POLÍTICA DE PRIVACIDADE — INSTITUTO NEXA

Vigência: a partir de 20 de outubro de 2025
Última atualização: 20 de outubro de 2025

O Instituto NEXA (“NEXA”, “nós”) valoriza a proteção de dados pessoais e a transparência com todas as pessoas com quem se relaciona — beneficiárias, apoiadoras, voluntárias, colaboradoras, parceiras, prestadoras de serviço e visitantes do site. Esta Política descreve como coletamos, usamos, compartilhamos e protegemos dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014) e demais normas aplicáveis.

Nota de linguagem: Esta política usa linguagem inclusiva e acessível sem prejuízo ao rigor jurídico. Em caso de divergência interpretativa, prevalecerá a versão mais atual publicada neste site.

1. Controladora e Encarregado(a) (DPO)

  • Controladora: Instituto NEXA — CNPJ 24.704.674/0001-35.

  • Endereço: Av. Domingos Mariano, 196, Sala 101, Centro, Barra Mansa – RJ, Brasil.

2. Abrangência e a quem se aplica

Aplica-se ao tratamento de dados pessoais realizado pela NEXA em meios físicos e digitais, incluindo: website, aplicativos, formulários online/offline, processos seletivos, projetos sociais, parcerias, eventos e comunicações institucionais.

3. Conceitos essenciais

  • Dados pessoais: informação relacionada a pessoa natural identificada ou identificável.

  • Dados pessoais sensíveis: dados sobre origem racial/étnica, convicção religiosa, opinião política, filiação a sindicato/organização de caráter religioso/filosófico/político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos.

  • Tratamento: toda operação realizada com dados (coleta, produção, recepção, classificação, utilização, acesso, transmissão, arquivamento, eliminação etc.).

  • Base legal: fundamento que autoriza o tratamento conforme a LGPD.

  • Anonimização/Pseudonimização: técnicas para reduzir o risco de reidentificação.

4. Quais dados coletamos

4.1 Dados fornecidos diretamente

  • Formulários de contato e atendimento: nome, e-mail, telefone, cidade/UF, assunto e mensagem.

  • Participação em projetos: identificação, dados socioeconômicos, histórico escolar/profissional, respostas a questionários, presença, desempenho e, quando necessário, dados sensíveis (ex.: saúde, situação de violência) mediante consentimento específico e protocolos de sigilo.

  • Parcerias e doações: dados de contato de representantes, informações contratuais e fiscais.

  • Processos seletivos/voluntariado: currículo, referências, histórico profissional e dados necessários para verificação de elegibilidade.

4.2 Dados coletados automaticamente (site e plataformas)

  • Endereço IP, data/hora, páginas acessadas, identificadores de dispositivo e cookies (sessão, preferências, análise e, se consentido, marketing).

  • Dados analíticos agregados (ex.: métricas de navegação, origem de tráfego) — coletados por ferramentas de analytics.

4.3 Dados de terceiros

  • Parceiros públicos e privados podem compartilhar dados estritamente necessários à execução de projetos, observando princípios de minimização e finalidades legítimas.

  • Bases públicas e registros oficiais (para checagens obrigatórias/legais quando aplicável).

Minimização: coletamos apenas o necessário para cada finalidade. Dados sensíveis são sempre opcionais, salvo quando indispensáveis à proteção da vida, da incolumidade física/psíquica ou à execução de políticas públicas.

5. Bases legais que utilizamos

Conforme o caso, tratamos dados com base em:

  • Consentimento (art. 7º, I; art. 11, I — dados sensíveis);

  • Cumprimento de obrigação legal/regulatória (art. 7º, II);

  • Execução de contrato ou de procedimentos preliminares (art. 7º, V);

  • Legítimo interesse (art. 7º, IX), com avaliação de impacto e salvaguardas;

  • Proteção da vida e da incolumidade (art. 7º, VII; art. 11, II, “e”);

  • Políticas públicas quando atuarmos em cooperação com o poder público (art. 7º, III; art. 23);

  • Crédito/cobrança somente quando aplicável e permitido (art. 7º, X).

6. Para quais finalidades usamos seus dados

  • Atendimento e acolhimento: registrar solicitações, orientar encaminhamentos e prestar suporte seguro e sigiloso.

  • Gestão de projetos sociais: inscrições, seleção de participantes, frequência, certificação, acompanhamento de trilhas de aprendizagem e monitoramento de impacto (acesso, permanência, conclusão e inserção produtiva).

  • Parcerias e doações: execução de convênios, emissão de recibos, gestão de benefícios e obrigações legais/fiscais.

  • Comunicações institucionais: envio de informações sobre atividades, prestação de contas e convites (com opt-out).

  • Segurança e prevenção a fraudes: detecção de incidentes, auditorias e conformidade.

  • Melhoria de serviços digitais: análise de uso, desempenho e acessibilidade do site.

  • Cumprimento de obrigações legais e ordens de autoridades.

7. Tratamento de dados pessoais sensíveis

Podemos tratar dados sensíveis apenas quando estritamente necessários, com base em consentimento específico ou nas hipóteses legais de proteção da vida/incolumidade e políticas públicas. Implementamos controles adicionais: acesso restrito, criptografia em repouso e em trânsito, registros de acesso e termômetro de risco com revisão periódica. Sempre que possível, anonimizamos dados para relatórios e pesquisas.

8. Crianças e adolescentes

Projetos que atendam crianças e adolescentes observam o art. 14 da LGPD e o ECA. Tratamos dados preferencialmente com consentimento específico de pelo menos um dos responsáveis, linguagem adequada por idade e salvaguardas reforçadas. Em ambientes online, aplicamos medidas adicionais de segurança e privacidade.

