Política de Privacidade
1. Introdução e compromisso institucional
A Charneski Advogados (“Charneski”, “Escritório” ou “nós”), sociedade de advogados inscrita no CNPJ sob o nº 10.720.318/0001-09, com sede na Rua Antônio Carlos Berta, 475, conjuntos 1807 e 1808, Jardim Europa, CEP 91340-020, Porto Alegre/RS, tem na proteção de dados pessoais e no dever de sigilo profissional valores essenciais de sua atuação.
Esta Política de Privacidade e de Proteção de Dados Pessoais (“Política”) é documento formal, aprovado pela administração do Escritório e disponibilizado publicamente, que descreve, de forma clara, transparente e acessível, como coletamos, utilizamos, armazenamos, compartilhamos, protegemos e eliminamos dados pessoais, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – “LGPD”), com as resoluções e orientações da Autoridade Nacional de Proteção de Dados (“ANPD”) e com o dever de sigilo profissional imposto pelo Estatuto da Advocacia (Lei nº 8.906/1994) e pelo Código de Ética e Disciplina da OAB.
Esta Política observa, em especial, os requisitos de informação previstos no art. 9º da LGPD e integra o Programa de Governança em Privacidade do Escritório (art. 50 da LGPD).
Ela se aplica a todo tratamento de dados pessoais realizado pelo Escritório, abrangendo clientes e potenciais clientes, partes e terceiros envolvidos em demandas, colaboradores e candidatos, fornecedores e parceiros, visitantes de nossos canais digitais e quaisquer titulares cujos dados sejam tratados no âmbito da prestação de serviços jurídicos.
2. Definições
Para os fins desta Política, aplicam-se as seguintes definições, em linha com o art. 5º da LGPD:
- Dados pessoais — informação relacionada a pessoa natural identificada ou identificável.
- Dados pessoais sensíveis — dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculados a uma pessoa natural.
- Titular — pessoa natural a quem se referem os dados pessoais objeto de tratamento.
- Tratamento — toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
- Controlador — pessoa a quem competem as decisões referentes ao tratamento de dados pessoais.
- Operador — pessoa que realiza o tratamento de dados pessoais em nome do controlador.
- Suboperador — terceiro subcontratado pelo operador para auxiliar no tratamento, em nome e sob as instruções do controlador.
- Encarregado (DPO) — pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares e a ANPD.
- ANPD — Autoridade Nacional de Proteção de Dados.
- Transferência internacional — transferência de dados pessoais para país estrangeiro ou organismo internacional.
- Incidente de segurança — evento adverso, confirmado ou sob suspeita, relacionado à violação de segurança que possa acarretar risco ou dano relevante aos dados pessoais ou aos seus titulares.
3. Papéis de tratamento: controlador e operador
O Escritório atua como controlador em relação aos dados pessoais que trata para suas próprias finalidades – por exemplo, dados de colaboradores, candidatos, fornecedores, potenciais clientes e visitantes de seus canais.
No desempenho da advocacia, o Escritório frequentemente atua como operador, tratando dados pessoais em nome e sob as instruções de seus clientes (controladores), estritamente para viabilizar a prestação dos serviços jurídicos contratados e sempre sob o dever de sigilo profissional. Nesses casos, as obrigações específicas do Escritório observam, adicionalmente a esta Política, o disposto nos respectivos contratos de prestação de serviços e instrumentos de proteção de dados firmados com o cliente.
