POLÍTICA DE PRIVACIDADE – RECHE TREINAMENTOS LTDA — EPP

Introdução

Esta Política de Privacidade explica como a RECHE TREINAMENTOS LTDA — EPP, inscrita no CNPJ nº 47.826.327/0001-80 e sediada na Avenida Marcos Penteado de Ulhôa Rodrigues, nº 3800, Bloco G, Apto 121, Bairro Tamboré, Santana de Parnaíba/SP, CEP 06543-001, trata os dados pessoais coletados em seu site hospedado na plataforma GoHighLevel (GHL) e por meio de formulários, landing pages, redes sociais e outros canais de contato. A empresa se compromete a cumprir a Lei Geral de Proteção de Dados (LGPD), o Marco Civil da Internet, o Código de Defesa do Consumidor e demais normas nacionais, além de observar padrões internacionais de proteção de dados como o Regulamento Geral de Proteção de Dados (GDPR) quando aplicável. Ao utilizar nossos serviços ou fornecer seus dados, você declara ter lido e compreendido esta Política.

Bases legais e finalidades do tratamento

Realizamos o tratamento de dados de acordo com as bases legais previstas na LGPD:

• Consentimento – pedimos consentimento livre, informado e específico para enviar e-mails, mensagens via WhatsApp, SMS ou ligações telefônicas com ofertas e conteúdos de marketing. O consentimento é revogável a qualquer momento sem prejuízo.

• Legítimo interesse – utilizamos legítimo interesse para atividades necessárias ao suporte e melhoria dos serviços (por exemplo, gestão de relacionamento, prevenção a fraudes e monitoramento de métricas). Conforme o Guia de Interesses Legítimos da ANPD, aplicamos um teste de balanceamento que avalia a finalidade, a necessidade e o impacto nos direitos do titular. Não aplicamos legítimo interesse a dados sensíveis ou a publicidade comportamental.

• Cumprimento de obrigação legal ou regulatória – quando precisamos cumprir leis fiscais, consumeristas, de telecomunicações ou normas da ANPD.

• Execução de contratos e procedimentos preliminares – para elaborar orçamentos, propostas e contratos de prestação de serviços ou de vendas.

Dados coletados

Coletamos dados voluntariamente fornecidos por meio de formulários da plataforma GHL, landing pages, chatbots, eventos e interações com nossas campanhas. Os principais dados incluem: (i) nome, sobrenome e cargo; (ii) nome da empresa, número de funcionários e faturamento estimado; (iii) endereço de e-mail e telefone/WhatsApp; (iv) informações fornecidas em mensagens, pesquisas e campos abertos; (v) dados de navegação (IP, cookies, pixels de redes sociais, geolocalização aproximada) e preferências de marketing; e (vi) histórico de interações com e-mails, mensagens e ligações. Não coletamos dados sensíveis para fins de marketing sem consentimento explícito; se houver necessidade, avisaremos de forma destacada e adotaremos proteção adicional.

Finalidades de uso e comunicações de marketing

Os dados são utilizados para: (i) entrar em contato com potenciais clientes para apresentar produtos e serviços, enviar conteúdos, propostas comerciais, convites para eventos e pesquisas de satisfação por e-mail, WhatsApp, ligação ou SMS; (ii) personalizar ofertas e conteúdos com base nos interesses manifestados e no histórico de interações; (iii) executar ações de remarketing, anúncios em redes sociais e campanhas digitais; (iv) realizar análises estatísticas e melhorar nossas soluções; e (v) cumprir obrigações contratuais ou legais. As mensagens promocionais são enviadas apenas mediante consentimento ou quando houver legítimo interesse justificado. Em todas as comunicações haverá a opção de cancelamento e instruções claras de opt-out.

Mecanismos de consentimento e legítimo interesse

• Formulários e landing pages – cada formulário indica de forma clara a finalidade da coleta. Solicitamos consentimento para cada canal de comunicação (e-mail, WhatsApp, telefone, SMS) em campos separados, sem caixas pré-marcadas, conforme exigido pela ANPD.

