1. DEFINIÇÕES

a) Dados Pessoais: são todas as informações que permitem a sua identificação, como seu nome, CPF, e-mail, telefone, entre outros.
b) Dados pessoais sensíveis: são dados relacionados à origem racial, étnica, convicção religiosa, opinião política, filiação a sindicato, a organização de caráter religioso, filosófico ou político, referente à saúde, à vida sexual, dado genético ou biométrico.
c) Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
d) Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
e) Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
f) ANPD: autarquia de natureza especial, da administração pública, responsável por zelar, implementar e fiscalizar o cumprimento Lei Geral de Proteção de Dados (LGPD) – Lei Nº 13.709, de 14 de agosto de 2018 – em todo o território nacional.
g) Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Demais definições relevantes à esta política e aos requisitos legais aplicáveis a ela encontram-se no artigo 5° da LGPD (Lei Nº 13.709, de 14 de agosto de 2018) e em normativas, regulamentos e manuais da ANPD.

2. PRINCÍPIOS DE TRATAMENTO DE DADOS PESSOAIS

O GRUPO LUME em atendimento aos requisitos legais aplicáveis observa os princípios de finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas, elencados pela LGPD, além de demais finalidades posteriormente recomendadas pela ANPD ou elencadas por força de lei na LGPD.

3. Ciclo de vida de dados pessoais

O ciclo de vida de dados pessoais refere-se aos estágios pelos quais as informações pessoais passam desde a sua coleta até a sua eventual exclusão. Os principais estágios do ciclo de vida de dados pessoais incluem a coleta, o tratamento, o compartilhamento, o armazenamento e a exclusão.
O GRUPO LUME, controlador e potencialmente operador de dados pessoais, é responsável desde a coleta até a eliminação de dados pessoais.

3.1 Coleta

O GRUPO LUME limita-se a coleta de dados pessoais a um mínimo de relevância, proporcionalidade e necessidade. Além disso, o GRUPO LUME prima por boa-fé, transparência e cumprimento aos requisitos legais aplicáveis. As hipóteses de coleta de dados pessoais pelo grupo limitam-se ao artigo 7° da LGPD (Lei Nº 13.709, de 14 de agosto de 2018):
a) mediante o fornecimento de consentimento pelo titular.
b) cumprimento de obrigação legal ou regulatória pelo controlador.
c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais.
d) quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados.
e) exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem).
f) proteção da vida ou da incolumidade física do titular ou de terceiro.
g) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária.
h) atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais ou
i) proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Qualquer modificação da lei ou regulamentação da ANPD será devidamente observada pelo GRUPO LUME, a fim de se estabelecer o princípio de legalidade no ciclo de vida do dado pessoal.

3.1.1 Fonte de Dados Pessoais

As possíveis fontes de dados coletados do GRUPO LUME podem ser:
• Sites GRUPO LUME: voltados para o consumidor, gerenciados pela ou para o GRUPO LUME, incluindo sites que operamos sob nossos próprios domínios/URLs e páginas comerciais que mantemos em redes sociais de terceiros, como o Facebook, Intagram, LinkedIn, entre outros.
• Sites/aplicativos móveis GRUPO LUME: voltados para o consumidor e gerenciados pela ou para o GRUPO LUME, como www.lumegrupo.com.br, www.intelligentsupply.com.br, www.intelidente.com, www.comprove.com.br, entre outros.
• E-mail: mensagens de texto e outras mensagens eletrônicas. Interações que realizamos como comunicações eletrônicas enviadas pelas empresas do GRUPO LUME.
• Central de Atendimento: comunicações com nosso Centro de Atendimento pelo remetente jira@grupolume.atlassian.net ou atendimento@lumegrupo.com.br.
• Formulários de registro offline: formulários impressos ou digitais, e formas similares, pelas quais solicitamos os seus Dados Pessoais, como, por exemplo, correio convencional, demonstrações em lojas, concursos, promoções ou eventos, dentre outros.
• Currículos: envio de currículo seja por meio eletrônico (e-mail, rede social, aplicativos de mensagens, etc.) ou por meio físico.
• Interações com anúncios: Interações com nossos anúncios (por exemplo, se você interage com um ou mais de nossos anúncios em um site de um terceiro, nós podemos receber informações sobre aquela interação).
• Dados de outras fontes: redes sociais de terceiros (como o Facebook, Instagram, LinkedIn e Google), pesquisas de mercado (se o retorno não for dado de forma anonimizada), agregadores de dados de terceiros, parceiros promocionais do GRUPO LUME, fontes públicas e dados recebidos quando nós adquirimos outras empresas.

