Política de proteção e tratamento de dados pessoais

1.Apresentação institucional e objetivo da política 

1.1 Natureza jurídica e princípios educacionais 

A Genuine School é uma instituição educacional da empresa Genuine Lab Inc., identificada pelo EIN 30-1284629, com sede nos Estados Unidos e operações internacionais. Atendemos estudantes de 7 a 18 anos, organizados nos níveis Elementary, Middle e High School, por meio de um modelo acadêmico digital que prioriza empreendedorismo, inovação e tecnologia, com uma abordagem global, segura e alinhada ao respeito aos direitos dos alunos e de suas famílias. 

Como instituição comprometida com a formação integral, a inovação pedagógica e o uso ético da tecnologia, reconhecemos que a proteção de dados pessoais é um pilar essencial de nosso relacionamento com alunos, famílias, colaboradores, fornecedores e terceiros. 

1.2 Compromisso com a proteção de dados pessoais 

A Genuine School declara seu compromisso institucional com o respeito, a proteção e a gestão adequada dos dados pessoais de todos os titulares vinculados à nossa atividade educacional. Esse compromisso se reflete na adoção de medidas técnicas, organizacionais e jurídicas adequadas para assegurar os princípios de licitude, transparência, segurança, confidencialidade, minimização de dados e responsabilização no tratamento das informações. 

1.3 Objetivo geral desta política 

O objetivo desta política é estabelecer as diretrizes, princípios, obrigações e direitos que regem o tratamento de dados pessoais na Genuine School, em conformidade com as leis nacionais e internacionais vigentes relacionadas à proteção de dados pessoais, incluindo o Regulamento Geral sobre a Proteção de Dados da União Europeia  (RGPD), a Lei nº 1.581/2012 da Colômbia, a Lei Geral de Proteção de Dados Pessoais (LGPD, Brasil), a Lei de Proteção à Privacidade Online de Crianças dos Estados Unidos (COPPA), a Lei de Direitos Educacionais e Privacidade da Família dos Estados Unidos (FERPA), bem como as melhores práticas adotadas por instituições de ensino de referência internacional. 

1.4 Escopo material, pessoal e territorial 

Esta política se aplica a: 

• Todos os dados pessoais coletados, armazenados, processados, transmitidos, transferidos, utilizados ou eliminados no âmbito das atividades acadêmicas, administrativas, contratuais ou promocionais da Genuine School; 

• Todos os titulares de dados pessoais, incluindo alunos, pais, responsáveis legais, professores, pessoal administrativo, prestadores de serviços, fornecedores, candidatos e usuários externos que interajam com a instituição; 

• Todos os tratamentos realizados por plataformas, ferramentas ou fornecedores de tecnologia contratados pela instituição (como Microsoft, Amazon, BUK ou META), independentemente de sua localização geográfica; 

• E, em geral, a todo tratamento realizado no contexto da operação educacional da Genuine School, independentemente do país de onde o serviço seja acessado ou recebido. 

2. Marco normativo aplicável 

Normas internacionais e nacionais de referência 

A Genuine School, apesar de estar legalmente sediada nos Estados Unidos, adotou como principal referência normativa de seu sistema de proteção de dados pessoais o Regulamento Geral sobre a Proteção de Dados da União Europeia  (RGPD, Regulamento da UE 2016/679), em razão de sua abordagem garantista, de sua aplicabilidade extraterritorial e de sua convergência com padrões internacionais de proteção de direitos fundamentais. 

Além disso, esta política incorpora as seguintes normas, que são aplicáveis em função do tipo de titular, do seu país de residência ou da natureza específica do tratamento: 

• Children’s Online Privacy Protection Act – COPPA (EUA): Regula o tratamento de dados pessoais de menores de 13 anos, especialmente quando há uso de plataformas digitais hospedadas ou processadas em servidores localizados nos Estados Unidos. 

• Family Educational Rights and Privacy Act – FERPA (EUA): Aplica se aos registros educacionais e aos direitos de acesso de alunos ou de seus representantes, quando vinculados a serviços educacionais fornecidos ou contratados a partir dos Estados Unidos. 

• Lei 1581 de 2012 e Decreto 1377 de 2013 (Colômbia): Aplicável quando se trata de cidadãos colombianos, operações de contratação local ou cumprimento de normas nacionais. 

• Lei Geral de Proteção de Dados Pessoais – LGPD (Brasil, Lei 13.709/2018): Aplica-se aos tratamentos de dados pessoais de titulares localizados no Brasil ou às operações de tratamento realizadas no país. 

2.2 Prevalência e compatibilidade jurídica 

Para fins interpretativos e operacionais, o RGPD ou Regulamento (UE) 2016/679 é considerado a norma de base, enquanto as demais normas são vistas como incorporadas de forma complementar e serão aplicadas quando: 

• Existam requisitos específicos mais rigorosos ou detalhados em uma jurisdição.
• O titular esteja domiciliado em um determinado país.

• Os tipos de dados ou a plataforma tecnológica exijam sua aplicação. 

2.3 Princípios orientadores do tratamento 

A Genuine School adota, como princípios obrigatórios e transversais, os seguintes: 

• Licitude, lealdade e transparência 

• Limitação das finalidades 

• Minimização dos dados 

• Exatidão e atualização 

• Limitação do prazo de conservação 

• Integridade e confidencialidade 

• Responsabilização (accountability) 

Esses princípios, derivados principalmente do RGPD (art. 5) e refletidos nas demais normativas analisadas, constituem a base ética e jurídica do tratamento de dados em todas as atividades institucionais. 

3. Definições  

Para os fins da presente política, e em conformidade com o Artigo 4 do Regulamento Geral sobre a Proteção de Dados (RGPD, Regulamento da UE 2016/679), a Lei 1581 de 2012 (Colômbia, Art. 3), a LGPD do Brasil (Lei 13.709/2018, Art. 5) e demais normas aplicáveis, adotam-se as seguintes definições: 

• Dados pessoais: toda informação que permita identificar, direta ou indiretamente, uma pessoa física. Exemplos: nomes, documentos de identidade, endereço IP, e-mails, imagens, identificadores em plataformas educacionais, voz, entre outros. (Art. 4.1 RGPD / Art. 3.c Lei 1581 / Art. 5, I LGPD) 

• Dados pessoais sensíveis:  informação que afeta a privacidade do titular ou cujo uso indevido possa gerar discriminação, como dados de saúde, orientação sexual, crenças religiosas, biometria, etnia ou filiação política. (Art. 9.º do RGPD / Art. 3.º, alínea d) da Lei 1581 / Art. 5.º, II e XI da LGPD). 

• Dados pessoais de menores: informações pessoais relativas a crianças ou adolescentes. Aplicam-se proteções reforçadas para menores de 18 anos, e especialmente para menores de 13 anos em ambientes virtuais, em conformidade com a regulamentação COPPA (EUA) e o Art. 8 do RGPD / COPPA Sec. 1302 e 1303 / FERPA Sec. 1232g / Art. 7 Lei 1581.   