9. Compartilhamento de dados

Podemos compartilhar dados com:

  • Poder público (quando em cooperação/convênio) e autoridades (cumprimento legal).

  • Parceiros e financiadores estritamente para execução e prestação de contas de projetos, sob contrato e cláusulas de confidencialidade.

  • Operadores (fornecedores de tecnologia/serviços): hospedagem, e-mail, analytics, gestão de projetos, atendimento e contabilidade — todos contratualmente vinculados à proteção de dados.

  • Auditorias independentes e consultorias de conformidade, quando necessário.

Não comercializamos dados pessoais.

10. Transferências internacionais

Serviços de nuvem e ferramentas podem armazenar dados fora do Brasil. Nesses casos, exigimos garantias de proteção equivalentes (ex.: contratos, padrões internacionais, certificações e controles técnicos) e mantemos registro dessas transferências.

11. Retenção e descarte

Mantemos dados apenas pelo tempo necessário às finalidades declaradas, observadas exigências legais e prazos prescricionais. Encerrada a necessidade, realizamos eliminação segura ou anonimização para fins estatísticos e de pesquisa.

12. Segurança da informação

Adotamos medidas administrativas, técnicas e físicas proporcionais ao risco:

  • controle de acesso por perfil e autenticação reforçada;

  • criptografia em trânsito (TLS) e, quando aplicável, em repouso;

  • backups, registro de logs e segregação de ambientes;

  • gestão de vulnerabilidades e testes periódicos;

  • treinamento de equipe e acordos de confidencialidade;

  • revisão de fornecedores e cláusulas específicas de proteção de dados.

Nenhuma medida é infalível. Em caso de incidente de segurança com risco relevante aos titulares, seguiremos o plano de resposta a incidentes (ver item 13) e comunicaremos conforme LGPD e orientações da ANPD.

13. Resposta a incidentes

  1. Detecção e contenção imediata (bloqueio de acessos indevidos, isolamento do evento).

  2. Avaliação de impacto (dados afetados, volume, categorias, riscos).

  3. Notificação aos titulares e à ANPD quando cabível, com descrição, riscos, medidas adotadas e canais de suporte.

  4. Remediação (correções técnicas/organizacionais) e lições aprendidas.

  5. Registro completo do incidente e das providências.

14. Cookies e tecnologias semelhantes

  • Estritamente necessários: viabilizam a navegação e funções básicas.

  • Preferências: lembram escolhas do usuário.

  • Analíticos: ajudam a medir audiência e performance (dados agregados).

  • Marketing (opcional): personalização de conteúdo e campanhas.

Você pode gerenciar preferências no banner de cookies e no navegador. A recusa de cookies não essenciais pode limitar recursos do site.

15. Direitos dos titulares

Você tem, entre outros, os seguintes direitos (art. 18, LGPD):

  • Confirmação do tratamento e acesso aos dados;

  • Correção de dados incompletos, inexatos ou desatualizados;

  • Anonimização, bloqueio ou eliminação de dados desnecessários/excessivos ou tratados em desconformidade;

  • Portabilidade (observados segredos comercial e industrial e regulamentação da ANPD);

  • Eliminação dos dados tratados com consentimento;

  • Informação sobre compartilhamento e possibilidade de não consentir;

  • Revogação do consentimento;

  • Revisão de decisões automatizadas, quando aplicável.

Como exercer: envie solicitação ao DPO em atendimento@nexa.org.br indicando o direito desejado. Para sua segurança, poderemos solicitar informações adicionais para confirmar sua identidade.

16. Decisões automatizadas e perfilamento

A NEXA não toma decisões que produzam efeitos jurídicos relevantes exclusivamente com base em tratamento automatizado. Caso venhamos a utilizar recursos de perfilamento (ex.: priorização em filas de atendimento), informaremos a base legal, lógica e critérios, garantindo revisão humana quando necessário.

17. Bases legais para comunicações

Nós podemos enviar comunicações institucionais, convites e prestação de contas com base em legítimo interesse ou consentimento, sempre com opção de cancelamento (opt-out) em cada mensagem. Comunicações operacionais e legais (ex.: confirmações de inscrição, recibos, termos) podem ser enviadas sem opt-out por serem necessárias à execução do serviço/obrigação legal.

18. Terceiros e links

Nosso site pode conter links para sites de terceiros. Não nos responsabilizamos por práticas de privacidade de terceiros. Recomendamos a leitura das políticas respectivas.

19. Registros e accountability

Mantemos registros das operações de tratamento (mapeamento de dados, bases legais, operadores, prazos de retenção, avaliações de risco) e realizamos avaliações de impacto à proteção de dados (DPIA/RIPD) quando o tratamento puder gerar alto risco aos direitos e liberdades dos titulares.

20. Atualizações desta Política

Podemos atualizar esta Política para refletir mudanças legislativas, tecnológicas ou operacionais. Publicaremos a nova versão com a data de atualização. Mudanças materiais poderão ser comunicadas por e-mail, banner no site ou outro meio apropriado.

21. Contato

Dúvidas, solicitações ou reclamações sobre dados pessoais:
E-mail: atendimento@nexa.org.br
Endereço: Av. Domingos Mariano, 196, Sala 101, Centro, Barra Mansa – RJ, Brasil.

Coletamos o mínimo necessário, tratamos com base legal adequada, protegemos com medidas de segurança, respeitamos seus direitos e prestamos contas com transparência. Para exercer seus direitos ou tirar dúvidas, escreva para atendimento@nexa.org.br.