4. Dados tratados, finalidades e bases legais
Em atenção ao art. 9º da LGPD, o Escritório informa, de forma resumida, as principais categorias de dados que trata, as finalidades e as respectivas bases legais (arts. 7º e 11 da LGPD):
| Categoria de titulares / dados | Finalidades principais | Base legal (LGPD) |
|---|---|---|
| Clientes e potenciais clientes (identificação, contato, dados profissionais e financeiros) | Prestação de serviços de advocacia e consultoria; gestão contratual; comunicação; faturamento e cobrança | Art. 7º, V e IX; Art. 7º, II (obrigação legal/regulatória) |
| Partes adversas, testemunhas e terceiros relacionados às demandas | Constituição, exercício ou defesa de direitos em processos judiciais, administrativos e arbitrais | Art. 7º, VI; Art. 11, II, “a” (dados sensíveis) |
| Colaboradores, estagiários e candidatos | Gestão de pessoal e folha; recrutamento e seleção; cumprimento de obrigações trabalhistas e previdenciárias | Art. 7º, II e V; Art. 11, II, “a” e “b” |
| Fornecedores e parceiros | Gestão de contratos e relacionamento com terceiros | Art. 7º, V |
| Visitantes do site e usuários dos canais de contato | Resposta a solicitações; segurança da informação; melhoria dos canais | Art. 7º, IX (legítimo interesse); Art. 7º, I (consentimento), quando aplicável |
O tratamento observa os princípios do art. 6º da LGPD, notadamente finalidade, adequação, necessidade, transparência, segurança, prevenção, não discriminação e responsabilização.
5. Tratamento de dados pessoais sensíveis
Em razão da natureza da advocacia, a prestação de serviços pelo Escritório pode envolver o tratamento de dados pessoais sensíveis – por exemplo, dados referentes à saúde, dados biométricos, filiação sindical, convicção religiosa, opinião política ou origem racial ou étnica – quando tais dados forem necessários à constituição, ao exercício ou à defesa de direitos dos clientes.
Nessas hipóteses, o tratamento fundamenta-se nas bases legais do art. 11 da LGPD, em especial o exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 11, II, “a”), ou o consentimento específico e destacado do titular, quando aplicável.
O tratamento de dados sensíveis observa o princípio da necessidade (minimização) e sujeita-se a salvaguardas reforçadas: acesso restrito aos profissionais estritamente envolvidos na demanda (need-to-know), criptografia, controles de acesso e o dever de sigilo profissional da advocacia.
6. Inventário de dados e Registro das Operações de Tratamento (ROPA)
O Escritório mantém inventário/mapeamento de dados pessoais e Registro das Operações de Tratamento de Dados (ROPA), nos termos do art. 37 da LGPD, com o objetivo de documentar as operações de tratamento que realiza, na condição de controlador e de operador.
O inventário e o ROPA registram, entre outros elementos: as categorias de dados e de titulares; as finalidades e as bases legais; os fluxos e compartilhamentos com operadores, suboperadores e terceiros; as eventuais transferências internacionais; os prazos de retenção; e as medidas de segurança aplicáveis.
O ROPA é mantido atualizado sob a coordenação do Encarregado, sendo revisado periodicamente e sempre que houver nova operação de tratamento ou alteração relevante nas operações existentes.
7. Compartilhamento de dados com terceiros, operadores e suboperadores
7.1. Com quem compartilhamos
Para a adequada prestação de seus serviços, o Escritório pode compartilhar dados pessoais, na medida do estritamente necessário e conforme as bases legais aplicáveis, com: advogados correspondentes e escritórios parceiros; peritos e assistentes técnicos; órgãos do Poder Judiciário e tribunais administrativos e arbitrais; órgãos e entidades públicas, quando exigido por lei ou por determinação de autoridade; prestadores de tecnologia (armazenamento em nuvem, e-mail e sistemas de gestão de processos e documentos); e contadores, auditores e consultores.
7.2. Medidas para um compartilhamento seguro e conforme
O compartilhamento observa medidas destinadas a assegurar a proteção dos dados e a conformidade com a LGPD, entre as quais:
- celebração de contratos com cláusulas específicas de proteção de dados (acordo de tratamento de dados / Data Processing Agreement), impondo obrigações de confidencialidade e sigilo;
- limitação do compartilhamento à finalidade e ao volume de dados necessários, com instruções documentadas e vedação de uso para finalidades próprias do terceiro;
- exigência de adoção, pelo terceiro, de medidas de segurança técnicas e administrativas compatíveis; e
- obrigação de devolução ou eliminação segura dos dados ao término da relação.
