Introdução
1. Escopo e Definições
2. Natureza dos Dados Pessoais Coletados e as Finalidades do Tratamento
3. Direitos dos Titulares dos Dados Pessoais
4. Da Segurança da Informação
Introdução
Esta Política de Coleta e Tratamento de Dados Pessoais (“Política de Privacidade”) apresenta normas e procedimentos de observância obrigatória aos dirigentes, servidores públicos, sócios e empregados de empresas, prestadoras de serviços ou não (“Ente da ICP-Br”), que coletem ou tratem dados pessoais no exercício de atribuições no âmbito da Infraestrutura de Chaves Pública Brasileira (“ICP-Brasil” ou “ICP-Br”).
As disposições aqui contidas estabelecem padrões de conduta e transparência e vinculam todas as pessoas, naturais ou jurídicas, que coletam ou tratam dados pessoais controlados ou operados por Ente da ICP-Br.
Esta Política de Privacidade deve ser observada à luz da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (“LGPD”).
No que for aplicável e pertinente, observará também os princípios gerais e normas da Medida Provisória nº 2.200-2, de 24 de agosto de 2001, que institui a Infraestrutura de Chaves PúblicasBrasileira – ICP-Brasil, da Lei nº 12.965, de 23 de abril de 2014, Marco Civil da Internet (“MCI”), do Decreto-Lei nº 5.452, de 1º de maio de 1943, Consolidação das Leis do Trabalho (“CLT”), de regramentos trabalhistas e previdenciários aplicáveis, da Lei nº 5.172, de 25 de outubro de 1966, Código Tributário Nacional (“CTN”), de regramentos fiscais e tributários aplicáveis, da Lei nº 14.063, de 23 de setembro de 2020, do Decreto nº 8.985, de 08 de fevereiro de 2017, e do Decreto nº 10.543, de 13 de novembro de 2020.
As normas aqui contidas devem, igualmente, ser observadas em consonância com os objetivos sociais de cada Ente da ICP Brasil.
Os Entes da ICP-Brasil somente tratam dados pessoais para a consecução de propósitos legítimos, específicos e informados ao titular, nos termos da presente Política de Privacidade.
Cada Ente, no âmbito de sua função desempenhada na ICP-Brasil, preza pela compatibilidade do tratamento com as finalidades informadas e coleta o mínimo necessário para a consecução de seus
fins sociais.
Os Entes da ICP-Brasil não realizam tratamento de dados pessoais para fins discriminatórios, ilícitos
ou abusivos.
Cada Ente da ICP-Brasil envidará seus melhores esforços na busca pela transparência no seu relacionamento com os titulares de dados pessoais que estejam sob seu controle, buscando prestar informações claras, precisas e acessíveis aos titulares.
Os Entes da ICP-Brasil adotam medidas técnicas e administrativas preventivas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas, de modo a evitar danos decorrentes do tratamento de dados pessoais.
Esta Política de Privacidade é composta de quatro seções:
1) Escopo e Definições; 2) Natureza dos Dados Pessoais coletados e as Finalidades do Tratamento; 3) Direitos dos Titulares dos Dados Pessoais; e 4) Segurança da Informação.
1. Escopo e Definições
1.1. Dado Pessoal: toda a informação relacionada a pessoa natural identificada ou identificável, e que seja objeto de coleta ou atividade de tratamento por Ente da ICP-Brasil ou por entidade ou pessoa que o faça sob suas orientações expressas.
1.2. Titular de Dado Pessoal: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento por Ente da ICP-Brasil.
1.3. Titulares de Interesse: são titulares de dados pessoais cujo tratamento é realizado por Ente da ICP-Brasil e que podem pertencer a pelo menos um dos seguintes perfis:
1.3.1. Pessoa natural titular ou potencial titular de certificado digital;
1.3.2. Representante legal de Ente da ICP-Brasil;
1.3.3. Servidor público;
1.3.4. Empregado ou potencial empregado de Ente da ICP-Brasil;
1.3.5. Pessoa natural que desempenhe ou que tenha potencial de desempenhar funções na ICP-Brasil; e
1.3.6. Pessoa natural usuária da ICP-Brasil.
1.4. Ente da ICP-Brasil: toda pessoa natural ou pessoa jurídica, de direito público ou privado, que desempenhe, no todo ou em parte, diretamente ou por pessoa natural ou jurídica interposta, as Funções de Ente da ICP-Brasil, conforme previsão contida na Medida Provisória nº 2.200- 2, de 24 de agosto de 2001, e nesta Política de Privacidade. São entes da ICP-Brasil, dentre outros:
1.4.1. O Comitê Gestor da ICP-Brasil;
1.4.2. O Instituto Nacional de Tecnologia da Informação – ITI;
1.4.3. As Autoridades Certificadoras, públicas ou privadas;
1.4.4. As Autoridades de Registro, públicas ou privadas;
1.4.5. Os Agentes de Registro;
1.4.6. Os Prestadores de Serviços de Suporte e Auditorias;
1.4.7. Os Prestadores de Serviços Biométricos; e
1.4.8. A Autoridade de Carimbo do Tempo.
1.5. Funções de Entes da ICP-Brasil: as finalidades e atividades desempenhadas para o atingimento dos propósitos da ICP-Brasil, na forma do que define a Medida Provisória nº 2.200-2, de 24 de agosto de 2001, e desta Política de Privacidade.
1.6. Controlador: todo Ente da ICP-Brasil que detenha a competência, normativa ou factual, isoladamente ou em conjunto com outra pessoa natural ou jurídica, a respeito das decisões sobre o tratamento de dados pessoais para a persecução dos propósitos e das funções da ICP-Brasil.
1.7. Operador: toda pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome de Ente da ICP-Brasil.
1.8. Encarregado de Dados Pessoais: pessoa indicada por Ente da ICP-Brasil para atuar como canal de comunicação entre o Ente, os titulares dos dados pessoais e a Autoridade Nacional de Proteção de Dados (“ANPD”).
1.9. Tratamento de Dados Pessoais: toda operação realizada com dados pessoais, como as que se refere a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
1.10. Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada; e
1.11. Dado Pessoal Sensível: dado pessoa sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
2. Natureza dos Dados Pessoais Coletados e as Finalidades do Tratamento
2.1. Nos termos desta Política de Privacidade e na forma prevista na legislação e normas aplicáveis, os Entes da ICP-Brasil realizam a coleta e o tratamento de dados pessoais dos Titulares de Interesse como parte das iniciativas de viabilização e atingimento dos propósitos da ICP-Brasil.
2.2. Os Entes da ICP-Brasil coletarão dados pessoais sensíveis mediante termo de consentimento específico, firmado com o Titular de Interesse, no qual constará, dentre outras informações, as finalidades para as quais o dado será coletado e tratado, ou, alternativamente, mediante as hipóteses autorizantes de tratamento de dados pessoais sensíveis previstas no artigo 11 da LGPD.
2.3. Na hipótese em que o Titular de Interesse seja criança, os Entes da ICP-Brasil somente realizarão o tratamento de seus dados pessoais mediante consentimento específico e em destaque fornecido por pelo menos um dos pais ou pelo responsável legal, observando o melhor interesse do Titular, ressalvada a prerrogativa estabelecida pelo § 3º do art. 14 da LGPD.
2.4. Os Entes da ICP-Brasil desempenham o tratamento de dados pessoais para o atingimento das
seguintes finalidades:
2.4.1. Em relação à Autoridade Certificadora Raiz (AC-Raiz): Apoiar os demais Entes da ICPBrasil da emissão e gestão do certificado digital para pessoa física ou jurídica, desempenhando as seguintes atividades:
a) Emitir, expedir, distribuir, revogar e gerenciar certificados digitais, controlando e gerenciando o ciclo de vida do certificado;
b) Colocar à disposição de usuários da ICP-Brasil listas de certificados revogados, com o objetivo de evitar fraudes e garantir a disponibilidade da informação; e
c) Manter os titulares de certificados digitais e outros usuários da ICP-Brasil informados, custodiando registros e provendo informações sobre emissão, revogação e vencimento de certificado, na forma de regulamento.
