Política de Privacidade da Prometric

Última atualização: setembro de 2023

Informações gerais

A Prometric LLC é uma empresa de responsabilidade limitada do Delaware, EUA, com sede localizada em 1501 South Clinton Street, Baltimore, Maryland 21224 EUA (doravante, “Empresa”, “nós” ou “nos”). A Prometric pode atuar como controladora de dados ou como processadora de dados, dependendo de sua relação com o titular dos dados.

Esta Política de Privacidade (“Política”) foi redigida e implementada de acordo com os princípios estabelecidos neste documento, para descrever nossas práticas em relação à coleta e ao processamento de Dados Pessoais sobre candidatos a testes, clientes, contratantes e parceiros. A Prometric presta atenção especial ao respeito pela privacidade e pelos Dados Pessoais e está comprometida em cumprir esta Política e de acordo com a Legislação Aplicável.

Em particular, a Empresa está comprometida em cumprir todas as leis de proteção de dados onde a empresa opera, incluindo:

  • Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, sobre a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (“GDPR”);
  • A Lei de Privacidade do Consumidor da Califórnia de 2018 (“CCPA”), conforme alterada pela Lei de Direitos de Privacidade da Califórnia de 2020 (“CPPA”);
  • A Lei de Proteção de Informações Pessoais da República Popular da China (“PIPL”);
  • Outras regulamentações relevantes de proteção de dados onde a Empresa opera.

“Legislação Aplicável” refere-se à legislação de proteção de dados do país relevante ou regulamentação aplicável relacionada à proteção de dados.

“Dados Pessoais” significa qualquer informação relacionada a uma pessoa natural identificada ou identificável.

“Tratamento” significa qualquer operação ou conjunto de operações que é realizado sobre Dados Pessoais ou sobre conjuntos de Dados Pessoais, quer por meios automatizados ou não, como coleta, registro, organização, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação por transmissão, disseminação ou de outra forma tornando disponível, alinhamento ou combinação, restrição, eliminação ou destruição.

1. Que tipos de Dados Pessoais coletamos?

A Prometric coleta os seguintes Dados Pessoais dependendo de sua relação com a Empresa e da Legislação Aplicável:

  • Detalhes de contato, incluindo nome, endereço, número de telefone, número de identificação específico do país, endereço de e-mail, informações de login e senha
  • Data de nascimento
  • Gênero
  • Detalhes de agendamento de teste do candidato
  • Detalhes de avaliação do teste, incluindo número de identificação do candidato a teste, exames realizados e quando, pontuações relacionadas a esses exames, quantas vezes um exame ou qualquer seção específica de exames foi realizado
  • Números de Seguro Social, quando exigido pelo patrocinador do teste para candidatos (EUA)
  • Informações de pagamento e instituição financeira
  • Residência e país de cidadania
  • Fotografia
  • Assinatura
  • Gravações em vídeo
  • Gravações de áudio (conforme permitido por lei e apenas em jurisdições específicas)
  • Informações de documentos de identificação, verificação ou elegibilidade
  • Informações de transação e relacionamento, incluindo elementos que revelam padrões de teste do candidato, locais de teste, resultados de teste e informações sobre como os sites e aplicativos da Prometric são usados.

Além disso, a Prometric pode processar categorias especiais de Dados Pessoais, conforme permitido pela Legislação Aplicável, que podem incluir:

  • Biometria (imagens e modelos de digitais, imagens e modelos faciais)
  • Informações de saúde ou dados médicos relacionados a solicitações de acomodações de teste dos candidatos
  • Raça ou etnia, conforme permitido pela Legislação Aplicável

2. Como coletamos seus Dados Pessoais?

Na maioria dos casos, a Prometric coleta esses Dados Pessoais diretamente do indivíduo titular dos dados.

No entanto, em outros casos, podemos receber informações de patrocinadores de testes ou de fornecedores de dados de terceiros para nos ajudar a entender melhor nossos clientes. Quando um candidato visita o site da Prometric, registra-se ou faz um exame, usa nossos aplicativos ou nos contata, também coletamos informações de transação para fins de atendimento ao cliente.

