Última atualização: 23 de abril de 2026
Como plataforma tecnológica global, a Hierk e todas as suas subsidiárias e empresas afiliadas devem cumprir as leis e regulamentações de proteção de dados do Brasil, da União Europeia, dos Estados Unidos e de todas as demais legislações aplicáveis em todas as jurisdições nas quais a Hierk opera.
Para esse fim, a Política Global de Proteção de Dados da Hierk estabelece os padrões mínimos de conformidade, com os quais a Hierk e todas as suas entidades afiliadas devem cumprir em cada uma das regulamentações detalhadas abaixo.
Filtrar por região
A Hierk cumpre integralmente a Lei nº 13.709/2018 (LGPD), em vigor desde agosto de 2020, que regula todo o tratamento de dados pessoais no Brasil ou de pessoas cujos dados são coletados no país, independentemente do local da empresa.
A LGPD aplica-se a qualquer operação de tratamento realizada em território brasileiro, cujo objetivo seja a oferta de bens ou serviços a pessoas no Brasil, ou que envolva dados coletados no território nacional, mesmo que a empresa esteja sediada fora do país.
Toda operação de tratamento de dados realizada pela Hierk possui uma base legal documentada, conforme as dez hipóteses previstas no artigo 7.º da LGPD (consentimento, cumprimento de obrigação legal, execução de contrato, interesse legítimo, entre outras). O consentimento, quando aplicável, é solicitado de forma livre, informada e inequívoca, separadamente para cada finalidade.
A Hierk designa um Encarregado de Proteção de Dados (DPO) com canal público de contato, mantém Registo de Operações de Tratamento de Dados (ROPA) atualizado, e dispõe de procedimento formal para resposta a todas as solicitações dos titulares em prazo máximo de quinze dias corridos.
Os titulares têm direito a: confirmação da existência de tratamento; acesso aos dados pessoais; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários; portabilidade a outro fornecedor; eliminação dos dados tratados com consentimento; informação sobre entidades com as quais os dados foram compartilhados; e revogação do consentimento a qualquer momento.
Eventuais incidentes de segurança são comunicados à Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável, conforme exigido pela legislação aplicável. A ANPD é o órgão federal responsável por fiscalizar o cumprimento da LGPD e pode aplicar advertência, multa simples até 2% do faturamento (limitada a R$ 50 milhões por infração), multa diária, publicização da infração, bloqueio ou eliminação de dados, ou suspensão do tratamento.
Texto oficial, PlanaltoA Hierk cumpre o Regulamento (UE) 2016/679 (GDPR), em vigor desde maio de 2018, aplicável a qualquer organização que trate dados de residentes na União Europeia, independentemente de onde a empresa esteja sediada.
O GDPR aplica-se à Hierk em três cenários distintos: quando há estabelecimento na UE, quando são oferecidos bens ou serviços a residentes da UE, e quando há monitorização do comportamento de residentes da UE. A Hierk designou um representante na União Europeia, conforme exige o artigo 27.º do GDPR.
Todo tratamento é guiado pelos sete princípios fundamentais do GDPR: licitude, lealdade e transparência; limitação das finalidades; minimização dos dados; exatidão; limitação da conservação; integridade e confidencialidade; e responsabilidade (accountability). Os princípios de Privacy by Design e by Default são implementados em toda a arquitetura técnica.
Os titulares de dados têm direito a: ser informados sobre o tratamento em linguagem clara; acesso aos dados pessoais tratados; retificação de dados inexatos ou incompletos; apagamento (direito a ser esquecido); limitação do tratamento; portabilidade dos dados em formato estruturado e legível; oposição ao tratamento; e direitos relacionados com decisões automatizadas e profiling, incluindo o direito à intervenção humana. A Hierk responde a todas as solicitações em até trinta dias corridos.
Para tratamentos de alto risco, a Hierk realiza Avaliação de Impacto à Proteção de Dados (DPIA) previamente. Transferências internacionais de dados são protegidas por Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia. Em caso de violação de dados, a autoridade competente é notificada em até setenta e duas horas, conforme exige o artigo 33.º do GDPR.
