Política de Privacidade

Atualizado em 17 de março de 2026

1. QUEM SOMOS E COMO NOS CONTATAR

A Associação Casa Hacker (“Casa Hacker”), associação privada sem fins lucrativos, inscrita no CNPJ/MF sob o nº 36.038.079/0001-97, com sede na R. Dr. Renato Paes de Barros, 618, Cj 01 – Itaim Bibi, São Paulo – SP, CEP 04530-000, atua no papel de Controladora de dados e obriga-se ao disposto na presente.​

Nossa missão é contribuir para o desenvolvimento da educação e da igualdade de oportunidade entre as pessoas de forma gratuita, mediante a aplicação de novas tecnologias da informação nos processos de aprendizado, com foco na educação STEAM (Ciência, Tecnologia, Engenharia, Artes e Matemática) e inovação social.

Encarregado de Proteção de Dados (DPO): Geraldo Barros E-mail: privacidade@casahacker.org Telefone: +55 11 4200-6060 Endereço: R. Dr. Renato Paes de Barros, 618, Cj 01 – Itaim Bibi, São Paulo – SP, CEP 04530-000

2. A QUEM ESTA POLÍTICA SE APLICA

Esta Política aplica-se a todos os titulares cujos dados são tratados pela Casa Hacker, incluindo:

  • Beneficiários dos programas — crianças, adolescentes e adultos participantes de ações educacionais e sociais
  • Responsáveis legais de beneficiários menores de 18 anos
  • Colaboradores e contratados — equipe, prestadores de serviço e estagiários
  • Fornecedores e parceiros — pessoas físicas e jurídicas com relação contratual
  • Visitantes do site — quem acessa casahacker.org e plataformas digitais
  • Participantes de eventos — inscritos via Sympla ou formulários
  • Diretores, conselheiros e associados fundadores
  • Denunciantes — usuários do canal confidencial Abre o Jogo

3. QUAIS DADOS PESSOAIS COLETAMOS

3.1 Dados Pessoais Comuns

  • Identificação: nome civil, nome social, pronome, data de nascimento, naturalidade, nacionalidade, gênero, estado civil
  • Documentos: CPF, RG, CTPS, Título de Eleitor, NIS/PIS/PASEP, passaporte
  • Contato: e-mail, telefone, WhatsApp, Signal, endereço residencial e CEP
  • Financeiros: dados bancários, chave Pix, NF-e, histórico de pagamentos e reembolsos
  • Educacionais: série, situação escolar, turno, instituição de ensino, histórico de atividades e notas
  • Socioeconômicos: renda, composição familiar, CadÚnico, benefícios sociais, despesas domésticas
  • Viagem e mobilidade: origem e destino, horários, histórico de transporte

3.2 Dados Sensíveis (Art. 5, II e Art. 11 LGPD)

Coletados somente com consentimento específico e destacado, ou nas hipóteses legais do Art. 11, II:

  • Raça, cor e etnia
  • Identidade de gênero e orientação sexual
  • Religião
  • Saúde: condições médicas, alergias, medicações, deficiências, uso de substâncias psicoativas
  • Dados biométricos: foto facial (cadastro e autenticação), impressão digital (certificados ICP-Brasil)
  • Dados de Pessoas Politicamente Expostas (PPE): cargo, vínculo, histórico de relacionamento institucional
  • Dados de denúncias éticas: fatos, envolvidos, natureza da irregularidade

3.3 Dados de Menores de 18 Anos (Art. 14 LGPD)

Todos os programas de beneficiários envolvem crianças e adolescentes. Para estes, exigimos consentimento parental prévio e expresso do responsável legal. Os dados coletados incluem todos os tipos acima, associados obrigatoriamente ao nome, CPF e contato do responsável.

4. POR QUE COLETAMOS SEUS DADOS — FINALIDADES E BASES LEGAIS

FinalidadeBase Legal (LGPD)Artigo
Execução de programas sociais e educacionaisExecução de contrato / ConsentimentoArt. 7, V; 7, I
Gestão financeira, fiscal e contábilObrigação legalArt. 7, II
Gestão de bolsas, auxílios e benefícios a participantesExecução do programa / Consentimento parentalArt. 7, V; Art. 14
Assinatura e autenticação de contratos e termosExecução de contrato / Obrigação legalArt. 7, II e V
Gestão de viagens corporativas e de beneficiáriosExecução de contrato / Legítimo interesseArt. 7, V e IX
Due diligence de fornecedores (KYS/KYC)Obrigação legal / Legítimo interesseArt. 7, II e IX
Prestação de contas a financiadores e ao governo (SALIC/Lei Rouanet)Obrigação legalArt. 7, II; Art. 14
Registro e monitoramento do desenvolvimento de beneficiários (Bússola Social)Consentimento / Execução do programaArt. 11, I; Art. 14
Gestão de eventos e inscriçõesConsentimento / Execução de contratoArt. 7, I e V
Análise de audiência do site (Google Analytics)Consentimento (cookies) / Legítimo interesseArt. 7, I e IX
Comunicação e colaboração interna (Google Workspace)Legítimo interesse / Execução de contratoArt. 7, IX
Registro de incidentes de segurançaObrigação legal / Legítimo interesseArt. 7, II; Art. 11, II
Canal de denúncias (Abre o Jogo)Legítimo interesse / Obrigação legalArt. 11, II
Certificação digital e validade jurídica de atosObrigação legalArt. 11 (MP 2.200-2/2001)
Cumprimento de obrigações trabalhistas e previdenciáriasObrigação legalArt. 7, II