• Titular dos dados: pessoa física a quem se referem os dados pessoais objeto de tratamento. No caso de menores, a representação legal cabe aos seus pais ou tutores. (Art. 4.1 do RGPD / Art. 3.e da Lei 1581 / Art. 5, V da LGPD). 

• Controlador: pessoa jurídica (neste caso, Genuine Lab Inc.), responsável por tomar as decisões referentes ao tratamento de dados pessoais, incluindo as finalidades e os meios de tratamento. (Art. 4.7 do RGPD / Art. 3.f Lei 1581 / Art. 5, VI LGPD). 

• Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador. Ex.: plataformas contratadas, fornecedores de tecnologia, operadores de CRM. (Art. 4.8 do RGPD / Art. 3.g da Lei 1581 / Art. 5, VII da LGPD) 

• Consentimento: manifestação livre, informada, inequívoca e específica pela qual o titular concorda com o tratamento de seus dados pessoais. No caso de menores, deve ser concedido pelo representante legal e ser tecnicamente verificável. (Art. 4.11 e 7 do RGPD / Art. 7 da Lei 1581 / Art. 5, XII e Art. 8 da LGPD / COPPA, Seção 
  1303)  

• Tratamento de dados: qualquer operação ou conjunto de operações  realizadas envolvendo dados pessoais: coleta, armazenamento, uso, transmissão, eliminação, etc. (Art. 4.2 RGPD / Art. 3.g Lei 1581 / Art. 5, X LGPD) 

• Violação da segurança dos dados pessoais: qualquer violação de segurança que resulte na destruição, perda, alteração, divulgação não autorizada ou acesso indevido aos dados pessoais. (Art. 4.12 do RGPD / Art. 33 e 34 do RGPD / Art. 48 da LGPD). 

4. Responsáveis pelo tratamento e governança institucional dos dados 

A Genuine School adota uma estrutura clara e proativa para garantir a proteção dos dados pessoais que trata, definindo papéis, funções e mecanismos de supervisão, em conformidade com o princípio da responsabilidade proativa estabelecido no Regulamento Geral sobre a Proteção de Dados (RGPD, arts. 5.2 e 24). 

4.1 Responsável pelo tratamento 

O tratamento dos dados pessoais coletados no âmbito das atividades acadêmicas, administrativas ou contratuais da Genuine School é de responsabilidade de: 

Genuine Lab Inc. 
Sede: Estados Unidos 
Representante legal: Marcello Friedemann  

De acordo com o Artigo 4.7 do RGPD, a Genuine Lab Inc. determina a finalidade e os meios do tratamento, assumindo o compromisso de garantir a licitude, a segurança, a transparência e o respeito pelos direitos dos titulares. 

4.2 Encarregado pelo Tratamento de Dados Pessoais (DPO) 

A Genuine School nomeou formalmente um encarregado pelo tratamento e proteção dos dados, em conformidade com o Art. 37 do RGPD, que será responsável por: 

• Supervisionar a aplicação desta política e o cumprimento normativo. 

• Atender consultas, reclamações e solicitações dos titulares ou de seus representantes. 

• Ser o ponto de contato com autoridades de controle nacionais e internacionais. 

• Acompanhar processos de avaliação de impacto (DPIA) e revisões internas. 

DPO designado: 
Nome: Natalia Arce Archbold 
Documento de identificação: C.C. 53.123.390 
E-mail: legal@genuinelab.us 

4.3 Comitê de Segurança da Informação 

A Genuine School possui um Comitê de Segurança da Informação, responsável por: 

• Avaliar e responder a incidentes relacionados à segurança da informação. 

• Coordenar revisões institucionais e ações de melhoria contínua. 

• Validar estratégias preventivas e aprovar, quando for o caso, avaliações de impacto. 

Este comitê é composto por representantes das áreas acadêmica, tecnológica, administrativa e de proteção de dados. 

4.4 Responsáveis e terceiros autorizados 

Toda plataforma, fornecedor ou parceiro estratégico que trate dados pessoais em nome da Genuine School deverá: 

• Estar formalmente vinculado por meio de acordos ou cláusulas de confidencialidade e segurança. 

• Cumprir as normas de proteção aplicáveis na jurisdição correspondente.

• Cooperar com a instituição em caso de incidentes ou auditorias. 

4.5 Revisão, atualização e controle de versões 

A presente política será revisada periodicamente, no mínimo uma (1) vez por ano, e de forma extraordinária sempre que ocorrer qualquer das seguintes circunstâncias: 

• Alterações na legislação aplicável em matéria de proteção de dados pessoais, segurança da informação ou privacidade. 

• Implementação, modificação ou adoção de novas tecnologias, plataformas, fornecedores ou operações de tratamento de dados pessoais que impactem o escopo desta política. 

• Ocorrência de incidentes de segurança da informação ou de incidentes envolvendo dados pessoais, que justifiquem sua revisão. 

• Novas conclusões, observações ou recomendações decorrentes de auditorias internas, externas ou de autoridades reguladoras competentes. 

Todas as revisões e atualizações desta política serão coordenadas pelo Encarregado pelo tratamento de dados pessoais (DPO), em articulação com o Comitê de Segurança da Informação, assegurando seu alinhamento com o Sistema de Gestão de Segurança da Informação (SGSI), com a legislação vigente e com os princípios de melhoria contínua. 

Cada atualização deverá ser devidamente documentada por meio de controle de versões, de forma a garantir a rastreabilidade, a integridade e a vigência do documento, devendo incluir, no mínimo, as seguintes informações: 

Versão	Data de vigência	Responsável	Mudanças realizadas
V2.0	10 de abril de 2026	Natalia Arce Archbold	Adequação e alinhamentoda política ao Regulamento Geral sobre a Proteção de Dados (RGPD)

5. Categorias de dados tratados 

5.1 Por tipo de titular dos dados 

A Genuine School coleta, armazena e trata dados pessoais de diversos grupos de titulares, incluindo tanto pessoas atualmente vinculadas à instituição quanto aquelas que participam de processos preliminares (admissão, seleção ou contato). Essas categorias incluem: 

• Alunos e potenciais alunos: menores de idade entre 7 e 18 anos, matriculados ou em processo de admissão; alunos maiores de idade matriculados na Genuine. São coletadas informações acadêmicas, familiares, de saúde, de rastreabilidade em plataformas, de participação institucional e de aspectos de desenvolvimento integral. 

• Pais, mães, representantes legais ou tutores (e potenciais): pessoas com responsabilidade legal ou de acompanhamento em relação a alunos atuais ou candidatos. São coletados dados de identificação, contato, assinatura eletrônica, relação parental, endereço residencial e declarações de consentimento verificáveis. 

• Colaboradores, docentes, pessoal administrativo e prestadores de serviços: pessoas vinculadas contratualmente à instituição, incluindo docentes temporários, avaliadores e pessoas em outras funções operacionais. Trata-se de informações contratuais, de desempenho, conformidade e bem-estar. 

• Fornecedores, parceiros estratégicos e terceiros: pessoas físicas ou jurídicas que prestam serviços à instituição, incluindo prestadores de serviços de tecnologia, consultores jurídicos ou empresas de bem-estar. São coletados dados contratuais, de conformidade normativa e de contato. 

