1. Estratégia Geral de Backup

  • Criptografia Utilizada: AES 256 para dados em repouso.
  • Frequência: Backups diários com validade de 30 dias.
  • Armazenamento: Todos os backups são armazenados na nuvem, evitando mídias defeituosas, perda e/ou roubo de informações.

8.2. Testes de Backup

  • Verificações Periódicas: Revisões trimestrais dos logs de backups para identificar erros, durações anormais e oportunidades de melhoria.
  • Ações Corretivas: Implementação de ações para reduzir riscos associados a backups com falha.
  • Registros: Manter registros de backups e testes de restauração para demonstrar conformidade com esta política.

8.3. Procedimento de Restauração

Como nossa aplicação é um Plugin de tradução e o usuário não necessita de dados armazenados anteriormente, a restauração de backup é utilizada apenas em casos de necessidade de recuperação de dados referente a Rybená.

9. Transferência Internacional de Dados

9.1. Declaração sobre Transferência Internacional

A Rybená não realiza transferência internacional de dados pessoais, pois não coletamos este tipo de informação em nossos serviços.

9.2. Infraestrutura Técnica

Utilizamos provedores de serviços nacionais para infraestrutura técnica:

  • Serviços de nuvem e hospedagem: Para processamento de traduções em tempo real
  • Ferramentas de desenvolvimento: Para manutenção e melhoria da tecnologia
  • Plataformas de monitoramento: Para garantir a disponibilidade e performance do serviço

9.3. Compromisso com a Proteção

Mesmo sem transferência de dados pessoais, garantimos:

  • Contratos com cláusulas de proteção de dados
  • Avaliação rigorosa de todos os provedores
  • Auditorias regulares de conformidade
  • Criptografia em todas as comunicações

10. Armazenamento Local e Tecnologias Similares

10.1. Declaração sobre Armazenamento Local

A Rybená não utiliza cookies para coleta de dados pessoais. Utilizamos exclusivamente o armazenamento local do navegador (localStorage) para funcionalidades técnicas essenciais.

10.2. Uso de localStorage

Utilizamos localStorage apenas para:

  • Manter estado da ferramenta: Salvar preferências de acessibilidade e configurações personalizadas
  • Identificar primeiro uso: Exibir tutorial inicial apenas para novos usuários
  • Preservar configurações: Manter o modo de operação selecionado pelo usuário entre sessões

10.3. Características do Armazenamento

  • Local e exclusivo: Os dados ficam armazenados apenas no dispositivo do usuário
  • Sem identificação pessoal: Não armazenamos informações que possam identificar o usuário
  • Sem envio para servidores: Os dados permanecem no navegador e não são transmitidos
  • Funcionalidade técnica: Apenas para melhorar a experiência de uso da ferramenta

10.4. Controle do Usuário

O usuário tem controle total sobre o localStorage:

  • Limpeza manual: Pode limpar os dados do navegador a qualquer momento
  • Navegador anônimo: O uso em modo anônimo impede o armazenamento
  • Sem impacto na privacidade: Os dados armazenados não contêm informações pessoais

10.5. Tecnologias de Terceiros

Não utilizamos tecnologias de terceiros para:

  • Rastreamento de comportamento
  • Análise de perfil
  • Publicidade direcionada
  • Coleta de dados pessoais
  • Analytics ou estatísticas individuais

11. Gerenciamento de Riscos e Incidentes

11.1. Identificação e Mensuração de Riscos

Snyk - Avaliação de Código no GitHub

  • Objetivo: Identificar e corrigir vulnerabilidades em bibliotecas de código aberto e dependências.
  • Alcance: Repositórios do GitHub relacionados ao desenvolvimento do Plugin.
  • Frequência: Contínua, com varreduras automáticas em cada commit e pull request.
  • Responsável: Equipe de segurança em conjunto com o time de Desenvolvimento.

Cloudflare Security Center (CSC) - Avaliação de Recursos da Cloudflare

  • Objetivo: Monitorar continuamente os recursos do Cloudflare para detectar e corrigir vulnerabilidades e configurações incorretas.
  • Alcance: Todos os recursos e serviços implantados na Cloudflare que suportam o ambiente de produção do Plugin.
  • Frequência: Monitoramento contínuo com revisões mensais.
  • Responsável: Equipe de Segurança da Informação.

