K8COMPANY LIMITED
POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS - K8COMPANY LTD.
Data de Vigência: 06 de junho de 2025
Versão: 1.0
Controladora de Dados: K8COMPANY LIMITED
A presente Política de Privacidade e Proteção de Dados é estabelecida pela K8COMPANY LIMITED, pessoa jurídica de direito privado constituída sob as leis da República da Irlanda, qualificada como controladora de dados pessoais nos termos do Regulamento (UE) 2016/679 (GDPR) e da Lei 13.709/2018 (LGPD), atuando no segmento de desenvolvimento e implementação de soluções de inteligência artificial para empresas.
O tratamento de dados pessoais no âmbito das operações da K8COMPANY observa rigorosamente:
Para os fins desta Política, aplicam-se as definições estabelecidas no GDPR e na LGPD, complementadas pelas seguintes definições específicas:
"Tratamento de Dados" - qualquer operação ou conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, incluindo coleta, registro, organização, estruturação, conservação, adaptação ou alteração, recuperação, consulta, utilização, divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, comparação ou interconexão, limitação, apagamento ou destruição;
"Base Legal" - fundamento jurídico que legitima o tratamento de dados pessoais, conforme previsto no art. 6º do GDPR e art. 7º da LGPD;
"Transferência Internacional" - qualquer comunicação, cópia, difusão ou disponibilização de dados pessoais a um terceiro país ou organização internacional;
"Violação de Dados Pessoais" - violação da segurança que provoque, de modo acidental ou ilícito, a destruição, perda, alteração, divulgação ou acesso não autorizados a dados pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.
Nome completo, nome comercial ou razão social
Endereço de correio eletrônico profissional
Número de telefone para comunicação via WhatsApp Business
Cargo, função ou posição hierárquica
Dados da empresa representada (CNPJ, denominação social, segmento de atuação)
Conteúdo das mensagens trocadas via WhatsApp Business
Histórico de interações e comunicações
Preferências comerciais manifestadas
Informações sobre necessidades específicas em inteligência artificial
Endereço de Protocolo de Internet (IP) e dados de geolocalização aproximada
Informações sobre dispositivo, sistema operacional e navegador utilizado
Páginas visitadas, tempo de permanência e padrões de navegação
Referrer URL e dados de origem do tráfego
Timestamps de acesso e interação com elementos da interface
Métricas de engajamento e interação com conteúdo
Dados de conversão e funil de vendas
Heat maps e análise de comportamento do usuário
Dados de A/B testing e otimização de experiência
Informações provenientes do Google Analytics 4
Dados do Facebook Pixel e Facebook Conversions API
Métricas de campanhas publicitárias e remarketing
Audiências personalizadas e lookalike audiences
Finalidade Base Legal GDPR Base Legal LGPD Categoria de Dados
Atendimento comercial e pré-vendas Art. 6°(1)(f) - Interesses legítimos Art. 7°, IX - Interesse legítimo Identificação, contato, comunicação
Marketing direto e prospecção Art. 6°(1)(a) - Consentimento Art. 7º, I - Consentimento Todos os dados coletados
Analytics e otimização de website Art. 6°(1)(a) - Consentimento Art. 7º, I - Consentimento Navegação, uso, performance
Remarketing e publicidade direcionada Art. 6°(1)(a) - Consentimento Art. 7º, I - Consentimento Todos os dados + terceiros
Cumprimento de obrigações legais Art. 6°(1)(c) - Obrigação legal Art. 7°, II - Cumprimento legal Conforme exigência legal
Segurança e prevenção de fraudes Art. 6°(1)(f) - Interesses legítimos Art. 7°, IX - Interesse legítimo Técnicos, navegação, IP
Estabelecimento de comunicação comercial e fornecimento de informações sobre soluções de IA
Qualificação de leads e prospecção comercial
Personalização da experiência de navegação e conteúdo
Geração de propostas comerciais e orçamentos personalizados
Análise de mercado e inteligência comercial
Desenvolvimento de produtos e serviços
Pesquisa e desenvolvimento em inteligência artificial
Compliance regulatório e auditoria interna
Manutenção da segurança e integridade da plataforma
Monitoramento de performance e disponibilidade
Backup e recuperação de dados críticos
Suporte técnico e resolução de incidentes
A K8COMPANY não vende, aluga, licencia ou de qualquer forma comercializa dados pessoais de titulares, sendo tal prática expressamente vedada pela política corporativa de proteção de dados.