Todos os Dados Pessoais coletados pela Prometric por meio de nossos aplicativos móveis são protegidos e processados de acordo com os termos desta Política. Também oferecemos notificações automáticas ("push") apenas para aqueles que optarem por receber tais notificações de nós. Nenhum indivíduo é obrigado a fornecer informações de localização à Prometric ou a habilitar notificações push para usar qualquer um de nossos aplicativos móveis.

Coleta de Dados Biométricos

O Sistema de Check-In Habilitado para Biometria e a plataforma de monitoramento remoto da Prometric (conhecida como ProProctor) foram projetados para melhorar a segurança e a integridade do processo de teste de uma forma que proteja a privacidade do candidato a teste, enquanto confirma a identidade do candidato a teste. Essas tecnologias são usadas para fins de verificação de identidade, para detectar e prevenir fraudes e representações enganosas, para manter a integridade do processo de teste e melhorar a segurança dos centros de teste e exames monitorados remotamente.

3. Por que coletamos seus Dados Pessoais?

Em nome de nossos patrocinadores de testes, a Prometric coleta seus Dados Pessoais para os seguintes fins:

  • Agendamento de exames de teste
  • Verificação de identidade
  • Administração de testes e pagamentos
  • Gerenciamento de solicitações de atendimento ao cliente
  • Detecção e prevenção de fraudes e representações enganosas por candidatos não autorizados
  • Realização de análises de dados para manter a integridade do processo de teste
  • Relatar resultados de testes ao candidato e ao patrocinador do teste
  • Realização de atividades de marketing, sujeitas à Legislação Aplicável

Para fornecedores e outros terceiros, a Prometric coleta seus Dados Pessoais para os seguintes fins:

  • Gestão e administração de fornecedores
  • Processamento de faturas
  • Diligência devida do fornecedor e outros requisitos legais

4. Quais são as bases legais para o processamento de seus Dados Pessoais?

Os Dados Pessoais são geralmente coletados e processados de acordo com as seguintes bases legais:

  • Seu consentimento para a coleta e processamento de categorias especiais de Dados Pessoais.
  • Seu consentimento, se exigido pela Legislação Aplicável, para transferências de dados transfronteiriças.
  • A execução de um contrato que inclui registro e agendamento para um teste, administração desse teste, prevenção de fraudes e processamento dos resultados.
  • Para fins comerciais legítimos, como processamento de faturas e gerenciamento de contas financeiras, propósitos de backup para facilitar a continuidade dos negócios, gerenciamento de centros de teste, planejamento de negócios, gerenciamento de contratos, melhoria dos serviços de teste fornecidos a nossos clientes, proposta de serviços e produtos relacionados a candidatos a testes existentes, administração de sites, cumprimento, análises, segurança e prevenção de fraudes, governança corporativa, planejamento de recuperação de desastres, auditoria e relatórios.
  • Conformidade com quaisquer obrigações legais ou regulatórias.

5. Divulgação de Dados Pessoais

Os Dados Pessoais podem ser compartilhados com outras afiliadas da Empresa, agências governamentais ou terceiros por razões comerciais legítimas relacionadas aos serviços prestados ou conforme permitido ou exigido pela Legislação Aplicável.

A Empresa pode compartilhar Dados Pessoais:

  • Dentro de nosso grupo, como subsidiárias
  • Com nossas afiliadas e centros de teste autorizados
  • Com parceiros de negócios, como patrocinadores de testes e prestadores de serviços, para facilitar solicitações e melhorar nossos serviços
  • Com autoridades governamentais e públicas quando necessário ou exigido pela autoridade

Dados biométricos podem ser divulgados a um terceiro apenas:

  • Para uma investigação relacionada a alegadas condutas inadequadas, unicamente para fins de investigação de fraude, testes não autorizados ou outras condutas inadequadas de candidatos a testes.
  • Em relação a solicitações legais de agências regulatórias, legais ou governamentais com jurisdição e/ou autoridade para fazer tais solicitações.

