Política de Privacidade e proteção de dados
1. OBJETIVO
A presente Política de Privacidade e Proteção de Dados Pessoais (“Política”) tem como objetivo apresentar as regras aplicáveis para o Tratamento de Dados Pessoais, em atenção às disposições da Lei Geral de Proteção de Dados Pessoais (“LGPD”), nº 13.709, bem como estruturar as diretrizes para prosseguimento do programa de privacidade que garanta a conformidade com a referida legislação.
A CREDIFY SERVIÇO E SOLUÇÕES LTDA exerce o papel de controlador dos dados pessoais.
Esta Política trás diretrizes para o Armazenamento, Uso e Tratamento dos dados do Usuário. Neste sentido, a CREDIFY compromete-se com os fundamentos da proteção dos dados pessoais:
(a) Respeito à privacidade;
(b) Autodeterminação informativa;
(c) Liberdade de expressão, de informação, de comunicação e de opinião;
(d) Inviolabilidade da intimidade, da honra e da imagem;
(e) Desenvolvimento econômico e tecnológico;
(f) Inovação;
(g) Livre iniciativa, livre concorrência e defesa do consumidor; e
(h) Direitos humanos, livre desenvolvimento da personalidade, dignidade e exercício da cidadania pelas pessoas naturais.
O tratamento dos dados pessoais é realizado em território nacional, podendo ocorrer em território internacional, e tem por objetivo a oferta e o fornecimento de bens e serviços, além de outras finalidades previstas nesta Política.
2. ABRANGÊNCIA
Esta Política é de conhecimento obrigatório e deve ser seguida por toda Diretoria Executiva, Conselho de Administração, membros dos Comitês de assessoramento instalados, colaboradores e, todos os demais parceiros de negócio e prestadores de serviços, bem como respectivos administradores, colaboradores e prepostos a eles vinculados.
3. DEFINIÇÕES
Agentes de Tratamento: controlador e operador;
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo;
Autoridade Nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
Banco de Dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;
Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável;
Dado Pessoal Sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Dado Anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
Data Protection Officer (DPO) / Encarregado: é encarregado de cuidar das questões referentes à proteção dos dados da organização e de seus clientes, auxiliando a empresa a adaptar seus processos para estruturar um programa de Compliance com foco em maior segurança das informações que estão sob a sua tutela;
Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
Exportador: agente de tratamento que transfere os dados pessoais para o importador (engloba as figuras do controlador e operador);
Importador: agente de tratamento, localizado em país estrangeiro ou organismo internacional, que recebe os dados pessoais transferidos pelo exportador;
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
Relatório de Impacto à Proteção dos Dados Pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
Titular/Usuário: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
Transferência Internacional de Dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro;
Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
Uso Compartilhado dos Dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados.
4. DIRETRIZES
Toda atividade de Tratamento de Dados Pessoais dar-se-á de acordo com os princípios norteadores para a proteção de Dados Pessoais e pelas diretrizes adotadas pela CREDIFY baseados nos preceitos da legislação vigente.
Neste sentido, a CREDIFY adotará Programa de Privacidade, incluindo as Políticas, Manuais, Governança e Treinamentos, mediante a adoção dos seguintes padrões:
(a) Todas as operações de Tratamento serão pautadas em boas intenções, na moral e bons costumes aceitos pela sociedade;
(b) O Tratamento de Dados Pessoais se limitará aos propósitos legítimos, específicos, explícitos e informados ao Titular, e somente deve ocorrer de formas e por meios compatíveis com estas finalidades;
(c) Serão adotadas medidas para prevenir a ocorrência de danos em virtude do Tratamento de Dados Pessoais, por meio da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais;
(d) A coleta e utilização de Dados Pessoais será limitada ao mínimo necessário para o cumprimento das finalidades pretendidas e expostas ao Titular, as informações serão tratadas e armazenadas pelo tempo e finalidade previstos nas bases legais;
(e) Será garantido ao Titular dos Dados Pessoais a consulta facilitada e gratuita quanto à forma e duração da atividade de Tratamento e, mediante requisição, a integralidade dos Dados Pessoais tratados, sendo assegurada a exatidão, clareza e relevância destas informações, bem como sua atualização/correção; e
(f) Serão garantidas informações claras, precisas e facilmente acessíveis sobre a atividade de Tratamento e os respectivos agentes envolvidos, bem como demais fatores de relevância, observados os segredos comercial e industrial.