2.4.2. Em relação à Autoridade Certificadora (AC): Emissão e gestão do ciclo de vida do certificado digital para pessoa física, jurídica ou outro, desempenhando as seguintes atividades:
a) Autenticar a identidade de pessoa natural ou representante legal;
b) Emitir, expedir, distribuir, revogar e gerenciar certificados digitais, controlando e gerenciando o ciclo de vida do certificado, emitindo documentos acessórios, a exemplo de notas fiscais, e efetuando o compartilhamento periódico de certificados e dados pessoais com outros Entes da ICP-Brasil, na forma de regulamento;
c) Colocar à disposição do Titular de Interesse e de outros usuários da ICP-Brasil listas de certificados revogados, com o objetivo de evitar fraudes e garantir a disponibilidade da informação; e
d) Manter o Titular de Interesse e outros usuários da ICP-Brasil informados, custodiando registros e provendo informações sobre emissão, revogação e vencimento de certificado, na forma de regulamento.
2.4.3. Em relação à Autoridade de Registro (AR): Emissão e gestão de certificado digital para pessoa física ou jurídica, desempenhando as seguintes atividades:
a) Validar e autenticar a identidade de potencial titular, de titular de certificado digital ou de representante legal para o encaminhamento à Autoridade Certificadora com vistas à emissão, expedição, revogação e gestão de ciclo de vidas de certificados digitais; e
b) Apoiar a Autoridade Certificadora no controle e na gestão do ciclo de vida de certificados digitais e emitir documentos acessórios, a exemplo de notas fiscais.
2.4.4. Dados Pessoais Tratados:
Para viabilizar a execução das ações descritas nos itens 2.4.1, 2.4.2 e 2.4.3, os Entes da ICP-Brasil coletam e tratam dados pessoais a partir das seguintes informações: nome completo, RG, CPF, CNH, endereço, data de nascimento, e-mail, telefone, celular, PIS, CEI, CAEPF, Título de Eleitor, CTPS, passaporte, nome completo do responsável legal da pessoa jurídica, informações de cartão de crédito vinculado a pessoa natural, escolaridade, situação creditícia, antecedentes criminais, nome dos pais e dados pessoais públicos contidos no“.Cer”, biometria facial e digital, características físicas e dados biográficos, atestado médico para incapaz ou relativamente incapaz, CNPJ, razão social, data de início e de vencimento do Certificado Digital, Inscrição Estadual e dados de pagamento.
2.4.5. Em relação à Autoridade Certificadora (AC) e à Autoridade de Registro (AR): Realizar serviço de suporte e atendimento ao titular ou potencial titular de certificado digital.
2.4.6. Dados Pessoas Tratados:
Para viabilizar a execução da atividade descrita no item 2.4.5, os Entes da ICP-Brasil coletam e tratam os dados pessoais a partir das seguintes informações: nome completo, CPF, CNPJ, número de protocolo e contrato social e número identificador (ticket).
2.4.7. Em relação à Autoridade Certificadora (AC): Realizar gestão e suporte operacional às Autoridades de Registro e seus Agentes de Registro.
2.4.8. Dados Pessoais Tratados:
Para viabilizar a execução da atividade descrita no item 2.4.7, os Entes da ICP-Brasil coletam e tratam os dados pessoais a partir das seguintes informações: nome completo e CPF.
2.4.9. Em relação aos Entes da ICP-Brasil: Realizar atribuições específicas de gestão de recursos humanos, desempenhando as seguintes atividades:
a) Concluir termo de posse de servidor público ou contrato de trabalho com empregado, enquadramento funcional, escopo de atividades, processamento de folha de pagamento, reajustes ou aumentos salariais, controle de jornada, gestão de banco de horas, avaliar aptidão de potencial servidor público ou empregado face aos valores do Ente da ICP-Brasil, contratação de Agente de Registro em observância às políticas de segurança, dentre outros, na forma de regulamento.