3.2 Tratamento e Compartilhamento

Tratamos os Dados Pessoais, principalmente, para que seja possível viabilizar a relação comercial, cumprir algumas obrigações contratuais e legais, bem como promover o GRUPO LUME.

O GRUPO LUME pode precisar compartilhar informações pessoais com outras empresas, como subsidiárias e fornecedores de serviços, dentro ou fora do país, que estejam diretamente envolvidos em suas atividades comerciais. O GRUPO LUME também poderá compartilhar informações pessoais por obrigações legais. Nesse caso, se o grupo for um operador, ele informará ao cliente sobre qualquer solicitação legal obrigatória para a divulgação de informações pessoais. Além disso, o grupo rejeitará qualquer solicitação para o compartilhamento de informações pessoais que não sejam legalmente obrigatórias, consultando o cliente antes de realizar qualquer compartilhamento.

O tratamento e compartilhamento de dados pessoais do GRUPO LUME dá-se da seguinte forma:

Usamos algumas plataformas em nuvem e, independentemente da vontade, há compartilhamento internacional de dados pessoais, dessa forma, o GRUPO LUME pode terceirizar ou compartilhar informações pessoais com terceiros que estejam localizados em países diferentes do país de residência do titular. O GRUPO LUME garante que o compartilhamento de informações pessoais será realizado de acordo com as leis de privacidade aplicáveis no local em questão.

Se o GRUPO LUME for um Operador, a empresa poderá informar ao cliente sobre a transferência de informações pessoais entre jurisdições e qualquer mudança pretendida nessa questão. Se necessário, o GRUPO LUME poderá especificar e documentar com o cliente os países e organizações internacionais para os quais as informações pessoais podem ser transferidas, desde que esteja previsto no contrato.

O GRUPO LUME busca manter um registro de compartilhamento de informações pessoais para terceiros, incluindo detalhes sobre quais informações foram compartilhadas, com quem e quando. Esses registros são mantidos por períodos de exigências legais e/ou contratuais. Os dados compartilhados, assim como os países e leis aplicáveis que podem ocorrer são:

3.2.1 Subcontratados

Os profissionais contratados para realizar o processamento de dados pessoais em nome do GRUPO LUME e seguindo as suas orientações, estão sujeitos às políticas e obrigações estabelecidas pelas leis e normas complementares de proteção de dados pessoais. O GRUPO LUME incluirá cláusulas ou termos de privacidade nos contratos de prestação de serviços, exigindo que os prestadores de serviços ajam em conformidade com as orientações da empresa e implementem medidas de segurança e salvaguarda, tais como controles e registros técnicos e administrativos apropriados para garantir a confidencialidade e segurança dos dados pessoais.

Caso ainda o GRUPO LUME seja considerado um operador, ele se compromete a divulgar ao cliente o uso de subcontratados para o tratamento de dados pessoais antes do uso, também se compromete a contratar subcontratados somente com base no contrato do cliente e a informar o cliente sobre quaisquer alterações pretendidas em relação à adição ou substituição de subcontratados no tratamento de dados pessoais, dando ao cliente a oportunidade de se opor a essas mudanças. Todavia o GRUPO LUME não tomará nenhuma iniciativa adicional aos contratos e termos assinados, ou seja, primordialmente será elucidado o acordado e não à política, cabendo a ela o papel de atuação sobre o que não está contemplado.