• Candidatos em processos de seleção (docentes, equipe administrativa, estagiários): candidatos a vagas institucionais, cujos dados são coletados em etapas como pré-seleção, testes, entrevistas, exames médicos ou verificação de antecedentes. 

• Visitantes do site, usuários de formulários, participantes de eventos virtuais ou campanhas: 
  pessoas que interagem digitalmente com a Genuine School por meio de canais da web, feiras acadêmicas, formulários de contato, redes sociais, pesquisas ou campanhas promocionais. São coletados dados de navegação, identificação, localização, formulários preenchidos e preferências educacionais. 

 

Além disso, a Genuine School poderá receber dados pessoais de potenciais alunos e suas famílias por meio de parceiros estratégicos, orientadores educacionais ou instituições parceiras, que garantirão ter obtido o consentimento prévio, informado e verificável dos titulares para a transferência dessas informações. 

5.2 Por tipo de dado coletado 

De acordo com os Artigos 4.1 e 9 do RGPD, o Artigo 3 da Lei 1581, a LGPD (Art. 5, II e XIII) e a análise funcional realizada no SGSI, os tipos de dados tratados pela Genuine School incluem, entre outros, os seguintes: 

Tipo de dado	Exemplos
Identificadores	Nome, sobrenomes, documento de identidade, data de nascimento, e-mail, telefone
Acadêmicos	Histórico, notas, planos de estudos, entrega de relatórios, feedbacks, entre outros.
Tecnológicos / rastreabilidade digital	IP, registros de acesso, interações em plataformas, endereço MAC
Comunicacionais	Chats, e-mails institucionais, mensagens internas no LMS
Dados familiares	Parentesco, nomes e contatos de responsáveis
Imagens e voz	Fotografias, gravações, participação em aulas ou eventos virtuais
Dados comerciais e de orientação educacional	Registros decorrentes de interações comerciais e de orientação educacional, incluindo notas internas do processo de admissão, manifestações voluntárias de interesse, expectativas educacionais ou condições econômicas expressas voluntariamente pelas famílias durante o processo de admissão.
Dados laborais e contratuais	Currículos, contratos, avaliações, cumprimento de funções
Dados de saúde e bem-estar	Atestados médicos, necessidades especiais, acompanhamentos institucionais
Dados sensíveis	Religião, orientação sexual, condição médica, dados biométricos, antecedentes.
Dados de menores de idade (especialmente protegidos)	Informações de identificação, acadêmicas, familiares, médicas, comportamentais, rastreabilidade em plataformas, participação institucional ou outras informações relativas a crianças e adolescentes menores de 18 anos. Esses dados são tratados com medidas reforçadas de segurança, consentimento verificável e em conformidade com os padrões internacionais de proteção infantil.

5.3 Por nível de sensibilidade (classificação institucional SGSI) 

Em conformidade com o Anexo 1 – Níveis de sensibilidade funcional e com base no princípio da minimização (Art. 5.1.c do RGPD), a Genuine School classifica internamente os dados pessoais tratados em três níveis de sensibilidade: 

Nível	Descrição resumida
Nível 1 – Público	Informações institucionais divulgadas de forma legítima e controlada, cujo acesso não representa riscos significativos para a confidencialidade, a privacidade ou a segurança da informação.  Esta classificação não se aplica a dados pessoais de menores de idade, salvo se houver consentimento explícito, informado e verificável do titular ou de seu representante legal. Também não se aplica a dados pessoais padrão de adultos sem o respectivo consentimento informado, nem a informações internas ou institucionais, as quais só poderão ser divulgadas mediante autorização prévia, por escrito e expressa da Genuine School.
Nível 2 – Confidencial	Dados pessoais padrão de adultos ou documentos internos estratégicos da Genuine School que não contenham informações sensíveis nem dados de menores de idade. A divulgação, o acesso ou o uso não autorizado dessas informações podem afetar as operações, a conformidade regulatória ou a reputação da instituição.
Nível 3 – Restrito	Dados pessoais de menores de idade, bem como dados sensíveis de adultos e qualquer informação de natureza penal, judicial ou de alta criticidade institucional.  A divulgação, o acesso não autorizado ou o uso indevido dessas informações podem gerar graves impactos legais, reputacionais, operacionais e éticos para as pessoas envolvidas e para a Genuine School.

Essa classificação orienta a adoção de medidas técnicas e organizacionais para a proteção dos dados, em conformidade com os princípios da proporcionalidade e da gestão de riscos. 

6. Finalidades do tratamento 

6.1 Finalidades acadêmicas, administrativas, contratuais, tecnológicas e promocionais 

A Genuine School coleta e trata dados pessoais exclusivamente para finalidades legítimas, explícitas e determinadas, de acordo com os princípios de limitação da finalidade e minimização do tratamento, estabelecidos no artigo 5, parágrafo 1, alíneas b) e c) do Regulamento Geral sobre a Proteção de Dados da União Europeia  (RGPD) e no artigo 4 da Lei 1581 de 2012 (Colômbia). 

As principais finalidades institucionais do tratamento de dados são: 

A. Finalidades acadêmicas e formativas 

a. Gerenciar de forma integral o processo de admissão e matrícula de alunos nacionais e internacionais, desde o recebimento das inscrições e a verificação dos requisitos até a formalização da matrícula e a atribuição de disciplinas. 

b. Administrar o progresso acadêmico, incluindo frequência, avaliações, cursos de nivelamento e relatórios de desempenho, para garantir um acompanhamento contínuo da aprendizagem. 

c. Desenvolver e ajustar estratégias pedagógicas conforme as necessidades, capacidades e o contexto individual de cada aluno, adotando práticas de ensino personalizado e apoio diferenciado.

d. Registrar e documentar ações relacionadas ao bem-estar estudantil, à orientação escolar e ao acompanhamento psicossocial, com o objetivo de apoiar o desenvolvimento integral do aluno.

e. Emitir, validar e custodiar certificados, atestados e títulos acadêmicos, garantindo sua autenticidade e rastreabilidade.

f. Facilitar o acesso, a navegação e o registro de atividades em plataformas educacionais digitais (LMS), com o objetivo de medir a interação, o progresso e o uso de recursos virtuais. 

No âmbito de sua missão educacional e em observância ao princípio do melhor interesse da criança e do adolescente, a Genuine School realiza o tratamento de dados pessoais para o desempenho de suas atividades acadêmicas e de acompanhamento, com base no artigo 6.1, alínea “e”, do Regulamento Geral sobre a Proteção de Dados da União Europeia (RGPD), a Lei nº 1.581/2012 da Colômbia, a Lei Geral de Proteção de Dados Pessoais do Brasil (LGPD) e os princípios educacionais vigentes em cada jurisdição. 