5. DADOS
5.1. Obtenção dos Dados
Desde a primeira interação com a CREDIFY, o Usuário fornecerá alguns dados pessoais necessários para o desenvolvimento dos serviços prestados.
A CREDIFY poderá solicitar ao Usuário o fornecimento de dados pessoais para a participação em pesquisas, promoções ou qualquer outra interação de caráter publicitário. O Usuário estará ciente sobre essa finalidade, podendo concordar com o tratamento ou não.
É possível que os dados sejam coletados com terceiros, através de banco de dados públicos e privados e parceiros comerciais, resguardados os preceitos legais.
5.2. Dados Coletados
Cada operação realizada no ambiente da CREDIFY exige o fornecimento de determinados dados para que o serviço possa ser prestado. Neste sentido, são coletados os seguintes dados:
(a) Certificado Digital: e-mail, nome completo, DDD, número de celular e CPF ou CNPJ do USUÁRIO;
(b) Consulta Score: nome completo, e-mail, DDD e número de celular do USUÁRIO; e CPF ou CNPJ do consultado;
(c) Débitos Veiculares: nome completo, e-mail, DDD, número de celular do USUÁRIO; Estado de registro do veículo, placa, Renavam; e CPF ou CNPJ do proprietário;
(d) Recarga de Celular: operadora, DDD, número de celular, valor e e-mail (apenas nos casos em que o USUÁRIO desejar que o comprovante de recarga seja enviado ao seu e-mail); e
(e) Pagamento de Boleto: código de pagamento, período de apuração e código da receita.
5.3. Bases Legais
Em atendimento à diretrizes da Lei 13.709/2018, a CREDIFY poderá realizar o tratamento dos dados dos Usuários somente nas seguintes hipóteses:
(a) Consentimento do titular/usuário;
(b) Cumprimento de obrigação legal ou regulatória;
(c) Execução de contrato ou de procedimentos preliminares relacionados ao contrato (dos quais o usuário seja parte), a pedido do usuário;
(d) Exercício regular do direito em processos judiciais, administrativos ou arbitrais;
(e) Legítimo Interesse; e
(f) Proteção do crédito.
O consentimento do usuário poderá ser retirado, a qualquer momento, mediante solicitação pelos canais de atendimento da CREDIFY e, uma vez solicitado, dar-se-á início ao processo de exclusão dos dados em tempo hábil, ressalvadas as hipóteses de guarda obrigatória dos registros.
5.4. Finalidade
A CREDIFY realiza o tratamento de dados pessoais, fornecidos ou coletados, de acordo com a finalidade previamente informada ao Usuário.
Finalidades:
(a) Prestação dos serviços e oferecimento dos produtos contratados;
(b) Identificação, autenticação e verificação dos requisitos para contratação dos serviços e produtos;
(c) Autenticação e idoneidade das transações financeiras;
(d) Para o atendimento de chamados, como suporte técnico, dúvidas, reclamações e apuração de denúncias;
(e) Para o contato e envio de comunicações em geral, incluindo a oferta de promoções e produtos, através de e-mail, telefone, WhatsApp, SMS e outros;
(f) Prevenção e resolução de problemas técnicos e de segurança, incluindo investigações e cumprimento de determinações legais e regulatórias;
(g) Exercício regular de direitos;
(h) Colaboração ou cumprimento de ordens judiciais, de órgão fiscalizador ou outra autoridade competente;
(i) Prevenção à fraude e garantia de segurança nos processos de identificação e autenticação; e
(j) Geração de estatísticas, estudos, pesquisas e levantamentos pertinentes às atividades desenvolvidas.
A CREDIFY também poderá tratar os dados pessoais cadastrados para fins internos, como a realização de auditorias, verificação de dados e pesquisas para aperfeiçoamento dos serviços e produtos prestados.
Sempre que houver alteração na finalidade de tratamento, o Usuário será informado e, discordando, poderá solicitar o encerramento do relacionamento.
5.5. Armazenamento de Dados
Os Dados dos Titulares coletados durante o processo de cadastro e utilização das funções disponibilizadas são armazenados no banco de dados das plataformas digitais e em serviços de nuvem confiáveis.