• Opt-in duplo – sempre que possível, utilizamos confirmação adicional (double opt-in) via e-mail para validar o endereço fornecido.

• Revogação – o titular pode revogar o consentimento a qualquer momento por meio do link de descadastramento, enviando “sair” por WhatsApp ou solicitando pela nossa central. Após a revogação, interromperemos o envio de comunicações e excluiremos ou bloquearemos os dados, salvo quando outro fundamento justificar a retenção.

• Legítimo interesse – para tratamentos baseados em legítimo interesse, seguimos o Guia da ANPD (fevereiro de 2024), que prevê a realização de teste de balanceamento e o registro de suas conclusões.

Compartilhamento de dados e terceiros

Compartilhamos dados apenas quando necessário, observando a finalidade informada e a segurança:

• Prestadores e parceiros – compartilhamos dados com parceiros de tecnologia (GoHighLevel, plataformas de e-mail, serviços de SMS, provedores de hospedagem, CRM, processamento de pagamentos), agências de marketing e consultorias. A compra de listas de marketing não é proibida, mas recomendamos que terceiros forneçam comprovação de consentimento dos titulares; não utilizamos bases de terceiros sem validação e apenas trabalhamos com contatos coletados de forma lícita.

• Colaboradores e terceirizados – apenas funcionários autorizados têm acesso aos dados, sendo obrigados a assinar termos de confidencialidade e utilizar dispositivos corporativos.

• Parceiros comerciais – podemos compartilhar dados com parceiros para copromoções e integração de serviços, sempre informando os titulares e exigindo compliance.

• Autoridades – quando necessário para cumprir obrigação legal, decisão judicial ou pedido da ANPD.

Cookies e tecnologias de rastreamento

Utilizamos cookies e tecnologias de rastreamento para melhorar o website, analisar audiência e direcionar anúncios. Observamos as diretrizes do Guia de Cookies da ANPD e de estudos setoriais, que recomendam classificar cookies em categorias (primários, de terceiros, necessários, analíticos, de marketing) e definir bases legais apropriadas. Nosso banner informa:

• Cookies estritamente necessários – garantem o funcionamento do site e são ativados com base em legítimo interesse.

• Cookies funcionais e de preferências – lembram opções do usuário; ativados com consentimento ou interesse legítimo.

• Cookies analíticos – coletam métricas de uso; instalados apenas com consentimento ou de forma anonimizada, conforme testes de equilíbrio.

• Cookies de marketing/publicidade – identificam perfis de navegação para exibir anúncios. São instalados somente após consentimento expresso; não utilizamos cookies de publicidade com base em legítimo interesse .

No primeiro acesso, exibimos um banner claro, com botões de “Aceitar” e “Rejeitar” em igual destaque, explicando finalidades, período de retenção, compartilhamento e como alterar preferências. O usuário pode revogar o consentimento a qualquer momento. Mantemos registros de consentimento para fins de auditoria.

Telemarketing, WhatsApp e e-mail marketing

• Telemarketing – cumprimos a regulamentação da Anatel. O código não geográfico 0303 deve ser utilizado em chamadas de telemarketing; empresas que efetuam mais de 10 mil ligações diárias devem usar o prefixo 0303 a partir de março de 2025, sob pena de bloqueio das chamadas. Respeitamos o cadastro “Não me Ligue” e listas estaduais de exclusão.

• WhatsApp – obedecemos às regras da API do WhatsApp Business. Solicitamos permissão antes de enviar mensagens comerciais, não enviamos mensagens automáticas sem consentimento, incluímos opções de descadastramento e limitamos o acesso aos dados a dispositivos corporativos, com registro de logs.

• E-mail marketing – incluímos em todos os e-mails nosso nome, endereço e um link de descadastramento em destaque. É necessário obter consentimento antes de enviar mensagens e manter prova da autorização; as comunicações devem permitir opt-out fácil.