3.3 Armazenamento e exclusão

O GRUPO LUME só armazena dados pessoais pelo tempo necessário para cumprir as finalidades para as quais foram coletados, após esse tempo, eles serão eliminados de acordo com a Lei 12.305/2010, quando aplicável, e de acordo com os controles da ISO/IEC 27001:2013 e ISO/IEC 27701:2019 sobre o tema.
O fim do ciclo de vida de um dado pessoal no GRUPO LUME pode ocorrer por determinação de uma autoridade competente, pelo encerramento de sua finalidade ou ainda pela solicitação do titular do dado pessoal. Se o titular dos dados solicitar a exclusão de seus dados pessoais, o GRUPO LUME irá excluir ou anonimizar os dados, dependendo do caso, seguindo a legislação e os prazos de guarda estabelecidos por lei. No entanto, é importante destacar que dados excluídos ou anonimizados de forma definitiva não poderão ser recuperados. O GRUPO LUME pode negar a exclusão ou anonimização e continuar a tratar dados pessoais desde que atenda ao estabelecido no artigo 16 da LGPD. O Grupo utilizará apenas os dados necessários para essas finalidades estabelecidas no artigo citado.

Os tempos de armazenamento dos dados coletados e tratados são:

3.3.1 Arquivos temporários

Os arquivos temporários gerados durante o processamento de dados pessoais serão eliminados de maneira adequada o mais breve possível. A gestão desses arquivos seguirá políticas e processos específicos definidos pelo sistema de gestão do GRUPO LUME, os quais estarão disponíveis para as partes interessadas que necessitem de informações mais detalhadas.

3.3.2 Anonimização

Dado anonimizado é aquele que, originariamente, era relativo a um titular, mas que passou por mecanismos que asseguraram a desvinculação dele a esse titular. Um dado só é considerado efetivamente anonimizado se não permitir a reconstrução do caminho para “descobrir” quem era o titular do dado em questão. A anonimização de um dado exclui a aplicabilidade da LGPD sobre ele.

O GRUPO LUME poderá anonimizar dados pessoais e utilizá-los desde que para “uso exclusivo do controlador, vedado seu acesso por terceiro, e desde que anonimizados os dados” (Art. 15, Inciso IV, Lei n° 13.709, de 14 de agosto de 2018).

Os mecanismos utilizados pelo GRUPO LUME para a anonimização de dados pessoais são:
a) Supressão de dados: envolve a completa remoção de informações identificáveis de uma base de dados. Essa técnica pode ser usada, por exemplo, para excluir números de telefone ou nomes de uma tabela.
b) Encobrimento de caracteres: um símbolo, como asterisco (*) ou a letra “x”, é usado para substituir certos caracteres dos dados, preservando apenas partes relevantes. Por exemplo, em uma tabela de números de telefone, pode-se optar por substituir o número real por “x” e manter somente o código de área: (41) xxxx-xxxx.
c) Generalização: técnica que envolve a substituição de dados precisos por categorias mais amplas e genéricas. Por exemplo, em vez de usar idades exatas, pode-se agrupá-las em faixas etárias mais amplas.

4. DIREITOS DOS TITULARES

Conforme os artigos 9°, 18 e 19 da LGPD, o titular tem direito a obter do controlador, em relação aos dados do titular por ele tratados, mediante requisição, ipsis litteris:
Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:
I – finalidade específica do tratamento;
II – forma e duração do tratamento, observados os segredos comercial e industrial;
III – identificação do controlador;
IV – informações de contato do controlador;
V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade;
VI – responsabilidades dos agentes que realizarão o tratamento; e
VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.

§ 1º Na hipótese em que o consentimento é requerido, esse será considerado nulo caso as informações fornecidas ao titular tenham conteúdo enganoso ou abusivo ou não tenham sido apresentadas previamente com transparência, de forma clara e inequívoca.

§ 2º Na hipótese em que o consentimento é requerido, se houver mudanças da finalidade para o tratamento de dados pessoais não compatíveis com o consentimento original, o controlador deverá informar previamente o titular sobre as mudanças de finalidade, podendo o titular revogar o consentimento, caso discorde das alterações.