O compartilhamento de dados pessoais ocorre exclusivamente nas seguintes hipóteses:
Google LLC (Google Analytics, Google Ads) - Estados Unidos
Meta Platforms Ireland Ltd. (Facebook Pixel, Instagram Ads) - Irlanda
WhatsApp LLC (WhatsApp Business API) - Estados Unidos
Cloudflare Inc. (CDN e segurança) - Estados Unidos
Autoridades fiscais e tributárias
Órgãos de proteção de dados (DPC, ANPD, etc.)
Autoridades judiciais mediante ordem judicial
Órgãos de defesa da concorrência
Em caso de fusão, aquisição, cisão ou reorganização societária
Transferência de ativos ou unidades de negócio
Due diligence para transações comerciais
As transferências internacionais de dados pessoais são realizadas exclusivamente para países com nível adequado de proteção reconhecido pela Comissão Europeia ou mediante implementação de salvaguardas apropriadas:
Previamente a qualquer transferência internacional, a K8COMPANY conduz Transfer Impact Assessment (TIA) para avaliar:
Nível de proteção oferecido pelo país de destino
Riscos específicos para os direitos dos titulares
Medidas de segurança adicionais necessárias
Compatibilidade com o ordenamento jurídico de origem
Os dados pessoais são conservados apenas pelo período necessário para as finalidades que justificaram seu tratamento, observados os seguintes prazos:
A K8COMPANY implementa processos automatizados de revisão e exclusão de dados:
Revisão trimestral dos dados armazenados
Purge automático ao final dos prazos estabelecidos
Notificação prévia aos titulares quando aplicável
Logs de auditoria para todas as operações de exclusão
Criptografia AES-256 para dados em repouso
TLS 1.3 para dados em trânsito
Hashing com algoritmos SHA-256 ou superior
Tokenização de dados sensíveis
Autenticação multifatorial (MFA) obrigatória
Princípio do menor privilégio (Principle of Least Privilege)
Segregação de funções e responsabilidades
Logs de auditoria para todos os acessos
SIEM (Security Information and Event Management)
Detecção de anomalias baseada em machine learning
Monitoramento contínuo de vulnerabilidades
Testes de penetração periódicos
Política de Segurança da Informação aprovada pela alta administração
Comitê de Proteção de Dados multidisciplinar
Treinamentos obrigatórios para todos os colaboradores
Avaliações periódicas de riscos (DPIA)
Plano de Resposta a Incidentes (IRP) documentado
Equipe de Resposta a Emergências (CERT) dedicada
Procedimentos de notificação às autoridades (72h GDPR)
Comunicação aos titulares quando aplicável
Os titulares de dados pessoais possuem os seguintes direitos, exercidos gratuitamente:
Confirmação da existência de tratamento
Acesso aos dados pessoais tratados
Informações sobre finalidades, categorias e destinatários
Prazos de conservação e fonte de coleta
Existência de decisão automatizada e lógica utilizada
Correção de dados incompletos, inexatos ou desatualizados
Completamento de dados incompletos
Atualização de informações mediante fornecimento de documentação comprobatória
Apagamento quando dados não são mais necessários
Retirada de consentimento quando aplicável
Oposição ao tratamento baseado em interesse legítimo
Tratamento ilícito ou violação de obrigação legal
Recebimento de dados em formato estruturado, de uso corrente e leitura automática
Transmissão direta a outro controlador quando tecnicamente possível
Aplicável apenas a dados fornecidos pelo titular baseados em consentimento ou contrato
Oposição ao tratamento baseado em interesse legítimo
Oposição a marketing direto a qualquer momento
Oposição a decisões automatizadas e criação de perfis
Suspensão temporária do tratamento
Contestação da exatidão dos dados
Processamento ilícito com oposição à exclusão
Necessidade de dados para defesa de direitos
Email Principal: contact@k8company.com
Assunto Obrigatório: "EXERCÍCIO DE DIREITOS LGPD/GDPR - [TIPO DE SOLICITAÇÃO]"
Formulário Online: [A ser disponibilizado na plataforma]
Identificação válida do titular ou representante legal
Descrição clara do direito que deseja exercer
Documentos comprobatórios quando aplicável
Procuração específica em caso de representação
LGPD: 15 (quinze) dias úteis, prorrogáveis por igual período
GDPR: 30 (trinta) dias corridos, prorrogáveis por até 60 dias em casos complexos
Casos Urgentes: Priorização conforme criticidade e risco aos direitos fundamentais
O exercício dos direitos é gratuito, exceto em casos de solicitações manifestamente infundadas ou excessivas, especialmente devido ao seu caráter repetitivo, hipótese em que poderá ser cobrada taxa razoável ou recusado o atendimento, conforme previsto no art. 12(5) do GDPR.
