POLÍTICA DE PROTEÇÃO E PRIVACIDADE DE DADOS
CAVOK AVIAÇÃO

Versão 2 - 09/06/2025

Controle de Alterações

Relação de alterações realizadas neste documento.

1 OBJETIVO

A política de proteção e privacidade de dados da Cavok tem como objetivo demonstrar o compromisso com a transparência no tratamento dos dados pessoais dos titulares, assim como expressar seu comprometimento com a segurança nos serviços fornecidos.

2 ABRANGÊNCIA

Esta política aplica-se a todas as atividades de tratamento de dados pessoais realizadas pela Cavok, seus colaboradores, prestadores de serviço, parceiros e qualquer terceiro que, em razão de sua relação com a Cavok, tenha acesso ou trate dados pessoais sob responsabilidade da empresa.

• Lei nº 13.709/2018 - Lei Geral de Proteção de dados pessoais (LGPD).
• Lei nº 12.965/2014 - Marco Civil da Internet.

3 DEFINIÇÕES

Para fins desta política, as seguintes definições são cruciais:

Agente de tratamento: O Controlador ou o Operador.

ANPD (Autoridade Nacional de Proteção de Dados): Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.

Cavok: Refere-se a CAVOK PRIME LTDA (Cavok Tecnologia), pessoa jurídica de direito privado, inscrita no CNPJ/ME sob o nº 47.439.798/0001-36, com sede na Rua Taquari, Nº 183, Loja 52 - Bairro: Alphaville Graciosa, Pinhais PR - CEP: 83327-075, e CAVOK AVIAÇÃO LTDA (Cavok Aviação), pessoa jurídica de direito privado, inscrita no CNPJ/ME sob o nº 19.089.463/0001-08, com sede na Rua Taquari, Nº 183, Loja 51 - Bairro: Alphaville Graciosa, Pinhais PR - CEP: 83327-075.

Cliente: Pessoa jurídica que adquire ou utiliza os produtos/sistemas da Cavok, podendo atuar como Controlador ou Operador de dados pessoais.

Colaborador: Todo empregado que trabalha na Cavok.

Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

Dados pessoais: Informações relacionadas à pessoa natural identificada ou identificável.

Dados pessoais sensíveis: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

DPO (Data Protection Officer) / Encarregado de Dados: Colaborador da Cavok ou terceiro contratado para atuar como canal de comunicação entre a Cavok, os titulares de dados pessoais e a ANPD.

Expurgo: Processo de eliminação segura e irrecuperável de dados e sistemas.

LGPD (Lei Geral de Proteção de Dados): Lei nº 13.709/2018.

Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Parceiro: Empresas com quem a Cavok possui relações contratuais para desenvolver atividades comerciais.

Produtos / Sistemas: Softwares e sistemas desenvolvidos ou comercializados pela Cavok.

Titulares: São as pessoas físicas a quem os dados pessoais se referem.

Tratamento de dados: Toda operação realizada com dados pessoais (coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração).

4 DIRETRIZES

É prioridade da Cavok proteger, preservar e respeitar a privacidade e os direitos dos titulares de dados pessoais em consonância com a LGPD. A Cavok adota as melhores práticas empresariais e condutas éticas, visando a manutenção e evolução do grau de conformidade dos processos relativos à proteção de dados pessoais para atender às necessidades dos clientes, parceiros, fornecedores e colaboradores.

4.1 Classificação da CAVOK como agente de tratamento

4.1.2 Não Agente de Tratamento

Em alguns casos (ex: licença de software sem acesso ao conteúdo ou interações diretas com dados pessoais), a Cavok atua sem contato com dados pessoais, não sendo classificada como Agente de Tratamento. Nesses casos, aplicamos melhores práticas de segurança no desenvolvimento de produtos, mas a utilização de recursos de proteção e gerenciamento de acesso a dados pessoais dentro do ambiente do cliente, é decisão e responsabilidade exclusiva do cliente.

4.1.3 Como Controlador de dados pessoais

A Cavok atua como Controlador de Dados Pessoais quando compete à Cavok as decisões sobre o tratamento de dados pessoais para finalidades próprias e legítimas, conforme descrito nesta Política. Exemplos incluem:

4.1.3.1 Dados de seus próprios colaboradores

Para fins de gestão de recursos humanos, como contratação, folha de pagamento, benefícios e demais assuntos pertinentes à gestão de pessoas.

4.1.3.2 Dados de representantes e contatos de seus clientes

Dados de representantes e contatos de seus clientes para gestão de contratos, faturamento e comunicação comercial direta.

4.1.3.4 Dados de navegação em seus websites

Para melhoria de serviços e experiência do usuário.

