POLÍTICA DE PRIVACIDADE

1    APRESENTAÇÃO 
 
Esta política geral de privacidade e proteção de dados pessoais (“Política LGPD” ou “Política”) tem por objetivo estabelecer diretrizes e orientações para a matriz e filiais da RAÍX BIOSOLUÇÕES S.A. (“RAÍX”), CNPJ 10.928.920/0001-28, em consonância e complementação à legislação de proteção de Dados Pessoais aplicável, com relação aos princípios, governança, tratamento de Dados Pessoais, cookies e gestão de incidentes. 
 
2    DADOS PESSOAIS 
 
“Dado Pessoal” é toda informação relacionada a pessoa natural identificada ou identificável. O Dado Pessoal pode ser tanto direto como indireto, sendo: 
 
-    “direto” o Dado Pessoal que pode ser atribuído a um titular específico sem o uso de informações adicionais (e.g., nome completo, Identidade Fiscal, foto, biometria e DNA); e 
 
-    “indireto” o Dado Pessoal que precisa de informações adicionais para que possa ser atribuído a determinado titular (e.g., nome incompleto, gênero, país de residência, sistema operacional). 
 
Certos Dados Pessoais também podem ser sensíveis. “Dados Pessoais Sensíveis” são informações relacionadas à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dentre outros. 
 
3    PRINCÍPIOS 
 
Ao lidar com Dados Pessoais, a RAÍX e Colaboradores comprometem-se a observar os seguintes princípios: 
 
(i)    Confidencialidade: restrição de acesso a informações e recursos somente por pessoas autorizadas. 
 
(ii)    Integridade: precisão das informações e dos métodos de processamento ao qual a informação é submetida, mantendo-a acurada, completa e atualizada. 
 
(iii)    Disponibilidade: garantia de que os usuários autorizados tenham acesso às informações e aos ativos de informação quando necessário. 
 
(iv)    Finalidade: tratamento de Dados Pessoais dos titulares exclusivamente para propósitos legítimos, específicos, explícitos e na forma informada, sem possibilidade de tratamento posterior de forma incompatível com as finalidades previstas em lei. 
 
(v)    Adequação: compromisso de tratamento dos Dados Pessoais dos respectivos titulares de forma compatível com as finalidades de tratamento informadas e de acordo com o contexto do tratamento. 
 
(vi)    Necessidade: tratamento dos Dados Pessoais apenas estritamente necessários para atingir as finalidades da RAÍX, com abrangência dos dados pertinentes, proporcionais e não excessivos. 
 
(vii)    Livre acesso: consulta facilitada e gratuita ao titular de Dados Pessoais sobre a forma e a duração do tratamento de seus Dados Pessoais. 
 
(viii)    Qualidade dos dados: adoção dos cuidados necessários para manter os Dados Pessoais dos titulares exatos, claros e atualizados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento. 
 
(ix)    Transparência: diálogo claro, preciso e acessível com o titular de Dados Pessoais, em especial, quando o titular precisar entender melhor o tratamento dos seus dados e os respectivos agentes de tratamento, observados os segredos comerciais e industriais. 
 
(x)    Segurança: adoção de medidas técnicas e administrativas aptas para proteger os Dados Pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. 
 
(xi)    Prevenção: adoção de medidas necessárias para prevenir a ocorrência de danos em virtude do tratamento dos Dados Pessoais dos respectivos titulares. 
 
(xii)    Não-discriminação: não utilização de Dados Pessoais dos titulares para fins discriminatórios ilícitos ou abusivos. 
 
(xiii)    Responsabilização e prestação de contas: comprovação da observância, eficácia e cumprimento da legislação de proteção de Dados Pessoais aplicável conforme necessário. 
 