Direitos dos titulares

De acordo com o art. 18 da LGPD, os titulares têm direito a: (i) confirmar a existência de tratamento e acessar seus dados ; (ii) corrigir dados incompletos ou desatualizados; (iii) anonimizar, bloquear ou excluir dados desnecessários ou tratados em desconformidade; (iv) portar seus dados a outro fornecedor; (v) revogar o consentimento e solicitar a eliminação dos dados coletados com base nele, salvo hipóteses legais de conservação; (vi) obter informações sobre com quem compartilhamos seus dados; (vii) opor-se ao tratamento quando este for baseado em legítimo interesse; e (viii) solicitar a revisão de decisões automatizadas. As solicitações podem ser realizadas via e-mail [email protected] (canal do nosso

Encarregado/DPO). Responderemos em até 15 dias, conforme a LGPD; quando sujeitos a outras leis (como o GDPR), o prazo pode ser de 30 dias.

Segurança, armazenamento e retenção

Adotamos medidas técnicas e administrativas para proteger os dados: (i) criptografia em repouso e em trânsito; controle de acessos, autenticação multifatorial, firewalls e sistemas de detecção de intrusões; (ii) armazenamento em servidores seguros com backup e redundância; (iii) treinamentos periódicos sobre segurança e LGPD, acordo de confidencialidade e uso exclusivo de dispositivos corporativos; e (iv) processo de monitoramento e logs de acesso. Os dados são mantidos pelo tempo necessário para cumprir a finalidade ou obrigações legais e, findo o prazo, excluímos ou anonimizamos os dados.

Transferências internacionais

Alguns dados podem ser processados em servidores de parceiros situados fora do Brasil (por exemplo, GHL, provedores de e-mail e CRM). Cumpriremos os requisitos da LGPD e da Resolução CD/ANPD nº 19/2024. Até 23 de agosto de 2025, incorporaremos Cláusulas Contratuais Padrão aprovadas pela ANPD ou outros mecanismos reconhecidos (Regras Corporativas Vinculantes). As transferências somente ocorrerão quando houver garantia de proteção adequada, e os titulares serão informados.

Contato e encarregado de proteção de dados (DPO)

O responsável pelo tratamento de dados (Encarregado/DPO) na RECHE TREINAMENTOS LTDA — EPP é Leandro Reche, representante legal da empresa. Para esclarecer dúvidas, registrar denúncias ou exercer seus direitos, entre em contato com o DPO pelo e-mail [email protected]. Caso prefira, você também poderá se comunicar por escrito no endereço informado na introdução desta Política.

Atualizações

Esta Política poderá ser atualizada para refletir mudanças legislativas ou em nossos processos. Publicaremos a versão revisada em nosso site e, em caso de alterações significativas, avisaremos pelos canais de contato. Recomendamos que você consulte esta página periodicamente.

POLÍTICA DE COMPLIANCE E PROTEÇÃO DE DADOS – RECHE TREINAMENTOS LTDA — EPP

Objetivo

Esta política estabelece diretrizes e procedimentos para garantir que a RECHE TREINAMENTOS LTDA — EPP, inscrita no CNPJ nº 47.826.327/0001-80 e representada por Leandro Reche (CPF nº 344.444.258-06), e seus colaboradores, prestadores e parceiros tratem dados pessoais em conformidade com a Lei Geral de Proteção de Dados (LGPD), o Marco Civil da Internet, o Código de Defesa do Consumidor, a regulamentação da Anatel e outras leis brasileiras de proteção de dados, além de observar melhores práticas internacionais como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia. Trata-se de um documento para uso externo, fornecido aos nossos clientes, que descreve responsabilidades, fluxos e controles.

Princípios de proteção de dados

Todos os envolvidos devem observar os princípios da LGPD: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização. Em marketing e publicidade, é essencial garantir que o tratamento de dados tenha base legal e proporcione ao titular direito de escolha e informação .

Papéis e responsabilidades

• Controlador – RECHE TREINAMENTOS LTDA — EPP: responsável por definir as finalidades e meios de tratamento e por assegurar o cumprimento das leis.