4.1.4 Como Operador de dados pessoais

Em conformidade com o Contrato de Prestação de Serviços (Cláusula Trigésima Primeira: AGENTE CONTROLADOR E OPERADOR), a Cavok atua como operador de dados pessoais e sensíveis que o cliente, na função de controlador, gerencia e trata utilizando o sistema fornecido pela Cavok em relação às informações de usuários, colaboradores, fornecedores, prestadores de serviços, dentre outros, inseridos e gerenciados pelo Cliente no sistema. Neste papel, a Cavok processa as informações estritamente em nome e sob as instruções do cliente controlador, observando rigorosos requisitos de proteção de dados pautados pelas leis e regulamentos aplicáveis, incluindo a LGPD. Fica expressamente vedada por contrato qualquer atividade de aquisição ou enriquecimento de bases de dados pessoais realizada pela Cavok em relação à base de dados do cliente.

4.2 Coleta e utilização dos dados pessoais

A Cavok trata dados pessoais coletados de diversas formas para finalidades específicas:

Coletados do próprio titular: Dados prestados diretamente pelo titular ou coletados automaticamente a partir de suas interações com nossos Produtos/Sistemas.

Recebidos através de compartilhamento: Dados compartilhados por terceiros, parceiros ou franqueados do cliente, sempre em conformidade com a legislação aplicável.

Produzidos pela Cavok: Dados gerados a partir do processamento de outros dados pessoais para nossas finalidades legítimas.

4.2.1 Categorias de dados pessoais tratados e finalidades:

4.2.1.1 Dados de cadastro:

Finalidade: Formalização de contratos, criação do primeiro login de acesso aos sistemas, segurança e prevenção a fraudes, aprimoramento e personalização de produtos/serviços, auditorias, cumprimento de obrigações legais/judiciais.

Base Legal:

• Execução de contrato ou procedimentos preliminares

• (Art. 7º, V, da LGPD);

• Legítimo Interesse do controlador

• (Art. 7º, IX, da LGPD);

• Cumprimento de obrigação legal ou regulatória

• (Art. 7º, II, da LGPD).

4.2.1.2 Dados de contato:

Finalidade: Viabilizar a comunicação com o cliente, responder solicitações, oferecer novos serviços, prevenção a fraudes, auditoria, cumprimento de ordens judiciais/administrativas.

Base legal:

• Execução de contrato ou procedimentos preliminares

• (Art. 7º, V, da LGPD);

• Legítimo Interesse do controlador

• (Art. 7º, IX, da LGPD);

• Consentimento

• (Art. 7º, I, da LGPD) – para envio de comunicações de marketing não essenciais ao contrato.

4.2.1.3 Dados de navegação:

Finalidade: Aperfeiçoar o uso e experiência nos produtos/sistemas, estatísticas e pesquisas, cumprimento de obrigações legais, suporte técnico, prevenção a fraudes, auditoria.

Base Legal: 

• Legítimo Interesse do controlador

• (Art. 7º, IX, da LGPD);

• Cumprimento de obrigação legal ou regulatória

• (Art. 7º, II, da LGPD) – para logs de acesso;

• Consentimento

• (Art. 7º, I, da LGPD) – para cookies não essenciais.

4.2.1.4 Dados de pagamento:

Finalidade: Registro de aquisição/pagamento, emissão de nota fiscal, estorno, auditoria, cumprimento de obrigações legais/judiciais, prevenção a fraudes.

Base Legal:

• Execução de contrato ou procedimentos preliminares

• (Art. 7º, V, da LGPD);

• Cumprimento de obrigação legal ou regulatória

• (Art. 7º, II, da LGPD);

• Proteção ao crédito

• (Art. 7º, X, da LGPD).

4.2.1.5 Dados pessoais armazenados pelo cliente via produtos/sistemas:

Finalidade: Fornecimento dos Produtos/Sistemas ao Cliente, aprimoramento contínuo dos sistemas, cumprimento de obrigações legais/judiciais, apoio a processos de prevenção a fraudes na plataforma.

Base Legal:

• Não aplicável diretamente para a Cavok como Operadora, pois a base legal para o tratamento primário é responsabilidade do cliente (controlador). A legitimidade da atuação da Cavok como operadora deriva do contrato de prestação de serviços com o cliente

• (Art. 7º, V, da LGPD).

4.3 Uso de cookies e outras tecnologias de rastreamento

Utilizamos tecnologias de monitoramento de atividades nos produtos/sistemas, como logs e cookies:

Logs: Mantemos registros de acesso às aplicações de internet por, no mínimo, seis meses, conforme o marco civil da internet.