O GDPR prevê multas em dois níveis: até dez milhões de euros ou 2% do faturamento global anual (o que for maior) para violações menos graves; e até vinte milhões de euros ou 4% do faturamento global anual (o que for maior) para violações graves de princípios, direitos dos titulares ou regras de transferência internacional.
Texto oficial, GDPR.euApós a saída do Reino Unido da União Europeia, o GDPR foi incorporado ao direito britânico como UK GDPR, complementado pelo Data Protection Act 2018. As regras substantivas permanecem essencialmente alinhadas com o GDPR da UE, mas a fiscalização é exercida pelo Information Commissioner's Office (ICO) e os litígios seguem o sistema judicial britânico.
A Hierk aplica os mesmos princípios e direitos do GDPR aos titulares residentes no Reino Unido, designou representante britânico conforme exigido para empresas sem estabelecimento no UK, e mantém canal direto com o ICO para notificação de incidentes. Transferências de dados do Reino Unido para terceiros países seguem o regime UK International Data Transfer Agreement (IDTA) ou as cláusulas adicionais aprovadas pelo ICO.
Multas por violação do UK GDPR seguem o teto previsto no Data Protection Act 2018: até £17,5 milhões ou 4% do faturamento global anual (o que for maior). O ICO publica decisões em portal público e pode também impor ordens de cessação de tratamento.
Texto oficial, ICOA Hierk cumpre a California Consumer Privacy Act (CCPA), promulgada em 2018 e em vigor desde janeiro de 2020, bem como a sua extensão através da California Privacy Rights Act (CPRA) de 2023. Foi a primeira lei abrangente de privacidade do consumidor nos Estados Unidos e aplica-se a empresas que fazem negócios na Califórnia e atingem pelo menos um dos seguintes limiares: receita bruta anual acima de vinte e cinco milhões de dólares; tratamento de dados pessoais de cem mil ou mais consumidores, domicílios ou dispositivos da Califórnia; ou obtenção de 50% ou mais da receita anual com a venda de dados pessoais.
Residentes da Califórnia têm direito a: saber quais dados pessoais são recolhidos, usados, partilhados ou vendidos; saber se os dados estão a ser vendidos ou divulgados, e a quem; solicitar a eliminação dos dados pessoais; optar por não ter os dados vendidos (opt-out); não ser discriminados em serviço ou preço por exercerem os seus direitos; acesso aos dados específicos coletados nos últimos doze meses; e correção de informação imprecisa (direito adicionado pela CPRA em 2023).
A CCPA define venda de dados de forma ampla, incluindo qualquer partilha em troca de contrapartida monetária ou outro valor. A Hierk não vende dados pessoais em nenhuma circunstância e exibe o link Do Not Sell My Personal Information no rodapé de todas as páginas, conforme exigido pela legislação.
A Hierk mantém canal dedicado de solicitações CCPA com prazo de resposta de quarenta e cinco dias corridos, prorrogáveis por mais quarenta e cinco dias em casos complexos. Solicitações que envolvem dados sensíveis são submetidas a verificação de identidade em dois fatores. Toda a equipa que trata dados de residentes da Califórnia recebe treinamento CCPA registado.
Violações da CCPA sujeitam a empresa a multas civis de até dois mil e quinhentos dólares por infração não intencional e até sete mil e quinhentos dólares por infração intencional ou envolvendo menores de dezasseis anos. Em caso de violação de dados, os consumidores têm direito privado de ação com montantes entre cem e setecentos e cinquenta dólares por consumidor por incidente, ou danos reais se maiores.
Texto oficial, Office of the Attorney GeneralAlém da CCPA/CPRA da Califórnia, vários estados americanos promulgaram leis abrangentes de proteção de dados nos últimos anos: Virginia Consumer Data Protection Act (VCDPA, 2023); Colorado Privacy Act (CPA, 2023); Connecticut Data Privacy Act (CTDPA, 2023); Utah Consumer Privacy Act (UCPA, 2023); Texas Data Privacy and Security Act (TDPSA, 2024); e leis adicionais em Oregon, Montana, Iowa, Tennessee, Indiana, Delaware e New Hampshire em vigor entre 2024 e 2026.