2.4.10. Dados Pessoais Tratados:
Para viabilizar a execução das atividades descritas no item 2.4.9, os Entes da ICP-Brasil coletam e tratam os dados pessoais a partir das seguintes informações: nome completo, RG, CPF, CNH, CTPS, Título de Eleitor, PIS, data de nascimento, e-mail, telefone, celular, endereço, escolaridade e histórico escolar, situação creditícia, antecedentes criminais, nome dos pais, foto, biometrias facial e digital e dados de saúde necessários ao cumprimento de obrigações trabalhistas, tributárias e previdenciárias.
2.4.11. Em relação à Autoridade Certificadora Raiz (AC-Raiz) e à Autoridade Certificadora (AC): Credenciar e autorizar novo ente ou prestador de serviço junto à ICP-Brasil, desempenhando as seguintes atividades:
a) Recepcionar dados e dossiês para instrução de procedimento de credenciamento e vinculação de novo ente ou prestador de serviço na estrutura da ICP-Brasil na condição de Autoridade Certificadora, de primeiro ou segundo níveis, ou de Autoridade de Registro;
b) Proceder com o descadastramento de ente ou prestador de serviço;
c) Atuar na prevenção à fraude em processo de credenciamento; e
d) Gerar par de chaves criptográficas em favor de Autoridade Certificadora.
2.4.12. Dados Pessoais Tratados:
Para viabilizar a execução das atividades descritas no item 2.4.11, os Entes da ICP-Brasil coletam e tratam os dados pessoais a partir das seguintes informações: nome completo, email, RG, CPF, CNH, data de nascimento, telefone, celular, endereço, nome dos pais, nome de representante legal, dossiê do representante legal de Autoridade Certificadora, biometrias facial e digital.
2.4.13. Em relação à Autoridade Certificadora (AC): Autenticar documentos eletrônicos pela aposição de assinatura digital.
2.4.14. Dados Pessoais Tratados:
Para viabilizar a execução das atividades descritas no item 2.4.13, os Entes da ICP-Brasil coletam e tratam os dados pessoais a partir das seguintes informações: nome completo, CPF e e-mail.
2.4.15. Em relação à Autoridade Certificadora Raiz (AC-Raiz), à Autoridade Certificadora (AC) e à Autoridade de Registro (AR): recepcionar dados e dossiês de instrução de processo de habilitação ou desabilitação de Agente de Registro em Autoridade de Registro Vinculada, produzindo cadastro e dossiê e autorizando-o no sistema de emissão; habilitar ou desabilitar Agente de Registro em Autoridade de Registro Vinculada, produzindo cadastro e dossiê e autorizando-o no sistema de emissão; e habilitar, gerir ou desabilitar Agente de Registro com o apoio da Autoridade Certificadora, respectivamente.
2.4.16. Dados Pessoais Tratados:
Para viabilizar a execução das atividades descritas no item 2.4.15, os Entes da ICP-Brasil coletam e tratam os dados pessoais a partir das seguintes informações: nome completo, nome social, RG, CPF, CNH, CTPS, Título de Eleitor, PIS, data de nascimento, e-mail, telefone, celular, endereço, escolaridade, situação creditícia, antecedentes criminais, nome dos pais e foto, biometrias digital e facial.
2.4.17. Em relação à Autoridade Certificadora Raiz (AC-Raiz), à Autoridade Certificadora (AC), à Autoridade de Registro (AR) e à Auditoria: garantir a conformidade com as normas da ICP-Brasil, desempenhando as seguintes atividades:
a) Prevenir fraude no processo de emissão de certificados digitais;
b) Conduzir, coordenar ou atender fiscalizações em Entes da ICP-Brasil ou promovidas por Entres da ICP-Brasil; e
c) Supervisionar, auditar e garantir a conformidade dos Entes da ICP-Brasil que lhes são respectivamente subordinados ou por atribuição da função face às regras da ICPBrasil, produzindo evidências e relatórios de conformidade, supervisionando alterações contratuais e documentais e controlando acessos físicos no Ente da ICPBrasil.
2.4.18. Dados Pessoais Tratados:
Para viabilizar a execução das atividades descritas no item 2.4.17, os Entes da ICP-Brasil coletam e tratam os dados pessoais a partir das seguintes informações: nome completo, RG, CPF, CNH, CTPS, Título de Eleitor, PIS, foto, data de nascimento, e-mail, telefone, celular, endereço, escolaridade, situação creditícia, antecedentes criminais, histórico profissional, nome dos pais, dossiê de Agente de Registro, cargo, certidão de nascimento, nome de usuário de acesso, biometrias facial e digital, cor, raça, deficiência física e gênero.