4    GOVERNANÇA DE DADOS PESSOAIS 
 
Governança de Dados Pessoais é um conjunto de práticas que têm por finalidade otimizar a gestão dos fluxos de Dados Pessoais que circulam em uma determinada organização, com o objetivo de garantir a privacidade e a proteção desses dados através da atribuição de responsabilidades a uma estrutura organizacional, criada especialmente para mitigar os riscos às liberdades civis e proteger os direitos fundamentais dos respectivos titulares. 
 
4.1    Aplicação  
 
A RAÍX pratica a governança de dados diariamente em seus processos e fluxos, internos e externos. Para tanto, lista e organiza os Dados Pessoais existentes, incluindo os processos e operações de tratamento desses dados, bem como adota as seguintes medidas: 
 
(i)    Cultura e conscientização. A RAÍX fomenta a conscientização de seus Colaboradores em relação às boas práticas de privacidade e proteção de dados.
 
(ii)    Implementação das regras da Política LGPD. Esta Política compreende princípios, governança, tratamento de Dados Pessoais, cookies, gestão de incidentes e segurança da informação. 
 
(iii)    Incorporação da privacidade às operações. A RAÍX utiliza o princípio do “Privacy by Design” para todos os seus novos projetos e operações, assim como o princípio do “Privacy by Default” para todos os seus processos e operações em desenvolvimento ou já implementados. 
 
4.2    Agentes de tratamento.
 
A RAÍX institui os seguintes agentes para tratamento de dados pessoais: 

 Controladora: RAÍX BIOSOLUÇÕES S.A., pessoa jurídica de direito privado, CNPJ  10.928.920/0001-28, com sede na Rodovia SC 386, n. 300, Bairro Santa Rita, em  São Miguel do Oeste - SC, CEP 89900-000.

Operadora e Encarregada (DPO): Gabriela Matern, analista de marketing, telefone 49 9966-1072, e-mail gabriela.matern@raixbiosolucoes.com.br. 

Para exercitar qualquer um dos direitos previstos nesta Política de Privacidade e de Proteção de Dados e/ou nas Leis de Proteção de Dados, ou resolver quaisquer dúvidas relacionadas ao tratamento de seus dados pessoais, o contato deverá ser realizado através da Encarregada (DPO). 
 
5    DIRETRIZES GERAIS 
 
5.1    Papel da RAÍX
 
Esta Política aplica-se à RAÍX como controladora de Dados Pessoais, pois tais dados são coletados para fins próprios da RAÍX. 
 
5.2    Responsabilidade 
 
Todos os Colaboradores são responsáveis pela aplicação da presente Política, bem como pela gestão da privacidade e proteção de Dados Pessoais, em especial os administradores, que contam com o auxílio do DPO. 
 
5.3    Direitos dos titulares de Dados Pessoais 
 
São direitos dos titulares de Dados Pessoais: 
 
(i)    Confirmação da existência de tratamento de Dados Pessoais. 
 
(ii)    Acesso às informações referentes aos Dados Pessoais tratados. 
 
(iii)    Correção dos dados incompletos, inexatos ou desatualizados. 
 
(iv)    Providências para anonimização, bloqueio ou eliminação de Dados Pessoais desnecessários, excessivos ou tratados em desconformidade com a legislação de proteção de Dados Pessoais aplicável. 
 
(v)    Portabilidade dos Dados Pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a legislação de proteção de Dados Pessoais aplicável, observados segredos comerciais e industriais. 
 
(vi)    Eliminação dos Dados Pessoais tratados com o consentimento do titular, observadas as exceções previstas na legislação de proteção de Dados Pessoais aplicável. 
 
(vii)    Recebimento das informações das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados. 
 
(viii)    Recebimento de informações sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa. 
 
(ix)    Revogação do consentimento nos termos da legislação de proteção de Dados Pessoais aplicável. 
 
O titular poderá exercer seus direitos através de comunicação escrita a ser enviada à RAÍX, aos cuidados da DPO, através de correio eletrônico (gabriela.matern@raixbiosolucoes.com.br) com o assunto “LGPD”, informando e/ou anexando ao documento: 
 
-    Nome completo, número do CPF e endereço de e-mail do titular e, se for o caso, do seu representante legal. 
 