Executamos contratos conforme exigido pela Legislação Aplicável com nossos terceiros para garantir que os Dados Pessoais sejam processados em conformidade com esta Política e quaisquer outras medidas adequadas de confidencialidade e segurança.

6. Como armazenamos seus Dados Pessoais?

Dependendo da natureza de sua relação com a Prometric e conforme a Legislação Aplicável, armazenamos seus Dados Pessoais em nossa infraestrutura segura de nuvem Oracle com servidores localizados em Ashburn, Virgínia, Estados Unidos.

A Prometric segue um Programa abrangente de Gestão de Registros e cronograma de retenção relacionado ao qual se adere para os fins de retenção, armazenamento e destruição de todos os registros criados no curso de seus negócios, incluindo aqueles que contêm Dados Pessoais. Também implementamos uma estratégia de Gerenciamento de Dados que segregrega dados com base em servidores de dados localizados regionalmente.

Sujeito à Legislação Aplicável, nossa Empresa manterá seus Dados Pessoais durante o período de processamento, pelo menor período de:

  • cinco (5) anos a partir da data do último serviço, teste ou avaliação; ou
  • a expiração do propósito para o qual os Dados Pessoais foram coletados; ou
  • as leis da jurisdição aplicável onde os Dados Pessoais foram coletados.

A Prometric não manterá Dados Pessoais por mais tempo do que o necessário para os fins acima mencionados. No entanto, a Prometric pode reter Dados Pessoais por mais tempo, se necessário, para cumprir a Legislação Aplicável ou se necessário para proteger ou exercer seus direitos.

Armazenamento de Dados Biométricos

Todos os dados biométricos coletados em centros de teste baseados em computador são transferidos de forma segura e armazenados de forma segura no centro de dados seguro da Prometric na União Europeia e são retidos de acordo com a Legislação Aplicável na jurisdição onde foram coletados. Os dados biométricos são armazenados e protegidos no Microsoft Azure por um período de trinta (30) dias.

7. Transferências de Dados Pessoais

Em alguns casos, o uso de terceiros pode envolver a transferência de Dados Pessoais para outros países. Nossos processos de negócios frequentemente exigem a transferência de Dados Pessoais entre a Empresa e suas entidades afiliadas internacionalmente.

Se os Dados Pessoais forem processados dentro da UE/EEE, e no caso de os Dados Pessoais serem divulgados a terceiros ou em um país não considerado como fornecendo um nível suficiente de proteção de acordo com a Legislação Aplicável, a Empresa garantirá:

  • A implementação de cláusulas contratuais padrão que possam ser aprovadas pela Comissão da UE;
  • A adoção de salvaguardas organizacionais, técnicas e legais apropriadas para reger a referida transferência e garantir o nível necessário e adequado de proteção sob a Legislação Aplicável.
  • Se necessário, avaliará as circunstâncias da transferência e a legislação do terceiro país e, se requerido, completará uma avaliação de impacto da transferência de dados para determinar se medidas suplementares são necessárias.

Para Dados Pessoais não processados dentro da UE/EEE, e no caso de os Dados Pessoais serem divulgados a terceiros localizados fora da jurisdição do titular dos dados, a Empresa garantirá que as salvaguardas necessárias estão em vigor para proteger os Dados Pessoais, implementando mecanismos legais apropriados, incluindo, conforme relevante, cláusulas contratuais padrão e/ou obtendo o consentimento apropriado dos titulares dos dados. Esses mecanismos podem diferir dependendo do país e da Legislação Aplicável relevante.