5. COMO COLETAMOS SEUS DADOS

Coletamos dados por meio de:

  • Formulários de inscrição nos programas (LimeSurvey — self-hosted)
  • Plataformas de gestão de beneficiários (Bússola Social — Prontuário Social)
  • Contratos e termos digitais (ZapSign, Clicksign, ICP-Brasil/VALID)
  • Sistemas de gestão financeira (Omie ERP)
  • Requisições internas (Jira Service Management — self-hosted)
  • Inscrições em eventos (Sympla)
  • Plataforma educacional (Mão na Massa — Moodle)
  • Benefícios corporativos (Caju)
  • Transporte (Uber Business, Transurc, Jaé Carioca)
  • Colaboração digital (Google Workspace — Gmail, Drive, Meet, Forms)
  • Site institucional (casahacker.org + Google Analytics)
  • Canal de denúncias (GlobaLeaks — abreojogo.casahacker.org)
  • Fontes públicas e bases governamentais (SALIC/MinC, COAF, Receita Federal)

6. COM QUEM COMPARTILHAMOS SEUS DADOS

A Casa Hacker não vende dados pessoais. O compartilhamento ocorre apenas nas seguintes hipóteses, com operadores e terceiros devidamente contratados:

Operadores (tratam dados em nosso nome):

  • Bússola Tecnologia Social Ltda — prontuário social (DPA: Contrato E00513)
  • Omie — gestão financeira/ERP
  • ZapSign / Clicksign — assinatura digital
  • Sympla — gestão de eventos
  • Caju — benefícios flexíveis
  • Locaweb — hospedagem de infraestrutura (LimeSurvey, Moodle, site)
  • Escritório de contabilidade — escrituração e obrigações fiscais
  • Reserve / Stabia Viagens — gestão de viagens

Controladores independentes:

  • Google LLC — Google Workspace e Analytics
  • Microsoft Corporation — infraestrutura Azure e backup
  • Uber Technologies Inc. — viagens corporativas
  • Vivo/Telefônica — linhas corporativas
  • Transurc / Jaé Carioca — transporte público de beneficiários
  • Fundação FEAC — projetos sociais parceiros

Autoridades e obrigações legais:

  • Receita Federal, eSocial, FGTS, INSS
  • Ministério da Cultura (SALIC — Lei Rouanet)
  • Cartório 5º RTD de São Paulo
  • Conselho Tutelar (quando menor em situação de risco — ECA)
  • Autoridades judiciais e regulatórias, quando exigido por lei

7. TRANSFERÊNCIAS INTERNACIONAIS DE DADOS

Alguns dados são transferidos para servidores no exterior, sempre com mecanismos de proteção compatíveis com a LGPD (Art. 33):

Operador / ControladorPaísMecanismo
Microsoft Azure (Jira + backup)EUASCCs (Microsoft DPA Set/2025)
Google LLC (Workspace + Analytics)EUASCCs (Google Workspace DPA)
Uber Technologies Inc.EUASCCs / BCR Uber
ZapSign — subprocessadores Veriff e TruoraEstônia / Colômbia / EUASCCs (em regularização — Art. 33)
Amadeus / Sabre GDS (via TMC de viagens)EUAContrato com TMC (em regularização)

8. POR QUANTO TEMPO MANTEMOS SEUS DADOS

Categoria de DadoPrazo de RetençãoFundamento
Dados financeiros, fiscais e NF-eVigência contratual + 10 anosCTN / Obrigação legal
Dados de contratos e assinaturasVigência + 5 anos (societários: indefinido)Obrigação legal (MP 2.200-2/2001)
Prontuários sociais de beneficiáriosVigência do programa + 5 anosConsentimento / Prestação de contas
Dados educacionais (Moodle)Duração do programa + 5 anosLegítimo interesse
Registros de incidentes de segurançaIndefinido (enquanto necessário)Obrigação legal / Compliance
Dados de eventos (Sympla)2 anos após o eventoLegítimo interesse
Dados de viagens5 anosExecução de contrato
Dados de denúncias (Abre o Jogo)Prazo de apuração + 5 anosLegítimo interesse / Obrigação legal
Dados de certificados digitaisVigência do certificado + 10 anosMP 2.200-2/2001
Cookies (Google Analytics)26 mesesConsentimento
Dados trabalhistas / RHVigência + 10 anosCLT / Obrigação legal