2.4.19. Em relação à Prestador de Serviço de Suporte, inclusive de Serviço Biométrico:
Prover serviço de suporte pela disponibilização de infraestrutura física e lógica e/ou de recursos humanos especializados nos termos das Políticas de Certificado e na Declaração de Políticas de Certificado da Autoridade de Certificação a que estiver vinculado, diretamente ou por intermédio de Autoridade de Registro, ou nas Políticas de Carimbo do Tempo e na Declaração de Práticas de Carimbo do Tempo da Autoridade de Carimbo de Tempo a que estiver vinculado, ou, ainda, nas atividades de Prestador de Serviço Biométrico, desempenhando as seguintes atividades:
a) Apoiar a gestão do ciclo de vida do certificado digital;
b) Apoiar a gestão do ciclo de vida do carimbo do tempo;
c) Apoiar a identificação biométrica de pessoa natural nas etapas de validação e autenticação de identidade;
d) Apoiar Ente da ICP-Brasil na garantia dos níveis de segurança física de seu estabelecimento; e
e) Disponibilizar aos entes da ICP recursos humanos nas funções de Agente de Registro e/ou Administrador PKI e/ou Administrador de Segurança e/ou Auditor.
2.4.20. Dados Pessoais Tratados:
Para viabilizar a execução das atividades descritas no item 2.4.19, os Entes da ICP-Brasil coletam e tratam os dados pessoais a partir das seguintes informações: nome completo, RG, CPF, CNH, Título de Eleitor, PIS, data de nascimento, celular, endereço, CNPJ, e-mail e telefone, antecedentes criminais e dados de cartão de crédito, imagem, foto e dados do dossiê do Titular de Certificado Digital e biometrias facial e digital.
2.4.21. Em relação ao Prestador de Serviço Biométrico: prover serviço de captura e manutenção de registros biométricos de pessoas naturais para a identificação dos titulares de certificados digitais em conformidade com as normas da ICP-Brasil, desempenhando as seguintes atividades:
a) Registrar e processar coleta biométrica;
b) Manter base de dados biométricos em comunicação, ou não, com as demais entidades integrantes do HUB Biométrico da ICP-Brasil; e
c) Registrar, consultar e validar coletas biométricas de uso obrigatório pelos demais Entes da ICP-Brasil.
2.4.22. Dados Pessoais Tratados:
Para viabilizar a execução das atividades descritas no item 2.4.21, os Entes da ICP-Brasil coletam e tratam os dados pessoais a partir das seguintes informações: CPF, imagens da face, biometrias facial e digital.
2.4.23. Em relação à Autoridade do Carimbo de Tempo: emitir documento eletrônico atestando a data e hora exatas em que um documento eletrônico foi criado ou recebeu uma assinatura digital, com a finalidade de criar evidência de sua existência temporal e a validade de sua assinatura digital.
2.4.24. Dados Pessoais Tratados:
Para viabilizar a execução da atividade descrita no item 2.4.23 os Entes da ICP-Brasil não coletam, não tratam e não fazem uso compartilhado de dados pessoais, sejam eles sensíveis, ou não.
2.5. Do fundamento legal: A atividade de tratamento de dados pessoais a que dispõe:
a) os itens 2.4.1, 2.4.7, 2.4.11, 2.4.17 e 2.4.23 é fundamentada no cumprimento de obrigação legal ou regulatória pelo Ente da ICP-Brasil, nos termos do art. 7º, II da LGPD;
b) os itens 2.4.5, 2.4.9, 2.4.13, 2.4.15 e 2.4.19 é fundamentada na execução de contrato ou de procedimentos preliminares relacionados a contrato dos quais é parte o Titular de Interesse, nos termos do art. 7º, V, da LGPD;
c) o item 2.4.21 é fundada na garantia da prevenção à fraude e à segurança do Titular de Interesse, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, nos termos do art. 11, “g”, da LGPD;
d) A coleta e o tratamento de dados pessoais sensíveis pelos Entes da ICP-Brasil darse-á para o Cumprimento de obrigação legal ou regulatória, ou, a depender do caso concreto, para a garantia de prevenção à fraude e à segurança do Titular de Interesse, em processos de identificação e autenticação de cadastro em sistemas eletrônicos, na forma do que dispõem os arts. 7º, II e 11, II, “g”, da LGPD.