A Hierk reconhece e cumpre os direitos comuns garantidos por essas legislações estaduais aos consumidores residentes em cada estado: direito de saber quais dados são coletados; acesso e cópia portátil; correção; eliminação; opt-out de venda, partilha para publicidade direcionada e profiling; e direito de não ser discriminado pelo exercício desses direitos. Tratamentos de dados sensíveis (saúde, biometria, geolocalização precisa, orientação política e religiosa) requerem consentimento explícito.
Solicitações são processadas pelo mesmo canal universal da Hierk dentro de quarenta e cinco dias corridos, prorrogáveis por mais quarenta e cinco em casos complexos, com verificação de identidade. Multas variam por estado: Virginia chega a US$ 7.500 por violação; Colorado e Connecticut podem ultrapassar US$ 20.000; alguns estados oferecem cure period (período de correção) de trinta a sessenta dias antes da aplicação de penalidade.
Tracker oficial, IAPPA Hierk cumpre o PIPEDA, lei federal canadense em vigor desde 2001, aplicável a organizações privadas que coletam, usam ou divulgam informações pessoais no curso de atividades comerciais em qualquer província canadense, exceto Alberta, Columbia Britânica e Quebec, que possuem leis substancialmente similares (PIPA Alberta, PIPA BC e Lei 25 de Quebec) que prevalecem dentro de suas jurisdições.
Os dez princípios fundamentais do PIPEDA, conhecidos como Fair Information Principles, regem todo o tratamento: responsabilização, identificação de finalidades, consentimento, limitação da coleta, limitação do uso/divulgação/retenção, exatidão, salvaguardas, transparência, acesso individual e contestação. Os titulares podem solicitar acesso e correção a qualquer momento, e a Hierk responde em até trinta dias corridos.
Incidentes de segurança que apresentem risco real de prejuízo significativo são reportados ao Office of the Privacy Commissioner of Canada (OPC) e aos titulares afetados. Multas atuais por violações sob o PIPEDA podem chegar a CAD$ 100 mil; o Bill C-27 (Digital Charter Implementation Act, em discussão no Parlamento) prevê novos limites de até CAD$ 25 milhões ou 5% do faturamento global anual.
Texto oficial, OPCA Hierk cumpre a LFPDPPP, em vigor no México desde julho de 2010, regulamentada pelo Reglamento de la LFPDPPP de 2011 e pelos Lineamientos del Aviso de Privacidad de 2013. Aplica-se a qualquer particular (pessoa física ou jurídica) que trate dados pessoais de residentes no México, independentemente de onde a empresa esteja sediada.
Todo tratamento exige Aviso de Privacidad disponibilizado ao titular antes da coleta, em linguagem clara e acessível, com identificação do responsável, finalidades, transferências previstas e mecanismo para exercer os direitos ARCO (Acceso, Rectificación, Cancelación, Oposición). A Hierk responde a solicitações ARCO em até vinte dias úteis, prorrogáveis por mais vinte em casos complexos, conforme o artigo 32 da lei.
O Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) é a autoridade fiscalizadora, com poder para impor multas que variam de cem a trezentos e vinte mil dias de Unidade de Medida e Atualização (UMA), com valor máximo aproximado de MXN$ 34 milhões em 2026. Reincidência ou tratamento de dados sensíveis pode dobrar o valor da multa.
Texto oficial, INAIA Hierk cumpre a Ley 25.326, em vigor desde 2000, complementada pelo Decreto 1558/2001 e pelas resoluções da Agencia de Acceso a la Información Pública (AAIP). É reconhecida pela Comissão Europeia como nível adequado de proteção, permitindo livre fluxo de dados entre UE e Argentina sem instrumentos adicionais.
Os titulares têm direito de acesso, retificação, atualização, supressão e oposição (Habeas Data constitucional, art. 43 da Constituição Argentina). A Hierk responde a solicitações em dez dias corridos para acesso e cinco dias corridos para retificação ou supressão, conforme prazos da lei. Tratamento de dados sensíveis (saúde, religião, raça, opinião política, orientação sexual) exige consentimento expresso por escrito.