Os dados inseridos no Totem da CREDIFY permanecem armazenados pelo período de 24h, após a sua inserção. Após este prazo, os dados serão eliminados do Totem, permanecendo armazenados no serviço de nuvem fornecido pela AWS pelo período necessário para cumprimento de obrigações legais e regulatórias.
5.6. Compartilhamento de Dados
As finalidades previstas nesta Política podem justificar o compartilhamento dos dados sob controle da CREDIFY, seja com terceiros, parceiros de negócio e com autoridades e órgãos reguladores, quando necessário. Além disso, a CREDIFY também promoverá o compartilhamento dos dados do USUÁRIO nos casos em que ele solicite.
Para a prestação dos serviços, a CREDIFY poderá compartilhar dados com os seguintes fornecedores:
(a) Codepay Meios de Pagamento LTDA;
(b) Nimble Soluções em Banking e Meios de Pagamento LTDA;
(c) Serasa S.A.;
(d) Banco Rendimento;
(e) Celcoin Instituição de Pagamento S.A.;
(f) Detran; e
(g) Tecnosign Certificados Digitais.
O compartilhamento de dados, sempre que efetuado, será realizado dentro dos limites, objetivos e hipóteses autorizadas pela legislação em vigor.
5.7. Transferência Internacional de Dados
De acordo com a Resolução CD/ANPD nº 19/2024, a transferência internacional de dados será realizada em conformidade com a LGPD, observadas as seguintes diretrizes:
(a) Garantia de cumprimento dos princípios, direitos do titular e nível de proteção equivalente ao previsto na legislação nacional;
(b) Adoção de procedimentos simples, preferencialmente interoperáveis, e compatíveis com as normas e boas práticas internacionais;
(c) Promoção do livre fluxo transfronteiriço de dados com confiança e do desenvolvimento social, econômico e tecnológico, com observância aos direitos dos titulares;
(d) Responsabilização e prestação de contas;
(e) Implementação de medidas efetivas de transparência, que assegurem o fornecimento aos titulares de informações claras, precisas e facilmente acessíveis; e
(f) Adoção de boas práticas e de medidas de prevenção e segurança apropriadas e compatíveis com a natureza dos dados, finalidade e riscos.
5.8. Término do Tratamento de Dados
A CREDIFY encerrará o tratamento dos dados pessoais dos usuários sempre que houver o encerramento da atividade prestada ou serviço oferecido e, também:
(i) quando for verificado que a finalidade foi alcançada;
(ii) quando os dados deixarem de ser necessários ou pertinentes; ou
(iii) por determinação de autoridade nacional.
Após o término do tratamento, os dados pessoais serão eliminados.
Excepcionalmente, a CREDIFY conservará os dados para cumprimento de obrigação legal ou regulatória, transferência para terceiros ou uso exclusivo.
6. INCIDENTES DE SEGURANÇA
De acordo com a Autoridade Nacional de Proteção de Dados (ANPD), incidente de segurança é definido como um evento adverso que compromete a confidencialidade, integridade, disponibilidade e autenticidade da segurança de dados pessoais. Este incidente pode decorrer de ações voluntárias ou acidentais que resultam na:
(a) Divulgação de dados pessoais;
(b) Difusão de dados pessoais;
(c) Alteração de dados pessoais;
(d) Perdas indevidas de dados pessoais; e
(e) Acesso não autorizado a dados pessoais.
Neste sentido, os incidentes de segurança de dados pessoais devem ser comunicados pelo controlador à ANPD e aos titulares dos dados se puderem acarretar risco ou dano relevante aos titulares.
7. DISPOSIÇÕES GERAIS
Esta Política foi aprovada pelos administradores da CREDIFY e tem vigência a partir da data de sua aprovação, vigorando por prazo indeterminado e sendo revisada sempre que necessário.
8. HISTÓRICO DE REVISÕES
Todas as alterações neste Manual devem ser apresentadas na tabela abaixo com as informações de versão, data de revisão e histórico de alterações.
VERSÃO | DATA DE REVISÃO | HISTÓRICO |
|---|---|---|
1.0 | 07/04/2025 | Elaboração do Documento (responsável: Lilian Amaro Sammarone) |
2.0 | 26/05/2025 | Inclusão dos dados coletados de acordo com o produto utilizado e Inclusão dos fornecedores com os quais os dados são compartilhados (responsável: Lilian Amaro Sammarone) |