7.3. Avaliação e seleção de operadores e suboperadores
Quando há subcontratação de outras empresas para auxiliar no tratamento de dados pessoais (suboperadores), o Escritório adota processo de avaliação e governança de terceiros, que compreende:
- Due diligence prévia: aplicação de questionário de avaliação de segurança da informação e de conformidade com a LGPD, com verificação de políticas, certificações e histórico do fornecedor;
- Cláusulas contratuais: formalização de acordo de tratamento de dados (DPA) e de cláusulas de confidencialidade, segurança, auditoria e responsabilidade, vinculando o suboperador às mesmas obrigações impostas ao operador;
- Autorização e transparência: quando o Escritório atua como operador, a subcontratação ocorre apenas mediante autorização do cliente (controlador) e nos termos por ele definidos;
- Conscientização e monitoramento: orientação e, quando aplicável, treinamento sobre as obrigações de proteção de dados, além de reavaliação periódica do suboperador e do cumprimento das obrigações contratadas.
8. Transferência internacional de dados
Para o desempenho de suas atividades, o Escritório utiliza serviços de tecnologia em nuvem – notadamente o ambiente Microsoft (SharePoint e Microsoft 365) – para armazenamento, colaboração e comunicação. A utilização desses serviços pode implicar o armazenamento ou o processamento de dados pessoais em servidores localizados fora do Brasil, configurando transferência internacional de dados.
Tais transferências observam o art. 33 da LGPD e o Regulamento de Transferência Internacional de Dados (Resolução CD/ANPD nº 19/2024), apoiando-se em mecanismos e salvaguardas adequados, em especial:
- cláusulas-padrão contratuais aprovadas pela ANPD (ou cláusulas contratuais equivalentes) incorporadas aos contratos com os provedores de tecnologia;
- decisões de adequação e demais garantias previstas no art. 33, quando aplicáveis; e
- preferência por provedores que ofereçam controles reconhecidos de segurança e, quando viável, opções de residência de dados no Brasil.
O Escritório mantém registro das transferências internacionais em seu inventário/ROPA e adota, junto aos provedores, os instrumentos contratuais de proteção de dados que incorporam as referidas cláusulas-padrão.
9. Retenção e eliminação de dados
Os dados pessoais são mantidos apenas pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados, respeitados os prazos legais, regulatórios, contratuais e profissionais aplicáveis – por exemplo, prazos prescricionais, obrigações de guarda de documentos processuais, contábeis e fiscais e normas da OAB.
A gestão da retenção é realizada com base em prazos definidos no inventário/ROPA, revisados periodicamente. Encerrado o período de retenção, ou quando os dados deixam de ser necessários, procede-se à sua eliminação segura ou anonimização, ressalvadas as hipóteses de conservação autorizadas pelo art. 16 da LGPD (como cumprimento de obrigação legal ou regulatória e exercício regular de direitos).
A eliminação é feita por métodos que impeçam a recuperação da informação, abrangendo o descarte seguro de arquivos digitais (exclusão lógica e física) e a destruição de documentos e mídias físicas, mantendo-se registro adequado das eliminações, sob a coordenação do Encarregado.
10. Direitos dos titulares e canal de atendimento
Nos termos do art. 18 da LGPD, o titular pode, a qualquer momento, requerer ao Escritório:
- a confirmação da existência de tratamento;
- o acesso aos dados;
- a correção de dados incompletos, inexatos ou desatualizados;
- a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
- a portabilidade dos dados a outro fornecedor, observados os segredos comercial e profissional;
- a eliminação dos dados tratados com base no consentimento, ressalvadas as hipóteses de conservação legalmente previstas;
- a informação sobre as entidades com as quais os dados são compartilhados;
- a informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa; e
- a revogação do consentimento.
O Escritório disponibiliza canal gratuito e facilitado para o exercício desses direitos, por meio de contato com o Encarregado pelo e-mail privacidade@charneski.com.br. As solicitações são atendidas nos prazos e nas condições previstos na LGPD, podendo o Escritório adotar medidas razoáveis de verificação de identidade do requerente, para segurança do próprio titular. O Escritório não toma decisões unicamente automatizadas que produzam efeitos jurídicos ou impactem significativamente os titulares.