-    O direito que deseja exercer junto à RAÍX. 
 
-    A data do pedido e assinatura do titular ou seu representante legal. 
 
-    Todo documento que possa demonstrar ou justificar o exercício de seu direito. 
 
A resposta à solicitação do titular será efetivada por escrito, de forma clara, acessível e justificada. 
 
Eventuais terceiros não titulares de dados que possuam demandas relativas à proteção de Dados Pessoais e necessitem contatar a RAÍX, deverão seguir os mesmos procedimentos descritos acima. 
 
5.4    Tipos de Dados Pessoais coletados 
 
Na qualidade de controladora, a RAÍX coleta basicamente Dados Pessoais referentes às pessoas físicas na qualidade de Colaboradores e/ou clientes. 
 
Os dados são coletados no legítimo interesse da Controladora, para cumprimento de suas obrigações legais, e para viabilizar a prestação de serviços para terceiros.

Dados de crianças e adolescentes são coletados apenas como controladora, para concessão de benefícios aos seus Colaboradores e dependentes, com a respectiva informação ao órgão governamental de assistência social. 
 
Todos os Dados Pessoais coletados são tratados de maneira estritamente confidencial e com base nos princípios dispostos nesta Política, de modo a preservar os direitos dos seus titulares. 
 
5.5    Finalidade 
 
A RAÍX coleta e trata Dados Pessoais baseada nas seguintes finalidades legais: 
 
(i)    Consentimento. 
 
(ii)    Exercício regular de direitos em processo judicial. 
 
(iii)    Cumprimento de obrigação legal ou regulatória. 
 
(iv)    Quando necessário para a execução de contrato. 
 
(v)    Quando necessário para atender aos seus interesses legítimos, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos Dados Pessoais. 
 
5.6    Consentimento 
 
Para situações em que se faz necessária a obtenção do consentimento, a RAÍX deverá informar o titular sobre: 
 
-    A finalidade específica do tratamento de Dados Pessoais. 
 
-    A forma e duração do tratamento. 
 
-    Dados para contato com a RAÍX e sua DPO. 
 
5.7    Retenção de Dados Pessoais 
 
Os Dados Pessoais serão retidos pelo tempo necessário para a prestação dos serviços e, ainda, conforme a necessidade de cumprimento de obrigações legais, resolução de disputas e aplicação das políticas da RAÍX. 
 
Períodos de retenção serão determinados com base no tipo de informação coletada e a finalidade de tal coleta, considerando os requisitos aplicáveis para a situação e a necessidade de destruição das informações desatualizadas e não utilizadas no tempo razoável mais próximo. 

5.8    Término do tratamento dos Dados Pessoais

O tratamento de dados somente persistirá até o advento:

a)    Do cumprimento da finalidade originária (art. 15, I, LGPD);
b)    Da desnecessidade ou impertinência da manutenção dos dados para o alcance da finalidade que lhe deu causa (art. 15, I, LGPD);
c)    Do fim do período de tratamento (art. 15, II, LGPD);
d)    Da comunicação do Titular (art. 15, III, LGPD);
e)    De determinação da Autoridade Nacional de Proteção de Dados - ANPD (art. 15, IV, LGPD).

Após o término do tratamento de dados, a Controladora se responsabiliza a eliminá-los, salvo se a conservação destes for imprescindível para:

a)    O cumprimento de obrigação legal ou regulatória pela Controladora (art. 16, I, LGPD);
b)    Transferência a terceiro, desde que respeitados os requisitos de tratamento de dados dispostos nesta Lei (art. 16, III, LGPD); ou
c)    Uso exclusivo da Controladora, vedado seu acesso por terceiro (art. 16, IV, LGPD).

5.9    Ciclo dos Dados

A coleta, retenção, processamento, compartilhamento dos dados pessoais serão realizadas pelo programa Microsoft Sharepoint. Possuem acesso ao programa os setores de atendimento/suporte, comercial, marketing e financeiro da Controladora, para exercício das finalidades previstas na Política de Privacidade.

