108 — Politica Tratamento Dados Pessoais

Versão: 1.0·Vigência: 20 de maio de 2026·Atualizado em: 20 de maio de 2026

Política de Tratamento de Dados Pessoais — EBD 2026 (versão aprimorada)

Versão: 2.0 (revisão de `LGPD/POLITICA_TRATAMENTO_DADOS.md`) Vigência: [DATA] Classificação: Pública Base legal: Lei nº 13.709/2018 (LGPD)

> Esta política consolida e amplia a versão anterior, adicionando bases legais por finalidade, tabela de retenção, fluxo de exercício de direitos, transferência internacional e canal padronizado com o DPO.

1. Quem se aplica

Aplica-se a todos os titulares cujos dados são tratados via Plataforma EBD 2026: alunos (incl. menores), responsáveis legais, visitantes, voluntários, professores, secretários, dirigentes, pastores e administradores.

2. Papéis

| Papel | Quem |

|---|---|

| Controlador (Art. 5º, VI) | Igreja contratante (e, em alguns tratamentos próprios, o Operador) |

| Operador (Art. 5º, VII) | [Razão Social do SaaS] |

| DPO/Encarregado (Art. 41) | [NOME] — dpo@[DOMINIO] |

3. Princípios observados (Art. 6º)

Finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas.

4. Dados tratados

4.1 De alunos

  • Identificação obrigatória: nome, data de nascimento, gênero, telefone.
  • Identificação opcional: CPF, e-mail, foto.
  • Familiares: nome dos pais, estado civil, filhos.
  • Sensíveis (consentimento específico): convicção religiosa, batismo, conversão, vocação.
  • Localização (no check-in): lat/long, device-id.
  • Operacionais: logs de acesso e auditoria.

4.2 De menores

Tratados no melhor interesse, com consentimento específico do responsável legal (`304_TERMO_CONSENTIMENTO_RESPONSAVEL_LEGAL.md`) e proteções adicionais (`502_POLITICA_PROTECAO_DE_MENORES.md`).

4.3 De voluntários e colaboradores

Identificação, contato, função, perfil de acesso, registros de aceite (NDA, voluntariado).

5. Bases legais por finalidade

| Finalidade | Base legal | Norma |

|---|---|---|

| Matrícula e gestão pedagógica | Execução de contrato + consentimento | Art. 7º, V; Art. 11, II, "a" |

| Dados religiosos | Consentimento específico | Art. 11, II, "a" |

| Menores | Melhor interesse + consentimento responsável | Art. 14 |

| Comunicações institucionais | Consentimento | Art. 7º, I |

| Faturamento e fiscal | Obrigação legal | Art. 7º, II |

| Auditoria, segurança e defesa | Legítimo interesse | Art. 7º, IX; Art. 10 |

| Geolocalização check-in | Consentimento + legítimo interesse de auditoria | Art. 7º, I e IX |

6. Como compartilhamos

  • Dentro do tenant: apenas usuários com perfil autorizado (RBAC).

  • Subprocessadores: lista pública em `405_CADASTRO_SUBOPERADORES_VIGENTES.md`.
  • Autoridades: mediante ordem legal, com notificação ao titular quando permitido.

7. Transferência internacional

Realizada apenas para subprocessadores adequados, com garantias contratuais (cláusulas padrão), certificações reconhecidas (ISO 27001, SOC 2) ou outros mecanismos do art. 33 da LGPD.

8. Retenção

Vide `107_POLITICA_RETENCAO_E_ELIMINACAO.md`.

9. Direitos dos titulares (Art. 18)

| Direito | Como exercer |

|---|---|

| Confirmação | Pedido ao DPO |

| Acesso | Exportação em PDF/CSV |

| Correção | Solicitação direta ao Controlador (igreja) ou DPO |

| Anonimização/Bloqueio/Eliminação | Pedido ao DPO |

| Portabilidade | Exportação estruturada (CSV/JSON) |

| Eliminação de dados consentidos | Pedido ao DPO |

| Informação sobre compartilhamento | Pedido ao DPO |

| Revogação de consentimento | Em conta + canal DPO |

| Petição à ANPD | gov.br/anpd |

Prazo: até 15 dias corridos (Art. 19), prorrogável por motivo justificado.

10. Segurança

Vide `102_POLITICA_SEGURANCA_INFORMACAO.md`. Resumo: TLS 1.2+, AES-256, bcrypt, MFA, RBAC, isolamento por tenant, backups, monitoramento, plano de incidentes.

11. Incidentes

Notificação ao titular e à ANPD conforme `105_PLANO_RESPOSTA_INCIDENTES.md`.

12. Crianças e adolescentes

Vide `502_POLITICA_PROTECAO_DE_MENORES.md`.

13. Cookies

Vide `305_POLITICA_COOKIES.md`.

14. Alterações

Esta Política poderá ser atualizada. Mudanças materiais são comunicadas com antecedência mínima de 30 dias e exigem novo aceite quando alterarem bases legais ou finalidades.

15. Contato

DPO: dpo@[DOMINIO]

Endereço: [ENDEREÇO]

Versão 2.0 — substitui a versão 1.0 datada de 23/03/2026 mediante decisão posterior.