11.2. Plano de Recuperação de Desastres

Definições

  • RTO (Recovery Time Objective): 60 minutos.
  • RPO (Recovery Point Objective): 15 minutos.
  • MTPD (Maximum Tolerable Period of Disruption): 48 horas.

Estrutura de Gerenciamento

  • Equipe de Segurança: Executa o plano de recuperação de desastres, coordena esforços, comunicação interna e externa, restauração de sistemas e dados.
  • Head de Engenharia: Lidera a equipe de recuperação, toma decisões críticas e coordena todas as atividades de recuperação.
  • Equipe de Suporte: Fornece suporte técnico durante o processo de recuperação, incluindo restauração de sistemas, verificação de backups e resolução de problemas técnicos.

11.3. Notificação de Incidentes de Segurança Envolvendo Dados Pessoais

Definição de Incidente

Considera-se incidente de segurança com dados pessoais qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação da segurança de dados pessoais, que possa acarretar risco para os direitos e liberdades do titular.

Prazos de Notificação

  • Notificação à ANPD: Em até 72 horas após a ciência do incidente, quando este representar risco relevante ou dano aos titulares
  • Notificação aos Titulares: Em prazo razoável, conforme a gravidade do incidente e as medidas adotadas

Conteúdo da Notificação à ANPD

A notificação à ANPD deverá conter:

  • Descrição da natureza do incidente
  • Dados sobre o controlador
  • Informações sobre o encarregado
  • Descrição das consequências possíveis
  • Medidas técnicas e organizativas adotadas para remediar ou mitigar os efeitos do incidente
  • Medidas adotadas para comunicar os titulares afetados

Comunicação aos Titulares

A comunicação aos titulares deverá conter, no mínimo:

  • Descrição do incidente em linguagem clara e acessível
  • Categorias de dados pessoais afetados
  • Medidas de segurança adotadas pela Rybená
  • Recomendações para que os titulares se protejam
  • Informações sobre como o titular pode obter mais esclarecimentos

Isenção de Notificação aos Titulares

A comunicação aos titulares não será exigida quando:

  • A autoridade nacional determinar que a comunicação pode gerar riscos desproporcionais
  • A Rybená adotar medidas suficientes para mitigar possíveis consequências
  • O tratamento dos dados for sigiloso por força de lei

Colaboração com a ANPD

  • Cooperar plenamente durante a investigação e análise do incidente
  • Designar um ponto de contato responsável pela comunicação com a ANPD
  • Responder prontamente a quaisquer solicitações ou consultas da autoridade reguladora
  • Fornecer documentação e evidências solicitadas

12. Aviso de Isenção de Responsabilidade

A Rybená informa que não se responsabiliza pela utilização inadequada do Plugin. O plugin lerá, traduzirá e armazenará todas as informações enviadas, podendo incluir dados pessoais solicitados pelo usuário. O tratamento e a preservação dos dados são mantidos, porém não é possível distinguir no ato da tradução se aquele é um dado pessoal.

A Rybená não se responsabiliza por conteúdo sensível recebido de forma indetectável na tradução ou incorporada em uma URL. O contratante deve garantir que nenhum dado sensível seja anexado à URL da página ou conteúdo de tradução. Caso contrário, deve optar por desativar o módulo de analytics e/ou a coleta de dados de soletramento conforme ilustrado na documentação técnica disponível em https://docs.rybena.com.br/.

Importante: Os dados de soletramento são coletados de forma completamente anônima, sem qualquer informação que possa identificar o usuário, o site de origem ou dados pessoais. No entanto, palavras individuais podem ser consideradas sensíveis dependendo do contexto, e o contratante deve avaliar a necessidade de desativar essa funcionalidade através do parâmetro "doNotTrack".