5.10    Segurança dos dados pessoais

Os agentes de tratamento adotam todas as medidas de segurança para a proteção dos dados pessoais dos Titulares, para o fim de impedir acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou outra forma de tratamento inadequado ou ilícito (art. 46, LGPD).

A segurança dos dados coletados é assegurada por intermédio do software BitDefender Cloud Security Zone.


5.11    Alterações da Política de Privacidade e de Proteção de Dados.

Esta Política poderá ser atualizada periodicamente, de forma que a versão mais recente estará sempre disponível em nosso site, a qual terá aplicabilidade imediata.

Ao utilizar o serviço após eventuais modificações, o Titular demonstra sua concordância com as novas normas. 


6    COOKIES 
 
Cookies são arquivos de texto armazenados no computador dos usuários da internet quando estes entram em uma determinada página (website). O objetivo dos cookies é coletar informações sobre como usuários interagem com esses websites. Os cookies podem ser: 
 
-    Cookies necessários cuja finalidade é prover o funcionamento do website. Esses cookies não podem ser desligados nos sistemas de funcionamento do website. Eles são definidos apenas em resposta às ações feitas pelo usuário, definindo preferências de privacidade, de acesso por login ou no preenchimento de formulários. 
 
-    Cookies analíticos cuja finalidade é fornecer informações sobre como o website está sendo utilizado, melhorando a experiência do usuário. 
 
-    Cookies de marketing cuja finalidade é fornecer informações sobre a interação do usuário com o conteúdo do website, ajudando a entender melhor a eficácia do conteúdo de e-mail e website. 
 
Os cookies e as tecnologias análogas garantem a melhor identificação dos usuários, comunicação e demais ações de marketing, além de possibilitarem a proteção dos dados coletados. São extremamente úteis e eficazes, pois entregam aos usuários a disponibilização de publicidade, recomendações, mensurações de audiência e recursos e funcionalidades dos canais, análises de segurança para aperfeiçoamento e desenvolvimento de ferramentas antifraude. 
 
6.1    Cookies no website da RAÍX 
 
O website da RAÍX possui apenas cookies necessários, cujo objetivo é criar, desenvolver, operar, entregar e aprimorar informações, processos e serviços da, permitindo a entrega de uma experiência personalizada e completa.  
 
Ao acessar o site da RAÍX, alguns cookies necessários serão gerados automaticamente sem a solicitação do consentimento do usuário, na medida em que são essenciais para a navegação. Ademais, tais cookies ainda ajudam a verificar a legitimidade do acesso, evitando ações maliciosas de terceiros. 
 
6.2    Desativamento de cookies 
 
Os cookies podem ser facilmente desativados nas opções oferecidas na janela pop-up que surgirá quando do primeiro acesso do usuário à página inicial do website. Além disso, os cookies também podem ser desativados através da configuração do navegador do usuário. É importante ressaltar que a desativação dos cookies necessários poderá prejudicar a navegação no website. 
 
7    GESTÃO DE INCIDENTES 
 
A RAÍX fomenta perante seus Colaboradores uma cultura de prevenção ao vazamento de Dados Pessoais e tratamento de incidentes. 
 
São considerados “incidentes de Dados Pessoais” quaisquer fragilidades ou eventos adversos de segurança, confirmados ou sob suspeita, que levem ou possam levar ao descumprimento da legislação de proteção de Dados Pessoais e/ou comprometimento de um ou mais dos princípios básicos de confidencialidade, integridade e disponibilidade, conforme abordados no item 3 acima. 
 
Para fins ilustrativos (e não taxativos), são considerados exemplos de incidentes de Dados Pessoais: 
 
-    Indisponibilidade do ambiente tecnológico em virtude de ataque maliciosos interno e externo. 
-    Vazamento de Informações Confidenciais. 
 