11. Encarregado pelo Tratamento de Dados Pessoais (DPO)
O Escritório mantém Encarregado formalmente nomeado, nos termos do art. 41 da LGPD:
- Encarregado (DPO): Heron Charneski
- Canal de contato: privacidade@charneski.com.br
O Encarregado atua como canal de comunicação entre o Escritório, os titulares de dados e a ANPD, competindo-lhe, entre outras atribuições: receber reclamações e cookies dos titulares, prestar esclarecimentos e adotar providências; receber comunicações da ANPD; orientar os colaboradores acerca das práticas de proteção de dados; e coordenar o Programa de Governança em Privacidade. Este mesmo canal serve, ainda, ao recebimento de denúncias relacionadas à proteção de dados pessoais.
O ato formal de nomeação do Encarregado consta do Anexo II desta Política.
12. Medidas de segurança, técnicas e administrativas
Em cumprimento ao art. 46 da LGPD, o Escritório adota medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, entre as quais:
12.1. Medidas técnicas
- controle de acesso baseado em perfis e no princípio do menor privilégio (need-to-know);
- autenticação multifator (MFA) e política de senhas robustas;
- criptografia de dados em trânsito e em repouso;
- realização regular de cópias de segurança (backups) e mecanismos de recuperação;
- uso de provedores de tecnologia reconhecidos (ambiente Microsoft 365/SharePoint), com registro de logs, atualização e correção de sistemas e proteção contra códigos maliciosos.
12.2. Medidas administrativas
- políticas internas de segurança da informação e de proteção de dados;
- termos de confidencialidade e de sigilo assinados por colaboradores e terceiros, reforçados pelo dever de sigilo profissional da advocacia;
- treinamentos periódicos, envio de cartilhas e comunicados e programas de conscientização em privacidade e segurança;
- gestão de acessos nos processos de admissão e desligamento e controle de dispositivos; e
- controle de acesso físico às instalações e guarda adequada de documentos.
13. Gestão e resposta a incidentes de segurança
O Escritório mantém Plano de Resposta a Incidentes de Segurança, que estabelece os procedimentos a serem adotados diante de incidente que envolva dados pessoais, contemplando etapas de detecção, contenção, erradicação, recuperação, investigação de causa, avaliação de riscos, registro e melhoria contínua.
O Plano prevê, ainda, as seguintes obrigações de notificação:
- Clientes e controladores contratantes: quando o Escritório atua como operador, comunica ao cliente (controlador) afetado a ocorrência de incidente, na forma e nos prazos previstos no respectivo contrato de prestação de serviços, de modo a viabilizar as providências e comunicações a cargo do controlador;
- ANPD e titulares: quando aplicável, comunica a ANPD e os titulares afetados, observado o Regulamento de Comunicação de Incidente de Segurança (Resolução CD/ANPD nº 15/2024), no prazo de 3 (três) dias úteis contados do conhecimento de incidente que possa acarretar risco ou dano relevante, com o conteúdo mínimo exigido pela norma;
- Registro: mantém registro dos incidentes, inclusive daqueles não comunicados, pelo prazo mínimo de 5 (cinco) anos.
Os procedimentos operacionais detalhados de resposta a incidentes constam do Anexo I – Plano de Resposta a Incidentes de Segurança, parte integrante desta Política.
14. Auditorias e revisão periódica
O Escritório realiza auditorias e avaliações periódicas para verificar o atendimento das obrigações previstas na legislação de proteção de dados e para revisar as medidas e os controles de prevenção e proteção de dados pessoais.
Esse verificações combinam: (i) auditorias e avaliações internas, conduzidas pela equipe do Escritório sob a coordenação do Encarregado; e (ii) avaliações independentes por terceiros especializados, quando aplicável. A revisão abrange as políticas, o inventário/ROPA, os contratos com operadores e suboperadores e as medidas técnicas e administrativas de segurança, com definição de planos de ação corretiva. As auditorias são realizadas, no mínimo, anualmente e sempre que houver alteração significativa nas operações de tratamento ou incidente relevante.