13. Encarregado de Proteção de Dados (DPO)

13.1. Identificação e Contato

A Rybená Tecnologias Assistivas Ltda. designou um Encarregado de Proteção de Dados (DPO - Data Protection Officer) para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Contato do DPO:

13.2. Responsabilidades do DPO

O Encarregado de Proteção de Dados é responsável por:

  • Orientar os colaboradores e os contratados sobre a execução desta política e demais práticas de proteção de dados;
  • Receber as comunicações dos titulares dos dados e prestar esclarecimentos;
  • Receber as reclamações e comunicar à ANPD;
  • Orientar sobre as avaliações de impacto à proteção de dados pessoais;
  • Manter os registros das atividades de tratamento de dados.

14. Direitos dos Titulares de Dados

14.1. Posicionamento da Rybená sobre Dados Pessoais

A Rybená não coleta, armazena ou trata dados pessoais identificáveis. Nossa tecnologia foi desenvolvida especificamente para funcionar sem a necessidade de coletar informações que possam identificar usuários.

14.2. Direitos Aplicáveis aos Usuários

Como não realizamos tratamento de dados pessoais, a maioria dos direitos previstos no Art. 18 da LGPD não se aplica diretamente aos nossos serviços. No entanto, garantimos:

  • Transparência total: Informações claras sobre como nossos serviços funcionam e quais dados são processados
  • Controle sobre dados de soletramento: Através do parâmetro "doNotTrack", o usuário tem controle absoluto sobre a coleta de palavras anonimizadas
  • Acesso à documentação: Disponibilização completa de informações sobre nosso tratamento de dados

14.3. Procedimentos para Solicitações

Caso você tenha dúvidas ou preocupações sobre dados pessoais em nossos serviços:

  1. Entre em contato com nosso DPO: [email protected]
  2. Descreva sua preocupação: Seja específico sobre sua dúvida ou solicitação
  3. Aguarda resposta: Responderemos em até 15 (quinze) dias corridos

14.4. Situações Específicas

Se você acredita que dados pessoais foram coletados indevidamente:

  • Entre em contato imediatamente com nosso DPO
  • Forneça detalhes sobre a situação
  • Investigaremos prontamente e responderemos em até 15 dias

Para informações sobre dados de soletramento anonimizados:

  • Solicite informações sobre palavras coletadas
  • Peça a exclusão de palavras específicas (quando possível identificar)
  • Ative o parâmetro "doNotTrack" para impedir futuras coletas

14.5. Compromisso com a Privacidade

Mesmo sem coletar dados pessoais, a Rybená se compromete a:

  • Manter a transparência em todas as operações
  • Responder prontamente a qualquer preocupação sobre privacidade
  • Melhorar continuamente nossos processos para garantir a proteção dos usuários
  • Manter-se atualizada sobre as melhores práticas de proteção de dados

De acordo com o artigo 18 da Lei Geral de Proteção de Dados, você tem direito a:

  • Confirmar a existência de tratamento: Verificar se a Rybená realiza tratamento de dados pessoais seus;
  • Acesso aos dados: Obter, a qualquer tempo, acesso aos seus dados pessoais em formato claro e compreensível;
  • Correção de dados: Requerer a correção de dados incompletos, inexatos ou desatualizados;
  • Informações sobre compartilhamento: Obter informações das entidades públicas e privadas com as quais a Rybená compartilha seus dados pessoais;
  • Eliminação de dados: Requerer a exclusão dos seus dados coletados e armazenados, desde que cumprida a finalidade para a qual foram coletados e caso não persista outra base legal que justifique a manutenção deles;
  • Portabilidade de dados: Solicitar a portabilidade de seus dados a outro fornecedor de serviço, respeitados os segredos comercial e industrial;
  • Informações sobre não consentimento: Revogar o consentimento e requerer a eliminação dos dados tratados com base no consentimento;
  • Revisão de decisões automatizadas: Solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses.

14.6. Procedimentos para Exercício dos Direitos

Para exercer seus direitos como titular de dados, você deve:

  1. Enviar solicitação por escrito: Contatar nosso DPO através do e-mail [email protected];
  2. Identificar-se claramente: Fornecer nome completo, CPF ou outro documento de identificação válido;
  3. Especificar o direito exercido: Indicar claramente qual direito deseja exercer;
  4. Fornecer detalhes: Incluir informações que permitam localizar seus dados (período, tipo de serviço, etc.).