§ 3º Quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço ou para o exercício de direito, o titular será informado com destaque sobre esse fato e sobre os meios pelos quais poderá exercer os direitos do titular elencados no art. 18 desta Lei.
Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:
I – confirmação da existência de tratamento;
II – acesso aos dados;
III – correção de dados incompletos, inexatos ou desatualizados;
IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador;
V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; (Redação dada pela Lei nº 13.853, de 2019) Vigência
VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei.
§ 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.
§ 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.
§ 3º Os direitos previstos neste artigo serão exercidos mediante requerimento expresso do titular ou de representante legalmente constituído, a agente de tratamento.
§ 4º Em caso de impossibilidade de adoção imediata da providência de que trata o § 3º deste artigo, o controlador enviará ao titular resposta em que poderá:
I – comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente; ou
II – indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
§ 5º O requerimento referido no § 3º deste artigo será atendido sem custos para o titular, nos prazos e nos termos previstos em regulamento.
§ 6º O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional. (Redação dada pela Lei nº 13.853, de 2019) Vigência
§ 7º A portabilidade dos dados pessoais a que se refere o inciso V do caput deste artigo não inclui dados que já tenham sido anonimizados pelo controlador.
§ 8º O direito a que se refere o § 1º deste artigo também poderá ser exercido perante os organismos de defesa do consumidor.
Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:
I – em formato simplificado, imediatamente; ou
II – por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.
§ 1º Os dados pessoais serão armazenados em formato que favoreça o exercício do direito de acesso.
§ 2º As informações e os dados poderão ser fornecidos, a critério do titular:
I – por meio eletrônico, seguro e idôneo para esse fim; ou
II – sob forma impressa.
§ 3º Quando o tratamento tiver origem no consentimento do titular ou em contrato, o titular poderá solicitar cópia eletrônica integral de seus dados pessoais, observados os segredos comercial e industrial, nos termos de regulamentação da autoridade nacional, em formato que permita a sua utilização subsequente, inclusive em outras operações de tratamento.
§ 4º A autoridade nacional poderá dispor de forma diferenciada acerca dos prazos previstos nos incisos I e II do caput deste artigo para os setores específicos.
Caso queira exercer algum direito citado o titular deve enviar um e-mail com a solicitação detalhada para dpo@lumegrupo.com.br.

No caso do GRUPO LUME ser operador, os mesmos direitos são garantidos aos titulares através dos respectivos controladores, apoiados pelo grupo.
Qualquer modificação da lei ou regulamentação da ANPD será devidamente observada pelo GRUPO LUME, a fim de se estabelecer o princípio de legalidade no ciclo de vida do dado pessoal.

5. PROTEÇÃO E SEGURANÇA DOS DADOS

O GRUPO LUME tem como prioridade garantir a proteção e privacidade dos dados pessoais de seus clientes. Para atingir esse objetivo, a empresa adota diversas medidas para assegurar um ambiente seguro para as informações tratadas. Algumas dessas medidas incluem:

a) Cumprimento dos requisitos da norma ISO/IEC 27001:2013, que estabelece os requisitos para um sistema de gestão de segurança da informação eficaz.
b) Cumprimento dos requisitos da norma ISO/IEC 27701:2019, que estabelece os requisitos para um sistema de gestão de privacidade da informação eficaz.
c) Política de Segurança da Informação, que pode ser acessada no site do GRUPO LUME e descreve as diretrizes adotadas pelo grupo para garantir a segurança das informações tratadas.

6. COOKIES, TECNOLOGIAS SIMILARES E ARQUIVOS DE LOG

6.1 O que são Cookies?

Cookies são pequenos arquivos de texto ou fragmentos de informação que são baixados em seu computador, smartphone ou qualquer outro dispositivo com acesso à internet quando você visita nossa aplicação. Eles contêm informações sobre a sua navegação em nossas páginas e retêm apenas informações relacionadas às suas preferências. É importante frisar que eles não contêm informações pessoais específicas, como dados sensíveis ou bancários. O seu navegador armazena os cookies no disco rígido, mas ocupam um espaço de memória mínimo. A maioria das informações são apagadas logo ao encerrar a sessão.

6.2 Por que usamos Cookies?

Usamos Cookies para melhorar o uso e a funcionalidade dos sites e sistemas e entender melhor como visitantes e usuários usam os sites e sistemas, bem como as ferramentas e serviços ali oferecidos. Os Cookies nos ajudam a adaptar os sites e sistemas do GRUPO LUME as necessidades pessoais, facilitar cada vez mais o seu uso, receber feedback da satisfação do consumidor e nos comunicarmos com outros locais na internet.