2.6. Compartilhamento de Dados Pessoais: Os Entes da ICP-Brasil contratam serviços de agentes externos que auxiliam na consecução das atividades previstas nesta Política de Privacidade. Para
tanto, os Entes da ICP-Brasil podem exercer, na cadeia de tratamento de dados pessoais, a função de Controladores ou de Controladoria Conjunta dos dados a depender do caso concreto. Os Entes da ICP-Brasil podem, ainda, contratar Operadores de dados pessoais, que, subordinados às regras de tratamento de dados específicas previstas em contrato, realizarão o tratamento dos dados pessoais em nome dos Entes da ICP-Brasil.
2.6.1. Em seus contratos com agentes externos para os quais haja a necessidade de compartilhamento de dados pessoais com vistas à consecução do objeto contratual, os Entes da ICP-Brasil envidarão seus melhores esforços com vistas a incluir cláusulas de responsabilidade que obriguem as partes ao cumprimento da Lei Geral de Proteção de Dados Pessoais.
2.6.2. Os Entes da ICP-Brasil podem compartilhar dados pessoais com autoridades responsáveis pela aplicação da lei ou em resposta a requisições legais, na forma da legislação e regulação específicas. Os Entes da ICP-Brasil também podem compartilhar dados pessoais com as autoridades constituídas quando necessário para a prevenção e resolução de fraudes ou outros ilícitos, e para coibir o uso não autorizado de dados ou serviços providos no âmbito da ICP-Brasil em desconformidade com esta Política de Privacidade ou em desconformidade com os propósitos da ICP-Brasil.
2.7. Transferência internacional de dados pessoais: Na persecução de seus fins, os Entes da ICP-Brasil
podem realizar a transferência de dados pessoais para organizações estabelecidas em países estrangeiros com os quais os Entes da ICP-Brasil têm contrato de prestação de serviço, ou outro instrumento jurídico, cujas cláusulas vinculam as partes à observância do cumprimento dos princípios, dos direitos dos titulares e do regime de proteção de dados previstos na Lei Geral de Proteção de Dados Pessoais brasileira.
2.8. Guarda dos Dados Pessoais. O tratamento de dados pessoais, inclusive quanto às diretrizes de guarda das informações (armazenamento), obedecerá às políticas definidas pelo órgão normativo da ICP-Brasil, bem como a legislação específica, a exemplo do que dispõe o artigo 15 da Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet), que estabelece o prazo de 06 (seis) meses para a manutenção dos registros de acesso às aplicações dos Entes da ICP-Brasil. Na hipótese de conflito aparente entre normas, os Entes da ICP-Brasil valer-seão do fundamento legal que lhes confira segurança jurídica no cumprimento de obrigação legal ou regulatória, ou que não lhe provoque perecimento do exercício regular de direitos, inclusive em contrato ou em processo judicial, administrativo e arbitral.
2.9. Uso de cookies e outras ferramentas. Os Entes da ICP-Brasil podem fazer uso de cookies e outras ferramentas tecnológicas em suas plataformas e aplicações com o propósito de medir, otimizar e criar públicos para as suas campanhas de anúncios conforme as finalidades estabelecidas nesta Política de Privacidade. Os Entes da ICP-Brasil utilizam cookies para analisar o uso das plataformas, personalizar a experiência do usuário, facilitar a conexão, reconhecer o usuário que acessa seus ambientes digitais, identificar se uma página foi visitada, identificar se um e-mail foi aberto e fazer anúncios com mais eficiência.