14.7. Prazos de Resposta

  • Prazo padrão: A Rybená responderá às solicitações dos titulares em até 15 (quinze) dias corridos a contar do recebimento da solicitação;
  • Prorrogação: Em casos excepcionais, este prazo poderá ser prorrogado por igual período, mediante justificativa;
  • Impossibilidade de atendimento: Caso não seja possível atender à solicitação, a Rybená informará ao titular os motivos da impossibilidade.

14.8. Negativa de Acesso

A Rybená poderá negar o acesso aos dados pessoais quando:

  • A solicitação for repetitiva ou manifestamente infundada;
  • O tratamento dos dados for necessário para o cumprimento de obrigação legal ou regulatória;
  • A solicitação for desproporcional ou desarrazoada em relação aos interesses dos direitos e liberdades do titular.

Em caso de negativa, o titular será informado sobre as razões da decisão e poderá apresentar recurso.

15. Responsabilidade e Consequências por Violações

15.1. Responsabilidade Individual

Todos os colaboradores são responsáveis por cumprir as diretrizes e requisitos estabelecidos nesta política de segurança. Cada membro da organização deve estar ciente de suas obrigações em relação à proteção dos ativos de informação e à mitigação de riscos de segurança cibernética.

15.2. Consequências Disciplinares

Violações da política de segurança podem resultar em medidas disciplinares adequadas, que podem variar desde treinamentos adicionais até ações disciplinares formais, incluindo advertências, suspensões e, em casos graves, demissões. A natureza e a gravidade da violação serão consideradas ao determinar as medidas disciplinares apropriadas.

15.3. Consequências Legais

Além das consequências disciplinares internas, violações da política de segurança podem ter implicações legais. Se as ações de um colaborador resultarem em danos financeiros, roubo de dados, violação de privacidade ou qualquer outra forma de infração legal, medidas legais adequadas, incluindo processos criminais ou civis, poderão ser tomadas para proteger os interesses da Rybená e das partes afetadas.

16. Revisão e Atualização da Política

16.1. Periodicidade de Revisão

Esta política de privacidade e proteção de dados pessoais será revisada e atualizada periodicamente, no mínimo:

  • Anualmente: Para avaliação geral de conformidade
  • Quando necessário: Em caso de mudanças legislativas, regulamentares ou operacionais que impactem o tratamento de dados pessoais

16.2. Comunicação de Atualizações

Qualquer alteração significativa nesta política será comunicada aos usuários através de:

  • Aviso em nosso site ou aplicação
  • Envio de e-mail para usuários cadastrados
  • Publicação em local de fácil acesso em nossos canais de comunicação

16.3. Vigência das Alterações

As atualizações entrarão em vigor:

  • Imediatamente: Para alterações relacionadas a cumprimento de obrigação legal
  • Após 30 dias: Para outras alterações, desde que devidamente comunicadas

16.4. Conformidade Contínua

A Rybená mantém programa de conformidade contínua com a LGPD, incluindo:

  • Treinamentos regulares para colaboradores
  • Auditorias internas periódicas
  • Monitoramento de mudanças legislativas
  • Avaliações de impacto à proteção de dados (DPIAs)

17. Canal de Comunicação e Contato

17.1. Dúvidas e Solicitações

Para dúvidas, solicitações ou reclamações relacionadas a esta política e ao tratamento de dados pessoais, entre em contato com nosso Encarregado de Proteção de Dados:

17.2. Reclamações à ANPD

Caso entenda que seus direitos como titular de dados pessoais foram violados, você tem o direito de apresentar reclamação à Agência Nacional de Proteção de Dados (ANPD) através dos canais oficiais disponíveis em: https://www.gov.br/anpd

17.3. Disposições Finais

Esta política de privacidade e proteção de dados pessoais foi elaborada em conformidade com:

  • Lei nº 13.709/2018 - Lei Geral de Proteção de Dados Pessoais (LGPD)
  • Resolução CD/ANPD nº 2/2022
  • Normas e diretrizes da Autoridade Nacional de Proteção de Dados

A aplicação desta política será consistente em toda a organização, independentemente do cargo ou posição ocupada pelos colaboradores. Todas as violações serão tratadas de maneira justa e imparcial, levando em consideração a gravidade da violação e as circunstâncias individuais envolvidas.

Modificado em: