1. FINALIDADE

1.1. Esta Política de Privacidade de Dados descreve como o Grupo Pomin coleta, utiliza, armazena, compartilha e descarta dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD) e demais normas aplicáveis.

1.2. Esta Política integra o SGI do Grupo Pomin e deve ser lida em conjunto com:

• PO.001 — Política de Segurança da Informação
• PO.003 — Política de Classificação da Informação
• PO.006 — Política de Falha Técnica e Operacional
• PO.007 — Política de Governança de Dados Pessoais

2. ABRANGÊNCIA

2.1. Esta Política aplica-se ao tratamento de dados pessoais de todos os titulares com os quais o Grupo Pomin mantém relação, incluindo:

• Colaboradores e ex-colaboradores (CLT, PJ e estagiários);
• Candidatos em processos seletivos;
• Clientes e usuários dos serviços e do site do Grupo Pomin;
• Fornecedores e prestadores de serviços;
• Parceiros comerciais e institucionais.

2.2. Aplica-se a todos os colaboradores, gestores e prestadores de serviços que, em razão de suas funções, realizem qualquer operação de tratamento de dados pessoais em nome do Grupo Pomin.

3. DEFINIÇÕES

3.1. Dado Pessoal: Qualquer informação relacionada a uma pessoa física identificada ou identificável (Art. 5º, I da LGPD).

3.2. Dado Pessoal Sensível: Dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa física (Art. 5º, II da LGPD).

3.3. Titular: Pessoa física a quem os dados se referem.

3.4. Controlador: Pessoa jurídica responsável pelas decisões sobre o tratamento de dados. No âmbito desta Política, o Grupo Pomin é o controlador.

3.5. Operador: Pessoa ou empresa que realiza o tratamento de dados em nome do controlador.

3.6. Encarregado (DPO): Pessoa indicada pelo controlador como canal de comunicação com os titulares e com a ANPD (Art. 41 da LGPD).

3.7. Tratamento: Toda operação realizada com dados pessoais, incluindo coleta, uso, acesso, armazenamento, arquivamento, transmissão e eliminação (Art. 5º, X da LGPD).

4. DADOS COLETADOS E FINALIDADES

4.1. Colaboradores e Ex-Colaboradores

O Grupo Pomin coleta dados necessários ao cumprimento das obrigações trabalhistas, previdenciárias e fiscais, com base no Art. 7º, II da LGPD — Obrigação Legal. Os dados tratados incluem nome completo, CPF, RG, endereço, dados bancários, CTPS, PIS e dados de dependentes, utilizados para gestão do contrato de trabalho, folha de pagamento e obrigações junto ao eSocial, INSS, Receita Federal e FGTS.

4.2. Candidatos em Processos Seletivos

Os dados de candidatos — nome, e-mail, currículo e histórico profissional — são coletados exclusivamente para a condução do processo seletivo, com base no Art. 7º, IX da LGPD — Legítimo Interesse. Candidatos não aprovados têm seus dados retidos por até 6 meses para fins de eventual reaproveitamento, sendo eliminados após esse prazo.

4.3. Clientes e Usuários

Dados como nome, e-mail, CPF, telefone e CNPJ são coletados para viabilizar o acesso à Área do Cliente, a contratação de serviços e o suporte técnico e comercial, com base no Art. 7º, V da LGPD — Execução de Contrato. O envio de comunicados, atualizações e ofertas comerciais é realizado exclusivamente mediante consentimento prévio do titular (Art. 7º, I da LGPD), que pode ser revogado a qualquer momento.

4.4. Fornecedores e Parceiros

Dados do representante legal e dados empresariais (CNPJ, razão social) são coletados para gestão contratual e pagamentos, com base no Art. 7º, V da LGPD — Execução de Contrato.

4.5. Dados Coletados Automaticamente

Durante a navegação no site e o uso dos sistemas corporativos, são coletados automaticamente endereço IP, tipo de navegador, sistema operacional, dispositivo utilizado e logs de acesso. Esses dados são tratados com base no Art. 7º, IX da LGPD — Legítimo Interesse, para fins de segurança da informação e melhoria contínua, em conformidade com a PO.001.

4.6. Dados Pessoais Sensíveis

O Grupo Pomin coleta e trata dados sensíveis nas seguintes hipóteses, todas com base em obrigação legal (Art. 11, II, “a” da LGPD):

• Dados de saúde (atestados, laudos, CID): coletados dos colaboradores para gestão de afastamentos e benefícios, em cumprimento às obrigações trabalhistas e previdenciárias.
• Dados biométricos (reconhecimento facial): coletados para controle de jornada via sistema iFractal, conforme PO.022 — Política de Controle de Jornada.

O tratamento de dados sensíveis é restrito ao mínimo necessário, observado o princípio da necessidade (Art. 6º, III da LGPD), e realizado apenas por pessoas autorizadas e com obrigação formal de confidencialidade.

5. COMPARTILHAMENTO DE DADOS

5.1. Os dados pessoais poderão ser compartilhados com terceiros exclusivamente nas seguintes hipóteses:

• Obrigação legal ou regulatória: eSocial, Receita Federal, INSS, Ministério do Trabalho, FGTS, operadoras de planos de saúde e seguros;
• Operadores contratados: fornecedores de TI, plataformas de folha de pagamento e RH, mediante contrato com cláusulas de proteção de dados compatíveis com a LGPD;
• Autoridades competentes: mediante requisição judicial ou determinação legal;
• Plataformas de marketing: exclusivamente com consentimento prévio do titular.