Cookies: Pequenos arquivos de dados armazenados no dispositivo do usuário para lembrar preferências, rastrear atividades e melhorar a qualidade do serviço. Os cookies podem ser desativados ou removidos nas configurações do navegador.

4.4 Compartilhamento dos dados pessoais

A Cavok trata com responsabilidade os dados pessoais e pode compartilhá-los com terceiros, quando necessário e sempre dentro dos limites e propósitos de negócio, respeitando a legislação aplicável:

Autoridades e órgãos da administração pública: Para cumprir obrigações legais, ordens judiciais, fazer cumprir acordos ou proteger direitos da Cavok e terceiros.

Prestadores de serviço e fornecedores: Terceiros que prestam serviços à Cavok vinculados às disposições desta declaração ou assumindo a responsabilidade pelo tratamento de dados pessoais.

Anonimização: Sempre que possível, os dados pessoais são submetidos a processo de anonimização para preservar a privacidade.

4.5 Segurança no tratamento dos dados pessoais

A Cavok prioriza a segurança dos dados pessoais, implementando medidas robustas para protegê-los contra acessos, alterações, divulgação ou destruição não autorizadas.

4.5.1 Medidas técnicas e organizacionais

Adotamos controles de segurança avançados, incluindo criptografia, testes de intrusão e medidas de segurança em nossos ambientes lógicos.

4.5.1.1 Segurança da Infraestrutura em Nuvem

Nossa estrutura de servidor é integralmente hospedada em um fornecedor externo de infraestrutura em nuvem de reconhecimento global, que atende a rigorosos requisitos técnicos e certificações internacionais de segurança como ISO 27001, SOC 2, HIPAA e PCI DSS. Este provedor é responsável pela segurança física de seus data centers, gerenciamento de acesso físico e implementação de controles de segurança inerentes à infraestrutura (redundância, isolamento lógico, criptografia em repouso e em trânsito, monitoramento avançado), que complementam nossas próprias medidas de segurança na nuvem.

4.5.1.2 Controle de acesso rigoroso

O acesso aos dados pessoais é estritamente limitado aos funcionários e contratados com necessidade de conhecimento e formalmente comprometidos com as obrigações de confidencialidade e segurança.

4.5.2 Responsabilidades e limitações

A Cavok não se responsabiliza por falhas de segurança em serviços de dados contratados diretamente por clientes ou terceiros, sem nosso controle, nem por instabilidades de internet ou por equívocos de configuração de acesso às rotinas do sistema realizado por terceiros, equipe interna do cliente é responsável designado, sem consentimento da Cavok.

O cliente é o único responsável por obter e manter equipamentos, serviços auxiliares e conectividade à internet (modems, hardware, software, telefonia, etc.) para usar nossos sistemas, e por garantir sua compatibilidade.

4.6 Retenção e exclusão dos dados pessoais

Os dados pessoais podem ser armazenados em nossos servidores próprios ou de terceiros, no Brasil ou no exterior, conforme legislação aplicável e tecnologias de cloud computing.

4.6.1 Período de retenção

Os dados são armazenados pelo tempo necessário para cumprir sua finalidade ou enquanto pertinentes aos interesses da Cavok, para fins de auditoria ou preservação de direitos (ex: para cumprimento de obrigações legais, regulatórias, fiscais ou para exercício de defesa em processos judiciais, administrativos ou arbitrais), incluindo períodos legalmente permitidos para auditoria ou preservação de direitos.

4.6.2 Término do tratamento

Pode ocorrer por:

• Encerramento de contrato.
• Dados deixam de ser necessários ou pertinentes para as finalidades.
• Solicitação do Titular (se aplicável e sem justificativa legal para retenção).
• Determinação da ANPD ou autoridade competente.

4.6.3 Processo de exclusão de dados pessoais e ambientes (Expurgo)

Após o término do tratamento ou encerramento do contrato, a Cavok executa um processo de expurgo seguro e definitivo, que inclui:

• Realização e disponibilização de último backup da base de dados ao cliente.
• Expurgo definitivo do ambiente em nuvem via console (exclusão lógica).
• Remoção segura de dados residuais em sistemas de gerenciamento ou logs centralizados.
• Verificação e registro das ações de expurgo.
• Comunicação formal ao cliente sobre a conclusão do expurgo.
• A gestão da infraestrutura física e sanitização de discos são de responsabilidade do provedor de nuvem.