B. Finalidades administrativas e legais 

g. Gerenciar relações contratuais com professores, fornecedores, colaboradores e terceiros, desde o início até o término do vínculo.

h. Conduzir processos de recrutamento e contratação de colaboradores e prestadores de serviços, incluindo a verificação de antecedentes criminais, disciplinares, acadêmicos e profissionais, bem como a realização de exames médicos ocupacionais, nos termos da legislação vigente.

i. Cumprir com as obrigações legais e regulatórias decorrentes de normas educacionais, trabalhistas, tributárias, fiscais ou de proteção de dados, em cada jurisdição onde a Genuine School desenvolva atividades ou utilize plataformas.

j. Manter a rastreabilidade das operações internas e dos processos de tomada de decisão, como medida de controle institucional e prestação de contas.

k. Atender a solicitações formais de autoridades judiciais, administrativas ou de controle, fornecendo as informações legalmente exigidas, após verificação da legitimidade da solicitação. 

C. Finalidades tecnológicas, de segurança e gestão de riscos 

l. Controlar e registrar acessos a plataformas, sistemas, instalações e recursos digitais para prevenir invasões e acessos não autorizados.

m. Implementar mecanismos de monitoramento e detecção de incidentes de segurança da informação, realizar cópias de segurança periódicas de dados críticos e aplicar planos de resposta a incidentes e a violações de dados pessoais.

n. Desenvolver e implementar medidas de segurança física e ocupacional, incluindo controle de acesso às instalações, planos de evacuação, protocolos de saúde e ações de prevenção de riscos ocupacionais.

o. Analisar métricas de uso, desempenho e disponibilidade das plataformas institucionais, com o objetivo de otimizar a qualidade do serviço educacional e da infraestrutura tecnológica. 

D. Finalidades de atendimento e exercício dos direitos dos titulares 

p. Atender e gerenciar solicitações, reclamações, sugestões e pedidos de consulta realizados pelos titulares de dados pessoais ou seus representantes.

q. Processar solicitações de exercício dos direitos ARCO (acesso, retificação, cancelamento, oposição) ou de portabilidade de dados, garantindo a resposta nos prazos e condições estabelecidos pela legislação aplicável. 

E. Finalidades de arquivamento, armazenamento e para fins estatísticos 

r. Armazenar dados e documentos dentro dos prazos exigidos pela lei, conforme contratos ou políticas internas, para cumprir obrigações acadêmicas, administrativas, fiscais, trabalhistas ou judiciais.

s. Manter arquivos históricos, estatísticos ou de pesquisa educacional, aplicando, quando for o caso, técnicas de anonimização ou pseudonimização para proteger a identidade dos titulares. 

F. Finalidades de formação e capacitação profissional 

t. Gerenciar programas de capacitação, atualização e desenvolvimento profissional de docentes, pessoal administrativo e prestadores de serviços.

u. Avaliar o desempenho, as competências e os resultados dos colaboradores para garantir a qualidade acadêmica e a melhoria contínua nos processos institucionais. 

G. Finalidades de controle de qualidade e auditoria 

v. Realizar auditorias internas e externas nas áreas acadêmica, administrativa e tecnológica, para verificar o cumprimento de requisitos normativos, contratuais e de padrões de qualidade.

w. Conduzir pesquisas, entrevistas e outros instrumentos de coleta de feedback para avaliar a satisfação de alunos, famílias, colaboradores e demais partes interessadas. 

H. Finalidades promocionais e de comunicação 

x. Entrar em contato e acompanhar alunos em potencial e famílias interessadas na proposta educacional, fornecendo informações sobre programas, atividades e requisitos.

y. Desenvolver e executar campanhas informativas, pesquisas, feiras virtuais, eventos e publicações com fins institucionais, educacionais ou de divulgação de atividades relevantes.

z. Utilizar imagens, depoimentos e outros conteúdos com fins pedagógicos, institucionais ou promocionais, mediante autorização livre, informada e expressa dos titulares ou dos representantes legais dos titulares. 

I. Finalidades de uso de imagem, voz e produções intelectuais 

aa. Captar, gravar, reproduzir, editar e divulgar imagens, voz, produções audiovisuais e obras intelectuais nas quais participem alunos, funcionários ou terceiros autorizados, para fins educacionais, institucionais, promocionais ou comerciais. 

bb. Publicar esse material em redes sociais, sites, mídia impressa ou digital, plataformas de terceiros, eventos acadêmicos e atividades institucionais, respeitando os alcances e limitações estabelecidos nas autorizações correspondentes. 

cc. Gerenciar a cessão de direitos patrimoniais e direitos conexos, de forma gratuita ou onerosa, quando prevista em contratos ou autorizações, em conformidade com a legislação aplicável sobre propriedade intelectual e direitos de imagem. 

6.2 Correspondência entre os dados coletados e as finalidades autorizadas 

A Genuine School compromete-se a coletar apenas os dados necessários e que estejam de acordo com finalidades declaradas, em conformidade com o princípio da minimização do tratamento (artigo 5, parágrafo 1, alínea c) do Regulamento Geral sobre a Proteção de Dados ). 

Qualquer utilização posterior ou adicional dos dados dependerá de consentimento prévio, explícito, informado e verificável do titular ou de seu representante legal. 

6.3 Reutilização, limitação e compatibilidade de finalidades 

Os dados coletados não serão utilizados para finalidades distintas das inicialmente informadas, salvo quando: 

• O novo tratamento for compatível com a finalidade original (artigo 6, parágrafo 4 do Regulamento Geral sobre a Proteção de Dados); 

• Exista uma obrigação legal expressa; ou 

• Seja obtido um novo consentimento informado e verificável. 

7. Bases legais para o tratamento 

A Genuine School assegurará que todo tratamento de dados pessoais esteja fundamentado em uma base legal válida, devidamente documentada e verificável, em conformidade com o artigo 6º do Regulamento Geral sobre a Proteção de Dados da União Europeia (RGPD), com a Lei nº 1.581/2012 da Colômbia, com o artigo 7º da Lei Geral de Proteção de Dados Pessoais do Brasil (LGPD) e com demais normas aplicáveis, incluindo a COPPA e a FERPA dos Estados Unidos. 

7.1 Consentimento informado, livre e verificável 

A Genuine School obtém o consentimento de forma livre, informada, específica e verificável, em conformidade com o artigo 6.1.a do RGPD, o artigo 7 da Lei 1581 e o artigo 8 do RGPD no que diz respeito a menores. 

Nos casos em que o tratamento não seja amparado por uma obrigação legal ou contratual, a Genuine solicitará o consentimento prévio do titular ou de seu representante legal. Esse consentimento será obtido por meio de formulários institucionais estruturados, que incluirão cláusulas de autorização e mecanismos de verificação. 

No tratamento de dados pessoais de menores de idade, o consentimento é solicitado aos pais, mães ou responsáveis, e sua validade é comprovada por meio de controles de rastreabilidade, registros eletrônicos e arquivos de backup institucionais. 

O consentimento poderá ser retirado a qualquer momento pelo titular ou seu representante, sem que isso afete a licitude do tratamento anterior à sua retirada (art. 7.3 do RGPD). 

No caso de dados pessoais sensíveis (como dados de saúde, biométricos e crenças religiosas), serão observadas, adicionalmente, as condições específicas previstas no artigo 9º, item 2, do RGPD, no artigo 11 da LGPD e no artigo 6º da Lei 1581. 