• Operadores – GoHighLevel, plataformas de CRM, serviços de e-mail, SMS, hospedagem e parceiros que tratam dados sob orientação do controlador.

• Encarregado/DPO – Leandro Reche, representante legal da empresa e canal de comunicação com titulares e com a ANPD; pode ser contatado pelo e-mail [email protected].

• Colaboradores e terceirizados – devem conhecer esta política, realizar treinamentos, manter confidencialidade e reportar incidentes imediatamente.

• Parceiros e fornecedores – deverão assinar contratos com cláusulas de proteção de dados e comprovar conformidade com a LGPD e, quando aplicável, com o GDPR.

Consentimento e marketing responsável

Coleta e registro de consentimentos

• Consentimentos específicos – devem ser livres, específicos, informados e inequívocos para cada canal de comunicação (e-mail, WhatsApp, telefone, SMS). Devemos evitar caixas pré-selecionadas ou consentimentos genéricos (“mídias em geral”).

• Armazenamento de evidências – registrar data, hora, IP e formulário, mantendo logs para auditoria.

• Revogação fácil – oferecer mecanismos de descadastramento: link em e-mails, resposta “sair” em mensagens e atendimento telefônico.

• Double opt-in – realizar confirmação adicional sempre que possível e documentar a confirmação.

• Consentimento para menores – obter consentimento dos responsáveis legais quando o titular for menor de idade.

Telemarketing

• Prefixo 0303 – cumprir as normas da Anatel: empresas que fazem mais de 10 mil ligações diárias devem usar o prefixo 0303 a partir de março de 2025. Também poderá ser utilizado o serviço de “origem verificada” para autenticar chamadas. O descumprimento pode resultar no bloqueio das ligações.

• Respeito ao cadastro “Não me Ligue” – respeitar o cadastro nacional e listas estaduais de bloqueio e disponibilizar mecanismo de opt-out durante a chamada.

• Identificação e horários – identificar-se no início da ligação, informar a empresa representada, registrar consentimentos e ligar apenas em horários permitidos.

WhatsApp e mensagens

• Uso da API oficial – utilizar a API oficial do WhatsApp Business; solicitar autorização prévia antes de enviar mensagens promocionais; incluir botão de descadastramento; não utilizar listas compradas; atualizar cadastros por meio de ferramentas de opt-out.

• Dispositivos corporativos – limitar o uso de dados a dispositivos corporativos; restringir acessos; assinar termos de confidencialidade; realizar backups e manter sistemas atualizados.

E-mail marketing

• Bases de terceiros – não comprar listas de contatos de terceiros. Caso receba uma base de terceiros, exigir comprovação de consentimento e documentação de origem. Lembrar que a ANPD já aplicou sanções a empresas que utilizaram listas inadequadas.

• Identificação e opt-out – inserir em todos os e-mails a identificação do remetente, endereço físico e um link de descadastramento claro; manter registros de opt-outs e removê-los da base imediatamente.

• Frequência de envios – ajustar a frequência de comunicações conforme a preferência do titular e evitar práticas de spam.

Legítimo interesse

• Análise e documentação – o uso de legítimo interesse requer análise e documentação. Segundo o Guia da ANPD, é necessário realizar teste de balanceamento que considere finalidade lícita, necessidade dos dados e avaliação do impacto nos direitos do titular. Registrar a análise e suas conclusões.

• Âmbito de aplicação – aplicar legítimo interesse apenas quando houver relação prévia com o titular (por exemplo, cliente existente) e para finalidades compatíveis com a expectativa do usuário (como suporte ou pesquisas de satisfação). Não utilizá-lo para dados sensíveis ou publicidade de terceiros.

• Transparência – informar claramente nos documentos (Política de Privacidade e Aviso de Cookies) quando o tratamento se basear em legítimo interesse.

Cookies e tecnologias de rastreamento

• Classificação e descrição – classificar cookies (necessários, analíticos, funcionalidade, marketing) e descrever cada categoria nos avisos. Permitir ao usuário aceitar ou rejeitar cookies não necessários e registrar sua escolha.