-    Tentativas internas ou externas de ganhar acesso não autorizado a sistemas, a dados ou até mesmo de comprometer o ambiente de Tecnologia da Informação. 
 
-    Ato de violar uma política de segurança, explícita ou implícita. 
 
-    Uso ou acesso não autorizado a um sistema. 
 
-    Modificações em um sistema, sem o conhecimento, instruções ou consentimento prévio do dono do sistema. 
 
Para fins ilustrativos (e não taxativos), não são considerados exemplos de incidentes de Dados Pessoais: 
 
-    Eventos acidentais (falhas de hardware ou sistêmicas) não intencionais. 
 
-    Eventos não maliciosos (erro humano ou descuido que não infrinja as regras de privacidade e proteção de dados). 
 
7.1    Certas responsabilidades dos Colaboradores 
 
Os Colaboradores devem: 
 
-    Empreender todos os esforços para difundir as melhores práticas de prevenção e tratamento de incidentes. 
 
-    Providenciar o suporte necessário para que quaisquer suspeitas, averiguações ou denúncias de incidentes sejam devidamente apuradas e tratadas, nos termos da legislação de proteção de Dados Pessoais aplicável. 
 
-    Viabilizar autonomia e independência para que Colaboradores e terceiros em geral possam realizar eventuais denúncias sobre incidentes sem que sofram qualquer tipo de retaliação. 
 
-    Providenciar os meios para que eventuais incidentes sejam devidamente tratados e informados às autoridades competentes. 
 
-    Informar imediatamente a DPO da organização ou aos administradores da RAÍX sobre eventuais incidentes que possam ter ocorrido ou que tenham tomado conhecimento. 
 
Além disso, cabe especificamente à DPO, após ciência, tomar todas as providências necessárias para informar eventuais incidentes ocorridos aos respectivos titulares de Dados Pessoais e às autoridades competentes nos prazos legais. 

7.2    Procedimentos sobre incidentes 
 
Todos os incidentes devem ser registrados com as informações necessárias para a rápida e correta identificação do problema e da ação necessária para mitigá-lo. 
 
Os incidentes devem ser categorizados e classificados através de uma matriz de severidade com intuito de se ter uma melhor visibilidade, tratamento e prioridade quanto à sua gestão. 
 
Todos os incidentes devem ser registrados nos controles e/ou ferramentas específicas elaboradas para esse fim, objetivando a devida triagem e tratamento. 
 
A RAÍX deve realizar ativamente a gestão de incidentes utilizando os seguintes procedimentos: 
 
-    Detecção: identificação de incidentes por meio de monitoramento, relatórios, denúncias, informações obtidas de áreas parceiras ou qualquer outra análise de eventos adversos. 
 
-    Registro e análise: registro dos incidentes, análise, classificação quanto ao tipo, severidade e priorização. 
 
-    Comunicação: comunicação dos incidentes às partes envolvidas e, caso necessário, às autoridades competentes. 
 
-    Resposta: contenção dos incidentes, análises forenses, custódia de evidências, tratamento do incidente e da causa raiz. 
 
-    Finalização: encerramento formal e análise do caso para identificação de possíveis melhorias em processos, controles e no próprio procedimento de gestão de incidentes. 
 
A investigação de incidentes deve ser realizada de forma a garantir a privacidade e o sigilo das informações obtidas, observando os casos de comunicação obrigatória às autoridades locais competentes conforme legislação de proteção de Dados Pessoais aplicável.  
 
8    DISPOSIÇÕES FINAIS 
 
Esta Política será regida, interpretada e executada de acordo com a Constituição da República Federativa do Brasil de 1988 e as legislações infraconstitucionais aplicáveis, especialmente a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados), sendo competente o foro da Comarca de São Miguel do Oeste/SC para dirimir qualquer dúvida decorrente deste documento.

Esta Política de Privacidade e de Proteção de Dados foi atualizada em 27/03/2025.