4.7 Gestão de mudanças que afetam a privacidade e segurança

A Cavok possui um processo de gerenciamento de mudanças formal para todas as alterações em sistemas que possam afetar a segurança da informação e a privacidade dos dados pessoais. Este processo, alinhado às melhores práticas, garante que as mudanças sejam planejadas, avaliadas quanto aos riscos, implementadas de forma controlada e revisadas, minimizando impactos adversos.

4.8 Gestão de riscos de privacidade e segurança

A Cavok adota uma abordagem proativa e sistemática na gestão de riscos de segurança da informação e privacidade de dados pessoais. Este processo é fundamental para identificar, avaliar e tratar os riscos que podem comprometer a confidencialidade, integridade e disponibilidade das informações.

Levantamento de riscos: Possuímos um levantamento sistemático e contínuo dos riscos associados ao tratamento de dados pessoais e a todos os nossos ativos de informação.

Ações de mitigação: Para cada risco identificado, temos ações de mitigação definidas e implementadas, que são monitoradas quanto à sua eficácia. Este processo é documentado de forma centralizada em nossa planilha de ativos, riscos e ações, garantindo a rastreabilidade e a gestão contínua dos controles de segurança.

Melhoria contínua: A gestão de riscos é um processo cíclico e faz parte da melhoria contínua do nosso Sistema de Gestão de Segurança da Informação (SGSI), com revisões periódicas para adaptar-se a novas ameaças e mudanças no ambiente.

4.9 Incidentes de proteção de dados pessoais

A Cavok possui processos de resposta a incidentes de proteção de dados pessoais, capazes de prevenir e mitigar impactos causados por perda, alteração indevida ou acesso indevido a dados pessoais. Para incidentes envolvendo dados dos clientes, nos quais a Cavok atue como operadora, comprometemo-nos a auxiliar o Cliente (controlador), prestando as informações necessárias à apuração e mitigação, e de acordo com os prazos e níveis de serviço pactuados contratualmente. A responsabilidade primária pela comunicação de incidentes às autoridades competentes (ANPD) e aos titulares de dados, em caso de violação de dados sob seu controle, é do Cliente.

4.10 Gestão do consentimento

A Cavok está comprometida em garantir que o tratamento de dados pessoais baseado no consentimento do titular seja realizado de forma transparente e em conformidade com a LGPD.

4.10.1 Obtenção do consentimento

Quando a base legal para o tratamento for o consentimento, a Cavok o obterá de forma livre, informada e inequívoca do titular. Isso significa que o titular será claramente informado sobre a finalidade específica do tratamento, o tipo de dado coletado e quem será o responsável pelo tratamento, antes de manifestar sua concordância por meio de um mecanismo claro e explícito.

4.10.2 Registro do consentimento

O consentimento concedido pelo titular será registrado e armazenado de forma segura, incluindo data, hora, finalidade específica e forma de obtenção. Este registro servirá como prova de que o consentimento foi obtido adequadamente e poderá ser auditado.

4.10.3 Gerenciamento da revogação

O titular poderá revogar seu consentimento a qualquer momento, de forma facilitada e gratuita, utilizando o contato do DPO. A Cavok garantirá que a revogação do consentimento resulte na interrupção do tratamento dos dados pessoais para as finalidades específicas às quais o consentimento se aplicava, a menos que haja outra base legal que justifique a continuidade do tratamento dos dados.

4.11 Transferência internacional de dados

Nas hipóteses em que o tratamento de dados envolva compartilhamento com agentes de tratamento fora do Brasil, a Cavok atende a todos os requisitos legais vigentes e adota medidas de segurança cibernéticas e de proteção de dados, assegurando a integridade, transparência e confidencialidade. Priorizamos o tratamento realizado em países que oferecem proteção aos dados pessoais equivalente à da LGPD, ou estabelecemos cláusulas-padrão contratuais adequadas à finalidade de realizar esta transferência, além de exigir dos prestadores envolvidos que garantam que os titulares de dados terão a proteção esperada.

5 DIREITOS DO TITULAR

O titular dos dados pessoais possui direitos e garantias em relação aos seus dados pessoais, conforme a LGPD. A Cavok disponibiliza mecanismos para que o titular exerça seus direitos, podendo contatar o canal de atendimento centralizado em dpo@cavok.in para:

• Confirmação da existência de tratamento.
• Acesso aos dados.
• Correção de dados pessoais incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados pessoais desnecessários, excessivos ou tratados em desconformidade com a LGPD, respeitando justificativas legais de retenção.
• Portabilidade dos dados pessoais a outro fornecedor.
• Obtenção de informações sobre as entidades públicas ou privadas com as quais a Cavok compartilha os dados pessoais.
• Informação sobre a possibilidade do titular não fornecer o consentimento e as consequências da negativa.
• Revogação do consentimento e eliminação dos dados, quando o tratamento se basear no consentimento, respeitando justificativas legais de retenção.
• Eliminação dos dados.