9. COMO PROTEGEMOS SEUS DADOS

Adotamos medidas técnicas e organizacionais proporcionales ao risco de cada tratamento:

  • Controle de acesso: perfis granulares, autenticação com 2FA/SSO, princípio do mínimo privilégio
  • Criptografia: em trânsito (HTTPS/TLS) e em repouso (Azure, Oracle, Google Cloud)
  • Logs de auditoria: rastreabilidade de acessos em todos os sistemas críticos
  • Gestão de backups: rotatividade de 1–3 anos; backups gerenciados em Azure (EUA) e Oracle Cloud (Valinhos/SP)
  • Segmentação de dados sensíveis: boards ultra-restritos para PPE, incidentes e prontuários de menores (acesso DPO + diretoria)
  • Treinamento: equipe e contratados recebem formação periódica sobre LGPD
  • Gestão de fornecedores: cláusulas de proteção de dados em contratos com operadores (DPA)
  • Resposta a incidentes: protocolo com notificação à ANPD em até 72h (Art. 48 LGPD)

Mantemos um Registro de Atividades de Tratamento (RoPA) atualizado, disponível para consulta mediante solicitação ao DPO e para inspeção pela ANPD, conforme Art. 37 da LGPD.

10. DADOS DE CRIANÇAS E ADOLESCENTES

A Casa Hacker trata dados de crianças e adolescentes em todos os seus programas sociais e educacionais, incluindo dados sensíveis como saúde, raça/etnia e identidade de gênero.

Comprometemos-nos a:

  • Exigir consentimento parental expresso antes de qualquer coleta (Art. 14 LGPD)
  • Coletar apenas os dados estritamente necessários para a execução do programa
  • Nunca utilizar dados de menores para fins comerciais, publicitários ou de marketing
  • Garantir ao responsável legal o direito de acesso, correção e exclusão dos dados a qualquer momento
  • Aplicar medidas de segurança reforçadas aos prontuários e dados educacionais de menores
  • Comunicar ao Conselho Tutelar quando identificado risco à integridade de menor, conforme ECA e Política de Proteção à Criança (docs.casahacker.org)

11. CANAL DE DENÚNCIAS — ABRE O JOGO

Operamos o canal confidencial Abre o Jogo (abreojogo.casahacker.org), desenvolvido sobre a plataforma open-source GlobaLeaks, para recebimento de denúncias sobre irregularidades, assédio e violações éticas.

  • A identificação do denunciante é sempre opcional — o sistema permite anonimato total
  • Não há registro de IP do denunciante
  • Os dados são criptografados ponta a ponta
  • Acesso ultra-restrito: DPO + máximo 2 gestores autorizados
  • Dados do denunciante jamais são acessados pelo denunciado
  • A política de não retaliação está publicada em casahacker.org/conduta

12. COOKIES E TECNOLOGIAS SIMILARES

O site casahacker.org utiliza Google Analytics (Google LLC, EUA) para análise de audiência, com as seguintes características:

  • IPs anonimizados antes do processamento
  • Retenção de cookies: 26 meses (configuração padrão GA)
  • Transferência internacional via SCCs (Google Analytics DPA)
  • Banner de consentimento exibido na primeira visita, conforme Art. 7, I

Você pode recusar ou revogar o consentimento para cookies a qualquer momento pelo banner do site ou pelas configurações do seu navegador.

13. SEUS DIREITOS COMO TITULAR (Art. 18 LGPD)

Você tem direito a:

  1. Confirmação da existência de tratamento dos seus dados
  2. Acesso aos seus dados pessoais
  3. Correção de dados incompletos, inexatos ou desatualizados
  4. Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade
  5. Portabilidade dos seus dados a outro fornecedor, mediante requisição
  6. Eliminação dos dados tratados com base no consentimento, salvo hipóteses legais de retenção
  7. Informação sobre compartilhamento com terceiros
  8. Revogação do consentimento a qualquer momento, sem prejuízo ao tratamento já realizado
  9. Oposição ao tratamento baseado em legítimo interesse
  10. Petição à ANPD (Autoridade Nacional de Proteção de Dados)

Como exercer seus direitos: Envie sua solicitação para privacidade@casahacker.org e respondemos em até 15 (quinze) dias corridos (Art. 19 LGPD).

14. ALTERAÇÕES NESTA POLÍTICA

Esta Política pode ser atualizada periodicamente. Alterações relevantes serão comunicadas por e-mail aos titulares cadastrados e/ou publicadas com destaque no site. A versão vigente estará sempre disponível em casahacker.org/politica-de-privacidade.