8. Quais são seus direitos?

Dependendo da jurisdição e da Legislação Aplicável, você pode ter os seguintes direitos relacionados aos seus Dados Pessoais:

  • Direito de acesso
  • Direito de retificação
  • Direito de eliminação
  • Direito de restringir o processamento
  • Direito de objeção ao processamento
  • Direito à portabilidade de dados
  • Direito de decidir como seus Dados Pessoais são usados postumamente

O exercício de tais direitos está sujeito a limitações previstas pela Legislação Aplicável e orientações relevantes das Autoridades Supervisórias.

Para exercer seus direitos, o titular dos dados pode contatar a Empresa conforme descrito na seção “Como nos contatar.” Podemos solicitar prova de identidade para responder ao pedido. Se não pudermos atender ao seu pedido (recusa ou limitação), justificaremos nossa decisão por escrito.

Direitos de Privacidade da Califórnia

A Seção 1798 do Código Civil da Califórnia permite que residentes da Califórnia solicitem às empresas com as quais têm um relacionamento comercial estabelecido que forneçam certas informações sobre o compartilhamento de Dados Pessoais das empresas com terceiros para fins de marketing direto. A Prometric não compartilha nenhum Dado Pessoal de consumidores da Califórnia com terceiros para fins de marketing sem consentimento. Se você for um candidato a teste, a Prometric fornecerá seus Dados Pessoais ao seu patrocinador de teste, que pode usar as informações de acordo com suas próprias políticas de privacidade.

9. Como protegemos seus Dados Pessoais?

A Prometric implementa uma variedade de medidas de segurança, como salvaguardas técnicas, físicas e administrativas, para proteger todos os Dados Pessoais de incidentes de segurança ou divulgação não autorizada e, de forma mais geral, de uma Violação de Dados Pessoais. Essas medidas de segurança são reconhecidas como padrões de segurança apropriados na indústria e incluem, entre outros, controles de acesso, senhas, criptografia, limites de tempo rigorosos para eliminação, mecanismos de registro e avaliações regulares de segurança.

No caso de uma Violação de Dados Pessoais que potencialmente impacte seus dados pessoais, a Prometric segue seu Plano de Resposta a Incidentes e tomará prontamente as medidas apropriadas para mitigar os riscos aos titulares dos dados. Tais medidas podem incluir notificar a Autoridade Supervisória apropriada e os titulares de dados impactados, fornecendo os detalhes relevantes do incidente e medidas de mitigação conforme possa ser exigido pela Legislação Aplicável (ou seja, GDPR ou PIPL).

O Programa de Segurança da Informação da Prometric é revisado várias vezes ao ano por várias organizações terceirizadas para garantir que atenda ou exceda os mais altos padrões disponíveis para segurança e privacidade e proteção de dados. Além disso, funcionários e contratados são obrigados a relatar prontamente qualquer instância conhecida ou suspeita de uso indevido, perda ou acesso não autorizado.

10. Processamento de Dados Pessoais sob a Lei de Proteção de Informações Pessoais da República Popular da China (‘PIPL’)

Esta seção se aplica quando os Dados Pessoais estão localizados dentro das fronteiras da República Popular da China (RPC) ou quando os Dados Pessoais são processados por uma de nossas empresas localizadas na RPC.

De acordo com o Artigo 13 da PIPL, os Dados Pessoais podem ser coletados para os seguintes fins:

  • Com base no consentimento do indivíduo;
  • Para a execução de contratos, para interesses comerciais legítimos;
  • Para cumprir deveres e responsabilidades estatutárias ou obrigações legais;
  • Para processar dados publicamente disponíveis;
  • Para atender a requisitos legais.

Seguindo os requisitos estabelecidos no Artigo 23 da PIPL e o conteúdo mencionado na Seção 4, a transferência e compartilhamento de seus Dados Pessoais com um terceiro não será realizada sem (1) seu consentimento específico, se aplicável, ou (2) para cumprir os deveres estatutários sob a Legislação Aplicável.