Este consentimento se aplica aos tipos de tratamento de dados declarados e, em especial, aos seguintes: 

• Preenchimento de formulários de admissão, contato ou pesquisas voluntárias. 

• Utilização de imagens, áudios, gravações ou depoimentos para fins promocionais ou institucionais. 

• Inscrição em eventos, campanhas, clubes ou atividades extracurriculares. 

7.2 Execução de um contrato ou medidas pré-contratuais 

A Genuine School trata dados pessoais quando é necessário celebrar, executar ou gerenciar contratos firmados com alunos, representantes, colaboradores ou fornecedores, em conformidade com o artigo 6.1.b do RGPD e o artigo 5 da Lei 1581. 

Isso inclui, para os tratamentos declarados e entre outras finalidades, as seguintes: 

• Efetivação da matrícula e do processo de equivalência acadêmica. 

• Cumprimento de obrigações contratuais com professores, prestadores de serviços ou fornecedores. 

• Gestão de plataformas, conteúdos e recursos digitais associados ao serviço educacional contratado. 

• Processamento de solicitações prévias à contratação (admissão, cotações, assessorias). 

• Gestão de cobranças, faturamento, pagamentos e conciliações financeiras decorrentes do contrato. 

7.3 Cumprimento de uma obrigação legal 

A Genuine School realiza o tratamento de dados quando exigido por disposições legais nacionais ou internacionais, em conformidade com o artigo 6.1.c do RGPD e normas locais (como a Lei 1581 da Colômbia). 

Alguns tratamentos fundamentados nessa base legal incluem: 

• Elaboração e envio de relatórios às autoridades educacionais, fiscais ou administrativas. 

• Verificação de identidade para fins legais ou de certificação. 

• Conservação de registros acadêmicos exigidos pela regulamentação setorial. 

• Resposta a solicitações formais de autoridades administrativas ou judiciais. 

• Cumprimento de tratados internacionais ratificados pelos países onde atua, especialmente aqueles voltados ao reconhecimento acadêmico, à validação de estudos e à cooperação educacional. 

7.4 Proteção de interesses vitais 

Quando for estritamente necessário para salvaguardar a vida ou a integridade física de um aluno, colaborador ou outra pessoa vinculada, a Genuine School tratará os dados pertinentes sem exigir consentimento prévio, em conformidade com o artigo 6.1.d do RGPD. 

Este critério poderá ser aplicado, por exemplo, em situações de emergência médica, alertas relacionados à saúde mental ou riscos psicossociais identificados pela equipe de bem-estar institucional. Da mesma forma, poderá ser aplicada para garantir a segurança digital ou em situações de ameaça grave, como casos de cyberbullying, ameaças de violência ou outros incidentes críticos que coloquem em risco a integridade física, emocional ou digital dos membros da comunidade. 

7.5 Cumprimento de uma missão de interesse público 

Como instituição de ensino legalmente constituída e comprometida com o melhor interesse de crianças e adolescentes, a Genuine School poderá tratar dados pessoais para o cumprimento de sua missão educacional, em conformidade com o art. 6.1.e do RGPD e com os princípios educacionais aplicáveis em cada jurisdição. 

Isso inclui: 

• Acompanhamento do progresso acadêmico; 

• Aplicação de avaliações; 

• Apoio ao processo de aprendizagem e ações de bem-estar; 

• Participação em avaliações padronizadas e exames oficiais exigidos pelas autoridades educacionais competentes. 

7.6 Interesse legítimo do controlador dos dados 

A Genuine School realiza determinadas atividades de tratamento de dados com base em seu legítimo interesse institucional, de acordo com o Artigo 6.1.f do RGPD e o Artigo 10 da LGPD, desde que: 

• Os direitos fundamentais do titular dos dados não sejam infringidos; 

• Haja uma finalidade clara e proporcional; 

• O equilíbrio entre os interesses institucionais e os direitos dos titulares dos dados possa ser razoavelmente demonstrado. 

Essa base se aplica, por exemplo, à(s): 

• Atividades para aprimorar os processos educacionais; 

• Avaliações internas de qualidade; 

• Prevenção de fraudes; 

• Análise do desempenho institucional; 

• Proteção do patrimônio institucional, defesa e exercício de direitos em processos administrativos, judiciais ou arbitrais, quando necessário. 

No tratamento de dados pessoais de crianças e adolescentes, o interesse legítimo somente poderá ser utilizado como base legal após a realização prévia de uma Avaliação de Impacto à Proteção de Dados (DPIA) e mediante a aplicação de medidas de mitigação adequadas. 

8. Consentimento da criança/adolescente e proteção reforçada para menores 

As disposições desta seção aplicam-se a todo o tratamento de dados pessoais de menores realizado pela Genuine School, independentemente da base legal utilizada para a realização do tratamento, e constituem medidas de proteção reforçadas que complementam a política geral de tratamento de dados. 

8.1 Princípio da proteção prioritária para menores 

A Genuine School reconhece que os dados pessoais de menores requerem proteção reforçada, em conformidade com o princípio do melhor interesse da criança e do adolescente, reconhecido pela Convenção das Nações Unidas sobre os Direitos da Criança, por tratados internacionais, pelo Artigo 8º do Regulamento Geral sobre a Proteção de Dados (RGPD), pela Lei de Proteção da Privacidade Online das Crianças dos Estados Unidos (COPPA), pelo Artigo 7º da Lei 1581 de 2012 (Colômbia) e pelo Artigo 14º da Lei Geral de Proteção de Dados (LGPD, Brasil). 

Como instituição de ensino que atende alunos entre 7 e 18 anos, a Genuine implementa medidas técnicas, legais e organizacionais específicas para garantir que o tratamento de dados de crianças e adolescentes seja: 

• Legal; 

• Proporcional; 

• Limitado a fins educacionais; 

• E respaldado por consentimento parental verificável. 

Essas medidas incluem controles de acesso restrito, treinamento contínuo da equipe em proteção de dados de menores e revisões periódicas do tratamento de dados envolvendo menores. 

8.2 Consentimento verificável concedido pelo representante legal 

Para qualquer processamento que não decorra de uma obrigação legal ou contratual, a Genuine School exige que o consentimento seja concedido pelos pais, mães ou representantes legais do menor, e que tal consentimento seja verificável e auditável institucionalmente, garantindo sua rastreabilidade, integridade e autenticidade. 

Antes de enviar uma solicitação de consentimento por meio de uma plataforma de assinatura eletrônica certificada, a instituição verificará a identidade e a relação do signatário por meio de: 

• Registro previamente validado no arquivo do aluno, incluindo nome completo, número e tipo de documento de identidade, parentesco com o menor e informações de contato (e-mail e número de telefone) já confirmadas em documento oficial. 

• Confirmação de um canal seguro para o envio do consentimento, utilizando apenas endereços de e-mail e/ou números de telefone previamente validados. 

• Documentação no arquivo de verificação de identidade, com cópia digital dos documentos e comprovação do parentesco. 