3. Direitos dos Titulares dos Dados Pessoais
3.1. Os Entes da ICP-Brasil facultam aos Titulares de Interesse a capacidade de acessar, retificar, portar e apagar seus dados, salvo nas hipóteses de guarda (armazenamento) obrigatória, nos termos da legislação específica e em conformidade com esta Política de Privacidade. Desta forma, são direitos do titular dos dados pessoais, que poderão ser exercidos mediante requisição expressa para os canais a serem indicados pelos Entes da ICP-Brasil em suas respectivas Políticas de Privacidade, com o objetivo de:
3.1.1. Receber informação quanto a existência de tratamento de seus dados pessoais;
3.1.2. Receber informação a respeito dos dados pessoais que os Entes da ICP-Brasil possuem a seu respeito;
3.1.3. Obter a correção de dados pessoais incompletos, inexatos ou desatualizados;
3.1.4. Obter a anonimização, o bloqueio ou a eliminação dos dados pessoais considerados desnecessários ou excessivos pelo Titular de Interesse, observado o disposto no § 1º do art. 10 da LGPD, e o direito de recursa por parte do Ente da ICP-Brasil, devidamente justificado;
3.1.5. Obter a portabilidade dos seus dados pessoais, podendo ser com eliminação, ou não, dos dados após transferidos, respeitados os sigilos comercial e industrial;
3.1.6. Obter a eliminação dos dados pessoais tratados com fundamento no consentimento, observado o direito de recusa pelos Entes da ICP-Brasil, devidamente justificado;
3.1.7. Receber informações sobre as entidades públicas e privadas com as quais os Entes da ICP-Brasil compartilham seu dado pessoal;
3.1.8. Revogar o consentimento;
3.1.9. Informar sobre a existência de uso compartilhado de dados e sua respectiva finalidade.
3.2. Os Entes da ICP-Brasil armazenam dados pessoais até que eles não sejam mais necessários para o atingimento das finalidades definidas nesta Política de Privacidade. Os Entes da ICP-Brasil também armazenam dados pessoais dos Titulares de Interesse na forma do item 3.1.6. Em ambas as hipóteses, os Entes da ICP-Brasil observarão o que segue: 3.2.1.O Encarregado de dados do Ente da ICP-Brasil poderá indeferir o pedido de eliminação de dados pessoais com base nas seguintes hipóteses:
(i) quando o pedido representar ônus excessivo ao Ente da ICP-Brasil;
(ii) quando, pela natureza do dado pessoal, o tratamento se der com base em obrigação legal ou regulatória;
(iii) quando o tratamento do dado pessoal se der para o cumprimento de decisão judicial, ou
(iv) quando a requisição do Titular de Interesse resultar em violação de leis, regulamentos ou códigos de boas práticas do setor.
3.3. Os Entes da ICP-Brasil não são responsáveis pelas consequências decorrentes de dados pessoais incompletos, inexatos ou desatualizados.
4. Da Segurança da Informação
4.1. Os Entes da ICP-Brasil adotam as medidas de segurança, técnicas e administrativas necessárias e aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação, ou qualquer forma de tratamento inadequado ou ilícito.
4.1.1. Os Entes da ICP-Brasil tomam as medidas apropriadas para garantir que os operadores que executem atividades de tratamento de dados sob suas orientações estejam obrigados a deveres de confidencialidade, adotando, inclusive, cláusulas contratuais padrão de proteção de dados pessoais exigindo que qualquer informação desta natureza que tenha sido compartilhada permaneça em ambiente protegido e seguro. Uma cópia dessas cláusulas pode ser obtida entrando em contato como Encarregado de dados do Ente da ICP-Brasil.
4.1.2. Os Entes da ICP-Brasil contratam operadores com os quais compartilham dados pessoais e deles exigem Padrões e Regulamentações Mínimos, definidos em política interna, que pode ser obtida com o Encarregado de dados do Entes da ICP-Brasil.
Esta Política de Coleta e Tratamento de Dados Pessoais (“Política de Privacidade”) foi adotada em 16 de Fevereiro de 2022, e está sujeita à revisão, em qualquer tempo, pelo Comitê Gestor da ICPBrasil.
Caso ainda tenha dúvidas, nosso canal de atendimento está à sua disposição através do e-mail: [email protected]