A AAIP é a autoridade fiscalizadora, com poder de impor multas administrativas, ordenar cessação do tratamento e bloqueio de dados. Em junho de 2024, foi enviado ao Congresso o Proyecto de Ley de Protección de Datos Personales que substituirá a Ley 25.326 alinhando-se ao GDPR; a Hierk monitora o avanço legislativo e adaptará procedimentos quando promulgada.
Texto oficial, InfoLEGA Hierk cumpre a Ley 19.628 (1999) sobre proteção da vida privada, atualmente em transição para a Ley 21.719 promulgada em dezembro de 2024 e com vigência integral prevista para dezembro de 2026. A nova lei moderniza substancialmente o regime chileno alinhando-o ao GDPR, com criação da Agencia Nacional de Protección de Datos Personales (ANP) como autoridade independente.
Sob a Ley 21.719, os titulares passam a ter direitos ARCOP (Acceso, Rectificación, Cancelación, Oposición e Portabilidade) com prazos de resposta de trinta dias corridos. Bases legais expressas substituem o regime antigo de fonte pública, e tratamento de dados sensíveis e de menores exige consentimento qualificado. A Hierk implementa Avaliação de Impacto à Proteção de Dados em tratamentos de alto risco.
Multas previstas pela Ley 21.719 variam até 4% do faturamento global anual ou aproximadamente UF$ 20 mil (cerca de USD$ 800 mil em 2026), com majoração em caso de violação de dados sensíveis ou reincidência. A ANP poderá impor cessação imediata de tratamento e bloqueio de bases de dados em violações graves.
Texto oficial, BCNA Hierk cumpre a Ley 1581 de 2012, regulamentada pelo Decreto 1377 de 2013, que estabelece o regime geral de proteção de dados pessoais na Colômbia. Aplica-se ao tratamento de dados realizado em território colombiano ou aos titulares colombianos sempre que o responsável seja submetido às leis nacionais por contrato ou tratado.
Todo tratamento exige autorização prévia, expressa e informada do titular, salvo as exceções legais (informação de natureza pública, urgência médica, ordem judicial, finalidade histórica/científica/estatística com anonimização). Os titulares têm direito a conhecer, atualizar, retificar, suprimir e revogar autorização. A Hierk responde a Consultas em dez dias úteis e a Reclamos em quinze dias úteis, prorrogáveis por mais oito em casos justificados.
A Superintendencia de Industria y Comercio (SIC) é a autoridade fiscalizadora, com poder para impor multas de até 2.000 salários-mínimos legais mensais (aproximadamente COP$ 2,8 bilhões em 2026), suspensão temporária ou definitiva de atividades de tratamento, e fechamento das operações em caso de descumprimento reiterado. Bases de dados que tratam dados pessoais em larga escala devem ser registradas no Registro Nacional de Bases de Datos (RNBD) administrado pela SIC.
Texto oficial, SICA Hierk cumpre a Personal Information Protection Law (PIPL), em vigor na China desde novembro de 2021, complementada pela Data Security Law (DSL, 2021) e pela Cybersecurity Law (2017). O conjunto normativo regula todo o ciclo de tratamento de informações pessoais e dados em geral em território chinês, com aplicação extraterritorial quando há oferta de bens ou serviços a residentes ou monitorização de comportamentos.
Os princípios da PIPL alinham-se ao GDPR mas com enfoques próprios: licitude, necessidade, transparência, finalidade específica, minimização, exatidão e segurança. O consentimento é a base legal mais comum e deve ser separado, livre e específico; tratamento de dados sensíveis exige consentimento explícito adicional e Avaliação de Impacto. Transferências internacionais exigem uma das três vias: avaliação de segurança da Cyberspace Administration of China (CAC), certificação por instituição reconhecida ou Cláusulas Padrão Chinesas (China SCC).
A CAC é a autoridade central, complementada por reguladores setoriais. Multas podem chegar a RMB$ 50 milhões ou 5% do faturamento anual (o que for maior), além de suspensão de operações, revogação de licenças e responsabilização individual de executivos com multas pessoais entre RMB$ 100 mil e 1 milhão. Operadores que tratam dados de mais de um milhão de usuários são considerados Critical Information Infrastructure (CII) e enfrentam exigências adicionais de localização.