A plataforma utilizada para coletar, validar e registrar o consentimento dos pais deve: 

• Incorporar cláusulas de autorização específicas e personalizadas para cada finalidade. 

• Permitir a verificação da identidade do signatário por meio de mecanismos de autenticação seguros. 

• Registrar metadados essenciais, como data e hora da assinatura, endereço IP, hash do documento e código de verificação exclusivo. 

• Gerar um certificado digital de conclusão que comprove a validade da autorização em instâncias judiciais e administrativas. 

Cláusula de adaptabilidade tecnológica: a Genuine School poderá implementar, substituir ou aprimorar as ferramentas e os mecanismos utilizados para coletar e verificar o consentimento, desde que estejam em conformidade com os padrões de autenticidade, integridade, rastreabilidade e validade legal estabelecidos na legislação aplicável e nesta política. 

Direito de revogação do consentimento: o representante legal poderá revogar o consentimento a qualquer momento, sem prejuízo da licitude do tratamento realizado anteriormente à sua retirada, mediante solicitação por escrito enviada para legal@genuinelab.us. A Genuine School processará a revogação no prazo máximo de cinco (5) dias úteis, mantendo registro documental do cumprimento. 

Quando o titular atingir a maioridade legal para consentir de forma autônoma, conforme a legislação aplicável em sua jurisdição, e demonstrar capacidade suficiente para compreender o tratamento de seus dados, a instituição solicitará a confirmação ou renovação do consentimento diretamente ao próprio titular. 

8.3 Requisitos reforçados para o tratamento de dados de menores 

A Genuine School adota as seguintes medidas específicas quando o tratamento de dados envolve dados pessoais de alunos menores de 18 anos: 

• Minimização do tratamento: apenas os dados estritamente necessários para cumprir a finalidade educacional ou institucional são coletados. 

• Avaliação prévia de impacto: para atividades de alto risco, como avaliações psicológicas, uso de tecnologias experimentais ou monitoramento personalizado, é realizada previamente uma avaliação de impacto à proteção de dados. 

• Consentimento específico e granular: finalidades opcionais (como o uso de imagens ou participação em eventos) são separadas do consentimento geral e exigem aceitação independente. 

• Fornecedores com garantias reforçadas: apenas plataformas tecnológicas que oferecem níveis equivalentes de proteção infantil conforme o RGPD ou a COPPA são autorizadas. Nesses casos, é obrigatória a celebração de contratos ou aditivos de tratamento de dados, contendo cláusulas específicas voltadas à proteção de menores (Contrato de Tratamento de Dados). 

• Direito de revogação: os representantes podem revogar seu consentimento a qualquer momento, sem efeito retroativo, entrando em contato com legal@genuinelab.us. 

• É realizada uma revisão periódica da validade dos consentimentos previamente concedidos para verificar sua aplicabilidade contínua e se as finalidades não foram alteradas. 

8.4 Registro institucional de evidências e rastreabilidade 

Todos os consentimentos relacionados ao tratamento de dados pessoais de menores são devidamente registrados nos sistemas de gestão documental da instituição e/ou em ambientes de LMS (Sistema de Gestão de Aprendizagem), com a retenção das seguintes informações: 

• Data de emissão; 

• Método utilizado (formulário, e-mail, contrato); 

• Identidade do representante; 

• Finalidade autorizada; 

• Impressão digital (hash) do documento assinado como medida de integridade. 

Em caso de revogação, o consentimento será arquivado como prova histórica, marcado como “revogado” e com a data de rescisão, em conformidade com o princípio da responsabilidade proativa (art. 5.2 do RGPD). 

9. Direitos dos titulares dos dados e seu exercício 

9.1 Reconhecimento abrangente de direitos 

A Genuine School reconhece os seguintes direitos fundamentais relativos aos dados pessoais de todos os titulares de dados, incluindo alunos, pais ou responsáveis, funcionários, candidatos e terceiros, em conformidade com: 

• Artigos 15 a 22 do Regulamento Geral sobre a Proteção de Dados (RGPD, UE) 

• Artigo 8 da Lei 1581 de 2012 (Colômbia) 

• Artigos 17 a 20 da Lei Geral de Proteção de Dados Pessoais (LGPD, Brasil) 

• Seção 1303 da COPPA e Seção 1232g da FERPA (EUA) 

9.2 Direitos garantidos 

Direito	Conteúdo	Base legal
Acesso	Consultar, gratuitamente, os dados que temos sobre você, a finalidade do processamento, os terceiros a quem foram transmitidos e os critérios de retenção.	Art. 15 do RGPD / Art. 18 I da LGPD / Art. 8 da Lei 1581
Retificação	Solicitar a atualização ou correção de dados imprecisos, incompletos ou desatualizados.	Art. 16 do RGPD / Art. 18 III da LGPD / Art. 8 da Lei 1581
Apagamento ou cancelamento	Solicitar o apagamento total ou parcial dos dados quando estes deixarem de ser necessários ou quando o consentimento tiver sido revogado.	Art. 17 do RGPD / Art. 18 IV da LGPD / Art. 8 da Lei 1581
Oposição	Opor-se ao processamento de dados por motivos legítimos, em particular para fins de marketing, tomada de decisões automatizadas ou definição de perfis.	Art. 21 do RGPD / Art. 18 §2 e Art. 20 da LGPD
Portabilidade de dados	Receber seus dados em formato estruturado, de uso comum e legível por máquina, bem como solicitar sua transferência a outro controlador.	Art. 20 do RGPD / Art. 18 V da LGPD
Limitação do tratamento	Solicitar que os seus dados não sejam utilizados enquanto a sua exatidão, legalidade ou legitimidade de utilização estiver sendo verificada.	Artigo 18 do RGPD
Revogação do consentimento	Revogar o seu consentimento a qualquer momento, sem efeitos retroativos.	Art. 7,3 do RGPD / Art. 18 IX da LGPD / Art. 8 da Lei 1581
Reclamação a uma autoridade	Apresentar uma reclamação à autoridade competente em caso de violação dos seus direitos.	Art. 77 do RGPD / SIC (Colômbia) / ANPD (Brasil)

9.3 Procedimento para o exercício dos seus direitos 

Os titulares de dados pessoais, ou seus representantes legais no caso de menores ou pessoas incapazes, podem exercer, a qualquer momento, seus direitos de acesso, correção, eliminação, oposição, portabilidade, limitação do tratamento, revogação do consentimento, bem como outros direitos previstos na legislação aplicável, por meio dos seguintes canais oficiais: 

• E-mail institucional dedicado exclusivamente à proteção de dados: legal@genuinelab.us 

• Solicitações por escrito e assinadas, enviadas eletronicamente com cópia do documento de identidade do titular dos dados ou do representante legal, para o canal institucional indicado. 

• Formulários online institucionais (quando disponíveis), que permitirão o anexo da documentação comprobatória necessária para comprovar a identidade e o direito invocado. 

Todas as solicitações devem incluir a identificação completa do titular dos dados, uma descrição clara e precisa do direito que deseja exercer e as informações ou documentos que fundamentam a solicitação. A Genuine School poderá solicitar informações adicionais quando necessário para verificar a identidade do solicitante. 