• Consentimento explícito – não carregar cookies de marketing antes do consentimento; oferecer igual destaque aos botões de aceitação e rejeição; garantir que a revogação desative os cookies.

• Informações complementares – fornecer informações sobre retenção, compartilhamento e finalidade de cada cookie.

Transferências internacionais e conformidade global

• Mapeamento de fornecedores – mapear fornecedores que armazenam ou processam dados no exterior. A partir de 23 de agosto de 2025, celebrar Cláusulas Contratuais Padrão aprovadas pela ANPD ou mecanismos equivalentes para transferências internacionais. Avaliar países destinatários e garantir medidas de segurança.

• GDPR e outras jurisdições – para dados de cidadãos europeus ou operações que envolvam a União Europeia, obedecer ao GDPR: indicar bases legais, nomear DPO quando aplicável, responder a solicitações em até 30 dias e notificar incidentes em 72 horas. Firmar contratos de processamento (art. 28 do GDPR) com operadores e assegurar que suboperadores cumpram as mesmas obrigações.

• Diferenças de multas – considerar as diferenças de sanções: a LGPD prevê penalidades de até 2 % do faturamento limitadas a R$ 50 milhões por infração, enquanto o GDPR impõe multas de até 4 % do faturamento global ou € 20 milhões.

Segurança da informação e governança

• Controles técnicos e administrativos – implementar políticas e procedimentos de segurança com controles técnicos (criptografia, firewall, antivírus, autenticação multifatorial, gestão de vulnerabilidades) e administrativos (controle de acessos, segregação de funções, auditorias, gestão de ativos). Monitorar registros de acesso para identificar abuso ou vazamentos.

• Ambiente seguro e backups – armazenar dados em sistemas com certificações de segurança; realizar backups em ambiente seguro; garantir continuidade de negócios.

• Treinamentos e conscientização – executar programas de treinamento e conscientização sobre privacidade, phishing, engenharia social e boas práticas de segurança. Colaboradores devem assinar termos de confidencialidade e compromisso com a proteção de dados.

• Inventário de dados e avaliação de fornecedores – manter inventário de dados (data mapping), documentar fluxos de tratamento e revisar periodicamente a necessidade de retenção. Estabelecer um procedimento de avaliação de fornecedores, verificando se cumprem as normas e exigindo cláusulas de proteção de dados em contratos.

Gestão de incidentes e resposta

• Plano de resposta – criar um plano de resposta a incidentes de segurança, incluindo detecção, contenção, análise, comunicação e mitigação. Notificar a ANPD e os titulares assim que identificada a ocorrência e em até 48 horas, se a LGPD exigir, ou até 72 horas para dados sujeitos ao GDPR.

• Testes e lições aprendidas – testar periodicamente o plano de resposta e corrigir eventuais falhas. Registrar todos os incidentes, lições aprendidas e ações de melhoria.

Direitos dos titulares e atendimento

• Procedimento de atendimento – definir procedimento para receber, autenticar, registrar e atender às solicitações de titulares (acesso, correção, eliminação, portabilidade, oposição, revogação de consentimento). Garantir resposta em até 15 dias.

• Canal de comunicação – disponibilizar canal de comunicação com o DPO (e-mail [email protected]) e acompanhar prazos e pendências.

• Capacitação da equipe – treinar a equipe de atendimento para orientar titulares sobre seus direitos.

Sanções e consequências internas

• Medidas disciplinares – o descumprimento desta política poderá resultar em medidas disciplinares, que variam de advertência a demissão ou rescisão contratual. Além disso, a empresa poderá acionar medidas legais para ressarcimento de danos.

• Responsabilidade administrativa e penal – a responsabilidade administrativa e penal será apurada conforme a legislação. A empresa está sujeita a fiscalizações da ANPD, que pode aplicar multas e outras penalidades em caso de não conformidade.

Revisão e atualização

Esta política será revisada periodicamente ou sempre que houver mudanças na legislação ou em nossos processos de tratamento. As atualizações serão aprovadas pela direção e divulgadas aos colaboradores e parceiros.