6.3 Tipos de Cookies

Os cookies, quanto a seus proprietários, podem ser:
a) Cookies proprietários: são cookies definidos por nós ou por terceiros em nosso nome.
b) Cookies de terceiros: são cookies definidos por terceiros confiáveis em nossa aplicação.
Os cookies, quanto ao seu tempo de vida, podem ser:
a) Cookies de sessão ou temporários: são cookies que expiram assim que você fecha o seu navegador, encerrando a sessão.
b) Cookies persistentes ou permanentes: são cookies que permanecem no seu dispositivo durante um período determinado ou até que você os exclua.
Os cookies, quanto a sua finalidade, podem ser:
a) Cookies Funcional: são cookies essenciais que possibilitam a navegação em nossas aplicações e o acesso a todos os recursos; se estes, nossos serviços podem apresentar mal desempenho ou não funcionar.
b) Cookies Analytics: são cookies que otimizam a forma que nossas aplicações funcionam, coletando informações anônimas sobre as páginas acessadas.
c) Cookies de publicidade: são cookies que direcionam anúncios em função dos seus interesses e limitam a quantidade de vezes que o anúncio aparece.

6.4 Cookies Utilizados

Os cookies utilizados pelo GRUPO LUME são:

Os sites e sistemas do GRUPO LUME também pode usar outras tecnologias de rastreamento, inclusive endereços IP, arquivos de registro e sinalizadores da web, que também nos ajudam a adaptar os sites às suas necessidades pessoais.

a) Endereço de IP: Um Endereço de IP é um número usado por computadores na rede para identificar seu computador todas as vezes que você se conecta na internet. Podemos registrar Endereços de IP para as seguintes finalidades: problemas técnicos de troubleshoot, problemas que um produto, processo ou sistema operacional pode apresentar, manutenção da proteção e segurança do Site, melhor compreensão de como nossos sites e sistemas são utilizados, conteúdo mais bem adaptado às suas necessidades, dependendo do País em que você estiver.
b) Arquivos de Registro: O GRUPO LUME (ou um terceiro em nosso nome) poderemos coletar informações na forma de Arquivos de Registro que armazenam as atividades do site e coletam estatísticas sobre os hábitos de navegação do usuário. Em geral, esses registros são gerados anonimamente e nos ajudam a coletar o tipo de navegador e o sistema do usuário, informações sobre a sessão do usuário (como seu URL de origem, a data, hora e quais páginas o usuário visitou em Nosso site e quanto tempo permaneceu nele) e outros dados de navegação ou de contagem de cliques.

6.5 Gerenciamento de Cookies

A instalação dos cookies está sujeita ao seu consentimento. Apesar da maioria dos navegadores estar inicialmente configurada para aceitar cookies de forma automática, você pode rever suas permissões a qualquer tempo, de forma a bloqueá-los, aceitá-los ou ativar notificações para quando alguns cookies forem enviados ao seu dispositivo. Atualmente, na primeira vez que você acessa nossas aplicações, será requerida a sua concordância com a instalação destes. Apenas após a sua aceitação eles serão ativados. Para tanto, utilizamos um sistema de banner de informações na página inicial do site. Dessa maneira, não apenas solicitamos sua concordância, mas também informamos que a navegação continuada em nossos sites será entendida como consentimento. Como já dito, você pode, a qualquer tempo e sem nenhum custo, alterar as permissões, bloquear ou recusar os Cookies. Você também pode configurá-los caso a caso. Todavia, a revogação do consentimento de determinados Cookies pode inviabilizar o funcionamento correto de alguns recursos da plataforma. Para gerenciar os cookies do seu navegador, basta fazê-lo diretamente nas configurações do navegador, na área de gestão de Cookies.

Você pode acessar tutoriais sobre o tema diretamente nos links abaixo:

• Se você usa o Internet Explorer.
• Se você usa o Firefox.
• Se você usa o Safari.
• Se você usa o Google Chrome.
• Se você usa o Microsoft Edge.

​Esta política foi revisada em 28 junho de 2023.