O prazo máximo de resposta será conforme os prazos estabelecidos na seção 9.4 “Prazos e condições de atendimento”. 

9.4 Prazos e condições de resposta 

A Genuine School compromete-se a: 

• Responder em um prazo máximo de 30 dias corridos, em conformidade com o artigo 12.3 do RGPD. 

• Para solicitações na Colômbia, aplica-se o prazo de resposta de 15 dias úteis, conforme o Decreto 1377 de 2013. 

• Caso a solicitação esteja incompleta ou necessite de correção, o solicitante será notificado em um prazo máximo de 5 dias úteis. 

Todas as solicitações serão atendidas gratuitamente, salvo quando houver necessidade de fornecimento de cópias físicas ou autenticadas, caso em que poderá ser cobrada taxa correspondente aos custos de reprodução. 

10. Transferências e transmissões internacionais de dados 

10.1 Contexto institucional 

A Genuine School opera como uma instituição educacional com presença internacional e utiliza um ecossistema tecnológico que inclui múltiplas plataformas e provedores de serviços localizados fora do país de origem dos titulares dos dados, especialmente nos Estados Unidos. 

Portanto, parte do processamento dos dados pessoais coletados envolve sua transmissão ou transferência internacional, sempre sob condições que assegurem um nível adequado de proteção, em estrita conformidade com a legislação aplicável e com os princípios da legalidade, da necessidade e da responsabilização. 

10.2 Definições aplicáveis 

• Transferência internacional de dados: envio de dados para outro país para serem processados ​​por um controlador de dados diferente (artigo 44 do RGPD). 

• Transmissão internacional: envio de dados para um operador de dados que atua em nome do controlador, mas está localizado fora do país (Lei 1581 de 2012). 

10.3 Regras aplicadas pela Genuine School 

A Genuine School garante que todas as transferências e transmissões internacionais de dados: 

• Sejam realizadas somente quando necessárias, de forma proporcional e compatível com as finalidades previamente autorizadas pelo titular dos dados. 

• Sejam formalizadas por meio de contratos de transferência de dados ou Cláusulas Contratuais Padrão (CCPs) que garantam um nível de proteção equivalente ao exigido nos seguintes: 

• • Art. 46.2 do RGPD (cláusulas padrão da Comissão Europeia); 

• • Art. 33 da Lei 1581 da Colômbia; 

• • Art. 33 a 36 da LGPD (Brasil). 

• Sejam restritas a países ou provedores que possuam decisões de adequação, certificações ou garantias contratuais equivalentes, como as adotadas pela Comissão Europeia. 

• No caso dos Estados Unidos, a Genuine School verifica se os provedores estão: 

• • Sujeitos à legislação setorial aplicável, como a FERPA (Lei de Direitos Educacionais e Privacidade da Família) para a educação e a COPPA (Lei de Proteção da Privacidade Online das Crianças) para a proteção de menores. 

• • Abrangidos por cláusulas contratuais padrão ou mecanismos de certificação internacional, como o Data Privacy Framework  adotado em julho de 2023 pela Comissão Europeia para transferências de dados realizadas entre a UE e os EUA. 

10.4 Plataformas utilizadas e países de destino 

Atualmente, a Genuine School utiliza os seguintes serviços ou plataformas, que podem envolver processamento internacional de dados: 

Plataforma	Provedor do serviço	Localização dos servidores	Finalidade do tratamento
Microsoft 365 / Teams	Microsoft Corp.	Estados Unidos e outros países, de acordo com a região atribuída pela Microsoft e seus Contratos de Tratamento de Dados.	LMS, e-mail, armazenamento
Amazon Web Services (AWS)	Amazon Web Services, Inc.	Estados Unidos e outras regiões, dependendo da arquitetura contratada	Infraestrutura tecnológica, hospedagem de aplicativos, backup e continuidade operacional
META (Facebook, Instagram)	Meta Platforms Inc.	Estados Unidos e outros países, de acordo com as políticas globais da Meta Platforms Inc.	Campanhas institucionais
Plataformas LMS próprias	Fornecedores de tecnologia contratados pela Genuine School	Estados Unidos ou outras jurisdições, dependendo do fornecedor	Gestão acadêmica, acompanhamento educacional e administração da aprendizagem
Buk	Buk SpA	Estados Unidos e Chile (dependendo dos serviços)	Gestão de recursos humanos
HubSpot	HubSpot, Inc.	Estados Unidos	CRM, marketing, admissões e comunicações
Google Analytics	Google	Estados Unidos e outros países	Análise de tráfego da web, métricas de uso e comportamento do visitante
Treble		Estados Unidos	Gerenciamento do processo de admissão (matrícula), formulários e acompanhamento de candidatos

10.5 Medidas de proteção implementadas 

Para garantir a segurança e a legalidade dessas transferências e transmissões internacionais, a Genuine School: 

• Exige a assinatura de Acordos de Processamento de Dados (Data Processing Agreements ou DPA) com cada provedor, incorporando cláusulas de confidencialidade e conformidade com as regulamentações internacionais. 

• Implementa medidas técnicas e organizacionais apropriadas, como criptografia de dados em trânsito e em repouso, autenticação multifatorial, segregação de ambientes e controle de acesso baseado em perfis de acesso. 

• Realiza auditorias e verificações periódicas para assegurar a conformidade com as melhores práticas, padrões internacionais de segurança e obrigações contratuais aplicáveis a controladores e operadores internacionais. 

• Mantém um registro atualizado de todas as transferências e transmissões internacionais, incluindo a base legal que as fundamenta, o país de destino, o fornecedor envolvido, a finalidade do tratamento e as salvaguardas de proteção adotadas. 

11. Segurança da informação e confidencialidade 

A Genuine School reconhece que a segurança da informação é um elemento indispensável para a proteção efetiva de dados pessoais e para a garantia dos direitos fundamentais de seus titulares. Portanto, adotou um Sistema de Gestão de Segurança da Informação (SGSI) em conformidade com a norma internacional ISO/IEC 27001, integrando medidas técnicas, organizacionais, de pessoal e contratuais para garantir a conformidade regulatória e a mitigação de riscos. 

11.1 Princípios de segurança aplicáveis 

Todas as atividades de processamento de dados pessoais na Genuine School estão sujeitas aos seguintes princípios de segurança operacional: 

• Confidencialidade: Os dados são acessíveis apenas a pessoal devidamente autorizado, de acordo com as funções, perfis e privilégios definidos no modelo institucional de controle de acesso. 

• Integridade: A exatidão, a completude e a consistência dos dados são preservadas ao longo de todo o seu ciclo de vida, impedindo alterações não autorizadas. 

• Disponibilidade: Os dados pessoais devem estar acessíveis pelos usuários autorizados sempre que necessário 

• Rastreabilidade: Todas as ações que envolvem dados pessoais são registradas com a data, o usuário, o tipo de acesso e a justificativa. 

• Minimização: O processamento desnecessário de dados é evitado, limitando sua circulação interna e externa. 