Cookies de sessão para funcionamento básico da plataforma
Cookies de segurança e prevenção de fraudes
Cookies de balanceamento de carga e performance
Base Legal: Interesse legítimo (Art. 6°(1)(f) GDPR)
Google Analytics 4 (GA4) - ga, _ga*, _gid
Google Tag Manager - _gtm, _gtag
Hotjar - _hjSessionUser, _hjSession
Base Legal: Consentimento (Art. 6°(1)(a) GDPR)
Facebook Pixel - _fbp, _fbc
Google Ads - _gcl_au, _gcl_aw
LinkedIn Insight Tag - _li_gc, _lipt
Base Legal: Consentimento (Art. 6°(1)(a) GDPR)
Preferências de idioma e localização
Configurações de interface personalizada
Histórico de interações não sensíveis
Base Legal: Consentimento (Art. 6°(1)(a) GDPR)
Interface de consentimento em conformidade com eIDAS e GDPR
Granularidade por categoria de cookies
Possibilidade de revogação a qualquer momento
Registro de prova de consentimento (consent receipts)
Rejeição global de cookies não essenciais
Configuração granular por fornecedor
Modo de navegação privada respeitado
Integração com Global Privacy Control (GPC)
A K8COMPANY declara que não realiza decisões exclusivamente automatizadas que produzam efeitos jurídicos significativos ou afetem substancialmente os titulares de dados, conforme definido no art. 22 do GDPR e art. 20 da LGPD.
Segmentação de audiências para campanhas publicitárias
Personalização de conteúdo e ofertas comerciais
Análise de comportamento de navegação e engajamento
Otimização de funil de vendas e taxa de conversão
Algoritmos de clustering baseados em comportamento de navegação
Modelos de lookalike audiences do Facebook e Google
Análise de similaridade baseada em dados demográficos e comportamentais
Machine learning para previsão de propensão à compra
Direito de não ser submetido a decisões baseadas unicamente em tratamento automatizado
Direito de solicitar intervenção humana
Direito de manifestar ponto de vista e contestar decisão
Direito de solicitar explicação sobre lógica utilizada
Nível 1 - Crítico: Exposição pública de dados sensíveis, acesso não autorizado massivo
Nível 2 - Alto: Comprometimento de sistemas críticos, violação de dados de grande volume
Nível 3 - Médio: Incidentes localizados com impacto limitado
Nível 4 - Baixo: Tentativas de acesso sem sucesso, vulnerabilidades sem exploração
GDPR (Art. 33):
Prazo: 72 horas após tomada de conhecimento
Destinatário: Data Protection Commission - Irlanda
Conteúdo: Natureza da violação, categorias e número de titulares afetados, consequências prováveis, medidas adotadas
LGPD (Art. 48):
Prazo: Prazo razoável conforme regulamentação da ANPD
Destinatário: Autoridade Nacional de Proteção de Dados - Brasil
Conteúdo: Descrição da violação, dados afetados, medidas técnicas adotadas
Quando a violação implicar alto risco para direitos e liberdades
Linguagem clara e não técnica
Informações sobre medidas adotadas e recomendações
Canais de contato para esclarecimentos adicionais
Identificação e isolamento da origem do incidente
Preservação de evidências forenses
Ativação da equipe de resposta a emergências
Comunicação interna aos stakeholders relevantes
Análise forense detalhada do incidente
Quantificação dos dados afetados
Avaliação de riscos para os titulares
Preparação de relatórios para autoridades
Implementação de correções e patches de segurança
Restauração de sistemas afetados
Monitoramento reforçado pós-incidente
Atualização de políticas e procedimentos
Nome: Departamento de Dados
Qualificações: Certificação em proteção de dados (CIPP/E, CIPM, FIP) Contato: contact@k8company.com
Independência: Subordinação direta ao CEO, sem conflito de interesses
Monitoramento do cumprimento do GDPR, LGPD e demais regulamentações
Realização de auditorias internas periódicas
Elaboração de relatórios de conformidade para alta administração
Atualização de políticas e procedimentos
Atendimento a solicitações de exercício de direitos
Coordenação de respostas dentro dos prazos legais
Manutenção de registros de atendimento
Mediação em casos de conflito ou reclamação
Desenvolvimento de programas de conscientização
Treinamentos específicos para colaboradores
Orientação sobre boas práticas de segurança
Disseminação de cultura de proteção de dados
Presidente: Chief Executive Officer (CEO) Membros Permanentes:
Data Protection Officer (DPO)
Chief Technology Officer (CTO)
Chief Legal Officer (CLO)
Chief Information Security Officer (CISO)
Representante de Recursos Humanos
Aprovação de políticas de proteção de dados
Definição de investimentos em segurança e privacidade
Avaliação de riscos organizacionais
Aprovação de transferências internacionais
Monitoramento de indicadores de performance (KPIs)
Análise de relatórios de incidentes
Aprovação de Data Protection Impact Assessments (DPIAs)
Tomada de decisões em casos críticos
A K8COMPANY conduz DPIA obrigatoriamente nos seguintes casos:
Implementação de novas tecnologias de tratamento
Tratamento em larga escala de dados sensíveis
Monitoramento sistemático de áreas públicas
Decisões automatizadas com efeitos significativos
Descrição sistemática das operações de tratamento
Avaliação da necessidade e proporcionalidade do tratamento
Identificação de riscos para os direitos dos titulares
Medidas de mitigação e salvaguardas apropriadas
Consulta aos titulares quando aplicável
Revisão e aprovação pelo DPO e Comitê
Probabilidade de ocorrência de evento adverso
Gravidade do impacto para os titulares
Escala do tratamento de dados
Sensibilidade dos dados tratados
Vulnerabilidades técnicas e organizacionais
Compliance com GDPR e LGPD
Eficácia das medidas de segurança
Adequação de políticas e procedimentos
Funcionamento dos direitos dos titulares
Investigação de incidentes de segurança
Avaliação de novos fornecedores e parceiros
Verificação pós-implementação de mudanças
Preparação para certificações (ISO 27001, SOC 2)
ISO/IEC 27001:2013 (Sistema de Gestão de Segurança da Informação)
NIST Privacy Framework 1.0
AICPA SOC 2 Type II (Security, Availability, Confidentiality)
ENISA Guidelines for SMEs
Executive Summary para alta administração
Detailed Findings com classificação de riscos
Action Plan com prazos e responsáveis
Follow-up Reports sobre implementação de recomendações
Esta Política é revisada anualmente ou sempre que houver:
Alterações na legislação aplicável
Mudanças significativas nas operações de tratamento
Identificação de riscos não contemplados
Recomendações de auditorias ou autoridades
Publicação no website www.k8company.com
Notificação por email aos titulares cadastrados
Comunicação via WhatsApp quando aplicável
Aviso através de banners na plataforma
30 dias para manifestação de oposição a alterações substanciais
Direito de exclusão dos dados em caso de discordância
Manutenção da versão anterior durante período de transição
Controladora de Dados: K8COMPANY LIMITED Email: contact@k8company.com
Website: www.k8company.com
Email: contact@k8company.com
Assunto: "LGPD/GDPR - [TIPO DE SOLICITAÇÃO]"
Formulário online: [Link a ser disponibilizado]
União Europeia/Irlanda: Data Protection Commission (DPC) Website: www.dataprotection.ie Email: info@dataprotection.ie
Brasil: Autoridade Nacional de Proteção de Dados (ANPD) Website: www.gov.br/anpd Email: comunicacao@anpd.gov.br
Reino Unido: Information Commissioner's Office (ICO) Website: ico.org.uk Email: casework@ico.org.uk
Os titulares têm direito de apresentar reclamação às autoridades de proteção de dados competentes, especialmente no Estado-Membro de sua residência habitual, local de trabalho ou local onde alegam ter ocorrido a violação, sem prejuízo de outros recursos administrativos ou judiciais.
A presente Política de Privacidade entra em vigor na data de sua publicação no website www.k8company.com, revogando todas as versões anteriores.
Em caso de conflito entre esta Política e outros documentos contratuais, prevalecerão as disposições mais protetivas aos direitos dos titulares de dados pessoais, observadas as especificidades de cada instrumento.
DECLARAÇÃO DE CONFORMIDADE
A K8COMPANY LIMITED declara que a presente Política de Privacidade foi elaborada em conformidade com os mais altos padrões internacionais de proteção de dados pessoais, tendo sido submetida à análise de consultoria jurídica especializada.
Dublin, Irlanda, 06 de junho de 2025
© 2025 K8COMPANY LIMITED. Todos os direitos reservados. Documento confidencial e proprietário. Reprodução ou distribuição não autorizada é expressamente proibida.
© 2026 K8company Limited. Todos os direitos reservados.