A Cavok se compromete a atender todas as requisições dos titulares no menor tempo possível, e de acordo com os prazos estipulados pela ANPD.

• Comunicado aos titulares (se o cliente for controlador): Quando o cliente atua como controlador de dados pessoais, a responsabilidade pelo tratamento é exclusiva do cliente. Nesses casos, os titulares devem exercer seus direitos diretamente perante o cliente contratante. A Cavok não é responsável por atender a essas solicitações.

5.1 Dados de pessoas jurídicas e finalidades

Além dos dados pessoais, a Cavok trata dados relacionados a pessoas jurídicas (ex.: Dados de telemetria, dados transacionais, dados relacionais), para finalidades lícitas da Cavok, como:

• Análises internas para aprimoramento de qualidade;
• Desempenho e segurança do sistema;
• Análises estatísticas e treinamento de modelos;
• Desenvolvimento e oferta de novos produtos/serviços;
• Prevenção a fraudes.

O Cliente pode optar por restringir o uso de dados transacionais e/ou relacionais através de comunicado pelo e-mail dpo@cavok.in, exceto se o tratamento for essencial para o serviço ou para fins estatísticos.

6 ATRIBUIÇÕES E RESPONSABILIDADES

A estrutura de governança da Cavok define claramente as atribuições para a gestão da proteção e privacidade de dados:

6.1 Conselho de segurança

• Aprovar a política de proteção e privacidade de dados.

6.2 Área de qualidade

• Avaliar a política e suas revisões;
• Apresentar recomendações ao conselho de segurança;
• Acompanhar indicadores de incidentes, riscos e violações de regras;

6.3 Encarregado de dados (DPO)

• Gerir atividades de proteção de dados;
• Receber reclamações/comunicações dos titulares,
• Receber comunicações da ANPD;
• Orientar empregados/contratados;
• Responder consultas internas e executar atribuições complementares.

6.4 Jurídico

• Orientar conselho de segurança e direção da Cavok sobre questões jurídicas de tratamento de dados;
• Auxiliar no entendimento de processos internos;
• Analisar documentos para conformidade com a LGPD;
• Transmitir comunicação de incidentes à ANPD, quando necessário.

6.5 Gerência de TI

• Manter o plano de respostas a incidentes de segurança da informação atualizado e submeter à proteção e privacidade, se envolver dados pessoais;
• Elaborar e propor alterações na política e normas dela decorrentes;
• Definir estratégias para conformidade com a LGPD;
• Definir controles de segurança da informação;
• Propor medidas de proteção de dados pessoais;
• Realizar avaliação de impactos;
• Garantir o registro de atividades de tratamento;
• Comunicar incidentes ao DPO.

6.6 Funcionários

• Cumprir diretrizes e regras desta política;
• Acionar áreas competentes em caso de dúvidas;
• Realizar treinamentos obrigatórios sobre proteção de dados pessoais.

7 GESTÃO DE CONSEQUÊNCIAS

Em caso de descumprimento desta Política, serão adotadas medidas de gestão de consequências trabalhistas, cíveis, criminais e administrativas eventualmente aplicáveis aos responsáveis pelas ilicitudes, incluindo a possibilidade de demissão por justa causa e rescisão contratual por justo motivo nos casos de terceiros.

8 ALTERAÇÕES A ESTA POLÍTICAS

A Cavok poderá alterar esta política a qualquer tempo, por qualquer motivo, seja em decorrência da adoção de novas tecnologias, alteração na legislação, necessidades de ajustes na segurança dos produtos, ou quaisquer outros motivos.

Eventuais alterações estarão sempre disponíveis no link: https://www.cavokaviacao.com/politica-de-privacidade/ tornando-se válidas a partir da data de sua publicação. As alterações a esta política serão comunicadas por meio dos nossos produtos/sistemas ou pelos meios de contato dos clientes.

9 CONTATO

Em caso de questionamento ou dúvida com relação à presente política de proteção e privacidade de dados ou, ainda, para o envio de solicitação, reclamação, pedido de informação ou exercício de direitos pelos titulares de dados pessoais, nos termos aqui previstos e na LGPD, entre em contato com nosso DPO pelo e-mail dpo@cavok.in.

10 APROVAÇÕES

Elaboração:

• Jonas Edinardo de Sousa - Encarregado de Dados (DPO).

Revisão

• Rodrigo Zapulla - Gerente de Tecnologia da Informação

Aprovação

• Jonas Edinardo de Sousa - Diretor Geral