Com base nos propósitos prescritos nesta Política, os Dados Pessoais podem ser transferidos para um país ou região fora de sua residência para Processamento. Nesse momento, a Empresa protegerá a segurança dos Dados Pessoais de acordo com a Legislação Aplicável, incluindo, mas não se limitando a, implementar controles de acesso, senhas, padrões de criptografia, limites de tempo rigorosos para períodos de retenção, mecanismos de registro e avaliações regulares de segurança.

A Empresa informará plenamente você sobre a transferência de dados transfronteiriça de acordo com o Artigo 39 da PIPL antes de transferir seus Dados Pessoais para fora da RPC e obterá seu consentimento, informando-o sobre o seguinte: o nome do receptor externo, as informações de contato, o propósito do Processamento, o método de Processamento, o tipo de Dados Pessoais e lembrá-lo dos métodos e procedimentos pelos quais você pode exercer seus direitos sob a PIPL. Solicitaremos seu consentimento explícito e separado para fazer isso.

Conforme necessário, a Empresa realizará uma avaliação de risco de transferência de dados transfronteiriça de acordo com a Legislação Aplicável se os Dados Pessoais forem transferidos para fora da RPC.

Sob a PIPL, Dados Pessoais Sensíveis são definidos como Dados Pessoais que, uma vez vazados ou usados ilegalmente, podem facilmente causar danos à dignidade das pessoas naturais, graves danos à segurança pessoal ou patrimonial, incluindo informações sobre características biométricas, crenças religiosas, status especialmente designado, saúde médica, contas financeiras, rastreamento de localização individual, etc., bem como os Dados Pessoais de menores de 14 anos.

De acordo com a PIPL e conforme detalhado na Seção 2, o processamento de Dados Pessoais Sensíveis está sujeito ao consentimento separado do indivíduo e é realizado para um propósito comercial específico.

A Prometric não coletará Dados Pessoais de menores de 14 anos sem o consentimento separado dos pais ou de outro responsável. Usaremos ou divulgaremos Dados Pessoais sobre uma criança apenas na medida permitida por lei, de acordo com as leis e regulamentos aplicáveis, para buscar o consentimento dos pais ou para proteger uma criança.

No caso de uma Violação de Dados Pessoais, a Prometric será responsável civilmente perante o titular dos dados se infringir os direitos dos Dados Pessoais do titular, sem prejuízo das responsabilidades administrativas, criminais ou outras que devem ser assumidas pelo Controlador de Dados sob a PIPL.

11. Alterações na Política de Privacidade

A Empresa pode precisar atualizar sua Política para cumprir novas ou diferentes práticas de privacidade. Uma versão atualizada desta política será disponibilizada por meio de um canal apropriado e se aplicará aos dados coletados após sua data de entrada em vigor.

12. Como nos contatar

Para qualquer consulta, comentário ou preocupação sobre esta Política, ou para exercer os direitos de privacidade permitidos pela Legislação Aplicável relacionados aos Dados Pessoais, entre em contato com nosso Encarregado de Proteção de Dados no seguinte endereço: joseph.srouji@contractor.prometric.com

Você também pode enviar um pedido relacionado aos seus dados pessoais clicando no seguinte link e completando todos os campos obrigatórios no formulário: Solicitações de Dados Pessoais

Você também pode nos contatar por correio em:

Gerente do Programa de Privacidade da Prometric
Prometric LLC, 1501 South Clinton Street
Baltimore, Maryland 21224 EUA

Após esgotar o processo de reclamação interno da Prometric, se um candidato a exame não estiver satisfeito com a resolução, ele ou ela pode apresentar uma reclamação ao Better Business Bureau de Greater Maryland (“BBB”), um provedor de resolução alternativa de disputas baseado nos Estados Unidos.

Site do BBB: http://www.bbb.org/greater-maryland/

Telefone do BBB: 410-347-3990

Fax do BBB: 410-347-3936

Os titulares de dados também têm o direito de apresentar uma reclamação diretamente à Autoridade Supervisória competente em sua jurisdição relevante ou podem tomar medidas legais conforme a Legislação Aplicável.