15. Programa de Governança em Privacidade
As práticas descritas nesta Política integram o Programa de Governança em Privacidade do Escritório (art. 50 da LGPD), que reúne políticas e procedimentos, a atuação do Encarregado, a manutenção do inventário/ROPA, a gestão de terceiros, o tratamento de incidentes, as ações de treinamento e conscientização e a melhoria contínua, demonstrando o comprometimento do Escritório com a proteção de dados pessoais e a prestação de contas (accountability).
16. Atualizações desta Política
Esta Política pode ser atualizada a qualquer tempo para refletir aprimoramentos em nossas práticas ou alterações legais e regulatórias. A versão vigente estará sempre disponível em nossos canais oficiais, com indicação da data de atualização. Alterações relevantes poderão ser comunicadas pelos meios adequados.
17. Legislação aplicável e contato
Esta Política é regida pela legislação brasileira, em especial pela LGPD e pelas normas da ANPD. Dúvidas, solicitações e denúncias relacionadas à proteção de dados pessoais podem ser encaminhadas ao Encarregado pelo e-mail privacidade@charneski.com.br.
Charneski Advogados
Aprovada pela administração do Escritório.
Porto Alegre/RS, 2 de julho de 2026.
Anexo I – Plano de Resposta a Incidentes de Segurança
Este Plano integra a Política de Privacidade e de Proteção de Dados Pessoais do Charneski Advogados e detalha os procedimentos a serem adotados diante de incidentes de segurança que envolvam dados pessoais, em cumprimento aos arts. 46 e 48 da LGPD e à Resolução CD/ANPD nº 15/2024.
I.1. Objetivo e abrangência
Estabelecer um fluxo claro e tempestivo para identificar, conter, tratar, comunicar e registrar incidentes de segurança envolvendo dados pessoais, reduzindo riscos e danos aos titulares. Aplica-se a todos os sócios, colaboradores, estagiários e terceiros que tratem dados pessoais em nome do Escritório.
I.2. Definição de incidente de segurança
Considera-se incidente de segurança o evento adverso, confirmado ou sob suspeita, relacionado à violação de segurança que possa acarretar acesso não autorizado, destruição, perda, alteração, vazamento, comunicação indevida ou qualquer forma de tratamento inadequado de dados pessoais.
I.3. Equipe de resposta e responsabilidades
A resposta a incidentes é coordenada pelo Encarregado, com o apoio dos sócios administradores e do responsável ou fornecedor de tecnologia da informação, podendo envolver assessoria jurídica e de comunicação quando necessário. Compete ao Encarregado centralizar as informações, orientar as providências, deliberar sobre as comunicações e manter os registros.
I.4. Fases de tratamento do incidente
- Detecção e comunicação interna: qualquer pessoa que identifique ou suspeite de um incidente deve comunicá-lo imediatamente ao Encarregado pelo canal privacidade@charneski.com.br;
- Avaliação e classificação: levantamento da natureza e das categorias de dados afetados, do número de titulares, das causas e do risco ou dano potencial (item I.5);
- Contenção: medidas imediatas para interromper o incidente, como isolamento de sistemas, revogação de acessos e bloqueio de contas comprometidas;
- Erradicação e recuperação: eliminação da causa e restabelecimento seguro dos serviços, inclusive a partir de cópias de segurança (backups);
- Investigação de causa raiz: apuração das origens do incidente e das vulnerabilidades exploradas;
- Comunicação: notificações internas e externas cabíveis, na forma do item I.6;
- Encerramento e lições aprendidas: registro do incidente, revisão de controles e adoção de melhorias.