Texto oficial, Congresso Nacional do PovoA Hierk cumpre a Personal Information Protection Act (개인정보보호법, PIPA), promulgada em 2011 e amplamente reformada em 2020 e em 2023. Aplica-se a qualquer entidade pública ou privada que trate informações pessoais de residentes coreanos, com extraterritorialidade explícita para empresas estrangeiras que ofereçam bens ou serviços ou monitorizem residentes da Coreia.
Os titulares têm direito a serem informados, acessar, corrigir, eliminar e suspender o tratamento, além de portabilidade introduzida pela reforma de 2023. A Hierk responde a solicitações em dez dias úteis. Tratamento de informações pessoais sensíveis (saúde, biometria, opinião política, sindicalização) e de números de identificação exigem consentimento separado e específico. Transferências internacionais requerem consentimento prévio do titular ou base legal específica.
A Personal Information Protection Commission (PIPC) é a autoridade fiscalizadora desde 2020, com poder para impor multas de até 3% do faturamento total relacionado à violação, multas administrativas adicionais até KRW$ 1 bilhão, e responsabilização criminal com penas de até cinco anos de prisão para violações graves. Notificação de incidentes deve ocorrer em até setenta e duas horas à PIPC e aos titulares afetados.
Texto oficial, PIPCA Hierk está em processo de preparação para certificação SOC 2 Type II, padrão internacional desenvolvido pelo American Institute of Certified Public Accountants (AICPA) para auditar controles em organizações que prestam serviços em nuvem ou que processam dados de clientes. Os controles técnicos e organizacionais descritos nesta seção já estão implementados de acordo com a metodologia AICPA.
Uma auditoria SOC 2 Type II avalia a eficácia operacional dos controles ao longo de um período (normalmente de seis a doze meses), diferindo da modalidade Type I que apenas avalia o desenho dos controles numa data específica. A Hierk iniciará a auditoria formal assim que o período mínimo de operação exigido pela norma seja cumprido, contratando firma de contabilidade independente credenciada pela AICPA para o processo.
A auditoria avalia a organização em cinco critérios fundamentais, conhecidos como Trust Services Criteria: Segurança (proteção contra acessos não autorizados a sistemas, dados e rede); Disponibilidade (sistemas acessíveis conforme acordado em SLA); Integridade de Processamento (processamento correto, completo, válido e autorizado); Confidencialidade (informação classificada como confidencial é protegida); e Privacidade (dados pessoais são coletados, usados, mantidos, divulgados e eliminados conforme política).
O processo de auditoria inclui revisão e análise da documentação de políticas e procedimentos, testes técnicos de controles (configurações, logs, acessos), entrevistas com a equipa que opera os controles, amostragem de evidências ao longo do período auditado, e emissão de parecer formal com eventuais exceções identificadas.
Os controles técnicos implementados pela Hierk incluem política de controle de acesso baseada no princípio do menor privilégio, criptografia em trânsito (TLS 1.3) e em repouso (AES-256) em todos os sistemas, monitorização 24/7 de eventos de segurança através de Security Operations Center (SOC) operacional, plano formal de continuidade e recuperação de desastres testado anualmente, gestão de vulnerabilidades com patches aplicados em janelas de manutenção definidas, onboarding e offboarding de colaboradores com revogação imediata de acessos, e retenção de logs de auditoria por pelo menos doze meses.
Texto oficial, AICPAPara exercer qualquer direito previsto nas regulamentações descritas acima, incluindo solicitações de acesso, correção, eliminação, portabilidade, oposição ao tratamento ou revogação de consentimento, ou para qualquer dúvida sobre o tratamento dos seus dados pessoais, entre em contato com o Encarregado de Proteção de Dados (DPO) da Hierk através da Central de Ajuda.
Toda solicitação recebe resposta formal dentro dos prazos legais aplicáveis a cada regulamentação, com verificação prévia de identidade para garantir a proteção dos dados do titular.
Ir para Central de Ajuda