• Segurança adaptada ao risco: As medidas técnicas e organizacionais são adaptadas ao nível de sensibilidade e criticidade dos dados processados. 

11.2 Classificação de dados e níveis de controle 

Além da classificação institucional por níveis de sensibilidade estabelecida na seção 5.3 e no Anexo 1, a Genuine School estipula que essa classificação é um critério operacional vinculativo para a aplicação de salvaguardas específicas. 

Especificamente: 

• Os manuais e procedimentos do SGSI detalham os controles técnicos, organizacionais, físicos e contratuais aplicáveis a cada nível de classificação, com rigor progressivo do nível Público ao nível Restrito. 

• A gestão de acessos é definida conforme o nível de classificação das informações e a função do usuário, prevenindo acessos indevidos ou não autorizados. 

• A circulação, o armazenamento e a transmissão de informações são realizados com mecanismos de proteção compatíveis com sua classificação, incluindo, quando aplicável, criptografia, autenticação multifator e segregação de ambientes. 

• Mecanismos de rastreabilidade e auditoria são implementados para registrar e monitorar qualquer acesso, modificação ou transmissão de dados classificados. 

• As medidas são revisadas e atualizadas periodicamente, considerando evoluções tecnológicas, alterações regulatórias e resultados das avaliações de risco institucionais. 

Dessa forma, a classificação da informação constitui um instrumento de gestão ativa que orienta e condiciona as decisões relativas à segurança e à confidencialidade das informações na Genuine School. 

12. Violações de segurança e notificação de incidentes 

A Genuine School reconhece que incidentes de segurança que afetam a confidencialidade, a integridade ou a disponibilidade de dados pessoais podem ter impactos significativos nos direitos dos titulares dos dados. Por isso, adotou uma política institucional de gestão de incidentes e notificação de violações de dados, alinhada às normas internacionais e ao princípio da responsabilidade proativa. 

12.1 O que é considerado uma violação de segurança? 

Uma violação de segurança de dados pessoais é qualquer incidente que resulte, de forma acidental ou ilícita, em: 

• Acesso não autorizado a dados pessoais; 

• Perda, destruição, alteração ou divulgação não autorizada de dados; 

• Interrupção não planejada do acesso legítimo a dados protegidos. 

12.2 Medidas de resposta institucional 

Em caso de qualquer indicação ou confirmação de violação de segurança, a Genuine School ativará seu Protocolo de Gerenciamento de Incidentes do SGSI (Sistema de Gestão de Segurança da Informação), que inclui: 

• Identificação e contenção imediatas do incidente. 

• Avaliação do escopo, tipo de dados comprometidos e potenciais vítimas. 

• Documentação completa do evento, incluindo data, origem, causa e evidências técnicas. 

• Notificação interna imediata ao Comitê de Segurança e ao Encarregado pelo Tratamento de Dados (DPO). 

• Implementação de medidas corretivas e preventivas para mitigar os danos e evitar recorrências. 

12.3 Notificação às autoridades e aos titulares dos dados  

Em conformidade com o Artigo 33 do Regulamento Geral sobre a Proteção de Dados (RGPD), a Genuine School compromete-se a: 

• Notificar a autoridade de supervisão competente (SIC, ANPD, Supervisores da UE, etc.) no prazo de 72 horas após tomar conhecimento do incidente, caso exista risco para os direitos dos titulares dos dados. 

A notificação incluirá: 

• A natureza do incidente e os tipos de dados comprometidos. 

• Número estimado de titulares dos dados afetados. 

• Possíveis consequências do incidente. 

• Medidas tomadas para mitigar os efeitos. 

Caso o incidente represente alto risco aos direitos dos titulares, será realizada comunicação direta, clara e sem demora indevida aos afetados, em conformidade com o art. 34 do RGPD, por meio de canal institucional devidamente rastreável. 

12.4 Registro e rastreabilidade de incidentes 

Todos os incidentes serão registrados no Registro Interno de Incidentes de Segurança, que incluirá: 

• Data e hora da descoberta do incidente. 

• Canal de detecção. 

• Dados comprometidos. 

• Avaliação de impacto. 

• Medidas tomadas. 

• Responsável designado. 

Este registro será mantido de acordo com a política de armazenamento de documentos e será monitorado pelo Encarregado pelo Tratamento de Dados (DPO) e pelo Comitê de Segurança da Informação. 

13. Avaliações de impacto sobre a privacidade (DPIA) 

A Genuine School reconhece que certos tratamentos de dados pessoais, pela sua natureza, escopo, contexto ou finalidade, podem representar riscos significativos para os direitos e liberdades dos titulares dos dados, especialmente quando se trata de menores, tecnologias emergentes (IA) ou dados sensíveis. Portanto, como medida preventiva e de conformidade, adotou a implementação de Avaliações de Impacto sobre a Privacidade (DPIA ou Data Protection Impact Assessments), em conformidade com os artigos 35 e 36 do Regulamento Geral sobre a Proteção de Dados (RGPD) e a norma internacional ISO/IEC 29134. 

14. Referências cruzadas a módulos e avisos específicos 

Em conformidade com o princípio da transparência e com o dever institucional de fornecer informações claras, específicas e acessíveis a cada categoria de titulares de dados, a Genuine School elaborou uma série de documentos complementares (avisos de privacidade) direcionados aos diferentes perfis que interagem com a instituição. 

Esses módulos detalham, em linguagem acessível e com uma abordagem contextualizada, os aspectos mais relevantes do tratamento de dados pessoais de acordo com a função do titular dos dados, as finalidades específicas, os direitos aplicáveis ​ e os mecanismos disponíveis para o exercício desses direitos. 

Os seguintes documentos fazem parte integrante desta política e estarão disponíveis para consulta nos canais oficiais da instituição: 

Módulo	Público-alvo	Conteúdo principal	Versão / Link
Aviso de privacidade para alunos e pais/responsáveis	Alunos menores de 18 anos e seus representantes legais	Tipos de dados coletados, consentimento dos pais, períodos de armazenamento, direitos específicos	Anexo 1 ou Aviso de privacidade para alunos e representantes legais
Aviso de privacidade para contratados, fornecedores, professores e parceiros estratégicos	Empresas, contratados ou parceiros que processam dados em nome de ou em uma relação comercial	Informações de contato, obrigações contratuais, confidencialidade e transferências internacionais	Anexo 2 ou Aviso de privacidade para prestadores de serviços e fornecedores
Aviso de privacidade para candidatos em processo seletivo	Indivíduos participando de processos seletivos (docentes, equipe administrativa, estagiários)	Currículos, referências, testes, entrevistas, armazenamento e exclusão de dados	Anexo 3 ou Aviso de privacidade para candidatos
Aviso de privacidade para interessados, potenciais alunos e visitantes do site	Todos os visitantes do nosso site.	Informações de contato, suporte técnico,	Anexo 4 ou Aviso de privacidade para visitantes do site

Observação: 

Cada módulo será revisado e atualizado com a mesma periodicidade desta política geral, devendo indicar de forma expressa a data da última atualização e sua vinculação ao Encarregado pelo Tratamento de Dados Pessoais (DPO) como ponto de contato institucional.