I.5. Classificação de severidade
| Nível | Critério | Providência |
|---|---|---|
| Baixo | Sem dados pessoais afetados ou risco irrelevante aos titulares. | Conter, corrigir e registrar internamente. |
| Médio | Dados pessoais afetados, sem risco ou dano relevante evidente. | Conter e avaliar; comunicar clientes contratantes conforme contrato; monitorar necessidade de comunicação à ANPD. |
| Alto | Dados pessoais afetados com potencial risco ou dano relevante (inclui dados sensíveis). | Acionar comunicações a clientes, à ANPD e aos titulares no prazo do item I.6. |
I.6. Comunicações e prazos
- Interna: imediata ao Encarregado e aos sócios administradores;
- Clientes e controladores contratantes: quando o Escritório atua como operador, comunicação na forma e nos prazos previstos no contrato de prestação de serviços, para viabilizar as providências a cargo do controlador;
- ANPD e titulares: quando o incidente puder acarretar risco ou dano relevante, no prazo de 3 (três) dias úteis contados do conhecimento (6 dias úteis para agente de pequeno porte), observado o conteúdo mínimo da Resolução CD/ANPD nº 15/2024.
A comunicação à ANPD e aos titulares deve conter, no mínimo: a descrição da natureza e das categorias de dados afetados; o número de titulares envolvidos; as medidas técnicas e de segurança adotadas; os riscos relacionados ao incidente; as medidas adotadas para reverter ou mitigar os efeitos; a data da ocorrência e do conhecimento; e os dados de contato do Encarregado.
I.7. Registro, guarda e melhoria contínua
Todos os incidentes, inclusive os não comunicados à ANPD e aos titulares, são registrados e mantidos pelo prazo mínimo de 5 (cinco) anos. Após cada incidente relevante, o Escritório realiza revisão pós-incidente, atualiza controles e promove treinamento, testando periodicamente este Plano.
I.8. Contato
Encarregado (DPO): Heron Charneski — privacidade@charneski.com.br. Canal para comunicação interna de incidentes e para contato de titulares e da ANPD.
Anexo II – Ato de Nomeação do Encarregado pelo Tratamento de Dados Pessoais
Charneski Advogados, sociedade de advogados inscrita no CNPJ sob o nº 10.720.318/0001-09, com sede na Rua Antônio Carlos Berta, 475, conjuntos 1807 e 1808, Jardim Europa, CEP 91340-020, Porto Alegre/RS, por seus sócios administradores, no uso de suas atribuições e em cumprimento ao art. 41 da Lei nº 13.709/2018 (LGPD) e à Resolução CD/ANPD nº 18/2024, resolve:
Art. 1º Nomear o Sr. Heron Charneski como Encarregado pelo Tratamento de Dados Pessoais (Encarregado/DPO) do Escritório, responsável por atuar como canal de comunicação entre o Escritório, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Art. 2º Compete ao Encarregado: (i) receber reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências; (ii) receber comunicações da ANPD e adotar providências; (iii) orientar os colaboradores e terceiros acerca das práticas de proteção de dados; (iv) coordenar o Programa de Governança em Privacidade e o Plano de Resposta a Incidentes; e (v) executar as demais atribuições determinadas pelo Escritório ou previstas em normas complementares.
Art. 3º A identidade e as informações de contato do Encarregado (privacidade@charneski.com.br) serão divulgadas publicamente, de forma clara e objetiva, em local de destaque e de fácil acesso no sítio eletrônico do Escritório, nos termos da Resolução CD/ANPD nº 18/2024.
Art. 4º O Escritório assegurará ao Encarregado autonomia, ausência de conflito de interesses e os recursos e acessos necessários ao adequado desempenho de suas funções.
Art. 5º Este ato entra em vigor na data de sua assinatura, por prazo indeterminado, produzindo efeitos até eventual revogação ou substituição formal.
Porto Alegre/RS, 2 de julho de 2026.
Heron Charneski
Sócio administrador — Charneski Advogados
OAB/RS 63.441
Tiago Rios Coster
Sócio administrador — Charneski Advogados
OAB/RS 88.953
Ciente e de acordo, na qualidade de Encarregado (DPO): Heron Charneski.