5.2. O Grupo Pomin não vende dados pessoais a terceiros sob nenhuma circunstância.

6. POLÍTICA DE COOKIES

6.1. O site do Grupo Pomin utiliza cookies para aprimorar a experiência de navegação, identificar preferências e comportamentos de uso.

6.2. O titular pode consentir ou revogar o uso de cookies a qualquer momento, ajustando as configurações do seu navegador ou por meio do banner de consentimento disponível no site.

7. RETENÇÃO E DESCARTE DE DADOS

7.1. Os dados pessoais são armazenados pelo período estritamente necessário para as finalidades que motivaram sua coleta, respeitados os prazos legais obrigatórios:

• Dados trabalhistas (contratos, holerites, CTPS): 5 anos após a rescisão, com base no prazo prescricional trabalhista (Art. 11 da CLT);
• FGTS: 30 anos, nos termos da Lei nº 8.036/1990;
• Dados de saúde e atestados: 5 anos, conforme Resolução CFM nº 1.638/2002;
• Dados de candidatos não aprovados 6 meses, com eliminação após esse prazo;
• Dados de navegação e cookies: 6 meses;
• Dados de clientes — contratos ativos: duração do contrato acrescida de 5 anos, observado o prazo prescricional civil (Art. 205 do Código Civil);
• Logs de acesso a sistemas: 6 meses, nos termos do Art. 15 da Lei nº 12.965/2014 (Marco Civil da Internet).

7.2. Após o prazo de retenção aplicável, os dados são eliminados de forma segura ou anonimizados, conforme procedimentos descritos na PO.007 — Política de Governança de Dados Pessoais.

8. DIREITOS DO TITULAR

8.1. Nos termos do Art. 18 da LGPD, o titular dos dados tem direito a:

• Confirmação sobre o tratamento de seus dados pessoais;
• Acesso às informações coletadas;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a lei;
• Portabilidade dos dados a outro fornecedor de serviços;
• Eliminação de dados tratados com base em consentimento, quando solicitado;
• Informação sobre as entidades com as quais os dados foram compartilhados;
• Revogação do consentimento a qualquer momento.

8.2. As solicitações devem ser encaminhadas ao DPO pelo e-mail dpo@grupopomin.com.br e serão respondidas em até 15 dias úteis, conforme prazo orientativo da ANPD.

9. RESPOSTA A INCIDENTES DE SEGURANÇA

9.1. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o Grupo Pomin comunicará a ocorrência à ANPD e aos titulares afetados no prazo de 72 horas a partir da ciência do incidente, nos termos do Art. 48 da LGPD.

9.2. A comunicação conterá, no mínimo:

• Descrição da natureza dos dados pessoais afetados;
• Informações sobre os titulares envolvidos;
• Indicação das medidas técnicas e de segurança adotadas para proteção dos dados;
• Riscos relacionados ao incidente;
• Medidas adotadas ou a adotar para mitigação dos efeitos.

9.3. O fluxo completo de resposta a incidentes está descrito na PO.006 — Política de Falha Técnica e Operacional. O DPO é responsável por coordenar a resposta e garantir a comunicação com a ANPD e com os titulares afetados.

10. ENCARREGADO PELO TRATAMENTO DOS DADOS PESSOAIS (DPO)

10.1. Para esclarecimentos, exercício de direitos ou qualquer comunicação relacionada a esta Política, o contato com o Encarregado pelo Tratamento de Dados Pessoais deve ser feito pelo e-mail: dpo@grupopomin.com.br.

10.2. Encarregado Principal (DPO)
Nome: Emily Pomin

10.3. Suplente do Encarregado (DPO)
Nome: Camila Gregório Santos

Os responsáveis estão à disposição para garantir a conformidade com a LGPD e apoiar a proteção das informações pessoais tratadas pela organização.

11. ATUALIZAÇÕES DESTA POLÍTICA

11.1. Esta Política poderá ser atualizada periodicamente para refletir mudanças nas práticas de tratamento de dados, em requisitos legais ou normativos.

11.2. Alterações significativas serão comunicadas aos titulares por meio do contato cadastrado ou por aviso no site do Grupo Pomin.

11.3. A versão vigente está sempre disponível no site do Grupo Pomin e no SGI interno.

12. REFERÊNCIAS NORMATIVAS

• Lei nº 13.709/2018 — LGPD (Arts. 5º, 6º, 7º, 11, 18, 41, 48, 52)
• Lei nº 12.965/2014 — Marco Civil da Internet (Art. 15)
• CLT — Art. 11
• Lei nº 8.036/1990 — FGTS
• Código Civil — Art. 205
• Resolução CFM nº 1.638/2002
• ISO 27001:2022
• ISO 9001:2015
• PO.001 — Política de Segurança da Informação
• PO.003 — Política de Classificação da Informação
• PO.006 — Política de Falha Técnica e Operacional
• PO.007 — Política de Governança de Dados Pessoais
• PO.022 — Política de Controle de Jornada